德訊科技網(wǎng)內運維審計解決方案在銀行業(yè)的應用

　　隨著(zhù)銀行業(yè)的飛速發(fā)展，人們越來(lái)越好地享受著(zhù)財富生活，保障著(zhù)財富安全。銀行業(yè)的發(fā)展和穩定，更是保障社會(huì )穩定和發(fā)展的先決條件。

　　隨著(zhù)互聯(lián)網(wǎng)、無(wú)線(xiàn)通信、計算機等IT技術(shù)的日新月異，銀行業(yè)信息化發(fā)展的步伐也在日益加快。銀行業(yè)數據中心建設的大幕已經(jīng)拉開(kāi)，我們正欣喜地迎接著(zhù)“數據大集中”時(shí)代的機遇與挑戰。

　　在數據大集中的實(shí)施過(guò)程中，國內各銀行不斷加大對數據中心IT基礎設施、業(yè)務(wù)平臺和應用系統的投入，將原本各分支、各區域的數據源匯集整合為大型的數據中心。為提升自身核心競爭力，各銀行紛紛積極開(kāi)展業(yè)務(wù)辦理渠道及新型業(yè)務(wù)功能的研發(fā)，逐步將銀行柜面操作業(yè)務(wù)搬遷至電子化業(yè)務(wù)服務(wù)平臺，如自助銀行、電話(huà)銀行、手機銀行及網(wǎng)上銀行等。

　　可見(jiàn)，銀行業(yè)數據大集中以及信息技術(shù)的發(fā)展不僅為廣大用戶(hù)提供了自助化、便捷化的全新服務(wù)模式，同時(shí)也提高了銀行自身業(yè)務(wù)辦理的效率，緩解了人工作業(yè)壓力。然而，伴隨新鮮事物的誕生，勢必會(huì )出現新的問(wèn)題：在區域多元化、用戶(hù)差異化、業(yè)務(wù)量持續擴張的背景下,如何保障數據中心IT基礎設施運營(yíng)管理的穩定可靠性，確保業(yè)務(wù)數據信息的安全性，已經(jīng)成為銀行界最為關(guān)注也最棘手的問(wèn)題。

　　某國有商業(yè)銀行，始終堅持以“科技創(chuàng )新業(yè)務(wù)，科技改善管理”為企業(yè)發(fā)展指導方針，大力倡導“兩地三中心”(即同城建立雙中心，異地建立備份中心)災難恢復體系的建設。2011年底，該銀行的同城災備數據中心順利落成。然而，在實(shí)際投運過(guò)程中發(fā)現，保障業(yè)務(wù)系統穩定運行及數據信息安全可靠的管理手段仍有亟需改善的地方：第一，現有數據中心部署了大量復雜、異構的應用系統，原先獨立分散的運維模式操作繁瑣，效率低下;第二，盡管企業(yè)已經(jīng)建立了先進(jìn)完善的管理機制用以規范和制約運維人員的操作行為，但缺少相應的技術(shù)保障手段，不能有效地杜絕因內部操作引起的信息泄漏風(fēng)險。

　　針對上述問(wèn)題，德訊科技對該銀行數據中心進(jìn)行深入調研，同時(shí)結合銀行未來(lái)的戰略部署與發(fā)展規劃，為其提供了一套以ICS2000網(wǎng)絡(luò )運維安全網(wǎng)關(guān)典型產(chǎn)品為基礎的數據中心網(wǎng)內運維審計解決方案。

　　本套網(wǎng)內運維審計解決方案體系架構由數據展現層、數據處理層及設備控制層構成，主要能夠實(shí)現兩大功能體系：運維人員對設備控制層集中運維操作體系;審計人員對設備控制層操作安全審計管理體系。

　　圖1 網(wǎng)內運維審計解決方案體系架構圖

　　數據展現層： 為運維人員提供運維與管理入口，通過(guò)B/S模式的運維管理控制臺(WEB管理平臺)，可實(shí)現運維、認證、策略部署、安全審計等管理操作;

　　數據處理層： 通過(guò)網(wǎng)絡(luò )運維安全網(wǎng)關(guān)(ICS2000)及虛擬運維網(wǎng)關(guān)(VOS)的組合部署，實(shí)現(Telnet/FTP/Rlogin/HTTP/HTTPS/SSH

　　/SFTP/RDP/ VNC/Xwindows等)多協(xié)議會(huì )話(huà)代理、(PL-SQL、MS查詢(xún)分析器、DB2 Quest、Radmin、PC Anywhere、ERP等)多種類(lèi)應用程序發(fā)布、運維操作審計、報文處理等服務(wù);

　　設備控制層 ：由數據中心機房服務(wù)器、網(wǎng)絡(luò )安全、存儲、路由等IT基礎設備組成，基于WEB管理平臺進(jìn)行統一集中控管。

　　在最終的方案部署中，該銀行數據中心將ICS2000 +VOS聯(lián)合部署于數據中心IT運營(yíng)網(wǎng)絡(luò )中，無(wú)需調整和變動(dòng)該銀行數據中心原有的網(wǎng)絡(luò )體系架構，即可實(shí)現對運維管理員運維操作的集中化管理及運維全過(guò)程的安全審計，為該國有銀行數據中心建立了一套全面的IT基礎設施網(wǎng)內運維審計體系。

　　圖2 IT基礎設施網(wǎng)內運維審計體系圖

　　該網(wǎng)內運維審計體系主要通過(guò)以下四方面，保證該銀行數據中心IT業(yè)務(wù)系統的穩定運行以及數據信息的安全可靠：

　　第一，變分散運維操作為集中運維管理

　　該銀行數據中心原先通過(guò)分散客戶(hù)端實(shí)現對目標設備運維的模式，該模式存在很大的弊端：其一，必須在每臺運維客戶(hù)端預裝所有C/S架構的運維工具;其二，運維工具版本需要更新時(shí)，只能逐一對每臺運維客戶(hù)端進(jìn)行升級操作。

　　針對現有數據中心運維工具種類(lèi)多、運維人員不集中、區域分散、跨網(wǎng)絡(luò )等管理特點(diǎn)，本方案采用ICS2000與VOS聯(lián)合部署平臺，實(shí)現對眾多運維工具、多類(lèi)客戶(hù)端程序的統一安裝部署與集中管理。該銀行運維人員僅需通過(guò)B/S模式的WEB管理平臺入口，建立與相應運維通道的連接，即可實(shí)現對數據中心所有目標管理設備的集中化、一站式運維服務(wù)。這種集中運維管理模式極大減輕了運維人員工作壓力，顯著(zhù)提高了數據中心的運維管理效率。

　　第二，運維前主動(dòng)防控――身份認證

　　針對該銀行數據中心內部運維操作行為，本方案提供了一套非常完善的身份管理與認證機制，把握和控制該數據中心WEB管理平臺訪(fǎng)問(wèn)入口，逐一驗證所有登陸用戶(hù)身份的有效性和合法性，加強操作源頭的安全防范，真正實(shí)現操作訪(fǎng)問(wèn)前的主動(dòng)防控管理，大大降低了該銀行重要業(yè)務(wù)信息數據的泄露風(fēng)險。本方案支持用戶(hù)本地(WEB管理平臺)與第三方(如Radius、RSA SecureID認證、LDAP/AD 域)兩種認證渠道，在保證安全防范操作的同時(shí)，提高了用戶(hù)操作的靈活性與便捷性，更體現出系統強大的兼容性與擴展性。

　　第三，運維中實(shí)時(shí)監控――桌面監控

　　本方案提供代理、旁路偵聽(tīng)等多種會(huì )話(huà)訪(fǎng)問(wèn)管理方式，能夠積極、主動(dòng)、直接地實(shí)現對該銀行數據中心運維人員業(yè)務(wù)操作行為的安全管控。對于核心業(yè)務(wù)操作或關(guān)鍵目標設備，運維人員通過(guò)監控窗口可以實(shí)現單臺或多臺設備桌面的實(shí)時(shí)在線(xiàn)監看，并支持多路監視畫(huà)面矩陣窗口輪巡切換播放，監看過(guò)程中如發(fā)生異?；蜻`規操作，運維人員可立即切換至設備接管狀態(tài)，通過(guò)強制“中斷”結束非法會(huì )話(huà)。方案采用對訪(fǎng)問(wèn)會(huì )話(huà)過(guò)程實(shí)時(shí)監看、非法操作及時(shí)阻斷的操作策略，有效將該銀行數據中心網(wǎng)內操作引起的安全風(fēng)險扼殺于萌芽狀態(tài)，從根本上杜絕了危害的擴張與蔓延。

　　第四，運維后操作審計――安全審計

　　本方案支持對WEB管理平臺內一切運維行為(如協(xié)議類(lèi)運維、WEB訪(fǎng)問(wèn)、客戶(hù)端訪(fǎng)問(wèn)以及數據庫訪(fǎng)問(wèn)等)的遠程圖形化安全審計，會(huì )話(huà)過(guò)程中所有的操作步驟和操作細節均以錄像形式呈現給數據中心審計人員。同時(shí)支持關(guān)鍵字定位、數據庫關(guān)鍵語(yǔ)句與審計錄像關(guān)聯(lián)回放，實(shí)現運維操作過(guò)程的快速定位、精確跟蹤以及真實(shí)重現，有助于審計人員對非法運維操作節點(diǎn)的排查及故障責任的追溯，促進(jìn)該銀行數據中心實(shí)現運維安全管理的精細化、規范化。

　　通過(guò)本方案的實(shí)際部署和應用，該國有商業(yè)銀行實(shí)現了保障數據中心IT基礎設施運營(yíng)管理的穩定可靠性和業(yè)務(wù)數據信息的安全性的管理目標。德訊科技“以科技及創(chuàng )新改善IT管理方式”的發(fā)展理念，最終得到了良好的成效和驗證!