金融機構接入城域網的方案及監管

導語：金融機構接入城域網的方案及監管一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

金融城域網分類接入需求分析

以銀行業金融機構為主的大中型金融機構需接入金融城域網，獲取人民銀行提供的金融服務以及辦理銀行業相關業務。其直接面向終端客戶提供實時金融服務，信息系統的穩定性和安全性直接關系到各類金融業務能否正常開展，進而影響社會金融秩序的穩定，所以此類金融機構更加關注信息系統的安全性、穩定性。非銀行業大中型金融機構，為了保證業務規模的穩定和持續擴展，對信息技術的投入比較多，注重信息數據的安全性和信息系統的穩定性。這些機構對接入金融城域網的安全和管理方面的要求，都有比較完善的技術措施和管理制度。因此非銀行業大中型金融機構接入金融城域網的管理要求可參照銀行金融機構的接入管理要求。隨著金融業的發展，小型微型金融機構迅速發展，為了開展業務，小型微型金融機構需要與人民銀行進行網絡連接并進行數據交換，其以周期性信息報送業務為主，屬于非實時性業務，對接入金融城域網的穩定性要求相對于大中型金融機構要低一些，但是對于數據安全性和信息系統服務的可靠性需求與大中型金融機構是一致的。小微型金融機數量眾多，規模較小，技術力量薄弱，業務類型單一。由于在信息系統建設方面投入的資金和精力有限，造成了小微型金融機構在信息安全方面存在一些問題。首先，信息安全管理薄弱，管理層對信息系統面臨的威脅認識不足，沒有形成合理的信息安全機制來指導信息安全管理工作。小微型金融機構普遍存在管理層重業務發展、輕信息科技投入、缺乏信息科技長期發展規劃的問題；其次，信息化基礎建設薄弱，大多小微型金融機構沒有獨立的機房，網絡架構存在單點故障，缺乏必要的安全防范措施；此外，在信息管理制度建設、科技隊伍建設、外包服務管理等方面都存在一定風險。正是因為小微型金融機構的信息安全特點，因此在設計金融機構接入金融城域網的方案時，要充分考慮到對小微型金融機構管理要求和需求特點。

深圳金融城域網分類接入方案

金融城域網的接入方案應滿足《中國人民銀行金融城域網入網管理辦法（試行）》的管理要求。金融城域網聯網擴容后網絡覆蓋范圍的廣泛性為金融業信息化發展提供了便利的環境，然而網絡系統運行特有的脆弱性，給金融城域網的業務發展帶來了新的金融風險和不穩定因素，有可能造成金融機構業務經營和管理的停頓，給社會大眾帶來不便，給人民銀行信譽帶來極大的負面影響。因此在設計金融城域網的接入方案時，網絡安全是一個必須解決的重要問題，同時也是一個極其復雜的問題，考慮安全層次、技術難度及費用成本等因素，在設計方案時應遵循以下安全管理原則：盡可能提高金融城域網的安全性和保密性；確保金融城域網的可靠性和業務交易的不可否認性、合法性；考慮到金融城域網范圍的持續擴大和發展，應具有良好的可擴展性，并且易于維護、管理。考慮到小微金融機構在信息安全投入成本上的問題，金融城域網安全系統應具有較好的性能價格比，一次性投資，可以長期使用；并且小微型金融機構聯網是還應遵循集中接入的原則。根據各類金融機構性質和需求特點，充分考慮數據安全性、穩定性、成本投入以及金融城域網的管理和維護上的可行性，結合當前電信城域網絡技術的發展趨勢，深圳金融城域網的接入管理要求接入機構必須采用數字專線或虛擬專用網絡（MPLS-VPN）方式接入，且接入網絡禁止直接或間接與公眾互聯網連通。1.大中型金融機構接入方案以銀行業為主的大中型金融機構通過MSTP專線接入深圳金融城域網，其中銀行業金融機構因對金融服務的實時性要求較高，應至少采用兩家不同運營商的MSTP專線作為主、備線路接入，不同運營商分別將各銀行機構的專線匯聚后接入深圳金融城域網；根據銀行機構性質的不同，將中資銀行和外資銀行分別接入不同的匯聚端口。大中型非銀行金融機構因為對金融服務的實時性要求相對較低，可通過一條MSTP專線接入專門的路由器。通過接入線路的不同可以對不同性質的金融機構采用不同的安全策略。2.小微型金融機構接入方案小微型金融機構根據自身的情況和業務特點選擇通過專線或撥號方式接入深圳中支指定運營商的MPLS-VPN網絡接入深圳金融城域網，如果采用單機接入可以選擇撥號方式，其他情況應采用專線接入。深圳中支同時租用專線接入指定運營商的MPLS-VPN網絡，由運營商來完成與小微型金融機構的組網工作。3.深圳金融城域網接入方案綜合以上各類金融機構的接入方案，結合金融城域網的設計原則，我們設計如下深圳金融城域網分類接入方案，如圖1所示。

1.深圳中支網絡結構安全設計深圳中支的金融城域網結構設計根據人民銀行總行要求，設置專門的外聯區域與各金融機構互聯，并且配備防火墻、入侵檢測等安全設備，作為深圳中支內網與外聯區域的邊界安全設備，嚴格控制聯網金融機構對深圳中支內網的訪問權限，確保深圳中支內網的安全性。此外，針對小微型金融機構缺乏專業的信息技術人員和必備的安全防護設備導致的入網后穩定性和安全性存在隱患的問題，根據人民銀行對小微型金融機構通過MPLS-VPN網絡接入金融城域網的管理要求，深圳中支在金融城域網結構中為小微型金融機構部署獨立于現有外聯路由器和外聯防火墻的網絡接入設備和安全設備，增強安全控制力度。2.大中型金融機構接入方案分析大中型金融機構采用MSTP專線接入深圳金融城域網，可以滿足銀行業對信息系統安全性、可靠性和穩定性的需求。首先，MSTP專線接入技術比較成熟，而且與目前深圳中支外聯網絡結構相似。深圳中支外聯網絡結構無需進行大的變化調整即可實現MSTP專線接入。其次，各大中型金融機構的MSTP專線經過運營商匯聚后接入深圳中支外聯路由器，方便深圳中支對城域網的維護管理。再者，MSTP專線帶寬可以平滑調整，各大中型金融機構在將來因業務發展的需求，需要擴容專線帶寬時十分方便，僅需運營商對專線帶寬進行相應的調整即可實現擴容。但是對于深圳金融城域網來說，MSTP專線接入雖然可以保證網絡的安全性和穩定性，但也必須投入較高的線路租賃費用和配備必要的網絡設備費用。3.小微型金融機構接入方案分析小微型金融機構采用MPLS-VPN網絡接入深圳金融城域網，既可以滿足部分小微型金融機構對信息系統安全性、穩定性的需求，通過專線接入深圳中支指定運營商的MPLS-VPN網絡，還可以滿足小微型融機構對接入深圳金融城域網成本上的敏感特性，通過撥號形式接入。即使通過專線接入指定運營商的MPLS-VPN網絡的租賃費用也比MSTP專線租賃費用要低。此外，深圳中支僅需要維護一條接入指定運營商的MPLS-VPN網絡的專線，由運營商完成組網，方便對金融城城域網的維護管理。采用MPLS-VPN網絡接入的缺點主要在以下幾方面。首先，相當一部份組網和管理工作交由電信運營商來完成，網絡安全性無法完全保證，深圳中支需要增加必要的網絡設備和安全設備，外聯區網絡結構需要做相應的調整。其次，要求深圳中支端租用的線路需要有一定的帶寬，MPLS-VPN網絡使用費用隨著帶寬的增加而迅速增加，深圳中支為保證所有接入的小微型金融機構業務順利開展必須租用幾倍于小微型金融機構租用的網絡帶寬。綜上所述，由于金融城域網聯網范圍的廣泛性和金融機構業務類型和規模的多樣性，金融機構分類管理接入金融城域網既可以確保金融城域網的安全性和穩定性，又可以便于金融城域網的聯網范圍的推廣。

本文作者：趙炤工作單位：中國人民銀行深圳市中心支行