整合金融企業(yè)外聯(lián)網(wǎng)絡(luò)

申請(qǐng)免費(fèi)試用、咨詢(xún)電話：400-8352-114

近年來(lái)，為了最大限度地提升服務(wù)能力、挖掘客戶(hù)資源、開(kāi)拓贏利渠道，金融行業(yè)在業(yè)務(wù)品種和服務(wù)手段上不斷創(chuàng)新和發(fā)展，大量的中間業(yè)務(wù)品種應(yīng)運(yùn)而生，例如: 跨行支付、銀聯(lián)卡、各類(lèi)代收代付業(yè)務(wù)、銀證轉(zhuǎn)賬、銀證通、銀保通、銀財(cái)通、銀稅通、收支兩條線管理等。金融企業(yè)通過(guò)與外聯(lián)企業(yè)的聯(lián)網(wǎng)大規(guī)模地拓展了服務(wù)渠道、豐富了業(yè)務(wù)品種。

很多金融機(jī)構(gòu)已在各級(jí)機(jī)構(gòu)發(fā)展了大量的外聯(lián)接入，而且隨著業(yè)務(wù)品種的不斷創(chuàng)新，數(shù)量越來(lái)越多，目前已達(dá)數(shù)百種，大型金融企業(yè)僅一個(gè)一級(jí)分行轄內(nèi)與合作伙伴的網(wǎng)絡(luò)連接就可達(dá)一二百個(gè)。

金融企業(yè)的開(kāi)放服務(wù)帶來(lái)了銀企雙贏的新格局，而金融企業(yè)的外聯(lián)網(wǎng)絡(luò)逐漸成為至關(guān)重要的信息系統(tǒng)組成部分，外聯(lián)網(wǎng)絡(luò)引發(fā)的安全性和穩(wěn)定性問(wèn)題都可能給金融企業(yè)和合作伙伴帶來(lái)巨大的損失。

金融企業(yè)外聯(lián)網(wǎng)絡(luò)面臨的困擾

●  接入模式種類(lèi)繁多、可維護(hù)性差: 體現(xiàn)在接入電路類(lèi)型多種多樣、 接入點(diǎn)地理位置分散、外聯(lián)接入設(shè)備分布散亂以及IP地址規(guī)劃缺乏規(guī)范性等方面。

●  可靠性低: 由于采用大量的低端路由器，接入設(shè)備的健壯性比較差; 外聯(lián)網(wǎng)絡(luò)結(jié)構(gòu)存在單點(diǎn)故障，例如接入路由器、防火墻、交換機(jī)等; 沒(méi)有高可靠性的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)和冗余路由設(shè)計(jì)，網(wǎng)絡(luò)也就無(wú)法實(shí)現(xiàn)冗余。

●  網(wǎng)絡(luò)安全性差: 外聯(lián)網(wǎng)絡(luò)的可信度低，基于IP的攻擊手段和各類(lèi)威脅層出不窮。各種蠕蟲(chóng)、病毒、應(yīng)用層攻擊技術(shù)和E-mail、移動(dòng)代碼結(jié)合，形成復(fù)合攻擊手段，使威脅更加危險(xiǎn)和難以抵御，來(lái)自外聯(lián)網(wǎng)絡(luò)的DDoS攻擊，更是會(huì)造成基礎(chǔ)設(shè)施的癱瘓。

易受攻擊的風(fēng)險(xiǎn)點(diǎn)多，大量分散的接入邊界導(dǎo)致攻擊風(fēng)險(xiǎn)點(diǎn)廣泛分布。外聯(lián)網(wǎng)絡(luò)存在的安全短板比比皆是。

安全防護(hù)措施不完備，系統(tǒng)基本只在邊界采用防火墻來(lái)進(jìn)行簡(jiǎn)單的地址/端口控制，沒(méi)有多點(diǎn)多層面的立體安全防護(hù)體系。

●  可擴(kuò)展性差: 這一點(diǎn)不利于新外聯(lián)業(yè)務(wù)的快速發(fā)展，新的應(yīng)用容易產(chǎn)生新的問(wèn)題。

整合金融企業(yè)外聯(lián)網(wǎng)絡(luò)四招式

整合后的網(wǎng)絡(luò)具備下列特性:

●  集中整合的外聯(lián)網(wǎng)絡(luò)邊界具有大容量的接入能力，以適應(yīng)未來(lái)外聯(lián)網(wǎng)絡(luò)快速發(fā)展的需要和強(qiáng)化管理的需要。

●  系統(tǒng)具有安全、合理的網(wǎng)絡(luò)架構(gòu)，以及完備的冗余度和高穩(wěn)定度。

●  網(wǎng)絡(luò)采用全面的安全防護(hù)措施，多種手段、多點(diǎn)保護(hù)外聯(lián)網(wǎng)絡(luò)安全。

●  網(wǎng)絡(luò)具備高可管理性和簡(jiǎn)化的維護(hù)方式，提高工作效率。

●  完整的IP地址規(guī)劃有效控制了外部的訪問(wèn)和保護(hù)內(nèi)部網(wǎng)絡(luò)的具體信息不被透露。

第一招: 邊界整合

金融企業(yè)的外聯(lián)業(yè)務(wù)系統(tǒng)面臨向一級(jí)分行集中甚至向總行集中的趨勢(shì)，外聯(lián)邊界應(yīng)盡量減少，可在一級(jí)分行和二級(jí)分行中心整合邊界。集中的邊界有利于傳輸環(huán)路保護(hù)、動(dòng)態(tài)鏈路檢測(cè)等高可靠性手段的部署，采用不同運(yùn)營(yíng)商的CPOS或ATM方式集中匯接外網(wǎng)鏈路，有利于原有電路的平滑遷移。

第二招: 高可靠性的網(wǎng)絡(luò)架構(gòu)

系統(tǒng)在網(wǎng)絡(luò)架構(gòu)中針對(duì)外聯(lián)網(wǎng)絡(luò)特點(diǎn)進(jìn)行分區(qū)，將對(duì)外直接提供服務(wù)的服務(wù)器集中到DMZ區(qū)，使后臺(tái)應(yīng)用與服務(wù)界面分離; 內(nèi)網(wǎng)測(cè)試區(qū)域相對(duì)獨(dú)立，加強(qiáng)外聯(lián)網(wǎng)絡(luò)生產(chǎn)、測(cè)試同時(shí)在一套網(wǎng)絡(luò)環(huán)境上承載的控制能力，從應(yīng)用結(jié)構(gòu)和網(wǎng)絡(luò)結(jié)構(gòu)確保了整個(gè)外聯(lián)網(wǎng)絡(luò)的高安全性。

每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)都采用冗余設(shè)備布局，連接上采用冗余模式，利用大量的高可靠性技術(shù)確保了網(wǎng)絡(luò)任何環(huán)節(jié)的問(wèn)題都能及時(shí)恢復(fù)。例如: 路由器可采用VRRP虛擬路由技術(shù)、防火墻采用HA、交換機(jī)基于VRRP和IRF架構(gòu)等。

第三招:  全方位的立體安全防護(hù)策略

面對(duì)外聯(lián)網(wǎng)絡(luò)存在的巨大風(fēng)險(xiǎn)，必須采用全方位的安全防護(hù)體系進(jìn)行風(fēng)險(xiǎn)防范，避免短板出現(xiàn)。

外聯(lián)接入路由器作為面臨風(fēng)險(xiǎn)的第一道關(guān)，其自身必須具備足夠的抗攻擊能力，通常采用關(guān)閉端口、關(guān)閉服務(wù)等方式進(jìn)行自防御。IPS作為基于應(yīng)用流的安全防護(hù)設(shè)備，對(duì)數(shù)據(jù)流進(jìn)行深度檢測(cè)、線性過(guò)濾，能截殺各類(lèi)病毒、木馬、DDoS和其他攻擊手段。自動(dòng)數(shù)字疫苗分發(fā)服務(wù)、虛擬軟件補(bǔ)丁功能、即插即用的部署可大大提高IPS設(shè)備的可用性。

防火墻作為安全防護(hù)體系的絕對(duì)主力，在外聯(lián)網(wǎng)絡(luò)中的作用無(wú)可替代，其基于源、目標(biāo)的精確控制及基于端口的精確控制，確保了外聯(lián)網(wǎng)絡(luò)對(duì)金融網(wǎng)絡(luò)的訪問(wèn)處于絕對(duì)控制之下。

第四招: IP地址管理

完善的NAT策略可確保IP地址的規(guī)范性和網(wǎng)絡(luò)環(huán)境變更的易管理性，高性能NAT功能可對(duì)合作伙伴網(wǎng)絡(luò)地址進(jìn)入內(nèi)網(wǎng)后進(jìn)行精確的IP地址轉(zhuǎn)換，大大簡(jiǎn)化了由于對(duì)方網(wǎng)絡(luò)變更導(dǎo)致的系統(tǒng)變更工作。系統(tǒng)將內(nèi)部地址翻譯后再向外發(fā)布，既可以有效防范內(nèi)部地址信息的泄漏，又可以避免網(wǎng)絡(luò)地址的變更給對(duì)方造成的麻煩。(ccw-2007年12月03日第46期 B20)