网络银行的技术结构

（四）网络银行的技术结构

网络银行的技术结构是根据网络银行的业务需求、银行现有各类信息系统及其与网络银行的关系、网络银行的安全要求等对各种信息技术产品和系统（已有银行业务信息系统）进行科学配置而构成的计算机信息系统结构。一般采取“客户/网络银行中心/后台业务系统”三层体系结构，主要提供信息服务、客户服务、账务查询和网络支付功能。其中信息服务和客户服务一般由银行指定管理部门在全行范围内规划、运作和管理。网络银行中心具体实现账务查询和实时交易功能，并实现银行后台业务主机系统与网络银行中心的实时连接。

网络银行中心是网络银行顺利运作的关键，一般由银行主机系统、Web服务器、应用服务器、数据库服务器、路由器、防火墙以及内部管理和业务操作工作台组成。通常由银行端Web服务器、两台互为备份的应用服务器和数据库服务器完成网络银行系统的具体业务功能。

建立统一的网络银行中心，不仅有利于提高网络银行的管理效率和安全系数，也有利于向客户提供更高质量的金融服务。

1.客户端系统和服务器端系统

从网络技术的角度看，网络银行可分为客户端系统和服务器端系统。网络银行与客户之间的关系如图2－2所示。

图2－2　客户—网络银行关系示意图

网络银行的客户包括内部和外部两种。外部客户是寻求银行提供存款、取款、支付、贷款等金融服务的用户，而内部客户主要是银行内部员工与管理人员。外部客户通过因特网使用浏览器访问网络银行Web服务器（网站），需要通过外层防火墙检查过滤后才能登录到网络银行系统。为了保证网络银行系统的安全性，内部客户访问系统也要通过内部防火墙。只有认证的用户才可进入网络银行系统，而数据信息必须以密文传送。通常，在后台应用服务器与外部客户之间设置两重或多重防火墙以提高安全级别。

客户端系统就是能够连接因特网并浏览网络银行的网页和进行操作的系统。对于客户来说，就是在计算机上安装一个客户端软件，并实现访问网络银行网页，获取银行服务的功能。

客户端可以有多种接入方式：DDN接入、MODEN拨号接入、局域网LAN接入和ADSL接入等。在具体的实现方式上，网络银行可以自行设计客户端系统，也可以让客户使用通用的浏览器平台，如IE浏览器等。应用方式采用专用客户端软件的C/S模式或基于Web应用的B/S模式。

网络银行的服务器端系统主要实现提供给客户的各种功能，满足安全性、可靠性、可扩展性、易于管理性等方面的要求。其核心部分是客户身份验证系统和交易执行系统，通过设置各种服务器来实现各个子系统的功能。网络银行一般采用多个子系统来实现各种不同的功能。这样既有利于系统的管理，也不会造成整个系统的失灵。在网络银行的内部系统中，每个子系统都承担相应的功能。每个子系统都可以根据需要增加或调整服务器的数量。例如，客户身份验证系统主要进行客户身份验证，向客户端系统提供客户身份证明，保证客户交易数据传输的保密性。安全与证书服务器实现客户身份验证子系统的功能。安全系统和证书系统可以安装在一台服务器上，也可以分别使用独立的服务器，主要根据银行自己的客户规模来确定。

在因特网与内部系统之间通过路由器进行连接，实现从因特网到网络银行的路由选择功能。在内部系统与因特网之间设置防火墙保证网络银行系统的安全。服务器端结构如图2－3所示。

图2－3　网络银行服务器端示意图

2.前台业务处理系统和后台业务处理系统

从面对客户进行业务处理的先后次序来观察，网络银行可以分为前台业务处理系统和后台业务处理系统。

前台业务处理系统是指系统中与银行客户直接打交道的部分，其任务主要是接受和响应客户的服务请求，并将服务请求信息及时、有效、安全地传至后台业务处理系统，最后，由后台业务处理系统实现客户的服务请求。

后台业务处理系统是指运行综合业务系统的主机系统，主要处理客户通过前台发来的服务请求，实现并完成服务请求任务。后台业务处理系统一般对于客户是透明的，而客户只希望得到满意的服务，对于后台如何处理具体业务并不关心。后台业务处理系统直接决定着前台的服务质量。因此，要求前、后台业务系统能有效集成，通过后台业务对信息的处理和加工，及时反馈客户信息，以保证和支持前台业务处理的准确性和及时性。

3.典型网络银行技术结构

每家银行根据其对网络银行风险认识的不同和自身业务功能的差异，对网络银行系统会有不同类型的设计和组合，但其基本的技术构成是类似的，其各部分的功能也基本相同。图2－4是典型网络银行技术结构图，主要由以下九个部分构成：

（1）客户浏览器。分为内部和外部客户服务，外部客户又分为企业客户和个人客户两种。

（2）路由器和防火墙。路由器和防火墙对流入网络银行系统的数据流进行过滤，隔离银行内部网络与非安全的因特网。目前的网络银行系统通常采用两层防火墙。外层防火墙将Web服务器同外部网络隔离，以阻止非法访问者和数据的侵入。

图2－4　典型网络银行技术结构

内部防火墙1用于隔离网络银行的Web服务器与应用服务器，在软件上可以增加管理手段，如内部数据库可设定只对从特定端口来的请求作出反应，对其他的IP地址则不理会。通过内外两道防火墙隔离因特网和网络银行的核心业务系统，形成对因特网的双重隔离，使网络银行系统受到更好的保护。内部防火墙2用来阻止非法数据和用户（主要是行业内部）通过金融专用网、Intranet或Extranet进入系统。

（3）Web服务器。存放和管理Web网页内容，向前台提供客户交易界面，对外进行基本的静态信息传递服务，并管理业务信息系统的相应网页文件和其他银行信息的发布。Web服务器是网络银行内外的接口，是外部客户的主要应用界面。虽然其安全性没有后台业务信息系统的要求高，但有更大的访问量要求。

（4）应用服务器。应用服务器是网络银行系统的核心之一，包含了网络银行所有业务逻辑和应用程序，包括会话管理、提交后台处理以及产生应答页面等。应用服务器支持ASP（Active Server Page），JSP（Java Server Page）等标准的服务器端应用，与Web服务器共同构成网络银行业务（如网络支付与结算、网上转账、网上理财等）应用系统的运行环境，实现网上交易业务的逻辑控制和流程处理，并完成Web服务器与数据库服务器之间的信息交换。

为了保证系统的高可靠性，应具备良好的灾难恢复和系统备份功能。可以根据业务量的大小动态配置多台应用服务器，当一台应用服务器负载过大时，可以动态地将请求送到不同的应用服务器，均衡负载。

从安全角度出发，在Web服务器和应用服务器上都要安装侵入监测系统（Intrusion Detection System，IDS），在边界路由器和外部防火墙之间、外部防火墙和Web服务器之间、应用服务器与内部防火墙之间以及内部防火墙与内部用户网络之间都应安装IDS。

（5）数据库服务器。网络银行的业务数据库用于存放各种应用数据，包括系统应用参数、客户信息、账户信息、交易信息等，既是宝贵的信息资源，又是系统安全的焦点。为便于发展综合业务服务，通常将数据库进行集中存放与管理。对于大型商业银行，一般设立独立的数据库服务器。中小型商业银行，有时将数据库服务器与应用服务器软件结合在一起，通过双机互为备份方式保证数据的可靠性。

数据库服务器的主要作用是保存、共享各种即时业务数据（如客户支付金额）和静态数据（如利率表），支持业务信息系统的运作，对登录客户进行合法性检查，以及对数据库中的关键数据进行加密，保证客户数据的安全。

（6）RSA服务器。RSA安全认证服务器，应用相关的RSA代理软件启动认证会话，设置并且实施安全策略，保护对专用网络系统、文件及应用的访问。其中包括可以根据每天的时间周期或根据小组或根据用户定义的权限确定内部资源的访问权限，定义并报告报警情况（如某个网络端口访问失败重试次数）创建用户访问日志等。借助认证服务器所提供的功能，可以保护网络银行各种访问端口、数据文件及其他资源。RSA服务器还可针对外部攻击和员工的恶意破坏，提供重要保护功能。

（7）通信服务器。在网络银行中心一般设置加密和通信服务器。通信服务器负责与各计算机中心连接，通信协议采用TCP/IP协议。客户的交易请求都通过通信服务器分发到各计算机中心的通信服务器上。通信服务器实现负载均衡、加密和解密功能。

（8）SNA网关。SNA网关是网络银行应用服务器与银行后台业务系统之间的通讯中间件。所有网络银行交易只有通过SNA网关才能到达主机，未通过SNA网关送交主机的网络银行交易均不会被主机系统接收，从而能更安全地保护主机免受入侵和破坏。

（9）银行主机系统。即银行后台综合业务系统。客户数据及密码均存放在银行主机系统上，交易处理也由主机系统完成。