光大银行网上银行系统建设方案一、发展概述光大银行作为我国新兴的商业银行之一,积极采用新技术改造业务系统。在网上银行业务发展方面,早在1997~1998年,光大银行就开始采用Internet技术进行企业银行的尝试,并一直关注国内外网上银行的发展。1999年6月,光大银行正式立项开发网上银行系统。经过近半年的努力,在1999年11月底推出了网上银行第一个版本,并在北京地区进行试用。2000年4月,光大银行又推出第二个版本,并在广州分行进行试点,与此同时,光大银行还率先推出基于WAP的手机银行。日前,经过改进和完善的第三个版本已经投入运行,并准备在全国推广。下面就光大银行网上银行(以下简称光大网上银行)的业务现状、系统建设及发展规划等方面作一介绍。二、业务现状光大网上银行系统主要提供面向对公用户的有关功能,如帐户余额查询、交易历史查询、转帐服务、票据挂失等功能。转帐服务内容包括同城支票结算及异地电汇结算等服务。光大网上银行电脑系统分三个层次:总行包括Web服务器、数据库服务器、电子证书登记注册服务器以及内外防火墙等;分行系统由客户管理终端、证书当地注册终端(LRA),读卡器及打印机组成;营业网点则配备业务操作终端、打印机等设备。光大网上银行系统具有以下几个特点。1.交易处理网上银行系统采用安全的联网方式,交易联机实时处理。2.身份认证网上银行的身份认证分为两个部分,一是中国金融认证中心(CFCA)所发电子证书,它可以起到第三方权威机构的客户身份确认、数字签名、加密安全通道、交易审计等功能。光大网上银行是国内最早采用这种第三方权威机构电子证书的系统之一。另外,网上银行系统还把客户使用人员区分为录入人员和审核人员两种,对应各单位的普通财务人员和主管人员,方便了客户的财务控制。3.安全措施网上银行系统采用多种安全防护措施,防止攻击和破坏。如采用虚拟保管箱(HPVirtualValt)技术,使操作环境达到军用安全标准(B1级)。另外,网上银行系统还配置了不同安全策略的内外防火墙及安全检测系统,防止系统内外部非法侵入网上银行业务系统。4.集团服务网上银行为集团客户提供具有针对性的服务手段,包括帐户对应关系的建立,对分公司帐户的查询服务等。三、系统框架网上银行是随着国际互联网Internet的普及而发展起来的一种高科技的银行业务手段。简单地说,网上银行就是一套信息系统,它可以使银行和客户通过Internet连接起来,并提供在线银行业务操作。在银行一方,“Web服务器”负责提供银行Internet主页服务和银行业务提交系统,把Web技术与传统的业务系统连接起来;“安全代理服务器”负责为网上银行提供安全保证,对网络上传输的业务信息进行加密等安全保护;“外部防火墙”避免了外部攻击者的入侵;“内部防火墙”是可选的安全措施,与“外部防火墙”双重保护银行现有业务网络系统。通过安全检测中心对总行及分行的各个网络出口进行实时监测以及定时检测入侵,定期对各网络出口系统进行漏洞扫描,去除系统存在的漏洞隐患,保证行内网络的安全。在客户一方,网上银行的用户通过自己的计算机与互联网Internet相连,在客户计算机中,除了浏览器软件外,客户使用CFCA发放的用户证书进行身份验证,用装有网上银行系统的客户安全代理软件,负责对客户方的数据进行加密和数字签名,以保证网络传输的安全。另外,对需要高度安全性的客户,客户方还需使用IC卡来存储用户证书,进行身份认证和数字签名。网上银行系统建立起来后,客户可以通过电话拨号或专线上网,使用通用的浏览器,如Netscape的Navigator/Communicator和Microsoft的IE,访问银行的主页。经过身份认证,客户就可以通过自己的计算机,在银行的Web主页上进行各种业务操作,例如进行金融信息查询、银行业务查询、转帐、银行个人电子理财等。四、安全策略对于网上银行系统而言,安全是一切交易行为的基础。安全是一整套体系,是有效的管理和完善的技术手段的结合,我们按照P2DR模型,即从策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)四个方面,建立全行的安全体系。光大网上银行采用了安全操作系统、防火墙、CA认证技术、数据加密、数字签名、IC卡技术和密码口令相结合,同时配合实时检测、定时入侵检测等手段,加上严格的安全管理制度的安全策略。防火墙是连接Internet和Intranet时,保证安全最为有效的方法。通过防火墙可以有效地监视网络的通信信息并记忆通信状态,从而作出允许/拒绝等正确的判断。光大网上银行系统采用了前后两道防火墙对系统进行保护,前后两道防火墙采用异构方式,即前后两道防火墙采用不同的产品,不同的安全策略,以保证银行内部网络的安全。网上银行是面向Internet的,网上银行的Web服务器是内、外网络之间的一个关键环节。光大网上银行的Web服务器采用VirtualValut操作系统保护网上银行系统的安全。通讯的安全主要依靠对通信数据的加密来保证。中国光大网上银行系统在客户端浏览器和网上银行服务器之间采用中国金融认证中心(CFCA)的企业高级证书的加密密钥对建立安全链接,以保证交易数据在网上传输过程中的安全。网上银行系统通过接口程序与银行业务系统通讯,网上银行系统只能通过接口程序负责建立通信,组成通信信息包头,发送和接收通信信息报文,不可能脱离接口程序单独与生产系统建立通信。光大网上银行利用IC卡作为企业用户的身份识别,以保证不同的人员进行交易的录入和审核。为了保证企业用户安全操作网上银行的业务,该系统将IC卡分为录入卡和审核卡,分别由客户不同的人员保管和操作。通过录入卡能够录入交易指令,利用审核卡登录进行交易指令的审核和提交。每一笔交易都需要两张卡才能完成,这样最大限度地避免了个人的非法交易。为了保证交易的不可否认性和安全性,对于享受中国光大网上银行服务的每一个企业客户,都将使用中国金融认证中心的高级证书,同时在客户端安装安全代理,在保证数据通信安全的同时,对每笔网上交易进行数字签名,这就保证了每笔交易的真实性。五、几点体会网上银行业务是比较新的业务,在网上银行系统建设中,我们遇到很多以往没有遇到过的困难或问题,以下是一些认识和体会。1.光大银行业务系统大集中给网上银行发展奠定了良好的基础光大银行从1997年开始,就开始着手开发统一的综合柜台业务系统。到1999年底,全国37个分支行已有绝大部分实现了帐务集中。这一点对系统的实现,运行的效率以及开展新的业务都有很大好处。例如光大银行在与民航、中国移动、海关关税代收(EDI)合作项目中占有很大优势。2.光大网上银行的发展,促进了光大银行各业务系统的整合世界著名的咨询公司安达信公司在不久前曾作过一个调查,发现很多金融机构对于发展网上业务存在误区。误区之一就是认为网上银行只是传统业务在渠道方面的扩展。实际情况是,网上银行为各种业务和系统的整合提供了一个非常理想的平台。这在我们发展光大网上银行的过程中体会尤为强烈。例如,在网上银行上,客户可以看到其活期、定期、国债、信用卡、电子钱包、贷款帐户等各种帐户信息,这在以往的系统中是很难实现的。网上银行的方便性、直观性和灵活性使得用户提出的需求更加多样化,如客户希望通过网上银行进行银证转帐、股票交易、外汇买卖、电子购物、支付帐单、电子汇款等。以网上外汇买卖来看,它集信息查询、帐户查询、外币储蓄、买卖交易、个人理财为一体,而且比电话方式、柜台方式更有吸引力。3.票据回收问题票据回收问题,即客户通过网上银行进行交易后,银行是否需要收回相关的票据。在光大网上银行系统中,已经实现了电子凭证的功能,但是根据《票据法》的规定,银行结算必须有客户的支付结算凭证作为依据,且该凭证必须有客户签章。但在网上银行业务中,客户凭借电子手段发出交易指令后,银行根据指令已做操作,如果要求用户填写票据并加盖签章,则会面临以下问题。(1)客户会认为不方便,银行操作也比较繁杂。(2)客户填写的票据填写有误,与网上操作内容不符。(3)客户票据丢失、损坏等造成不能收会。(4)客户有意或无意重复使用票据。对于以上情况,很容易发生纠纷。我们非常希望央行在即将出台的网上银行有关管理办法中对此加以规定,并推动《票据法》的修正。六、前景规划为满足业务的发展需要,光大银行对服务系统进行了相应的规划,未来的光大网上银行将成为一个综合性的电子服务网络系统,它将具有多方面的优势:1提供多种交易渠道;2满足多种服务需求;3联通多种外部单位;4支持多种支付方式;5高安全、高可用、高性能、可伸缩、易管理、开放性、连通性。1.提供多种交易渠道如通过PC加浏览器方式、手机上网方式、个人数字助理(PDA)、掌上电脑、交互电视、可入网的电话机、信息查询机(Kiosk)、呼叫中心等进行银行交易。或者通过金融门户网站接入银行进行交易。2.满足多种服务需求除了传统的银行业务如储蓄、对公等外,还将包括股票交易代理、个人外汇交易、代理保险业务、债券交易代理、购买彩票等。3.联通多种外部单位主要包括CA、其它第三方机构、商户及合作伙伴等。具体有CFCA、其它CA、路透报价、交易所、电子商场、民航、物业管理公司、公用事业单位、证券公司、保险公司、其它银行、金融门户网站等。4.支持多种支付方式应支持基于实体银行卡的结算,如阳光借记卡、贷记卡结算;还可支持虚拟卡结算、银行帐户结算、电子支票、电子钱包、电子邮件支付等。按照以上要求,电子服务网络系统(如图2所示)应由以下四个大的部分组成:用户交易服务渠道、CA认证中心及其它第三方机构、商户及其它合作伙伴、电子银行系统。其中银行电脑系统包括外部防火墙、电子服务平台及银行业务系统,电子服务平台是整个电子服务网络系统的枢纽,它将包括连接各种交易渠道的转换或网关机制、交易负载平衡机制、交易路由管理及分配机制、与呼叫中心(CallCenter)的联结、目录服务机制、客户关系数据仓库及客户关系管理、后台交易管理机制等。