金融支撑服务应用案例.docx
《金融支撑服务应用案例.docx》由会员分享,可在线阅读,更多相关《金融支撑服务应用案例.docx(46页珍藏版)》请在冰点文库上搜索。
金融支撑服务应用案例
金融支撑服务
银行
网上银行接入需求
网上银行(internetbanking)是基于互联网技术的一种新型银行服务手段。
1995年10月8日,世界上第一家网上银行——安全第一网络银行(securityfirstnetworkbank,SFBN)在美国诞生。
1997年初,招商银行率先在国内尝试网上银行业务,随后,中国银行,中国建设银行,中国工商银行等先后开展了网上银行业务。
网上银行的技术基础,使其具有灵活、强大的业务创新能力,不仅可以延伸、改良传统的银行业务,降低交易成本,提高服务效率,还产生了诸如银证合一、存折炒股、在线支付等新业务,并且其创新的空间还很巨大。
同时,网上银行的出现弥补了传统银行业无法或不便涉及的领域,其信息容量惊人,且灵活、便捷,正被人们迅速接受。
可以预料,传统银行业支撑着网上银行业务的快速成长,网上银行也将拉动传统银行业务的持续发展。
能否及时、有效地在网上银行领域占有一席之地。
提供服务
通过平台集成网银系统能够为用户提供对公、对私类服务:
Ø对私服务
(一)公共信息服务
主要包括:
机构简介、信息发布、存款利率查询、储蓄类型代码表、最新外汇牌价、银行业务简介、投诉、建议、用户调查、理财试算工具、在线用户服务等。
(二)查询服务
主要包括:
账户基本信息查询、账户余额查询、交易限额查询、账户当日明细查询、账户历史明细查询、账户未登折明细查询、查询/下载对账单、电子回单查询、贷款业务查询、交易积分查询、日志查询等。
(三)预约业务
主要包括:
大额取款预约、贵宾接待预约等。
(四)转账和汇款业务
主要包括:
定活转账、行内转账、批量转账、转账结果查询、收款人名册管理、跨行同城转账、跨行异地转账、约定转账、异地汇款等。
(五)贷款业务
主要包括:
按揭贷款查询、个人质押贷款、个人授信贷款申请、贷款预约等。
(六)自助缴费业务
主要包括:
缴费类交易平台、预约缴费、委托扣款、代打缴费账单凭证、缴费支付记录查询等。
(七)网上支付
主要包括:
网上支付功能申请、功能撤销、卡转账、额度设置、交易查询等。
(八)保险业务
主要包括:
投保申请、保费缴纳、保单查询、险种查询。
Ø对公业务
(一)公共信息服务。
主要包括:
机构简介、信息发布、存款利率查询、储蓄类型代码表、最新外汇牌价、银行业务简介、投诉、建议、用户调查、理财试算工具、在线用户服务等。
(二)用户管理
(三)查询服务
主要包括:
账户基本信息查询、账户余额查询、交易限额查询、账户当日明细查询、账户历史明细查询、账户未登折明细查询、查询/下载对账单、电子回单查询、贷款业务查询、日志查询等。
(四)转账汇款业务
主要包括:
定活转账、活期与协定存款互转、活期与通知存款互转、行内转账、批量转账、转账结果查询、收款人名册管理、同城跨行转账、异地汇款、公司约定转账等。
(五)代付业务
主要包括:
代发工资(上传工资明细、查询工资明细、修改工资明细、增加工资条目、删除工资条目、发放工资、查询工资发放结果)、报销差旅费等。
(六)代收业务
主要包括:
批量扣企业、批量扣个人、扣款交易查询、用户清单查询等。
(七)网上担保企业授信业务
(八)自助缴费业务
主要包括:
缴费类交易平台、预约缴费、委托扣款、代打缴费账单凭证、缴费支付记录查询等。
(九)网上支付
实现方案
Ø网银体系接入架构
Ø关联子系统说明
(1)核心业务系统:
它是银行的帐务处理核心系统,网上银行仅仅是核心业务系统的一个交易渠道,网上银行交易涉及到帐户信息的处理都要在核心系统中进行。
(2)各类前置系统:
银行卡业务系统、大小额支付系统、农信银清算系统、贷记卡业务系统、中间业务系统。
(3)应用集成系统:
前端应用系统,集成前置系统后获得相应的业务处理功能以及用户管理安全控制等功能。
Ø软件
序号
用途
备注
1
操作系统
2
数据库服务器软件
3
应用服务器软件
4
Web服务器软件
5
网银应用
6
用于J2EE应用的开发、调试及部署。
7
网页设计
Ø网络及安全产品
路由器(2台)
性能指标
●4个网络模块插槽,2个AIM插槽,4个HWIC插槽,支持RIP、EIGRP、OSPF等动态路由协议
●基于应用的状态化过滤功能(基于环境的访问控制);逐个用户验证和授权;实时报警;1-20
●VPN——数据加密标准(DES)、三重DES(3DES)和高级加密标准(AES)128、192和256加密支持;
内嵌于母板上、基于硬件的VPN加速功能;利用第三层压缩支持可选、更高性能、基于AIM的安全加速;通过VPN模块支持高达1800个隧道;
●多协议标签交换(MPLS)VPN支持——特定运营商边缘功能;虚拟路由和转发(VRF)防火墙和VRFIPSec
●板载USB1.1端口——未来支持安全令牌和闪存
交换机(4台)
性能指标
●24个10/100/1000接口+4SFP模块+IPSImage;
●机架式交换机
●三层交换机,支持RIP、EIGRP、OSPF等动态路由协议
千兆防火墙(4台)
性能指标
●采用专用硬件架构与专用安全操作系统,基于操作系统内核的会话检测技术;专用的安全操作系统具有自主知识产权;硬件设备可以机架安装,支持扩展冗余电源。
●采用双安全操作系统,防止配置不当或防火墙系统故障造成的网络中断,充分保证了系统的稳定性。
●软件采用模块化结构设计,可以根据需要组合,可以扩展IPSECVPN,SSLVPN,防病毒、安全审计等功能。
●硬件采用模块化设计,设备在用户现场就可以进行接口的扩展。
●至少提供6个10/100/1000BASE-T接口,4个SFP插槽,最多可以支持26个千兆接口。
●网络吞吐量不少于4Gbps
●最大并发连接数不少于160万
●每秒最大新建连接数不少于8万
●防火墙系统可以提供对复杂环境的接入支持,包括路由、透明以及混合接入模式。
●支持基于源IP地址、目的IP地址、源端口、目的端口、时间、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制;
●支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤,支持URL、关键字过滤;
●支持对移动代码如Javaapplet、Active-X、VBScript、Jscript、Javascript的过滤;
●动态端口支持协议:
H.323、SIP、FTP、RTSP、SQL*NET、MMS、TFTP、RPC(msrpc,dcerpc)等;
●支持MSN、QQ、新浪UC、阿里旺旺、googletalk等InstantMessenger通信,并可以对于这些应用进行登陆限制,支持根据登陆等帐号进行登陆限制;
●支持对MSN,QQ等IM应用通信的连接统计,支持对指定IP地址的IM应用通信的连接统计;
●可限制BT,eMule,eDonkey、讯雷等多种P2P应用,可以统计P2P流量和连接数,可以控制P2P流量的带宽;
●可屏蔽受保护主机/服务器系统信息,可以替换服务器(FTP、SMTP、POP3、Telnet,HTTP)的BANNER信息;
●可实现静态或自动的IP/MAC绑定。
●防火墙系统有完善的地址转换能力,可以支持正向、反向地址/端口转换、双向地址转换等,能够提供完整的地址转换解决方案。
●支持静态和动态路由,动态路由至少包括:
RIP和OSPF动态路由协议;静态路由协议支持基于源地址、目的地址、METRIC值、网络接口的路由;
支持链路备份功能,可以在用户的多条网络出口之间进行自动的切换;
●支持双机热备功能,包括主备模式(A/S),主主模式(A/A)
●支持VRRP协议;
●支持对服务器的负载均衡,支持轮询、加权轮询、最少连接、加权最少链接、基于源IP地址HASH调度等多种负载均衡方式;
●防火墙系统要对长连接的提供全面的解决方案;
●支持DHCPSERVER/CLIENT/RELAY功能
●支持TOPSEC联动协议,能够与主流入侵检测产品进行联动;
●可以识别并阻断以下攻击行为:
防非法报文攻击:
land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof;
●防统计型报文攻击:
Synflood、Icmpflood、Udpflood、Portscan、ipsweep;
●端口阻断:
可以根据数据包的来源和数据包的特征进行阻断设置;
●支持告警信息分类、分级;当发生安全事件的时候支持以邮件、NETBIOS、声音、SNMP、控制台等方式告警。
●可以提供多种方式的管理界面,包括GUI、WEBUI、CONSOLE、SSH、TELNET等;
●远程集中监控管理功能:
支持远程集中管理监控功能,在同一个管理平台下能够对所管理网络中所有的防火墙设备进行管理和监控,提供远程升级和配置变更方法,非常方便用户对防火墙软件版本和配置变更的管理;支持远程TFTP、FTP、HTTP等方式升级。
●日志分级、分类;系统要能够提供多种日志存储方式,可以缓存在设备本地,也可以将日志以专用格式/Welf/Syslog等多种日志格式的输出;具有完善的日志收集、传输、存储、分析、报告等解决方案。
●中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》
●国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》
●信息安全测评中心的EAL3级认证证书
应用安全网关(2台)
性能指标
●带服务器负载均衡的ssl加速网关,
●4个端口,内存标准配置2G,标准1U机箱;L4-L7;吞吐量:
1.5Gbps;两台设备要支持N+1集群模式;
●SSL最大在线会话数:
12000
●SSL性能:
12000TPS
●L4处理能力500000/秒
●L7处理能力35000/秒
●国家密码管理局颁发的《商用密码产品型号证书》
数字签名(2台)
性能指标
●包括API和硬件设备;带加速卡,2U机箱,
●签名3000次每秒,验签8000次每秒
●支持HA模式
●国家密码管理局颁发的《商用密码产品型号证书》
链路负载均衡(2台)
性能指标
●4个端口,内存标准配置2G,
●L4处理能力500000/秒,
●L7处理能力35000/秒,
●支持最大128条链路接入;
●流量吞吐量:
1.5G/秒
●并发DNS请求数:
6万/秒
●两台设备要支持N+1集群模式;
应用负载均衡(4台)
性能指标
●4个端口,内存标准配置2G,
●L4处理能力500000/秒,
●L7处理能力35000/秒,
●支持后台服务器组2000;
●流量吞吐量:
1.5G/秒;
●两台设备要支持N+1集群模式;
动态密码设备(2台)
性能指标
●硬件设备平台包含动态密码生成服务器、管理服务器、验证服务器三块
●支持千万级用户;
●支持HA模式;
●能实现基于事件token和矩阵卡两种客户端形式
●国家密码管理局颁发的《商用密码产品型号证书》
入侵检测(2台)
性能指标
●采用专用硬件架构与专用安全操作系统;专用的安全操作系统具有自主知识产权;硬件设备可以机架安装。
●至少2个10/100/1000BASE-TX口(可用作监听和扩展)+1个10/100BASE-TX管理端口+2个GBIC插槽(可用作监听和扩展);可以支持4路IDS监听。
●支持并实配双电源
●支持2800条以上的入侵事件签名
●600条以上的防蠕虫攻击规则
●通过国际安全组织CVE(CommonVulnerabilities&Exposures通用漏洞披露)严格的标准评审,获得CVE兼容性认证证书(CVECompatible)
●第一年软件和签名库免费升级;为了保证安全联动的有效性,提高安全防御能力,应与防火墙产品为同一生产商。
●综合使用误用检测、异常检测、智能协议分析、会话状态分析、实时关联检测等多种入侵检测技术,保证IDS检测准确性,极大地降低了漏报率与误报率。
●采用多种加速技术其中包括:
专用的高速硬件平台;底层抓包加速引擎;增强直接用户空间访问(EDUA)技术;多线程分散式重组引擎;高效的流定位及状态型的协议分析技术;无缝集成的优化智能模式匹配算法。
●阻断、报警、联动,以及用户自定义的响应方式
可通过TOPSEC协议与天融信防火墙联动
支持与Cisco路由器联动
●控制中心支持多级分布管理的方式,区分主控和子控,主控支持下发策略给子控,同时子控支持向主控上报指定级别的告警和日志信息
●对管理员划分不同的管理权限,至少包括超级管理员、普通管理员、只读管理员三种
●支持在基于HUB的共享环境
基于交换机镜像功能的交换环境
基于专用的流量分流设备TAP设备的部署方案
●支持HTTP、FTP、Telnet、SMTP、POP3、IMAP、DNS、H.323、MSN等协议的解码和内容恢复。
●支持超过100种的报表模板,用户可以根据事件风险等级、时间、源或目的地址等生成报表,还提供用户自定义报表,支持的报表导出格式包括crystal、Excel、HTML、XML、RIF、Word等
●实时会话监控:
提供实时监控当前TCP会话并根据需要进行切断、保存会话内容的功能。
●实时系统监控:
系统以图形方式实时监控IDS引擎的CPU、内存等资源信息及实时网络流量信息。
●协议还原与内容监控:
监控并还原邮件内容(POP3,SMTP,IMAP,WEBMAIL);监控并记录WWW、FTP、TELNET等TCP会话的访问信息。
●中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》
●中国国家信息安全测评认证中心颁发的《国家信息安全认证产品型号证书》
●中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》
●国家保密局颁发的《涉密信息系统产品检测证书》
漏洞扫描(2台)
性能指标
●机架式独立硬件设备,系统采用B/S设计架构,具有完全自主知识产权的专用安全操作系统,稳定可靠。
●1个100/1000M管理口,1个100/1000M以太网电口
●并发扫描IP地址不小于30个
●扫描任务并发数不小于10个
●可扫描IP数量无限个
●漏洞知识库从操作系统、服务、应用程序和漏洞严重程度多个视角进行分类,需要给出具体的分类信息。
●支持对漏洞信息的检索功能,可以从其中快速检索到指定类别或者名称的漏洞信息,并具体说明支持的检索方式。
●提供漏洞知识库中包含的主流操作系统、数据库、网络设备的列表信息。
●提供专用的安全检测模块对常见的Web应用进行深度内容分析,精确识别SQL注入漏洞和跨站脚本漏洞。
●能够扫描常见的网络安全客户端软件(网络防病毒Symantec、TrendMicro、McAfee)的安全漏洞
●能够扫描常见的应用软件漏洞(如IE浏览器、MSN、MozillaFirefox、YahooMessenger、MSOffice、多媒体播放器、VMware虚拟机和各种P2P下载软件)的安全漏洞。
●漏洞知识库漏洞信息大于2400条,提供详细的漏洞描述和对应的解决方案描述;漏洞知识库与国际CVE标准兼容,并提供CVECompatible证书。
●漏洞知识库和漏洞检测规则支持手动升级和自动升级,支持本地升级和在线升级,在线升级支持代理方式升级;至少每两周进行一次定期升级,重大安全漏洞紧急响应时间。
●支持对多个扫描任务并发执行,支持多任务自动调度;单个任务允许扫描的最大扫描范围不小于一个B类网段。
●系统内置不同的策略模板如针对Unix、Windows操作系统等模板,同时允许用户定制扫描策略;用户可定义扫描范围、扫描使用的参数集、扫描并发主机数等具体扫描选项。
●可以在扫描过程中人工指定包括SNMP、SMB等常见协议的登陆口令,登陆到相应的系统中对特定应用进行深入扫描。
●可定义扫描端口范围、端口扫描策略。
●是否具备单独口令猜测扫描任务,支持多种口令猜测方式,包括利用Telnet、Pop3、Ftp、WindowsSMB、SQLServer、MySQL、Oracle、Sybase等协议进行口令猜测,允许外挂用户提供的字典档。
●允许管理员配置扫描通知,在扫描任务运行开始时向被扫描的资产发送扫描通知;
●能够对扫描结果数据进行在线分析,能够根据端口、漏洞、BANNER信息、IP地址等关键字对主机信息进行查询并能将查询结果保存。
●支持高级数据分析,能够进行历史数据查询、汇总查看、对比分析等,方便进行多个扫描任务或多个IP风险对比,能够在多个历史任务中,很快的检索到需要关注的资产IP点。
●漏洞分析报告应提供在线浏览报告和离线打印报告;离线报表提供针对不同角色的默认模板,允许用户定制报告的内容、报告的格式等。
●离线报告可以输出到HTML、WORD、EXCEL(XML)等文件,报告可以直接下载或通过邮件直接发送给相应管理人员,并且输出报表美观可直接打印。
●对扫描出来的资产的安全漏洞能够发送邮件给对应的资产管理员,通知其限期内修复漏洞并自动对修复进行验证,实现对漏洞的有效跟踪和验证,实现对安全漏洞的有效跟踪和验证。
●提供对资产风险的多次分析能力,能够有效地分析网络整体和主机的漏洞分布和风险的趋势。
●支持和微软WSUS补丁系统的联动,能够在发给主机管理员的邮件中附带●自动配置WSUS的注册表文件,方便进行自动化的补丁修补。
●具有中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》。
●具有国家保密局涉密信息系统安全保密测评中心的《涉密信息系统产品检测证书》。
●具有中国信息安全产品测评认证中心的《国家信息安全认证产品型号证书》。
●具有中国人民解放军信息安全测评认证中心的《军用信息安全产品认证证书》。
●具有中华人民共和国国家版权局的《计算机软件著作权登记证》。
●英国西海岸实验室Checkmark认证证书
抗DDOS攻击(3台)
性能指标
●两个100/1000Base-TX,一个RS232串口
●2U机架式安装
●HTTPS、CLI、TELNET、SSH方式管理设备
●针对如下攻击进行防护:
SpoofedandNon-SpoofedAttacks
-TCP(syns,sync-acks,acks,fins,fragments)
-UDP(randomportfloods,fragments)
-ICMP(unreachable,echo,fragments)
-DNS
ClientAttacks
-Inactiveandtotalconnections
-HTTPGetflood
BGPAttacks
●平均无故障时间60,000小时
●可防御各类DDoS攻击及其变种,如SYNFlood、UDPFlood/UDPDNSQueryFlood、(M)StreamFlood和ICMPFlood、HTTPGetFlood、连接耗尽、PingofDeath、Land、TearDrop、WinNuke以及混合拒绝服务攻击;
●针对UDPDNSQueryFlood具备专门的防护手段
●使用智能攻击流量识别的技术进行防护,而不基于特定规则的方式,即当发生未知攻击,无需专门的撰写规则,即可对这些攻击进行防护
●抵御蠕虫攻击。
●支持串联部署工作方式;产品能够适应不同的网络环境,支持RIPv2,OSPF,BGPv4协议,支持全冗余的VRRP网络,支持VLAN;
●具备多台设备集群部署的能力,支持在大攻击流量发生时手动或自动启动集群,保证整个系统可用性
●支持通过浏览器对设备进行本地或远程的软件升级
●支持攻击日志和网络流量统计功能,具备各类DDoS攻击详细记录的能力
保险
保险接入需求
为了满足用户网上办公网上交易的需要,为业务办理提供全面的服务和保证,为资金往来和货物流通提供综合全面服务。
综合物流平台应该能够根据用户需要,对用户相应的经营行为提供强制性或个性化保险服务。
强制保险。
为在平台上办理物流业务或其他商务业务的办理强制保险,以集群化团购的形式购买保险产品,为用户提供一个良好的信用以及风险保证。
个性化保险。
平台用户通过平台办理业务,可以通过保险公司提供的接口办理个人、商业、资产等各类定制化保险业务。
同时通过平台享受到更优的服务价格,为用户提供一站式服务。
通过将强制性保险以及网络保险支撑服务纳入到系统中,使平台成为一个公开、公正、安全、全面的综合平台,可以更好的为用户经营提供服务和支持。
网上保险是指保险公司或保险中介机构以信息技术为基础,通过互联网进行保险经营管理活动的经济行为,包括狭义和广义两个层面的含义。
狭义:
网上保险是指保险公司或保险中介通过互联网为客户提供有关保险产品和服务的全过程。
广义:
网上保险还包括保险公司内部基于内联网和外联网技术的经营管理活动,特别是保险资金运用的经营管理活动。
保险是一种无形产品,非常适合在虚拟空间中来销售获取得巨大的利益
1、可以降低保险公司的销售成本;
2、可以大大的提高保险公司的服务效率,;
3、可以发展个性化的保险产品;
4、能建立一个与用户实时交流、沟通的虚拟平台,保证用户的长期稳定。
因此欧美等发达国家在网上保险的业务上开展的较早,其网络上服务的主要内容有:
信息咨询、询价谈判、交易、解决争议、赔付等;保险品种包括:
健康、医疗、人寿、汽车、财险等。
提供服务
系统平台集成网上保险相关功能够,能够为用户提供以下服务:
1.为客户提供查询业务。
公司可以将客户关心的一些有共性的问题进行解答后放到网上,这样可以方便客户,同时减少处理相关问题的工作量。
2.保险公司对客户意向和业务的确认。
投保确认的主要功能是,如果用户想购买建议的险种中一些简单的、投保条件较为宽松的险种,保险公司可以在网上提供电子保单,用户填写后并通过电子支付手段或邮局缴付保费,保险公司通过电子邮件或信函与用户确认。
3.定制化团体险种服务。
通过组织者确定,为某以经营主体或者某一个范围内的经营活动,按照资金比例和业务类型,提供统一格式内容的保险服务。
如现在的航空保险、旅游保险等。
4.强制保险服务。
根据政策法规和相关规定,为使群体或个人的利益在特定环境情况下有所保障,为某一行业或者某一特定业务提供统一的强制性保险服务。
例如目前的强制交通保险(交强险),社保等。
5.投保业务管理系统。
随着同行业其它保险公司和相关行业的网络化建设的进一步发展,可以展望通过因特网实现如高额保单在多家公司间的分保,医院体检的健康告知书通过电子邮件来传递,保户通过成熟的电子银行缴纳保费的可行性。
实现方案
承保过程:
Ø系统逻辑拓扑图
系统逻辑拓扑图说明:
首先,需要一条10M独占的端口,连接硬件防火墙到安全的100M带宽的INSIDE网段,在这个网段中,一台服务器安装SilverStreamApplicationServer负责静态以及动态内容和个性化信息的发布;一台服务器作为数据库服务器,运行
升级会员 