關于移動網絡技術在銀行金融網應用的方案初探

曹鋮

摘要：隨著科技技術的不斷進步和銀行業務的不斷發展，以客戶為中心的服務思想可以進一步得到落實，本文以Y銀行移動網絡技術在銀行金融網絡的應用為例，介紹了該應用系統的架構思路和實現方法，為商業銀行的移動網絡技術應用提供了一些建議和思考。

關鍵詞：移動網絡技術；銀行金融網絡

銀行是社會資金的富集之地，它的安全關系到整個社會的安全和穩定。銀行金融網是承載了銀行金融業務的載體，這使得它的安全地位也要高于其他網絡。銀行的金融網大多采用隔離于互聯網的專用網絡，使用固定線路傳輸，這種模式有效的提高了數據的安全性。

隨著銀行業務長足的發展，固定網點營銷模式已經成為限制銀行業務發展的瓶頸，能否“解放”束縛在網點的工作人員，充分發揮業務人員的能動性，這便成為一個能否提高銀行生產效率的課題。隨著近年來我國互聯網技術的高速發展，以4G網絡等新一代移動傳輸網絡的應用使移動網絡技術的傳輸速度和安全性大幅提高，這使得移動網絡技術在銀行金融網中應用成為可能。

一、Y銀行移動信貸業務的發展需求

小額貸款是向農戶、個體工商戶和微小企業主等提供的額度較小的貸款，國家高度重視小額貸款特別是農村小額貸款在擴大就業、促進市場繁榮和城鄉協調發展中的作用。小額信貸業務在各銀行間競爭日趨激烈的背景下，Y銀行為增強貸款市場競爭力和持續增長能力，促進貸款業務發展，貫徹落實發揮科技支撐引領作用，探索信貸業務發展新模式。

移動信貸指的是通過為信貸員配備平板電腦等移動智能終端，實現移動化的業務受理、現場調查、貸后檢查等工作，同時利用移動定位功能來增強對調查真實性的驗證。并在此基礎上，對現有的管理制度、操作流程進行調整，以適應移動信貸所帶來的流程變化。同時以電子化、信息化的數據、影像流轉方式，利用運營商提供的蜂窩數據專網或省內自建的無線局域專網與個人信貸系統進行對接，使得處理流程可以快速、及時地流轉到后續環節，提高信貸業務的整體效率、提升客戶的體驗。

二、總體技術方案規劃

移動信貸業務的技術組成主要包括三個方面：信貸相關應用系統、網絡接入及安全架構、移動終端及應用軟件。信貸相關應用系統包括總行的個人信貸系統、影像系統、人行身份證聯網核查系統等；網絡接入及安全架構包括接入路由、移動前置堡壘機、MDM服務器、地圖服務、時鐘同步服務等；移動終端及應用軟件包括專用移動終端和移動信貸應用APP。其中信貸相關的系統可以復用原有Y銀行的現有系統即可，終端側使用Y行總行開發的軟件和定制的智能PAD，工程的重點是網絡接入方案：

移動終端使用運營商提供的4GSIM卡接入銀行網絡，銀行使用接入路由器和AAA認證服務器對終端進行認證和數據加密；

當設備獲得網絡準入后數據通過防火墻以及入侵檢測設備“過濾”，將數據發送至業務堡壘機和前置服務器，堡壘機和前置服務器完成對數據的審計和轉發，發送至總行業務后臺。

終端的管理則通過MDM系統實現，MDM （Mobile Device Management ）是一種針對移動終端的安全管理工具，幫助企業將IT管理能力從傳統的PC延伸到移動設備甚至移動應用APP，實現包括設備全生命周期管理以及配置管理、安全管理、資產管理等功能。Y銀行使用的MDM系統可保證每臺進入銀行金融網的終端都是合法的設備，它會給每臺入網終端建立一個相對應的賬號與證書，并且終端必須通過MDM下發的軟件實現與后臺之間的通信，這既保證了終端的唯一性又加密了數據，使得無線網絡取得了與固定網絡相當的安全等級。

三、Y銀行網絡技術構架

根據網絡技術方案，需要對Y銀行的金融網進行相應的改造，新建相應的網絡接入區域，以滿足相應的技術需求。

（一）Y銀行網絡架構現狀

將要建設的小額信貸系統使用的為銀行金融網絡，前置服務器目前放置在一級分行在服務器區內，通過長途傳輸網絡連接到總行信貸系統等服務器后臺。

一級分行金融網內建有一套第三方外聯區域，部分業務通訊和對第三方的網絡連接正使用此區域。雖然銀行其他網絡雖已開始使用4G業務，但與本次業務涉及安全程度不同，因此不能完全復用，但可利用原來的AAA認證服務器與新的LNS路由器進行認證。

（二）網絡需求分析

按照業務需求，移動信貸的業務終端主要是平板電腦，需要訪問一級分行的移動信貸系統。目前，平板電腦網絡的主要是通過運營商提供的蜂窩數據網，本質上與傳統專線接入沒有太大差異，為了有更好的擴展性和防護能力，需要新建一個網絡區域。

（三）組網架構設計

根據現狀和需求分析，為了滿足所需的網絡環境，將在一級分行既有網絡架構的基礎上，新規劃“移動終端接入區”網絡，為移動信貸平板電腦終端提供規范、安全、高效的網絡接入。網絡架構如下圖示：

新建的網絡區域于原有的網絡架構相結合，實現網絡隔離接入，簡述如下：

1）移動接入匯聚：在現有一級分行分行網絡架構的基礎上，新增一套移動接入匯聚路由器，該路由器主要用于移動終端4G匯聚，該路由器配置LNS（L2TP網絡服務器）功能，為移動終端提供虛擬撥號專線接入。

2）傳輸加密和準入控制：目前無線網絡環境接入大多采用IPSec和CA證書結合技術方式，實現了網絡傳輸加密和準入控制，用以提升非可信網絡接入安全。由于IPSec是一種依托硬件加密卡實現的加密技術，目前主流的平板電腦都不具備IPSec的處理能力，同時，CA證書的安全導入也是多數平板電腦面臨的難題。目前，主流的技術解決方案是通過部署一套移動接入網關，采用SSL協議、公私鑰、硬件特征和用戶名密碼結合的方式替代IPSec，實現傳輸加密和準入控制。因此，本次改造，將在移動接入匯聚路由器后端部署一套VPN網關，為移動終端提供可靠接入。

3）接入交換機：考慮到設備互聯、網絡切換和網絡區域隔離的需要，在VPN網關的后端將會部署一套三層接入交換機，以滿足DMZ區域外側網絡設備互聯。

4）入侵檢測和應用防火墻：為了提升非可信網絡終端接入安全，在DMZ區域前端將部署一套入侵檢測（IPS）和應用防火墻設備，對37層特征式網絡攻擊和非特征式應用攻擊提供安全防護。

5）MDM：通過MDM可以檢測終端環境，避免不安全的移動設備接入網絡，并能夠統一設備配置，防止信息泄露，起到提升網絡安全和管理效率的作用。本次改造將在DMZ區域部署一套MDM設備，通過與VPN網關的結合，提升終端、網絡和信息安全。

6）移動前置堡壘機：為了提升移動終端用戶體驗，加強數據安全，依照應用設計，在DMZ區域將部署一套移動前置堡壘機服務器，為移動終端提供安全的業務展現。

7）AAA認證服務器：遠程撥號認證系統是移動終端通過4G方式接入的認證服務器，通過AAA服務器能夠實現手機號和SIM卡以及終端撥號用戶的綁定，是L2TP網絡接入必不可少的服務器。

四、網絡安全措施

銀行的網絡安全和數據安全是網絡設計前提和出發點，移動終端的使用使銀行的網絡暴露在潛在的風險之下，不但有可能面臨計算機病毒的威脅還有可能遭到網絡黑客的入侵，如何構建適合銀行無線金融網絡的安全策略成為工程實施成敗的關鍵。

網絡威脅來源及應對措施：

（1）SIM卡盜用威脅。終端側的SIM卡并沒有固化在智能終端設備內，有可能被盜用或非法復制，竊取了SIM卡就會獲得入侵銀行金融網絡的途徑。

銀行SIM卡的入網不同于普通手機卡，需要接入專用無線網絡域，這可以通過AAA認證服務器和運營商實現，域名及密碼都是銀行后臺建立的，不知道賬號和口令就無法入網，這是網絡防護的第一道屏障。設備的域名和密碼可以只分發給業務支撐人員，對業務使用人員保密，做到密碼與設備分離，這樣可以消除內部業務人員作案的風險。其次可以通過MDM系統綁定SIM卡與終端設備。MDM能夠識別終端的硬件識別碼，確保終端的唯一性，當硬件識別碼與SIM卡號相匹配時才允許應用訪問前置服務器。通過上述兩個手段可以保證SIM卡、終端、使用人員的唯一性，確保SIM卡使用安全。

（2）終端非法應用威脅。普通的移動終端大多帶有WIFI功能，或可通過儲存介質實現與外部數據的交換，這就會有在智能終端安裝非法應用或竊取銀行數據的可能性。針對這個問題，除了在采購移動終端時要求生產廠家去除WIFI及外聯介質拷貝功能外，還可以通過MDM在系統層面上的管控來控制終端應用。當設備初次接入銀行金融網時，網頁會自動跳轉至MDM終端軟件的下載安裝頁面，待安裝完成MDM終端軟件后，所有的應用將通過MDM軟件的沙箱功能訪問銀行后臺系統。也就是說終端的應用是被MDM的終端軟件所隔離的，只有沙箱內部的軟件能夠訪問銀行應用系統，而沙箱外部的軟件則無法進行網絡訪問。同時MDM擁有監控終端的功能，他可以給終端設置應用的黑、白名單，一旦終端安裝非法應用，MDM會立即向AAA認證服務器發送請求，中斷該設備的入網許可。

（3）網絡入侵威脅。銀行的金融網絡終究建設在運營商所搭建的無線網絡平臺之上，所采用的VPDN技術也只是虛擬的專用線路，還是存在很多未知的網絡風險。在移動接入區，Y銀行采用傳統的網絡防護措施包括訪問控制、防火墻、應用防火墻、傳輸加密、入侵檢測、安全審計等策略。通過訪問控制，按事先確定的規則實施訪問權的控制，防止未經授權而利用網絡訪問所有應用系統。防火墻在系統之間建立起一個安全網關，從而保護內部系統免受非法用戶的侵害，使用有IP地址轉換功能，以便對外有效屏蔽網絡內部IP地址，提高網絡的安全性。數據在網絡上傳輸時，為保證數據的安全，防止數據被竊取，應對關鍵數據進行加密，同時對數據報文進行校驗，防止數據在傳輸過程被篡改。數據報文加密和校驗可通過硬件加密或軟件加密方法來實現，使用L2TP、VPN證書的方式是數據的傳輸全程都處于加密或多次加密的狀態，即使數據被竊取，攻擊者也無法破解。在網絡安全管理中，除使用一般的網管軟件和系統監控管理軟件外，還應使用網絡監控設備或實時入侵檢測設備，對進出各級局域網的常見操作進行實時檢查、監控、報警和阻斷，從而防止針對網絡的攻擊與犯罪行為。

五、總結

通過移動網絡技術在Y銀行金融網絡的初步應用，為未來銀行業使用安全可靠的內部無線網絡提供了寶貴經驗。現在Y銀行的移動信貸業務已經成功上線，系統的安全和可用性也得到了驗證。但實踐的腳步不能停歇，如何在現有技術的前提下建設更加安全、穩定、可管理性高的系統使我們下一步的發展目標。