金融机构接入城域网的方案及监管

时间:2022-06-03 11:28:09

金融机构接入城域网的方案及监管

金融城域网分类接入需求分析

以银行业金融机构为主的大中型金融机构需接入金融城域网,获取人民银行提供的金融服务以及办理银行业相关业务。其直接面向终端客户提供实时金融服务,信息系统的稳定性和安全性直接关系到各类金融业务能否正常开展,进而影响社会金融秩序的稳定,所以此类金融机构更加关注信息系统的安全性、稳定性。非银行业大中型金融机构,为了保证业务规模的稳定和持续扩展,对信息技术的投入比较多,注重信息数据的安全性和信息系统的稳定性。这些机构对接入金融城域网的安全和管理方面的要求,都有比较完善的技术措施和管理制度。因此非银行业大中型金融机构接入金融城域网的管理要求可参照银行金融机构的接入管理要求。随着金融业的发展,小型微型金融机构迅速发展,为了开展业务,小型微型金融机构需要与人民银行进行网络连接并进行数据交换,其以周期性信息报送业务为主,属于非实时性业务,对接入金融城域网的稳定性要求相对于大中型金融机构要低一些,但是对于数据安全性和信息系统服务的可靠性需求与大中型金融机构是一致的。小微型金融机数量众多,规模较小,技术力量薄弱,业务类型单一。由于在信息系统建设方面投入的资金和精力有限,造成了小微型金融机构在信息安全方面存在一些问题。首先,信息安全管理薄弱,管理层对信息系统面临的威胁认识不足,没有形成合理的信息安全机制来指导信息安全管理工作。小微型金融机构普遍存在管理层重业务发展、轻信息科技投入、缺乏信息科技长期发展规划的问题;其次,信息化基础建设薄弱,大多小微型金融机构没有独立的机房,网络架构存在单点故障,缺乏必要的安全防范措施;此外,在信息管理制度建设、科技队伍建设、外包服务管理等方面都存在一定风险。正是因为小微型金融机构的信息安全特点,因此在设计金融机构接入金融城域网的方案时,要充分考虑到对小微型金融机构管理要求和需求特点。

深圳金融城域网分类接入方案

金融城域网的接入方案应满足《中国人民银行金融城域网入网管理办法(试行)》的管理要求。金融城域网联网扩容后网络覆盖范围的广泛性为金融业信息化发展提供了便利的环境,然而网络系统运行特有的脆弱性,给金融城域网的业务发展带来了新的金融风险和不稳定因素,有可能造成金融机构业务经营和管理的停顿,给社会大众带来不便,给人民银行信誉带来极大的负面影响。因此在设计金融城域网的接入方案时,网络安全是一个必须解决的重要问题,同时也是一个极其复杂的问题,考虑安全层次、技术难度及费用成本等因素,在设计方案时应遵循以下安全管理原则:尽可能提高金融城域网的安全性和保密性;确保金融城域网的可靠性和业务交易的不可否认性、合法性;考虑到金融城域网范围的持续扩大和发展,应具有良好的可扩展性,并且易于维护、管理。考虑到小微金融机构在信息安全投入成本上的问题,金融城域网安全系统应具有较好的性能价格比,一次性投资,可以长期使用;并且小微型金融机构联网是还应遵循集中接入的原则。根据各类金融机构性质和需求特点,充分考虑数据安全性、稳定性、成本投入以及金融城域网的管理和维护上的可行性,结合当前电信城域网络技术的发展趋势,深圳金融城域网的接入管理要求接入机构必须采用数字专线或虚拟专用网络(MPLS-VPN)方式接入,且接入网络禁止直接或间接与公众互联网连通。1.大中型金融机构接入方案以银行业为主的大中型金融机构通过MSTP专线接入深圳金融城域网,其中银行业金融机构因对金融服务的实时性要求较高,应至少采用两家不同运营商的MSTP专线作为主、备线路接入,不同运营商分别将各银行机构的专线汇聚后接入深圳金融城域网;根据银行机构性质的不同,将中资银行和外资银行分别接入不同的汇聚端口。大中型非银行金融机构因为对金融服务的实时性要求相对较低,可通过一条MSTP专线接入专门的路由器。通过接入线路的不同可以对不同性质的金融机构采用不同的安全策略。2.小微型金融机构接入方案小微型金融机构根据自身的情况和业务特点选择通过专线或拨号方式接入深圳中支指定运营商的MPLS-VPN网络接入深圳金融城域网,如果采用单机接入可以选择拨号方式,其他情况应采用专线接入。深圳中支同时租用专线接入指定运营商的MPLS-VPN网络,由运营商来完成与小微型金融机构的组网工作。3.深圳金融城域网接入方案综合以上各类金融机构的接入方案,结合金融城域网的设计原则,我们设计如下深圳金融城域网分类接入方案,如图1所示。

1.深圳中支网络结构安全设计深圳中支的金融城域网结构设计根据人民银行总行要求,设置专门的外联区域与各金融机构互联,并且配备防火墙、入侵检测等安全设备,作为深圳中支内网与外联区域的边界安全设备,严格控制联网金融机构对深圳中支内网的访问权限,确保深圳中支内网的安全性。此外,针对小微型金融机构缺乏专业的信息技术人员和必备的安全防护设备导致的入网后稳定性和安全性存在隐患的问题,根据人民银行对小微型金融机构通过MPLS-VPN网络接入金融城域网的管理要求,深圳中支在金融城域网结构中为小微型金融机构部署独立于现有外联路由器和外联防火墙的网络接入设备和安全设备,增强安全控制力度。2.大中型金融机构接入方案分析大中型金融机构采用MSTP专线接入深圳金融城域网,可以满足银行业对信息系统安全性、可靠性和稳定性的需求。首先,MSTP专线接入技术比较成熟,而且与目前深圳中支外联网络结构相似。深圳中支外联网络结构无需进行大的变化调整即可实现MSTP专线接入。其次,各大中型金融机构的MSTP专线经过运营商汇聚后接入深圳中支外联路由器,方便深圳中支对城域网的维护管理。再者,MSTP专线带宽可以平滑调整,各大中型金融机构在将来因业务发展的需求,需要扩容专线带宽时十分方便,仅需运营商对专线带宽进行相应的调整即可实现扩容。但是对于深圳金融城域网来说,MSTP专线接入虽然可以保证网络的安全性和稳定性,但也必须投入较高的线路租赁费用和配备必要的网络设备费用。3.小微型金融机构接入方案分析小微型金融机构采用MPLS-VPN网络接入深圳金融城域网,既可以满足部分小微型金融机构对信息系统安全性、稳定性的需求,通过专线接入深圳中支指定运营商的MPLS-VPN网络,还可以满足小微型融机构对接入深圳金融城域网成本上的敏感特性,通过拨号形式接入。即使通过专线接入指定运营商的MPLS-VPN网络的租赁费用也比MSTP专线租赁费用要低。此外,深圳中支仅需要维护一条接入指定运营商的MPLS-VPN网络的专线,由运营商完成组网,方便对金融城城域网的维护管理。采用MPLS-VPN网络接入的缺点主要在以下几方面。首先,相当一部份组网和管理工作交由电信运营商来完成,网络安全性无法完全保证,深圳中支需要增加必要的网络设备和安全设备,外联区网络结构需要做相应的调整。其次,要求深圳中支端租用的线路需要有一定的带宽,MPLS-VPN网络使用费用随着带宽的增加而迅速增加,深圳中支为保证所有接入的小微型金融机构业务顺利开展必须租用几倍于小微型金融机构租用的网络带宽。综上所述,由于金融城域网联网范围的广泛性和金融机构业务类型和规模的多样性,金融机构分类管理接入金融城域网既可以确保金融城域网的安全性和稳定性,又可以便于金融城域网的联网范围的推广。

本文作者:赵炤工作单位:中国人民银行深圳市中心支行