中國民生銀行社區銀行項目可行性分析報告V4.0

民生銀行社區銀行互聯網行為管理 項目可行性分析報告 深信服科技 2013 年 11 月 2 / 22 目 錄 1. 項目 背景 ..................................................................................................................................... 4 區銀行背景 ................................................................................................................... 4 區 銀行 客戶定位 ............................................................................................... 4 區銀行員工定位 ............................................................................................... 4 區銀行互聯網訪問需求 ............................................................................................... 4 聯網訪問授權 ................................................................................................... 4 務系統訪問保障 ............................................................................................... 5 聯網訪問審計 ................................................................................................... 5 目提出 的理由和過程 ................................................................................................... 5 行性 分析 報告 編制 依據 ............................................................................................... 5 2. 項目概況 ..................................................................................................................................... 5 目 范圍 概況 ................................................................................................................... 5 目 目標 概況 ................................................................................................................... 6 捷互聯網接入服務 ........................................................................................... 6 高帶寬 使用價值 ............................................................................................... 6 范上網 法律風險 ............................................................................................... 7 集客戶信息 數據 ............................................................................................... 8 濟 可行性 分析概況 ....................................................................................................... 8 聯網接入方式分析 ........................................................................................... 8 聯網專線收費模式調研 ................................................................................... 8 聯網接入投資分析 ........................................................................................... 8 資回報率調研 ................................................................................................... 9 術 可行性分析 概況 ....................................................................................................... 9 客 身份 安全 認證 ............................................................................................... 9 網 行為管控 ..................................................................................................... 10 理 可行性分析 概況 ..................................................................................................... 11 聯網上網 行為管理設備統一管理 ................................................................. 11 聯網管控 策略統一管理 ................................................................................. 11 3 / 22 中管理 平臺統一管控 ..................................................................................... 11 計數據 集中管理 ............................................................................................. 12 3. 北京 分行 試用 情況 ................................................................................................................... 12 分 總部部署說明 ......................................................................................................... 12 區銀行部署 說明 ......................................................................................................... 12 署 前拓撲 ......................................................................................................... 13 署后 拓撲 ......................................................................................................... 13 分 使用情況 ................................................................................................................. 14 聯網行為管理 設備使用功能介紹 ................................................................. 14 中管理平臺使用情況介紹 ............................................................................. 14 4. 互聯網 行為管控解決方案 ....................................................................................................... 16 案整體 拓撲 ................................................................................................................. 16 區 銀行 部署 拓撲 ......................................................................................................... 17 決方案 關鍵點介紹 ..................................................................................................... 17 種 認證方式 用戶授權 ..................................................................................... 17 量 彈性 分配 ..................................................................................................... 18 端 設備 統一 智能 管理 ..................................................................................... 18 止 非法 熱點 接入 ............................................................................................. 20 感 業務 審計權限 控制 ..................................................................................... 20 計 數據分權管理 ............................................................................................. 21 5. 可行性 報告結論和建議 ........................................................................................................... 21 區銀行 互聯網 訪問 需求 ............................................................................................. 21 目 經濟可行性分析 ..................................................................................................... 21 目技術 可行性分析 ..................................................................................................... 21 目管理 可行性分析 ..................................................................................................... 22 4 / 22 1. 項目 背景 區銀行背景 社區銀行的概念來自于美國等西方金融發達國家，其中 的“社區”并不是一個嚴格界定的地理概念，既可以指一個省、一個市或一個縣，也可以指城市或鄉村居民的聚居區域。凡是資產規模較小、主要為經營區域內中小企業和居民家庭服務的地方性小型商業銀行都可稱為社區銀行 。 2011 年初部分城商行或農商行便開始試水社區銀行，近期各大國有商業銀行也在緊鑼密鼓的布局“輕資本型網點”。 2013 年下半年以來，民生、興業、中信、浦發、平安等股份制銀行已先后試水社區銀行，同時就各自不同的網點形態、核心盈利模式、配套金融業務類別等制定了發展規劃。 區 銀行 客戶定位 社區銀行的目標 客戶 群是中小型企業 特別是小企業 和社區居民 等 小客戶，區別 于商業銀行 傳統 營業廳以服務大中型企業客戶為主 ， 社區銀行能夠在準入、占領和保持巨大的中小企業和社區居民客戶市場方面贏得獨特優勢。 區銀行員工定位 社區銀行的員工通常十分熟悉本地市場，這對開展高風險的中小企業貸款十分重要。信息不對稱程度相對大銀行而言較小，風險識別能力較強，這使社區銀行在對中小企業貸款中獲得比大銀行更大的安全贏利空間。 區銀行互聯網訪問需求 聯網訪問授權 為了保證互聯網訪問的可控制性，要求在社區銀行授權合法的用戶訪問互聯網，且能和現有全行認證方式結合。 5 / 22 務系統訪問保障 為了滿足社區銀行業務系統的訪問便捷，需要在社區銀行互聯網訪問鏈路上對關鍵應用做帶寬保障，對非關鍵應用且影響到核心業務系統使用的應用做流量控制。 聯網訪問審計 為了滿足相關監管機構的要求，需要對互聯網訪問的行為做審計。且審計數據支持規定格式導出到第三方數據挖掘和分析系統，為社區銀行業務做指引。 目提出 的理由和過程 社區銀行為銀行業新型業務模式，為了 滿足社區銀行營業廳接入上網需求和訪客上網服務，社區銀行需要實現互聯網接入。 本項目為了旨在調研不同互聯網接入方式的經濟、技術、管理可行性。 行性 分析 報告 編制 依據 ? 第 31 次中國互聯網絡發展狀況統計報告 中國互聯網絡信息中心 ? 互聯網安全保護技術措施規定 公安部 82 號令 ? 北京互聯網專線業務市場調研報告 北京大成經緯咨詢 ? 2012 年 中國三大運營商 資費情況 調查報告 中關村 在線 ，涉及民生銀行總部、所有分行和直屬支行。 6 / 22 目 目標 概況 捷互聯網接入服務 2012 年 12 月底，我國網民規模達 ，全年共計新增網民 5090 萬人。互聯網普及率為 較 2011 年底提升 百分點，普及率的增長幅度相比上年繼續縮小。 圖 1 來自中國互聯網絡發展狀況統計報告第 11 頁 互聯網接入服務已經成為各個行業末端場所爭奪客戶的必備武器，大型商場、超市、餐廳、終端營業場所等都建起了自己的無線局域網，為顧客提供互聯網接入服務。 因此，民生銀行社區銀 行項目會在每個終端營業場所為客戶提供便捷的互聯網接入服務，構建標準化、統一化互聯網接入環境。 高帶寬 使用價值 隨著網絡技術的不斷發展，互聯網應用越來越復雜， 全球知名的 量管理 及分析解決方案提供商 司日前公布了中國互聯網實際流量模式 7 / 22 分析報告 表明在互聯網環境中， 數據交換方面 式 白天 已占整個互聯網的 70以 上，在一些大型企業中 泛濫已經嚴重的影響到了正常業務系統的訪問和正常互聯網的訪問。 因此社區銀行提供的互聯網接入服務必須能夠做帶寬優化管理，提升客戶上網體驗。組織管理者必須能夠透徹了解組織當前、歷史帶寬資源使用情況，并據此制定帶寬管理策略，驗證策略有消息。不但可以在工作時間保障核心用戶、核心業務所需帶寬，限制無關業務對資源的占用，亦可以在帶寬空閑時實現動態分配，以實現資源的充分利用。基于不同時間段、不同對象、不同應用的管道式流控，能有效保障用戶的上網體驗，保障互聯網訪問的穩定性。 范上網 法律風險 互聯網安全保護技術措施規定 公安部 82 號令，條令如下 第九條 提供互聯網信息服務的單位除落實本規定第七條規定的互聯網安全保護技術措施外，還應當落實具有以下功能的安全保護技術措施 （一）在公共信息服務中發現、停止傳輸違法信息，并保留相關記錄； （二）提供新聞、出版以及電子公告等服務的，能夠記錄并留存發布的信息內容及發布時間； （三）開辦門戶網站、新聞網站、電子商務網站的，能夠防范網站、網頁被篡改，被篡改后能夠自動恢復； （四）開辦電子公告服務的，具有用戶注冊信息和發布信息審計功能； （五）開辦 電子郵件和網上短信息服務的，能夠防范、清除以群發方式發送偽造、隱匿信息發送者真實標記的電子郵件或者短信息。 第十三條 互聯網服務提供者和聯網使用單位依照本規定落實的記錄留存技術措施，應當具有至少保存六十天記錄備份的功能。 民生銀行提供的互聯網訪問環境，管理員能夠過濾違法、違規不良網頁、含有不良關鍵字的網絡信息，防止用戶不慎訪問不受信的網站帶來法律風險。 對于顧客用戶的外發信息行為，基于內容的外發信息過濾。及時攔截不良言論，或者在特殊時期采用“允許看帖不允許發帖等”的特殊管控手段，最大程度的減少輿論風險給民生 銀行形象聲譽帶來影響。 8 / 22 集客戶信息 數據 社區銀行是整個銀行體系的神經末梢，除了能夠完成銀行智能還必須能夠通過各種途徑收集潛在客戶信息，通過對潛在信息做商業智能分析來推廣響應的業務員。 因此，民生銀行社區銀行需要系統互聯網接入環境的同時收集客戶信息，并且支持所有收集信息統一提供數據接口匯總，支持第三方作為數據源做 析。 濟 可行性 分析概況 聯網接入方式分析 針對民生銀行現行網絡整體架構，社區銀行能夠提供互聯網接入服務有兩種方式實現 （ 1） 統一出口 以分行或者直屬支行為統一互聯網出口，社區銀行所有數據互 聯網 專線 匯總到支行作互聯網統一管理。 （ 2） 分散出口 以社區銀行作為互聯網出口，業務數據通過 式到業務系統，互聯網數據通過 固網寬帶 通過社區銀行互聯網行為管控設備實現互聯網接入。 聯網專線收費模式調研 聯網接入投資分析 1） 固網 專線調研匯總 中國聯通 中國電信 9 / 22 說明 各個地方運營商的列表價格如上，根據民生銀行實際情況。綜合一類、二類、三類情況，運營商提供 200M 帶寬的預估價格為 13000 元 /每月 2） 互聯網 行為管 設備 價格標準 互聯網 行為管理設備單價 6100 元每臺 集中管理設備 338000 元每臺 資回報率調研 設定 投資回報預期時間為 N 個月 互聯網行為管理設備價格 *200集中管理平臺 價格 N*分行固網出口帶寬價格 N≈明 ① 每個分行以 200 個點作為計算標準 ② 還未計算互聯網 專線 方式 匯總出口情況下 ， 分行互聯網專線帶寬擴容和互聯網鏈路設備改造費用 。 術 可行性分析 概況 社區銀行部署在分散 的社區， 沒有 嚴格意義 上 的機房，網絡 設備放在 社區銀行營業廳的暗間 ， 不能 提供 專業機房 的 外圍環境。 而且 沒有專業的 網絡管理員和 維人員，所以要求社區銀行 銀行所搭建的網絡環境要求有較強的技術可行性 。 客 身份 安全 認證 ? 訪客系統 強制身份認證 社區銀行 業務范圍比較廣泛 ，為了 保證互聯網接入環境的安全、穩定、可 10 / 22 靠 ，要求 對 訪客 進行強制認證。 身份 認證系統要求支持 多因素認證 靜態認證 用戶名和密碼、 字證書、 D、 件特征碼 ；動態認證 短信認證。 靜態認證 主要對社區銀行內辦公設備 和辦公人員互聯網 進行認證，動態 認證主要 對 訪客 進行互聯網接入認證 ， 并且支持 式 與現有短信平臺做對接。 ? 訪客 系統界面推送 支持自定義 的界面推送， 為社區 銀行 顧客 提供良好的界面感知。 認證 通過之后，可以自定義跳轉到任意指定的 便正對性的 在 社區銀行做業務推廣。 網 行為管控 ? 禁止 非法 網站 訪問 社區銀行 為訪客提供了安全可靠的互聯網接入環境， 為了 保障社區銀行的形象和滿足監管機構的要求，必須限制訪客的 一些 訪問行為 。 禁止訪客在社區銀行營業廳的互聯網 環境 中訪問非法、 色情、賭博等不良 網站 ，并支持自定義網站 和 ? 關鍵 應用系統流量 保障 社區銀行提供了 安全、可靠的互聯網環境， 隨著 互聯網金融的發展越來越多的 業務 系統 會移植到 互聯網 。 11 / 22 為了 保障 社區銀行 訪客 訪問社區銀行所推廣的業務系統的 便捷 、穩定，要求能針對不同 的業務系統 和 不同的 流量保障 。 ? 互聯網訪問行為 審計 為了滿足公安部 82 號 令 互聯網安全保護技術措施規定的 相關要求，需要對經營性和非經營性的互聯網接入環境做互聯網訪問行為記錄留存 60 天 。 理 可行性分析 概況 聯網上網 行為管理設備統一管理 社區銀行 搭建的互聯 網訪問環境， 必須 對互聯網 行為管理設備做管理，實現如下功能 1. 策略下發 統一規范策略下發，社區銀行不可修改； 2. 社區銀行 互聯網行為管理 設備監控 社區銀行 互聯網行為管理設備 ，監控其 存、 I/O 等信息，確保正常運轉； 3. 社區銀行 互聯網行為管理設備 統一運維 分行管理員可以通過集中管理平臺實現對終支所有設備的管理，包括權限管控、認證、流量控制、審計策略等的調整，終支無需專業 員。 聯網管控 策略統一管理 社區銀行 所搭建互聯網訪問環境中， 營業廳 上網策略支持統一下發，終端管理員 只具有 可讀權限，不 能對策略進行修改。 社區銀行 互聯網行為管理設備必須支持統一管理 平臺管理 ，設定強制認證方式，未經支行管理員許可不得 解 控。 中管理 平臺統一管控 為了 保證社區銀行所有網點的可管理性，在總行數據 中心 部署集中管理平臺設備統一管理分行的統一管平臺 設備 。 分行 管理員對總行下發的策略只具有可讀權限，不具有修改權限。 12 / 22 計數據 集中管理 社區銀行 上網行為審計數據支持定時傳回到分行 ， 分行作統一數據過濾后上傳到總行 。 支持 第三方數據挖掘工具和 析軟件調用 行審計數據分析。 3. 北京 分行 試用 情況 分 總部部署說明 區銀行部 署 說明 說明 （ 1） 北分數據中心 部署上網行為管理集中管理平臺設備，對社區銀行所有互聯網行為管理設備作統一管理 （ 2） 社區 銀行所有審計數據可以匯總在本分統一數據存儲平臺，數據支持提供總行做數據 挖掘 。 13 / 22 署 前拓撲 說明 （ 1） 社區銀行 網絡拓撲中，由 建 安全訪問 鏈路 （ 2） 換機 匯聚 無線 實現社區銀行 無線辦公 署后 拓撲 說明 14 / 22 （ 1） 在 防火墻和 換機中間 網橋 模式部署 互聯網 行為管理 設備 ，不對網絡架構 造成 任何修改。 （ 2） 通過 互聯網行為管理 設備 實現 對 社區銀行上網行為 的 統一管控 分 使用情 況 聯網行為管理 設備使用功能介紹 北京分行 通過在社區銀行中試用互聯網行為管控設備實現了互聯網 下放到社區銀行本地，節約了互聯網專線帶寬。 西皇城根社區 銀行網點 圖例 西皇城根社區 銀行網點通過互聯網行為管控設備 對社區銀行上網 環境做統一管理， 限制 非法網站 訪問 、 保障 核心業務流量、 用戶 上網行為審計等。通過 細粒度 的權限管控和授權， 搭建 了安全、便捷、快速的互聯網接入環境。 顧客 在 西皇城根社區 銀行網點 可以 便捷的訪問互聯網 ，為顧客 營造了一個健康向上的互聯網接入環境，提高了 顧客滿意度 。 中管理平臺使用情況介紹 民生銀行北 京分行使用集中管理平臺對其新建西皇城根社區銀行營業點和金融街網點進行管理，實現了互聯網集中管理設備統一管控，整體策略的統一下發，網點上網行為的集中呈現。 15 / 22 北分 集中管理平臺管理西皇城根社區銀行情況 集中管理平臺管理 監控 西皇城根社區銀行 客戶使用情況 16 / 22 4. 互聯網 行為管控解決方案 案整體 拓撲 17 / 22 區 銀行 部署 拓撲 部署 說明 （ 1） 社區銀行 需要在 換機 和防火墻 之間網橋模式部署 上網行為管理設備，以滿足對社區銀行內部互聯網上網行為 的 管理。 （ 2） 社區銀行所部署 的防火墻 與 支行 建立 道，保證 到支行 的 數據鏈路可達 。 （ 3） 支行 需要部署 統一日志 中心， 所有 社區銀行數據 匯總到 支行統一日志中心；支行統一日志中心數據統一匯總到總行 統一 數據分析平臺。 （ 4） 支行需要部署 統一管理平臺，對支行范圍內所有上網行為管理設備做管理，策略統一下發 。 （ 5） 社區銀行 互聯網 訪客 采用多重密碼認證機制，支持和總行數據中心短信平臺做對接，有總行短信平臺發送上網認證動態憑證。 決方案 關鍵點介紹 種 認證方式 用戶授權 為了 滿足社區銀行 設的需求，要求對 使用 互聯網的員工和用戶進行認證。 有效 的認證機制 能有效區分用戶，便于部署差異化授權和審計策略， 能 有效防御身份冒充、權限擴散與 濫用等。 18 / 22 深信服 上網行為管理支持 多種 身份認證方式 ■ 本地認證 證、用戶名 /密碼認證、 上網行為管理設備 / ■ 第三方認證 據庫等； ■ 短信認證通過接收短信獲取驗證碼，快速認證； ■ 雙因素認證 證； ■ 單點登錄 第三方系統等； ■ 強制認證強制指定 的用戶必須使用單點登錄。 豐富的認證方式，幫助組織管理員有效區分用戶，建立組織身份認證體系，進而形成 樹形用戶分組，映射組織行政結構，實現用戶與行為的一一對應，方便管理員實施上網行為管理解決方案。 深信服 上網行為管理 支持為未認證通過的用戶分配受限的互聯網訪問權限，將通過 證的用戶重定向至顯示指定網頁，方便組織管理員發布通知。 量 彈性 分配 深信服 上網行為管理 支持帶寬的“自由競爭”與“動態分配”，除了 支持 采用“基于隊列的流控技術”建立管道，將不同的控制對象分配到不同的管道。還可以根據整體帶寬的利用率進行動態調整，上浮“限制通道”的最大帶寬值，避免帶寬浪費，實現價值最大化。 端 設備 統一 智能 管理 深信服 上 網行為管理 設備 支持統一平臺管理，通過 部署 統一管理平臺實現全網設備 統一的策略的制定與下發，統一集中的設備管理方式保證機構各個環節嚴格按照總部的相關要求進行上網活動， 集中管理平臺 設備動態組網和多線路技術保證集中管理的穩定可靠運行，從而保障系統網絡的暢通運行，另外通過強身份認證的方式保證了系統日志信息的安全，為機構的保密提供了更好的保障。這樣真正幫助客戶實現了細致而全面的上網行為管理。具體 功能如下 （ 1） 方便 部署 19 / 22 分支機構人員只需簡單配置上網 行為管理 設備的 關、路由等基本網絡信息，確保上網 行為管理 能夠與 通后，將總部集中管理平臺的地址填入即可。在總部集中管理平臺與分支上網 行為管理 建立連接后，分支上網 行為管理 設備的所有其他配置選項完全可以通過總部集中管理平臺實現配置和管理，無需分支人員在參與，從而幫助大型組織快速、方便的部署多臺上網 行為管理 網關設備。 （ 2） 集中 管理 通過使用 集中管理平臺 集中管理平臺，總部可以將全網的成百上千臺 上網行為管理 上網行為管理網關設備集中管理。總部的 理人員通過編輯 集中管理平臺 “復制模板”上的相關配置，并通過一次鼠標點擊實現全網指定 上網行為管理 設備上相關配置的統 一和更新，既方便了管理同時又確保了策略的一致性。 而對于某些分支 上網行為管理 設備上部分配置較“個性化”而與其他分支 上網行為管理 不同時， 理者同樣可以通過 集中管理平臺 對此類 上網行為管理設備進行單獨編輯和配置的單獨下發。從而實現集中化和個性化的靈活性要求。 （ 3） 分級授權 集中管理平臺 集中管理平臺支持管理員分級管理。將分支 上網行為管理 設備劃分到 集中管理平臺 的不同“區域”中， 集中管理平臺 上配置的不同管理員將具有不同“區域”的管理權限，具體權限劃分包括 讀權限和寫權限 之分；同時 集中管理平臺 支持將指定的分支 上網行為管理設備的不同功能模塊的修改權限下放給分支本地管理員，從而實現總部管理員、“區域”管理員、本地管理員的分級管理結構，強化了管理的靈活性。 （ 4） 實時監控 部署于總部的 集中管理平臺 集中管理平臺通過集中監控模塊可以查看全網所有分支 上網行為管理 設備的運行狀態，包括該分支 上網行為管理 設備是否在線、 用率、內存占用率、數據包收發統計等信息。 缺乏實時監控的總部 門只能等到分支機構人員報告故障時才會匆忙應對，不僅降低工作效率，同時降低了分支機構人員的滿意度和影響 標；而通過 集中管理平臺 的集中監控功能，總部 員可以實時發現分支機構 上網行 20 / 22 為管理 的運行狀態，及時定位問題所在，為全網用戶提供一個更穩定、更高效的互聯網訪問環境。 （ 5） 設備自動升級 在 集中管理平臺 上加載升級包，設定時間計劃，并勾選需要升級的分支 上網行為管理 設備， 集中管理平臺 將幫您自動完成，并通過實時監控模塊顯示被升級的分支 上網行為管理 設備的運行狀態、是否在線等情況，極大的方便和簡化了員的工作量。 止 非法 熱點 接入 隨著無線移動互聯網的迅速發展，智能手機、平板電腦等這些移動終端愈來愈流行，但 由于 智能終端只能采用無線網絡來上網 。 社區 銀行提供的互聯網訪問環境中，可能出現有些員工 或者 顧客出于便捷考慮私自 使用 無線 過無線 公司網絡出口 。 而且這些 于安全措施薄弱，極容易被外人破解，可能導致內網暴露，信息安全遭受威脅。通過 深信服上網行為管理設備的 “ 無線熱點發現 ” 功能，可以幫管理員找到內網違反公司規定安置的無線 顧客自身攜帶的非法無線 可以對這些熱點進行拒絕封堵 。 感 業務 審計權限 控制 公司關鍵部門、 高層 等 的互聯網訪問行為 關乎 組織的 機密信息， 對此類用戶上網行為的審計可能會 存在 泄露機密 的 風險 。 深信服 上網行為管理系統 考慮到用戶可能面臨的以上風險和威脅，推出了“免審計 能。 支持 上為特殊用戶（財務 、高層等） 創建帳戶時使用 證，并勾選“啟用 監控”選項，