基于安全視角的外匯局基層骨干網絡研究

王孟陽

摘 要：隨著互聯網技術的快速發展，金融監管機構依托網絡的各類業務應運而生，在提供便利化服務，履行事中事后監管的同時，遭受不法分子利用網絡自身脆弱性，竊取數據、中斷服務的事件時有發生。采用相關防控技術，加強網絡自我防御能力，構建安全可信網絡，成為當前金融領域網絡研究的重要課題。本文從外匯局基層骨干網絡安全風險研究入手，探索安全網絡的特性，結合實際情況，提出安全防護建議，營造安全可信的網絡環境，切實提升外匯管理領域金融服務水平。

關鍵詞：金融服務；外匯管理；網絡安全

中圖分類號：F830.92 文獻標識碼：B 文章編號：1674-0017-2016（12）-0098-03

一、引言

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。

近年來，利用網絡漏洞實施網絡攻擊，造成金融信息泄漏、金融服務中斷的事件屢見不鮮。2015年我國金融行業遭受網站仿冒頁面10.62萬余個，占總量的59%，發生數據外泄事件33起，被盜數據77605972項，遭遇1Gbit/s以上的DDos（分布式拒絕服務）攻擊近38萬次，金融領域已成為網絡安全防護的重點。

基層外匯局承擔著轄區外匯管理改革和相關外匯服務的職能，信息化應用和網絡規劃較早，現所有業務受理、數據監測統計都依托系統和網絡開展。近年來，系統經過了多次升級完善，但網絡未進行較大改進，已經無法滿足新時期網絡安全的要求，急需采取措施防范風險。本文通過分析當前基層骨干網絡存在的安全問題，研究安全網絡應具有的特性，提出安全防控的建議，旨在建立安全可信的網絡環境，確保基礎網絡和關鍵信息系統的安全運行。考慮到網絡自有信息的敏感性，本文對網絡產品型號、參數配置等信息進行了屏蔽。

二、基層骨干網絡基本情況

（一）基層骨干網絡的定義及作用。基層骨干網絡是指國家外匯管理局（以下簡稱“總局”）和各省分局之間，通過租用運營商線路，形成的獨立的、專用的網絡。區別于公共互聯網以及人民銀行分行到總行、分行到中心支行的網絡，專門承載外匯局各業務系統和內部門戶的基礎支撐網絡。骨干網絡涵蓋終端、服務器、網絡設備和運營商線路等硬件，各類操作系統、數據庫、中間件、安全防護等軟件，獨立IP地址、權限管理和運維應急手冊等相關制度。

（二）基層骨干網絡的歷史和現狀。20世紀90年代我國互聯網應用初期，分局與總局之間采用撥號上網的方式互聯，2000年分局申請了與總局的幀中繼專線。

隨著網絡技術的發展和外匯局信息化要求的提高，2003年底，為了實現骨干網全網提速，支持新興的網絡應用，全面提高網絡可用性、穩定性和可靠性，在總局的統一部署下，對分局骨干網絡進行了擴容改造。改造后的骨干網繼續采用原有的星型拓撲結構，分局增加了1臺路由器，通過租用電信運營商2條專用鏈路，與總局核心路由器直連。制定了分局IP地址管理規范，和總局上聯的路由設備及分局服務器使用外匯局網段的IP地址，PC終端部分保留外匯局的IP地址，作為人民銀行的一個虛擬網絡管理，其余終端使用人民銀行的局域網絡和網段的IP地址，并通過地址映射訪問分局服務器和總局網絡。外匯局基層骨干網絡雛形基本形成。

2008年為進一步優化網絡結構，總局為分局骨干網絡新增了2臺交換機和1臺路由器。將原來與總局連接的2條捆綁2M鏈路拆分，將其中1條連接到新增的路由器上，重新部署動態路由協議，使得拆分后的2條鏈路實現熱備和負載均衡。2臺新增交換機通過堆疊方式互聯，并分別與原有的及新增的路由器連接，另一邊連接分局內部網絡。內部網絡方面，分局與轄內中心支局使用人民銀行廣域網連接，與轄內商業銀行使用人民銀行金融城域網實現互聯。至此基層骨干網絡構建完成，一直沿用至今。

三、基層骨干網絡安全特性研究

（一）總體來說，安全的網絡要遵循以下幾個原則。1.平衡分析原則。絕對安全的網絡是不存在的，也沒有存在的必要。在設計網絡時，要綜合考慮需求、風險和實現代價這三方面的因素，平衡三者之間的關系，確定最優的方案。

2.網絡安全原則。網絡安全體系應當包括安全防護、安全監測和安全恢復三個方面，能對各類安全威脅進行及時防護，第一時間發現并阻止對系統造成的攻擊和在安全措施失效時及時進行應急處置和內容恢復，減少帶來的損失。

3.高可用性原則。網絡是基礎環境，通過其上運行的各類系統和應用實現價值。因此網絡要滿足應用提出的穩定性、可靠性和方便性等要求。

4.可發展性原則。整體規劃設計要綜合考慮網絡規模的升級改造，網絡結構的優化調整，要求網絡能適應規模及安全需求在一定時間和范圍的變化，具有可發展性，容易進行調整和升級改造。

安全的基層骨干網絡應通過應用當前最新的網絡技術和產品，設計合理的網絡結構，滿足當前外匯業務系統需求并預留足夠的可擴展性，在兼顧方便高效的同時，符合網絡信息安全的要求。

安全的基層骨干網絡要具備以下特性。

1.網絡結構合理，功能區域明確，網間邊界清晰。

2.采用必要的線路和設備冗余，避免單點故障，提高整體網絡的可用性。

3.對網絡中的IP地址進行合理規劃，采用訪問控制和身份認證等手段，防止未經授權的用戶和終端接入內部網絡。

4.構建運行維護及應急響應等管理機制。

四、基層骨干網絡安全防控建議

（一）按功能分區優化網絡結構。為了確保合理的網絡結構，骨干網絡應按照功能劃分為三個區域。骨干網絡上聯區域（以下簡稱“上聯區域”）、分局局域網服務器區域（以下簡稱“服務器區域”）和分局局域網終端區域（以下簡稱“終端區域”）。所有區域采用設備冗余和鏈路冗余的方法，防止發生單點故障。最外層部署核心路由器，一端通過運營商線路和總局網絡相連，另一端通過防火墻和里層核心交換機相連接，核心交換機的另一端分別與分局局域網中的服務器區域和終端區域相連。

（二）拆分鏈路，調整與總局互聯方式。總局兩地三中心廣域網的主體結構，采用光傳輸線路，分別是生產中心與同城備份中心基于裸光纖的鏈路、生產中心與災備中心基于SDH的鏈路、災備中心與同城備份中心基于SDH的鏈路，形成底層數據的光傳輸環狀主干網絡。

基層骨干網絡與總局的互聯方式需要調整，首先由原來租用單一線路運營商的2條SDH專用鏈路改為租用兩家線路運營商各1條SDH專用鏈路，提高線路可用性。其次調整互聯目的地，原來2條線路均接入生產中心，新的骨干網絡1條線路接入生產中心，另1條線路連接災備中心，兩條鏈路互為備份。當連接生產中心的線路出現故障時，分局網絡通過連接災備中心的線路，經過總局環狀廣域網與生產中心連通。該調整，既保證了與生產中心的鏈路冗余，又實現了與災備中心的互聯，在滿足安全要求的同時，節約了成本。

（三）從管理和技術入手，構建網絡安全。安全的網絡要擁有合理的網絡結構，有效的安全防護策略和完備的日常管理。基層骨干網絡主要從結構優化、身份認證、訪問控制、杜絕單點故障、安全產品選擇和運維保障等方面構建安全的網絡。

結構優化：基層骨干網絡按照功能進行分區，與人民銀行內部網絡實現分離，分局終端統一部署在人民銀行網段，網絡結構清晰明確，便于安全防護。

身份認證：采用固定IP地址對接入網絡中的終端進行身份標識，通過MAC物理地址綁定的功能實現身份認證，當終端發起上網請求時，首先判斷其IP地址和MAC物理地址是否匹配，匹配的情況下，終端才被容許接入網絡。同時，關閉交換機中不使用的端口，防止其它非法計算機和用戶接入網絡。

訪問控制：對網絡中的IP地址進行分組，根據訪問需要，制定組與組之間的訪問策略，容許滿足條件的訪問，防止條件外的非法訪問，禁止各分局之間的直接訪問。同時關閉網絡設備的PING、TELNET、FTP、SNMP等高危服務，嚴禁協議數據、業務數據和管理數據以外的數據在網絡中傳遞。

杜絕單點故障：基層骨干網絡應采取雙機熱備模式，即網絡中配置雙路由器、雙通信鏈路、多交換機和雙防火墻。每個節點由原來單一的設備改造為兩臺同型號設備，分別定位為主備設備，主備設備間要實現互聯，主設備發生故障時，備設備要在規定時間內接管主設備的任務，提供不間斷的網絡服務。

安全產品選擇：基層骨干網絡在關鍵設備上均應采用我國自主研發產品取代現有的國外設備。

運維保障：構建運維保障長效機制，從管理的角度實現網絡安全。編制《分局信息安全管理辦法》、《系統運行維護制度》、《應急預案》、《網絡設備用戶手冊》等文檔。內容涵蓋網絡日常巡檢、安全風險評估和應急響應等，具有詳細的操作流程和實施步驟，并在日常工作中嚴格執行。

參考文獻

[1]李偉.網絡安全實用技術標準教程[M].北京：清華大學出版社，2005。

[2]朱萍.計算機網絡信息安全及防護策略研究[J].科技資訊.2016，（2）：29-30。

[3]王世偉，曹磊，羅天雨.再論信息安全、網絡安全、網絡空間安全.中國圖書館學報，2016，（4）：4-28。

[4]楊晨.信息時代下計算機網絡安全技術初探[J].網絡安全技術與應用，2014，（1）：108-109。

[5]宋欣蔚.計算機網絡可靠性研究[J].信息與電腦：理論版，2016，（6）：158-159。

The Study on the Backbone Network of SAFE Branches

Based on the Perspective of Security

WANG Mengyang

（Xian Branch PBC，Xian Shaanxi 710075）

Abstract：With the rapid development of the Internet technology， all kinds of business of financial supervision institutions based on the network have developed. At the same time of providing facilitate services and performing in-and-after regulations， events like stealing data and interrupting service by using the vulnerability of the network have occurred frequently and present a high-speed growth trend. Taking relevant prevention and control technology， strengthening the defense capability of the network and building a safe and trusted network have become a very important subject of the financial network research. From the backbone network security risk research of SAFE branches， the paper explores the safety network features， and combined with the actual situation， puts forward suggestions on the safe protection to create a safe and reliable network environment and improve the financial service level in the field of the foreign exchange administration.

Keywords： financial service； foreign exchange administration； network security

責任編輯、校對：陳參軍