曹铖

摘要：随着科技技术的不断进步和银行业务的不断发展，以客户为中心的服务思想可以进一步得到落实，本文以Y银行移动网络技术在银行金融网络的应用为例，介绍了该应用系统的架构思路和实现方法，为商业银行的移动网络技术应用提供了一些建议和思考。

关键词：移动网络技术；银行金融网络

银行是社会资金的富集之地，它的安全关系到整个社会的安全和稳定。银行金融网是承载了银行金融业务的载体，这使得它的安全地位也要高于其他网络。银行的金融网大多采用隔离于互联网的专用网络，使用固定线路传输，这种模式有效的提高了数据的安全性。

随着银行业务长足的发展，固定网点营销模式已经成为限制银行业务发展的瓶颈，能否“解放”束缚在网点的工作人员，充分发挥业务人员的能动性，这便成为一个能否提高银行生产效率的课题。随着近年来我国互联网技术的高速发展，以4G網络等新一代移动传输网络的应用使移动网络技术的传输速度和安全性大幅提高，这使得移动网络技术在银行金融网中应用成为可能。

一、Y银行移动信贷业务的发展需求

小额贷款是向农户、个体工商户和微小企业主等提供的额度较小的贷款，国家高度重视小额贷款特别是农村小额贷款在扩大就业、促进市场繁荣和城乡协调发展中的作用。小额信贷业务在各银行间竞争日趋激烈的背景下，Y银行为增强贷款市场竞争力和持续增长能力，促进贷款业务发展，贯彻落实发挥科技支撑引领作用，探索信贷业务发展新模式。

移动信贷指的是通过为信贷员配备平板电脑等移动智能终端，实现移动化的业务受理、现场调查、贷后检查等工作，同时利用移动定位功能来增强对调查真实性的验证。并在此基础上，对现有的管理制度、操作流程进行调整，以适应移动信贷所带来的流程变化。同时以电子化、信息化的数据、影像流转方式，利用运营商提供的蜂窝数据专网或省内自建的无线局域专网与个人信贷系统进行对接，使得处理流程可以快速、及时地流转到后续环节，提高信贷业务的整体效率、提升客户的体验。

二、总体技术方案规划

移动信贷业务的技术组成主要包括三个方面：信贷相关应用系统、网络接入及安全架构、移动终端及应用软件。信贷相关应用系统包括总行的个人信贷系统、影像系统、人行身份证联网核查系统等；网络接入及安全架构包括接入路由、移动前置堡垒机、MDM服务器、地图服务、时钟同步服务等；移动终端及应用软件包括专用移动终端和移动信贷应用APP。其中信贷相关的系统可以复用原有Y银行的现有系统即可，终端侧使用Y行总行开发的软件和定制的智能PAD，工程的重点是网络接入方案：

移动终端使用运营商提供的4GSIM卡接入银行网络，银行使用接入路由器和AAA认证服务器对终端进行认证和数据加密；

当设备获得网络准入后数据通过防火墙以及入侵检测设备“过滤”，将数据发送至业务堡垒机和前置服务器，堡垒机和前置服务器完成对数据的审计和转发，发送至总行业务后台。

终端的管理则通过MDM系统实现，MDM （Mobile Device Management ）是一种针对移动终端的安全管理工具，帮助企业将IT管理能力从传统的PC延伸到移动设备甚至移动应用APP，实现包括设备全生命周期管理以及配置管理、安全管理、资产管理等功能。Y银行使用的MDM系统可保证每台进入银行金融网的终端都是合法的设备，它会给每台入网终端建立一个相对应的账号与证书，并且终端必须通过MDM下发的软件实现与后台之间的通信，这既保证了终端的唯一性又加密了数据，使得无线网络取得了与固定网络相当的安全等级。

三、Y银行网络技术构架

根据网络技术方案，需要对Y银行的金融网进行相应的改造，新建相应的网络接入区域，以满足相应的技术需求。

（一）Y银行网络架构现状

将要建设的小额信贷系统使用的为银行金融网络，前置服务器目前放置在一级分行在服务器区内，通过长途传输网络连接到总行信贷系统等服务器后台。

一级分行金融网内建有一套第三方外联区域，部分业务通讯和对第三方的网络连接正使用此区域。虽然银行其他网络虽已开始使用4G业务，但与本次业务涉及安全程度不同，因此不能完全复用，但可利用原来的AAA认证服务器与新的LNS路由器进行认证。

（二）网络需求分析

按照业务需求，移动信贷的业务终端主要是平板电脑，需要访问一级分行的移动信贷系统。目前，平板电脑网络的主要是通过运营商提供的蜂窝数据网，本质上与传统专线接入没有太大差异，为了有更好的扩展性和防护能力，需要新建一个网络区域。

（三）组网架构设计

根据现状和需求分析，为了满足所需的网络环境，将在一级分行既有网络架构的基础上，新规划“移动终端接入区”网络，为移动信贷平板电脑终端提供规范、安全、高效的网络接入。网络架构如下图示：

新建的网络区域于原有的网络架构相结合，实现网络隔离接入，简述如下：

1）移动接入汇聚：在现有一级分行分行网络架构的基础上，新增一套移动接入汇聚路由器，该路由器主要用于移动终端4G汇聚，该路由器配置LNS（L2TP网络服务器）功能，为移动终端提供虚拟拨号专线接入。

2）传输加密和准入控制：目前无线网络环境接入大多采用IPSec和CA证书结合技术方式，实现了网络传输加密和准入控制，用以提升非可信网络接入安全。由于IPSec是一种依托硬件加密卡实现的加密技术，目前主流的平板电脑都不具备IPSec的处理能力，同时，CA证书的安全导入也是多数平板电脑面临的难题。目前，主流的技术解决方案是通过部署一套移动接入网关，采用SSL协议、公私钥、硬件特征和用户名密码结合的方式替代IPSec，实现传输加密和准入控制。因此，本次改造，将在移动接入汇聚路由器后端部署一套VPN网关，为移动终端提供可靠接入。

3）接入交换机：考虑到设备互联、网络切换和网络区域隔离的需要，在VPN网关的后端将会部署一套三层接入交换机，以满足DMZ区域外侧网络设备互联。

4）入侵检测和应用防火墙：为了提升非可信网络终端接入安全，在DMZ区域前端将部署一套入侵检测（IPS）和应用防火墙设备，对37层特征式网络攻击和非特征式应用攻击提供安全防护。

5）MDM：通过MDM可以检测终端环境，避免不安全的移动设备接入网络，并能够统一设备配置，防止信息泄露，起到提升网络安全和管理效率的作用。本次改造将在DMZ区域部署一套MDM设备，通过与VPN网关的结合，提升终端、网络和信息安全。

6）移动前置堡垒机：为了提升移动终端用户体验，加强数据安全，依照应用设计，在DMZ区域将部署一套移动前置堡垒机服务器，为移动终端提供安全的业务展现。

7）AAA认证服务器：远程拨号认证系统是移动终端通过4G方式接入的认证服务器，通过AAA服务器能够实现手机号和SIM卡以及终端拨号用户的绑定，是L2TP网络接入必不可少的服务器。

四、网络安全措施

银行的网络安全和数据安全是网络设计前提和出发点，移动终端的使用使银行的网络暴露在潜在的风险之下，不但有可能面临计算机病毒的威胁还有可能遭到网络黑客的入侵，如何构建适合银行无线金融网络的安全策略成为工程实施成败的关键。

网络威胁来源及应对措施：

（1）SIM卡盗用威胁。终端侧的SIM卡并没有固化在智能终端设备内，有可能被盗用或非法复制，窃取了SIM卡就会获得入侵银行金融网络的途径。

银行SIM卡的入网不同于普通手机卡，需要接入专用无线网络域，这可以通过AAA认证服务器和运营商实现，域名及密码都是银行后台建立的，不知道账号和口令就无法入网，这是网络防护的第一道屏障。设备的域名和密码可以只分发给业务支撑人员，对业务使用人员保密，做到密码与设备分离，这样可以消除内部业务人员作案的风险。其次可以通过MDM系统绑定SIM卡与终端设备。MDM能够识别终端的硬件识别码，确保终端的唯一性，当硬件识别码与SIM卡号相匹配时才允许应用访问前置服务器。通过上述两个手段可以保证SIM卡、终端、使用人员的唯一性，确保SIM卡使用安全。

（2）终端非法应用威胁。普通的移动终端大多带有WIFI功能，或可通过储存介质实现与外部数据的交换，这就会有在智能终端安装非法应用或窃取银行数据的可能性。针对这个问题，除了在采购移动终端时要求生产厂家去除WIFI及外联介质拷贝功能外，还可以通过MDM在系统层面上的管控来控制终端应用。当设备初次接入银行金融网时，网页会自动跳转至MDM终端软件的下载安装页面，待安装完成MDM终端软件后，所有的应用将通过MDM软件的沙箱功能訪问银行后台系统。也就是说终端的应用是被MDM的终端软件所隔离的，只有沙箱内部的软件能够访问银行应用系统，而沙箱外部的软件则无法进行网络访问。同时MDM拥有监控终端的功能，他可以给终端设置应用的黑、白名单，一旦终端安装非法应用，MDM会立即向AAA认证服务器发送请求，中断该设备的入网许可。

（3）网络入侵威胁。银行的金融网络终究建设在运营商所搭建的无线网络平台之上，所采用的VPDN技术也只是虚拟的专用线路，还是存在很多未知的网络风险。在移动接入区，Y银行采用传统的网络防护措施包括访问控制、防火墙、应用防火墙、传输加密、入侵检测、安全审计等策略。通过访问控制，按事先确定的规则实施访问权的控制，防止未经授权而利用网络访问所有应用系统。防火墙在系统之间建立起一个安全网关，从而保护内部系统免受非法用户的侵害，使用有IP地址转换功能，以便对外有效屏蔽网络内部IP地址，提高网络的安全性。数据在网络上传输时，为保证数据的安全，防止数据被窃取，应对关键数据进行加密，同时对数据报文进行校验，防止数据在传输过程被篡改。数据报文加密和校验可通过硬件加密或软件加密方法来实现，使用L2TP、VPN证书的方式是数据的传输全程都处于加密或多次加密的状态，即使数据被窃取，攻击者也无法破解。在网络安全管理中，除使用一般的网管软件和系统监控管理软件外，还应使用网络监控设备或实时入侵检测设备，对进出各级局域网的常见操作进行实时检查、监控、报警和阻断，从而防止针对网络的攻击与犯罪行为。

五、总结

通过移动网络技术在Y银行金融网络的初步应用，为未来银行业使用安全可靠的内部无线网络提供了宝贵经验。现在Y银行的移动信贷业务已经成功上线，系统的安全和可用性也得到了验证。但实践的脚步不能停歇，如何在现有技术的前提下建设更加安全、稳定、可管理性高的系统使我们下一步的发展目标。