银行视频监控专网应该如何设计
扫描二维码
随时随地手机看文章
银行业作为国家现代经济运行的核心,安全问题一直是十分重要而严峻的课题。较之于传统的安全保卫工作,新形势下的银行安全防范的范围不断扩大,由过去的保卫对象现金转向信贷、国际业务、银行卡、电子渠道等新的货币形式的“大安全”管理,银行业安全保卫和案件防范面临很大的压力和严峻的考验,值得引起银行管理者对新形势下安防管理模式的思考。以下是苏辉贵的《省级银行安全监控专网的设计与实现》。
一、网络现状及存在的问题
网络建设是信息化建设的基础,快速、安全、高效的网络能为信息化应用提供有力的支撑和服务。近年来,信息金融事业飞速发展,支付系统、货币金银系统、征信系统、国家金库信息处理系统要求承载网络具备实时性、安全性、高可靠性、高稳定性、高响应性等一系列性能指标。与此同时,远程培训系统、视频会议系统、安防视频监控系统等流媒体数据系统的相继应用发展,对网络带宽与网络设备处理能力提出了更高的要求。
目前笔者所在单位现有的业务网分为骨干网和省域网两个层次。骨干网以总行——省会省级行两级构架方式组网,省会省级行分别以电信、联通的10M ATM广域网电路上联总行。省域网以省会省级行——市级行——县级行三级构架方式组网,采取省域自治系统方式整体接入骨干网;其中,省会省级行与市级行分别以电信、联通的4M ATM电路互联互备,市级行与网络末梢节点的县级行分别以电信、联通的2M ATM电路互联互备。
当前承载监控视频数据的银行业务网同时也是银行内部信息的传输通道,这几年网络高清摄像机的普及导致监控视频数据需要占用大量带宽,对其他重要应用造成了一定影响,同时也制约了安全业务的发展。安全监控系统使用业务网存在的问题主要有:
一是网络带宽达不到视频传输的要求。目前1路H.265 编码的1080p视频需要2M的码率,现有的网络带宽无法满足高清视频监控系统视频联网的要求,从而造成监控系统视频无法正常连接的情况出现。
二是IP地址数量无法满足网络高清监控系统建设需求。现有的网络IP地址规划时,只考虑到电脑、服务器等电子设备的配备数量,未考虑网络监控设备的数量,IP地址的数量受限,而网络安全等级保护的要求又禁止监控设备使用地址转换等技术使用私有IP地址,从而造成网络高清设备IP地址不够用的情况。
针对目前存在的这些问题,同时为了加强不同业务网络间的安全隔离,避免不同业务流之间的相互影响,适应视频监控数据传输的特点和要求,建设银行安全保卫监控专网势在必行。
二、建设目标安全保卫专网的建设,应该考虑到网络的扩展性、可靠性、安全性,以及运行的监控、视频各类业务应用对网络实时性、带宽需求、接入方式、安全性、数据分布特征等方面的需求。按照业务需要,统一全网的安全控制措施和安全监测手段;集中网络管理,实施分级维护;进一步规范IP地址的应用,积极开展网络综合应用。总的来说专网建设应达到以下目标:
综合性:为多种业务应用与信息网络提供统一的综合业务传送平台。
支持QOS:能根据业务的要求提供不同等级的服务并保证服务质量,提供资源预留、拥塞控制、报文分类、流量整形等强大的IP QOS功能。
高可靠性:具有很高的容错能力,具有抵御外界环境和人为操作失误的能力,保证任何单点故障都不影响整个网络的正常运作。
高性能:在高负荷情况下仍然具有较高的吞吐能力和效率,延迟低。安全性:具有保证系统安全,防止系统被人为破坏的能力。支持AAA功能、ACL、IPSEC、NAT、ISPkeeper、路由验证、CHAP、PAP、CA、MD5、DES、3DES、日志等安全功能以及MPLS VPN。
扩展性:易于增加新设备、新用户,易于和各种公用网络连接,随系统应用的逐步成熟不断延伸和扩充,充分保护现有投资利益。开放性:符合开放性规范,方便接入不同厂商的设备和网络产品。标准化:通讯协议和接口符合国际标准。
三、视频监控专网的应用设计针对笔者所在单位目前的网络现状,在现有业务网结构不变的前提下,需要设计一套安全监控专网,并能实现总行通过业务网调用安全监控专网的视频服务器与接入服务器。全省各分支机构通过租用线路运营商的广域网专线实现全省安全监控专网的互联互通,省内各分支机构视频监控服务器的数据流通过安全监控专网进行数据转发。省内各分支机构访问本地视频监控管理服务器的流量通过本地监控专网的局域网进行访问。
具体来看,需要在省会省级行、省内各市级行各部署两台三层交换机,其视频监控服务器、监控摄像头及硬盘录像机等监控所需的设备均通过接入交换机连接至对应的三层交换机上,省会省级行、省内各市级行租用不同运营商的两条广域网线路,通过广域网线路实现省级行交换机和市级行交换机的互联。各县级行则部署一台二层交换机仅作为监控设备的接入,以减少后期的网络维护工作量,县市支行网络管理维护通过所在市级行的三层交换机完成。市级行及县级行租用不同运营商的两条广域网线路。
在省级行业务网和监控专网之间部署一套防火墙设备,防火墙采用静态路由;安全监控专网规划单独的IP地址段(如:188.16.0.0/16),通过防火墙的源IP地址和目的IP地址双向转换,实现业务网到监控网的访问,且业务网的路由表中不出现监控网的IP地址段路由,通过访问控制实现指定授权的IP访问视频管理设备。各级单位的三层交换机互联采用IP互联,并采用OSPF协议,将相关网段宣告到OSPF网络中实现路由的互通。
安全专网拓扑图
四、项目实现江西省人民银行系统辖内共有1个省会中心支行,10个地市中心支行,79个县级行,共计90个单位,需建设安全专网将所有单位安全监控系统进行联网。
1.广域网线路实现
根据各级行的数据传输量,广域网线路选择租用业内技术成熟且费用较为实惠的MSTP线路,考虑到视频监控需要占用大量带宽资源,省级行到各市级行的广域网线路的带宽为20M,各市级行到县级行的广域网带宽为10M。
2.设备互联实现
省级行和各市级行互联接口均采用千兆光以太电口(SFP),省级行三层交换机端口实现线路运营商专线接入的接口汇聚,省级行端采用以太端口并将端口设置为trunk模式,在省级行交换机上创建多个VLAN,每个VLAN对应一个地市级行,并在interface Vlan XXX上分配掩码为30位的IP地址,实现省级行到各市级行的IP层面的互联互通。省级行两台交换机使用虚拟化IRF技术增加网络的可靠性与性能。
各市级行端与县级行互联的端口设置为trunk,在各市级行端交换机的interface Vlan XXX下配置IP地址作为县级行的监控摄像头、硬盘录像机的网关地址。县级行的交换机则为二层接入设备,用于连接监控相关设备。市级行两台交换机使用虚拟化IRF技术增加网络的可靠性与性能。
省级行防火墙采用路由模式,用于逻辑隔离业务网与监控专网,防火墙外网接口用于连接安全监控专网的三层交换机,内网接口用于连接省级行业务网的核心交换机设备。
3.VLAN设计
4.IP地址规划
5.路由设计
省级行与各市级行的三层交换机采用三层互联,网络采用OSPF协议,使用单区域设计,将全网地址以network的方式宣告到网络中。
省级行业务网及监控专网的三层交换机与防火墙的互联线路采用三层互联,在交换机上通过静态的主机路由将下一跳指向防火墙设备,并将静态路由引入到OSPF中。
6.防火墙设计
为确保业务网络安全,监控专网和业务网络路由不做双向引入,在防火墙上采用路由模式,并通过对数据报文的源地址、目的地址做NAT转换,再配合访问控制、主机路由等方式,保障网络的安全。