银行业的网络在安全性和灵活性上要求是很高的,当今,随着3G网络甚至是4G网络的火热快速发展,很多银行都开始选择在公司内部部署3G移动网络,从而方便办公和用户的使用。目前,邮储银行3G网络部署应用,可按照以下应用场景进行归类:
营业网点应急备份
当网点主用线路故障时,选择3G线路作为营业网点的备份线路,采用按需拨号技术,选择按流量计费方式,实现关键生产业务在主线路故障情况下的备份,既可保障关键业务可用性,又能降低运营成本。
离行自助设备应用
包括:离行ATM、离行自助通业务终端。在有线专线不能及时到位或不可达的情况下,使用3G无线线路及时开通业务。
移动银行应用
包含街头营销、大客户外派上门业务办理、临时移动网点业务办理等对移动性、便携性要求较高的应用场景;另外还包含移动银行车、券商驻点(固定)等特殊场景。流动银行场景中原则上只进行非现金类交易。
移动POS接入
目前,3G制式移动POS机得到了大量推广使用,它的移动性、方便性、快速部署能力,得到市场广泛认可,一些商户已经大量部署使用,通过3G线路可以接入3G制式移动POS终端。
应用场景的部署原则
结合自身的业务需求,针对两个个主要应用场景,有选择、分步骤地进行3G网络基础设施的建设部署,逐步完善辖内3G网络建设和应用。
应用场景隔离原则
考虑到不同应用场景的安全、管理要求不同,在实施时应按照不同的应用场景为每个应用场景申请相对应的域名,并要求运营商端对不同功能的SIM卡做严格的IMSI码和域名绑定,防止某应用场景的3G卡随意拨入其他的应用场景。
稳定性原则
原则上在一级分行3G接入区应首选采用双专线冗余、双LNS,同时实现VPN加密冗余。根据当地不同运营商3G资源覆盖、服务质量等状况,可选择双运营商或单一运营商。如果当地不同运营商3G资源比较均衡,可选择双运营商各单线路的接入形式实现。如果当地不同运营商3G资源差异较大,可选择单一运营商双线路或单线路接入实现,根据不同的接入方式灵活组网,保证网络的高可靠性;网点备份场景可不考虑双LNS备份。考虑到3G接入的认证管理统一由一级分行AAA服务器完成,要求分行配置两台AAA服务器,当主AAA服务器意外宕机时,由备AAA服务器接管认证工作,实现认证的高可靠性。
安全原则
要求遵循统一的安全策略和信息安全保障体系架构基础上,充分利用运营商侧提供的安全保证机制,要求所有业务场景采用SM1国密办算法保证端到端数据传输安全。同时要求每个用户名对应一个IMSI码,便于安全管理与控制。
管理原则
一级分行3G网管区部署AAA、CA、3G网管服务器,对辖内3G接入网络进行统一的安全控制、集中管理。
要求遵循网络建设与IT运维管理规范,3G接入网建设必须考虑可管理性,采用集中监控、分级维护的方式,在一级分行实现集中监控,具体维护工作可由一、二级分行维护人员完成。
对3G接入网络实现对3G设备的地理位置的安全管控、短信的带外网管、IP地址、VPN隧道、自动配置、强制下线操作等有效管理。3G网络管理功能将随着应用和管理的逐步完善实现与现有分行网络监控管理系统集成,实现监控界面、事件的统一管理。
3G接入平台的设备,主要由2台防火墙、2台接入交换机、2台LNS路由器组成。防火墙用于3G接入平台与行内网络的隔离与访问控制;接入交换机用于防火墙与LNS路由器的互联,LNS路由器用于与运营商LAC路由器互联。支行使用独立3G路由器或在现有支行上联路由器上增加3G板卡实现3G备份功能,离行自助应用则新增3G路由器将3G线路作为主链路来使用。
分行侧无线接入平台网络部署
分行无线接入平台的设备,主要由2台防火墙、2台接入交换机、2台LNS路由器组成。在3G业务较多的情况下,需要3G接入平台有良好的扩展能力,可单独配置VPN网关,采用LNS和VPN网关分离模式,可以分散LNS性能压力,适合今后不断扩展的需要,并方便VPN隧道的管理。
一级分行连接LNS路由器需要申请2条MSTP专线,对于2个运营商都满足带宽要求的情况下,可以采用2个运营商的线路,当仅有一个运营商的带宽符合业务要求时,可申请该运营商的2条线路分别接入2台LNS路由器。
一级分行内网部署AAA认证服务器,根据分行情况部署CA服务器。
为进一步提高访问的安全性, LNS路由器和核心交换机之间部署2台防火墙设备(配置HA模式)进行隔离。对拨入访问用户进行端口级的访问控制。高可用性方面,AAA认证服务器采用主备方式部署。
|