一、项目背景：

随着中国进出口银行业务发展的需要、提高中国进出口银行的IT服务水平，为有效确保中国进出口银行安全生产，中国进出口银行需要新建数据中心和灾备中心，通过IT基础设施的投入，提升整体运营服务水平，提升中国进出口银行新建数据中心和灾备中心的网络安全防护能力，从而进一步提高运营服务品质，引入先进的产品、技术。

二、解决方案:

中国进出口银行新建数据中心和灾备中心网络边界尚未采取安全防护措施、需对中国进出口银行新建数据中心和灾备中心网络边界进行安全防护建设，为中国进出口银行新建数据中心和灾备中心网络边界构建安全屏障，为此，加强对DDOS攻击、非法访问、网络入侵行为、APT攻击、木马、病毒入侵防御能力，易遭受网络入侵、木马、病毒入侵等安全威胁。

中国进出口总行现有数据中心为北河沿数据中心，为整个进出口银行的核心网络数据中心，负责连接全国分行、海外分行及其他外联单位，总计有4套物理隔离的网络，相互之间不能够访问，分别是：

内网：承载全行生产业务。

外网：提供全行的办公网络及internet服务。

测试网：提供全部业务开发测试阶段的基础测试环境。

准生产网：模拟应用系统正式投产上线的网络环境，满足应用系统业务测试阶段的网络需求。从而为应用系统正式上线提供技术保障基础。

本次数据中心规划、分别连接在主备数据中心，内网采用同城双中心的设计方式，备份链路连接在灾备中心，两中心之间使用DWDM设备实现核心交换及部分区域的互联，所有外部单位（外联出口、网银出口、互联网出口、上海银联）提供多条接入链路，分支机构（海外分行、国内分行、凯晨办公区、北河沿机房）均主线连接在主数据中心，同时规划新建主数据中心及同城灾备中心，通过路由策略进行控制。新办公区、长安兴荣办公区均双线连接在凯晨办公区下共同组成办公区，凯晨办公区通过DWDM分别连接在主备主备数据中心上。总行服务器区域与灾备服务器区域进行二层打通。

外网、带外专网、开发测试网、准生产网暂时不考虑灾备中心设计。

由于应用访问安全的要求、数据中心内需要划分多个分区，在分区划分时充分考虑实现逻辑分区和物理分区之间的松耦合。依据应用系统的要求，数据中心网络逻辑分区划分考虑如下原则：

Ø  不同安全等级的网络分区划属不同的逻辑分区；

Ø  不同功能的网络分区划属不同的逻辑分区；

Ø  承载不同应用架构的网络分区划属不同的逻辑分区；

Ø  分区总量不宜过多，各分区之间松耦合；