金融机构接入金融城域网的方案及管理.docx

金融机构接入金融城域网的方案及管理 中国人民银行深圳市中心支行 赵 随着人民银行“三定”方案的确定，中国人民银行的职责进行了相应的调整，增加反洗钱和管理信贷征 信业两项职能。正是因为进行了上述调整，人民银行需 要在原有金融城域网联网机构的基础上进行扩容。扩 容后的金融城域网联网机构除原有的银行业金融机构 外还增加了证券、保险、小额贷款公司等非银行业金融 机构。为了满足金融城域网对不同金融机构的管理 要 求，人民银行应根据金融机构业务类型和规模大小对 其接入金融城域网的方案进行分类管理。本文以深 圳地区的金融环境为背景，以深 圳中支 对接入深圳金融城域网的金融机构的管理机制为研究 对象，通过调研、分析、总结各类金融机构对联网需求 的不同特点提出可行性意见。心进行管理，信息技术力量雄厚。小微型金融机构在当地业务规模较小，大多仅在当地设 立办事处或营业网 点，在当地没有专门的数据中心，信息技术基础设施简 单，仅以终端方式接入总部的数据中心开展业务，基本 没有专业的信息技术运维人员。大中型金融机构主要 以银行业为主，此外还包括财务公司、规模较大的证券 和保险公司等。小微型金融机构基本是非银行金融机 构，以小额贷款公司、保险公司和证券业公司居多。二、金融城域网分类接入需求分析（一）大中型金融机构的需求以银 行业 金融机 构为主 的 大中型 金融机 构 需接 入金融城域网，获取人民银行提供的金融服务以及办 理银行业相关 业务。其直接面向终端客户提 供 实时金 融服务，信息系统的稳定性和安全 性直接关系到各类 金融 业务能否正常开展，进而影响社会金融秩 序的稳 定，所以此类金融机构更加关注信息系统的安全 性、 稳定性。非银行业大中型金融机构，为了保证 业务规模的 稳定和持续扩展，对信息技术的投入比较 多，注重信息数据的安全性和信息系统的 稳定性。这些机构对接入金融城域网的安 全和管理方面的要求，都有比较完善的技 术措施和管理制度。因此非银行业大中型 金融机构接入金融城 域网的管理 要求可 参照银行金融机构的接入管理要求。（二）小微型金融机构的需求 随着金融业的发展，小型微型金融机构迅速发展，为了开展业务，小型微型金 融机构需要与人民银行进行网络连接并 进行数据交换，其以周期性信息报送业务 为主，属于非实时性 业务，对接入金融城一、金融城域网接入机构的分类金融城域网接入机构依照在当地业务规模的大小又可分为大中型金融机构和小微型金融机构。大中型 金融机构或是总部位于当地或是在当地设立了分公司， 在当地或周边地区建立了自己独立的数据中心，设置专 门的信息技术部门并配备专业的技术团队对其数据中802013年第3期 投稿邮箱 运维管理实务栏目编辑：梁丽雯 e-mail:liven_01163.com域网的稳定性要求 相对于大中型金融机构要低一些，但是对于数据安全性和信息系统 服务的可靠性 需求与大中型金融机构是 一 致的。小微型金融机数量众多，规模较小，技 术力量薄弱，业务类型单一。由于在信息系 统建设方面投入的资金和精力有限，造成了 小微型金融机构在信息安全方面存在一些 问题。首先，信息安全管理薄弱，管理层对信 息系统面临的威胁认识不足，没有形成合理 的信息安全机制来指导信息安全管理工作。 小微型金融机构普 遍存在管理 层重业务发 展、轻信息科技投入、缺乏信息科技长期发展规划的问 题；其次，信息化基础建设薄弱，大多小微型金融机构 没有独立的机房，网络架构存在单点故障，缺乏必要的 安全防范措施；此外，在信息管理制度建设、科技队伍 建设、外包服务管理等方面都存在一定风险。正是因为 小微型金融机构的信息安全特点，因此在设计金融机 构接入金融城域网的方案时，要充分考虑到对小微型 金融机构管理要求和需求特点。原则。（二）深圳金融城域网分类接入方案设计 根据各类金融机构性质和需求特点，充分考虑数据安全性、稳定性、成本投入以及金融城域网的管理和 维护上的可行性，结合当前电信城域网络技术的发展趋 势，深圳金融城域网的接入管理 要求接入机构必须采 用数字专线或虚拟专用网络（mpls-vpn）方式接入， 且接入网络禁止直接或间接与公众互联网连通。1. 大中型金融机构接入方案 以银行业为主的大中型金融机构通过mstp专线接入深圳金融城域网，其中银行业金融机构因对金融服 务的实时性要求较高，应至少采用两家不同运营商的 mstp专线作为主、备线路接入，不同运营商分别将各 银行机构的专线汇聚后接入深圳金融城域网；根据银 行机构性质的不同，将中资银行和外资银行分别接入 不同的汇聚端口。大中型非银行金融机构因为对金融服 务的实时性要求相对较低，可通过一条mstp专线接入 专门的路由器。通过接入 线路的不同可以对不同性质 的金融机构采用不同的安全策略。2. 小微型金融机构接入方案 小微 型 金 融 机 构 根 据自身的 情况和业 务特点 选择 通 过 专 线或 拨号方式接 入深 圳中支 指定运营 商的 mpl s-vpn网络接入深圳金融城域网，如果采用单机 接入可以选择拨号方式，其他情况应采用专线接入。深 圳中支同时租用专线接入指定运营商的mpls-vpn网 络，由运营商来完成与小微型金融机构的组网工作。3. 深圳金融城域网接入方案 综合以上各类金融机构的接入方案，结合金融城域网的设计原则，我们设 计如下深圳金融城域网分类三、深圳金融城域网分类接入方案（一）方案设计的原则金融城域网的接入方案应满足中国人民银行金 融城域网入网管理办法（试 行）的管理要求。金融城 域网联网扩容后网络覆盖范围的广泛性为金融业信息 化发展提 供了便利的环境，然而网络系统 运行特有的 脆弱性，给金融城域网的业务发展带来了新的金融风 险和不稳定因素，有可能造成金融机构业务经营和管 理的停顿，给社会大众带来不便，给人民银行信誉带来 极大的负面影响。因此在设计金融城域网的接入方案 时，网络 安全是 一 个必须解决的重要问题，同时也是 一个极其复杂的问题，考虑安全层次、技术难度及费用 成本等因素，在设计方案时应遵循以下安全管理原则： 尽可能提高金融城域网的安全 性和保密性；确保金融 城域网的可靠性和业务交易的不可否认性、合法性；考 虑到金融城域网范围的持 续扩大和发展，应具 有良好 的可扩展性，并且易于维护、管理。考虑到小微金融机 构在信息安全投入成本上的问题，金融城域网安全系 统应具有较好的性能价格比，一次性投资，可以长期使 用；并且小微型金融机构联网是还应遵循集中接入的2013年第3期 投稿邮箱 81外联防火墙人民银行深圳中支 业务网局域网f5网间互联平台运营商外联交换机mpls vpn专网小微型金融机构专用接入设备外联路由器专线拨号 专用路由器mstp专线mstp专线mstp专线mpls vpn专网接入的小 微型金融机构中资银行外资银行大中型非银行金融机构图1 深圳金融城域网接入方案实务运维管理栏目编辑：梁丽雯 e-mail:liven_01163.com城域网的维 护管理。再者，mstp专线带宽可以 平滑 调 整，各大中型 金 融机构在将来因业务发 展的 需 求，需要 扩容专 线带 宽 时十分方便，仅 需运营商对专线带宽进 行相应的调整即可实现 扩容。但是 对于深 圳金 融城域网来说，mstp专 线接入 虽然可以保证网 络的安全性和稳定性， 但也必须投入较高的线 路租赁费用和配备必要 的网络设备费用。3. 小微型金融机构 接入方案分析小微型金融机构采 用mpls-vpn网络接入深圳金融城域网，既可以满足部 分小微型金融机构对信息系统安全性、稳定性的需求， 通过专线接入深圳中支指定运营商的mpls-vpn网络， 还可以满足小微型融机构对接入深圳金融城域网成本 上的敏感特性，通过拨号形式接入。即使 通过专线接 入指定运营商的mpls-vpn网络的租赁费用也比mstp 专线租赁费用要低。此外，深圳中支仅需要维护一条接 入指定运营商的mpls-vpn网络的专线，由运营商完成 组网，方便对金融城城域网的维护管理。采用m pls-v pn网络接入的缺点主要在以下几方 面。首先，相当一部份组网和管理工作交由电信运营商 来完成，网络安全性无法完全保证，深圳中支需要增加 必要的网络设备和安全 设备，外联区网络结构需要做 相应的调整。其次，要求深圳中支端租用的线路需要有 一定的带宽，mpls-vpn网络使用费用随着带宽的增加 而迅速增加，深圳中支为保证所有接入的小微型金融 机构业务顺利开展必须租用几倍于小微型金融机构租 用的网络带宽。综 上 所 述，由于金融 城 域 网 联 网 范 围 的广 泛 性 和金融机 构业 务 类 型和 规 模 的多样性，金 融机 构分 类 管 理 接 入 金 融城 域网既 可以确保 金 融城 域网的安 全 性和稳 定 性，又可以便 于金融 城 域 网的 联 网 范 围 的推广。ftt 接入方案，如图1所示。（三）深圳金融城域网分类接入方案分析1. 深圳中支网络结构安全设计 深圳中支的金融城域网结构设计根据人民银行总行要求，设置专门的外联区域与各金融机构互联，并且配 备防火墙、入侵检测等安全设备，作为深圳中支内网与外 联区域的边界安全设备，严格控制联网金融机构对深圳 中支内网的访问权限，确保深圳中支内网的安全性。此 外，针对小 微型金融机构缺乏专业的信息技术 人员和必备的安全防护设备导致的入网后稳定性和安 全性存在隐患的问题，根据人民银行对小微型金融机 构通过mpls-vpn网络接入金融城域网的管理要求， 深圳中支在金融城域网结构中为小微型金融机构部署 独立于现有外联路由器和外联防火墙的网络接入设备 和安全设备，增强安全控制力度。2. 大中型金融机构接入方案分析 大中型金融机构