【導(dǎo)讀】的安全穩(wěn)定運(yùn)行，特制定本辦法。器材的有效性；負(fù)責(zé)機(jī)房運(yùn)行管理、機(jī)房環(huán)境設(shè)施維護(hù)保障工作。衛(wèi)部門(mén)負(fù)責(zé)機(jī)房安全，進(jìn)行消防安全監(jiān)督管理。房運(yùn)行管理的直接責(zé)任人。防、安全等方面進(jìn)行檢查、監(jiān)控，并按規(guī)定填寫(xiě)機(jī)房安全檢查記錄。告，按應(yīng)急方案和流程進(jìn)行處理。若因工作需要，機(jī)房維護(hù)人員需開(kāi)啟安全門(mén)或出入陽(yáng)臺(tái)時(shí)，應(yīng)征。工作結(jié)束后，需經(jīng)值班人員檢查確認(rèn)，值班人員須。第五條計(jì)算機(jī)中心員工憑門(mén)禁卡、工作證出入機(jī)房。領(lǐng)取《機(jī)房臨時(shí)出入證》后方可進(jìn)入機(jī)房。行室申請(qǐng)辦理《機(jī)房出入證》。1），說(shuō)明原因，預(yù)計(jì)滯留時(shí)間，經(jīng)所在部門(mén)、計(jì)算機(jī)中心運(yùn)行室審核，效證件在機(jī)房值班人員處辦理登記手續(xù)，領(lǐng)取《機(jī)房臨時(shí)出入證》，機(jī)中心審批同意。未經(jīng)允許，不得擅自進(jìn)入其它工作區(qū)域?，F(xiàn)場(chǎng)陪同，禁止外來(lái)人員單獨(dú)在機(jī)房工作。必要時(shí)，值班人員有權(quán)對(duì)離開(kāi)人員所攜帶物品進(jìn)行檢查。心機(jī)房設(shè)備外出放行審批表》中“設(shè)備詳細(xì)清單”中的內(nèi)容一致。

　　

【正文】 OA網(wǎng)絡(luò) 省聯(lián)社數(shù)據(jù) 中心 一級(jí)骨干網(wǎng) 一級(jí)骨干網(wǎng)撥號(hào)備份 采用二級(jí)網(wǎng)絡(luò)架構(gòu)的地市聯(lián)社網(wǎng)絡(luò)由于網(wǎng)點(diǎn)數(shù)量多，為便于網(wǎng)絡(luò)管理和故障處理，可以在邏輯上按縣區(qū)聯(lián)社或按鎮(zhèn)大社對(duì)接入網(wǎng)點(diǎn)進(jìn)行分類(lèi)，即通過(guò)對(duì)網(wǎng)絡(luò)的水平劃分，在二級(jí)數(shù)據(jù)中心增加一個(gè)虛擬的三級(jí)網(wǎng)絡(luò)匯聚點(diǎn)。對(duì)網(wǎng)絡(luò)進(jìn)行水平劃分后， 其 A 類(lèi)網(wǎng)絡(luò)地址編碼方案如下表所示： 業(yè)務(wù)網(wǎng)絡(luò) OA網(wǎng)絡(luò) 二級(jí)數(shù)據(jù)中心 二級(jí)骨干網(wǎng) 二級(jí)骨干網(wǎng)撥號(hào)備份 虛擬三級(jí)網(wǎng)絡(luò)匯聚點(diǎn) X可取 1252，為網(wǎng)絡(luò)水平劃分標(biāo)識(shí)編號(hào) X可取 1252，為 網(wǎng)絡(luò)水平劃分標(biāo)識(shí)編號(hào) 網(wǎng)點(diǎn) X的定義同上， Y可取 1223，為網(wǎng)點(diǎn)編號(hào) X的定義同上， Y可取 1223，為網(wǎng)點(diǎn)編號(hào) 采用三級(jí)網(wǎng)絡(luò)架構(gòu)的地市聯(lián)社網(wǎng)絡(luò)，其 A 類(lèi)網(wǎng)絡(luò)地址編碼方案如下表所示： 業(yè)務(wù)網(wǎng)絡(luò) OA網(wǎng)絡(luò) 二級(jí)數(shù)據(jù)中心 二級(jí)骨干網(wǎng) 二級(jí)骨干網(wǎng)撥號(hào)備份 三級(jí)網(wǎng)絡(luò)匯聚點(diǎn) X可取 1252，為縣區(qū)聯(lián)社編號(hào) X可取 1252，為縣區(qū)聯(lián)社編號(hào) 三級(jí)匯聚網(wǎng)絡(luò) Y可取 224253 Y可取 224253 三級(jí)匯聚網(wǎng)絡(luò)撥號(hào)備份 網(wǎng)點(diǎn) X的定義同上， Y可取 1223，為網(wǎng)點(diǎn)編號(hào) X的定義同上， Y可取 1223，為網(wǎng)點(diǎn)編號(hào) 采用四級(jí)網(wǎng)絡(luò)架構(gòu)的地市聯(lián)社網(wǎng)絡(luò)，為便于網(wǎng)絡(luò) IP 地址向上匯聚，對(duì) A 類(lèi)網(wǎng)絡(luò)地址的編碼規(guī)則中的匯聚點(diǎn)標(biāo)識(shí) G 域細(xì)分為 G1 域和 G2 域，如下表： 域 E F G1 G2 H I J 長(zhǎng)度（ bit） 3 5 3 5 8 1 7 用途說(shuō)明 序號(hào)位 機(jī)構(gòu)標(biāo)識(shí) 縣區(qū)聚點(diǎn) 標(biāo)識(shí) 鎮(zhèn)大社標(biāo)識(shí) VLAN 或子網(wǎng)標(biāo)識(shí) 優(yōu)先級(jí) 設(shè)備地址 根據(jù)各地市農(nóng)村信用社的現(xiàn)狀， G1 域的長(zhǎng)度為 3 位 (或 4 位 )，G2域的長(zhǎng)度為 5位 (或 4位 )。 G1域用于標(biāo)識(shí)縣區(qū)級(jí)聯(lián)社，共可以標(biāo)識(shí) 1 個(gè)二級(jí)數(shù)據(jù)中心、 1 個(gè)二級(jí)骨干網(wǎng)和 7 到 15 個(gè)縣區(qū)級(jí)聯(lián)社，二級(jí)數(shù)據(jù)中心和二級(jí)骨干網(wǎng)中業(yè)務(wù)網(wǎng)和 OA 網(wǎng)絡(luò)的匯聚地址為：（或 ）， (或 )。 例如，當(dāng) G1域的長(zhǎng)度為 3位時(shí)，某聯(lián)社下屬各縣區(qū)級(jí)聯(lián)社的業(yè)務(wù)網(wǎng)和 OA 網(wǎng)的匯聚地址分別為 ，??， 和 ，??， 。 G2 用于標(biāo)識(shí)鎮(zhèn)大社，每個(gè)縣區(qū)級(jí)聯(lián)社共可以標(biāo)識(shí) 30個(gè)鎮(zhèn)大社，對(duì)于某個(gè)縣區(qū)級(jí)聯(lián)社，記為 X1，X2，??， X30； X31 為三級(jí)匯聚網(wǎng)絡(luò)使用， X32 為三級(jí)網(wǎng)絡(luò)匯聚點(diǎn)使用，其 A類(lèi)網(wǎng)絡(luò)地址編碼方案如下表所示： 業(yè)務(wù)網(wǎng) 絡(luò) OA網(wǎng)絡(luò) 二級(jí)數(shù)據(jù)中心 二級(jí)骨干網(wǎng) 二級(jí)骨干網(wǎng)撥號(hào)備份 三級(jí)網(wǎng)絡(luò)匯聚點(diǎn) 三級(jí)匯聚網(wǎng)絡(luò) 三級(jí)匯聚網(wǎng)絡(luò)撥號(hào)備份 四級(jí)網(wǎng)絡(luò)匯聚點(diǎn) X可取 X1X30 X可取 X1X30 四級(jí)匯聚網(wǎng)絡(luò) X=X1X30 Y可取 224254 X=X1X30 Y可取 224254 網(wǎng)點(diǎn) X=X1X30 Y可取 1126，為網(wǎng)點(diǎn)編號(hào) X=X1X30 Y可取 1126，為網(wǎng)點(diǎn)編號(hào) 外聯(lián)網(wǎng)絡(luò) IP地址編碼規(guī)則 如外聯(lián)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)接入設(shè)備的地址無(wú)法由聯(lián)社主動(dòng)分配或聯(lián)社與外機(jī)構(gòu)間存在地址沖突，允許通過(guò)防火墻進(jìn)行NAT/PAT網(wǎng)絡(luò)地址轉(zhuǎn)換來(lái)解決。 應(yīng)盡量為不同的外聯(lián)機(jī)構(gòu)分配不同的、范圍更小的子網(wǎng)，如無(wú)特殊情況，應(yīng)嚴(yán)格禁止不同外聯(lián)機(jī)構(gòu)間的互訪。 各外聯(lián)地址空間中，網(wǎng)絡(luò)接入設(shè)備地址按從小到大的順序分配使用，網(wǎng)絡(luò)設(shè)備地址按從大到小的順序分配使用。 外聯(lián)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備間互聯(lián)地址，如通過(guò)點(diǎn)到點(diǎn)線路連接，應(yīng)使 用 30位掩碼以節(jié)省網(wǎng)絡(luò)地址。 6 網(wǎng)絡(luò)路由 網(wǎng)絡(luò)路由的使用規(guī)則 信用社（銀行） 在網(wǎng)絡(luò)建設(shè)、網(wǎng)絡(luò)改造中使用標(biāo)準(zhǔn)、成熟可靠的路由協(xié)議，如靜態(tài)路由， VRRP、 HSRP 虛擬冗余路由， RIPOSPF、 BGP4 等動(dòng)態(tài)路由。禁止使用 EIGRP、 IGRP 等特定廠商私有的動(dòng)態(tài)路由協(xié)議，也不建議使用像 ISIS這種廠商支持度較少的路由協(xié)議以及像 RIPv1這種有明顯缺陷、漸漸被淘汰的路由協(xié)議。 一、二級(jí)骨干網(wǎng)、各級(jí)匯聚網(wǎng)、各功能網(wǎng)絡(luò)區(qū)、網(wǎng)絡(luò)接入設(shè)備在設(shè)置靜態(tài)路由或路由注 入時(shí)，目標(biāo)地址盡量使用匯總地址，即使用子網(wǎng)掩碼較小的目標(biāo)地址，以滿足路由跟蹤的需求。 數(shù)據(jù)中心路由 各數(shù)據(jù)中心不同功能網(wǎng)絡(luò)區(qū)之間的路由盡可能采用靜態(tài)路由協(xié)議或 VRRP、 HSRP 等虛擬冗余路由協(xié)議。 各數(shù)據(jù)中心功能網(wǎng)絡(luò)區(qū)內(nèi)部可以根據(jù)需要采用靜態(tài)路由協(xié)議， VRRP、 HSRP 虛擬冗余路由協(xié)議， RIP OSPF 等動(dòng)態(tài)路由協(xié)議。 廣域網(wǎng)路由 一級(jí)骨干網(wǎng)采用 OSPF 或 BGP4 路由協(xié)議，以實(shí)現(xiàn)策略路由和線路的負(fù)載均衡或備份。省聯(lián)社數(shù)據(jù)中心、二級(jí)數(shù) 據(jù)中心使用匯總靜態(tài) null0路由把各自的路由發(fā)布到一級(jí)骨干網(wǎng)的路由中。 二級(jí)骨干網(wǎng)、各級(jí)匯聚網(wǎng)如果采用單路經(jīng)通信線路，可以按照實(shí)際情況使用靜態(tài)或動(dòng)態(tài)路由協(xié)議，如果采用多路經(jīng)通信線路則應(yīng)考慮使用 OSPF 等動(dòng)態(tài)路由協(xié)議，以實(shí)現(xiàn)線路的負(fù)載均衡或備份。 7 QoS 部署 廣域網(wǎng) QoS 一級(jí)骨干網(wǎng)、二級(jí)骨干網(wǎng)、各級(jí)匯聚網(wǎng)的邊界應(yīng)根據(jù)實(shí)際需要采用最新的 QoS 技術(shù)對(duì)廣域網(wǎng)的吞吐量、時(shí)延、時(shí)延抖動(dòng)、丟包率、網(wǎng)絡(luò)可靠性等進(jìn)行管理，以保證關(guān)鍵業(yè)務(wù)在低速線路上的網(wǎng)絡(luò)通信質(zhì)量。 在條件許可的情況下，一級(jí)骨干網(wǎng)、二級(jí)骨干網(wǎng)應(yīng)盡可能考慮通過(guò)提高物理線路的通信帶寬、由電信部門(mén)在傳輸系統(tǒng)上直接進(jìn)行通信帶寬控制等方法來(lái)提高 QoS。 局域網(wǎng) QoS 省聯(lián)社數(shù)據(jù)中心、二級(jí)數(shù)據(jù)中心、各級(jí)網(wǎng)絡(luò)匯聚點(diǎn)局域網(wǎng)內(nèi)的數(shù)據(jù)通信應(yīng)盡可能避免使用 QoS。局域網(wǎng)內(nèi)的數(shù)據(jù)通信主要通過(guò)提高網(wǎng)絡(luò)帶寬來(lái)滿足各類(lèi)業(yè)務(wù)對(duì) QoS 的需求。提高網(wǎng)絡(luò)帶寬的主要方法包括采用多條以太網(wǎng)鏈路聚合技術(shù)、采用 1000M或 10G以太網(wǎng)技術(shù)、采用更高性能的網(wǎng)絡(luò)設(shè)備等。 網(wǎng)絡(luò)流量分類(lèi)和標(biāo)記規(guī)則 省聯(lián)社數(shù)據(jù)中心、各二級(jí)數(shù)據(jù)中心可根據(jù)實(shí)際情況，采用源、目的 IP 地址，源、目的端口， VLAN，網(wǎng)絡(luò)物理接口，幀中繼DLCI、 DSCP 等對(duì)網(wǎng)絡(luò)流量進(jìn)行分類(lèi)，并采用統(tǒng)一的標(biāo)準(zhǔn)對(duì)分類(lèi)后的流量進(jìn)行標(biāo)記，再根據(jù)實(shí)際情況采用 WREQ、 CBWREQ、 LLQ 等技術(shù)對(duì)標(biāo)記后的網(wǎng)絡(luò)流量進(jìn)行排隊(duì)轉(zhuǎn)發(fā)。 為統(tǒng)一管理，實(shí)現(xiàn)端到端的 QoS 策略，統(tǒng)一使用如下的DSCP 值對(duì)不同的業(yè)務(wù)類(lèi)別進(jìn)行標(biāo)記： 業(yè)務(wù)類(lèi)別 業(yè)務(wù)種類(lèi) DSCP 業(yè)務(wù) 大額支付系統(tǒng)、小額支付系統(tǒng)、金融服務(wù)平臺(tái)、省通存 通兌，各地聯(lián)社的業(yè)務(wù)系統(tǒng) EF（ 46） 視頻 視頻會(huì)議 AF31（ 26） 管理信息 貸款五級(jí)分類(lèi)系統(tǒng)、結(jié)算帳戶管理系統(tǒng)、個(gè)人征信系統(tǒng)、企業(yè)征信系統(tǒng)、反洗錢(qián)監(jiān)測(cè)分析系統(tǒng)，各地聯(lián)社的 BI 系統(tǒng) AF21（ 18） OA OA系統(tǒng) AF11（ 10） 網(wǎng)絡(luò)設(shè)備 QoS 功能配置 省聯(lián)社數(shù)據(jù)中心、各二級(jí)數(shù)據(jù)中心在今后的網(wǎng)絡(luò)建設(shè)、網(wǎng)絡(luò)改造中，新購(gòu)置的路由器、交換機(jī)必須具備 QoS 功能，支持 DiffServ，支持 WREQ、 CBWREQ、 LLQ 等常見(jiàn)的隊(duì)列機(jī)制。 8 網(wǎng)絡(luò)管理 網(wǎng)絡(luò)監(jiān)控 省聯(lián)社數(shù)據(jù)中心、二級(jí)數(shù)據(jù)中心必須配置網(wǎng)絡(luò)監(jiān)控系統(tǒng)，配置的網(wǎng)絡(luò)監(jiān)控系統(tǒng)必須支持 SNMP 協(xié)議。 省聯(lián)社數(shù)據(jù)中心的網(wǎng)絡(luò)監(jiān)控系統(tǒng)負(fù)責(zé)省聯(lián)社數(shù)據(jù)中心、一級(jí)骨干網(wǎng)的網(wǎng)絡(luò)監(jiān)控，二級(jí)數(shù)據(jù)中心的網(wǎng)絡(luò)監(jiān)控系統(tǒng)負(fù)責(zé)二級(jí)數(shù)據(jù)中心、二級(jí)骨干網(wǎng)、各級(jí)網(wǎng)絡(luò)匯聚點(diǎn)、末端網(wǎng)點(diǎn)的監(jiān)控。 網(wǎng)絡(luò)監(jiān)控系統(tǒng)應(yīng)具有網(wǎng)絡(luò)拓?fù)涔芾砉δ?，能夠按照垂直分層、水平分區(qū)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)對(duì)所有網(wǎng)絡(luò)設(shè)備、主機(jī)和主要服務(wù)器進(jìn)行分層管理 。 網(wǎng)絡(luò)監(jiān)控系統(tǒng)應(yīng)具有對(duì)網(wǎng)絡(luò)設(shè)備和鏈路狀態(tài)的通斷狀況等網(wǎng)絡(luò)故障進(jìn)行自動(dòng)監(jiān)控、報(bào)警功能。 IP地址、路由表，接口流量等網(wǎng)絡(luò)參數(shù)的查詢功能。 網(wǎng)絡(luò)事件管理 省聯(lián)社數(shù)據(jù)中心、各二級(jí)數(shù)據(jù)中心應(yīng)根據(jù)實(shí)際情況建立集中的網(wǎng)絡(luò)事件或日志管理系統(tǒng)，實(shí)現(xiàn)對(duì)主要網(wǎng)絡(luò)設(shè)備產(chǎn)生的事件或日志的統(tǒng)一管理和查詢。 、有條件的二級(jí)數(shù)據(jù)中心應(yīng)建立統(tǒng)一的 NTP網(wǎng)絡(luò)時(shí)間服務(wù)器，以實(shí)現(xiàn)各網(wǎng)絡(luò)設(shè)備時(shí)間的同步。 網(wǎng)絡(luò)配置和變更管理 省聯(lián)社數(shù)據(jù)中心、二級(jí)數(shù)據(jù)中心應(yīng)根據(jù)實(shí)際情況，建立完善、可操作的所有網(wǎng)絡(luò)設(shè)備配置文件的備份、使用方案。 省聯(lián)社數(shù)據(jù)中心、二級(jí)數(shù)據(jù)中心應(yīng)根據(jù)實(shí)際情況，建立完善、可操作的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)配置的變更操作流程。 網(wǎng)絡(luò)性能管理 有條件的數(shù)據(jù)中心，可根據(jù)實(shí)際情況配置專(zhuān)用的網(wǎng)絡(luò)性能監(jiān)控軟件或 SNIFFER 軟件，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)性能和網(wǎng)絡(luò)故障更深入的監(jiān)控和分析。 9 網(wǎng)絡(luò)安全 數(shù)據(jù)中心網(wǎng)絡(luò)的安全 省聯(lián)社數(shù)據(jù)中心和二級(jí)數(shù)據(jù)中心應(yīng)根據(jù)業(yè)務(wù)需要?jiǎng)澐植煌?的 功能網(wǎng)絡(luò)區(qū)，同層次不同功能網(wǎng)絡(luò)區(qū)在網(wǎng)絡(luò)邊界上必須采用嚴(yán)格的安全控制措施，如配置防火墻、防病毒、 IPS 等。 省聯(lián)社數(shù)據(jù)中心和二級(jí)數(shù)據(jù)中心應(yīng)對(duì)防火墻、防病毒、 IPS等網(wǎng)絡(luò)安全設(shè)備建立完善、可操作的安全策略管理制度和變更操作流程。 INTERNET 接入的安全 除網(wǎng)上銀行服務(wù)器和 OA 的電子郵件服務(wù)器， INTERNET與業(yè)務(wù)網(wǎng)和 OA網(wǎng)絡(luò)等功能網(wǎng)絡(luò)區(qū)必須物理隔離。網(wǎng)上銀行服務(wù)器和OA電子郵件服務(wù)器與功能網(wǎng)絡(luò)區(qū)之間應(yīng)盡量使用不同品牌的防火墻實(shí)現(xiàn)多層安全控制，并在功能網(wǎng)絡(luò)區(qū)的邊界設(shè) 置 IDS、 IPS 等網(wǎng)絡(luò)安全設(shè)備。 INTERNET 上網(wǎng)系統(tǒng)必須使用獨(dú)立的網(wǎng)絡(luò)系統(tǒng)。 外聯(lián)區(qū)接入的安全 省聯(lián)社數(shù)據(jù)中心和各二級(jí)數(shù)據(jù)中心的外聯(lián)區(qū)入口必須配置防火墻等安全設(shè)備，外聯(lián)區(qū)的接入路由器必須配置嚴(yán)格的訪問(wèn)控制策略，保證接入單位只能訪問(wèn)到允許訪問(wèn)的網(wǎng)段，而不能隨意訪問(wèn)其它接入單位的網(wǎng)段。 無(wú)線接入的安全 省聯(lián)社數(shù)據(jù)中心和各二級(jí)數(shù)據(jù)中心必須建立嚴(yán)格的無(wú)線網(wǎng)絡(luò)接入管理制度，建立獨(dú)立的無(wú)線接入網(wǎng)絡(luò)區(qū)，禁止無(wú)線接入網(wǎng)絡(luò)區(qū)對(duì)業(yè)務(wù)網(wǎng)、各級(jí)骨干網(wǎng)、各級(jí)匯聚網(wǎng)的訪問(wèn)， 嚴(yán)格控制無(wú)線接入網(wǎng)絡(luò)區(qū)對(duì)數(shù)據(jù)中心其它功能網(wǎng)絡(luò)區(qū)的訪問(wèn)。 撥號(hào)備份網(wǎng)絡(luò)的安全 撥號(hào)備份網(wǎng)絡(luò)必須采用嚴(yán)格的身份論證措施和訪問(wèn)控制策略，確保業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)的安全。 網(wǎng)絡(luò)設(shè)備安全 網(wǎng)絡(luò)設(shè)備必須設(shè)置兩級(jí)或兩級(jí)以上的用戶級(jí)別，不同級(jí)別的用戶密碼不能相同，網(wǎng)絡(luò)設(shè)備的配置文件中不能出現(xiàn)用戶密碼的明文。 有條件的數(shù)據(jù)中心可配置網(wǎng)絡(luò)設(shè)備的用戶、密碼和權(quán)限的AAA認(rèn)證中心，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備用戶、密碼的集中管理。 。