1商业银行外联业务系统商业银行外联网接入平台探讨.docx

1、1商业银行外联业务系统商业银行外联网接入平台探讨商业银行外联网接入平台探讨1 概述1.1 外联网定义商业银行外联网（Extranet）是与监管机构（人民银行、银监局）及其他业务合作单位（证券公司、保险公司、税务公司、电力公司等等）信息沟通的平台，是商业银行大力发展中间业务的基础。商业银行外联网是银行为了与不同单位频繁交换业务信息，基于电信运营商专线或其他公网设施构建的与其他单位间专用网络通道。1.2 银行外联种类（1）按业务分银行外联业务种类繁多，主要有：证银联业务、社保IC卡、房改公积金管理系统、代收中联通话费、代收移动话费、同城清算、人行税银库企系统、人行银行信贷登记系统、金融统计数据报送

2、、国际收支数据报送、电子口岸、代收电费、代扣社保费、代收国税、代收地税、代收固话费、财局国库集中系统、统发工资系统、代收财政罚款、物业维修基金、非税系统、重要客户系统等等。（2）按单位分随着外联业务的不断扩大，外联单位也不断增加，主要有：各个证券公司、社保局、房改办、联通公司、移动公司、海关、电力公司、国税局、地税局、电信公司、供水公司、政府政务网、人行金融网、银行的重客单位等等。（3）按线路分：外联线路主要以专线为主，部分外联业务采用拨号方式，线路类型主要有：帧中继、SDH、DDN、城域网、拨号等。1.3 提供外联线路的运营商根据外联单位的不同需求，有多家运营商提供线路服务，主要有：电信公司

3、、盈通公司、网通公司、视通公司等。2 外联网建设2.1 外联网建设目标商业银行外联应用主要是各地特色业务，业务开展中心主要在各一级分行及其辖内，外联单位也主要局限在一级分行地域内，故现阶段外联网建设以一分行为单位，构建机密、可靠、高效、灵活的统一外联平台，保障全行外联系统的安全、稳定运行。一级分行外联网平台建设目标：（1）在一级分行建立技术规范统一的外联平台，作为辖内外联网业务的唯一入口，实施严格的安全控制和冗余保障机制，确保外联业务系统稳定、安全运行。（2）在一级分行设立DMZ前置区，用于部署与外联单位进行数据交互的前置服务器，实现外联单位的业务主机与该行内网的业务主机之间的有效隔离和控制。

4、（DMZ：主要起保护作用，是一个缓冲带，公开常用的服务器，如FTP服务器，WEB服务器等，而外部网不能访问内部网。）（3）利用防火墙和入侵检测等安全设备，实现一级分行外联系统集中的访问控制、监控和管理。（4）在二级分行可以保留外联接口，利用VPN通道（建立在二级骨干网上）或者独立的专线，将二级分行外联业务数据传输至一级分行统一外联平台，保证一级分行统一外联平台是全辖外联业务的唯一入口。2.2 外联网建设设计原则（1）规范性原则：网络设计按照银行科技应用规划的指导下，根据已有的各项技术规范和安全标准而制订。（2）安全性原则：通过建设统一外联平台，采用集中接入、防火墙技术、入侵监测技术、访问控制、

5、双机热备、线路冗余等多种方式联合实现统一的安全策略和接入规范，来保障外联网络接入的信息和运行安全。（3）层次性原则：统一外联平台采用多层次安全防御原理，设置外联接入区、DMZ前置区、内网区等不同安全等级的区域，部署热备份防火墙、IDS等网络安全产品，多层次拦截和防护，降低来自外联网络的安全威胁，保护银行网络系统安全。（建立非军事区（DMZ）, 是为不信任系统提供服务的孤立网段，它阻止内网和外网直接通信，以保证内网安全，在非军事区上设置并安装基于网络的实时安全监控系统，所有对外提供公开服务的服务器一律设置在DMZ，其中WWW、E-mail、FTP、DNS服务器置于非军事区（DMZ）。）（4）实用

6、性原则：根据外联网存在的安全风险和业务系统的发展需求，在满足当前需要的同时，充分利用现有资源，充分利用现有的网络设备和网络安全设备，尽量降低建设成本。（5）可扩展性原则：外联网由于其互联对象和环境的不同，所采用的接入方式也多种多样。目前广泛存在的接入方式有拨号、帧中继、DDN、SDH等，这就要求外联平台能够随接入方式的变化和接入容量的增加而发展。外联网络接入平台需要在稳定、灵活的基础下，满足外联业务的发展要求。（6）可管理性原则：统一外联平台应当具有可管理性，路由交换设备、防火墙产品、入侵检测产品等应提供方便、安全的管理特性，以实现对外联线路、接入设备、安全设备的事件监控和设备管理。3外联网架

7、构银行业务都非常重要，要求系统具有高的可用性、可靠性（业务可持续性开展）、高的安全性（保障资金安全、信息安全），系统建设采用冗余架构。3.1外联网架构构成一级分行统一外联平台包括外联接入区、DMZ前置区和内网区。外联接入区实现与外联单位互联及路由设置、数据包初步过滤等功能；DMZ前置区作为一级分行统一的业务前置区，实现与内、外网的业务系统数据交换，避免外联单位直接访问该行内网服务器，有效保护该行内部服务器的安全；内网区联接该行内部网，部署后台应用服务器及数据服务器。结构如图1所示。3.2 外联网架构各区域功能设计（1）外联防火墙统一外联平台采用两台防火墙，按主备模式实现冗余。外联防火墙部署多个

8、安全区域，分别连接外联接入区、DMZ前置区、内网区。外联防火墙的具体功能如下：隔离外联接入区和DMZ前置区；隔离外联接入区和内网区；隔离DMZ前置区和内网区；部署访问控制策略，只允许外联单位的相关业务主机按照业务需求与DMZ前置区中的前置主机进行指定端口的相互访问；实现地址转换，隐藏DMZ及内部网络拓扑结构；IP地址合法性检查，防止地址欺骗；具备审计功能，对网络访问进行监控审计；对发生的攻击行为进行审计。图1 外联网架构（2）外联接入区外联接入区实现通过专用线路与业务伙伴相连，具体功能如下：提供多种网络接口，实现与外联单位的网络连接，并为重要的外联业务提供线路备份功能。实现地址转换，将外联单为

9、地址翻译为银行外联标准地址，避免外联单位地址冲突，简化外联平台路由。提供简单的访问控制，隔离各外联单位。（3）DMZ前置区DMZ前置区作为一级分行的业务前置区，实现与内、外网的业务系统数据交换。设置前置服务区是避免外联单位直接访问银行内网服务器，防止可能引发的攻击和病毒的扩散，控制危害区域，保证核心系统不受影响。（4）内网区内网区指银行的内部网络，在内部网部署外联业务应用服务器。外联网平台通过内联三层交换机与内网连接。整个外联网平台采用静态路由设计，平台内网部分交换机与内网核心交换建立三层连接交换路由信息。整个平台对外使用nat技术隐藏内部IP地址，外单位应用接入后在外层接入区映射到指定地址区

10、域，便于平台内维护管理。4外联网接入平台安全设计4.1 银行外联网络的安全现状及存在问题外联接入分为总行、一级分行、二级分行三个接入层次，据统计有80的外联单位是通过二级分行及以下层次接入的，面对如此众多的外联接入单位，我行还没有一个统一规划的完善的外联网络安全防御体系，特别是对于有些二级分行的外联网络只有基本的安全防护，只在外网的接入口使用防火墙进行安全控制，整体而言，外联网络缺少一个统一规划的完善的安全防御体系，抗风险能力低。下面针对外联网络中主要的安全风险点进行简单分析。 （1）外联接入点多且层次低，缺乏统一的规划和监管，存在接入风险。银行外联系统的接入五花八门，没有一个统一的接入规划和

11、接入标准，总行、一级分行、二级分行、甚至经办网点都有接入点，据统计80的外联接入都是通过二级分行及以下层次接入的，由于该层次的安全产品和安全技术资源都非常缺乏，因此对外联接入的监管控制缺乏力度，存在着接入风险。（2）缺少统一规范的安全架构和策略标准。在外联网络中，全行缺少统一规范的安全架构和访问控制策略标准，对众多的外联业务没有分层分级设定不同的安全策略，在网络层没有统一的安全访问控制标准，比如：允许开放的端口、必须关闭的端口、需要控制访问的端口、安全传输协议等等；在外联业务应用程序的编写方面没有统一的安全标准；在防火墙策略制定上也没有统一的安全标准，因此外联网络的整体可控性不强。（3）缺乏数

12、据传送过程中的加密机制。目前与外联单位互相传送的数据大部分都是明码传送，没有统一规范的加密传送机制。（4）缺少统一的安全审计和安全管理标准。外联网络没有一个统一的安全审计和安全管理标准，在安全检查和安全审计上没有一套行之有效的方法。4.2 外联平台的建设的安全设计原则（1）一级分行的统一外联平台，是辖内外联网业务的唯一入口。新增外联需求不再单独建设外联出口，现有外联业务系统应逐步切换至此平台上运行。（2）外联单位业务主机必须通过安全控制设备（如防火墙）访问银行网络，外联单位系统必须与银行DMZ前置区的外联业务前置机进行数据交换，不得直接访问银行内部网。（3）采取层次防护、区域控制的策略，通过边

13、界防护和核心防护保护外联网络系统安全。（4）通过NAT技术，对外隐藏内部网和DMZ前置区网络结构。（5）采用静态路由，限制外联单位间访问。（6）同一个平台的多个业务流要用ACL进行严格的隔离，使每一个业务流严格地按照规定的静态路由传输。（7）通过IDS系统对DMZ前置区进行入侵检测和行为审计。（8）对外联平台使用的网络设备、安全设备和服务器进行严格的访问控制，保障设备的运行安全。（9）定期分析、评估防火墙和IDS的日志，及时处理各级报警信息，并采取有效措施进行解决。对发现的恶意入侵事件应及时处理并立即上报。（10）安装Windows系统的统一外联平台主机必须安装相关安全软件，并确保能够及时升级

14、病毒库和系统补丁。5 外联平台可靠性设计如前结构图所示，外联平台关键网络设备、路由和线路应采用冗余设计，避免单点故障，提高网络健壮性。1. 防火墙通过冗余技术实现热备份。2. 重要外联单位的连接应具有网络设备和线路的备份措施。3. 二级分行外联接入点和一级分行统一外联平台之间的连接按照业务需求来设计线路和路由的备份策略。VPN通道模式可由二级骨干网实现备份，单独专线上联模式可使用冗余路由器和冗余线路实现备份。6 外联应用开发测试网接入探讨外联平台为生产服务，该银行规范要求开发测试网与生产运行网路物理隔离，但大量外连单位根本不可能再提供单独的线路组建开发测试网。顾可考虑再外联接入区横向增加一条至开发测试网防火墙的连接，外单位生产、开发测试都通过同一条物理线路进入外联接入区，再外联接入路由器上根据对方生产、开发主机源地址的不同进行转发。但从安全出发，必须建立一下规则：1. 严禁对方单位开发测试与生产使用一台主机；2. 对方业务数据流进入外联接入路由器时使用ACL进行分流控制；3. 规范对方数据流进入外联平台后生产与开发测试类映射地址的使用，做到从映射地址能清楚辨别；4. 开发测试网与外联接入区域的横向连接必须做到严格的安全控制。