整合金融企業(yè)外聯(lián)網(wǎng)絡(luò)

申請免費試用、咨詢電話：400-8352-114

近年來，為了最大限度地提升服務(wù)能力、挖掘客戶資源、開拓贏利渠道，金融行業(yè)在業(yè)務(wù)品種和服務(wù)手段上不斷創(chuàng)新和發(fā)展，大量的中間業(yè)務(wù)品種應(yīng)運而生，例如: 跨行支付、銀聯(lián)卡、各類代收代付業(yè)務(wù)、銀證轉(zhuǎn)賬、銀證通、銀保通、銀財通、銀稅通、收支兩條線管理等。金融企業(yè)通過與外聯(lián)企業(yè)的聯(lián)網(wǎng)大規(guī)模地拓展了服務(wù)渠道、豐富了業(yè)務(wù)品種。

很多金融機構(gòu)已在各級機構(gòu)發(fā)展了大量的外聯(lián)接入，而且隨著業(yè)務(wù)品種的不斷創(chuàng)新，數(shù)量越來越多，目前已達數(shù)百種，大型金融企業(yè)僅一個一級分行轄內(nèi)與合作伙伴的網(wǎng)絡(luò)連接就可達一二百個。

金融企業(yè)的開放服務(wù)帶來了銀企雙贏的新格局，而金融企業(yè)的外聯(lián)網(wǎng)絡(luò)逐漸成為至關(guān)重要的信息系統(tǒng)組成部分，外聯(lián)網(wǎng)絡(luò)引發(fā)的安全性和穩(wěn)定性問題都可能給金融企業(yè)和合作伙伴帶來巨大的損失。

金融企業(yè)外聯(lián)網(wǎng)絡(luò)面臨的困擾

●  接入模式種類繁多、可維護性差: 體現(xiàn)在接入電路類型多種多樣、 接入點地理位置分散、外聯(lián)接入設(shè)備分布散亂以及IP地址規(guī)劃缺乏規(guī)范性等方面。

●  可靠性低: 由于采用大量的低端路由器，接入設(shè)備的健壯性比較差; 外聯(lián)網(wǎng)絡(luò)結(jié)構(gòu)存在單點故障，例如接入路由器、防火墻、交換機等; 沒有高可靠性的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計和冗余路由設(shè)計，網(wǎng)絡(luò)也就無法實現(xiàn)冗余。

●  網(wǎng)絡(luò)安全性差: 外聯(lián)網(wǎng)絡(luò)的可信度低，基于IP的攻擊手段和各類威脅層出不窮。各種蠕蟲、病毒、應(yīng)用層攻擊技術(shù)和E-mail、移動代碼結(jié)合，形成復(fù)合攻擊手段，使威脅更加危險和難以抵御，來自外聯(lián)網(wǎng)絡(luò)的DDoS攻擊，更是會造成基礎(chǔ)設(shè)施的癱瘓。

易受攻擊的風(fēng)險點多，大量分散的接入邊界導(dǎo)致攻擊風(fēng)險點廣泛分布。外聯(lián)網(wǎng)絡(luò)存在的安全短板比比皆是。

安全防護措施不完備，系統(tǒng)基本只在邊界采用防火墻來進行簡單的地址/端口控制，沒有多點多層面的立體安全防護體系。

●  可擴展性差: 這一點不利于新外聯(lián)業(yè)務(wù)的快速發(fā)展，新的應(yīng)用容易產(chǎn)生新的問題。

整合金融企業(yè)外聯(lián)網(wǎng)絡(luò)四招式

整合后的網(wǎng)絡(luò)具備下列特性:

●  集中整合的外聯(lián)網(wǎng)絡(luò)邊界具有大容量的接入能力，以適應(yīng)未來外聯(lián)網(wǎng)絡(luò)快速發(fā)展的需要和強化管理的需要。

●  系統(tǒng)具有安全、合理的網(wǎng)絡(luò)架構(gòu)，以及完備的冗余度和高穩(wěn)定度。

●  網(wǎng)絡(luò)采用全面的安全防護措施，多種手段、多點保護外聯(lián)網(wǎng)絡(luò)安全。

●  網(wǎng)絡(luò)具備高可管理性和簡化的維護方式，提高工作效率。

●  完整的IP地址規(guī)劃有效控制了外部的訪問和保護內(nèi)部網(wǎng)絡(luò)的具體信息不被透露。

第一招: 邊界整合

金融企業(yè)的外聯(lián)業(yè)務(wù)系統(tǒng)面臨向一級分行集中甚至向總行集中的趨勢，外聯(lián)邊界應(yīng)盡量減少，可在一級分行和二級分行中心整合邊界。集中的邊界有利于傳輸環(huán)路保護、動態(tài)鏈路檢測等高可靠性手段的部署，采用不同運營商的CPOS或ATM方式集中匯接外網(wǎng)鏈路，有利于原有電路的平滑遷移。

第二招: 高可靠性的網(wǎng)絡(luò)架構(gòu)

系統(tǒng)在網(wǎng)絡(luò)架構(gòu)中針對外聯(lián)網(wǎng)絡(luò)特點進行分區(qū)，將對外直接提供服務(wù)的服務(wù)器集中到DMZ區(qū)，使后臺應(yīng)用與服務(wù)界面分離; 內(nèi)網(wǎng)測試區(qū)域相對獨立，加強外聯(lián)網(wǎng)絡(luò)生產(chǎn)、測試同時在一套網(wǎng)絡(luò)環(huán)境上承載的控制能力，從應(yīng)用結(jié)構(gòu)和網(wǎng)絡(luò)結(jié)構(gòu)確保了整個外聯(lián)網(wǎng)絡(luò)的高安全性。

每個網(wǎng)絡(luò)節(jié)點都采用冗余設(shè)備布局，連接上采用冗余模式，利用大量的高可靠性技術(shù)確保了網(wǎng)絡(luò)任何環(huán)節(jié)的問題都能及時恢復(fù)。例如: 路由器可采用VRRP虛擬路由技術(shù)、防火墻采用HA、交換機基于VRRP和IRF架構(gòu)等。

第三招:  全方位的立體安全防護策略

面對外聯(lián)網(wǎng)絡(luò)存在的巨大風(fēng)險，必須采用全方位的安全防護體系進行風(fēng)險防范，避免短板出現(xiàn)。

外聯(lián)接入路由器作為面臨風(fēng)險的第一道關(guān)，其自身必須具備足夠的抗攻擊能力，通常采用關(guān)閉端口、關(guān)閉服務(wù)等方式進行自防御。IPS作為基于應(yīng)用流的安全防護設(shè)備，對數(shù)據(jù)流進行深度檢測、線性過濾，能截殺各類病毒、木馬、DDoS和其他攻擊手段。自動數(shù)字疫苗分發(fā)服務(wù)、虛擬軟件補丁功能、即插即用的部署可大大提高IPS設(shè)備的可用性。

防火墻作為安全防護體系的絕對主力，在外聯(lián)網(wǎng)絡(luò)中的作用無可替代，其基于源、目標的精確控制及基于端口的精確控制，確保了外聯(lián)網(wǎng)絡(luò)對金融網(wǎng)絡(luò)的訪問處于絕對控制之下。

第四招: IP地址管理

完善的NAT策略可確保IP地址的規(guī)范性和網(wǎng)絡(luò)環(huán)境變更的易管理性，高性能NAT功能可對合作伙伴網(wǎng)絡(luò)地址進入內(nèi)網(wǎng)后進行精確的IP地址轉(zhuǎn)換，大大簡化了由于對方網(wǎng)絡(luò)變更導(dǎo)致的系統(tǒng)變更工作。系統(tǒng)將內(nèi)部地址翻譯后再向外發(fā)布，既可以有效防范內(nèi)部地址信息的泄漏，又可以避免網(wǎng)絡(luò)地址的變更給對方造成的麻煩。(ccw-2007年12月03日第46期 B20)