近年來,為了最大限度地提升服務能力、挖掘客戶資源、開拓贏利渠道,金融行業在業務品種和服務手段上不斷創新和發展,大量的中間業務品種應運而生,例如: 跨行支付、銀聯卡、各類代收代付業務、銀證轉賬、銀證通 、銀保通、銀財通、銀稅通、收支兩條線管理等。金融企業通過與外聯企業的聯網大規模地拓展了服務渠道、豐富了業務品種。
很多金融機構已在各級機構發展了大量的外聯接入,而且隨著業務品種的不斷創新,數量越來越多,目前已達數百種,大型金融企業僅一個一級分行轄內與合作伙伴的網絡連接就可達一二百個。金融企業的開放服務帶來了銀企雙贏的新格局,而金融企業的外聯網絡逐漸成為至關重要的信息系統組成部分,外聯網絡引發的安全性和穩定性問題都可能給金融企業和合作伙伴帶來巨大的損失。
金融企業外聯網絡面臨的困擾
● 接入模式種類繁多、可維護性差: 體現在接入電路類型多種多樣、 接入點地理位置分散、外聯接入設備分布散亂以及IP地址規劃缺乏規范性等方面。
● 可靠性低: 由于采用大量的低端路由器,接入設備的健壯性比較差; 外聯網絡結構存在單點故障,例如接入路由器、防火墻、交換機等; 沒有高可靠性的網絡結構設計和冗余路由設計,網絡也就無法實現冗余。
● 網絡安全性差: 外聯網絡的可信度低,基于IP的攻擊手段和各類威脅層出不窮。各種蠕蟲、病毒、應用層攻擊技術和E-mail、移動代碼結合,形成復合攻擊手段,使威脅更加危險和難以抵御,來自外聯網絡的DDoS攻擊,更是會造成基礎設施的癱瘓。
● 可擴展性差: 這一點不利于新外聯業務的快速發展,新的應用容易產生新的問題。
整合金融企業外聯網絡四招式
整合后的網絡具備下列特性:
● 集中整合的外聯網絡邊界具有大容量的接入能力。
● 系統具有安全、合理的網絡架構,以及完備的冗余度和高穩定度。
● 網絡采用全面的安全防護措施,多種手段、多點保護外聯網絡安全。
● 網絡具備高可管理性和簡化的維護方式,提高工作效率。
● 完整的IP地址規劃有效控制了外部的訪問和保護內部網絡的具體信息不被透露。
第一招: 邊界整合
金融企業的外聯業務系統面臨向一級分行集中甚至向總行集中的趨勢,外聯邊界應盡量減少,可在一級分行和二級分行中心整合邊界。集中的邊界有利于傳輸環路保護、動態鏈路檢測等高可靠性手段的部署,采用不同運營商的CPOS或ATM方式集中匯接外網鏈路,有利于原有電路的平滑遷移。
第二招: 高可靠性的網絡架構
系統在網絡架構中針對外聯網絡特點進行分區,將對外直接提供服務的服務器集中到DMZ區,使后臺應用與服務界面分離; 內網測試區域相對獨立,加強外聯網絡生產、測試同時在一套網絡環境上承載的控制能力,從應用結構和網絡結構確保了整個外聯網絡的高安全性。每個網絡節點都采用冗余設備布局,連接上采用冗余模式,利用大量的高可靠性技術確保了網絡任何環節的問題都能及時恢復。例如: 路由器可采用VRRP虛擬路由技術、防火墻采用HA、交換機基于VRRP和IRF架構等。
第三招: 全方位的立體安全防護策略
面對外聯網絡存在的巨大風險,必須采用全方位的安全防護體系進行風險防范,避免短板出現。外聯接入路由器作為面臨風險的第一道關,其自身必須具備足夠的抗攻擊能力,通常采用關閉端口、關閉服務等方式進行自防御。IPS作為基于應用流的安全防護設備,對數據流進行深度檢測、線性過濾,能截殺各類病毒、木馬、DDoS和其他攻擊手段。自動數字疫苗分發服務、虛擬軟件補丁功能、即插即用的部署可大大提高IPS設備的可用性。防火墻作為安全防護體系的絕對主力,在外聯網絡中的作用無可替代,其基于源、目標的精確控制及基于端口的精確控制,確保了外聯網絡對金融網絡的訪問處于絕對控制之下。
第四招: IP地址管理
完善的NAT策略可確保IP地址的規范性和網絡環境變更的易管理性,高性能NAT功能可對合作伙伴網絡地址進入內網后進行精確的IP地址轉換,大大簡化了由于對方網絡變更導致的系統變更工作。系統將內部地址翻譯后再向外發布,既可以有效防范內部地址信息的泄漏,又可以避免網絡地址的變更給對方造成的麻煩。
京公網安備 11010802036102號北京金支點技術服務有限公司保留所有權利 | Copyright ? 2005-2025 Beijing Golden Point Outsourcing Service Co., Ltd. All Rights Reserved.