整合金融企業(yè)外聯網絡

申請免費試用、咨詢電話：400-8352-114

近年來，為了最大限度地提升服務能力、挖掘客戶資源、開拓贏利渠道，金融行業(yè)在業(yè)務品種和服務手段上不斷創(chuàng)新和發(fā)展，大量的中間業(yè)務品種應運而生，例如: 跨行支付、銀聯卡、各類代收代付業(yè)務、銀證轉賬、銀證通、銀保通、銀財通、銀稅通、收支兩條線管理等。金融企業(yè)通過與外聯企業(yè)的聯網大規(guī)模地拓展了服務渠道、豐富了業(yè)務品種。

很多金融機構已在各級機構發(fā)展了大量的外聯接入，而且隨著業(yè)務品種的不斷創(chuàng)新，數量越來越多，目前已達數百種，大型金融企業(yè)僅一個一級分行轄內與合作伙伴的網絡連接就可達一二百個。

金融企業(yè)的開放服務帶來了銀企雙贏的新格局，而金融企業(yè)的外聯網絡逐漸成為至關重要的信息系統組成部分，外聯網絡引發(fā)的安全性和穩(wěn)定性問題都可能給金融企業(yè)和合作伙伴帶來巨大的損失。

金融企業(yè)外聯網絡面臨的困擾

●  接入模式種類繁多、可維護性差: 體現在接入電路類型多種多樣、 接入點地理位置分散、外聯接入設備分布散亂以及IP地址規(guī)劃缺乏規(guī)范性等方面。

●  可靠性低: 由于采用大量的低端路由器，接入設備的健壯性比較差; 外聯網絡結構存在單點故障，例如接入路由器、防火墻、交換機等; 沒有高可靠性的網絡結構設計和冗余路由設計，網絡也就無法實現冗余。

●  網絡安全性差: 外聯網絡的可信度低，基于IP的攻擊手段和各類威脅層出不窮。各種蠕蟲、病毒、應用層攻擊技術和E-mail、移動代碼結合，形成復合攻擊手段，使威脅更加危險和難以抵御，來自外聯網絡的DDoS攻擊，更是會造成基礎設施的癱瘓。

易受攻擊的風險點多，大量分散的接入邊界導致攻擊風險點廣泛分布。外聯網絡存在的安全短板比比皆是。

安全防護措施不完備，系統基本只在邊界采用防火墻來進行簡單的地址/端口控制，沒有多點多層面的立體安全防護體系。

●  可擴展性差: 這一點不利于新外聯業(yè)務的快速發(fā)展，新的應用容易產生新的問題。

整合金融企業(yè)外聯網絡四招式

整合后的網絡具備下列特性:

●  集中整合的外聯網絡邊界具有大容量的接入能力，以適應未來外聯網絡快速發(fā)展的需要和強化管理的需要。

●  系統具有安全、合理的網絡架構，以及完備的冗余度和高穩(wěn)定度。

●  網絡采用全面的安全防護措施，多種手段、多點保護外聯網絡安全。

●  網絡具備高可管理性和簡化的維護方式，提高工作效率。

●  完整的IP地址規(guī)劃有效控制了外部的訪問和保護內部網絡的具體信息不被透露。

第一招: 邊界整合

金融企業(yè)的外聯業(yè)務系統面臨向一級分行集中甚至向總行集中的趨勢，外聯邊界應盡量減少，可在一級分行和二級分行中心整合邊界。集中的邊界有利于傳輸環(huán)路保護、動態(tài)鏈路檢測等高可靠性手段的部署，采用不同運營商的CPOS或ATM方式集中匯接外網鏈路，有利于原有電路的平滑遷移。

第二招: 高可靠性的網絡架構

系統在網絡架構中針對外聯網絡特點進行分區(qū)，將對外直接提供服務的服務器集中到DMZ區(qū)，使后臺應用與服務界面分離; 內網測試區(qū)域相對獨立，加強外聯網絡生產、測試同時在一套網絡環(huán)境上承載的控制能力，從應用結構和網絡結構確保了整個外聯網絡的高安全性。

每個網絡節(jié)點都采用冗余設備布局，連接上采用冗余模式，利用大量的高可靠性技術確保了網絡任何環(huán)節(jié)的問題都能及時恢復。例如: 路由器可采用VRRP虛擬路由技術、防火墻采用HA、交換機基于VRRP和IRF架構等。

第三招:  全方位的立體安全防護策略

面對外聯網絡存在的巨大風險，必須采用全方位的安全防護體系進行風險防范，避免短板出現。

外聯接入路由器作為面臨風險的第一道關，其自身必須具備足夠的抗攻擊能力，通常采用關閉端口、關閉服務等方式進行自防御。IPS作為基于應用流的安全防護設備，對數據流進行深度檢測、線性過濾，能截殺各類病毒、木馬、DDoS和其他攻擊手段。自動數字疫苗分發(fā)服務、虛擬軟件補丁功能、即插即用的部署可大大提高IPS設備的可用性。

防火墻作為安全防護體系的絕對主力，在外聯網絡中的作用無可替代，其基于源、目標的精確控制及基于端口的精確控制，確保了外聯網絡對金融網絡的訪問處于絕對控制之下。

第四招: IP地址管理

完善的NAT策略可確保IP地址的規(guī)范性和網絡環(huán)境變更的易管理性，高性能NAT功能可對合作伙伴網絡地址進入內網后進行精確的IP地址轉換，大大簡化了由于對方網絡變更導致的系統變更工作。系統將內部地址翻譯后再向外發(fā)布，既可以有效防范內部地址信息的泄漏，又可以避免網絡地址的變更給對方造成的麻煩。(ccw-2007年12月03日第46期 B20)