关于金融信息系统灾备中心网络建设研究(2)

　　具备网络容量的扩展能力。能满足服务器数量、用户数量和数据流量的增长需求；具备适应上层应用模式变化的能力，既满足现有的应用模式．又能满足多层次的应用模式对网络服务和网络结构的要求；能适应安全策略的变化，可灵活划分安全等级，部署安全措施；符合世界技术发展趋势，能向未来可能采用的技术架构平稳过渡。
　　(4)便于运行维护和管理
　　强大的网络管理平台；提供带外管理网络支持，特别为紧急情况下提供增强的管理渠道；相对统一的设备类型和型号；充足完备的网络分析工具；充分考虑灾备中心运维管理流程的需要。
　　(5)先进性
　　采用先进的高性能网络产品和相关技术．以满足灾备中心未来5年业务快速发展的需求。
　　3、解决方案
　　(1)网络体系结构
　　根据灾备中心不同的服务功能．灾备中心网络在功能上分为核心交换区、生产区、管理区、MIS服务区、内联接人区、外联接人区、开发，测试区和Internet接人区等区域。灾备中心网络体系结构如图2所示。

　　(2)灾备中心网络逻辑结构
　　灾备中心网络的逻辑层次有三层：核心层、分布层和接入层。核心层的主要功能是负责各个分布层数据的高速转发：分布层的主要功能是为接人层提供网络服务：接入层的功能是向最终用户和设备提供接入。分布层和接入层可以根据应用、管理功能和安全要求划分为若干模块。

　　各个层次的功能是：
　　核心层是灾备中心内部高速的三层交换骨干．该层不进行终端系统的连接．不实施影响高速交换性能的安全访问控制策略。
　　分布层作为接入层和核心层的分界层．该层完成的功能包括：区内VLAN问的路由；区内I王’地址或路由区域的汇聚：实施安全访问控制策略。
　　接人层提供Layer2的网络接入．通过VLAN定义实现接入的隔离。该层具有的主要特点是：根据实际使用情况规划接入端口容量。并具有一定的扩展性；不同功能分区的接人层相对独立；不同类型的接人层应各自分开，连接到对应功能区的分布层：为实施QoS。对数据包进行分类和标记。

　　各层之间的连接：
　　上述每一个层次结构内部需要采用冗余的架构来保障该层功能的稳定可靠。
　　在相邻层次之间．同样需要采用冗余的连接(物理连接或协议)来保障各层次结构之间的稳定可靠。
　　网络扩展时．核心层和分布层的架构保持不变，接入层可以随接人需要扩展。
　　物理实现时．分布层和接人层设备可以合并。
　　(3)灾备中心信息安全体系设计
　　灾备中心信息安全体系的建设目标是以信息安全标准为依据．建立一套具有统一安全策略、纵深防御能力、监控和审计功能的信息系统平台．具有可持续建设能力的业务系统支撑平台和具有高效率的网络通讯平台。信息安全体系的建设在确保网络通讯畅通的同时最大限度地保护核心业务系统的安全。通过技术、人员、管理等方面的综合建设、保障最终使灾备中心的信息系统达到保密性、完整性、可用性、可控性、抗抵赖性的要求。灾备中心网络的信息安全体系结构如图4所示。

　　为达到信息安全建设的总体目标．灾备中心信息安全体系分为七个方面：信息系统安全技术和安全服务；基于安全域的纵深防御体系；安全管理体系；安全法规；信息安全技术保障；信息安全策略和审计：信息系统基础设施。七个方面的内容可划分为”四个层面。两个支撑。一个确保”。
　　第一个层面为信息安全技术和安全服务。在这个层面上描述灾备中心信息安全建设中采用的安全技术手段和实现方法．以及这些技术提供了鉴别、加密、访问控制、完整性、抗抵赖等信息安全服务。从技术实现的角度落实信息安全要求。确保灾备中心信息安全。
　　第二个层面为基于安全域的纵深防御体系。在这个层面上主要从系统设计的层次描述了贯彻信息安全要求的设计、规划理念．从网络边界安全到内部局域网网络安全以及计算机系统的安全综合考虑。统筹规划。在网络和计算机等相关系统的设计过程中充分考虑信息安全的总体要求。