搭建e银行

[返回]
中国计算机用户2000年第46期

搭建e银行

谢建农　边　歆

　　伴随着技术创新、金融创新及电子商务的日益盛行，人们对网上金融产品提出了越来越多的要求，于是网上银行应运而生。据调查，渴望上网购物的网民比率高达80％，由此可以预见，为适应网络经济的发展需要，网上银行的兴起和快速发展将势不可挡，网上银行必将成为各商业银行竞争的新焦点。

　　网上银行（Internet Banking）又称网络银行或在线银行，是指银行利用Internet网络为银行客户提供开户、销户、支付、转帐、查询、汇款、网上证券、投资理财等传统服务项目，使客户足不出户就能够安全快捷地办理银行业务。网上银行业务的出现，改变了商业银行传统的经营模式，使之在管理方式和营销观念上发生了重大变化。

　　目前网上银行有两种发展模式，一种是传统银行依托原有优势，在互联网上设立站点，客户通过互联网处理传统银行交易业务。这种模式为绝大部分银行所采用。另一种是基于互联网发展起来的全新网上银行，如美国安全第一网络银行（SFNB），它没有任何分支机构，只通过互联网提供全球范围的金融服务。

　　网上银行包括：个人银行、企业银行、网上支付和金融信息等4大块。细分起来又有：个人信用卡、个人信贷、个人自助银行、个人网上银行、对公信用卡、贷款业务、国际业务、离岸业务、对公网上银行和对公自助银行等业务。另外，客户还可以通过银行站点了解该行的基本情况及与其有业务往来的公司信息。

　　建立网上银行的好处：

　　* 提升银行形象，增强客户对银行的信心一方面显示了银行在科技方面的领先地位，另一方面充分说明了银行雄厚的经济实力。

　　* 大幅度降低经营成本银行可以将交易从成本较高的渠道（如分支机构）转向成本较低的渠道（如网上银行）。同时将宝贵的人力资源转向其它服务部门。

　　* 使银行专注于新产品和服务的开发使用Internet技术，能够使银行在升级应用或安装新产品时，只需简单地更新或升级服务器应用程序，而不需对客户端作任何变动。这样银行就可以将精力集中于新产品和服务的开发，满足客户的要求，吸引更多的客户。

　　网上银行体系结构

　　HP网上银行系统体系结构

　　图一中外部Web信息服务器的作用是提供银行的主页服务。其中包括网上银行系统的主页内容，供客户了解的各种公共信息，提供网上银行用户在网上填写的用户申请表。

　　区域性网银中心的主要组成部分包括：过滤路由器、ISS安全监控工作站、VirtualVault（虚拟保险箱）交易服务器、数据库服务器、客户服务代表工作站、内部管理和维护工作站、加密和通讯网关服务器、业务主机。

　　过滤路由器除了具有在Internet和银行网络之间进行路由选择的功能外，还会对流入银行的数据流进行过滤。数据流分为两大类，一类是送交VirtualVault交易服务器处理的对安全要求特别高的交易数据流，如https数据流；另一类是对安全要求不是特别高的非交易数据流，如访问外部Web信息服务器和电子邮件的数据流。除了这两类数据，所有的数据都将由过滤路由器挡回去。这样做的好处是：降低了交易服务器的处理负荷，同时减少了黑客攻击系统的机会，增强了安全性。

　　VirtualVault交易服务器是一个建立在符合美国国防部B1级安全标准的可信操作系统VVOS（VirtualVaultOS，简称为VVOS）之上的Web服务器，它直接面向Internet用户。接收到用户请求后，VirtualVault会进行一系列安全检查，只有在完全确认一切正常后，才会将用户的交易请求通过特定的CGI代理程序转送至加密和通信网关服务器进行后续处理。VirtualVault交易服务器接收到用户的请求后，会及时转发至城综网，再由城综网业务处理程序去查询、更新业务主机（分行端的业务主机即现有的城综网业务主机）上的业务数据。

　　图一 HP网上银行系统体系结构图

　　在网银中心和分行端各有一台加密及通信网关服务器，负责广域网的通信和加密。所有通信均采用TCP/IP协议，两台加密及通信网关服务器之间的通信及加密可根据用户的要求定制。

　　ISS安全监控工作站用于对进出本区域性网银中心的各种信息进行网络监控，可为安全管理员提供可疑信息的“报警、记录和回放”等功能，并可提供相应的报告。它对本区域性网银中心的各种服务器进行网络层安全漏洞扫描，为安全管理员提供漏洞报告，并可根据提示修补漏洞。

　　客户服务代表负责接收、解答总行指定部门转发过来的网上银行用户通过Internet网络传送过来的反馈意见、咨询和投诉等。客户服务代表不直接与网上银行系统用户互通电子邮件，都通过总行指定部门转发。客户服务代表使用两台PC机，一台访问网银中心数据库，另一台通过企业网电子邮件系统收发电子邮件。

　　网上银行的交易流程

　　网上银行的交易流程包括用户与网上银行系统进行交易的流程和银行内部交易的处理流程。

　　用户与网上银行系统进行交易的流程为：用户连接到网银中心通过安全审核后，访问网银中心主页面，点击相应功能按钮，填写交易请示表格，查看交易处理结果。

　　银行内部处理的交易首先流向网银中心，然后转达到城综网处理后又回到网银中心。其中网银中心的交易流程为：接收用户连接请求→对用户进行安全审核→接收用户交易请求→审核用户交易请求→将交易请求转达到城综网。城综网的交易流程为：接收网银中心代用户转达来的交易请求→处理交易请求→将处理结果返回网银中心。然后网银中心继续：接收城综网返回的处理结果→进行必要的再处理→返回用户交易处理结果。

　　为了更好地满足客户不同层次的需求和适应中国金融市场，惠普公司的网上银行解决方案提供三种配置：Entry-Level配置（适用于中/小银行）、High-End 配置（适用于全国性网上银行中心/大型商业银行）和High-End HA配置（适用于较高可用性要求的环境）。

　　惠普成功应用：中国建设银行。

　　基于CBTF的IBM网上银行解决方案

　　CBTF（Corepoint Banking Transaction Framework-核心银行交易架构）是IBM公司为金融机构提供的多渠道金融服务综合解决方案，包括网上银行、柜员系统、手机银行和客户服务中心等。基于CBTF的网上银行解决方案构架在IBM WebSphere Application Server、Java、互联网技术和高度参数化开发环境上，支持构件重用，可以快速实施推广，并帮助银行提高生产力。

　　CBTF实施先进的三层应用体系结构，包括客户端用户界面、服务器端应用逻辑、数据仓库/传统系统（Data Store/Legacy System）三大独立的部分。各应用层次之间通过网络进行通信，结构灵活且不依赖于底层的硬件环境。这三个逻辑层在物理上可以根据银行的需求分别进行实施。其中，客户端用户界面包括逻辑控制展现和信息确认；服务器端应用逻辑包括业务逻辑、控制数据和消息传递的处理过程；数据仓库/传统系统包括银行后台系统的交易应用和数据存储。

　　IBM为上述的三层体系结构定义了一个通用构架，即基于互联网开放标准的电子商务应用构架，并针对行业特点作了进一步的完善。根据全球范围的行业经验，这种三层体系结构可以提高客户IT部门组织的灵活性，减少推出新应用的费用和时间。同时，由于在客户端采用了现代化的图形用户界面，可以提高系统用户的生产力。

　　解决方案成功的关键之一就是性能。WebSphere和CBTF是IBM专门为金融行业和跨行业的电子商务产品和系列解决方案设计的策略性平台。使用WebSphere和CBTF开发的应用可以广泛扩展，不断增加新的应用和新的服务渠道，为银行提供多渠道的综合解决方案。另外，CBTF采用高度参数化配置的客户化处理来匹配银行的具体需求，帮助金融机构实现资金或非资金业务的服务。通过在新的应用服务器上采用负载平衡的技术，可以轻松获得横向扩展能力，而无需重写代码。

　　IBM成功应用：华夏银行。

　　从技术角度看，网上交易至少需要四个方面功能：商户系统、电子钱包、支付网关和安全认证，其中后三者是网上支付的必要条件。为了确认交易各方的身份以及保证交易的不可否认，需要有一份数字证书进行检验，这就是电子安全证书。同时网上银行传统业务系统，即网上银行的后台业务处理环境需要更加严格的安全防护。安全性，尤其是银行客户的信息、资金和交易的安全性是网上银行存活的关键，建立网上银行首先需要考虑和解决的是

　　安全问题

　　惠普对安全问题的看法是：只要选用合适的安全产品和技术，并伴之以严格的安全管理制度，网上银行系统的安全风险是完全可以控制在能够承受的限度内的。

　　保护Internet与银行Web服务器互联的多数安全解决方案主要依赖防火墙及Internet信息的SSL加密。HP Praesidium/VirtualVault接管了防火墙和SSL中断的地方，在Internet和银行机构之间提供关键连接的安全保护。HP VirtualVault（虚拟保险箱）是使用最广泛的安全Web服务器平台，它允许银行向客户提供对银行业务数据的访问并实现网上交易，同时保护Web服务器和后端资源不会受到来自Internet的攻击。

　　VirtualVault的操作系统严格符合美国国防部B1标准和欧洲E3标准，是一个安全的操作系统。该操作系统具有三个主要特征：最少特权机制、数据分区机制和命令授权。

　　最少特权机制主要针对应用程序设计。它将超级用户/根目录的特权划分为50多种不同的特权，对每个应用程序只给予保证运行所需的最少特权，这样就确保了即使受“特洛伊木马”侵袭的应用程序也不可能改变系统网络设置或文件系统。

　　数据分区机制相当于在服务器上的Intranet应用和Internet应用之间加入一道虚拟防火墙。数据分区将服务器上的所有文件和程序划分为内部分区、外部分区、系统分区和高级系统四个分区，VirtualVault限制跨分区的访问，只有获得特定的权限才可以跨区访问。内部分区和外部分区之间的所有通信由VirtualVault信任网关负责，可以保护内部分区中的应用程序不受到恶意攻击或因为中间件的错误造成内部应用损坏。

　　如何对管理员的责任进行划分呢？可以使用“命令授权”。它只给每个人分派某些规定的工作和权限。系统管理员只能访问他被授权的那部分系统管理功能，禁止访问其他区域。

　　CA认为，绝对安全与可靠的信息系统并不存在。一个所谓的安全系统实际上应该是“使入侵者花费不可接受的时间与金钱，并且承受很高的风险才能闯入的系统”。安全是一个过程而不是目的。

　　网上银行系统的安全分为网络安全、服务器安全、用户安全、应用程序和服务安全、数据安全几个部分。网络安全包括什么人对什么内容具有访问权，查明任何非法访问或偶然访问的入侵者，保证只有授权许可的通信才可以在客户机和服务器之间建立连接，而且正在传输当中的数据不能被读取和改变。

　　服务器安全包括需要控制谁能访问服务器或访问者可以干什么，防止病毒和“特洛伊木马”的侵入，检测有意或偶然闯入系统的不速之客。用户安全是管理用户账户，在用户获得访问特权时设置用户功能，或在他们的访问特权不再有效时限制用户帐户。应用程序和服务安全是指对应用程序和服务的口令和授权的管理，大多数应用程序和服务都是靠口令保护的，加强口令变化是安全方案中必不可少的手段。而授权则是用来规定用户或资源对系统的访问权限。数据安全是保持数据的保密性和完整性，不论是在储存状态还是在传递当中，保证非法或好奇者无法阅读它。数据完整性是指防止非法或偶然的数据改动。

　　另外，风险评估被用来检查系统安全配置的缺陷，发现安全漏洞。政策审查则用来监视系统是否严格执行了规定的安全政策。身份验证用来确保用户的登录身份与其真实身份相符，并对其提供单点注册，以解决多个口令的问题。

　　针对以上各种安全性的要求，CA均有相应的产品。CA的eTrust解决方案能保护从浏览器到主机的所有关键任务型资源，其功能包括风险评估、攻击探测、预防损失。eTrust解决方案不仅在网上支付方面拥有先进而高效的认证工具eTrust Directory和 eTrust OCSPro，还有eTrust Intrusion Detection和eTrust Access Control对网上银行后端的业务系统提供严格的网络与服务器的安全保护措施。

　　网上银行需要高度分布式单客户安全和帐户信息源，以便通过数字证书和智能卡支持的强有力认证，安全地提供丰富的联机银行服务。eTrust Directory就可以提供高可靠性和安全性的支持。那么目录服务如何管理呢？作为大型关键任务型目录服务应用解决方案，eTrust Directory可支持超过20,000,000个目录，并能每秒搜索1,000次。它使管理员无需停机就能更新方案，增强访问控制。

　　电子商务需要前所未有的更高的安全性标准，包括基于数字认证的验证和实时的认证状态确认。任何已确认的认证状态，无论有效与否，都是至关重要的信息，需要在电子商务交易进行之前加以评估。eTrust OCSPro就是在因特网上实现安全和严格授权的B2B电子商务活动的关键实施技术，它与eTrust Directory完全集成。使用目录来存储配置信息和访问状态使OCSP 响应器能充分利用与eTrust Directory 相关的各种优势，包括发布、性能复制、有效性等。

　　对于网上银行后端的业务系统，eTrust Intrusion Detection和 eTrust Access Control提供了严格的网络与服务器的安全保护措施。

　　eTrust Intrusion Detection提供限制Web访问、监控/阻塞/报警、入侵探测、攻击探测等在内的安全保护措施。它最主要的功能是入侵检测，它可以自动识别各种入侵模式，在对网络数据进行分析时与这些模式进行匹配，一旦发现某些入侵的企图，就会进行报警。

　　利用eTrust Access Control，安全管理员能够设定哪些人对哪些资源有什么样的访问权限。eTrust Access Control对资源的保护采用访问控制列表（ACL）的方式。它实现了在计算机系统中对用户和文件的层次化分类管理，在UNIX的访问控制中实现了某些B1级别的特征。

　　CA成功应用：中国农业银行总行、建设银行北京分行。

　　在联想网络银行解决方案Sm@rtVison中，完整的网络银行解决方案包括四个层次：应用层、数据库层、操作系统层和网络层，网络银行的安全性解决方案也从这四个层次来考虑。

　　针对应用层的安全性，联想通过以下方法保证：

　　* CA认证体系结构用于保证用户的合法身份。

　　* SSL安全通信协议保证浏览器和Web 服务器之间的通讯安全。

　　* 非对称加密算法RSA的数字签名保证信息的不可否认性。

　　* 国际标准MD5或SHA算法保证信息的不可篡改性。

　　另外，在应用层还提供了身份鉴别机制、访问控制机制、角色管理机制、防止重发机制和审计机制等，以保证交易的安全。通过对不同用户进行角色划分并赋予相应的权限，可以加强交易生成访问控制列表ACL和交易密码的安全性。对于企业用户，系统还将用户加密后的电子证书存于IC卡内，以提高系统的安全性。用户访问网络银行时，必须提供IC卡密码方能进行登录。

　　数据库、操作系统和网络层的安全则通过建立P2DR模型来实现。在这个模型中，P=Policy，P=Protect（Pt=系统的防御时间），D=Detect（Dt=检测到系统被入侵的时间），R=Response（Rt=系统采取响应阻止入侵所用的时间）。只有Pt>Dt+Rt，系统才是安全的。因此，建立安全系统的目标就是增加Pt的时间，降低Dt和Rt的时间。

　　根据上面的原则，安全管理员先要建立起切实可行的安全策略。在此基础上，通过相应的软件和硬件产品，扫描系统中的所有数据库、操作系统和网络系统，找出它们潜在的各种漏洞。例如，数据库和操作系统的用户口令是否合法，网络中是否开有不必要的通讯端口，文件和目录权限设置是否合理，数据库的参数配置是否正确等等。由此生成一份详细的漏洞检测报告，并提出具体的修改建议，帮助安全管理员弥补系统中存在的各种安全隐患。

　　另外，实时扫描监控系统能实时检测出非法用户（外部的和内部的）对网络银行的攻击。如果存在攻击，实时扫描软件能采取措施阻断这种恶意攻击，增加Pt的时间，最大限度地保护网络银行的系统安全。根据实时扫描监控系统的日志，安全管理员可以查出网络银行系统曾经受到的非法入侵，及时调整系统的安全策略，阻断各种可能的入侵，从而达到动态调整网络安全的目的。

　　传统的安全手段——防火墙也能在一定程度上防止非法请求的通过，限制不必要的通讯协议，保护系统的安全。

　　Sm@rtVison系统的安全采用了动态的可适应的解决方案，能满足各种需求变化，可以实现多种网络安全防护，提供强大而完整的安全保证。此外，它还具有良好的应用界面，易于维护和操作。

　　联想成功应用：深圳农业银行、北京农联社。

　　关于安全问题，还有一个有中国特色的现象：个人用户其实对网络安全问题并不特别关心。因为中国的上网费用比较昂贵，而且上网费和电话费在工资收入中占相当高的比例，所以个人用户宁愿网上银行的业务处理速度快一些，而不必为安全认证耽误更多的时间。相反，企业用户则非常关心交易业务的安全性。

　　网上银行的远程访问接入、带宽、流量控制等问题虽然不如安全性重要，但也需要周密考虑。有很多厂商都可以提供性能优异的

　　远程访问解决方案

　　3Com针对金融业务远程访问需求而设计的解决方案，能够满足网上银行、远程查询、Intranet/Internet访问等需要。

　　如果用户的节点比较多（例如银行总部、大型证券公司、保险行业等等），远程端口数量需求超过16个，就可以采用如图二所示的方案。

　　图二 3Com解决方案

　　在这个方案中，远程用户通过电话网/ISDN网拨入Total Control来访问银行内部网络信息资源。Total Control是采用机箱式结构的大规模访问服务器。根据用户的线路情况，可通过E1/PRI数字线路接入，或通过模拟电话线/ISDN接入。Total Control采用3Com获奖的Courier V.Everything V.34 Modem技术和X2技术，能够提供网络安全所需要的访问安全性、计费功能、动态IP地址分配等功能，特别适合于大规模的用户网络需求。Total Control共用16个可用槽位，在采用低密度Modem卡的情况下，可提供60个Modem端口，在采用高密度Modem卡的情况下，最多可提供420个Modem端口。通常，Total Control配置有网络管理卡、NETServer卡和根据用户端口数量而选配的Modem模块。

　　对于那些规模较小的节点（例如省行和地市行），3Com的网络方案是：远程用户通过电话网/ISDN网拨入NETServer Plus 8/16去访问银行内部信息资源。NETServer 8/16是3Com提供的全集成式远程访问服务器。对于省行和地市行的远程访问需求，NETServer 8/16是非常合适的。它具备远程LAN拨号访问、LAN-to-LAN路由功能、终端服务器与高级管理功能、安全性和呼叫计费功能，而且安装简便，只需将一端插入标准电话线，另端接入LAN即可。

　　不同业务的同时实现

　　多种业务的需求反映到对产品的需求上可体现为：能够实现业务划分的优先级、良好的安全性和完善的网络管理。

　　如果要求多种不同业务具备不同的优先等级，且保证某些业务较其他业务具有优先级别，较好的实现方法是：将不同的业务固定于不同的端口，优先级高的业务分配较多的端口，而优先级较低的业务所分配的端口数量相对少些，以保证业务的优先级。

　　例如，某银行采用16端口NETServer/16作为访问服务器使用。在几种业务中，电子联行和信用卡的优先级较高，而Intranet、E-Mail的优先级相对较低。这样，我们可分配NETServer端口1和2专门进行Intranet业务，端口3和4专门进行E-Mail业务，端口5至6专门进行资金系统业务，端口7至11电子联行业务，而信用卡业务则通过NETServer的端口12至16来进行。不同业务所对应的端口具有同样的电话号码。如果访问服务器是Total Control，方法与NETServer相同。

　　出于对银行及其他金融网络安全性的考虑，对于某些可同时进行多种业务的用户，可通过对其设置相应的过滤器（Filter）来限定它拨什么号码就只能进行什么业务。Total Control和/或NETServer的过滤器主要用在整个银行网络或银行网络的边缘，其主要功能是：根据通过网络接口数据的包头信息，来接收或拒绝特定数据包的通过，从而控制网络的数据传输。一旦建立了Total Control和/或NETServer的过滤器，可将过滤器分派给特定的端口或用户。

　　成功应用：河南省建设银行。

　　网上银行是一个复杂的、综合的系统，涉及到外部网、内部网、前端系统、后台系统、操作系统、数据库等等，管理起来非常复杂。在互联网时代，网上银行提供的是7×24×365的服务。如果不能对网上银行进行简单、快速、高效的管理，一旦出现问题，将带来难以估量的损失。我们需要的是完整全面的

　　系统管理方案

　　CA公司的系统管理解决方案Unicenter TNG能够提供支持业务的、全面企业管理基础架构，完全可以集中地监控管理网上银行系统的各个环节，保障系统的可用性、可靠性和性能。

　　1.对Web应用系统的管理

　　通过Unicenter TNG的Web管理选件（Web Management Option，以下简称WMO），管理员可以从TNG的真实世界界面监控Web服务器的可用性、性能及状态，分析Web系统日志，并且可以在多个Web服务器之间进行负载平衡。用户可以方便地监控企业范围内Web站点或Web服务器的运行情况。

　　WMO可以监控管理WWW服务器中页面的组织情况，分析客户对不同页面的访问频繁程度，可以根据统计的结果及时调整页面结构，把用户频繁访问的页面链接在首页显眼位置，使用户迅速找到其关心信息。WMO还可以监控指定页面的内容，一旦黑客侵入系统，涂改了这些页面，在几分钟甚至数秒之内就会发现并自动将页面恢复。

　　2.对网上银行支撑系统的管理

　　操作系统和数据库系统是网上银行应用系统运行的基础和保障。只有操作系统正常、稳定、高效率的运行，网上银行才能正常工作。Unicenter TNG可以监控各服务器的运行状况、故障和性能，实时监控CPU、内存、磁盘、文件系统、交换区、进程等资源的使用情况和性能状况。它监控数据库系统的关键参数，可以及时发现系统中可能存在的问题，及时采取必要的措施，对系统进行调整，确保这些服务器本身正常可靠的工作。而且，Unicenter TNG给用户提供了图形化的、易理解的、连续的、一致的性能报告，大大方便了用户对数据进行分析。

　　3.对网络基础设施的管理

　　Unicenter TNG可以同步监控网上银行系统涉及的网络设备、线路的故障和性能状况，分析不同部分的性能变化趋势，找出真正的瓶颈，根据不同情况采取不同的解决方案，保证系统整体性能良好。通过网络性能管理，一方面可以及时掌握性能状况，排除由于性能问题造成的故障；另一方面，可以通过对网络性能的历史分析，改变应用系统数据传输量、传输时间等来调整网络性能。

　　4．对业务数据的备份

　　在网上银行系统中，最重要的资产是信息。Unicenter TNG的高级存储选件(Advanced Storage Option，简称ASO)是企业级数据存储的综合性集成管理解决方案。ASO可以提供无缝备份和归档操作，自动归档处理，能够降低总体拥有成本（TCO），保护存储数据免受病毒侵害。它提供防病毒功能，提高数据可利用率和服务质量，降低了网络流量。ASO的灾难恢复选件还能够对企业的数据提供额外的保护。在系统完好时，利用CA的灾难恢复引导程序制作灾难恢复盘，一旦系统发生问题，可以利用灾难恢复盘，迅速将系统恢复到备份前状态。如实现对NT系统的自我恢复。

　　目前网上银行的用户绝大多数还是用PC来上网，而随着手机上网成为一种趋势，未来必然会有越来越多的网上银行用户通过他们的手机来进行操作。WAP移动银行是电子银行面向手持设备用户提出的服务，即客户的浏览端不是PC机的浏览器，而是手机的显示屏，或者PDA的显示屏。WAP移动银行可以提供：手机用户的帐户查询（余额查询、交易查询）功能，手机用户的缴费功能（水费、电费、手机费、物业管理费等），手机用户的转帐功能（行内）等等。在不久的将来如何为手机用户提供良好的网上银行服务？

　　WAP移动银行

　　布尔（BULL）公司的WAP移动银行方案是：

　　WAP用户（WAP手机用户、PDA）通过GSM和固网连接到WAP网关，布尔采用Nokia WebServer，进行协议的转换，并把请求送到应用服务器，应用服务器系统和银行业务主机连接，进行交易（查询、转帐）处理，并把处理的结果返回WAP用户端显示。

　　布尔采用的接入方式，对银行来讲，是一种非常好的方式。它的接入端在银行，这种连接方式是比较流行的连接方式。电信端的角色为信息载体，WAP手机终端用户透过无线网和固网，进入接入服务器后，直接和银行进行连接，WAP网关实现协议的转换。应用全部由银行提供，应用集中而且不具有复杂性。WAP网关放置在银行内部的好处是：具有较高的管理性。这种接入方式的缺点是：WAP用户的费用按照通话费用计算，用户费用较高。接入方式如图三所示。

　　在网上银行项目实施过程中还有一些注意事项。

　　1.分阶段实施

　　由于网上银行是一种全新的业务提交服务渠道，无论业务部门还是IT部门都需要对它不断熟悉和了解，银行也需要在这一新的业务服务渠道方面积累经验。在这种前提条件下，建议采取需求分阶段实现，功能由简至繁，逐步扩充的网上银行实施策略。具体讲就是：从信息服务类开始，逐渐增加信息查询类功能、交易类功能，然后开设中间/增值业务等，灵活有步骤地开展其它对客户有吸引力的网上银行项目。

　　图三布尔WAP移动银行接入方式

　　2.选择业务突破口

　　充分考虑到对私业务与对公业务各自的要求以及Internet自身的特点。必须在一开始就确定网上银行的业务发展策略。例如，可以采用先对私再对公的策略。因为对私业务交易频繁，每笔交易平均交易额较小，通过Internet可以大量分流营业窗口的工作量，从而大大降低银行的整体运营成本。而对公业务交易额较大，需要解决网上交易的政策性问题等。但也可以采用主推对公业务的策略。在建立网上银行的基础上，银行可以从以下方面逐步有选择地丰富和发展网上银行：增加企业银行业务和中间业务，丰富网上银行的服务范围和对象；与电子钱包、POS和智能IC卡等配合，提供多样化的电子支付手段；实现网上购物和网上支付功能；与移动通信GSM技术相结合，实现移动电子交易；与客户服务中心Call Center相结合，实现无缝的客户联系环境；与客户关系管理CRM系统相结合，实现个性化的金融服务。

　　网上银行的前景无疑是非常美好的。不过我们也注意到，网上银行在国内的发展水平还比较低。在业务处理上，国内银行一般采用“网上传输，落地处理”方式，即网上银行不与后台业务处理系统实时相联，需银行操作人员将网上银行传来的交易信息通过手工或其他方式输入到后台业务处理系统。这样虽然可以减少网络风险，但与国外网上银行相比，时效差，手段相对落后。

　　从国外网上银行的发展来看，目前他们的网上银行业务几乎包括了所有的传统银行业务，并且有许多的创新业务品种是传统银行业没有的，或者说是传统银行实现不了的。反观我们的网上银行，最多也仅提供了比较简单的如帐户查询、转帐、支付、网上证券以及网上商城等品种，而对其它如信贷、按揭等传统银行业务还没有涉及。