中小金融机构接入金融城域网的技术与管理_中国人民银行西宁中心支行课题组

表 ２ 金融城域网接入方式及资费标准情况表
接入方式 ＭＳＴＰ 专线 ＭＰＬＳ ＶＰＮ
汇聚点 运营商 运营商
接入设备 运营商提供 运营商提供
月租费用 接入机构类型 ５００ 元 ／ 月 中小型机构 ２６０ 元 ／ 月 小微型机构
依据总行的建设思路，结合本地实际情况，中小机构采用 两种方式接入金融城域网，第一种采用 ＭＳＴＰ 专线技术，虚拟 总部设在运营商，中小机构使用运营商 ＭＳＴＰ 网络，在运营商 端进行汇聚，经汇聚后由运营商统一与人民银行互联；第二种 采用 ＶＰＮ 线路技术。中小机构使用运营商 ＶＰＮ 网络，在运营 商端进行汇聚，经汇聚后由运营商统一与人民银行互联，实现 一点集中接入金融城域网。人民银行金融城域网通过专线方 式接入 ＭＰＬＳ 承载网络。各中小机构可通过 ＡＤＳＬ 专线直接接 入或通过 ＭＰＬＳ 专线方式接入 ＭＰＬＳ 承载网络就可以享受虚 拟数据专线的网络服务。ＡＤＳＬ 专线开通只需要一对电话线 （新开或加装）和一个 ＡＤＳＬ Ｍｏｄｅｍ，联网灵活便捷。考虑到 ＭＰＬＳ ＶＰＮ 无相关 认 证 和 加 密 技 术 手 段 ， 可 以 在 ＭＰＬＳ ＶＰＮ 基础上构建 ＩＰＳＥＣ ＶＰＮ 及 ＳＳＬ ＶＰＮ 的二次加密和 认证，从而达到数据传输加密的安全需求。ＭＰＬＳ ＶＰＮ 组网 情况如图 ２ 所示。
３４
２０１４．１
务 金融实
金融机构提供基于 ＭＰＬＳ 的 ＶＰＮ 组网，但此种方式一条线路 只支持一台客户端的接入。中小金融机构可通过 ＭＰＬＳ 专线 接入金融城域网 ＶＰＮ 网络，亦可通过 ＡＤＳＬ 专线直接接入， 开通灵活简便，降低了运行成本。
（三）中小金融机构接入的多样性所带来的安全性思考 ２０１０ 年以来，小额贷款公司、担保公司等小微机构迅速增 长，其履行反洗钱职责，共享信用信息，对接入人民银行金融 城域网的需求逐渐增加。受金融城域网现有网络架构和接入 模式以及专线接入成本等因素的制约，既满足业务发展变化 的需要，又要保障人民银行网络系统安全，成为了金融城域网 研究的主要方向。通过技术分析研究，在 ＭＳＴＰ 网络中增加防 火墙及安全网关设备，增加相应访问控制，增强金融城域网安 全防护能力，并在网络中架设非法外联探测系统，实时监测金 融城域网运行状况。通过在 ＭＰＬＳ ＶＰＮ 接入网络中架设 ＩＰＳＥＣ ＶＰＮ 及 ＳＳＬ ＶＰＮ 的二次加密和认证，通讯方式使 用 ３ＤＥＳ 算法加密，达到数据传输加密的安全需求。规模较小 的机构采用 ＳＳＬ ＶＰＮ 方式，利用存储于 ＵＳＢ ＫＥＹ 中的证 书与金融城域网建立互信机制，形成可信连接。规模较大的机 构通过 ＩＰＳＥＣ ＶＰＮ 网关与金融城域网建立可信连接。考虑 到中小机构科技管理水平参差不齐，为保障人民银行业务网 和金融城域网安全运行，在金融城域网中部署 ＶＰＮ 安全网关 （１ＰＳＥＣ＋ＳＳＬ）、入侵防御设备（１ＤＰ）以及安全审计服务器等安 全措施势在必行。 三、加强青海省金融城域网接入技术及管理 （一）加强制度建设 制度和机制建设是带有根本性、全局性、基础性的建设， 是完善金融城域网管理的基础，是加强风险防范管理，提升金 融服务的客观要求。中小机构的复杂多样性，决定了金融城域 网管理制度必须“简”而“全”，也就是说需要在制度建设时，简 化流程，提高管理效率和质量。中小金融机构作为金融城域网 接入单位，应加强自身制度建设，建立日常操作管理制度，强 化管理，杜绝违规操作，并建立应急预案及风险评估机制，提 高应急及风险防范能力，保障金融城域网整体安全。 （二）加强技术管理 整个金融城域网是技术密集、资金密集、类型复杂的网络 信息系统，并且安全威胁是动态变化的，所以我们应当部署可 以持续更新、动态的产品或技术进行安全防护，进而应对逐渐 变化的安全威胁。基于当前我国网络安全与技术标准，并结合 中小机构的网络实际情况，需要做到以下几点：一是由于金融 城域网接入机构的调整及扩大，可能会随时增大安全防范的 规模，这就要求安全防护系统设计应该具有强大的扩展能力，
【中图分类号】Ｆ８３０．４９
【文献标识码】Ａ
【文章编号】１００７－８４１Ｘ－２０１４（１）－００３３－０３
一、青海省中小金融机构接入金融城域网现状分析 （一）中小金融机构接入金融城域网情况 随着我国金融市场的蓬勃发展和逐步开放，中小金融机 构发展迅速，中小金融机构与人民银行联网进行数据交换、办 理征信、联网核查公民身份信息等业务需求日益强烈，同时中 小机构接入人民银行金融城域网难的问题逐渐凸显出来。金 融城域网传统的专线接入模式由于成本和端口的限制已难以 满足中小机构的网络接入需要。针对中小机构的特点以及人 民银行的要求，西宁中支提出“分类汇聚”的接入模式，为中型 机构开通接入门槛相对较低的专用线路，为小型、微型机构提 供接入成本相对较低的 ＶＰＮ 线路，目前已接入及需求接入金 融城域网的中小金融机构统计情况如表 １。 （二）目前的分类接入技术 金融城域网按照国家和银行业的信息安全与保密标准， 结合人民银行实际情况进行建设，按照银行业网络建设规划 和标准，进行规范化设计，主干网采取双线路互备的模式，主、 备两条线路同时使用，并可进行自动切换，从而确保网络的稳
表 １ 中小金融机构接入金融城域网情况统计表
机构名称 村镇银行
未来五年预计 目前联 数量
增加量 网数量
通信线路
１
１
０ 拟采用 ＭＳＴＰ 专线接入
农村资金互助社 ２
２
０ 拟采用 ＭＳＴＰ 专线接入
企业集团财务公司 １
５
０ 拟采用 ＭＳＴＰ 专线接入
信托公司
１
１０
１ 采用 ＭＳＴＰ 专线接入
金融租赁公司
[3]庞红、尹继红：《美国金融体系中的支付系统》，金融时 报，2002.2。
[4]赵天鹏、张博、周炎、马新策、周晓阳：《当前农村支付服 务环境存在 的 主 要 问 题 及 改 善 建 议》， 金 融 理 论 与 实 践 ， 2012.10。
师，2008.2。
务 金融实
中小金融机构接入金融城域网 的技术与管理
■ 中国人民银行西宁中心支行课题组
摘 要：近年来，村镇银行、中小金融机构接入人民银行金融城域网难的问题逐渐显现，随之伴生的信息安全风
险日益凸显。如何用较小成本为中小微型金融机构提供安全、可控、便捷的网络接入服务，成为亟待解决的问题。
关键词：中小金融机构 金融城域网 技术管理
二、青海中小金融机构接入金融城域网技术及管理方式 分析
目前，加强信息安全建设已成为金融城域网目前面临的主 要问题。如何用较小成本为中小微型金融机构提供安全、可控、 便捷的网络接入服务，满足业务需求，成为亟待解决的问题。
（一）中小金融机构接入金融城域网所造成的影响 中小金融机构接入金融城域网主要面临两方面的问题， 一方面是中小金融机构规模小、业务少、实力弱，其专线租用 费用对机构本身存在较大的成本压力。并且大多数中小金融 机构信息系统安全都存在滞后问题，系统环境、网络安全、数 据集中、服务外包、安全管理等一系列新的系统风险正在逐渐 显现，形成了一定的安全隐患。另一方面是中小金融机构数量 多、分布不均衡，目前金融城域网的接入，就像网络拓扑里的 “星型网”，无法有效地进行区分及管理，就目前金融城域网面 临的问题，可以总结为“大杂烩”的安全问题，每多增加接入一 个机构单位，人民银行金融城域网管理便面临着多一份的安 全隐患，尤其在与资金类业务系统共用网络时，其业务数据安 全性存在更严重的潜在风险。 （二）中小金融机构接入金融城域网技术层面的多样性 目前，针对中小金融机构接入金融城域网所造成的种种 影响，以及满足中小机构的多样性的特点，从技术层面来讲， 采用两种线路接入方案，一种就是采用 ＭＳＴＰ 专线网络承载 接入业务，此种网络稳定性强，可接入多台客户端，并可根据 安全性需要，在中小金融机构端及人民银行端架设安全网关 或防火墙系统，但采用此种接入方式时，中小金融机构端运维 成本、线路成本、人员成本都有不同程度的增加，降低了中小 机构用此种方式自愿接入金融城域网的积极性。另外一种是 采 用 ＭＰＬＳ ＶＰＮ 虚 拟 网 络 承 载 业 务 ， 可 通 过 ＭＳＴＰ／ ＭＳＡＰ／光纤等方式可以延伸覆盖至所有的乡镇，能够为中小
０
５
０
采用 ＭＰＬＳ ＶＰＮ
小额贷款公司
１９
１００
０
采用 ＭＰＬＳ ＶＰＮ
住房公积金中心 １
１
１ 采用 ＭＳＴＰ 专线接入
定性和可靠性。由于人民银行业务网网络属于人民银行系统 内网，该网不直接与人民银行系统以外的任何单位进行网络 互连，而商业银行等机构属于外网系统，所以人民银行面向各 金融机构及相关单位提供服务的专业性业务时，内、外网系 统，可以通过安全互联停火区实现互通，其中安全互联停火区 包括相关安全设备和专用互联线路，安全设备主要是认证网 关或防火墙。具体实现示意图如图 １：
图 ２ ＭＰＬＳ ＶＰＮ 组网情况示意图
两种接入方式的优势在于节省资源及接入成本，便于管 理，又能结合金融城域网管理制度进行区分式检查接入管理， 既免去了原有接入机构因网络改动而产生不必要的费用资 金，也方便了中小金融机构的接入，ＶＰＮ 接入方式更解决了中 小金融机构由于基础设施薄弱而导致的接入难的问题。一改 以往“大杂烩”、管理难的缺点，充分利用了现有资源，提高了 工作效率。
[6]李琼：《对县域农村支付结算服务环境现状的调查》，区 域金融研究，2006.1。
作者简介： 俞利强（１９８３－），男，浙江东阳人，硕士研究生，现供职于 中国人民银行西宁中心支行。
责任编辑：汪金祥 校 对：ＷＪＸ
２０１４．１
３３
金融实务
图 １ 中小金融机构接入金融城域网示意图
金融城域网接入方式及资费标准如表 ２ 所示。
保障金融城域网今后的持续发展；二是为加强金融城域网的 安全审计，有效防范入侵攻击等风险事件的发生，必须保证网 络安全事件监控系统 ７ｘ２４ 小时正常稳定地工作，从而保障人 民银行网络及业务系统的安全；三是根据人民银行批准允许 访问的业务系统，制定合理的访问权限与管理级别，对不同的 业务人员开设不同的用户账号，保证金融城域网的应用安全； 四是已接入的中小金融机构必须使用相应的网络安全手段及 设备，进而确保整体金融城域网内的信息数据安全地传递与 使用；五是要充分考虑信息安全动态变化的特征，结合相关工 作的发展动态，坚持与时俱进的原则，调整相关工作部署，确 保适应新的形势和变化。
（三）重视人员管理及培养 随着全球信息技术的快速发展与金融行业 ＩＴ 信息化的 不断深入，信息科技在金融系统中的应用越来越广，金融机构 对信息系统的依赖程度也越来越大，与此同时，金融机构遭受 内部攻击、违规操作以及信息泄露等安全威胁也在不断增加。 根据相关调查，７５％以上的信息安全案件，都与内部人员有 关。在国内的各种信息安全案件中，由于操作人员的疏忽以及 思想麻痹等原因造成的也占了绝大多数。在目前的经济形势 以及技术条件约束下，人员管理成为了内部安全管理最重要 的环节。建立安全领导小组，实行计算机网络安全领导承担责 任制，并明确相关指导、检查、监督的职责。规范操作流程，积 极组织技术培训，增强全体员工的安全意识。设立相应的计算 机安全岗位，提升安全管理人员在计算机网络技术方面的专 业技术水平，进一步防范金融城域网安全风险。 （四）构建“管、防、查”体系 随着信息化的逐渐发展，金融城域网的安全逐渐成为一个 综合性的问题，所以，在金融城域网进行安全设计时，我们必须 进行全面、系统的考虑，必须设计一个完整的安全框架，建设一 个以“管”为基础、以“防”为手段、以“查”为督导的安全体系架 构。以金融城域网管理制度为基础，加强各中小机构的管理。以 加密、日志审计、安全防范等技术手段，增强金融城域网的防护 能力。以入网检查配合后期定期检查为督导，强化制度的落实。 通过对机构网络系统安全检测，以报告的形式进行安全评估，以 安全评估的结果为依据，对相应的漏洞及问题进行安全加固。配 合相应的技术培训和知识讲座，增强操作人员的安全意识，从而 达到建立完善的金融城域网安全体系的目标。 课题组组长：马渭桥 课题组成员：熊卫东 李步宵 责任编辑：汪金祥 校 对：ＷＪＸ