工业级4G路由器无线安全接入解决方案

工业级 4G 路由器无线安全接入解决方案方案背景金融服务经营理念逐渐以“账务为中心”向以“客户为中心”转变，表现在各银行新一代核心银行系统相继投产，大力发展零售业务，大力拓展服务渠道以赢得更多的客户。面对客户多样化、个性化的服务需求，银行对服务渠道拓展的重视程度越来越高。各商业银行纷纷进行传统网点转型、扩张便利店、离行 ATM、自助终端、柜面业务延伸、网点加固等一系列服务渠道改善和拓展措施，以满足广大客户的便利性需求，提升客户体验，从网络支撑角度来看，传统专线覆盖范围有限、开通周期长、备份利用率低及投资巨大等局限大大制约了企业的渠道拓展计划。 4G 技术的高速率、高安全性、覆盖广、机动性强的特性为银行服务渠道的快速拓展提供了极大的便利，为银行的网点服务转型提供了极大的助力，才茂凭借多年的金融行业服务经验，为各银行提供满足高安全、稳定、易维护等各方面要求的 4G 安全接入解决方案。解决方案构成 1、接入端：4G 无线接入路由器，CM520-8 由于 ATM 机场景，CM520-8 内置自助查询机内使用、CM520-8F 满足柜面业务延伸（单机/多机）、RG-RSR20-14E/F 满足柜面网点需求。 2、运营商侧：LAC、AAA 服务器。 3、管理端：CA/AAA 服务器、SMP 服务器。为了保证 4G 的安全性，接入端 4G 路由器需要和汇聚端的 VPN 网关建立 IPSEC VPN 加密隧道，采用 SM1 国密办加密算法保证数据传输的安全性。安全保证机制 1、无线信号加密：SIM 卡有运算功能，运营商算法不公开，会以加密的形式内置一个密钥，用户和基站双向鉴权。 2、屏蔽非法用户：IMSI 号＋域名绑定，非授权卡无法拨入企业专网。 3、关闭 internet 服务：限制授权 3G 卡的访问，关闭 internet 服务，做到 “专卡专用”。 4、防内部盗用：在分行 AAA 服务器上设置，通过 IMSI 和用户的 IP、用户名绑定，有效防止内部盗用。进一步做到“专卡、专人、专用”，便于控制安全风险，加强管理。 5、端到端数据加密（SM1）：针对银行高度敏感的业务数据流，采用国家密码管理局专门开发的商用加密算法 SM1，该算法保密性高，算法不公开，安全性优于其他同类型算法。 6、离行终端操作监控：针对外派业务终端场景，终端脱离了营业网点固定的监控范围，操作的规范性无法掌握，才茂提供离行终端操作屏幕监控方案，记录操作员业务操作过程。 4G 稳定性保证机制 1、不同制式运营商支持：当某个运营商的无线基站出现故障时，可以拨到另外运营商的基站，建立通讯连接。BFD 关联拨号口机制，进一步实现当上端 LNS 或者专线故障时，业务能快速切换，确保业务不中断。 2、双 LNS、IPSEC 网关冗余机制，通过 VRRP、双 PEER 等机制，灵活实现 LNS、IPSEC 冗余备份技术。 3、自动重拨：当无线信号意外消失又恢复之后，路由器可以自动发起重拨，无需人工干预即可恢复业务。 4、延长天线：才茂接入路由器 4G 模块的天线接口可拆卸通过线缆延长到信号相对较好的位置，保证良好的 4G 信号。用户可根据需要，灵活选择不同类型的天线。 5、针对离行 ATM 场景，采用 IPSEC 隧道自动建立技术，加快业务办理时间，给用户完美的体验。 6、2G/3G/4G 切换功能：当 4G 信号弱的情况下，可切换到运营商的 4G 网络。全方位的监控管理 1、设备、用户管理：通过网络分域，清晰规划设备所属的范围，用户分级分权，清晰管理界面。 2、拓扑管理：全面对 4G 及 IPSEC 隧道进行管理，拓扑图及列表两种方式，全面显示设备 ID、 IP、在线状态、登录时间、在线时长、实时流量（5 分钟均值）、总流量、4G 信号强度，还能对在线用户进行强制下线操作。 3、设备资产管理：站在 IT 运维管理部门的视角，进行资产管理，可提供：IP、设备名称、 MAC、购买时间、版本号、所属机构、集成商等各种字段进行分类，便于故障版本升级及续保统计操作。 4、报表：流量、资费统计报表。查看某一时间段内隧道上下线动作、上下线时间、对应的接入设备名称（IP）、4G 用户名。可灵活定制。客户收益 1、在普通网点使用 4G 接入技术作为备份线路，以 300 个网点为例，每年节约成本 450 万左右。离行自助设备采用 4G 作为接入链路，资费成本为有线专线的 1/3 左右。 2、在业务开通周期方面，业务开通周期由原来的 20 天左右，缩短到 1 周。为离行自助设备提供快速的接入平台，业务部门的积极性很高，对信息科技部门的满意度很高。 3、在整体安全方面，运营商、厂商的安全控制技术，很好地保证了金融数据在无线端传输的安全，既满足合规相关监管部门的安全审计要求，同时保证银行、客户利益不受损。