一 银行外联网络安全现状

　　1、银行外联种类

　　按业务分为：

　　银行外联业务种类繁多，主要有：证银联业务、社保IC卡、房改公积金管理系统、代收中联通话费、代收移动话费、同城清算、人行税银库企系统、人行银行信贷登记系统、金融统计数据报送、国际收支数据报送、电子口岸、代收电费、代扣社保费、代收国税、代收地税、代收固话费、财局国库集中系统、统发工资系统、代收财政罚款、物业维修基金、非税系统、重要客户系统等等。

　　按单位分：

　　随着外联业务的不断扩大，外联单位也不断增加，主要有：各个证券公司、社保局、房改办、联通公司、移动公司、海关、电力公司、国税局、地税局、电信公司、供水公司、政府政务网、人行金融网、银行的重客单位等等。

　　按线路分：

　　外联线路主要以专线为主，部分外联业务采用拨号方式，线路类型主要有：幀中继、SDH、DDN、城域网、拨号等。

　　2、提供外联线路的运营商

　　根据外联单位的不同需求，有多家运营商提供线路服务，主要有：电信公司、盈通公司、网通公司、视通公司等

　　3、银行外联网络的安全现状及存在问题

　　外联接入现状示意图：

　　外联接入分为总行、一级分行、二级分行三个接入层次，据统计有80％的外联单位是通过二级分行及以下层次接入的，面对如此众多的外联接入单位，我行还没有一个统一规划的完善的外联网络安全防御体系，特别是对于有些二级分行的外联网络只有基本的安全防护，只在外网的接入口使用防火墙进行安全控制，整体而言，外联网络缺少一个统一规划的完善的安全防御体系，抗风险能力低。

　　下面，针对外联网络中主要的安全风险点进行简单分析：

　　（1）外联接入点多且层次低，缺乏统一的规划和监管，存在接入风险

　　银行外联系统的接入五花八门，没有一个统一的接入规划和接入标准，总行、一级分行、二级分行、甚至经办网点都有接入点，据统计80％的外联接入都是通过二级分行及以下层次接入的，由于该层次的安全产品和安全技术资源都非常缺乏，因此对外联接入的监管控制缺乏力度，存在着接入风险。

　　（2）缺少统一规范的安全架构和策略标准

　　在外联网络中，全行缺少统一规范的安全架构和访问控制策略标准，对众多的外联业务没有分层分级设定不同的安全策略，在网络层没有统一的安全访问控制标准，比如：允许开放的端口、必须关闭的端口、需要控制访问的端口、安全传输协议等等；在外联业务应用程序的编写方面没有统一的安全标准；在防火墙策略制定上也没有统一的安全标准，因此外联网络的整体可控性不强。

　　（3）缺乏数据传送过程中的加密机制

　　目前与外联单位互相传送的数据大部分都是明码传送，没有统一规范的加密传送机制。

　　（4）缺少统一的安全审计和安全管理标准。

　　外联网络没有一个统一的安全审计和安全管理标准，在安全检查和安全审计上没有一套行之有效的方法。

　　为解决当前外联网络所存在的安全隐患，我们必须构建一个完善的银行外联网络安全架构，建立一套统一规划的完善的外联网络安全防御体系。

　　下面我们将从银行外联网络安全规划着手，进行外联平台的网络设计，并对外联平台的安全策略进行统一规划，相应地提出外联业务平台安全审计的内容以及如何进行外联网络的安全管理，设计一套完善的银行外联网络安全解决方案。