金融行业跨网数据交换不再愁：2家银行落地经验复盘

金融行业作为关系民生经济的重要支柱行业，尤其重视对核心数据的保护。特别是内外网隔离环境下，跨网数据交换这个流程，需要特别重视。

本文中，就以2家银行为例来介绍一下，金融行业跨网数据交换的难题都是如何解决的。

案例一：某头部全国股份制商业银行：实现信创环境下跨网文件安全交换

某全国股份制商业银行，是国内首批组建的全国性股份制商业银行之一，全国500强企业。该行基于安全管理需求，将网络隔离为生产区和办公区，通过将Serv-U部署在双网卡服务器上的方式，实现跨网数据交换和存放，该方式存在下述问题：

1. Serv-U无法应用于信创环境，需要替换实现文件传输应用的信创改造；
2. Serv-U不具备文件自动清理功能，导致频繁出现空间余额不足的问题；同时由于管理员无法判断文件的归属用户，难以便捷清理和管理存储空间；
3. Serv-U无法与该行运维管理平台进行审批集成，也不具备审批功能，导致审批和传输环节脱节。

建设方案

该行选择飞驰云联Ftrans跨网文件安全交换系统来进行Serv-U的替代，构建安全、统一的信创文件跨网传输通道。

1. Ftrans系统与该行运维管理平台对接，在触发文件传输的审批规则后，推送审批信息给运维管理平台，运维管理平台自动生成审批工单，审批完成自动返回审批结果；对该行AD域集成，自动同步用户信息；与该行内部邮箱集成，及时获取系统通知。
2. Ftrans系统完整支持信创国产化环境，可基于该行海光芯片物理机服务器和KYLIN V10操作系统进行部署，并可流畅运行使用。
3. Ftrans系统提供全面的文件安检策略，包括用户身份检查、防病毒检查、文件特征检查、文件类型检查及文件内容敏感信息检查等。
4. 可设定文件有效期，对于超过有效期的文件实行自动清理或自动归档处理。
5. 系统提供系统操作日志、文件操作日志，并同时记录操作终端IP、客户端类型等，可追溯原始文件，便于银行进行审计。

案例二：某互联网银行：实现内外部文件交换管控 确保敏感数据安全传输

某互联网银行成立于2017年，连续三年获得AAA主体长期信用评级。该银行内部网络划分为生产网、测试网、办公网、生产DMZ网等多个相互隔离、安全等级不同的网络区域。在过去，该行主要使用XFile、FTP等文件交换工具来实现上述数据交换需求，该流程存在以下弊端：

1. 该行涉及敏感数据传输时，需进行OA审批。但OA事权和XFile文件无法关联，审批和传输环节脱节，操作不便且存在一定风险。
2. 不同安全级别隔离网络间、传输不同安全级别的数据时，都需要不同的审批策略，现有工具难以支持需求，且该银行无法基于审批记录做有效审计。
3. 在涉及对外发送文件时，文件无法直接发送到行外，需借助微信、企业微信或者邮箱，有数据外泄风险。
4. 文件传输是通过人工方式开展敏感数据识别，未引入自动化工具检测，且无病毒查杀环节。
5. 没有详细的文件权限管控功能，会导致文件使用权限混乱。
6. 数据交换单次只能传输1GB数据，无法满足大文件传输需求。

建设方案

该银行选择Ftrans跨网文件安全系统（下简称“系统”）来满足在数据安全传输上的建设需求：在行内4个网络分别部署数据交换节点，在各节点之间建立数据安全传输通道，组建该银行安全数据交换平台。同时生产DMZ网系统面向互联网映射，面向该银行外部客户、合作伙伴、上级监管机构等提供文件的安全收发服务。

1. 与该银行的OA系统进行对接，实现该银行高安全网络向低安全网络发送文件时、OA系统审批和Ftrans跨网文件安全系统审批一体、流畅进行。根据银行四个隔离网络和传输数据的安全级别不同、进行差异化的审批流程、审批人员、审批处理设置。
2. 基于敏感信息、文件格式、自定义发送申请表单等配置，对于不同用户的不同文件发送行为，可以触发不同的审批流程规则，适应银行多样的审批需求。
3. 与该银行短信网关集成，行外合作伙伴使用短信密码认证登录系统，进行文件的收取和发送操作。
4. 交换的文件均有默认的有效期配置，过期后系统自动对文件进行清理， 并可以集中归档到指定的存储位置，以备审计追溯。
5. 文件传输流程配备了敏感信息检查，对于触发规则的文件可以设置阻断、删除等不同处理动作；增加病毒查杀等环节，对于不合规的文件进行隔离并告知管理员，降低安全风险。
6. 内置独有的CUTP高性能传输协议，通过大文件（TB级）虚拟分块技术，断点续传、错误重传、一致性校验等多重手段，解决了以往银行文件传输大小受限、传输效率受影响的问题，充分保障银行关键业务高效、可靠运行。

通过以上2家银行的跨网数据交换建设方案可以看出，《Ftrans Ferry跨网文件安全系统》在保障数据安全交互的同时，还可以提升金融行业业务开展的效率，同时增强对数字资产的保护能力。