金融城域网接入技术方案（含使用说明）.docxVIP

金融城域网接入技术方案

XX公司成立于20xx年x月x日，注册资本500万元。xx公司是xx省xxx局落实省委、省政府主要领导指示精神和政府工作报告的重点工作部署，为切实解决金融机构与企业之间信用信息不对称的痛点问题，推动省级企业征信基础设施建设，按照政府主导、国有出资、共用共享的原则推动设立的。

xx公司目前共有30名人员，其中信息技术人员23名，包括数据挖掘工程师、数据分析工程师、需求测试工程师、系统研发工程师、系统运维工程师、网络安全工程师等岗位人员。

接入原因

一是为深入贯彻落实省委、省政府关于统筹推进相关金融平台建设工作部署，按照《xx省普惠金融建设合作备忘录》的相关工作要求，聚集各方优势资源，加快推进xx省普惠金融综合服务平台建设，缓解中小微融资难问题；二是为更加便捷的为xx省内中小微企业和金融机构提供企业征信服务，搭建服务网络环境，提高访问效率；三是为实现政务数据与金融机构数据共用共享提供条件，xx公司计划接入xx中心银行金融城域网。鉴于以上业务需求，xx公司特申请接入金融城域网。

二、接入方式

根据《中国人民银行金融城域网入网管理办法》（以下简称“管理办法”）以及南昌中支发布的（南银发〔2015〕109号）《xx省金融城域网入网管理实施细则》（以下简称“实施细则”），xx公司拟使用直接接入的方式接入金融城域网二级网，使用电信运营商线路接入，线路类型为MSTP，专线带宽初期为6M。

三、技术方案

3.1、接入网络设计

3.1.1、网络拓扑图（根据使用者所在公司的具体情况自行填加）

3.1.2、网络设计说明

xx公司网络设计主要分为金融城域网接入区、生产业务区、核心数据交换区和安全管理区五个区域。其中金融城域网外联区作为金融城域网专用接入网络。按照管理办法及实施细则的要求，设备专机专用，不与其他区域复用。金融城域网接入区内边界防火墙分别设置三个安全区域，前置机部署DMZ区，路由器部署于UnTrust区，核心交换于部署于Trust区，MSTP专线通过路由器接入金融城域网外联区。

3.1.3、数据流向说明

首先业务交换数据从xx公司内网主业务服务器经金融城域网边界防火墙同步到金融城域网外联区的前置机，前置机经接入区汇聚交换汇聚后经防火墙至路由器，最后通过MSTP专线到达金融城域网网络边界。

3.1.4、金融城域网接入区说明

金融城域网接入区由x台网络设备组成，分别为x台防火墙，x台路由器，x台汇聚交换机；x台防火墙用于和核心交换机互联，防火墙下接x台路由器（交换模块），路由器用于外联单位的接入。x台路由器和x台防火墙采用主备冗余方式，在与金融城域网连接上支持SDH、MSTP等多种接入方式，接口封装方式支持以太接口、PPP、HDLC等主流兼容模式。通信线路租用电信线路。

3.1.5、访问控制说明

在防火墙上按最小权限原则配置严格的访问控制策略，只允许特定主机（IP地址）和特定服务类型（TCP/UDP端口）的访问通过，拒绝其他访问，保证非白名单业务流量无法通过，实现内、外部网络间主机互访的访问控制。同时在防火墙进行双向NAT，内外部地址一一对应，隐藏并保护内部网络。

3.2、接入网络安全

3.2.1、技术安全

1）、xx公司现有网络架构参照相关行业要求进行安全建设及管控，一、网络和服务器均纳入安全运维管理系统（堡垒机）统一管控，实现运维操作全记录，防范违规操作风险；二、充分利用现有日志审计，数据库审计，能够实时不间断地将来自不同厂商的安全设备、网络设备、主机、操作系统、数据库、中间件、用户业务系统的日志、警报等信息汇集到审计中心，实现全网综合安全审计，记录至少保存3个月；三、部署了IPS、WAF、防病毒软件、漏洞扫描、综合威胁探针等安全设备，形成纵深防御安全防护架构；四、部署运维监控管理系统，对网络情况进行实时监控，确保网络安全稳定运行；

2）、xx公司按照实施细则要求，建立独立的金融城域网接入区，部署独立的接入路由器和硬件防火墙，并在防火墙上进行严格的访问控制和地址转换，将与南昌中支之间进行数据交换的服务器部署在金融城域网前置区内，做到专机专用、专网使用，确保金融城域网接入区与内部其他网络区域之间具有清晰的网络边界；

3）、金融城域网接入区内，关键设备均实现了热备份，通过硬件防火墙的安全隔离，使金融城域网接入区不直接或间接与公众互联网联通。

3.2.2、管理安全

、组织架构上，xx公司已成立网络与信息安全领导小组，研究部署xx公司网络与信息安全建设工作，统筹协调和解决信息安全工作中的重大问题；

、制度流程上，已制定网络安全管理制度、信息安全人员管理制度、机房信息安全管理制度、安全事件处置与应急管理制度等，并严格按照相关制度进行操作执行（相关制度流程详细内容，见附件）；

、人员管理上，根据要求，设置安全主管、信