3G无线安全接入解决方案
解决方案背景
金融服务经营理念逐渐以“账务为中心”向以“客户为中心”转变,表现在各银行新一代核心银行系统相继投产,大力发展零售业务,大力拓展服务渠道以赢得更多的客户。面对客户多样化、个性化的服务需求,银行对服务渠道拓展的重视程度越来越高。各商业银行纷纷进行传统网点转型、扩张便利店、离行ATM、自助终端、柜面业务延伸、网点加固等一系列服务渠道改善和拓展措施,以满足广大客户的便利性需求,提升客户体验,从网络支撑角度来看,传统专线覆盖范围有限、开通周期长、备份利用率低及投资巨大等局限大大制约了企业的渠道拓展计划。
3G技术的高速率、高安全性、覆盖广、机动性强的特性为银行服务渠道的快速拓展提供了极大的便利,为银行的网点服务转型提供了极大的助力,锐捷网络凭借多年的金融行业服务经验,为各银行提供满足高安全、稳定、易维护等各方面要求的3G安全接入解决方案。
解决方案构成
1、接入端:3G无线接入路由器,RG-RSR10-02由于ATM机场景,RG-RSR10-01G内置自助查询机内使用、RG-RSR10/20-14E/F满足柜面业务延伸(单机/多机)、RG-RSR20-14E/F满足柜面网点需求。
2、运营商侧:LAC、AAA服务器。
3、汇聚端:RSR77系列路由器配置DNME-SEC和DFNM-8GE模块,单板500M SM1加密能力,整机2G的SM1加密能力。采用3G链路同时汇聚1000路网点。
4、管理端:CA/AAA服务器、RG-SNC-PRO、RG-SMP服务器。
为了保证3G的安全性,接入端3G路由器需要和汇聚端的VPN网关建立IPSEC VPN加密隧道,采用SM1国密办加密算法保证数据传输的安全性。
安全保证机制
1、无线信号加密:SIM卡有运算功能,运营商算法不公开,会以加密的形式内置一个密钥,用户和基站双向鉴权。
2、屏蔽非法用户:IMSI号+域名绑定,非授权卡无法拨入企业专网。
3、关闭internet服务:限制授权3G卡的访问,关闭internet服务,做到 “专卡专用”。
4、防内部盗用:在分行AAA服务器上设置,通过IMSI和用户的IP、用户名绑定,有效防止内部盗用。进一步做到“专卡、专人、专用”,便于控制安全风险,加强管理。
5、端到端数据加密(SM1):针对银行高度敏感的业务数据流,采用国家密码管理局专门开发的商用加密算法SM1,该算法保密性高,算法不公开,安全性优于其他同类型算法。
6、离行终端操作监控:针对外派业务终端场景,终端脱离了营业网点固定的监控范围,操作的规范性无法掌握,锐捷网络提供离行终端操作屏幕监控方案,记录操作员业务操作过程。
3G稳定性保证机制
1、不同制式运营商支持:当某个运营商的无线基站出现故障时,可以拨到另外运营商的基站,建立通讯连接。BFD关联拨号口机制,进一步实现当上端LNS或者专线故障时,业务能快速切换,确保业务不中断。
2、双LNS、IPSEC网关冗余机制,通过VRRP、双PEER等机制,灵活实现LNS、IPSEC冗余备份技术。
3、自动重拨:当无线信号意外消失又恢复之后,路由器可以自动发起重拨,无需人工干预即可恢复业务。
4、延长天线:锐捷网络接入路由器3G模块的天线接口可拆卸通过线缆延长到信号相对较好的位置,保证良好的3G信号。用户可根据需要,灵活选择不同类型的天线。
5、针对离行ATM场景,采用IPSEC隧道自动建立技术,加快业务办理时间,给用户完美的体验。
6、2G/3G切换功能:当3G信号弱的情况下,可切换到运营商的2G网络。
全方位的监控管理
1、设备、用户管理:通过网络分域,清晰规划设备所属的范围,用户分级分权,清晰管理界面。
2、拓扑管理:全面对3G及IPSEC隧道进行管理,拓扑图及列表两种方式,全面显示设备ID、IP、在线状态、登录时间、在线时长、实时流量(5分钟均值)、总流量、3G信号强度,还能对在线用户进行强制下线操作。
3、设备资产管理:站在IT运维管理部门的视角,进行资产管理,可提供:IP、设备名称、MAC、购买时间、版本号、所属机构、集成商等各种字段进行分类,便于故障版本升级及续保统计操作。
4、报表:流量、资费统计报表。查看某一时间段内隧道上下线动作、上下线时间、对应的接入设备名称(IP)、3G用户名。可灵活定制。
客户收益
1、在普通网点使用3G接入技术作为备份线路,以300个网点为例,每年节约成本450万左右。离行自助设备采用3G作为接入链路,资费成本为有线专线的1/3左右。
2、在业务开通周期方面,业务开通周期由原来的20天左右,缩短到1周。为离行自助设备提供快速的接入平台,业务部门的积极性很高,对信息科技部门的满意度很高。
3、在整体安全方面,运营商、厂商的安全控制技术,很好地保证了金融数据在无线端传输的安全,既满足合规相关监管部门的安全审计要求,同时保证银行、客户利益不受损。