導語：金融機構(gòu)接入城域網(wǎng)的方案及監(jiān)管一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

金融城域網(wǎng)分類接入需求分析

以銀行業(yè)金融機構(gòu)為主的大中型金融機構(gòu)需接入金融城域網(wǎng)，獲取人民銀行提供的金融服務(wù)以及辦理銀行業(yè)相關(guān)業(yè)務(wù)。其直接面向終端客戶提供實時金融服務(wù)，信息系統(tǒng)的穩(wěn)定性和安全性直接關(guān)系到各類金融業(yè)務(wù)能否正常開展，進而影響社會金融秩序的穩(wěn)定，所以此類金融機構(gòu)更加關(guān)注信息系統(tǒng)的安全性、穩(wěn)定性。非銀行業(yè)大中型金融機構(gòu)，為了保證業(yè)務(wù)規(guī)模的穩(wěn)定和持續(xù)擴展，對信息技術(shù)的投入比較多，注重信息數(shù)據(jù)的安全性和信息系統(tǒng)的穩(wěn)定性。這些機構(gòu)對接入金融城域網(wǎng)的安全和管理方面的要求，都有比較完善的技術(shù)措施和管理制度。因此非銀行業(yè)大中型金融機構(gòu)接入金融城域網(wǎng)的管理要求可參照銀行金融機構(gòu)的接入管理要求。隨著金融業(yè)的發(fā)展，小型微型金融機構(gòu)迅速發(fā)展，為了開展業(yè)務(wù)，小型微型金融機構(gòu)需要與人民銀行進行網(wǎng)絡(luò)連接并進行數(shù)據(jù)交換，其以周期性信息報送業(yè)務(wù)為主，屬于非實時性業(yè)務(wù)，對接入金融城域網(wǎng)的穩(wěn)定性要求相對于大中型金融機構(gòu)要低一些，但是對于數(shù)據(jù)安全性和信息系統(tǒng)服務(wù)的可靠性需求與大中型金融機構(gòu)是一致的。小微型金融機數(shù)量眾多，規(guī)模較小，技術(shù)力量薄弱，業(yè)務(wù)類型單一。由于在信息系統(tǒng)建設(shè)方面投入的資金和精力有限，造成了小微型金融機構(gòu)在信息安全方面存在一些問題。首先，信息安全管理薄弱，管理層對信息系統(tǒng)面臨的威脅認識不足，沒有形成合理的信息安全機制來指導信息安全管理工作。小微型金融機構(gòu)普遍存在管理層重業(yè)務(wù)發(fā)展、輕信息科技投入、缺乏信息科技長期發(fā)展規(guī)劃的問題；其次，信息化基礎(chǔ)建設(shè)薄弱，大多小微型金融機構(gòu)沒有獨立的機房，網(wǎng)絡(luò)架構(gòu)存在單點故障，缺乏必要的安全防范措施；此外，在信息管理制度建設(shè)、科技隊伍建設(shè)、外包服務(wù)管理等方面都存在一定風險。正是因為小微型金融機構(gòu)的信息安全特點，因此在設(shè)計金融機構(gòu)接入金融城域網(wǎng)的方案時，要充分考慮到對小微型金融機構(gòu)管理要求和需求特點。

深圳金融城域網(wǎng)分類接入方案

金融城域網(wǎng)的接入方案應(yīng)滿足《中國人民銀行金融城域網(wǎng)入網(wǎng)管理辦法（試行）》的管理要求。金融城域網(wǎng)聯(lián)網(wǎng)擴容后網(wǎng)絡(luò)覆蓋范圍的廣泛性為金融業(yè)信息化發(fā)展提供了便利的環(huán)境，然而網(wǎng)絡(luò)系統(tǒng)運行特有的脆弱性，給金融城域網(wǎng)的業(yè)務(wù)發(fā)展帶來了新的金融風險和不穩(wěn)定因素，有可能造成金融機構(gòu)業(yè)務(wù)經(jīng)營和管理的停頓，給社會大眾帶來不便，給人民銀行信譽帶來極大的負面影響。因此在設(shè)計金融城域網(wǎng)的接入方案時，網(wǎng)絡(luò)安全是一個必須解決的重要問題，同時也是一個極其復(fù)雜的問題，考慮安全層次、技術(shù)難度及費用成本等因素，在設(shè)計方案時應(yīng)遵循以下安全管理原則：盡可能提高金融城域網(wǎng)的安全性和保密性；確保金融城域網(wǎng)的可靠性和業(yè)務(wù)交易的不可否認性、合法性；考慮到金融城域網(wǎng)范圍的持續(xù)擴大和發(fā)展，應(yīng)具有良好的可擴展性，并且易于維護、管理。考慮到小微金融機構(gòu)在信息安全投入成本上的問題，金融城域網(wǎng)安全系統(tǒng)應(yīng)具有較好的性能價格比，一次性投資，可以長期使用；并且小微型金融機構(gòu)聯(lián)網(wǎng)是還應(yīng)遵循集中接入的原則。根據(jù)各類金融機構(gòu)性質(zhì)和需求特點，充分考慮數(shù)據(jù)安全性、穩(wěn)定性、成本投入以及金融城域網(wǎng)的管理和維護上的可行性，結(jié)合當前電信城域網(wǎng)絡(luò)技術(shù)的發(fā)展趨勢，深圳金融城域網(wǎng)的接入管理要求接入機構(gòu)必須采用數(shù)字專線或虛擬專用網(wǎng)絡(luò)（MPLS-VPN）方式接入，且接入網(wǎng)絡(luò)禁止直接或間接與公眾互聯(lián)網(wǎng)連通。1.大中型金融機構(gòu)接入方案以銀行業(yè)為主的大中型金融機構(gòu)通過MSTP專線接入深圳金融城域網(wǎng)，其中銀行業(yè)金融機構(gòu)因?qū)鹑诜?wù)的實時性要求較高，應(yīng)至少采用兩家不同運營商的MSTP專線作為主、備線路接入，不同運營商分別將各銀行機構(gòu)的專線匯聚后接入深圳金融城域網(wǎng)；根據(jù)銀行機構(gòu)性質(zhì)的不同，將中資銀行和外資銀行分別接入不同的匯聚端口。大中型非銀行金融機構(gòu)因為對金融服務(wù)的實時性要求相對較低，可通過一條MSTP專線接入專門的路由器。通過接入線路的不同可以對不同性質(zhì)的金融機構(gòu)采用不同的安全策略。2.小微型金融機構(gòu)接入方案小微型金融機構(gòu)根據(jù)自身的情況和業(yè)務(wù)特點選擇通過專線或撥號方式接入深圳中支指定運營商的MPLS-VPN網(wǎng)絡(luò)接入深圳金融城域網(wǎng)，如果采用單機接入可以選擇撥號方式，其他情況應(yīng)采用專線接入。深圳中支同時租用專線接入指定運營商的MPLS-VPN網(wǎng)絡(luò)，由運營商來完成與小微型金融機構(gòu)的組網(wǎng)工作。3.深圳金融城域網(wǎng)接入方案綜合以上各類金融機構(gòu)的接入方案，結(jié)合金融城域網(wǎng)的設(shè)計原則，我們設(shè)計如下深圳金融城域網(wǎng)分類接入方案，如圖1所示。

1.深圳中支網(wǎng)絡(luò)結(jié)構(gòu)安全設(shè)計深圳中支的金融城域網(wǎng)結(jié)構(gòu)設(shè)計根據(jù)人民銀行總行要求，設(shè)置專門的外聯(lián)區(qū)域與各金融機構(gòu)互聯(lián)，并且配備防火墻、入侵檢測等安全設(shè)備，作為深圳中支內(nèi)網(wǎng)與外聯(lián)區(qū)域的邊界安全設(shè)備，嚴格控制聯(lián)網(wǎng)金融機構(gòu)對深圳中支內(nèi)網(wǎng)的訪問權(quán)限，確保深圳中支內(nèi)網(wǎng)的安全性。此外，針對小微型金融機構(gòu)缺乏專業(yè)的信息技術(shù)人員和必備的安全防護設(shè)備導致的入網(wǎng)后穩(wěn)定性和安全性存在隱患的問題，根據(jù)人民銀行對小微型金融機構(gòu)通過MPLS-VPN網(wǎng)絡(luò)接入金融城域網(wǎng)的管理要求，深圳中支在金融城域網(wǎng)結(jié)構(gòu)中為小微型金融機構(gòu)部署獨立于現(xiàn)有外聯(lián)路由器和外聯(lián)防火墻的網(wǎng)絡(luò)接入設(shè)備和安全設(shè)備，增強安全控制力度。2.大中型金融機構(gòu)接入方案分析大中型金融機構(gòu)采用MSTP專線接入深圳金融城域網(wǎng)，可以滿足銀行業(yè)對信息系統(tǒng)安全性、可靠性和穩(wěn)定性的需求。首先，MSTP專線接入技術(shù)比較成熟，而且與目前深圳中支外聯(lián)網(wǎng)絡(luò)結(jié)構(gòu)相似。深圳中支外聯(lián)網(wǎng)絡(luò)結(jié)構(gòu)無需進行大的變化調(diào)整即可實現(xiàn)MSTP專線接入。其次，各大中型金融機構(gòu)的MSTP專線經(jīng)過運營商匯聚后接入深圳中支外聯(lián)路由器，方便深圳中支對城域網(wǎng)的維護管理。再者，MSTP專線帶寬可以平滑調(diào)整，各大中型金融機構(gòu)在將來因業(yè)務(wù)發(fā)展的需求，需要擴容專線帶寬時十分方便，僅需運營商對專線帶寬進行相應(yīng)的調(diào)整即可實現(xiàn)擴容。但是對于深圳金融城域網(wǎng)來說，MSTP專線接入雖然可以保證網(wǎng)絡(luò)的安全性和穩(wěn)定性，但也必須投入較高的線路租賃費用和配備必要的網(wǎng)絡(luò)設(shè)備費用。3.小微型金融機構(gòu)接入方案分析小微型金融機構(gòu)采用MPLS-VPN網(wǎng)絡(luò)接入深圳金融城域網(wǎng)，既可以滿足部分小微型金融機構(gòu)對信息系統(tǒng)安全性、穩(wěn)定性的需求，通過專線接入深圳中支指定運營商的MPLS-VPN網(wǎng)絡(luò)，還可以滿足小微型融機構(gòu)對接入深圳金融城域網(wǎng)成本上的敏感特性，通過撥號形式接入。即使通過專線接入指定運營商的MPLS-VPN網(wǎng)絡(luò)的租賃費用也比MSTP專線租賃費用要低。此外，深圳中支僅需要維護一條接入指定運營商的MPLS-VPN網(wǎng)絡(luò)的專線，由運營商完成組網(wǎng)，方便對金融城城域網(wǎng)的維護管理。采用MPLS-VPN網(wǎng)絡(luò)接入的缺點主要在以下幾方面。首先，相當一部份組網(wǎng)和管理工作交由電信運營商來完成，網(wǎng)絡(luò)安全性無法完全保證，深圳中支需要增加必要的網(wǎng)絡(luò)設(shè)備和安全設(shè)備，外聯(lián)區(qū)網(wǎng)絡(luò)結(jié)構(gòu)需要做相應(yīng)的調(diào)整。其次，要求深圳中支端租用的線路需要有一定的帶寬，MPLS-VPN網(wǎng)絡(luò)使用費用隨著帶寬的增加而迅速增加，深圳中支為保證所有接入的小微型金融機構(gòu)業(yè)務(wù)順利開展必須租用幾倍于小微型金融機構(gòu)租用的網(wǎng)絡(luò)帶寬。綜上所述，由于金融城域網(wǎng)聯(lián)網(wǎng)范圍的廣泛性和金融機構(gòu)業(yè)務(wù)類型和規(guī)模的多樣性，金融機構(gòu)分類管理接入金融城域網(wǎng)既可以確保金融城域網(wǎng)的安全性和穩(wěn)定性，又可以便于金融城域網(wǎng)的聯(lián)網(wǎng)范圍的推廣。

本文作者：趙炤工作單位：中國人民銀行深圳市中心支行