金融城域网(精选4篇)
金融城域网 篇1
随着人民银行“三定”方案的确定, 中国人民银行的职责进行了相应的调整, 增加反洗钱和管理信贷征信业两项职能。正是因为进行了上述调整, 人民银行需要在原有金融城域网联网机构的基础上进行扩容。扩容后的金融城域网联网机构除原有的银行业金融机构外还增加了证券、保险、小额贷款公司等非银行业金融机构。为了满足金融城域网对不同金融机构的管理要求, 人民银行应根据金融机构业务类型和规模大小对其接入金融城域网的方案进行分类管理。
本文以深圳地区的金融环境为背景, 以深圳中支对接入深圳金融城域网的金融机构的管理机制为研究对象, 通过调研、分析、总结各类金融机构对联网需求的不同特点提出可行性意见。
一、金融城域网接入机构的分类
金融城域网接入机构依照在当地业务规模的大小又可分为大中型金融机构和小微型金融机构。大中型金融机构或是总部位于当地或是在当地设立了分公司, 在当地或周边地区建立了自己独立的数据中心, 设置专门的信息技术部门并配备专业的技术团队对其数据中心进行管理, 信息技术力量雄厚。小微型金融机构在当地业务规模较小, 大多仅在当地设立办事处或营业网点, 在当地没有专门的数据中心, 信息技术基础设施简单, 仅以终端方式接入总部的数据中心开展业务, 基本没有专业的信息技术运维人员。大中型金融机构主要以银行业为主, 此外还包括财务公司、规模较大的证券和保险公司等。小微型金融机构基本是非银行金融机构, 以小额贷款公司、保险公司和证券业公司居多。
二、金融城域网分类接入需求分析
(一) 大中型金融机构的需求
以银行业金融机构为主的大中型金融机构需接入金融城域网, 获取人民银行提供的金融服务以及办理银行业相关业务。其直接面向终端客户提供实时金融服务, 信息系统的稳定性和安全性直接关系到各类金融业务能否正常开展, 进而影响社会金融秩序的稳定, 所以此类金融机构更加关注信息系统的安全性、稳定性。
非银行业大中型金融机构, 为了保证业务规模的稳定和持续扩展, 对信息技术的投入比较多, 注重信息数据的安全性和信息系统的稳定性。这些机构对接入金融城域网的安全和管理方面的要求, 都有比较完善的技术措施和管理制度。因此非银行业大中型金融机构接入金融城域网的管理要求可参照银行金融机构的接入管理要求。
(二) 小微型金融机构的需求
随着金融业的发展, 小型微型金融机构迅速发展, 为了开展业务, 小型微型金融机构需要与人民银行进行网络连接并进行数据交换, 其以周期性信息报送业务为主, 属于非实时性业务, 对接入金融城域网的稳定性要求相对于大中型金融机构要低一些, 但是对于数据安全性和信息系统服务的可靠性需求与大中型金融机构是一致的。
小微型金融机数量众多, 规模较小, 技术力量薄弱, 业务类型单一。由于在信息系统建设方面投入的资金和精力有限, 造成了小微型金融机构在信息安全方面存在一些问题。首先, 信息安全管理薄弱, 管理层对信息系统面临的威胁认识不足, 没有形成合理的信息安全机制来指导信息安全管理工作。小微型金融机构普遍存在管理层重业务发展、轻信息科技投入、缺乏信息科技长期发展规划的问题;其次, 信息化基础建设薄弱, 大多小微型金融机构没有独立的机房, 网络架构存在单点故障, 缺乏必要的安全防范措施;此外, 在信息管理制度建设、科技队伍建设、外包服务管理等方面都存在一定风险。正是因为小微型金融机构的信息安全特点, 因此在设计金融机构接入金融城域网的方案时, 要充分考虑到对小微型金融机构管理要求和需求特点。
三、深圳金融城域网分类接入方案
(一) 方案设计的原则
金融城域网的接入方案应满足《中国人民银行金融城域网入网管理办法 (试行) 》的管理要求。金融城域网联网扩容后网络覆盖范围的广泛性为金融业信息化发展提供了便利的环境, 然而网络系统运行特有的脆弱性, 给金融城域网的业务发展带来了新的金融风险和不稳定因素, 有可能造成金融机构业务经营和管理的停顿, 给社会大众带来不便, 给人民银行信誉带来极大的负面影响。因此在设计金融城域网的接入方案时, 网络安全是一个必须解决的重要问题, 同时也是一个极其复杂的问题, 考虑安全层次、技术难度及费用成本等因素, 在设计方案时应遵循以下安全管理原则:尽可能提高金融城域网的安全性和保密性;确保金融城域网的可靠性和业务交易的不可否认性、合法性;考虑到金融城域网范围的持续扩大和发展, 应具有良好的可扩展性, 并且易于维护、管理。考虑到小微金融机构在信息安全投入成本上的问题, 金融城域网安全系统应具有较好的性能价格比, 一次性投资, 可以长期使用;并且小微型金融机构联网是还应遵循集中接入的原则。
(二) 深圳金融城域网分类接入方案设计
根据各类金融机构性质和需求特点, 充分考虑数据安全性、稳定性、成本投入以及金融城域网的管理和维护上的可行性, 结合当前电信城域网络技术的发展趋势, 深圳金融城域网的接入管理要求接入机构必须采用数字专线或虚拟专用网络 (MPLS-VPN) 方式接入, 且接入网络禁止直接或间接与公众互联网连通。
1. 大中型金融机构接入方案
以银行业为主的大中型金融机构通过MSTP专线接入深圳金融城域网, 其中银行业金融机构因对金融服务的实时性要求较高, 应至少采用两家不同运营商的MSTP专线作为主、备线路接入, 不同运营商分别将各银行机构的专线汇聚后接入深圳金融城域网;根据银行机构性质的不同, 将中资银行和外资银行分别接入不同的汇聚端口。大中型非银行金融机构因为对金融服务的实时性要求相对较低, 可通过一条MSTP专线接入专门的路由器。通过接入线路的不同可以对不同性质的金融机构采用不同的安全策略。
2. 小微型金融机构接入方案
小微型金融机构根据自身的情况和业务特点选择通过专线或拨号方式接入深圳中支指定运营商的MPLS-VPN网络接入深圳金融城域网, 如果采用单机接入可以选择拨号方式, 其他情况应采用专线接入。深圳中支同时租用专线接入指定运营商的MPLS-VPN网络, 由运营商来完成与小微型金融机构的组网工作。
3. 深圳金融城域网接入方案
综合以上各类金融机构的接入方案, 结合金融城域网的设计原则, 我们设计如下深圳金融城域网分类接入方案, 如图1所示。
(三) 深圳金融城域网分类接入方案分析
1. 深圳中支网络结构安全设计
深圳中支的金融城域网结构设计根据人民银行总行要求, 设置专门的外联区域与各金融机构互联, 并且配备防火墙、入侵检测等安全设备, 作为深圳中支内网与外联区域的边界安全设备, 严格控制联网金融机构对深圳中支内网的访问权限, 确保深圳中支内网的安全性。
此外, 针对小微型金融机构缺乏专业的信息技术人员和必备的安全防护设备导致的入网后稳定性和安全性存在隐患的问题, 根据人民银行对小微型金融机构通过MPLS-VPN网络接入金融城域网的管理要求, 深圳中支在金融城域网结构中为小微型金融机构部署独立于现有外联路由器和外联防火墙的网络接入设备和安全设备, 增强安全控制力度。
2. 大中型金融机构接入方案分析
大中型金融机构采用MSTP专线接入深圳金融城域网, 可以满足银行业对信息系统安全性、可靠性和稳定性的需求。首先, MSTP专线接入技术比较成熟, 而且与目前深圳中支外联网络结构相似。深圳中支外联网络结构无需进行大的变化调整即可实现MSTP专线接入。其次, 各大中型金融机构的MSTP专线经过运营商汇聚后接入深圳中支外联路由器, 方便深圳中支对城域网的维护管理。再者, MSTP专线带宽可以平滑调整, 各大中型金融机构在将来因业务发展的需求, 需要扩容专线带宽时十分方便, 仅需运营商对专线带宽进行相应的调整即可实现扩容。但是对于深圳金融城域网来说, MSTP专线接入虽然可以保证网络的安全性和稳定性, 但也必须投入较高的线路租赁费用和配备必要的网络设备费用。
3. 小微型金融机构接入方案分析
小微型金融机构采用MPLS-VPN网络接入深圳金融城域网, 既可以满足部分小微型金融机构对信息系统安全性、稳定性的需求, 通过专线接入深圳中支指定运营商的MPLS-VPN网络, 还可以满足小微型融机构对接入深圳金融城域网成本上的敏感特性, 通过拨号形式接入。即使通过专线接入指定运营商的MPLS-VPN网络的租赁费用也比MSTP专线租赁费用要低。此外, 深圳中支仅需要维护一条接入指定运营商的MPLS-VPN网络的专线, 由运营商完成组网, 方便对金融城城域网的维护管理。
采用MPLS-VPN网络接入的缺点主要在以下几方面。首先, 相当一部份组网和管理工作交由电信运营商来完成, 网络安全性无法完全保证, 深圳中支需要增加必要的网络设备和安全设备, 外联区网络结构需要做相应的调整。其次, 要求深圳中支端租用的线路需要有一定的带宽, MPLS-VPN网络使用费用随着带宽的增加而迅速增加, 深圳中支为保证所有接入的小微型金融机构业务顺利开展必须租用几倍于小微型金融机构租用的网络带宽。
综上所述, 由于金融城域网联网范围的广泛性和金融机构业务类型和规模的多样性, 金融机构分类管理接入金融城域网既可以确保金融城域网的安全性和稳定性, 又可以便于金融城域网的联网范围的推广。
金融城域网 篇2
一、小额贷款公司接入模式
小额贷款公司数量众多, 比如广东省就有160多家, 考虑到接入管理、接入安全、接入成本等的方面, 需要提供适用的接入方案。具体可有以下几种模式。
(一) 人行集中接入
所有小额贷款公司统一接入人行, 方便直接管理。线路类型可采用MSTP或SDH。在人行端接入设备方面, 如果小额贷款公司数量较多, 可用单独的接入路由器接入小额贷款公司, 这样有利于管理清晰, 但会造成金融城域网接入结构的复杂化, 如果小额贷款公司数量不多, 可直接接入现有金融城域网路由器。
(二) 第三方机构集中接入
对于人行集中接入模式, 会对数量众多的小额贷款公司造成复杂的网络运维, 且异地小额贷款公司使用长途线路成本较高。因此可采用第三方机构接入的模式, 即人行与第三方机构单独连接, 小额贷款公司统一接入第三方机构。第三方机构可考虑几类, 一是运营商;二是小额贷款公司合作成立的机构, 比如小额贷款公司协会;三是金融办, 小额贷款公司属金融办对口管理, 但具体要与当地金融办协商并视金融办的网络建设情况而定。各种方式线路类型应根据实际情况来选择。
(三) 远程拨号接入
为进一步简化接入方式和节省费用, 辅助以上两种接入模式, 可考虑VPDN的拨号模式, 在人行端部署VPN网关, 为各机构分发证书, 实现安全认证。
二、小额贷款公司接入技术和成本
(一) 接入技术
在金融城域网外联机构繁多的情况下, 接入线路的线路类型、带宽不一, 线路运营商也有多个的情况。对此应采用汇聚线路、整合接口的模式, 首先要求线路运营商根据线路的类型对其线路进行汇聚, 在线路中划分时隙或子接口给各机构:如SDH线路采用155 M的数字光线路进行汇聚, 划分时隙;MSTP及MPLS VPN线路采用100 M的MSTP线路进行汇聚, 划分子端口。其次, 应提供不同的接口, 接入不同运营商的汇聚线路。通过线路汇聚和接口整合, 将原有的大量物理线路和较多接入端口简化为少量线路和端口, 解决外联机构接入问题。
如果是电信运营商直接作为第三方机构, 线路类型还可采用MPLS VPN, 人行和各机构单独接入本地运营商, 由运营商负责网络路由。现在MPLS VPN应用较广, 一些运营商发展都已较成熟, 网络为扁平化, 各机构本地接入, 这样能大大减少网络运维难度。MPLS VPN的缺点是网络路由部分由运营商控制, 在一定程度上缺乏管理控制的自主性。
(二) 接入成本
金融城域网 篇3
一、接入原则
一是集中接入原则。根据人行网络规划, 所有外联机构必须在省会城市节点和总行节点与人民银行网络进行数据交互, 小微金融机构在与人民银行网络互联时必须遵循该原则。
二是安全性原则。小微金融机构在接入人民银行网络时, 必须保证各个层面的信息安全。与人民银行互联的线路上不能传输互联网数据;小微金融机构接入人民银行的网络必须根据接入类型选择是否进行端到端的加密措施, 防止信息泄露;小微金融机构必须有完备的安全管理制度, 在自身网络内部必须采取访问控制措施, 防止不必要信息传输到人民银行网络。
三是可靠性原则。小微金融机构在接入人行网络时, 必须采用可靠的网络设备和线路, 避免因线路、设备问题造成网络中断问题。在人行端采用专用的网络设备, 确保网络的可靠性和可用性, 保障业务稳定运行。
二、技术要点比较
(一) VPN技术
当前主流的VPN技术主要有SSL VPN, IPSec VPN, 详细比较见表1所列。总的来说, SSL是第四层上的VPN技术, 适合点到网方式的部署。SSL VPN客户端要求不高, 原则上有Web浏览器就能接入;如果有业务需要, 这种方式更便于远程接入、移动办公。但是这样也带来管理上的问题——不利于终端统一管理。IPSec是网络层上的VPN技术, 适用于网到网方式的部署。在网络两端部署IPSec VPN设备, 可通过配置国密算法卡实现对国密算法的支持, 信息保密性强, 符合国密办对国密算法推广要求, 准入控制比较严格, 便于终端统一管理。
(二) 部署模式
1. 旁挂解决方案
VPN接入网关部署:在分行外联区域边界防火墙后面配置两台交换机互做冗余备份, 在交换机下面旁挂两台VPN网关。同时两台旁挂的VPN网关设备互做冗余和备份, 允许外联单位以IPSec VPN的方式接入金融城域网。
外联单位子系统部署:在各个外联单位的出口部署一台VPN网关, 实现与人行广州分行的VPN设备互联。
在旁挂模式下, VPN放置在旁路上, 其特点是客户的网络设备 (包括主机、路由器、工作站等) 和所有计算机的设置 (包括IP地址和网关) 无须改变, 同时解析所有通过它的数据包, 既增加了网络的安全性, 用户管理也非常简便。此方案需要增加网关接入交换机, 并需要在接入交换机和汇聚路由器上配置对应的策略控制, 故投资较大。
2. 串联解决方案
VPN接入网关子系统部署:在外联区域边界防火墙后面配置两台双机热备的VPN网关设备, 通过与防火墙串联的方式进行互联。同时两台VPN网关设备互做冗余和备份, 此VPN网关允许外联单位以IPSec VPN的方式接入总部局域网。
外联单位子系统部署:在各个外联单位的出口部署一台VPN网关, 实现与人行广州分行的VPN设备互联。
串联模式部署不需增加两台VPN网关接入交换机, 减少了设备投资, 同时也减少了网络中的故障节点;采用串联的方式部署对网络改动比较大, 包括现有的路由设置、防火墙设置、IP规划等。
为了与现有金融城域网平滑对接, 采用串联接入方式较为合适。
(三) 组网方式
MPLS VPN是一种基于MPLS技术的IP-VPN, 是在网络设备上应用标签交换结合传统路由技术实现的虚拟专用网络, 一个标签对应一个用户数据流, 从而实现用户数据的隔离。MSTP是基于SDH专线的一种接入方式, 用户通过专线接入运营商网络, 运营商网络通过VLAN来区分和收发不同用户的数据。用户之间的数据在专用的通道上传输, 与公网物理隔离, 可以最大限度保证用户数据安全性。比较而言, MSTP接入方式性能稳定, 安全性很好, 但月租费用高, 适用于大中型企业客户;MPLS VPN组网灵活, 扩展性好, 带宽可以灵活调整, 费用较低, 比较适合中小企业用户, 至于安全性上的欠缺, 可以通过二次加密技术使用IPSec VPN弥补。
(四) 路由管理
动态路由是依靠当前网络的状态信息进行决策, 从而使路由选择适应网络拓扑结构和通信量变化的结果, 网络设备的资源开销也比较大。静态路由由网络管理员在安装时手工配置, 路由发生变化时需要人工干预, 工作量较大, 优点是无须定时更新路由表, 路由器的CPU、内存资源开销小。在安全方面, 静态路由仅对本地路由器有效, 不受外部路由器的路由表变化的影响, 具有更高的安全性。小微金融机构一般是通过单线接入金融城域网, 网络传输状态简单, 路由结构变化不大, 对于技术力量较为薄弱的小微机构, 动态路由实现起来复杂, 使用静态路由可以节省维护成本。
三、方案实现
人行广州分行小微机构接入平台已投入使用, 网络结构如图1所示。小微金融机构采用MPLS VPN网络接入广州分行金融城域网, 在网络两端分别部署了国密VPN设备, 保证了网络可靠性和安全性。
设定使用场景如图2所示。小微金融机构客户端使用证书访问人行网络, 从而实现身份认证;经双方安全网关认证后, 客户端与网关之间开始加密通信, 直到会话结束。
四、小结
金融企业局域网的网络结构与设计 篇4
1 金融企业局域网概述
金融企业局域网络使企业内部各部门之间连接起来, 并且使其与外界相连, 它是金融企业一些重要信息的基础措施, 比如企业内部的通信、经营管理以及办公自动化和自动控制服务等重要信息。其作为金融企业信息化建设的硬件平台, 该平台的建设可以为企业用户提供便捷的计算机网络服务, 如对外将计算机接入Internet;远程用户可以对其进行接入, 并且实现网络地址转换、虚拟主机、电子邮件、信息共享以及文件传递和各种软件系统的运用等。这就要求在对金融企业局域网络进行设计时, 要能够方便和实时地对网络进行分析, 并且能够及时的发现和排除故障, 为金融企业建立一个安全、可靠以及高效的计算机局域网。在进行金融企业局域网络的建设时, 必须遵循实用性、先进性、可靠性、安全性以及开放性和可扩展性的原则。实用性是指网络建设应该从应用的实际性需求出发, 坚持为领导决策、经营管理以及生产建设服务;先进性是指对成熟的先进技术加以采用并且兼顾未来的发展趋势, 也就是说既要量力而行又要适当超前, 同时还要为以后的发展留点余地;可靠性是指对网络的可靠运行加以保证, 并且网络中的一些关键部分应具备一定的容错能力;安全性是指可以提供通服务器、公共网络的连接以及信链路等全方位的安全管理系统;开放性是指对国际标准通信协议、标准网管软件以及标准操作系统加以采用, 并且对符合标准的设备加以采用, 对整个系统的开放性特点进行保证, 同时对与异机种与异构网之间的互联能力加以增强;可扩展性则是指保证系统易于扩展, 同时还需对前期投资的有效性和后期投资的连续性加以保证。
2 网络结构设计
2.1 金融机构的组成及网络需求
本文讨论的金融企业的局域网络的结构设计, 均是相对于大型的金融机构而言。对于大多数金融机构而言, 想要顺利的开展业务活动就必须具有企业融资部、项目融资部、兼并与收购部、证券交易部、房地产部、风险资本部以及计划财务部。按照它们的职能又可将其划分为涉外部门、内务部门以及涉密部门, 基于以上各部门不同的需求, 除了需要满足上文所述的那些原则外, 一个成熟的金融局域网络还必须具备网络性能优良、出色的安全性、灵活、简单以及全面的网络管理、保护网络投资、运行可靠并且具备完善的灾难恢复能力以及网络的可操作性和灵活的扩展性等特点。
2.2 流行的网络拓扑结构
星型、树形结构、总线型以及环形和他们的混合型结构等是主要的网络拓扑结构, 各种结构都有其优点和缺点以及有各自的适用范围。单线传输是总线结构中主干线采用的传输方式, 整个网络中所有的用户都与主线直接相连。网络中的每一个节点设备都将中心节点作为其中心, 并且与中心点通过连接线进行连接, 这样的结构就称之为星型结构。树型网络结构则是天然的网络结构, 分级的集中式网络是其另一个名字。在环形结构中, 则是将所有站点彼此间进行串行连接, 构成一个回路, 其中数据的传输方向是单方向的, 两个站点之间仅存在一条通路而且是唯一的, 这样便可以对路径选择的控制进行了相当大的简化, 同时控制软件可靠性高并且相对简单。
2.3 组网设备概述
2.3.1 路由器和网关
相对于金融企业局域网而言, 因为有大量的数据都在局域网的内部发生, 对路由器的性能要求不是很高, 所以可以对一些中低端路由器加以采用。中小办公网络可以采用低端路由器, 端口数量是需要考虑的一个主要因素, 同时还应对包交换能力和NAT转换能力加以注意。大中型办公网络则可以选择中端路由器, 端口的支持能力、NAT转换能力以及包交换能力也是在选择时必须考虑到的, 而对于一些金融企业而言, 中断路由器是他们的普遍选择。网关的作用是将网络层上执行不同协议的子网相互连接起来, 网关能对异构设备之间的通信加以实现, 并且对不同的会话层、传输层以及表示层和应用层协议进行翻译和转换。对于大型金融企业机构来说, 高档路由器就显得相当方便和经济, 但是对于中小型金融企业机构来说, 昂贵的路由器设备因为不能充分发挥其容量特点, 所以就显得很不划算。通常在组建中小型金融机构局域网络过程中, 可以使用软件来代替网关和路由器, 以便使建网经费得到减少。
2.3.2 集线器和交换机
集线器和数据交换机是目前来说最为流行的两种集线设备。集线器的价格便宜但速度过慢, 数据交换机则是速度较快但是价格相对较贵。
2.3.3 防火墙、服务器以及网卡
防火墙有软件防火墙和硬件防火墙两种之分, 在金融企业网络建设中, 对服务器有速度高、吞吐能力强、扩展性强以及连网和管理能力强等要求。对于同等速度的度网卡而言, PCI总线的要快于ISA总线的网卡, 但是如果没有特殊的需要, 一般都选择使用PCI总线的网卡。
2.4 一般金融企业局域网组建实例
在设计模型时采用三层层次化网络进行设计, 高端路由器和交换机作为核心层的主要组成部分, 路由器和交换机则作为分布层的主要构成部分, 而用以与客户进行连接的低端交换机和无线接入点则是接入层的主要构成部分。设计完模型后要对Internet的接入方式加以确定该文的范例金融机构局域网中有两条线路可以与广域网进行连接, 其中一条是由ADSL所提供, 是给机构内部所有员工的代理上网。另一条则是为数字电路连接到当地的ISP中, 其主要用于金融机构内部各个服务器的网络服务工作。最后我们便是对金融企业的无线局域网进行设计。无线局域网系统主要通过数据连接协议在物理层进行连接。
3 金融企业的局域网络安全
在金融企业的局域网上都有针对企业内网而确定的防病毒体系的建立, 我们应该根据每个金融企业局域网的防病毒要求, 对局域网防病毒系统加以建立, 同时对有针对性的防病毒策略加以确立。我们可以通过划分VLAN防止网络监听和易交换式集线器代替共享式集线器等两种方式对内网的安全进行设置。
4 总结
本文对金融企业局域网和组网设备加以简要的概述, 同时对金融机构的组成和网络需求以及流行的网络拓扑结构加以分析, 简要的对一般金融企业局域网的组件实例进行了一番描述与分析。最后对金融企业的局域网络安全问题也进行了一番简要的介绍。总的说来就是各大中小型金融企业机构可根据自己的实际需求对企业或机构内部的局域网络进行建设, 同时注意局域网的安全防范问题, 只有这样才能让其更好的服务于企业。
参考文献
[1]王刚.企业局域网的组建与网站建设.计算机与信息技术, 2007.