JR/T 0224-2021 标准规范下载简介
JR/T 0224-2021 保险行业网络建设基本规范.pdf简介:
JR/T 0224-2021是中国保险行业协会发布的关于保险行业网络建设的基本规范,全称为《保险行业网络建设基本规范》。这个规范主要针对保险行业的网络技术应用和网络基础设施建设,为保险公司和相关机构提供了一套指导性的技术标准和管理要求。
该规范旨在推动保险行业的数字化转型,提升保险服务的效率和质量。它涵盖了网络架构设计、网络安全防护、数据管理、系统运维、服务接口规范等多个方面,强调了网络安全、数据安全和隐私保护的重要性,要求保险机构建立符合行业特点和监管要求的网络基础设施,保障业务的稳定运行和客户信息安全。
具体内容包括但不限于:网络基础设施建设要求,如网络架构、网络性能、数据备份与恢复机制等;网络安全策略和措施,如防火墙、入侵检测、数据加密等;网络服务和应用的管理,如服务可用性、服务响应时间、服务容错性等;以及信息系统的安全管理,如用户权限管理、安全审计、应急响应计划等。
总的来说,JR/T 0224-2021是保险公司进行网络建设和数字化转型的重要参考标准,有助于提升整个行业的技术规范和管理水平。
JR/T 0224-2021 保险行业网络建设基本规范.pdf部分内容预览:
本文件提供了保险公司数据中心及分支机构网络建设的指导, 本文件适用于保险业网络的建设与管理
JR/T02242021
DB2102T 0029-2021 园林植物修剪技术规程.pdf保险行业网络建设基本规范
下列符号和缩略语适用于本文件。
下列符号和缩略语适用于本文件。
JR/T02242021
JR/T02242021
4.1数据中心网络建设原则
遵循企业基本要求,结合公司投资、IT业务、规模等的基本要求,同时借鉴行业最佳实践, 建立结构完整、体系统一的网络架构; 6 遵循数据中心建设规范,采用较成熟的网络技术,提高网络的可靠性和可用性: 可用性,网络架构需满足业务系统不间断、高质量的访问和灾难备份需求; d 可扩展性,网络架构在功能、性能容量、覆盖能力等各方面具有易扩展能力,可适应业务的 快速发展对基础架构的要求; e 安全性,根据信任程度、受威胁的级别、需要保护的级别和安全需求,划分安全域,部署安 全设备,实现网络安全,以保证信息的私密性、完整性和可用性; 先进性、持续演进能力,网络架构和网络设备采用先进的设计理念和技术,如设备的C1os架 构与信元交换、网络的大二层VXLAN、SDN可编程、虚拟网络等架构: 可管理性,网络管理要以保险公司生产运行管理体系为指导,建立符合精细化、自动化、智 能化等管理要求的一体化管理体系: h 绿色智能,网络架构要符“高效率、高整合、低能耗、低占空、前瞻性”的绿色智能基础架 构发展趋势。
4.2数据中心安全域和业务划分原则
4.2.1安全域划分原则
a)业务保障原则安全域划分的根本目标是能更好地保障网络上承载的业务。在保证安全的同时, 还要保障业务的正常运行和运行效率; 结构简化原则安全域划分的直接目的和效果是要将整个网络变得更加简单,简单的网络结构 更便于设计防护体系; C 分等级保护原则:安全域的划分要做到每个安全域内的信息资产价值相近,具有相同的安全等 级、安全环境、安全策略等。 网络安全域可分为接入域和服务域,可参考如下划分
JR/T02242021
接入域,根据接入方式的不同可分为分支接入域、外部接入域和终端接入域三个部分。 服务域,主要指部署在数据中心的应用系统和数据库等计算环境资源,结合公司业务特点和所面临 的安全威胁,可进一步细分为对内安全域和对外安全域,对内安全域主要由为总分机构服务的系统组成 时外安全域主要是对互联网接入提供服务的系统。 根据物理位置的不同,如多个数据中心,多个办公物理位置,根据业务需求可建立多个服务域与接 入域的三级子域,也可根据不同的等保要求,进行三级子区域的调整 4.2.2业务分区原则 依据应用访问安全的要求,安全域内可划分多个分区,可参考如下原则: a)不同安全等级的网络分区划属不同的逻辑分区; b 不同功能的网络分区划属不同的逻辑分区; c) 承载不同应用架构的网络分区划属不同的逻辑分区; d)分区总量不宜过多,各分区之间松耦合。 为了提高资源利用率,在保证业务安全性和可用性的前提下,在分区划分时应充分考虑实现逻辑分 区和物理分区之间的松耦合,实现业务部属的灵活性。
4.4数据中心网络结构
4.4.1数据中心网络逻辑架构
JR/T02242021
按照数据中心安全域划分原则,数据中心逻辑架构包含如下几个功能区域,分别是交换核心区、生 产业务区、开发测试区、外联业务区、互联网业务区、广域网互联区和ECC管理区。交换核心区连接各 个局域网分区,作分区间互访核心。
4.4.2数据中心网络物理架构
图1数据中心逻辑架构图
4.4.2数据中心网络物理架构 根据实际业务情况,灵活部署网络架构,数据中心可按需划分不同区域。各区域的物理架构应 下物理架构元素,若存在功能使用需求, 建设时可采用比此要求更安全、更健壮、更解耦的方式
JR/T02242021
4. 4.3交换核心区
图2数据中心物理架构示意图
交换核心区是整个数据中心网络互访核心。设备部署方式包括如下三种方式: 虚拟化集群部署 两台设备看成一台逻辑交换机系统,可通过一个IP地址进行管理,交换机间可实现负载分担和容 错。
JR/T02242021
图3交换核心区部署方式一示意图
一独立部署 汇聚和核心之间采用等价路由的方式实现负载负担。
图4交换核心区部署方式二示意图
JR/T02242021
图5交换核心区部署方式三示意图
生产业务区用于部署生产交易相关的业务系统,区域可部署为较为成熟的网络三层架构,如下图:
图6生产业务区网络架构图
4. 4. 5 开发测试区
开发测试区是数据中心用于承载企业业务研发、生产测试、技术应用测试的需求环境。 开发测试区应与生产业务区域进行隔离。
JR/T02242021
开发测试区域可与生产业务区设计保持一致,也可在不影响现生产业务区的所有业务基础上,应用 新技术,协助生产业务区新型业务上线或技术升级转型。
4.4.6外联业务区
图7外联业务区网络架构图
外联业务区是数据中心对外连接的区域,实现同第三方单位的业务互通。 该区属于非可信网络区,不应直接与内部生产业务区域连接。访问权限应限制在本区域内部,内网 访问应严格控制。可根据实际业务的需要,选择是否部署DMZ区。 外联业务区应部署相应的安全设备,例如:VPN设备、防火墙、入侵检测/防御、DDoS设备等,且 应穴余部署。网络安全设备可部署为负载分担的模式或主备的模式,防火墙设备宜采用串行部署方式。 447万联网业务区
JR/T02242021
图8互联网业务区网络架构图
互联网业务区用于部署对外门户网站等需要互联网直接访问的系统。 互联网业务区应部署DMZ区域,需要对互联网提供的对外业务,部署在DMZ区。 为了保证互联网业务区的安全,应部署高安全性、高可靠性,更高级别的安全设备,例如高级别 防火墙、高级别入侵检测/防御、高级别DDoS设备、VPN设备、WAF、APT防护等。所有设备应穴余部署, 相关安全设备可采用串行部署方式或旁挂部署方式,负载模式可采用主备方式或负载分担方式。 数据中心多ISP接入互联网时,可采用负载均衡设备(LB)实现出入流量的负载均衡。 448广城网万联区
JR/T02242021
图9广域网互联区网络架构图
广域网互联区是多数据中心互联时、数据中心与分支机构互联时的互联区域。 在广域网互联区的网络中,根据业务需要,选择广域链路的部署方式和类型。多数据中心互联时, 应采用线路穴余部署、路由及设备的余备份;对于多分支机构互联,应采用多出口线路备份,并在出 口根据需要采用路由备份、负载均衡;对于分支机构的接入方式,根据业务需要选择不同的接入方式, 例如:专网方式、MPLSVPN方式、公网方式等。 在数据中心的网络边界可部署安全设备,分支机构可根据各自规模和重要性在各区域边界部署安全 设备。 可在广域链路边界部署QoS,以保证业务的服务质量。 4. 4.9ECC管理区
JR/T02242021
图10ECC管理区网络架构图
署方式或旁挂部署方式。 4.4.10数据中心内网络带宽 数据中心中的流量模型多为“东西流量”,业务流量密集,数据中心内网络带宽应为未来业务扩展 做好预留,网络带宽应具备平滑演进扩展的能力。例如:支持10G、40G、100G带宽,以致未来更大带 宽的平滑升级。 4.5多数据中心互联结构 4.5.1多数据中心的必要性 根据实际业务的特点和需要,保险公司可选择由单数据中心、同城/异地灾备数据中心模式逐渐向 两地三中心、多中心的模式过渡, 业务可根据对灾备和网络的传输需求,选择在不同数据中心进行部署。对网络延退敏感、网络带宽 要求较大的业务,可采用同城数据中心模式实现业务多活和分布式部署,同时异地灾备数据中心满足业 务的异地灾备需求。 4.5.2多数据中心的建设方式
4.5多数据中心互联结构
4.5.1多数据中心的必要性 根据实际业务的特点和需要,保险公司可选择由单数据中心、同城/异地灾备数据中心模式逐渐向 两地三中心、多中心的模式过渡, 业务可根据对灾备和网络的传输需求,选择在不同数据中心进行部署。对网络延迟敏感、网络带宽 要求较大的业务,可采用同城数据中心模式实现业务多活和分布式部署,同时异地灾备数据中心满足业 务的异地灾备需求。 4.5.2多数据中心的建设方式
4.5.2多数据中心的建设方式
a)同城数据中心建设 同城数据中心可选择在同城200km(运营商提供光纤的距离)范围内建立,一般采用专线或者 设备互联,支持业务的双活和数据的实时复制
JT∕T 1238-2019 半柔性混合料用水泥基灌浆材料JR/T02242021
b)异地数据中心建设 异地数据中心建设考虑到不可抗拒的自然灾害(如地震)对地区城市的毁灭性破坏,可在另外一个 距离大于400km的城市建立灾备中心,用于生产中心的备份。在灾难发生时,可满足信息系统的最低灾 维恢复能力等级要求。 c)多数据中心网络架构 多数据中心网络架构示意图如下:
4.5.3多数据中心的互联方式
图11多数据中心网络架构示意图
a)同城数据中心互联方式 同城数据中心间互联可采用裸光纤,构建OTN网络,实现数据中心间的二三层互通。裸光纤部署简 单,互联链路带宽大,通信时延小,在扩展性和可靠性方面较优,适用于需要业务质量要求高,多个数 据中心业务双活的应用场景。 同城数据申心间互联也可根据实际业务需求,向运营商租用专线,进行专线互联 b)异地数据中心互联方式 异地数据申心之间可通过自建或租用网络方式进行。IP/MPLS骨干网进行互联,也可通过租用运营 商VPLS服务实现。自建网络需要企业进行网络建设和运维,而租用运营商的VPLS服务,运营商可为企 业提供接入端口和互联,以及运维服务。 异地数据中心间互联也可根据实际业务需求,如对网络时延和带宽等性能要求较高,可选择裸光纤 互联。
GB/T 25206.2-2010 复合夹芯板建筑体燃烧性能试验 第2部分:大室法.pdf4.6数据中心网络安全建设