（业务管理）商业银行外联业务系统商业银行外联网接入平台探讨.pdfVIP

（业务管理）商业银行外联 业务系统商业银行外联网 接入平台探讨 商业银行外联网接入平台探讨 1 概述 1.1 外联网定义 商业银行外联网（Extranet）是和监管机构（人民银行、银监局） 及其他业务合作单位（证券公司、保险公司、税务公司、电力公司等 等）信息沟通的平台，是商业银行大力发展中间业务的基础。商业银 行外联网是银行为了和不同单位频繁交换业务信息，基于电信运营商 专线或其他公网设施构建的和其他单位间专用网络通道。 1.2 银行外联种类 （1）按业务分 银行外联业务种类繁多，主要有：证银联业务、社保 IC 卡、房改公 积金管理系统、代收中联通话费、代收移动话费、同城清算、人行税 银库企系统、人行银行信贷登记系统、金融统计数据报送、国际收支 数据报送、电子口岸、代收电费、代扣社保费、代收国税、代收地税、 代收固话费、财局国库集中系统、统发工资系统、代收财政罚款、物 业维修基金、非税系统、重要客户系统等等。 （2）按单位分 随着外联业务的不断扩大，外联单位也不断增加，主要有：各个证券 公司、社保局、房改办、联通公司、移动公司、海关、电力公司、国 税局、地税局、电信公司、供水公司、政府政务网、人行金融网、银 行的重客单位等等。 （3）按线路分： 外联线路主要以专线为主，部分外联业务采用拨号方式，线路类 型主要有：帧中继、SDH 、DDN 、城域网、拨号等。 1.3 提供外联线路的运营商 根据外联单位的不同需求，有多家运营商提供线路服务，主要有：电 信公司、盈通公司、网通公司、视通公司等。 2 外联网建设 2.1 外联网建设目标 商业银行外联应用主要是各地特色业务，业务开展中心主要于各 壹级分行及其辖内，外联单位也主要局限于壹级分行地域内，故现阶 段外联网建设以壹分行为单位，构建机密、可靠、高效、灵活的统壹 外联平台，保障全行外联系统的安全、稳定运行。壹级分行外联网平 台建设目标： （1）于壹级分行建立技术规范统壹的外联平台，作为辖内外联网 业务的唯壹入口，实施严格的安全控制和冗余保障机制，确保外联业 务系统稳定、安全运行。 （2）于壹级分行设立DMZ 前置区，用于部署和外联单位进行数 据交互的前置服务器，实现外联单位的业务主机和该行内网的业务主 机之间的有效隔离和控制。（DMZ ：主要起保护作用，是壹个缓冲带， 公开常用的服务器，如 FTP 服务器，WEB 服务器等，而外部网不能访 问内部网。） （3）利用防火墙和入侵检测等安全设备，实现壹级分行外联系统 集中的访问控制、监控和管理。 （4）于二级分行能够保留外联接口，利用VPN 通道（建立于二级 骨干网上）或者独立的专线，将二级分行外联业务数据传输至壹级分 行统壹外联平台，保证壹级分行统壹外联平台是全辖外联业务的唯壹 入口。 2.2 外联网建设设计原则 （1）规范性原则：网络设计按照银行科技应用规划的指导下，根 据已有的各项技术规范和安全标准而制订。 （2）安全性原则：通过建设统壹外联平台，采用集中接入、防火 墙技术、入侵监测技术、访问控制、双机热备、线路冗余等多种方式 联合实现统壹的安全策略和接入规范，来保障外联网络接入的信息和 运行安全。 （3）层次性原则：统壹外联平台采用多层次安全防御原理，设置 外联接入区、DMZ 前置区、内网区等不同安全等级的区域，部署热备 份防火墙、IDS 等网络安全产品，多层次拦截和防护，降低来自外联 网络的安全威胁，保护银行网络系统安全。（建立非军事区（DMZ ）, 是为不信任系统提供服务的孤立网段，它阻止内网和外网直接通信， 以保证内网安全，于非军事区上设置且安装基于网络的实时安全监控 系统，所有对外提供公开服务的服务器壹律设置于DMZ ，其中WWW 、 E-mail 、FTP 、DNS 服务器置于非军事区（DMZ ）。） （4）实用性原则：根据外联网存于的安全风险和业务系统的发展 需求，于满足当前需要的同时，充分利用现有资源，充分利用现有的 网络设备和网络安全设备，尽量降低建设成本。 （5）可扩展性原则：外联网由于其互联对象和环境的不同，所采 用的接入方式也多种多样。目前广泛存于的接入方式有拨号、帧中继、 DDN 、SDH 等，这就要求外联平台能够随接入方式的变化和接入容量的 增加而发展。外联网络接入平台需要于稳定、灵活的基础下，满足外 联业务的发展要求。 （6）可管理性原则