过去的一年,对于国内金融业来说,是一个有着重大意义的一年。在这一年里,越来受客户依赖的中间业务获得了较大发展,为银行带来了丰厚利润。从此,它将进一步成为银行业大力拓展的渠道。
拓宽渠道重视中间业务是提升效益的有效途径
随着世界经济一体化进程加快,我国银行业将进一步开放。国际竞争的加剧,迫使中国银行业从重视资本负债业务转向重视中间业务的发展。为了最大限度地提升金融服务能力、挖掘客户资源、开拓赢利渠道,金融行业不断创新业务品种和服务手段,应运而生了大量的中间业务品种,例如:跨行支付、银联卡、各类代收代付业务、银证代理业务、银保代理业务、银税代理业务等等。金融企业通过与渠道伙伴的联网,大规模地拓展了服务渠道、丰富了业务品种。
专家预测,未来几年,中国经济将高速发展和进一步开放,我国中间业务市场将进一步快速增长。由于中间业务的发展潜力是一个逐步释放的过程,银行业的支付结算、代理业务、银行卡、电子商务等各大类中间业务均将保持一定的发展速度,从而带动中间业务市场的整体性增长。在相对保守的假设下,专家预测未来五年,我国商业银行中间业务收入将保持年均30%以上的增长速度。
作为中间业务处理的IT网络支撑系统,是拓展业务渠道的基础。金融行业已在其各级机构中建设了大量的外联接入,且随着业务品种的不断创新,数量越来越多。目前业务品种已达数百种,大型金融企业仅一个一级分行辖内与合作伙伴的网络连接就可达上百个。这将对保障中间业务稳步增长的银行外联网络提出更高的要求。
多渠道促发展建设银行率先实现外联网建设规范、统一
中国建设银行是一家在中国市场处于领先地位的股份制商业银行,各项业务在中国银行业居于市场领先地位。特别是日益丰富的中间业务,近几年得到了高速发展,涵盖的领域和客户越来越多。2008年,建设银行以奥运为契机,大力拓展中间业务。
为了保障奥运期间中间业务的高效、稳定运行,和未来中间业务的强劲增长,中国建设银行审时度势,在全国启动了外联网的全面升级加固改造。
建设银行自2006年开始建设统一的外联网接入平台,历经了省市分行根据自身业务情况及发展规模自行建设了外联平台,和根据总行下发统一规范进行外联平台建设两个阶段,现在处于第三个阶段。
像所有国内银行业的外联网一样,由于省分行各自建设,原来的一级分行外联网络平台存在着接入平台多样性、应用部署难易程度不一、维护工作量较大、不利于标准化管理、安全规范不完全一致等问题。
为此,走在信息化前列的建设银行,对一级分行的网络进行了全盘的考虑和规划。以实现一级分行网络的层次化、区域化和标准化为目标,建设新外联网,使网络满足策略的部署、灵活扩展、可靠性和简化运营管理的需求。
在经过多方论证、测试和验证后,建设银行认为,国内领先的网络设备及解决方案供应商——锐捷网络在金融行业网络建设方面拥有众多的成功案例和先进经验。同时,锐捷的外联网解决方案和产品更是适合建设银行这样的拥有众多用户、在管理和安全领域都有非常严格要求的用户。最终,锐捷成为建设银行13个省的外联网建设的合作伙伴。
接入整合实现外联网络的规范统一
分散在一级、二级分行的外连接入方式,虽然接入较灵活,但导致了更大的安全风险,不利于管理和维护。所以,方案尽量减少外联边界,整合外联出口,规范外联接入方式和线路类型。集中的外联出口有利于安全风险的控制,采用更高带宽、更高速度、更高可靠性的汇接外网链路,将使外联网的部署容易、快捷,适应中间业务的高速发展和渠道的更快拓展。
方案采用锐捷高端交换机RG-S7600系列作为外联区汇聚交换机,采用RG-S7600或全千兆三层交换机RG-S5700系列作为DMZ区接入交换机,高端路由器RSR08E,中端路由器RSR50,作为外联接入路由器。锐捷RSR08E采用新一代ASIC芯片,RSR50系列采用锐捷V-CPU技术,都实现了在配置大量安全策略情况下,基本不影响转发性能,保证了外联网业务的高效转发和处理,具有CPOS、ATM、T3/E3、CE1、LAN等丰富的接口类型,能保证外联网统一整合接入,大容量的转发性能和最高8槽扩展能力确保了外联业务的承载能力。
合理设计实现外联服务的可持续性和灵活扩展
外联网络采用上下分层、左右分区设计,将不同功能的应用分区部署,物理上每一层都采用冗余设备布署,冗余互联模式,采用高可靠性的设备。如接入平台和防火墙都采用VRRP、防火墙还采用双Active模式的HA技术等等。大量的高可靠性技术确保了网络任何一个环节的问题都能得到恢复,保证外联业务的持续性。
同人民银行、重要合作伙伴等关键互联单位间的业务是非常重要的,必须得到24小时不间断运行保证。因此,关键设备配备了双电源、双引擎、双设备冗余等设备级高可靠性技术,关键链路采用双链路冗余等高可靠性技术,实现了网络的高稳定可靠性,保证了重要外联业务处理的连续性。
基于建设银行外联业务的特点,其外联网络作为承担所有外联应用的基础平台,其安全性、稳定性和性能将成为影响整个系统应用的关键。同时,外联业务的高速发展,渠道伙伴随时都会增加,这就需要灵活增加外联接口。系统的可扩展性也是一个关键问题,如何让外联网成为一个可以灵活扩展的网络,是需要考虑的问题之一。
整个外联网区域的方案也采用三层加一区设计,“汇聚层+安全隔离层+接入层”和“DMZ区”的结构。这种分区域、可隔离的网络结构,使得整个系统形成了一个真正意义上的“模块化”可扩展网络系统。
多重安全实现外联服务坚不可摧的安全性
面对外联网络存在的巨大安全风险,必须采用全方位的立体安全防护体系进行风险防范。
作为外联接入平台的路由器,是外联网的第一道关口,首先自身必须具备足够的抗攻击能力。锐捷网络的RSR系列路由器除具备基本的安全访问控制能力外,还具备强大的防火墙功能,能基于状态识别和控制每一个流,和基于状态的防火功能一致。
作为隔离层部署的防火墙,起到将内网跟外网隔离的关键作用,同时基于状态防护墙的精确控制,确保了外联网络的安全可信。
保证金融企业IP信息,对保护金融网络的安全至关重要。所以,采用完善的NAT技术,不但可以保护IP信息的安全,而且能实现IP地址的有效管理使用。方案中采用的锐捷公司防火墙和RSR系列路由器所具备的高性能NAT功能,在接入平台上对合作伙伴网络地址进入内网后进行精确的IP地址转换,而在锐捷防火墙上实现将内网Ip地址转换后才发布到对方。既有效防范了内部地址信息的泄漏,又避免网络地址的变更给双方带来实施和部署上的困难。
锐捷路由器采用现代最先进的基于流表技术的高性能NAT技术,在大量NAT转换时,对性能影响非常小。这使得外联业务大量增加后,不会影响业务处理的效率。
