商业银行外联业务系统商业银行外联网接入平台探讨.docx
《商业银行外联业务系统商业银行外联网接入平台探讨.docx》由会员分享,可在线阅读,更多相关《商业银行外联业务系统商业银行外联网接入平台探讨.docx(8页珍藏版)》请在冰点文库上搜索。
商业银行外联业务系统商业银行外联网接入平台探讨
商业银行外联网接入平台探讨
1概述
外联网概念
商业银行外联网(Extranet)是与监管机构(人民银行、银监局)及其他业务合作单位(证券公司、保险公司、税务公司、电力公司等等)信息沟通的平台,是商业银行大力进展中间业务的基础。
商业银行外联网是银行为了与不同单位频繁互换业务信息,基于电信运营商专线或其他公网设施构建的与其他单位间专用网络通道。
银行外联种类
(1)按业务分
银行外联业务种类繁多,要紧有:
证银联业务、社保IC卡、房改公积金治理系统、代收中联通话费、代收移动话费、同城清算、人行税银库企系统、人行银行信贷记录系统、金融统计数据报送、国际收支数据报送、电子口岸、代收电费、代扣社保费、代收国税、代收地税、代收固话费、财局国库集中系统、统发工资系统、代收财政罚款、物业维修基金、非税系统、重要客户系统等等。
(2)按单位分
随着外联业务的不断扩大,外联单位也不断增加,要紧有:
各个证券公司、社保局、房改办、联通公司、移动公司、海关、电力公司、国税局、地税局、电信公司、供水公司、政府政务网、人行金融网、银行的重客单位等等。
(3)按线路分:
外联线路要紧以专线为主,部份外联业务采纳拨号方式,线路类型要紧有:
帧中继、SDH、DDN、城域网、拨号等。
提供外联线路的运营商
依照外联单位的不同需求,有多家运营商提供线路效劳,要紧有:
电信公司、盈通公司、网通公司、视通公司等。
2外联网建设
外联网建设目标
商业银行外联应用主若是各地特色业务,业务开展中心要紧在各一级分行及其辖内,外联单位也要紧局限在一级分行地域内,故现时期外联网建设以一分行为单位,构建机密、靠得住、高效、灵活的统一外联平台,保障全行外联系统的平安、稳固运行。
一级分行外联网平台建设目标:
(1)在一级分行成立技术标准统一的外联平台,作为辖内外联网业务的唯一入口,实施严格的平安操纵和冗余保障机制,确保外联业务系统稳固、平安运行。
(2)在一级分行设立DMZ前置区,用于部署与外联单位进行数据交互的前置效劳器,实现外联单位的业务主机与该行内网的业务主机之间的有效隔离和操纵。
(DMZ:
要紧起爱惜作用,是一个缓冲带,公布经常使用的效劳器,如FTP效劳器,WEB效劳器等,而外部网不能访问内部网。
)
(3)利用防火墙和入侵检测等平安设备,实现一级分行外联系统集中的访问操纵、监控和治理。
(4)在二级分行能够保留外联接口,利用VPN通道(成立在二级骨干网上)或独立的专线,将二级分行外联业务数据传输至一级分行统一外联平台,保证一级分行统一外联平台是全辖外联业务的唯一入口。
外联网建设设计原那么
(1)标准性原那么:
网络设计依照银行科技应用计划的指导下,依照已有的各项技术标准和平安标准而制订。
(2)平安性原那么:
通过建设统一外联平台,采纳集中接入、防火墙技术、入侵监测技术、访问操纵、双机热备、线路冗余等多种方式联合实现统一的平安策略和接入标准,来保障外联网络接入的信息和运行平安。
(3)层次性原那么:
统一外联平台采纳多层次平安防御原理,设置外联接入区、DMZ前置区、内网区等不同平安品级的区域,部署热备份防火墙、IDS等网络平安产品,多层次拦截和防护,降低来自外联网络的平安要挟,爱惜银行网络系统平安。
(成立非军事区(DMZ),是为不信任系统提供效劳的孤立网段,它阻止内网和外网直接通信,以保证内网平安,在非军事区上设置并安装基于网络的实时平安监控系统,所有对外提供公布效劳的效劳器一概设置在DMZ,其中WWW、E-mail、FTP、DNS效劳器置于非军事区(DMZ)。
)
(4)有效性原那么:
依照外联网存在的平安风险和业务系统的进展需求,在知足当前需要的同时,充分利用现有资源,充分利用现有的网络设备和网络平安设备,尽可能降低建设本钱。
(5)可扩展性原那么:
外联网由于其互联对象和环境的不同,所采纳的接入方式也多种多样。
目前普遍存在的接入方式有拨号、帧中继、DDN、SDH等,这就要求外联平台能够随接入方式的转变和接入容量的增加而进展。
外联网络接入平台需要在稳固、灵活的基础下,知足外联业务的进展要求。
(6)可治理性原那么:
统一外联平台应当具有可治理性,路由互换设备、防火墙产品、入侵检测产品等应提供方便、平安的治理特性,以实现对外联线路、接入设备、平安设备的事件监控和设备治理。
3外联网架构
银行业务都超级重要,要求系统具有高的可用性、靠得住性(业务可持续性开展)、高的平安性(保障资金平安、信息平安),系统建设采纳冗余架构。
3.1外联网架构组成
一级分行统一外联平台包括外联接入区、DMZ前置区和内网区。
外联接入区实现与外联单位互联及路由设置、数据包初步过滤等功能;DMZ前置区作为一级分行统一的业务前置区,实现与内、外网的业务系统数据互换,幸免外联单位直接访问该行内网效劳器,有效爱惜该行内部效劳器的平安;内网区联接该行内部网,部署后台应用效劳器及数据效劳器。
结构如图1所示。
外联网架构各区域功能设计
(1)外联防火墙
统一外联平台采纳两台防火墙,按主备模式实现冗余。
外联防火墙部署多个平安区域,别离连接外联接入区、DMZ前置区、内网区。
外联防火墙的具体功能如下:
①隔离外联接入区和DMZ前置区;
②隔离外联接入区和内网区;
③隔离DMZ前置区和内网区;
④部署访问操纵策略,只许诺外联单位的相关业务主机依照业务需求与DMZ前置区中的前置主机进行指定端口的彼此访问;
⑤实现地址转换,隐藏DMZ及内部网络拓扑结构;
⑥IP地址合法性检查,避免地址欺骗;
⑦具有审计功能,对网络访问进行监控审计;对发生的解决行为进行审计。
图1外联网架构
(2)外联接入区
外联接入区实现通过专用线路与业务伙伴相连,具体功能如下:
①提供多种网络接口,实现与外联单位的网络连接,并为重要的外联业务提供线路备份功能。
②实现地址转换,将外联单为地址翻译为银行外联标准地址,幸免外联单位地址冲突,简化外联平台路由。
③提供简单的访问操纵,隔离各外联单位。
(3)DMZ前置区
DMZ前置区作为一级分行的业务前置区,实现与内、外网的业务系统数据互换。
设置前置效劳区是幸免外联单位直接访问银行内网效劳器,避免可能引发的解决和病毒的扩散,操纵危害区域,保证核心系统不受阻碍。
(4)内网区
内网区指银行的内部网络,在内部网部署外联业务应用效劳器。
外联网平台通过内联三层互换机与内网连接。
整个外联网平台采纳静态路由设计,平台内网部份互换机与内网核心互换成立三层连接互换路由信息。
整个平台对外利用nat技术隐藏内部IP地址,外单位应用接入后在外层接入区映射到指定地址区域,便于平台内保护治理。
4外联网接入平台平安设计
银行外联网络的平安现状及存在问题
外联接入分为总行、一级分行、二级分行三个接入层次,据统计有80%的外联单位是通过二级分行及以基层次接入的,面对如此众多的外联接入单位,我行尚未一个统一计划的完善的外联网络平安防御体系,专门是关于有些二级分行的外联网络只有大体的平安防护,只在外网的接入口利用防火墙进行平安操纵,整体而言,外联网络缺少一个统一计划的完善的平安防御体系,抗风险能力低。
下面针对外联网络中要紧的平安风险点进行简单分析。
(1)外联接入点多且层次低,缺乏统一的计划和监管,存在接入风险。
银行外联系统的接入五花八门,没有一个统一的接入计划和接入标准,总行、一级分行、二级分行、乃至经办网点都有接入点,据统计80%的外联接入都是通过二级分行及以基层次接入的,由于该层次的平安产品和平安技术资源都超级缺乏,因此对外联接入的监管操纵缺乏力度,存在着接入风险。
(2)缺少统一标准的平安架构和策略标准。
在外联网络中,全行缺少统一标准的平安架构和访问操纵策略标准,对众多的外联业务没有分层分级设定不同的平安策略,在网络层没有统一的平安访问操纵标准,比如:
许诺开放的端口、必需关闭的端口、需要操纵访问的端口、平安传输协议等等;在外联业务应用程序的编写方面没有统一的平安标准;在防火墙策略制定上也没有统一的平安标准,因另外联网络的整体可控性不强。
(3)缺乏数据传送进程中的加密机制。
目前与外联单位相互传送的数据大部份都是明码传送,没有统一标准的加密传送机制。
(4)缺少统一的平安审计和平安治理标准。
外联网络没有一个统一的平安审计和平安治理标准,在平安检查和平安审计上没有一套行之有效的方式。
外联平台的建设的平安设计原那么
(1)一级分行的统一外联平台,是辖内外联网业务的唯一入口。
新增外联需求再也不单独建设外联出口,现有外联业务系统应慢慢切换至此平台上运行。
(2)外联单位业务主机必需通过平安操纵设备(如防火墙)访问银行网络,外联单位系统必需与银行DMZ前置区的外联业务前置机进行数据互换,不得直接访问银行内部网。
(3)采取层次防护、区域操纵的策略,通过边界防护和核心防护爱惜外联网络系统平安。
(4)通过NAT技术,对外隐藏内部网和DMZ前置区网络结构。
(5)采纳静态路由,限制外联单位间访问。
(6)同一个平台的多个业务流要用ACL进行严格的隔离,使每一个业务流严格地依照规定的静态路由传输。
(7)通过IDS系统对DMZ前置区进行入侵检测和行为审计。
(8)对外联平台利用的网络设备、平安设备和效劳器进行严格的访问操纵,保障设备的运行平安。
(9)按期分析、评估防火墙和IDS的日记,及时处置各级报警信息,并采取有效方法进行解决。
对发觉的歹意入侵事件应及时处置并当即上报。
(10)安装Windows系统的统一外联平台主机必需安装相关平安软件,并确保能够及时升级病毒库和系统补丁。
5外联平台靠得住性设计
如前结构图所示,外联平台关键网络设备、路由和线路应采纳冗余设计,幸免单点故障,提高网络健壮性。
1.防火墙通过冗余技术实现热备份。
2.重要外联单位的连接应具有网络设备和线路的备份方法。
3.二级分行外联接入点和一级分行统一
外联平台之间的连接依照业务需求来设计线路和路由的备份策略。
VPN通道模式可由二级骨干网实现备份,单独专线上联模式可利用冗余路由器和冗余线路实现备份。
6外联应用开发测试网接入探讨
外联平台为生产效劳,该银行标准要求开发测试网与生产运行网路物理隔离,但大量外连单位全然不可能再提供单独的线路组建开发测试网。
顾可考虑再外联接入区横向增加一条至开发测试网防火墙的连接,外单位生产、开发测试都通过同一条物理线路进入外联接入区,再外联接入路由器上依照对方生产、开发主机源地址的不同进行转发。
但从平安动身,必需成立一下规那么:
1.严禁对方单位开发测试与生产利用一台主机;
2.对方业务数据流进入外联接入路由器时利用ACL进行分流操纵;
3.标准对方数据流进入外联平台后生产与开发测试类映射地址的利用,做到从映射地址能清楚分辨;
4.开发测试网与外联接入区域的横向连接必需做到严格的平安操纵。
升级会员 