【導(dǎo)讀】的安全穩(wěn)定運行，特制定本辦法。器材的有效性；負(fù)責(zé)機房運行管理、機房環(huán)境設(shè)施維護保障工作。衛(wèi)部門負(fù)責(zé)機房安全，進行消防安全監(jiān)督管理。房運行管理的直接責(zé)任人。防、安全等方面進行檢查、監(jiān)控，并按規(guī)定填寫機房安全檢查記錄。告，按應(yīng)急方案和流程進行處理。若因工作需要，機房維護人員需開啟安全門或出入陽臺時，應(yīng)征。工作結(jié)束后，需經(jīng)值班人員檢查確認(rèn)，值班人員須。第五條計算機中心員工憑門禁卡、工作證出入機房。領(lǐng)取《機房臨時出入證》后方可進入機房。行室申請辦理《機房出入證》。1），說明原因，預(yù)計滯留時間，經(jīng)所在部門、計算機中心運行室審核，效證件在機房值班人員處辦理登記手續(xù)，領(lǐng)取《機房臨時出入證》，機中心審批同意。未經(jīng)允許，不得擅自進入其它工作區(qū)域?，F(xiàn)場陪同，禁止外來人員單獨在機房工作。必要時，值班人員有權(quán)對離開人員所攜帶物品進行檢查。心機房設(shè)備外出放行審批表》中“設(shè)備詳細(xì)清單”中的內(nèi)容一致。

　　

【正文】 OA網(wǎng)絡(luò) 省聯(lián)社數(shù)據(jù) 中心 一級骨干網(wǎng) 一級骨干網(wǎng)撥號備份 采用二級網(wǎng)絡(luò)架構(gòu)的地市聯(lián)社網(wǎng)絡(luò)由于網(wǎng)點數(shù)量多，為便于網(wǎng)絡(luò)管理和故障處理，可以在邏輯上按縣區(qū)聯(lián)社或按鎮(zhèn)大社對接入網(wǎng)點進行分類，即通過對網(wǎng)絡(luò)的水平劃分，在二級數(shù)據(jù)中心增加一個虛擬的三級網(wǎng)絡(luò)匯聚點。對網(wǎng)絡(luò)進行水平劃分后， 其 A 類網(wǎng)絡(luò)地址編碼方案如下表所示： 業(yè)務(wù)網(wǎng)絡(luò) OA網(wǎng)絡(luò) 二級數(shù)據(jù)中心 二級骨干網(wǎng) 二級骨干網(wǎng)撥號備份 虛擬三級網(wǎng)絡(luò)匯聚點 X可取 1252，為網(wǎng)絡(luò)水平劃分標(biāo)識編號 X可取 1252，為 網(wǎng)絡(luò)水平劃分標(biāo)識編號 網(wǎng)點 X的定義同上， Y可取 1223，為網(wǎng)點編號 X的定義同上， Y可取 1223，為網(wǎng)點編號 采用三級網(wǎng)絡(luò)架構(gòu)的地市聯(lián)社網(wǎng)絡(luò)，其 A 類網(wǎng)絡(luò)地址編碼方案如下表所示： 業(yè)務(wù)網(wǎng)絡(luò) OA網(wǎng)絡(luò) 二級數(shù)據(jù)中心 二級骨干網(wǎng) 二級骨干網(wǎng)撥號備份 三級網(wǎng)絡(luò)匯聚點 X可取 1252，為縣區(qū)聯(lián)社編號 X可取 1252，為縣區(qū)聯(lián)社編號 三級匯聚網(wǎng)絡(luò) Y可取 224253 Y可取 224253 三級匯聚網(wǎng)絡(luò)撥號備份 網(wǎng)點 X的定義同上， Y可取 1223，為網(wǎng)點編號 X的定義同上， Y可取 1223，為網(wǎng)點編號 采用四級網(wǎng)絡(luò)架構(gòu)的地市聯(lián)社網(wǎng)絡(luò)，為便于網(wǎng)絡(luò) IP 地址向上匯聚，對 A 類網(wǎng)絡(luò)地址的編碼規(guī)則中的匯聚點標(biāo)識 G 域細(xì)分為 G1 域和 G2 域，如下表： 域 E F G1 G2 H I J 長度（ bit） 3 5 3 5 8 1 7 用途說明 序號位 機構(gòu)標(biāo)識 縣區(qū)聚點 標(biāo)識 鎮(zhèn)大社標(biāo)識 VLAN 或子網(wǎng)標(biāo)識 優(yōu)先級 設(shè)備地址 根據(jù)各地市農(nóng)村信用社的現(xiàn)狀， G1 域的長度為 3 位 (或 4 位 )，G2域的長度為 5位 (或 4位 )。 G1域用于標(biāo)識縣區(qū)級聯(lián)社，共可以標(biāo)識 1 個二級數(shù)據(jù)中心、 1 個二級骨干網(wǎng)和 7 到 15 個縣區(qū)級聯(lián)社，二級數(shù)據(jù)中心和二級骨干網(wǎng)中業(yè)務(wù)網(wǎng)和 OA 網(wǎng)絡(luò)的匯聚地址為：（或 ）， (或 )。 例如，當(dāng) G1域的長度為 3位時，某聯(lián)社下屬各縣區(qū)級聯(lián)社的業(yè)務(wù)網(wǎng)和 OA 網(wǎng)的匯聚地址分別為 ，??， 和 ，??， 。 G2 用于標(biāo)識鎮(zhèn)大社，每個縣區(qū)級聯(lián)社共可以標(biāo)識 30個鎮(zhèn)大社，對于某個縣區(qū)級聯(lián)社，記為 X1，X2，??， X30； X31 為三級匯聚網(wǎng)絡(luò)使用， X32 為三級網(wǎng)絡(luò)匯聚點使用，其 A類網(wǎng)絡(luò)地址編碼方案如下表所示： 業(yè)務(wù)網(wǎng) 絡(luò) OA網(wǎng)絡(luò) 二級數(shù)據(jù)中心 二級骨干網(wǎng) 二級骨干網(wǎng)撥號備份 三級網(wǎng)絡(luò)匯聚點 三級匯聚網(wǎng)絡(luò) 三級匯聚網(wǎng)絡(luò)撥號備份 四級網(wǎng)絡(luò)匯聚點 X可取 X1X30 X可取 X1X30 四級匯聚網(wǎng)絡(luò) X=X1X30 Y可取 224254 X=X1X30 Y可取 224254 網(wǎng)點 X=X1X30 Y可取 1126，為網(wǎng)點編號 X=X1X30 Y可取 1126，為網(wǎng)點編號 外聯(lián)網(wǎng)絡(luò) IP地址編碼規(guī)則 如外聯(lián)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)接入設(shè)備的地址無法由聯(lián)社主動分配或聯(lián)社與外機構(gòu)間存在地址沖突，允許通過防火墻進行NAT/PAT網(wǎng)絡(luò)地址轉(zhuǎn)換來解決。 應(yīng)盡量為不同的外聯(lián)機構(gòu)分配不同的、范圍更小的子網(wǎng)，如無特殊情況，應(yīng)嚴(yán)格禁止不同外聯(lián)機構(gòu)間的互訪。 各外聯(lián)地址空間中，網(wǎng)絡(luò)接入設(shè)備地址按從小到大的順序分配使用，網(wǎng)絡(luò)設(shè)備地址按從大到小的順序分配使用。 外聯(lián)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備間互聯(lián)地址，如通過點到點線路連接，應(yīng)使 用 30位掩碼以節(jié)省網(wǎng)絡(luò)地址。 6 網(wǎng)絡(luò)路由 網(wǎng)絡(luò)路由的使用規(guī)則 信用社（銀行） 在網(wǎng)絡(luò)建設(shè)、網(wǎng)絡(luò)改造中使用標(biāo)準(zhǔn)、成熟可靠的路由協(xié)議，如靜態(tài)路由， VRRP、 HSRP 虛擬冗余路由， RIPOSPF、 BGP4 等動態(tài)路由。禁止使用 EIGRP、 IGRP 等特定廠商私有的動態(tài)路由協(xié)議，也不建議使用像 ISIS這種廠商支持度較少的路由協(xié)議以及像 RIPv1這種有明顯缺陷、漸漸被淘汰的路由協(xié)議。 一、二級骨干網(wǎng)、各級匯聚網(wǎng)、各功能網(wǎng)絡(luò)區(qū)、網(wǎng)絡(luò)接入設(shè)備在設(shè)置靜態(tài)路由或路由注 入時，目標(biāo)地址盡量使用匯總地址，即使用子網(wǎng)掩碼較小的目標(biāo)地址，以滿足路由跟蹤的需求。 數(shù)據(jù)中心路由 各數(shù)據(jù)中心不同功能網(wǎng)絡(luò)區(qū)之間的路由盡可能采用靜態(tài)路由協(xié)議或 VRRP、 HSRP 等虛擬冗余路由協(xié)議。 各數(shù)據(jù)中心功能網(wǎng)絡(luò)區(qū)內(nèi)部可以根據(jù)需要采用靜態(tài)路由協(xié)議， VRRP、 HSRP 虛擬冗余路由協(xié)議， RIP OSPF 等動態(tài)路由協(xié)議。 廣域網(wǎng)路由 一級骨干網(wǎng)采用 OSPF 或 BGP4 路由協(xié)議，以實現(xiàn)策略路由和線路的負(fù)載均衡或備份。省聯(lián)社數(shù)據(jù)中心、二級數(shù) 據(jù)中心使用匯總靜態(tài) null0路由把各自的路由發(fā)布到一級骨干網(wǎng)的路由中。 二級骨干網(wǎng)、各級匯聚網(wǎng)如果采用單路經(jīng)通信線路，可以按照實際情況使用靜態(tài)或動態(tài)路由協(xié)議，如果采用多路經(jīng)通信線路則應(yīng)考慮使用 OSPF 等動態(tài)路由協(xié)議，以實現(xiàn)線路的負(fù)載均衡或備份。 7 QoS 部署 廣域網(wǎng) QoS 一級骨干網(wǎng)、二級骨干網(wǎng)、各級匯聚網(wǎng)的邊界應(yīng)根據(jù)實際需要采用最新的 QoS 技術(shù)對廣域網(wǎng)的吞吐量、時延、時延抖動、丟包率、網(wǎng)絡(luò)可靠性等進行管理，以保證關(guān)鍵業(yè)務(wù)在低速線路上的網(wǎng)絡(luò)通信質(zhì)量。 在條件許可的情況下，一級骨干網(wǎng)、二級骨干網(wǎng)應(yīng)盡可能考慮通過提高物理線路的通信帶寬、由電信部門在傳輸系統(tǒng)上直接進行通信帶寬控制等方法來提高 QoS。 局域網(wǎng) QoS 省聯(lián)社數(shù)據(jù)中心、二級數(shù)據(jù)中心、各級網(wǎng)絡(luò)匯聚點局域網(wǎng)內(nèi)的數(shù)據(jù)通信應(yīng)盡可能避免使用 QoS。局域網(wǎng)內(nèi)的數(shù)據(jù)通信主要通過提高網(wǎng)絡(luò)帶寬來滿足各類業(yè)務(wù)對 QoS 的需求。提高網(wǎng)絡(luò)帶寬的主要方法包括采用多條以太網(wǎng)鏈路聚合技術(shù)、采用 1000M或 10G以太網(wǎng)技術(shù)、采用更高性能的網(wǎng)絡(luò)設(shè)備等。 網(wǎng)絡(luò)流量分類和標(biāo)記規(guī)則 省聯(lián)社數(shù)據(jù)中心、各二級數(shù)據(jù)中心可根據(jù)實際情況，采用源、目的 IP 地址，源、目的端口， VLAN，網(wǎng)絡(luò)物理接口，幀中繼DLCI、 DSCP 等對網(wǎng)絡(luò)流量進行分類，并采用統(tǒng)一的標(biāo)準(zhǔn)對分類后的流量進行標(biāo)記，再根據(jù)實際情況采用 WREQ、 CBWREQ、 LLQ 等技術(shù)對標(biāo)記后的網(wǎng)絡(luò)流量進行排隊轉(zhuǎn)發(fā)。 為統(tǒng)一管理，實現(xiàn)端到端的 QoS 策略，統(tǒng)一使用如下的DSCP 值對不同的業(yè)務(wù)類別進行標(biāo)記： 業(yè)務(wù)類別 業(yè)務(wù)種類 DSCP 業(yè)務(wù) 大額支付系統(tǒng)、小額支付系統(tǒng)、金融服務(wù)平臺、省通存 通兌，各地聯(lián)社的業(yè)務(wù)系統(tǒng) EF（ 46） 視頻 視頻會議 AF31（ 26） 管理信息 貸款五級分類系統(tǒng)、結(jié)算帳戶管理系統(tǒng)、個人征信系統(tǒng)、企業(yè)征信系統(tǒng)、反洗錢監(jiān)測分析系統(tǒng)，各地聯(lián)社的 BI 系統(tǒng) AF21（ 18） OA OA系統(tǒng) AF11（ 10） 網(wǎng)絡(luò)設(shè)備 QoS 功能配置 省聯(lián)社數(shù)據(jù)中心、各二級數(shù)據(jù)中心在今后的網(wǎng)絡(luò)建設(shè)、網(wǎng)絡(luò)改造中，新購置的路由器、交換機必須具備 QoS 功能，支持 DiffServ，支持 WREQ、 CBWREQ、 LLQ 等常見的隊列機制。 8 網(wǎng)絡(luò)管理 網(wǎng)絡(luò)監(jiān)控 省聯(lián)社數(shù)據(jù)中心、二級數(shù)據(jù)中心必須配置網(wǎng)絡(luò)監(jiān)控系統(tǒng)，配置的網(wǎng)絡(luò)監(jiān)控系統(tǒng)必須支持 SNMP 協(xié)議。 省聯(lián)社數(shù)據(jù)中心的網(wǎng)絡(luò)監(jiān)控系統(tǒng)負(fù)責(zé)省聯(lián)社數(shù)據(jù)中心、一級骨干網(wǎng)的網(wǎng)絡(luò)監(jiān)控，二級數(shù)據(jù)中心的網(wǎng)絡(luò)監(jiān)控系統(tǒng)負(fù)責(zé)二級數(shù)據(jù)中心、二級骨干網(wǎng)、各級網(wǎng)絡(luò)匯聚點、末端網(wǎng)點的監(jiān)控。 網(wǎng)絡(luò)監(jiān)控系統(tǒng)應(yīng)具有網(wǎng)絡(luò)拓?fù)涔芾砉δ?，能夠按照垂直分層、水平分區(qū)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)對所有網(wǎng)絡(luò)設(shè)備、主機和主要服務(wù)器進行分層管理 。 網(wǎng)絡(luò)監(jiān)控系統(tǒng)應(yīng)具有對網(wǎng)絡(luò)設(shè)備和鏈路狀態(tài)的通斷狀況等網(wǎng)絡(luò)故障進行自動監(jiān)控、報警功能。 IP地址、路由表，接口流量等網(wǎng)絡(luò)參數(shù)的查詢功能。 網(wǎng)絡(luò)事件管理 省聯(lián)社數(shù)據(jù)中心、各二級數(shù)據(jù)中心應(yīng)根據(jù)實際情況建立集中的網(wǎng)絡(luò)事件或日志管理系統(tǒng)，實現(xiàn)對主要網(wǎng)絡(luò)設(shè)備產(chǎn)生的事件或日志的統(tǒng)一管理和查詢。 、有條件的二級數(shù)據(jù)中心應(yīng)建立統(tǒng)一的 NTP網(wǎng)絡(luò)時間服務(wù)器，以實現(xiàn)各網(wǎng)絡(luò)設(shè)備時間的同步。 網(wǎng)絡(luò)配置和變更管理 省聯(lián)社數(shù)據(jù)中心、二級數(shù)據(jù)中心應(yīng)根據(jù)實際情況，建立完善、可操作的所有網(wǎng)絡(luò)設(shè)備配置文件的備份、使用方案。 省聯(lián)社數(shù)據(jù)中心、二級數(shù)據(jù)中心應(yīng)根據(jù)實際情況，建立完善、可操作的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)配置的變更操作流程。 網(wǎng)絡(luò)性能管理 有條件的數(shù)據(jù)中心，可根據(jù)實際情況配置專用的網(wǎng)絡(luò)性能監(jiān)控軟件或 SNIFFER 軟件，實現(xiàn)對網(wǎng)絡(luò)性能和網(wǎng)絡(luò)故障更深入的監(jiān)控和分析。 9 網(wǎng)絡(luò)安全 數(shù)據(jù)中心網(wǎng)絡(luò)的安全 省聯(lián)社數(shù)據(jù)中心和二級數(shù)據(jù)中心應(yīng)根據(jù)業(yè)務(wù)需要劃分不同 的 功能網(wǎng)絡(luò)區(qū)，同層次不同功能網(wǎng)絡(luò)區(qū)在網(wǎng)絡(luò)邊界上必須采用嚴(yán)格的安全控制措施，如配置防火墻、防病毒、 IPS 等。 省聯(lián)社數(shù)據(jù)中心和二級數(shù)據(jù)中心應(yīng)對防火墻、防病毒、 IPS等網(wǎng)絡(luò)安全設(shè)備建立完善、可操作的安全策略管理制度和變更操作流程。 INTERNET 接入的安全 除網(wǎng)上銀行服務(wù)器和 OA 的電子郵件服務(wù)器， INTERNET與業(yè)務(wù)網(wǎng)和 OA網(wǎng)絡(luò)等功能網(wǎng)絡(luò)區(qū)必須物理隔離。網(wǎng)上銀行服務(wù)器和OA電子郵件服務(wù)器與功能網(wǎng)絡(luò)區(qū)之間應(yīng)盡量使用不同品牌的防火墻實現(xiàn)多層安全控制，并在功能網(wǎng)絡(luò)區(qū)的邊界設(shè) 置 IDS、 IPS 等網(wǎng)絡(luò)安全設(shè)備。 INTERNET 上網(wǎng)系統(tǒng)必須使用獨立的網(wǎng)絡(luò)系統(tǒng)。 外聯(lián)區(qū)接入的安全 省聯(lián)社數(shù)據(jù)中心和各二級數(shù)據(jù)中心的外聯(lián)區(qū)入口必須配置防火墻等安全設(shè)備，外聯(lián)區(qū)的接入路由器必須配置嚴(yán)格的訪問控制策略，保證接入單位只能訪問到允許訪問的網(wǎng)段，而不能隨意訪問其它接入單位的網(wǎng)段。 無線接入的安全 省聯(lián)社數(shù)據(jù)中心和各二級數(shù)據(jù)中心必須建立嚴(yán)格的無線網(wǎng)絡(luò)接入管理制度，建立獨立的無線接入網(wǎng)絡(luò)區(qū)，禁止無線接入網(wǎng)絡(luò)區(qū)對業(yè)務(wù)網(wǎng)、各級骨干網(wǎng)、各級匯聚網(wǎng)的訪問， 嚴(yán)格控制無線接入網(wǎng)絡(luò)區(qū)對數(shù)據(jù)中心其它功能網(wǎng)絡(luò)區(qū)的訪問。 撥號備份網(wǎng)絡(luò)的安全 撥號備份網(wǎng)絡(luò)必須采用嚴(yán)格的身份論證措施和訪問控制策略，確保業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)的安全。 網(wǎng)絡(luò)設(shè)備安全 網(wǎng)絡(luò)設(shè)備必須設(shè)置兩級或兩級以上的用戶級別，不同級別的用戶密碼不能相同，網(wǎng)絡(luò)設(shè)備的配置文件中不能出現(xiàn)用戶密碼的明文。 有條件的數(shù)據(jù)中心可配置網(wǎng)絡(luò)設(shè)備的用戶、密碼和權(quán)限的AAA認(rèn)證中心，實現(xiàn)對網(wǎng)絡(luò)設(shè)備用戶、密碼的集中管理。 。