1.商业银行外联业务系统-商业银行外联网接入平台探讨[精品].doc

商业银行外联网接入平台探讨 1 概述 1.1 外联网定义 商业银行外联网（Extranet）是与监管机构（人民银行、银监局）及其他业务合作单位（证券公司、保险公司、税务公司、电力公司等等）信息沟通的平台，是商业银行大力发展中间业务的基础。商业银行外联网是银行为了与不同单位频繁交换业务信息，基于电信运营商专线或其他公网设施构建的与其他单位间专用网络通道。 1.2 银行外联种类 （1）按业务分 　　银行外联业务种类繁多，主要有：证银联业务、社保IC卡、房改公积金管理系统、代收中联通话费、代收移动话费、同城清算、人行税银库企系统、人行银行信贷登记系统、金融统计数据报送、国际收支数据报送、电子口岸、代收电费、代扣社保费、代收国税、代收地税、代收固话费、财局国库集中系统、统发工资系统、代收财政罚款、物业维修基金、非税系统、重要客户系统等等。 （2）按单位分 　　随着外联业务的不断扩大，外联单位也不断增加，主要有：各个证券公司、社保局、房改办、联通公司、移动公司、海关、电力公司、国税局、地税局、电信公司、供水公司、政府政务网、人行金融网、银行的重客单位等等。 （3）按线路分： 外联线路主要以专线为主，部分外联业务采用拨号方式，线路类型主要有：帧中继、SDH、DDN、城域网、拨号等。 1.3 提供外联线路的运营商 　　根据外联单位的不同需求，有多家运营商提供线路服务，主要有：电信公司、盈通公司、网通公司、视通公司等。 2 外联网建设 2.1 外联网建设目标 商业银行外联应用主要是各地特色业务，业务开展中心主要在各一级分行及其辖内，外联单位也主要局限在一级分行地域内，故现阶段外联网建设以一分行为单位，构建机密、可靠、高效、灵活的统一外联平台，保障全行外联系统的安全、稳定运行。一级分行外联网平台建设目标： （1）在一级分行建立技术规范统一的外联平台，作为辖内外联网业务的唯一入口，实施严格的安全控制和冗余保障机制，确保外联业务系统稳定、安全运行。 （2）在一级分行设立DMZ前置区，用于部署与外联单位进行数据交互的前置服务器，实现外联单位的业务主机与该行内网的业务主机之间的有效隔离和控制。（DMZ：主要起保护作用，是一个缓冲带，公开常用的服务器，如FTP服务器，WEB服务器等，而外部网不能访问内部网。） （3）利用防火墙和入侵检测等安全设备，实现一级分行外联系统集中的访问控制、监控和管理。 （4）在二级分行可以保留外联接口，利用VPN通道（建立在二级骨干网上）或者独立的专线，将二级分行外联业务数据传输至一级分行统一外联平台，保证一级分行统一外联平台是全辖外联业务的唯一入口。 2.2 外联网建设设计原则 （1）规范性原则：网络设计按照银行科技应用规划的指导下，根据已有的各项技术规范和安全标准而制订。 （2）安全性原则：通过建设统一外联平台，采用集中接入、防火墙技术、入侵监测技术、访问控制、双机热备、线路冗余等多种方式联合实现统一的安全策略和接入规范，来保障外联网络接入的信息和运行安全。 （3）层次性原则：统一外联平台采用多层次安全防御原理，设置外联接入区、DMZ前置区、内网区等不同安全等级的区域，部署热备份防火墙、IDS等网络安全产品，多层次拦截和防护，降低来自外联网络的安全威胁，保护银行网络系统安全。（建立非军事区（DMZ）, 是为不信任系统提供服务的孤立网段，它阻止内网和外网直接通信，以保证内网安全，在非军事区上设置并安装基于网络的实时安全监控系统，所有对外提供公开服务的服务器一律设置在DMZ，其中WWW、E-mail、FTP、DNS服务器置于非军事区（DMZ）。） （4）实用性原则：根据外联网存在的安全风险和业务系统的发展需求，在满足当前需要的同时，充分利用现有资源，充分利用现有的网络设备和网络安全设备，尽量降低建设成本。 （5）可扩展性原则：外联网由于其互联对象和环境的不同，所采用的接入方式也多种多样。目前广泛存在的接入方式有拨号、帧中继、DDN、SDH等，这就要求外联平台能够随接入方式的变化和接入容量的增加而发展。外联网络接入平台需要在稳定、灵活的基础下，满足外联业务的发展要求。 （6）可管理性原则：统一外联平台应当具有可管理性，路由交换设备、防火墙产品、入侵检测产品等应提供方便、安全的管理特性，以实现对外联线路、接入设备、安全设备的事件监控和设备管理。 3外联网架构 银行业务都非常重要，要求系统具有高的可用性、可靠性（业务可持续性开展）、高的安全性（保障资金安全、信息安全），系统建设采用冗余架构。 外联网架构构成 一级分行统一外联平台包括外联接入区、DMZ前置区和内网区。外联接入区实现与外联单位互联及路由设置、数据包初步过滤等功能；DMZ前置区作为一级分行统一的业务前置区，实现与内、外网的业务系统数据交换，避免外联单位直接访问该行内网服