1、系统描述
1)过滤路由器
过滤路由器采用具备路由过滤功能的路由器,如Cisco等公司的产品。 它除了作Internet和银行网络之间路由选择功能外,还会起到对流入银行的数据流进行过滤的功能。数据流分为两大类:将送交应用服务器处理的对安全要 求特别高的交易数据流,如https交易数据流;对安全要求不是特别高的非交易数据流,如对访问服务器上的页面浏览。除此之外,所有的数据都将由过滤路由 器挡回去。这有两方面好处:一是降低服务器的处理负荷,提高其性能;一是尽量减少网络黑客尝试攻击本系统的机会,增强其安全性。
2)防火墙
防止Internet用户的非法入侵,保护WEB服务器的安全,同时保证UniNetbank和银行内部通讯网的安全,达到网络分隔的要求。防火墙的软件可根据实际需要设置。
3)负载均衡器
选用CISCO的Local Director产品,负责高可用性和负载均衡,放在UniNetbank访问应用服务器前面。在浏览器用户的眼中,这些交易服务器就好象一台一样,它们 有一个共同的虚拟IP地址。浏览器用户将请求直接发至Local Director, ?Local Director会根据交易服务器的工作情况动态 分配负荷, 以保证最高的性能和可用性。当一台交易服务器出故障后, Local Director会自动将其从服务器群中去掉,原先由其承担的工作分摊给其他交易服务器,以保证向用户提供的服务不被中断。
4)WEB服务器
WEB服务器是银行网上银行系统面向Internet用户的访问窗口, 在我们的方案中,根据访问内容的不同类别和对信息安全的不同要求,将访问内容划分为两部分:非银行机密信息内容和银行机密信息内容。WEB服务器采用普通 的PC服务器或IBM RS/6000小型机,采用WINDOWS、LINUX、AIX等操作系统
5)应用服务器
具体实现网络银行的交易功能,,主要包括交易业务的逻辑控制和流程处理 等,完成与访问服务器间的信息交换和信息格式转换,以及完成后台服务器和数据库的信息交换。接收到用户请求后,系统会进行一系列安全检查。只有在系统完全 确认一切正常后,才会将用户的交易请求通过特定的代理程序送至运行在系统内部区域的应用服务器进行后续处理。应用服务器采用普通的PC服务器或IBM RS/6000小型机,采用WINDOWS、LINUX、AIX等操作系统,上面安装BEA的 WebLogic或IBM的WebPhere产品。
6)安全代理服务器
安全代理服务器用于提供通信安全服务,在UniNetbank系统结构 中,位于交易服务器前面,相当于一个HTTP的代理。在联机交易中,安全代理服务器与安装在客户端的代理软件使用标准的SSL3.0协议通讯,通过客户端 /服务器端的安全代理软件,可以实现在Internet上传输的信息采用128位强加密,以充分保障银行信息传递的安全。如银行采用CFCA作为发放证书 的第三方机构,在安全代理服务器上需要安装Entrust的Direct服务器软件。
7)数据库服务器
银行中心数据库服务器用于存储网上银行客户信息和交易信息,包括:网上 银行客户开户信息,网上银行用户的权限控制信息、集团客户的组织结构信息,系统参数以及与客户定制服务相关的信息,同时它还存放网上银行产生的各种业务报 表数据。网上银行数据库中的客户信息数据由分行的客户信息认证系统采集得到。
8)通讯网关服务器
UniNetbank的通讯网关服务器充当业务交易网关的功能,一方面与应用服务器相连接,另一方面通过银行内部通讯网与银行业务主机服务器通讯。
9)管理工作站
a、系统管理工作站,技术维护人员通过应用管理工作站连接应用服务器,在通过系统的身份认证后,即可对应用系统进行管理(应用系统服务器可以指定只有特定的IP地址才能对其进行管理)。管理内容包括:对应用程序的装载/ 卸载、对应用系统的运行监控、对应用日志的定期备份等;
b、客户管理工作站,银行客户服务代表通过客户管理工作站,负责接收、解答网上银行客户通过 Internet网络传送过来的反馈意见、咨询和投诉等。
c、交易管理工作站,系统管理员通过客户管理工作站,负责对UniNetbank的管理和维护, 主要功能有:客户信息的查询与维护、交易日志的查询与维护、系统参数的管理、系统代码的管理、分行信息的维护、商户信息的维护、各种统计报表的生成、查询 与打印等。
本系统的数据安全设计基于数字证书系统,系统实现了与电子证书系统的无缝集成,利用数字签名、SSL安全通道等技术确保重要数据的完整性和不可抵赖性。
2)双防火墙保证绝对的安全性
双防火墙模式用于将网上银行系统的各个部分隔离开来,外防火墙将外部网段、公共信息网段、CA认证网段、系统内部网段置为四个独立网段,通过严格 的访问权限和用户访问途径的控制,保证了内部网段的安全。内防火墙则将网上银行系统与原有的业务系统完全隔离,从而确保了银行内部网络的安全。
3)标准性
整个系统采用目前国际(国内)的标准协议和规范,保证系统的可靠性、兼容性和可扩充性,便于今后系统升级,其中包括电子证书、电子表单、电子数据交换等相关技术标准和规范。
4)通用性
采用纯Java环境实现,性能好、安全性高、可靠性及移植性强。
5)灵活性
系统为用户提供快速配置功能,在系统平台之上,用户可以根据自己的需要,设计完全个性化的网上银行系统,可以满足商业银行的各种业务要求,提供完全个性化的用户界面。
6)可扩展性
网上银行系统与银行原业务系统之间通过可灵活配置的数据格式进行数据交换,实现银行业务系统的无缝对接;另外系统为用户了提供完整的API接口, 用户可以通过该接口设计自己特殊的业务功能模块,与其他系统实现快速连接。
微机服务器或IBM RS6000
软件平台
WEB服务器:Microsoft IIS 、IBM HTTP Server等。?
应用服务器:JRUN、BEA weblogic7 或者IBM Websphere Application Server V4.0,
IBM VisualAge for JAVA/C++。
数据库服务器: IBM DB2 、Sybase、SQL server等。
UniNetbank从功能上分为客户端服务、银行柜台管理和网银中心 三大部分,其中客户端服务部分预制了银行主要服务功能,同时对银行需要新加的服务功能,提供了业务快速生成工具,帮助银行在系统安全平台和业务平台的框架 上快速调整、更新服务内容。UniNetbank中的部分预制服务功能简介如下:
1)个人银行
a、帐务查询:帐户的当天交易和历史交易查询
b、代理业务(水,电,煤气、电信费用等)
c、证券业务(银证转账、一卡通证券交易等)
d、帐户挂失
e、活期转定期,定期转活期
f、帐户转帐(自助转帐、辖内转帐、同城转帐、异地转帐等)
g、修改密码:可进行帐户查询密码和取款密码的修改。
h、网上支付卡申请:客户申请网上支付卡,即时申请,即时开通。
i、按揭贷款月供计算:根据客户输入的贷款金额和年限自动计算出每月月供金额。
j、财务分析系统:帮助客户充分掌握自己的财务状况,作出最合适的财务安排,以获取最大的收益
2)企业银行
a、帐务信息查询:包括查询帐户余额明细以及帐户交易明细等信息。
b、内部转帐:用于在银行开户的本单位帐户之间的资金划拨。
c、集团资金调拨:指集团公司客户查看下属子公司或分公司的账务信息,并进行资金调度。使集团公司对子公司的资金管理和监督更加便捷。
d、对外支付:用于向他行开户的其它企业付款。
e、发放工资:用于向本企业单位员工发放工资。
f、银行信息通知:银行通过“留言版”将信息通知特定客户。如定期存款到期通知、贷款到期通知、开办新业务通知、利率变动通知等。
g、子公司帐务查询:集团/总公司能根据协议查看子公司的帐务信息,方便财务监控。
3)网上购物:需商户端系统配合。
4)网上支付
a、支付卡申请
b、支付卡理财
c、支付卡转帐
d、修改密码
5)网上证券
实时行情查询、交易查询、委托、转账、新股申购、修改密码、信息服务。
6)客户理财
为广大的网上客户提供先进快捷、科学合理的理财规划和理财套餐服务。
7)信息服务
a、提供实时证券行情、利率、汇率、外汇买卖信息等丰富多彩的金融信息服务;
b、提供各种对外宣传信息;
c、提供金融法规的咨询,查询;
d、收集各种建议,投诉,用以提高服务质量等。