引:金融企业的开放服务带来了银企双赢的新格局,而金融企业的外联网络逐渐成为至关重要的信息系统组成部分
近年来,为了最大限度地提升服务能力、挖掘客户资源、开拓赢利渠道,金融行业在业务品种和服务手段上不断创新和发展,大量的中间业务品种应运而生,例如: 跨行支付、银联卡、各类代收代付业务、银证转账、银证通、银保通、银财通、银税通、收支两条线管理等。金融企业通过与外联企业的联网大规模地拓展了服务渠道、丰富了业务品种。
很多金融机构已在各级机构发展了大量的外联接入,而且随着业务品种的不断创新,数量越来越多,目前已达数百种,大型金融企业仅一个一级分行辖内与合作伙伴的网络连接就可达一二百个。
金融企业的开放服务带来了银企双赢的新格局,而金融企业的外联网络逐渐成为至关重要的信息系统组成部分,外联网络引发的安全性和稳定性问题都可能给金融企业和合作伙伴带来巨大的损失。
金融企业外联网络面临的困扰
● 接入模式种类繁多、可维护性差: 体现在接入电路类型多种多样、 接入点地理位置分散、外联接入设备分布散乱以及IP地址规划缺乏规范性等方面。
● 可靠性低: 由于采用大量的低端路由器,接入设备的健壮性比较差; 外联网络结构存在单点故障,例如接入路由器、防火墙、交换机等; 没有高可靠性的网络结构设计和冗余路由设计,网络也就无法实现冗余。
● 网络安全性差: 外联网络的可信度低,基于IP的攻击手段和各类威胁层出不穷。各种蠕虫、病毒、应用层攻击技术和E-mail、移动代码结合,形成复合攻击手段,使威胁更加危险和难以抵御,来自外联网络的DDoS攻击,更是会造成基础设施的瘫痪。
易受攻击的风险点多,大量分散的接入边界导致攻击风险点广泛分布。外联网络存在的安全短板比比皆是。
安全防护措施不完备,系统基本只在边界采用防火墙来进行简单的地址/端口控制,没有多点多层面的立体安全防护体系。
● 可扩展性差: 这一点不利于新外联业务的快速发展,新的应用容易产生新的问题。
整合金融企业外联网络四招式
整合后的网络具备下列特性:
● 集中整合的外联网络边界具有大容量的接入能力,以适应未来外联网络快速发展的需要和强化管理的需要。
● 系统具有安全、合理的网络架构,以及完备的冗余度和高稳定度。
● 网络采用全面的安全防护措施,多种手段、多点保护外联网络安全。
● 网络具备高可管理性和简化的维护方式,提高工作效率。
● 完整的IP地址规划有效控制了外部的访问和保护内部网络的具体信息不被透露。
第一招: 边界整合
金融企业的外联业务系统面临向一级分行集中甚至向总行集中的趋势,外联边界应尽量减少,可在一级分行和二级分行中心整合边界。集中的边界有利于传输环路保护、动态链路检测等高可靠性手段的部署,采用不同运营商的CPOS或ATM方式集中汇接外网链路,有利于原有电路的平滑迁移。
第二招: 高可靠性的网络架构
系统在网络架构中针对外联网络特点进行分区,将对外直接提供服务的服务器集中到DMZ区,使后台应用与服务界面分离; 内网测试区域相对独立,加强外联网络生产、测试同时在一套网络环境上承载的控制能力,从应用结构和网络结构确保了整个外联网络的高安全性。
每个网络节点都采用冗余设备布局,连接上采用冗余模式,利用大量的高可靠性技术确保了网络任何环节的问题都能及时恢复。例如: 路由器可采用VRRP虚拟路由技术、防火墙采用HA、交换机基于VRRP和IRF架构等。
第三招: 全方位的立体安全防护策略
面对外联网络存在的巨大风险,必须采用全方位的安全防护体系进行风险防范,避免短板出现。
外联接入路由器作为面临风险的第一道关,其自身必须具备足够的抗攻击能力,通常采用关闭端口、关闭服务等方式进行自防御。IPS作为基于应用流的安全防护设备,对数据流进行深度检测、线性过滤,能截杀各类病毒、木马、DDoS和其他攻击手段。自动数字疫苗分发服务、虚拟软件补丁功能、即插即用的部署可大大提高IPS设备的可用性。
防火墙作为安全防护体系的绝对主力,在外联网络中的作用无可替代,其基于源、目标的精确控制及基于端口的精确控制,确保了外联网络对金融网络的访问处于绝对控制之下。
第四招: IP地址管理
完善的NAT策略可确保IP地址的规范性和网络环境变更的易管理性,高性能NAT功能可对合作伙伴网络地址进入内网后进行精确的IP地址转换,大大简化了由于对方网络变更导致的系统变更工作。系统将内部地址翻译后再向外发布,既可以有效防范内部地址信息的泄漏,又可以避免网络地址的变更给对方造成的麻烦 |
