银行核心隔离网间数据交换业务场景梳理与总结

以下归纳 了 3 个银行的核心隔离网间数据交换业务场景，并提出相应的场景解决方案，供银行业引用参 考。

1、银行跨网提数场景

1.1、现状及问题

提数是银行内业务部门基于业务需求从数据中心提取数据的过程。 银行内部提数的数据流转过程：由银行业务部门发起提数需求，经业务需求部门内部审批、 数据部门审批通过后，数据中心将数据做脱敏等处理，数据部门人员通过内部数据传输平台，如 FTP 应用、银行自建数据借用系统等，将数据从相互隔离的生产网传输到办公网，业务部门在办公 网收取下载数据并使用。

银行内部提数通常使用 FTP 或自建数据借用系统来进行，FTP 等方式虽可以满足银行跨隔离网 的提数需求，但同样存在一些使用问题或困境： 1、整个数据流转过程存在着数据流转环节多、数据落地的问题，违背了银行“数据非必要不落 地”的安全管理员则。 2、数据流转中的审核、审批过程与传输过程因分布在多个独立的系统中，导致环节割裂。审 批包括提数申请审批和数据提取下发审批，两个申请内容应对照一致后再下发数据，但由于两 个审批存在系统、时间和管理人员差别，因此难以核验，导致整个过程存在提数异常问题及安 全隐患。 3、FTP 应用或自建数传系统难以稳定支持大体量文件、海量文件的高速、精准传输。 4、FTP 应用或自建数传系统缺乏完整而全面的日志记录，当出现传输问题需要追溯时，难以 快速准确定位问题，同时也不便于银行的审计工作开展。

1.2、解决方案

使用飞驰云联 Ftrans Ferry 跨网文件安全交换系统，建立银行隔离网间安全、高效、稳定的 提数通道。

在银行内部生产网、办公网、研发网内各自部署飞驰云联跨网文件安全交换系统，系统采 用前置机部署模式，合规安全。 生产网内数据部门提数数据后，经数据脱敏等处理，可使用 Ftrans Ferry 跨网文件安全 交换系统进行传输。此时数据下发需经过审批，Ftrans Ferry 跨网文件安全交换系统可调 取提数申请审批工单，并进行一致性校验，当两项审批内容完全一致时，审批方可通过， 数据进入到跨网交换环节。 文件经 Ftrans Ferry 跨网文件安全交换系统内置病毒查杀和内容审核流程，内容检测安 全合规后，自动进入传输环节，无需任何人工再进行操作。 数据需求方登录 Ftrans Ferry 跨网文件安全交换系统即可下载数据文件。所有传输均有 详尽、真实的日志记录。 银行可追溯数据传输的原文件，所有日志记录均可定期归档清理，减少存储压力。

1.3、方案优势

1、使用 Ftrans Ferry 跨网文件安全交换系统可以优化数据提取下发流程，数据提取并经脱敏 处理后，数据下发审批可调取数据申请审批单，两项审批一致审批方可通过，确保提数的准确 性、完整性和合规性。 2、数据提数下发审批通过后，数据经由 Ftrans Ferry 跨网文件安全交换系统即可投递到数据 需求方，无需管理人员再进行逐级下发，提升提数流程效率的同时，也避免多环节操作带来的 安全问题。 3、使用 Ftrans Ferry 跨网文件安全交换系统进行数据传输，所有操作动作均有详细而完整的 日志记录，便于银行审计 。4、Ftrans Ferry 跨网文件安全交换系统操作界面可视化、设计清晰易操作，节约 IT 管理维 护成本。

2、银行数据外发场景

2.1、现状及问题

银行日常业务开展及与外部合作伙伴业务往来时，还涉及到数据的收取和发送，如贷款资料内 传等。 银行内部提数的数据流转过程：银行业务终端经审批后，通过 FTP 或自建数据借用系 统将外发数据传输到办公终端，办公终端对文件进行解密，通过 DMZ 区将数据发送到互联网， 再使用微信、QQ 或邮箱等形式将数据和文件发送到外部的合作伙伴及机构等。

通过上述方式进行数据的对外收发，存在以下管理及安全问题： 1、整个数据流转过程存在着数据流转环节多、数据落地的问题，违背了银行“数据非必要不落 地”的安全管理员则。 2、传输使用的邮箱、微信、QQ 等方式安全性较低，数据极易被窃取，同时，整个数据发送和 接收过程无法被有效监控 3、传输过程涉及了多个传输工具，造成整体的传输效率低。 4、数据流转的整个过程无法形成完整、衔接的、可追溯的日志记录。

2.2、解决方案

使用飞驰云联 Ftrans Ferry 跨网文件安全交换系统，建立银行对外的文件安全收发通道。在银行内部办公网、DMZ 区分别部署飞驰云联跨网文件安全交换系统。 业务终端将要发送的数据文件通过 Ftrans Ferry 跨网文件安全交换系统发送，经过系统 的内容审核、审批流程，文件将自动传输到指定的外部收件人；同时，也可对外部收取文 件的用户权限做限制，最小化文件的流转范围。 银行内部用户可通过“收集链接”的形式来主动收取外部的文件，外部人员获取链接即可一 键上传文件，文件经过病毒查杀、内容审核环节后进入系统的收集箱，银行内部人员便可 直接下载。 所有文件外发环节均实现一站式流程，所有文件流转操作均有完整的日志记录。

2.3、方案优势

1、Ftrans Ferry 跨网文件安全交换系统可以替代银行原本的多个非连续的、安全度较低的文 件外发方式，使银行外发文件到外部可以通过一个系统一站式解决。 2、Ftrans Ferry 跨网文件安全交换系统可明确指定的外部收件人，数据流向清晰明确，收件 人对文件的接收情况也真实记录，便于发件人了解和跟进。3、当需要接收银行外部的文件时，可通过收集链接的形式，外部人员获取链接后上传指定文 件，经过内容检查无误后，行内人员即可接收文件，整个过程高效、安全、便捷，所有操作均 有真实完整的记录。 4、Ftrans Ferry 跨网文件安全交换系统具备详细完整的日志记录，便于银行进行审计，同时 当出现传输问题时可准确追溯问题。

3、银行运维开发数据跨网交换场景

3.1、现状及问题

银行内部系统进行开发运维时，涉及到系统程序、补丁包、运行日志等文件在生产网、研发网、 测试网之间的数据文件流转，因此，银行需要进行跨隔离网间的系统开发运维相关的文件数据 交换。

银行内部系统开发运维的数据流转过程：生产网子网间经过审核后，运维开发数据通 过 FTP 或自建数据借用平台传输，生产子网间传输包括单向传输和双向传输。生产网传输到办 公网时，经审批后通过 FTP 或自建数据借用平台传输即可，生产网与办公网间的运维数据传输 多为双向传输；生产网传输到研发网或测试网时，需经过数据部门审批通过。

通过上述方式进行银行隔离网间的系统开发运维数据传输，存在以下管理及安全问题： 1、整个数据流转过程存在着数据流转环节多、数据落地的问题，违背了银行“数据非必要不落 地”的安全管理员则。 2、现有传输方式无法支持运维相关的大文件流转，当有突发情况进行网络抢修时，会对业务 操作有一定的延误。 3、数据流转的审批与传输需在两个系统完成，两个环节脱离，存在安全隐患。 4、文件从上传到传输到下载收取，整个过程的传输日志是间断的、非联系的、不完整的。 5、使用双网卡 FTP 的方式跨网传输，一定程度破坏了原本的网络隔离状态。

3.2、解决方案

使用飞驰云联 Ftrans Ferry 跨网文件安全交换系统，解决银行内部系统开发运维文件流转的 需求。在银行内部生产网、办公网、研发测试网均部署飞驰云联 Ftrans Ferry 跨网文件安全交 换系统，实现运维相关程序和文件安全跨网流转。Ftrans Ferry 跨网文件安全交换系统采用前置机部署模式，不破坏银行网络隔离的架构。 文件经病毒查杀、内容检测、审核审批后才进入传输环节，保障传输文件安全合规。 Ftrans Ferry 跨网文件安全交换系统采用 B/S 架构，通过浏览器即可轻松访问，研发人员、 业务人员、测试人员均可快速了解并熟悉系统的使用，学习和适应成本低。 所有文件交换过程均有完整的日志记录，当出现传输问题可追溯原文件，日志记录可进行 定期归档清理，减缓存储压力。

3.3、方案优势

1、Ftrans Ferry 跨网文件安全交换系统可实现开发运维文件上传、检测、审批、传输、审批 一站式，避免多环节、多系统可能引起的安全管理漏洞等问题。 2、Ftrans Ferry 跨网文件安全交换系统私有的 CUTP 文件传输协议，采用大文件虚拟分块技 术和小文件虚拟拼接技术，实现 TB 级大文件和百万量级小文件高效、快速、稳定传输。 3、Ftrans Ferry 跨网文件安全交换系统采用前置机部署模式，不破坏银行网络隔离架构，安 全合规。 4、文件从上传到销毁，在系统中均有完整、连续、真实的日志记录，银行可基于日志记录进 行审计。