亚洲八十路av在线,欧美日韩大鸡巴操大黑逼,伊人伊成久久综合网

農(nóng)業(yè)銀行徐偉：信息系統(tǒng)安全可控探索與實(shí)踐

2020-02-11 14:13:28 來源：金融電子化搶沙發(fā)

2020-02-11 14:13:28 來源：金融電子化

摘要：隨著信息技術(shù)和金融行業(yè)深度融合，商業(yè)銀行業(yè)務(wù)處理與經(jīng)營決策更加高效、智能，但也帶來信息技術(shù)關(guān)鍵領(lǐng)域受制于人的潛在風(fēng)險(xiǎn)。銀行在大刀闊斧引入各類軟硬件產(chǎn)品的過程中，難以對(duì)“后門”、“陷阱”、“漏洞”、“軟件炸彈”等安全問題進(jìn)行全面排查評(píng)估。關(guān)鍵技術(shù)“受制于人”給銀行業(yè)信息安全帶來不小的隱患。
關(guān)鍵詞：金融安全

推進(jìn)信息化建設(shè)安全可控實(shí)踐，不僅是保證業(yè)務(wù)連續(xù)性和信息安全的舉措，更是關(guān)系到國家經(jīng)濟(jì)正常運(yùn)轉(zhuǎn)和金融秩序穩(wěn)定?，F(xiàn)階段，推進(jìn)IT基礎(chǔ)設(shè)施安全可控面臨國家基礎(chǔ)信息科技領(lǐng)域核心技術(shù)儲(chǔ)備不足、安全可控信息技術(shù)產(chǎn)業(yè)生態(tài)不完整、對(duì)已有技術(shù)存在路徑依賴等現(xiàn)實(shí)問題。推進(jìn)安全可控技術(shù)轉(zhuǎn)型是商業(yè)銀行推進(jìn)IT架構(gòu)轉(zhuǎn)型、提升自身科技管理及應(yīng)用水平的一項(xiàng)系統(tǒng)性工程。

本文總結(jié)了農(nóng)業(yè)銀行近年推進(jìn)IT基礎(chǔ)設(shè)施安全可控的建設(shè)思路，提出IT系統(tǒng)安全可控實(shí)踐總體框架，并介紹了三種實(shí)踐模式以及所取得成效。

建設(shè)思路
從農(nóng)業(yè)銀行實(shí)際出發(fā)，保持優(yōu)勢(shì)，補(bǔ)齊短板，全面構(gòu)建基于安全可控的 IT 基礎(chǔ)設(shè)施體系。兼顧部分產(chǎn)品短期無法實(shí)現(xiàn)替換的現(xiàn)狀，按照“整體安全可控、局部自主可控”的思路進(jìn)行推進(jìn)。體系建設(shè)涵蓋基礎(chǔ)軟件、應(yīng)用軟件、計(jì)算存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備，以及在此基礎(chǔ)上構(gòu)建的云計(jì)算平臺(tái)、自動(dòng)化管理平臺(tái)和安全管理平臺(tái)等。結(jié)合農(nóng)業(yè)銀行實(shí)踐，提出IT 系統(tǒng)安全可控實(shí)踐的總體框架。

該框架縱向上分為三個(gè)層面，自下而上依次是 IT 設(shè)施層、替代評(píng)估層和應(yīng)用實(shí)踐層。通過應(yīng)用實(shí)踐將原本各自獨(dú)立、散落的 IT 基礎(chǔ)設(shè)施不同模塊緊密聯(lián)系在一起，共同提升 IT 系統(tǒng)安全可控水平。

針對(duì)特定產(chǎn)品，按照安全可控可替代性評(píng)估、模式選擇和應(yīng)用實(shí)踐三個(gè)步驟落實(shí)安全可控要求。一是選取 IT 基礎(chǔ)設(shè)施中特定產(chǎn)品進(jìn)行安全可控可替代性評(píng)估，根據(jù)該產(chǎn)品目前市場(chǎng)成熟情況，評(píng)估結(jié)果分別為可替代、部分替代和暫無替代；二是針對(duì) IT 基礎(chǔ)設(shè)施中產(chǎn)品的安全可控程度具體問題具體分析，可分別采取獨(dú)立實(shí)施、聯(lián)合創(chuàng)新或引入制約三種模式，以實(shí)現(xiàn)安全可控；三是根據(jù)相應(yīng)的模式綜合選取分布式、開放體系、虛擬化、異構(gòu)中的一種或幾種技術(shù)策略結(jié)合典型業(yè)務(wù)開展應(yīng)用實(shí)踐。

該框架通過分布式架構(gòu)替代集中式架構(gòu)，實(shí)現(xiàn)各節(jié)點(diǎn)松耦合，降低對(duì)底層產(chǎn)品高性能、高可靠、高可用的依賴；對(duì)于關(guān)鍵業(yè)務(wù)系統(tǒng)，構(gòu)建多地多活部署架構(gòu)，進(jìn)一步提升業(yè)務(wù)連續(xù)性。大力推廣開放標(biāo)準(zhǔn)架構(gòu)體系，采用業(yè)界廣泛接受、生態(tài)良好、可持續(xù)能力突出的架構(gòu)、協(xié)議和產(chǎn)品，如：采用 IP 協(xié)議替代 SNA，采用 Linux 替代 AIX/HPUX，采用 x86 替代小型機(jī)，將 Java 作為主推開發(fā)語言，大力推進(jìn) Hadoop、Spark、OpenStack 等開源技術(shù)的應(yīng)用。通過開放標(biāo)準(zhǔn)的廣泛應(yīng)用，降低對(duì)單一廠商和產(chǎn)品的依賴，提升信息化建設(shè)自主可控能力。大力推廣虛擬化技術(shù)，屏蔽底層硬件設(shè)備差異，提升系統(tǒng)兼容性和可移植能力。通過采用異構(gòu)融合平臺(tái)降低供應(yīng)鏈風(fēng)險(xiǎn)，提升安全可控能力。

應(yīng)用實(shí)踐及成效
農(nóng)業(yè)銀行按照以上思路針對(duì)各類產(chǎn)品開展可替代性分析，選擇最佳模式，在推進(jìn) IT 系統(tǒng)安全可控方面開展了一系列實(shí)踐。

1. 引入制約模式
對(duì)于市面上暫無同類可替代的產(chǎn)品，通過引入其他技術(shù)和產(chǎn)品、移植部分功能等方式實(shí)現(xiàn)制約，典型應(yīng)用實(shí)踐為分布式核心系統(tǒng)建設(shè)。農(nóng)業(yè)銀行于 2015 年投產(chǎn)新一代核心銀行系統(tǒng) BoEing，基于 IBM 大型機(jī)集中式架構(gòu)，構(gòu)建客戶、產(chǎn)品、合約等統(tǒng)一模型，搭建運(yùn)營與賬務(wù)基礎(chǔ)服務(wù)，為核心業(yè)務(wù)發(fā)展提供了有力保障。2017 年底啟動(dòng)分布式核心系統(tǒng)建設(shè)，技術(shù)上經(jīng)過反復(fù)推演，推進(jìn)核心系統(tǒng)分布式改造，應(yīng)用分布式技術(shù)化解集中式單體架構(gòu)所面臨的困境。

第一階段積極探索，實(shí)現(xiàn)主機(jī)查詢交易及數(shù)據(jù)下移至開放平臺(tái)。通過主機(jī)查詢功能拆分，將原核心系統(tǒng)數(shù)據(jù)準(zhǔn)實(shí)時(shí)地同步到開放平臺(tái)，實(shí)現(xiàn)主機(jī)查詢交易下移，構(gòu)建開放平臺(tái)總控系統(tǒng)和查詢交易輔助系統(tǒng)，先后完成 112 支查詢交易下移投產(chǎn)，提供聯(lián)機(jī)查詢、批量報(bào)表和實(shí)時(shí)數(shù)據(jù)服務(wù)。經(jīng)過持續(xù)交易優(yōu)化和數(shù)據(jù)下移改造，在系統(tǒng)支撐能力和經(jīng)濟(jì)效益上取得顯著成效。

第二階段夯實(shí)基礎(chǔ)，搭建應(yīng)用平臺(tái)和技術(shù)平臺(tái)。將核心業(yè)務(wù)運(yùn)行時(shí)所依賴的基礎(chǔ)模塊從主機(jī)系統(tǒng)拆分至開放平臺(tái)，形成分布式核心基礎(chǔ)服務(wù)，打造全行統(tǒng)一客戶視圖、一體化運(yùn)營體系、開放的產(chǎn)品合約和更優(yōu)的賬務(wù)能力。技術(shù)上實(shí)現(xiàn)分布式服務(wù)調(diào)度、數(shù)據(jù)訪問、數(shù)據(jù)同步、緩存等中間件平臺(tái)化，形成測(cè)試與交付自動(dòng)化，監(jiān)控與運(yùn)維工具化。后續(xù)將從信用卡、理財(cái)?shù)荣Y金風(fēng)險(xiǎn)小的業(yè)務(wù)應(yīng)用入手持續(xù)推進(jìn)遷移改造，逐步推廣至賬戶資金相關(guān)產(chǎn)品。

2. 聯(lián)合創(chuàng)新模式
通過與外部廠商聯(lián)合技術(shù)攻關(guān)，積極參與替代產(chǎn)品的技術(shù)研發(fā)。農(nóng)業(yè)銀行積極參加國家 863 計(jì)劃“高端容錯(cuò)計(jì)算機(jī)”專項(xiàng)研究工作，作為金融行業(yè)示范應(yīng)用單位與華為公司合作，研究高端容錯(cuò)計(jì)算機(jī)在銀行的應(yīng)用可行性，完成對(duì)國產(chǎn)小型機(jī)和存儲(chǔ)的驗(yàn)證工作，為小型機(jī)安全可控研究和自主高端容錯(cuò)計(jì)算機(jī)產(chǎn)業(yè)發(fā)展貢獻(xiàn)力量。典型應(yīng)用實(shí)踐為個(gè)人優(yōu)質(zhì)客戶關(guān)系管理系統(tǒng)應(yīng)用示范項(xiàng)目。該項(xiàng)目采用三層部署架構(gòu)，應(yīng)用服務(wù)器通過虛擬化技術(shù)構(gòu)建高端容錯(cuò)計(jì)算機(jī)新平臺(tái)，虛擬機(jī)文件部署在共享海量存儲(chǔ)設(shè)備。故障發(fā)生時(shí)，虛擬機(jī)自動(dòng)在備用資源上重新啟動(dòng)，實(shí)現(xiàn)應(yīng)用不間斷運(yùn)行。存儲(chǔ)層使用國產(chǎn)高端海量存儲(chǔ)技術(shù)，利用設(shè)備自身提供的磁盤冗余機(jī)制保障存儲(chǔ)設(shè)備高可用性。

在大數(shù)據(jù)處理領(lǐng)域，農(nóng)業(yè)銀行自 2013 年開始與南大通用公司組建聯(lián)合技術(shù)團(tuán)隊(duì)，共同研究并實(shí)踐國產(chǎn) MPP 架構(gòu)數(shù)據(jù)庫 GBase 在金融業(yè)大數(shù)據(jù)計(jì)算環(huán)境中的應(yīng)用，并在當(dāng)年完成具有里程碑意義的 28 節(jié)點(diǎn)分布式架構(gòu)高性能數(shù)據(jù)庫計(jì)算環(huán)境的搭建。2014 至 2015 年，根據(jù)農(nóng)業(yè)銀行實(shí)際業(yè)務(wù)場(chǎng)景需求，雙方在架構(gòu)設(shè)計(jì)、資源調(diào)度、執(zhí)行效率、SQL 優(yōu)化等方面完善 160 多個(gè)技術(shù)點(diǎn)。農(nóng)業(yè)銀行基于 GBase 產(chǎn)品搭建了企業(yè)級(jí)大數(shù)據(jù)平臺(tái)，提出多項(xiàng)金融大數(shù)據(jù)分析功能需求和改進(jìn)建議，經(jīng)過多輪次大規(guī)模測(cè)試，協(xié)助廠商修復(fù)和解決了 GBase 產(chǎn)品10 多項(xiàng)重大缺陷，為該產(chǎn)品快速適應(yīng)金融行業(yè)需求提供有力支持。2016 至 2018 年，雙方持續(xù)加深合作，創(chuàng)新性地提出并實(shí)踐了海量數(shù)據(jù)雙活解決方案，實(shí)現(xiàn) PB 級(jí)數(shù)據(jù)增量同步雙活架構(gòu)。目前，農(nóng)業(yè)銀行大數(shù)據(jù)平臺(tái)共部署 29 套 GBase 集群，單集群最大規(guī)模為 121 臺(tái)服務(wù)器，總集群規(guī)模達(dá) 1170 臺(tái)服務(wù)器，數(shù)據(jù)總量超過 20PB，日均批量業(yè)務(wù) 8 萬個(gè)。GBase 產(chǎn)品的成功應(yīng)用，一方面極大地促進(jìn)廠商完善產(chǎn)品功能、提升技術(shù)能力，另一方面也為同業(yè)作出良好示范。

在技術(shù)架構(gòu)創(chuàng)新領(lǐng)域，農(nóng)業(yè)銀行圍繞“安全”和“創(chuàng)新”兩個(gè)抓手，在構(gòu)建新一代 IT 架構(gòu)，推進(jìn)數(shù)字化轉(zhuǎn)型過程中，選擇科技條線內(nèi)部管理領(lǐng)域作為創(chuàng)新試驗(yàn)田，以降低試錯(cuò)成本，提升創(chuàng)新速度。我行信息科技綜合管理平臺(tái)系統(tǒng)依托華為TaiShan 服務(wù)器進(jìn)行敏捷開發(fā)，圍繞 ARM 架構(gòu)技術(shù)體系進(jìn)行操作系統(tǒng)、數(shù)據(jù)庫、中間件等基礎(chǔ)件的迭代演進(jìn)和適配，快速實(shí)現(xiàn)了架構(gòu)創(chuàng)新成果的研發(fā)、驗(yàn)證和交付，并于近期完成投產(chǎn)上線，成為金融行業(yè)首個(gè)兼具 ARM 架構(gòu)多路服務(wù)器、全開源軟件基座和自研軟件應(yīng)用系統(tǒng)的落地項(xiàng)目。

3. 獨(dú)立實(shí)施模式
對(duì)于具備完全可替代性的產(chǎn)品，農(nóng)業(yè)銀行內(nèi)部技術(shù)團(tuán)隊(duì)直接應(yīng)用相應(yīng)的新產(chǎn)品開展實(shí)施。在 PC 服務(wù)器領(lǐng)域，要求新建信息系統(tǒng)全部采用安全可控設(shè)備。典型應(yīng)用實(shí)踐為基于 x86服務(wù)器重構(gòu)信貸管理系統(tǒng)?；?ldquo;高端小型機(jī) + 主備數(shù)據(jù)庫”的原有架構(gòu)，在日交易量峰值增長到 3000 萬筆時(shí)存在性能瓶頸，容易出現(xiàn)交易排隊(duì)、用戶操作等待的現(xiàn)象，夜間批量執(zhí)行時(shí)間較長，聯(lián)機(jī)服務(wù)僅支持 7×16 小時(shí)，且無法通過橫向或縱向擴(kuò)展提高處理能力。升級(jí)為“PC 服務(wù)器 + 集群數(shù)據(jù)庫”架構(gòu)后，系統(tǒng)處理能力、可靠性及擴(kuò)展性均大幅提升，可支撐日交易量 6000 萬筆的壓力，運(yùn)營時(shí)間達(dá)到 7×24 小時(shí)，批量性能提升 1 倍以上。

系統(tǒng)管理領(lǐng)域，搭建起基于北斗衛(wèi)星的全行時(shí)鐘同步體系，實(shí)現(xiàn)農(nóng)業(yè)銀行總分行及境外機(jī)構(gòu)的電子設(shè)備和應(yīng)用系統(tǒng)的統(tǒng)一時(shí)鐘，為全行一體化運(yùn)維、日志時(shí)間記錄、事件關(guān)聯(lián)分析奠定堅(jiān)實(shí)基礎(chǔ)，有效提升信息系統(tǒng)基礎(chǔ)設(shè)施標(biāo)準(zhǔn)化、規(guī)范化管理水平。

中間件領(lǐng)域，農(nóng)業(yè)銀行率先引入國內(nèi)廠商?hào)|方通的消息中間件 TongLink/Q 和傳輸中間件 TongGTP，在短信平臺(tái)、新網(wǎng)銀系統(tǒng)、信貸管理系統(tǒng)等系統(tǒng)中成功應(yīng)用，表現(xiàn)良好。

在安全領(lǐng)域，農(nóng)業(yè)銀行已基本實(shí)現(xiàn)安全可控。近年來，在 K 寶、動(dòng)態(tài)口令卡、防火墻、VPN、漏洞掃描、加密機(jī)等網(wǎng)銀安全領(lǐng)域全面實(shí)現(xiàn)安全可控的基礎(chǔ)上，又在滲透性測(cè)試、安全監(jiān)測(cè)等關(guān)鍵領(lǐng)域，基本實(shí)現(xiàn)產(chǎn)品和服務(wù)的全面安全可控。作為“人民銀行組織的金融業(yè)量子通信應(yīng)用示范工作”首批試點(diǎn)機(jī)構(gòu)之一，農(nóng)業(yè)銀行目前已完成量子通信硬件資源部署工作和量子保密京滬干線聯(lián)通工作。

在桌面辦公軟件領(lǐng)域，農(nóng)業(yè)銀行實(shí)現(xiàn)安全可控全覆蓋。在全行范圍大力推廣使用國產(chǎn)桌面辦公軟件金山 WPS Office，建立用戶問題反饋響應(yīng)等配套工作機(jī)制，按照“與企業(yè)共同成長”的理念加強(qiáng)合作，促使產(chǎn)品日趨完善。

未來展望
IT 基礎(chǔ)設(shè)施安全可控是銀行業(yè)信息化建設(shè)的必經(jīng)之路，推進(jìn)信息化建設(shè)安全可控任重道遠(yuǎn)、前途光明。從國家政策層面，需要進(jìn)一步加大信息產(chǎn)業(yè)核心基礎(chǔ)產(chǎn)品開發(fā)的支持力度，切實(shí)扶持建立成熟的生態(tài)環(huán)境；從產(chǎn)業(yè)層面，應(yīng)增強(qiáng)創(chuàng)新意識(shí)，提升信息科技產(chǎn)品質(zhì)量，增強(qiáng)市場(chǎng)競(jìng)爭(zhēng)力；從用戶層面，應(yīng)主動(dòng)樹立信息化建設(shè)安全可控意識(shí)，積極穩(wěn)妥提升安全可控產(chǎn)品使用率。

推行信息化建設(shè)安全可控，不會(huì)一蹴而就，農(nóng)業(yè)銀行基于安全可控的信息系統(tǒng)建設(shè)已初見成效，未來將繼續(xù)統(tǒng)籌規(guī)劃、循序漸進(jìn)，將實(shí)現(xiàn) IT 基礎(chǔ)設(shè)施安全可控落實(shí)到具體工作實(shí)踐當(dāng)中，進(jìn)一步提升信息系統(tǒng)安全可控程度。

1. 構(gòu)建新型技術(shù)體系，逐步擺脫對(duì)單一特定供應(yīng)商的依賴
以農(nóng)業(yè)銀行數(shù)字化轉(zhuǎn)型戰(zhàn)略為契機(jī)，加強(qiáng)技術(shù)頂層設(shè)計(jì)，持續(xù)加大人工智能、區(qū)塊鏈、云計(jì)算、大數(shù)據(jù)等金融科技創(chuàng)新成果的融合應(yīng)用，通過構(gòu)建新型技術(shù)架構(gòu)體系和加強(qiáng)新技術(shù)應(yīng)用，為安全可控創(chuàng)造條件。

2. 順應(yīng)科技發(fā)展趨勢(shì)，不斷提升我行核心系統(tǒng)服務(wù)能力
逐步探索分布式架構(gòu)與云計(jì)算技術(shù)相結(jié)合，加快推進(jìn)主機(jī)系統(tǒng)下移至開放平臺(tái)，積極應(yīng)對(duì)分布式架構(gòu)模式帶來的交易一致性和運(yùn)維復(fù)雜性挑戰(zhàn)。深入?yún)⑴c開源分布式技術(shù)，提升自主掌控能力，積極打造分布式上下游生態(tài)，充分發(fā)揮分布式計(jì)算優(yōu)勢(shì)，持續(xù)推進(jìn)技術(shù)架構(gòu)轉(zhuǎn)型。

3. 積累應(yīng)用案例，逐步擴(kuò)大分布式聯(lián)機(jī)交易型數(shù)據(jù)庫應(yīng)用范圍
按照先外圍后核心的原則，從非對(duì)客業(yè)務(wù)系統(tǒng)逐漸向非重點(diǎn)對(duì)客業(yè)務(wù)系統(tǒng)、重點(diǎn)業(yè)務(wù)系統(tǒng)推廣，最終實(shí)現(xiàn)在分布式核心系統(tǒng)中應(yīng)用。通過分布式架構(gòu)轉(zhuǎn)型，進(jìn)一步降低運(yùn)行成本，簡(jiǎn)化開發(fā)運(yùn)維復(fù)雜度，提升硬件資源利用率，支持更大業(yè)務(wù)量。

第三十四屆CIO班招生
國際CIO認(rèn)證培訓(xùn)
首席數(shù)據(jù)官（CDO）認(rèn)證培訓(xùn)

責(zé)編：content

免責(zé)聲明：本網(wǎng)站（http://www.www.gypb.net/）內(nèi)容主要來自原創(chuàng)、合作媒體供稿和第三方投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
本網(wǎng)站刊載的所有內(nèi)容（包括但不僅限文字、圖片、LOGO、音頻、視頻、軟件、程序等）版權(quán)歸原作者所有。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，請(qǐng)及時(shí)通知本站，予以刪除。