网上银行系统建设项目技术方案书
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2.1.1
2.1.1.1
整个系统的物理架构图如下:
整个系统的逻辑架构图如下:
对应关系说明:在实际环境中,可将多个服务器部署在一台物理主机上。(如:将通讯服务器和应用服务器部署在一起)
下面各小节分述各节点所承担的工作:
1、Web Server(网页服务器)
在网页服务器上实现:
网上银行的服务器端认证(服务器证书、建立HTTPS连接);
入侵检测
入侵检测用于在网络关键节点设置探头以侦测网络数据中是否存在攻击行为。建议在第一道防火墙前(后)及第二道防火墙前(后)部署探头;
网络防病毒
沿用现有系统。
漏洞扫描
可自行购置漏洞扫描系统或聘请专业网络安全公司定期对系统进行全面的漏洞扫描。
2.1.1.2
网上银行系采用三层逻辑体系结构,基于成熟的JAVA技术及BEA WebLogic/IBM WebSphere或其他J2EE标准的应用服务器平台,具有安全、高效、可伸缩性、易于移植、能够对新需求及业务变化进行快速响应等特点。
网上银行内部管理系统主要任务包括:
各级柜员管理;
客户信息管理;
落地业务处理;
开户签约处理;
网上银行监控;
查询统计分析;
证书管理;
其他必要的管理功能。
7、其它网络及安全设备
防火墙
在网银系统设置两层物理防火墙,将网络分为三个逻辑区域,及非授信区、停火区及安全区。非授信区可理解为Internet,即存在潜在威胁的区域;停火区(DMZ)内部署网银Web服务器、RA服务器以及其它直接向外部提供服务或者进行通讯的服务器,如Mail服务器、防病毒服务器等;安全区用户部署网银应用服务器、数据库服务器、通信服务器等核心部件;
RA网关可以是一台独立的服务器也可以部署在应用服务器端,通过RA Gateway首先调用Entrust RA Toolkit与CFCA或其它CA建立安全上下文,然后调用CFCA RA API进行远程证书信息交换。内部采用多线程机制,是RA应用与CFCA之间的连接桥梁。
RA Gateway对RA的EPF密钥采用多重加密处理,大大加强了RA系统本身的安全性。
网上银行系统建设项目
技术方案书
1、
本文是对网上银行系统建设的方案建议书,依据对业务需求的理解,阐述了网上银行系统的建设方案,主要涉及网上企业银行、网上零售银行及其相关的后台管理系统(柜员端和内部管理系统部分)的建设规划,对项目总体目标、业务需求的实现、技术规划等内容进行说明
1.1
在体系结构、系统安全、性能、可扩充性登技术方面遵循的总体策略;
提供交易完整性及一致性保证机制;
存储交易信息及其它必要的信息;
通过相应接口与业务主机及第三方系统进行通讯。
应用服务器可根据实际的业务量进行横向调整。利用了应用服务器的集群技术,可以根据业务量的大小动态的配置多台应用服务器。当一台应用服务器负载过大时,可以动态地将请求发送到不同的应用服务器,从而实现均衡负载功能,提高系统的效率。
主页(Home Page)或门户网页;
某些静态页面或相对不变的公共信息发布;
通过WebLogic / WebSphere插件连接应用服务器。
2、Application Server(应用服务器)
网上银行系统所有功能在应用服务器上实现:
进行安全检查,包括用户身份的确认、交易合法性确认等;
提供网上银行服务的应用逻辑;
建立系统化的内部控制体系,有效防范风险;
实现7x24小时客户服务;
具备方便的监控,全面掌控系统运行状况;
支持详细的审计日志,满足全面的审计;
灵活定制各类查询和统计报表;
支持实时交易量统计;
实现全面的网上银行服务,有效地帮助维护和开发优质客户;
从体系结构上确保网上银行系统能够根据实际需要方便、快速地扩展到网络银行应用平台,便于整合通过多种渠道提供的客户服务系统。
建立统一的身份认证系统,个性化的身份标识,安全的单一登录;
系统设计参数化、模块化,适应业务多元化及金融创新产品的快速开发要求;
保证网上银行相关各类信息的传输安全性;
全面的访问控制策略,灵活的多级授权机制以及合理的工作流控制;
支持建立完整的网上银行业务管理体系;
支持交易完整性控制;
建立支持各类总行和分行中间业务产品快速开发的机制;
3、Database Server(数据库服务器)
在本方案中数据库服务器用于完成对网银应用中数据请求的应答和数据管理。具体包括:
各类网银系统参数和公共信息的存储;
交易数据的存储;
其它类型数据的存储。
对于关键数据(如密码、交易权限等)以加密方式进行存储,以进一步保障系统的应用安全性。
4、RA Server(证书服务器)
RA网关只实现网络通信上的数据转发作用,内部不实现RA的业务逻辑。
RA网关有各种操作系统版本,主要包括:Solaris版、AIX版、Windows版本等。其中Windows版的RA网关可作为独立的Wi来自百度文库dows服务存在,维护非常方便。主要表现在:
密钥文件只需要被输入一次密码,密码以密文形式存放;
密文被严格加密,密文复制到其他机器不能使用,进一步增强了安全性。
【图:应用体系结构】
如上图所示从应用体系的整体架构上,网银系统可分为三个层次(客户端、银行端和资源集成),各层主要功能如下:
5、Communication Server(第三方通讯服务器)
第三方系统通讯服务器负责与第三方系统(如证券、电信、保险等行业的业务系统)进行通讯,以完成需要与第三方系统进行交互的业务流程,为节省系统建设及运行维护成本,可将通讯服务器系统与应用服务器系统安装部署在一台物理主机上。
6、银行管理终端
系统管理终端是供银行内部系统管理员和业务操作员使用的工作站。系统管理员对网上银行系统进行日常的管理及维护,银行业务操作员对需落地处理的交易(如各种申请表单、需审批、核准的交易等)进行相应的处理。系统管理终端的操作界面为标准浏览器。
1.2
保证客户端使用的安全;
保证客户与银行连接,银行与企业、商户及相关单位连接的安全;
保证银行内部客户交易和客户交易信息的安全;
保证银行系统不会因为病毒或内外部攻击造成损害;
保证客户身份认证的安全可靠;
保证客户交易数据的保密性、完整性及交易的不可否认性;
2、
2.1
本章主要从系统架构以及系统集成相关的各个环节,详细说明方案的技术组成和特点,以下分别进行阐述。
2.1.1.1
整个系统的物理架构图如下:
整个系统的逻辑架构图如下:
对应关系说明:在实际环境中,可将多个服务器部署在一台物理主机上。(如:将通讯服务器和应用服务器部署在一起)
下面各小节分述各节点所承担的工作:
1、Web Server(网页服务器)
在网页服务器上实现:
网上银行的服务器端认证(服务器证书、建立HTTPS连接);
入侵检测
入侵检测用于在网络关键节点设置探头以侦测网络数据中是否存在攻击行为。建议在第一道防火墙前(后)及第二道防火墙前(后)部署探头;
网络防病毒
沿用现有系统。
漏洞扫描
可自行购置漏洞扫描系统或聘请专业网络安全公司定期对系统进行全面的漏洞扫描。
2.1.1.2
网上银行系采用三层逻辑体系结构,基于成熟的JAVA技术及BEA WebLogic/IBM WebSphere或其他J2EE标准的应用服务器平台,具有安全、高效、可伸缩性、易于移植、能够对新需求及业务变化进行快速响应等特点。
网上银行内部管理系统主要任务包括:
各级柜员管理;
客户信息管理;
落地业务处理;
开户签约处理;
网上银行监控;
查询统计分析;
证书管理;
其他必要的管理功能。
7、其它网络及安全设备
防火墙
在网银系统设置两层物理防火墙,将网络分为三个逻辑区域,及非授信区、停火区及安全区。非授信区可理解为Internet,即存在潜在威胁的区域;停火区(DMZ)内部署网银Web服务器、RA服务器以及其它直接向外部提供服务或者进行通讯的服务器,如Mail服务器、防病毒服务器等;安全区用户部署网银应用服务器、数据库服务器、通信服务器等核心部件;
RA网关可以是一台独立的服务器也可以部署在应用服务器端,通过RA Gateway首先调用Entrust RA Toolkit与CFCA或其它CA建立安全上下文,然后调用CFCA RA API进行远程证书信息交换。内部采用多线程机制,是RA应用与CFCA之间的连接桥梁。
RA Gateway对RA的EPF密钥采用多重加密处理,大大加强了RA系统本身的安全性。
网上银行系统建设项目
技术方案书
1、
本文是对网上银行系统建设的方案建议书,依据对业务需求的理解,阐述了网上银行系统的建设方案,主要涉及网上企业银行、网上零售银行及其相关的后台管理系统(柜员端和内部管理系统部分)的建设规划,对项目总体目标、业务需求的实现、技术规划等内容进行说明
1.1
在体系结构、系统安全、性能、可扩充性登技术方面遵循的总体策略;
提供交易完整性及一致性保证机制;
存储交易信息及其它必要的信息;
通过相应接口与业务主机及第三方系统进行通讯。
应用服务器可根据实际的业务量进行横向调整。利用了应用服务器的集群技术,可以根据业务量的大小动态的配置多台应用服务器。当一台应用服务器负载过大时,可以动态地将请求发送到不同的应用服务器,从而实现均衡负载功能,提高系统的效率。
主页(Home Page)或门户网页;
某些静态页面或相对不变的公共信息发布;
通过WebLogic / WebSphere插件连接应用服务器。
2、Application Server(应用服务器)
网上银行系统所有功能在应用服务器上实现:
进行安全检查,包括用户身份的确认、交易合法性确认等;
提供网上银行服务的应用逻辑;
建立系统化的内部控制体系,有效防范风险;
实现7x24小时客户服务;
具备方便的监控,全面掌控系统运行状况;
支持详细的审计日志,满足全面的审计;
灵活定制各类查询和统计报表;
支持实时交易量统计;
实现全面的网上银行服务,有效地帮助维护和开发优质客户;
从体系结构上确保网上银行系统能够根据实际需要方便、快速地扩展到网络银行应用平台,便于整合通过多种渠道提供的客户服务系统。
建立统一的身份认证系统,个性化的身份标识,安全的单一登录;
系统设计参数化、模块化,适应业务多元化及金融创新产品的快速开发要求;
保证网上银行相关各类信息的传输安全性;
全面的访问控制策略,灵活的多级授权机制以及合理的工作流控制;
支持建立完整的网上银行业务管理体系;
支持交易完整性控制;
建立支持各类总行和分行中间业务产品快速开发的机制;
3、Database Server(数据库服务器)
在本方案中数据库服务器用于完成对网银应用中数据请求的应答和数据管理。具体包括:
各类网银系统参数和公共信息的存储;
交易数据的存储;
其它类型数据的存储。
对于关键数据(如密码、交易权限等)以加密方式进行存储,以进一步保障系统的应用安全性。
4、RA Server(证书服务器)
RA网关只实现网络通信上的数据转发作用,内部不实现RA的业务逻辑。
RA网关有各种操作系统版本,主要包括:Solaris版、AIX版、Windows版本等。其中Windows版的RA网关可作为独立的Wi来自百度文库dows服务存在,维护非常方便。主要表现在:
密钥文件只需要被输入一次密码,密码以密文形式存放;
密文被严格加密,密文复制到其他机器不能使用,进一步增强了安全性。
【图:应用体系结构】
如上图所示从应用体系的整体架构上,网银系统可分为三个层次(客户端、银行端和资源集成),各层主要功能如下:
5、Communication Server(第三方通讯服务器)
第三方系统通讯服务器负责与第三方系统(如证券、电信、保险等行业的业务系统)进行通讯,以完成需要与第三方系统进行交互的业务流程,为节省系统建设及运行维护成本,可将通讯服务器系统与应用服务器系统安装部署在一台物理主机上。
6、银行管理终端
系统管理终端是供银行内部系统管理员和业务操作员使用的工作站。系统管理员对网上银行系统进行日常的管理及维护,银行业务操作员对需落地处理的交易(如各种申请表单、需审批、核准的交易等)进行相应的处理。系统管理终端的操作界面为标准浏览器。
1.2
保证客户端使用的安全;
保证客户与银行连接,银行与企业、商户及相关单位连接的安全;
保证银行内部客户交易和客户交易信息的安全;
保证银行系统不会因为病毒或内外部攻击造成损害;
保证客户身份认证的安全可靠;
保证客户交易数据的保密性、完整性及交易的不可否认性;
2、
2.1
本章主要从系统架构以及系统集成相关的各个环节,详细说明方案的技术组成和特点,以下分别进行阐述。