中小銀行防范科技風險相關實踐的探討

邱成良

伴隨經濟的快速發展，中小銀行（含農信社改制的農合行、農商行）業務快速發展，信息科技應用水平持續提升，一方面提高業務交易的方便快捷，降低管理成本和交易花費；另一方面信息科技過度滲透到業務、管理的各環節，其對科技過度依賴及由此產生的風險卻在加劇，信息科技風險問題突出，已經成為影響中小銀行業務連續性和經營穩健性的重要因素。

本文選取中小銀行利用信息技術加強風險管理的幾個重要實踐，主要包括建立網絡備份中心機房、啟用虛擬化技術建立應用系統級容災、建立統一數據軟件、移動存儲設備和數據保密、網絡入侵檢測、準入控制系統、運維監控預警以及幾個實用工具等，為中小銀行防范信息科技風險進行相關實踐提供參考。

一、建立網絡備份中心

中小銀行網絡結構基本分為三個區域：上聯區、核心區、下聯區。上聯區中小銀行一般采用雙設備雙線路，設備基本是雙電源路由器。核心區一般會部署兩臺雙電源的交換機，實現業務核心數據交換。下聯區中小銀行采用三層交換機雙設備雙線路和分支相連。中小銀行同城網絡備份中心可采用熱備的方式建立，即兩地機房網絡系統在平日處于同時運行的狀態，并且相互之間互為備份，這樣當任何一地發生災難性事件時，兩地之間可以相互的切換，且備份網絡系統必須能夠保證相關重要業務的正常訪問。

中小銀行業務網絡備份系統采用完全熱備的方式建立，兩個機房的網絡設備性能基本能對等。對于熱備模式，中小銀行可以租用電信運營商機房機柜的方式建設。當中小銀行中心機房網絡系統因為災難性事件出現整個故障時，中心機房的系統、網絡均不能正常運行。如果建立起一個同城網絡備份機房，該備份機房與中心機房互為備份，當任何一地發生緊急狀況時，可以相互之間迅速進行熱切換。

中小銀行同城備份機房的建設應具體衡量如下幾方面：備份中心的所有外聯網線路應與中小銀行中心機房的所有外聯網線路同時處于運行當中，且相互之間互為熱備份；備份機房應與中小銀行中心機房具有大致相同的網絡層次拓撲，以保證在發生緊急狀況時，備份中心能夠保證相關重要業務的正常訪問；對于兩地機房，應在同一網絡拓撲層面上部署具有相同功能和作用的網絡硬件，兩者同時處于運行狀態，且相互之間互為熱備；備份中心構建一臺核心交換機，從而在網絡拓撲層面上，與中心機房的核心交換區相互對應。中心機房和備份機房應采用合適的網絡技術，在核心交換區域網絡層面打通；備份中心構建一臺上聯路由器，從而在網絡拓撲層面上，與中心機房的上聯路由器相互對應；備份中心構建一臺下聯路由器，從而在網絡拓撲層面上，與中心機房的下聯路由器相互映射，作為所有網點的備份線路。

二、利用虛擬化建立應用系統級容災

近年來，伴隨中小銀行的迅猛擴大，其科技系統建設大為增加。傳統情況下，如果增加一個業務科技系統必須配套增加一臺或多臺專用服務器和相應存儲設備，這樣的情況下，所配置服務器、存儲的大量資源沒有被實用，設備利用率低下，造成運算資源和存儲資源的雙重浪費。同時，伴隨著服務器、存儲設備數量的快速增加，后期成本也增長迅速，并且，伴隨服務器數量劇增，機房耗電量大為提高，給機房供電、制冷、溫濕度等帶來一系列問題。

中小銀行自行或與外部公司合作開發建設管理類、生產類的科技系統，這些科技系統大多沒有建立完善的備份，而銀行的生產運營、管理決策已經與科技系統密切聯系在一起，這些系統的崩潰會直接影響銀行的營運。中小銀行在虛擬化實施以前，一般是每個應用系統占用一臺或多臺服務器和存儲設備，服務器、存儲設備購置花費逐年增加，運算資源、存儲設備等使用效率普遍低下，不間斷電源供電、機房溫、濕度等指標預警頻繁發生，運行維護工作量大大增加。為解決以上問題，確保業務連續性，中小銀行應當建設服務器虛擬化，建立應用系統及容災備份中心，同時為防止因其應用上線，所形成一個存儲運行造成的孤點問題，中小銀行應當利用虛擬化建設中替換下的存儲在本地建立相應數據備份，同時適時建立同城異地應用系統級備份中心。

中小銀行可以將現有設備建成一個機群，同時在線運行約一二百個左右虛擬機器，著重保護若干個（總數量一半以上）以內關鍵業務虛擬機。替換下的一臺存儲用來做相應站點的數據備份，謹防錯誤操作及邏輯錯誤指令。相關備份軟件應該采用在虛擬化軟件領域處于較強領導地位的備份軟件。在備份中心配置幾臺服務器和一臺存儲設備，做成一個機群，配置關鍵虛擬機，配置共享資源。

整個容災切換的流程應當保持易操作，最好一鍵式操作，脫離人工的自動切換流程。項目建設時，中小銀行重點將CPU、RAM、磁盤資源占用少的系統遷入虛擬機，其他系統暫不處理。實施后，存儲設備、服務器數量一般會大幅降低。軟件運行會更加安全，軟件上線部署會變得簡單、快捷、便利，極大減輕軟件運行維護壓力；與此同時，中心機房用電、空調運行效果會有較大程度的改觀，機房拓撲結構將會變得更加整齊，維護更加方便；可以清楚預測，實施虛擬化及應用級容災建成后中小銀行服務器、存儲設備采購的花費將極大下降。

三、統一數據軟件

中小銀行始終致力于服務當地中小企業、中小工商戶、農戶等相對規模較小的群體。由于中小銀行規模、運行維護水平差別巨大，其對數據的利用程度非常懸殊，存在各種運維問題。例如：軟件建設沒有規劃、前瞻，盲目投資建設、重復現象嚴重；軟件開發技術框架不規范，部分新引進項目開發技術已落后；缺乏核心技術，存在較大外包管理風險；忽視科技人才團隊建設，導致較高水平人員嚴重匱乏，持續健康發展受到挑戰，甚至軟件運行維護管理也漏洞百出，受制外包公司現象嚴重。

為進一步加大對轄內分支機構的數據支撐，中小銀行亟須建立新的業務數據統一管理軟件，增加重要的外包系統數據源統一管理，對數據中心數據結構進行改進調整。為充分利用數據，支持業務發展和管理需要，同時，考慮其他業務系統數據來源，建設數據集中管理軟件，整合不同業務部門業務管理子系統，為銀行業務部門、下級機構、部門間交流，部門經理、行領導領導決策，提供數據支持，在現階段顯得極為迫切。統一數據軟件系統建設采用“系統規劃、逐步實施”的方式，實行滾動聯體式開發、確保持續改進和完善。

建設統一數據軟件。根據中小銀行自身科技水平和銀行科技管理思路，可以選擇一到兩家公司進行項目的長期合作，與合作方共同開發建設統一數據軟件，這樣的好處是即開發了軟件，又為中小銀行培養了相關數據專業人才。在技術框架選擇上綜合衡量成本、技術先進性和適用性等因素，同時要充分兼顧系統的可擴展性，確保系統在未來五年內業務發展的需求。在系統的界面友好性及可維護性方面，要求系統界面設計交互性強，便于系統運行維護維護職員及各級一線操作員能夠學會各項業務操作，盡量減少系統運行維護人員工作。

自主或合作搭建統一開發軟件。中小銀行根據自身科技實力水平，可以選擇自主或與合作公司共同搭建統一開發軟件，如果中小銀行自身科技水平和實力較強，并且時間充裕，那么中小銀行可以考慮自主開發相應的軟件系統，反之，可以選擇和外包公司一起進行軟件開發，逐步積累技術、成果，為以后打好堅實基礎。在開發軟件搭建好以后，中小銀行可以逐步整合各類應用。根據之前系統開發缺乏規劃的局面，建立統一登錄軟件，實現系統單點登陸，解決系統繁多多次登陸的弊病。通過逐步的整合和開發，逐步構建各類應用系統，支撐全行的業務發展和管理需要。

四、移動設備接入和數據保密

隨著銀行業務的不斷發展，金融科技化日新月異，銀行對信息系統的依賴性越來越大，信息科技系統已成為日常辦公和業務操作的重要支撐，但同時眾多的重要信息存于內連網絡中，信息安全問題日益突出，各類病毒層出不窮。終端設備安全防范方式方法匱乏，并未引起相關管理人員的足夠重視，終端管理缺乏有效的監管，通過信息科技系統竊取大客戶信息存貸款信息、電話信息、商業機密、亂改重要數據、入侵應用系統等事件常有發生，中小銀行必須引起高度重視。

由于設備購置日期、品牌、配置、廠商各不相同，設備的系統軟件、安全防范措施及補丁安裝狀況差異巨大，甚至存在購買的設備沒有采取防范措施，病毒大肆蔓延，病毒感染嚴重；對外部設備的接入未實現接入控制或者控制不嚴，隨著筆記本電腦、智能手機、平板電腦等移動設備的普及，大量移動設備接入內聯系統網絡中，如忽視接入終端身邊檢測、管控等措施，同樣會造成較大的病毒蔓延，帶來較大的信息科技風險。

為解決目前信息科技系統管理存在的問題，可以從技術理念兩方面雙管齊下，確保上述問題扼殺在萌芽之中。技術方面通過接入控制管理來實施信息科技系統安全管理軟件，加大新設備、新的軟件的投建力度，確保新技術的廣泛應用，同時增強科技安全管理的技術手段，理念方面除制定相應的規程手冊和操作流程外，根據殺毒或其他信息安全軟件定期提供的報告結果，不斷地修訂安全策略，盡可能的降低隱患發生頻率。

一是接入控制管理。以往計算機設備接入內部網絡系統主要采用在交換機設備上配置網絡和物理地址綁定的方法進行管控，但維護工作量大，同時存在控制不嚴、不全問題。中小銀行實施接入實名審批管理，任何計算機終端接人內聯網絡必須通過審批，且有維護人員在接入控制系統中嚴格把關、實名登記后方可接人內部系統，否則將被阻斷。凡是接入設備需進行強制安全體檢后，確定已安裝相關安全軟件后方可接入內部網絡，據網絡地址分配使用規則和設備命名規范，生成網絡物理地址對，嚴防用戶私自修改地址信息，保證接入設備的真實性。

二是移動設備接入控制管理。針對不同的計算機終端設備制定不同外設接入策略，實現對光驅、軟驅、串/并口、USB端口、無線、藍牙、卷等設備的禁用或啟用配置。移動存儲介質具有惟一的識別編碼，軟件將移動介質的相關信息記錄在后臺數據庫，管理人員按條件可以進行模糊檢索和查看，實現編號管理和權限密碼管理。

中小銀行部署接入控制系統，同時制定內網計算機安全管理規章，通過采用制訂安全方略、逐級管理的方式對信息科技軟件實現全面的、綜合的、多位一體的管控，安全策略經過由松到嚴、循序漸進的應用，逐漸顯現出預期的效果。通過接入控制，可以變被動為主動，積極改變信息科技系統模式，增強管理員對問題的主動發現和遠程維護能力，提高工作效率和工作質量，并且可以解決終端非法外聯問題，實現基于用戶網絡地址和物理地址接入認證，在一定程度上增強網絡的安全性、可用性，實現標準化管理。通過接入控制系統應用實施和探索，信息安全管理在制度建設、技術控制、工作方式上做到三位一體，各方面都會極大提高，為建立信息安全工作的長效機制提供保障。

五、入侵檢測系統

網絡入侵檢測系統部署于網絡中的關鍵位置點，用來實時監控各種網絡數據報文及網絡動態行為，以便在遭遇或認為有可能遭遇網絡侵害時，及時的報警、響應。其動態的安全響應體系與防火墻、路由器等靜態的安全體系形成強大的協防體系，可以增強用戶的整個安全防護強度。網絡入侵檢測系統綜合使用各項檢測技術，例如，網絡入侵檢測系統通過誤用檢測、異常巡檢、智能協議分析、會話狀態分析、實時關聯檢測等多種入侵檢測技術，提高精確度，降低誤報率等。網絡入侵檢測系統實時跟蹤各種系統、軟件漏洞，并及時更新事件庫，及時、準確地檢測到各種已知攻擊。網絡入侵檢測系統建立完備的異常統計分析模型，用戶還可以根據實際網絡環境適當調整相關參數，更加準確地檢測到行為異常攻擊。并且，基于內置的強大協議解碼器，能夠檢測到各種違背網絡協議規范的協議異常攻擊。

中小銀行建立網絡入侵檢測系統，通過重組各類網絡數據包、監控并分析會話狀態，在有效地防止網絡入侵檢測系統規避攻擊的同時，不僅可以減少誤報和漏報，而且可以大大提高檢測性能。現在的網絡入侵檢測系統內置幾千種以上入侵規則，提供對拒絕服務攻擊、代碼攻擊、病毒、后門攻擊等各種攻擊的檢測能力，并且能夠基于網絡協議及可疑網絡活動處理器，增強拒絕服務攻擊、掃描等攻擊事件檢測能力。網絡入侵檢測系統采用最新的，較高配置的，專用的高速硬件平臺，提供高速網絡接口接入和全面改進的背板總線設計。對于存在系統漏洞但尚未發現相關蠕蟲事件的狀況，通過分析漏洞來提供相關的入侵事件規則，最大限度地解決蠕蟲發現滯后的問題。網絡入侵檢測系統具有高穩定、高安全、高效率、高擴展、模塊化、多平臺的特點，其內置大量入侵檢測規則，能檢測各種入侵攻擊企圖，并且可以與華為、思科路由器互動，組成強大的聯合防御體系。

網絡入侵檢測系統通過提供實時監控當前會話并根據情況及時進行切斷、保存會話內容的功能，以圖形方式實時監控引擎的處理器、內存等資源信息及網絡流量信息，并且監控并記錄會話的訪問信息，提供客戶端、服務器的相關訪問情況，并且可以展示成各自報表，更加形象，并且提供基于網絡流量統計報表，支持大型分布式網絡環境下的分級部署管理功能。該系統提供采集入侵相關信息、發出入侵警報以及限制網絡訪問等功能，以保護服務器免受內外部攻擊，有效地防止暴露入侵檢測系統的存在，控制臺引擎間的通訊采用加密認證，保護入侵檢測系統自身的安全性，極大地減輕管理員的負擔。

六、運維預警監控系統

隨著網絡設備、主機設備等各種設備增多，愈來愈多的客戶都在規劃或采納業務集中的方案。然而業務系統集中后，不僅增加運行維護的工作強度，而且會使集中的系統變得更加繁雜。有效的系統和應用監控體系成為監督業務資源的使用狀況，及時發現可能導致系統故障的隱患，實現系統運營保障的關鍵。另外，借助于統一監控解決方案，中小銀行能夠正確和及時掌握系統的運行狀態，發現影響整個系統運行的瓶頸，協助系統管理人員進行必要的系統改進和配置變更，甚至為系統的升級和擴容提供依據。維護人員快速地分析出應用故障原因，把他們從繁雜重復的工作中解放出來。因此，很多中小銀行的科技部門提出建立集中科技管理系統的需求，監控的內容包括網絡、服務器、數據庫、中間件和應用等等，其通過統一監控系統及時發現系統中的故障，減少故障處理時間。

監控系統包含網絡故障監控和系統性能故障監控。網絡監控是向網絡的管理軟件，可以高效的發現各類大型網絡的拓撲結構，持續地監視、報告網絡的運行狀況。通過網絡監控管理可以實現，直觀、準確的展現網絡的組成拓撲，協助管理人員全面了解整個網絡運行狀況；通過實時性能監控，能夠預防各種可能出現的故障，降低網絡運行和維護成本，達到快速排查故障，協助管理人員及時處理網絡中出現的問題，進而構建良好及透明的網絡環境，為銀行的網絡管理提供便利和快捷的通道。

從業務和技術角度對網絡重要鏈路進行監測和分析，對鏈路的連通性、負荷程度、魯棒性進行評估，持續監視、報告網絡鏈路的運行狀況，發現異常及時預警提示。性能故障管理是實時監控網絡設備的處理器、內存、流量、存儲等運行性能指標，持續跟蹤和分析設備負載的變化；提供網管信息工具箱，方便查詢端口列表、網絡信息表、轉發表等等；支持故障、性能、安全等各類告警事件的接收和分級；可對故障進行根源挖掘分析，在網絡拓撲的標紅突出顯示，并提供一鍵式的故障定位、排查機制。

中小銀行通過業務與應用監控管理可以實現對網絡設備、服務器、數據庫、中間件、虛擬化資源、通用服務等資源的監控，協助管理人員快速掌握以上資源的運行狀況；通過實時性能監控和圖形化展示平臺，提前預防故障出現，降低系統運行風險；快速定位排查故障，協助管理人員及時解決故障，降低故障影響范圍，建立業務視圖，從業務角度出發，監控、評估和展現業務運行狀況。

七、準入控制系統

隨著計算機網絡安全技術的快速發展和大面積深度和廣度的應用，其帶來的利弊被廣大企業技術人員和管理人士所熟稔，信息的安全性越來越受到企業單位的高度重視，特別在銀行、證券公司等金融行業，企業接入終端種類繁多，用戶安全意識懸殊，金融行業對終端接入安全認證的要求也愈發嚴格，通過終端準入管理功能可以方便的對終端安全接入進行控制。目前遇到的問題主要有：非法外聯的問題、內、外網隔離的問題、網絡邊界完整的問題、私改網址、網址無法可控、內外網無法實名制等問題，安全威脅多，管理難題大。準入控制系統包含準入控制、集中用戶管理、多種認證方式、網絡地址管理模塊、網絡邊界保護、網絡地址審計、強制安裝客戶端、軟件檢查、網絡連接管理等模塊。

（一）準入控制

基于DHCP無客戶端的準入認證，支持老舊交換機及集線器的控制，支持無線設備的準入認證、無線網絡準入認證及VPN的準入認證，對不符合要求的終端進行隔離。

（二）集中用戶管理

按組、按角色對用戶進行統一管理，并支持用戶的自注冊、自服務，按照管理員策略，可以定制用戶口令的安全等級、弱口令字曲、過期時間等，支持外聯AD、LDAP、SQL用戶數據庫。

（三）支持多種認證方式

支持賬號和密碼方式認證、動態口令牌認證、短信雙因素認證、動態口令卡認證、移動設備密碼卡認證、藍牙認證和無線認證。

（四）網絡地址管理

支持動態分配固定網絡地址，基于組、角色、用戶、終端分配網絡地址，實現網絡隔離區，先認證再分配正常網絡地址，并對網絡地址使用狀況通過圖形、表格形式進行統計。

（五）網絡邊界保護

實時監測在線終端的狀況，當發現篡改I網絡、物理地址的終端，對其進行告警、阻斷，圖形化展示網絡設備的端口詳細信息，對用戶、網絡地址、物理地址、物理位置進行定位，并對內網ARP病毒進行監測、定位。

（六）網絡地址審計

支持網絡地址使用人實時和歷史查詢及網絡地址的分配報告，提供詳盡的報表和標準日志的導入、存貯、查詢。

（七）強制安裝客戶端

用戶入網時強制用戶必須安裝客戶端，客戶端本身具有進程防殺、防卸載功能，并支持客戶端自動升級。

（八）軟件檢查

支持自定義軟件檢查，通過進程、服務、端口、文件版本信息進行設置，并可以檢查所安裝殺毒軟件的病毒庫版本，做到及時更新預警。

（九）網絡連接管理

支持對撥號、2G、3G、4G、無線網絡連接行為進行核查，通過禁止使用代理服務器、禁止私接ARP表項、禁止更改路由表項，防止違規外聯。

八、實用小工具

本節介紹中小銀行在實際工作中的一些常用小工具，包含啟用網絡時間同步、統一日志收集工具和在線PING工具，工具雖小，簡便實用。

（一）啟用設備時間同步

通過統一配置時間同步，統一配置網絡設備時間同步配置。目前，中小銀行的服務器和網絡設備等都有時間設置，但是大多數中小銀行的時間設置不同步，導致系統日志等各方面信息交換不能很好的對應起來，中小銀行啟用主機設備和網絡設備同步，對保持時間的一致性、統一性、規范性都有重要的意義，對分析日志，日志收集的可比性也可以做到保證。中小銀行應當將逐步在支行設備進行推廣配置，通過設置網絡設備時間同步，統一網絡設備、主機設備的日志記錄時間，避免每一臺設備時間重復配置，保證日志時間的準確性，進而可以準確分析故障日志時間，定位故障。

（二）統一日志收集工具

通過研究3CDaemon軟件特性，結合中小銀行實際狀況，配置應用成日志統一收集小工具，該工具統一收集網絡日志、系統日志到一個展示頁面，極大提高查看日志的效率，對比分析日志更加便捷，該軟件綠色免安裝，簡單易用。統一日志的好處在于日志大集中處理，極大減輕網絡管理人員和系統管理人員的工作復雜度，節約時間，提高工作效率，另外，日志大集中，可以方便的度日志運用大數據技術進行智能分析，以便更好的分析系統的運行情況，及時區分和識別日志奇異點，以便高效運行，降低故障頻率，從而降低信息科技風險，保證系統高效穩定的運行。

（三）統一在線PING

在線PING工具是中小銀行科技人員用來的實現批量PING網絡主機，及時檢測網絡狀態、線路連通性，并且配有TELNET功能，可以方便的TELNET進入該機器進行操作。該工具掃描依據掃描頻次分為自動掃描、手工掃描和定時掃描三種方式，其中，定時掃描可以自主設立掃描間隔，一次掃描歷時控制在較短時間以內，掃描結束后，能夠提示未通線路、包傳遞過長線路，并且可以集中查看，還可以查看歷時記錄。通過該工具，系統管理人員的工作可以變得更加便捷高效，從而及時發現和處置網絡故障情況，從而減少網絡故障網點，保證網絡的可用性。

九、小結

本文選取中小銀行利用信息技術加強風險管理的幾個常用實踐，主要包括建立網絡備份中心、啟用虛擬化技術建立應用系統級容災備份中心、建立統一數據平臺、移動設備接入控制和數據保密、網絡入侵檢測、設備準入控制、運維監控預警以及幾個常用小工具。通過實踐，較大程度上可以降低信息科技風險，從而保證中小銀行系統穩定的運行，進而更好的服務銀行業務的發展。