《1商业银行外联业务系统商业银行外联网接入平台探讨2105.docx》由会员分享,可在线阅读,更多相关《1商业银行外联业务系统商业银行外联网接入平台探讨2105.docx(10页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Evaluation Warning: The document was created with Spire.Doc for .NET.商业银行行外联网网接入平平台探讨讨1 概述述1.1 外联网网定义商业银行行外联网网(Exxtraanett)是与与监管机机构(人人民银行行、银监监局)及及其他业业务合作作单位(证证券公司司、保险险公司、税税务公司司、电力力公司等等等)信信息沟通通的平台台,是商商业银行行大力发发展中间间业务的的基础。商商业银行行外联网网是银行行为了与与不同单单位频繁繁交换业业务信息息,基于于电信运运营商专专线或其其他公网网设施构构建的与与其他单单位间专专用网络络通道。1.2
2、银行外外联种类类(1)按按业务分分银行行外联业业务种类类繁多,主主要有:证银联联业务、社社保ICC卡、房房改公积积金管理理系统、代代收中联联通话费费、代收收移动话话费、同同城清算算、人行行税银库库企系统统、人行行银行信信贷登记记系统、金金融统计计数据报报送、国国际收支支数据报报送、电电子口岸岸、代收收电费、代代扣社保保费、代代收国税税、代收收地税、代代收固话话费、财财局国库库集中系系统、统统发工资资系统、代代收财政政罚款、物物业维修修基金、非非税系统统、重要要客户系系统等等等。(2)按按单位分分随着着外联业业务的不不断扩大大,外联联单位也也不断增增加,主主要有:各个证证券公司司、社保保局、房房
3、改办、联联通公司司、移动动公司、海海关、电电力公司司、国税税局、地地税局、电电信公司司、供水水公司、政政府政务务网、人人行金融融网、银银行的重重客单位位等等。(3)按按线路分分:外联线路路主要以以专线为为主,部部分外联联业务采采用拨号号方式,线线路类型型主要有有:帧中中继、SSDH、DDDN、城城域网、拨拨号等。1.3 提供外外联线路路的运营营商根据据外联单单位的不不同需求求,有多多家运营营商提供供线路服服务,主主要有:电信公公司、盈盈通公司司、网通通公司、视视通公司司等。2 外联联网建设设2.1 外联网网建设目目标商业银行行外联应应用主要要是各地地特色业业务,业业务开展展中心主主要在各各一级
4、分分行及其其辖内,外外联单位位也主要要局限在在一级分分行地域域内,故故现阶段段外联网网建设以以一分行行为单位位,构建建机密、可可靠、高高效、灵灵活的统统一外联联平台,保保障全行行外联系系统的安安全、稳稳定运行行。一级级分行外外联网平平台建设设目标:(1)在在一级分分行建立立技术规规范统一一的外联联平台,作作为辖内内外联网网业务的的唯一入入口,实实施严格格的安全全控制和和冗余保保障机制制,确保保外联业业务系统统稳定、安安全运行行。(2)在在一级分分行设立立DMZZ前置区区,用于于部署与与外联单单位进行行数据交交互的前前置服务务器,实实现外联联单位的的业务主主机与该该行内网网的业务务主机之之间的有
5、有效隔离离和控制制。(DDMZ:主要起起保护作作用,是是一个缓缓冲带,公公开常用用的服务务器,如如FTPP服务器器,WEEB服务务器等,而而外部网网不能访访问内部部网。)(3)利利用防火火墙和入入侵检测测等安全全设备,实实现一级级分行外外联系统统集中的的访问控控制、监监控和管管理。(4)在在二级分分行可以以保留外外联接口口,利用用VPNN通道(建建立在二二级骨干干网上)或或者独立立的专线线,将二二级分行行外联业业务数据据传输至至一级分分行统一一外联平平台,保保证一级级分行统统一外联联平台是是全辖外外联业务务的唯一一入口。2.2 外联网网建设设设计原则则(1)规规范性原原则:网网络设计计按照银银
6、行科技技应用规规划的指指导下,根根据已有有的各项项技术规规范和安安全标准准而制订订。(2)安安全性原原则:通通过建设设统一外外联平台台,采用用集中接接入、防防火墙技技术、入入侵监测测技术、访访问控制制、双机机热备、线线路冗余余等多种种方式联联合实现现统一的的安全策策略和接接入规范范,来保保障外联联网络接接入的信信息和运运行安全全。(3)层层次性原原则:统统一外联联平台采采用多层层次安全全防御原原理,设设置外联联接入区区、DMMZ前置置区、内内网区等等不同安安全等级级的区域域,部署署热备份份防火墙墙、IDDS等网网络安全全产品,多多层次拦拦截和防防护,降降低来自自外联网网络的安安全威胁胁,保护护
7、银行网网络系统统安全。(建建立非军军事区(DDMZ), 是为为不信任任系统提提供服务务的孤立立网段,它它阻止内内网和外外网直接接通信,以以保证内内网安全全,在非非军事区区上设置置并安装装基于网网络的实实时安全全监控系系统,所所有对外外提供公公开服务务的服务务器一律律设置在在DMZZ,其中中WWWW、E-maiil、FFTP、DDNS服服务器置置于非军军事区(DDMZ)。)(4)实实用性原原则:根根据外联联网存在在的安全全风险和和业务系系统的发发展需求求,在满满足当前前需要的的同时,充充分利用用现有资资源,充充分利用用现有的的网络设设备和网网络安全全设备,尽尽量降低低建设成成本。(5)可可扩展性
8、性原则:外联网网由于其其互联对对象和环环境的不不同,所所采用的的接入方方式也多多种多样样。目前前广泛存存在的接接入方式式有拨号号、帧中中继、DDDN、SSDH等等,这就就要求外外联平台台能够随随接入方方式的变变化和接接入容量量的增加加而发展展。外联联网络接接入平台台需要在在稳定、灵灵活的基基础下,满满足外联联业务的的发展要要求。(6)可可管理性性原则:统一外外联平台台应当具具有可管管理性,路路由交换换设备、防防火墙产产品、入入侵检测测产品等等应提供供方便、安安全的管管理特性性,以实实现对外外联线路路、接入入设备、安安全设备备的事件件监控和和设备管管理。3外联网网架构银行业务务都非常常重要,要要
9、求系统统具有高高的可用用性、可可靠性(业业务可持持续性开开展)、高高的安全全性(保保障资金金安全、信信息安全全),系系统建设设采用冗冗余架构构。3.1 外联网架架构构成成一级分行行统一外外联平台台包括外外联接入入区、DDMZ前前置区和和内网区区。外联联接入区区实现与与外联单单位互联联及路由由设置、数数据包初初步过滤滤等功能能;DMMZ前置置区作为为一级分分行统一一的业务务前置区区,实现现与内、外外网的业业务系统统数据交交换,避避免外联联单位直直接访问问该行内内网服务务器,有有效保护护该行内内部服务务器的安安全;内内网区联联接该行行内部网网,部署署后台应应用服务务器及数数据服务务器。结结构如图图
10、1所示示。3.2 外联网网架构各各区域功功能设计计(1)外外联防火火墙统一外联联平台采采用两台台防火墙墙,按主主备模式式实现冗冗余。外外联防火火墙部署署多个安安全区域域,分别别连接外外联接入入区、DDMZ前前置区、内内网区。外外联防火火墙的具具体功能能如下:隔离外外联接入入区和DDMZ前前置区;隔离外外联接入入区和内内网区;隔离DDMZ前前置区和和内网区区;部署访访问控制制策略,只只允许外外联单位位的相关关业务主主机按照照业务需需求与DDMZ前前置区中中的前置置主机进进行指定定端口的的相互访访问;实现地地址转换换,隐藏藏DMZZ及内部部网络拓拓扑结构构;IP地地址合法法性检查查,防止止地址欺欺
11、骗;具备审审计功能能,对网网络访问问进行监监控审计计;对发发生的攻攻击行为为进行审审计。图1 外外联网架架构(2)外外联接入入区外联接入入区实现现通过专专用线路路与业务务伙伴相相连,具具体功能能如下:提供多多种网络络接口,实实现与外外联单位位的网络络连接,并并为重要要的外联联业务提提供线路路备份功功能。实现地地址转换换,将外外联单为为地址翻翻译为银银行外联联标准地地址,避避免外联联单位地地址冲突突,简化化外联平平台路由由。提供简简单的访访问控制制,隔离离各外联联单位。(3)DDMZ前前置区DMZ前前置区作作为一级级分行的的业务前前置区,实实现与内内、外网网的业务务系统数数据交换换。设置置前置服
12、服务区是是避免外外联单位位直接访访问银行行内网服服务器,防防止可能能引发的的攻击和和病毒的的扩散,控控制危害害区域,保保证核心心系统不不受影响响。(4)内内网区内网区指指银行的的内部网网络,在在内部网网部署外外联业务务应用服服务器。外外联网平平台通过过内联三三层交换换机与内内网连接接。整个外联联网平台台采用静静态路由由设计,平平台内网网部分交交换机与与内网核核心交换换建立三三层连接接交换路路由信息息。整个个平台对对外使用用natt技术隐隐藏内部部IP地地址,外外单位应应用接入入后在外外层接入入区映射射到指定定地址区区域,便便于平台台内维护护管理。4外联网网接入平平台安全全设计4.1 银行外外联
13、网络络的安全全现状及及存在问问题外联联接入分分为总行行、一级级分行、二二级分行行三个接接入层次次,据统统计有880的的外联单单位是通通过二级级分行及及以下层层次接入入的,面面对如此此众多的的外联接接入单位位,我行行还没有有一个统统一规划划的完善善的外联联网络安安全防御御体系,特特别是对对于有些些二级分分行的外外联网络络只有基基本的安安全防护护,只在在外网的的接入口口使用防防火墙进进行安全全控制,整整体而言言,外联联网络缺缺少一个个统一规规划的完完善的安安全防御御体系,抗抗风险能能力低。下下面针对对外联网网络中主主要的安安全风险险点进行行简单分分析。(11)外联联接入点点多且层层次低,缺缺乏统一
14、一的规划划和监管管,存在在接入风风险。银行行外联系系统的接接入五花花八门,没没有一个个统一的的接入规规划和接接入标准准,总行行、一级级分行、二二级分行行、甚至至经办网网点都有有接入点点,据统统计800的外外联接入入都是通通过二级级分行及及以下层层次接入入的,由由于该层层次的安安全产品品和安全全技术资资源都非非常缺乏乏,因此此对外联联接入的的监管控控制缺乏乏力度,存存在着接接入风险险。(22)缺少少统一规规范的安安全架构构和策略略标准。在外外联网络络中,全全行缺少少统一规规范的安安全架构构和访问问控制策策略标准准,对众众多的外外联业务务没有分分层分级级设定不不同的安安全策略略,在网网络层没没有统
15、一一的安全全访问控控制标准准,比如如:允许许开放的的端口、必必须关闭闭的端口口、需要要控制访访问的端端口、安安全传输输协议等等等;在在外联业业务应用用程序的的编写方方面没有有统一的的安全标标准;在在防火墙墙策略制制定上也也没有统统一的安安全标准准,因此此外联网网络的整整体可控控性不强强。(33)缺乏乏数据传传送过程程中的加加密机制制。目前前与外联联单位互互相传送送的数据据大部分分都是明明码传送送,没有有统一规规范的加加密传送送机制。(44)缺少少统一的的安全审审计和安安全管理理标准。外联网络络没有一一个统一一的安全全审计和和安全管管理标准准,在安安全检查查和安全全审计上上没有一一套行之之有效的
16、的方法。4.2 外联平平台的建建设的安安全设计计原则(1)一一级分行行的统一一外联平平台,是是辖内外外联网业业务的唯唯一入口口。新增增外联需需求不再再单独建建设外联联出口,现现有外联联业务系系统应逐逐步切换换至此平平台上运运行。(2)外外联单位位业务主主机必须须通过安安全控制制设备(如如防火墙墙)访问问银行网网络,外外联单位位系统必必须与银银行DMMZ前置置区的外外联业务务前置机机进行数数据交换换,不得得直接访访问银行行内部网网。(3)采采取层次次防护、区区域控制制的策略略,通过过边界防防护和核核心防护护保护外外联网络络系统安安全。(4)通通过NAAT技术术,对外外隐藏内内部网和和DMZZ前置
17、区区网络结结构。(5)采采用静态态路由,限限制外联联单位间间访问。(6)同同一个平平台的多多个业务务流要用用ACLL进行严严格的隔隔离,使使每一个个业务流流严格地地按照规规定的静静态路由由传输。(7)通通过IDDS系统统对DMMZ前置置区进行行入侵检检测和行行为审计计。(8)对对外联平平台使用用的网络络设备、安安全设备备和服务务器进行行严格的的访问控控制,保保障设备备的运行行安全。(9)定定期分析析、评估估防火墙墙和IDDS的日日志,及及时处理理各级报报警信息息,并采采取有效效措施进进行解决决。对发发现的恶恶意入侵侵事件应应及时处处理并立立即上报报。(10)安安装Wiindoows系系统的统统
18、一外联联平台主主机必须须安装相相关安全全软件,并并确保能能够及时时升级病病毒库和和系统补补丁。5 外联联平台可可靠性设设计如前结构构图所示示,外联联平台关关键网络络设备、路路由和线线路应采采用冗余余设计,避避免单点点故障,提提高网络络健壮性性。1. 防防火墙通通过冗余余技术实实现热备备份。2. 重重要外联联单位的的连接应应具有网网络设备备和线路路的备份份措施。3. 二二级分行行外联接接入点和和一级分分行统一一外联平台台之间的的连接按按照业务务需求来来设计线线路和路路由的备备份策略略。VPPN通道道模式可可由二级级骨干网网实现备备份,单单独专线线上联模模式可使使用冗余余路由器器和冗余余线路实实现
19、备份份。6 外联联应用开开发测试试网接入入探讨外联平台台为生产产服务,该该银行规规范要求求开发测测试网与与生产运运行网路路物理隔隔离,但但大量外外连单位位根本不不可能再再提供单单独的线线路组建建开发测测试网。顾顾可考虑虑再外联联接入区区横向增增加一条条至开发发测试网网防火墙墙的连接接,外单单位生产产、开发发测试都都通过同同一条物物理线路路进入外外联接入入区,再再外联接接入路由由器上根根据对方方生产、开开发主机机源地址址的不同同进行转转发。但但从安全全出发,必必须建立立一下规规则:1. 严严禁对方方单位开开发测试试与生产产使用一一台主机机;2. 对对方业务务数据流流进入外外联接入入路由器器时使用用ACLL进行分分流控制制;3. 规规范对方方数据流流进入外外联平台台后生产产与开发发测试类类映射地地址的使使用,做做到从映映射地址址能清楚楚辨别;4. 开开发测试试网与外外联接入入区域的的横向连连接必须须做到严严格的安安全控制制。