|
【PConline 解决方案】随着第三代移动通讯技术的快速发展,技术水平越发趋于成熟,在性能、稳定性、安全性等方面较上一代技术有较大的提高。无线移动通讯技术所具有的灵活性、便利性等优势逐步使其成为金融行业重要的通讯手段,逐步被应用于多种业务场景。 渤海银行作为一家新兴银行应与同业一道,走在技术前沿,积极地不断尝试和利用新技术,用以提高企业核心竞争力,推动业务的发展和创新。 迈普旨在为分行进行3G无线接入相关建设提供技术实施方案,为各分行项目实施提供指导。为防范3G实施过程中产生的相关风险,分行科技部门及业务部门,应从各自职能出发,严格按照本方案要求实施,并在项目实施后制定相关管理办法,加强管理,防患于未然。 需求分析 业务人员携带便携式移动业务终端,临时性外派到大型客户、高校、商场、超市、影院、商业街、大型会展、售楼处、交易大厅等地现场办理业务或参与营销活动,例如现场批量开户、办理各种业务签约,受理按揭业务申请等,具有便携性及移动性的特点。另外还包含移动银行车、券商驻点(固定)等特殊场景。流动银行场景中原则上只进行非现金类交易,具体要求应遵照总行相关业务部门要求执行。
路由设计 3G接入路由器使用静态路由配置方式,指定默认路由,下一跳选择对应的WAN接口作为网络出接口,实现数据的上行。 核心LNS设备:为实现LNS路由器和网点之间终端通信,采用反向路由注入的方式产生精细路由。为了防止路由环路,在LNS路由器上,3G接入路由器所在网段的汇总路由下一跳指向null0口,使用服务器汇总地址段访问上端服务器,下一跳指向防火墙接口IP。 在防火墙上设置安全策略,严格限制3G接入终端可访问的内网资源,目前,开通3G接入路由器的LAN口网段访问移动版前端服务器10.1.26 142端口5001、50001、5678的网络,并开通联网核查地址,防止其它IP地址非法访问。不启用NAT地址转换。由外向内的防火墙策略应匹配源地址、目的地址、应用端口,一般不以网段进行开放,流动银行相关策略需同时设置策略有效时段。 用户接入安全 运营商对3G用户的SIM卡信息( IMSI“的国际移动用户识别码”)进行绑定,只允许绑定后的SIM用户通过用户名和密码认证后接入渤海银行3G专用网络,防止非法SIM卡用户拨入银行3G专网进行非法活动。 通过网点3G路由器设置SIM卡的PIN码保护功能,只有知道SIM卡的PIN码才能触发3G拨号,防止非法用户获取到银行SIM卡后进行的非法操作,从而保证了SIM的安全使用。 3G接入路由器配置IP+MAC绑定确保接入终端(移动业务终端)的合法性,并设置ACL防止非法IP地址接入网络。 通过CA服务器下发的证书,使用证书建立IPSEC VPN,保证了设备接入建立IPSEC的合法性。[返回频道首页] |
