3G無線安全接入解決方案
解決方案背景
金融服務(wù)經(jīng)營理念逐漸以“賬務(wù)為中心”向以“客戶為中心”轉(zhuǎn)變,表現(xiàn)在各銀行新一代核心銀行系統(tǒng)相繼投產(chǎn),大力發(fā)展零售業(yè)務(wù),大力拓展服務(wù)渠道以贏得更多的客戶。面對(duì)客戶多樣化、個(gè)性化的服務(wù)需求,銀行對(duì)服務(wù)渠道拓展的重視程度越來越高。各商業(yè)銀行紛紛進(jìn)行傳統(tǒng)網(wǎng)點(diǎn)轉(zhuǎn)型、擴(kuò)張便利店、離行ATM、自助終端、柜面業(yè)務(wù)延伸、網(wǎng)點(diǎn)加固等一系列服務(wù)渠道改善和拓展措施,以滿足廣大客戶的便利性需求,提升客戶體驗(yàn),從網(wǎng)絡(luò)支撐角度來看,傳統(tǒng)專線覆蓋范圍有限、開通周期長、備份利用率低及投資巨大等局限大大制約了企業(yè)的渠道拓展計(jì)劃。
3G技術(shù)的高速率、高安全性、覆蓋廣、機(jī)動(dòng)性強(qiáng)的特性為銀行服務(wù)渠道的快速拓展提供了極大的便利,為銀行的網(wǎng)點(diǎn)服務(wù)轉(zhuǎn)型提供了極大的助力,銳捷網(wǎng)絡(luò)憑借多年的金融行業(yè)服務(wù)經(jīng)驗(yàn),為各銀行提供滿足高安全、穩(wěn)定、易維護(hù)等各方面要求的3G安全接入解決方案。
解決方案構(gòu)成

1、接入端:3G無線接入路由器,RG-RSR10-02由于ATM機(jī)場景,RG-RSR10-01G內(nèi)置自助查詢機(jī)內(nèi)使用、RG-RSR10/20-14E/F滿足柜面業(yè)務(wù)延伸(單機(jī)/多機(jī))、RG-RSR20-14E/F滿足柜面網(wǎng)點(diǎn)需求。
2、運(yùn)營商側(cè):LAC、AAA服務(wù)器。
3、匯聚端:RSR77系列路由器配置DNME-SEC和DFNM-8GE模塊,單板500M SM1加密能力,整機(jī)2G的SM1加密能力。采用3G鏈路同時(shí)匯聚1000路網(wǎng)點(diǎn)。
4、管理端:CA/AAA服務(wù)器、RG-SNC-PRO、RG-SMP服務(wù)器。
為了保證3G的安全性,接入端3G路由器需要和匯聚端的VPN網(wǎng)關(guān)建立IPSEC VPN加密隧道,采用SM1國密辦加密算法保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>
安全保證機(jī)制
1、無線信號(hào)加密:SIM卡有運(yùn)算功能,運(yùn)營商算法不公開,會(huì)以加密的形式內(nèi)置一個(gè)密鑰,用戶和基站雙向鑒權(quán)。
2、屏蔽非法用戶:IMSI號(hào)+域名綁定,非授權(quán)卡無法撥入企業(yè)專網(wǎng)。
3、關(guān)閉internet服務(wù):限制授權(quán)3G卡的訪問,關(guān)閉internet服務(wù),做到 “??▽S?rdquo;。
4、防內(nèi)部盜用:在分行AAA服務(wù)器上設(shè)置,通過IMSI和用戶的IP、用戶名綁定,有效防止內(nèi)部盜用。進(jìn)一步做到“專卡、專人、專用”,便于控制安全風(fēng)險(xiǎn),加強(qiáng)管理。
5、端到端數(shù)據(jù)加密(SM1):針對(duì)銀行高度敏感的業(yè)務(wù)數(shù)據(jù)流,采用國家密碼管理局專門開發(fā)的商用加密算法SM1,該算法保密性高,算法不公開,安全性優(yōu)于其他同類型算法。
6、離行終端操作監(jiān)控:針對(duì)外派業(yè)務(wù)終端場景,終端脫離了營業(yè)網(wǎng)點(diǎn)固定的監(jiān)控范圍,操作的規(guī)范性無法掌握,銳捷網(wǎng)絡(luò)提供離行終端操作屏幕監(jiān)控方案,記錄操作員業(yè)務(wù)操作過程。
3G穩(wěn)定性保證機(jī)制
1、不同制式運(yùn)營商支持:當(dāng)某個(gè)運(yùn)營商的無線基站出現(xiàn)故障時(shí),可以撥到另外運(yùn)營商的基站,建立通訊連接。BFD關(guān)聯(lián)撥號(hào)口機(jī)制,進(jìn)一步實(shí)現(xiàn)當(dāng)上端LNS或者專線故障時(shí),業(yè)務(wù)能快速切換,確保業(yè)務(wù)不中斷。
2、雙LNS、IPSEC網(wǎng)關(guān)冗余機(jī)制,通過VRRP、雙PEER等機(jī)制,靈活實(shí)現(xiàn)LNS、IPSEC冗余備份技術(shù)。
3、自動(dòng)重?fù)埽寒?dāng)無線信號(hào)意外消失又恢復(fù)之后,路由器可以自動(dòng)發(fā)起重?fù)?,無需人工干預(yù)即可恢復(fù)業(yè)務(wù)。
4、延長天線:銳捷網(wǎng)絡(luò)接入路由器3G模塊的天線接口可拆卸通過線纜延長到信號(hào)相對(duì)較好的位置,保證良好的3G信號(hào)。用戶可根據(jù)需要,靈活選擇不同類型的天線。
5、針對(duì)離行ATM場景,采用IPSEC隧道自動(dòng)建立技術(shù),加快業(yè)務(wù)辦理時(shí)間,給用戶完美的體驗(yàn)。
6、2G/3G切換功能:當(dāng)3G信號(hào)弱的情況下,可切換到運(yùn)營商的2G網(wǎng)絡(luò)。
全方位的監(jiān)控管理
1、設(shè)備、用戶管理:通過網(wǎng)絡(luò)分域,清晰規(guī)劃設(shè)備所屬的范圍,用戶分級(jí)分權(quán),清晰管理界面。
2、拓?fù)涔芾恚喝鎸?duì)3G及IPSEC隧道進(jìn)行管理,拓?fù)鋱D及列表兩種方式,全面顯示設(shè)備ID、IP、在線狀態(tài)、登錄時(shí)間、在線時(shí)長、實(shí)時(shí)流量(5分鐘均值)、總流量、3G信號(hào)強(qiáng)度,還能對(duì)在線用戶進(jìn)行強(qiáng)制下線操作。
3、設(shè)備資產(chǎn)管理:站在IT運(yùn)維管理部門的視角,進(jìn)行資產(chǎn)管理,可提供:IP、設(shè)備名稱、MAC、購買時(shí)間、版本號(hào)、所屬機(jī)構(gòu)、集成商等各種字段進(jìn)行分類,便于故障版本升級(jí)及續(xù)保統(tǒng)計(jì)操作。
4、報(bào)表:流量、資費(fèi)統(tǒng)計(jì)報(bào)表。查看某一時(shí)間段內(nèi)隧道上下線動(dòng)作、上下線時(shí)間、對(duì)應(yīng)的接入設(shè)備名稱(IP)、3G用戶名。可靈活定制。
客戶收益
1、在普通網(wǎng)點(diǎn)使用3G接入技術(shù)作為備份線路,以300個(gè)網(wǎng)點(diǎn)為例,每年節(jié)約成本450萬左右。離行自助設(shè)備采用3G作為接入鏈路,資費(fèi)成本為有線專線的1/3左右。
2、在業(yè)務(wù)開通周期方面,業(yè)務(wù)開通周期由原來的20天左右,縮短到1周。為離行自助設(shè)備提供快速的接入平臺(tái),業(yè)務(wù)部門的積極性很高,對(duì)信息科技部門的滿意度很高。
3、在整體安全方面,運(yùn)營商、廠商的安全控制技術(shù),很好地保證了金融數(shù)據(jù)在無線端傳輸?shù)陌踩?,既滿足合規(guī)相關(guān)監(jiān)管部門的安全審計(jì)要求,同時(shí)保證銀行、客戶利益不受損。