銀行視頻監(jiān)控專網(wǎng)應(yīng)該如何設(shè)計

銀行業(yè)作為國家現(xiàn)代經(jīng)濟(jì)運(yùn)行的核心，安全問題一直是十分重要而嚴(yán)峻的課題。較之于傳統(tǒng)的安全保衛(wèi)工作，新形勢下的銀行安全防范的范圍不斷擴(kuò)大，由過去的保衛(wèi)對象現(xiàn)金轉(zhuǎn)向信貸、國際業(yè)務(wù)、銀行卡、電子渠道等新的貨幣形式的“大安全”管理，銀行業(yè)安全保衛(wèi)和案件防范面臨很大的壓力和嚴(yán)峻的考驗，值得引起銀行管理者對新形勢下安防管理模式的思考。以下是蘇輝貴的《省級銀行安全監(jiān)控專網(wǎng)的設(shè)計與實現(xiàn)》。

網(wǎng)絡(luò)建設(shè)是信息化建設(shè)的基礎(chǔ)，快速、安全、高效的網(wǎng)絡(luò)能為信息化應(yīng)用提供有力的支撐和服務(wù)。近年來，信息金融事業(yè)飛速發(fā)展，支付系統(tǒng)、貨幣金銀系統(tǒng)、征信系統(tǒng)、國家金庫信息處理系統(tǒng)要求承載網(wǎng)絡(luò)具備實時性、安全性、高可靠性、高穩(wěn)定性、高響應(yīng)性等一系列性能指標(biāo)。與此同時，遠(yuǎn)程培訓(xùn)系統(tǒng)、視頻會議系統(tǒng)、安防視頻監(jiān)控系統(tǒng)等流媒體數(shù)據(jù)系統(tǒng)的相繼應(yīng)用發(fā)展，對網(wǎng)絡(luò)帶寬與網(wǎng)絡(luò)設(shè)備處理能力提出了更高的要求。

目前筆者所在單位現(xiàn)有的業(yè)務(wù)網(wǎng)分為骨干網(wǎng)和省域網(wǎng)兩個層次。骨干網(wǎng)以總行——省會省級行兩級構(gòu)架方式組網(wǎng)，省會省級行分別以電信、聯(lián)通的10M ATM廣域網(wǎng)電路上聯(lián)總行。省域網(wǎng)以省會省級行——市級行——縣級行三級構(gòu)架方式組網(wǎng)，采取省域自治系統(tǒng)方式整體接入骨干網(wǎng);其中，省會省級行與市級行分別以電信、聯(lián)通的4M ATM電路互聯(lián)互備，市級行與網(wǎng)絡(luò)末梢節(jié)點的縣級行分別以電信、聯(lián)通的2M ATM電路互聯(lián)互備。

當(dāng)前承載監(jiān)控視頻數(shù)據(jù)的銀行業(yè)務(wù)網(wǎng)同時也是銀行內(nèi)部信息的傳輸通道，這幾年網(wǎng)絡(luò)高清攝像機(jī)的普及導(dǎo)致監(jiān)控視頻數(shù)據(jù)需要占用大量帶寬，對其他重要應(yīng)用造成了一定影響,同時也制約了安全業(yè)務(wù)的發(fā)展。安全監(jiān)控系統(tǒng)使用業(yè)務(wù)網(wǎng)存在的問題主要有：

一是網(wǎng)絡(luò)帶寬達(dá)不到視頻傳輸?shù)囊?。目?路H.265 編碼的1080p視頻需要2M的碼率，現(xiàn)有的網(wǎng)絡(luò)帶寬無法滿足高清視頻監(jiān)控系統(tǒng)視頻聯(lián)網(wǎng)的要求，從而造成監(jiān)控系統(tǒng)視頻無法正常連接的情況出現(xiàn)。

二是IP地址數(shù)量無法滿足網(wǎng)絡(luò)高清監(jiān)控系統(tǒng)建設(shè)需求?，F(xiàn)有的網(wǎng)絡(luò)IP地址規(guī)劃時，只考慮到電腦、服務(wù)器等電子設(shè)備的配備數(shù)量，未考慮網(wǎng)絡(luò)監(jiān)控設(shè)備的數(shù)量，IP地址的數(shù)量受限，而網(wǎng)絡(luò)安全等級保護(hù)的要求又禁止監(jiān)控設(shè)備使用地址轉(zhuǎn)換等技術(shù)使用私有IP地址，從而造成網(wǎng)絡(luò)高清設(shè)備IP地址不夠用的情況。

針對目前存在的這些問題，同時為了加強(qiáng)不同業(yè)務(wù)網(wǎng)絡(luò)間的安全隔離，避免不同業(yè)務(wù)流之間的相互影響，適應(yīng)視頻監(jiān)控數(shù)據(jù)傳輸?shù)奶攸c和要求，建設(shè)銀行安全保衛(wèi)監(jiān)控專網(wǎng)勢在必行。

安全保衛(wèi)專網(wǎng)的建設(shè)，應(yīng)該考慮到網(wǎng)絡(luò)的擴(kuò)展性、可靠性、安全性,以及運(yùn)行的監(jiān)控、視頻各類業(yè)務(wù)應(yīng)用對網(wǎng)絡(luò)實時性、帶寬需求、接入方式、安全性、數(shù)據(jù)分布特征等方面的需求。按照業(yè)務(wù)需要，統(tǒng)一全網(wǎng)的安全控制措施和安全監(jiān)測手段;集中網(wǎng)絡(luò)管理，實施分級維護(hù);進(jìn)一步規(guī)范IP地址的應(yīng)用，積極開展網(wǎng)絡(luò)綜合應(yīng)用?？偟膩碚f專網(wǎng)建設(shè)應(yīng)達(dá)到以下目標(biāo)：

綜合性：為多種業(yè)務(wù)應(yīng)用與信息網(wǎng)絡(luò)提供統(tǒng)一的綜合業(yè)務(wù)傳送平臺。

支持QOS：能根據(jù)業(yè)務(wù)的要求提供不同等級的服務(wù)并保證服務(wù)質(zhì)量，提供資源預(yù)留、擁塞控制、報文分類、流量整形等強(qiáng)大的IP QOS功能。

高可靠性：具有很高的容錯能力，具有抵御外界環(huán)境和人為操作失誤的能力，保證任何單點故障都不影響整個網(wǎng)絡(luò)的正常運(yùn)作。

高性能：在高負(fù)荷情況下仍然具有較高的吞吐能力和效率，延遲低。安全性:具有保證系統(tǒng)安全，防止系統(tǒng)被人為破壞的能力。支持AAA功能、ACL、IPSEC、NAT、ISPkeeper、路由驗證、CHAP、PAP、CA、MD5、DES、3DES、日志等安全功能以及MPLS VPN。

擴(kuò)展性：易于增加新設(shè)備、新用戶，易于和各種公用網(wǎng)絡(luò)連接，隨系統(tǒng)應(yīng)用的逐步成熟不斷延伸和擴(kuò)充，充分保護(hù)現(xiàn)有投資利益。開放性：符合開放性規(guī)范，方便接入不同廠商的設(shè)備和網(wǎng)絡(luò)產(chǎn)品。標(biāo)準(zhǔn)化：通訊協(xié)議和接口符合國際標(biāo)準(zhǔn)。

針對筆者所在單位目前的網(wǎng)絡(luò)現(xiàn)狀，在現(xiàn)有業(yè)務(wù)網(wǎng)結(jié)構(gòu)不變的前提下，需要設(shè)計一套安全監(jiān)控專網(wǎng)，并能實現(xiàn)總行通過業(yè)務(wù)網(wǎng)調(diào)用安全監(jiān)控專網(wǎng)的視頻服務(wù)器與接入服務(wù)器。全省各分支機(jī)構(gòu)通過租用線路運(yùn)營商的廣域網(wǎng)專線實現(xiàn)全省安全監(jiān)控專網(wǎng)的互聯(lián)互通，省內(nèi)各分支機(jī)構(gòu)視頻監(jiān)控服務(wù)器的數(shù)據(jù)流通過安全監(jiān)控專網(wǎng)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。省內(nèi)各分支機(jī)構(gòu)訪問本地視頻監(jiān)控管理服務(wù)器的流量通過本地監(jiān)控專網(wǎng)的局域網(wǎng)進(jìn)行訪問。

具體來看，需要在省會省級行、省內(nèi)各市級行各部署兩臺三層交換機(jī)，其視頻監(jiān)控服務(wù)器、監(jiān)控攝像頭及硬盤錄像機(jī)等監(jiān)控所需的設(shè)備均通過接入交換機(jī)連接至對應(yīng)的三層交換機(jī)上，省會省級行、省內(nèi)各市級行租用不同運(yùn)營商的兩條廣域網(wǎng)線路，通過廣域網(wǎng)線路實現(xiàn)省級行交換機(jī)和市級行交換機(jī)的互聯(lián)。各縣級行則部署一臺二層交換機(jī)僅作為監(jiān)控設(shè)備的接入，以減少后期的網(wǎng)絡(luò)維護(hù)工作量，縣市支行網(wǎng)絡(luò)管理維護(hù)通過所在市級行的三層交換機(jī)完成。市級行及縣級行租用不同運(yùn)營商的兩條廣域網(wǎng)線路。

在省級行業(yè)務(wù)網(wǎng)和監(jiān)控專網(wǎng)之間部署一套防火墻設(shè)備，防火墻采用靜態(tài)路由;安全監(jiān)控專網(wǎng)規(guī)劃單獨的IP地址段(如：188.16.0.0/16)，通過防火墻的源IP地址和目的IP地址雙向轉(zhuǎn)換，實現(xiàn)業(yè)務(wù)網(wǎng)到監(jiān)控網(wǎng)的訪問，且業(yè)務(wù)網(wǎng)的路由表中不出現(xiàn)監(jiān)控網(wǎng)的IP地址段路由，通過訪問控制實現(xiàn)指定授權(quán)的IP訪問視頻管理設(shè)備。各級單位的三層交換機(jī)互聯(lián)采用IP互聯(lián)，并采用OSPF協(xié)議，將相關(guān)網(wǎng)段宣告到OSPF網(wǎng)絡(luò)中實現(xiàn)路由的互通。

安全專網(wǎng)拓?fù)鋱D

江西省人民銀行系統(tǒng)轄內(nèi)共有1個省會中心支行，10個地市中心支行，79個縣級行，共計90個單位，需建設(shè)安全專網(wǎng)將所有單位安全監(jiān)控系統(tǒng)進(jìn)行聯(lián)網(wǎng)。

1.廣域網(wǎng)線路實現(xiàn)

根據(jù)各級行的數(shù)據(jù)傳輸量，廣域網(wǎng)線路選擇租用業(yè)內(nèi)技術(shù)成熟且費(fèi)用較為實惠的MSTP線路，考慮到視頻監(jiān)控需要占用大量帶寬資源，省級行到各市級行的廣域網(wǎng)線路的帶寬為20M，各市級行到縣級行的廣域網(wǎng)帶寬為10M。

2.設(shè)備互聯(lián)實現(xiàn)

省級行和各市級行互聯(lián)接口均采用千兆光以太電口(SFP)，省級行三層交換機(jī)端口實現(xiàn)線路運(yùn)營商專線接入的接口匯聚，省級行端采用以太端口并將端口設(shè)置為trunk模式，在省級行交換機(jī)上創(chuàng)建多個VLAN，每個VLAN對應(yīng)一個地市級行，并在interface Vlan XXX上分配掩碼為30位的IP地址，實現(xiàn)省級行到各市級行的IP層面的互聯(lián)互通。省級行兩臺交換機(jī)使用虛擬化IRF技術(shù)增加網(wǎng)絡(luò)的可靠性與性能。

各市級行端與縣級行互聯(lián)的端口設(shè)置為trunk，在各市級行端交換機(jī)的interface Vlan XXX下配置IP地址作為縣級行的監(jiān)控攝像頭、硬盤錄像機(jī)的網(wǎng)關(guān)地址?？h級行的交換機(jī)則為二層接入設(shè)備，用于連接監(jiān)控相關(guān)設(shè)備。市級行兩臺交換機(jī)使用虛擬化IRF技術(shù)增加網(wǎng)絡(luò)的可靠性與性能。

省級行防火墻采用路由模式，用于邏輯隔離業(yè)務(wù)網(wǎng)與監(jiān)控專網(wǎng)，防火墻外網(wǎng)接口用于連接安全監(jiān)控專網(wǎng)的三層交換機(jī)，內(nèi)網(wǎng)接口用于連接省級行業(yè)務(wù)網(wǎng)的核心交換機(jī)設(shè)備。

3.VLAN設(shè)計

4.IP地址規(guī)劃

5.路由設(shè)計

省級行與各市級行的三層交換機(jī)采用三層互聯(lián)，網(wǎng)絡(luò)采用OSPF協(xié)議，使用單區(qū)域設(shè)計，將全網(wǎng)地址以network的方式宣告到網(wǎng)絡(luò)中。

省級行業(yè)務(wù)網(wǎng)及監(jiān)控專網(wǎng)的三層交換機(jī)與防火墻的互聯(lián)線路采用三層互聯(lián)，在交換機(jī)上通過靜態(tài)的主機(jī)路由將下一跳指向防火墻設(shè)備，并將靜態(tài)路由引入到OSPF中。

6.防火墻設(shè)計

為確保業(yè)務(wù)網(wǎng)絡(luò)安全，監(jiān)控專網(wǎng)和業(yè)務(wù)網(wǎng)絡(luò)路由不做雙向引入，在防火墻上采用路由模式，并通過對數(shù)據(jù)報文的源地址、目的地址做NAT轉(zhuǎn)換，再配合訪問控制、主機(jī)路由等方式，保障網(wǎng)絡(luò)的安全。