基于銀行網(wǎng)絡(luò)可靠性及安全優(yōu)化

2021-03-06 13:05:16黃海軍

網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 2021年3期

◆黃海軍

◆黃海軍

（云南工商學(xué)院云南 651700）

隨著時代的進步，銀行數(shù)字化轉(zhuǎn)型勢在必行，為加強金融科技在銀行中的深化落實，銀行網(wǎng)絡(luò)的安全可靠性也越來越重要，銀行數(shù)字化通過使用一些新技術(shù)，包括大數(shù)據(jù)、人工智能、云計算技術(shù)，為用戶提供更好的服務(wù)，通過提升銀行網(wǎng)絡(luò)的安全可靠性，為銀行使用新技術(shù)提供安全可靠的平臺。本文將闡述在銀行網(wǎng)絡(luò)安全可靠性方面采取的方法和策略。主要技術(shù)涵蓋網(wǎng)絡(luò)設(shè)備冗余、數(shù)據(jù)鏈鋸冗余、可靠性的協(xié)議、服務(wù)器安全優(yōu)化。

銀行網(wǎng)絡(luò)；冗余；安全優(yōu)化

網(wǎng)絡(luò)可靠性是一個企業(yè)或是單位運轉(zhuǎn)正常的基本條件，影響網(wǎng)絡(luò)可靠性的因素很多，其中包括鏈路質(zhì)量、網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)處理能力、服務(wù)器性能、軟件運行效率、網(wǎng)絡(luò)設(shè)備冗余規(guī)劃設(shè)計、網(wǎng)絡(luò)安全防護、數(shù)據(jù)中心異地“災(zāi)備”以及“運維”人員水平等。

某銀行云南省分行目前已建成與總行、地級、縣級支行以及轄內(nèi)多家金融機構(gòu)連接的網(wǎng)絡(luò)，并先后在網(wǎng)絡(luò)上建成了OA系統(tǒng)，視頻會議系統(tǒng)、個人征信系統(tǒng)，支付清算業(yè)務(wù)系統(tǒng)及代理國庫系統(tǒng)等數(shù)百個系統(tǒng)。各系統(tǒng)均以網(wǎng)絡(luò)為支撐，采取B/S、C/S結(jié)構(gòu)運行。大部分系統(tǒng)均要求網(wǎng)絡(luò)提供24小時不間斷服務(wù)，對網(wǎng)絡(luò)可靠性要求非常高。

銀行網(wǎng)絡(luò)目前已建成與總行、地級、縣級支行以及轄內(nèi)多家金融機構(gòu)連接的網(wǎng)絡(luò)，隨著信息化程度提高，對于網(wǎng)絡(luò)的可靠性的要求也越來越高，本次可靠性優(yōu)化規(guī)劃設(shè)計目標(biāo)為提升網(wǎng)絡(luò)的可靠性并優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)。

1 網(wǎng)絡(luò)可靠性優(yōu)化

為切實提高某銀行云南省分行網(wǎng)絡(luò)可靠性，在網(wǎng)絡(luò)技術(shù)方面，首選成熟的技術(shù)，采用穩(wěn)定的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，考慮到網(wǎng)絡(luò)協(xié)議的復(fù)雜性，對于多通信協(xié)議的支持，采用TCP/IP協(xié)議架構(gòu)，要求必須基于TCP/IP協(xié)議，持國際標(biāo)準(zhǔn)的路由協(xié)議，保證與其他IP網(wǎng)絡(luò)的可靠互聯(lián)，其中包括對IPv6協(xié)議的支持，銀行網(wǎng)絡(luò)自身的情況比較特殊，因涉及金融業(yè)務(wù)，相比較其他行業(yè)，對于這個網(wǎng)絡(luò)的可用性、穩(wěn)定性以及安全性都有較高的要求，所以必須采用穩(wěn)定性比較高的網(wǎng)絡(luò)設(shè)備，并且是國產(chǎn)設(shè)備，這也是符合國家網(wǎng)絡(luò)安全要求。以前銀行網(wǎng)絡(luò)有部分接入層和核心層設(shè)備用的是思科交換機路由器，在本次可靠性優(yōu)化升級中交換機路由器全部更換為H3C國產(chǎn)設(shè)備，使用私有協(xié)議HGMP實現(xiàn)交換設(shè)備集中管理，簡化網(wǎng)絡(luò)維護工作，動態(tài)網(wǎng)絡(luò)鄰居自動發(fā)現(xiàn)，網(wǎng)絡(luò)拓撲自動收集，實現(xiàn)交換機集群設(shè)備快速響應(yīng)。針對分行和總行廣域線路端點之間的可能故障，兩端設(shè)備必須支持BFD（雙向路徑檢測）技術(shù)，并且支持網(wǎng)絡(luò)快速收斂，可以針對全程線路間的故障檢測，通過autodetect技術(shù)實現(xiàn)分行端口到總行IP地址的全路徑監(jiān)控，并可以配合靜態(tài)或策略路由實現(xiàn)快速故障旁路，從而支持“業(yè)務(wù)級”的不間斷運行。根據(jù)業(yè)務(wù)重要程度不同，采取不同的可靠性策略。業(yè)務(wù)連續(xù)性要求不高的部分，采用設(shè)備、線路“冷備冗余”策略，發(fā)生故障時手動切換至備用設(shè)備、線路。為應(yīng)對故障情況，需提前配置好設(shè)備參數(shù)，例如樓層交換機配置，制定應(yīng)急演練制度并定期開展演練，總結(jié)演練經(jīng)驗，并形成文檔方便以后查閱。針對業(yè)務(wù)連續(xù)性要求較高的部分，如清算業(yè)務(wù)、征信業(yè)務(wù)、身份證聯(lián)網(wǎng)核查業(yè)務(wù)，采用設(shè)備和線路“熱備冗余”策略，線路上至少保證兩路冗余，不允許存在單點故障，力保故障發(fā)生時“業(yè)務(wù)”不中斷。放棄MSTP與VRRP相結(jié)合解決環(huán)路與網(wǎng)關(guān)備份方案，使用H3C虛擬化（大二層）方案。兩臺核心交換機虛擬為一臺，各匯聚層分區(qū)2臺交換機虛擬為1臺，所有接入層交換機虛擬為對應(yīng)匯聚虛擬交換機的板卡。新拓撲為1臺虛擬核心交換機與4臺虛擬匯聚交換機連接，無二層環(huán)路，提供網(wǎng)關(guān)冗余，更好地為虛擬機遷移提供保障。

2 SAN存儲優(yōu)化

針對存儲服務(wù)器后端FC-SAN，采用雙光纖交換機設(shè)備冗余組網(wǎng)，拓撲結(jié)構(gòu)采用FC-SW，最多支持一千六百萬個設(shè)備，有著強大的擴展性，并且傳送速度最大可以達到8Gb。優(yōu)化服務(wù)器備份技術(shù)，SAN存儲技術(shù)首先支持硬盤熱插拔技術(shù)，可以在不斷電的情況下更換故障硬盤，并且支持多服務(wù)器到多存儲設(shè)備的連接方式，備份服務(wù)器上只需要安裝和主服務(wù)器上相同操作系統(tǒng)即可在主服務(wù)器出現(xiàn)故障時快速切換，連接存儲在SAN上面的數(shù)據(jù)庫、中間件和業(yè)務(wù)系統(tǒng)，充分利用了SAN技術(shù)中的硬盤分組技術(shù)，使主備服務(wù)器切換效率提升，并且可以減少機房中服務(wù)器的數(shù)量，降低機房耗電量，節(jié)能環(huán)保，機房空間要求也隨之降低，對于機房的運維工作量也將減少。

3 數(shù)據(jù)中心可靠性優(yōu)化

為進一步增強省級網(wǎng)絡(luò)的可靠性，建設(shè)了同城轉(zhuǎn)接中心，采用兩地“三中心”模式。省級數(shù)據(jù)中心與同城轉(zhuǎn)接中心對應(yīng)的網(wǎng)絡(luò)設(shè)置之間部署具備冗余備份的光纖復(fù)用設(shè)備，使用兩對以上的“互備裸光纖”互聯(lián)，以提供冗余備份功能與數(shù)據(jù)快速交換服務(wù)。當(dāng)數(shù)據(jù)中心生產(chǎn)區(qū)無法提供網(wǎng)絡(luò)服務(wù)時，同城轉(zhuǎn)接中心將接管網(wǎng)絡(luò)服務(wù)，外部機構(gòu)將通過同城轉(zhuǎn)接中心的外聯(lián)防火墻訪問DMZ區(qū)中業(yè)務(wù)系統(tǒng)，實現(xiàn)數(shù)據(jù)中心和轉(zhuǎn)接中心間的網(wǎng)絡(luò)級“雙活”。采用此方式可以最大限度保護數(shù)據(jù)和業(yè)務(wù)連續(xù)工作不中斷，還可以應(yīng)對重大區(qū)域性災(zāi)難，如地震等不可抗拒原因。

4 網(wǎng)絡(luò)安全訪問及服務(wù)器安全優(yōu)化

安全性優(yōu)化主要是對網(wǎng)絡(luò)硬件設(shè)備安全優(yōu)化，在網(wǎng)絡(luò)設(shè)備上架之前需要檢測有無漏洞，無效配置是否去除，系統(tǒng)版本是否為最新版本，遠程訪問方式是否為SSH（ Secure Shell，安全外殼協(xié)議）或HTTPS加密訪問方式。采用信息安全預(yù)警系統(tǒng)對攻擊進行預(yù)警，其中包括網(wǎng)絡(luò)邊界防控預(yù)警、通過把整個銀行網(wǎng)絡(luò)區(qū)域邏輯上劃分為外部區(qū)域、安全區(qū)域和銀行內(nèi)部系統(tǒng)區(qū)域三個部分。外部區(qū)域主要連接互聯(lián)網(wǎng)，部署了防火墻、WAF等多種網(wǎng)絡(luò)安全硬件設(shè)備，一旦發(fā)現(xiàn)來自“外網(wǎng)”的攻擊，預(yù)警系統(tǒng)將會立即做出響應(yīng)策略，應(yīng)用防控預(yù)警、日志分析預(yù)警、業(yè)務(wù)數(shù)據(jù)流異常行為預(yù)警以及攻擊反饋，通過以上5個預(yù)警反饋模塊增強銀行線上業(yè)務(wù)信息安全，針對銀行內(nèi)部系統(tǒng)區(qū)域服務(wù)器安全，使用漏洞掃描設(shè)備，對服務(wù)器開放的端口進行掃描，進行風(fēng)險評估，并使用集中管理平臺統(tǒng)一管理，對于每一個內(nèi)部區(qū)域都可以進行安全掃描覆蓋，避免出現(xiàn)掃描盲區(qū)。對服務(wù)器進行漏洞檢測時，避免使用影響服務(wù)器穩(wěn)定的掃描策略，例如使用弱口令字典，有可能會造成服務(wù)器賬號被鎖住無法正常登錄，影響服務(wù)器的管理維護工作，對于掃描后發(fā)現(xiàn)的操作系統(tǒng)漏洞，及時安裝漏洞補丁，在對服務(wù)器掃描時遇到開源軟件漏洞，先停用此開源軟件，避免漏洞被利用對服務(wù)器產(chǎn)生危害，到“開源軟件官網(wǎng)”下載漏洞補丁，升級到“穩(wěn)定版”方可使用。如果遇到外購軟件掃描出漏洞，先通知軟件開發(fā)商，讓其對漏洞進行修補，如涉及系統(tǒng)升級需求進行兼容性檢測，為了避免升級后對服務(wù)器上的其他應(yīng)用業(yè)務(wù)產(chǎn)生影響，一定要先做好兼容性測試后再對系統(tǒng)進行升級。服務(wù)器上以前使用后面未使用的服務(wù)如被檢測出來后也需要將其關(guān)閉，免除安全隱患，卸載服務(wù)器上所有未授權(quán)軟件。在后期將定期開展網(wǎng)絡(luò)安全專項檢查，排除基本網(wǎng)絡(luò)設(shè)施安全風(fēng)險，掃描網(wǎng)絡(luò)安全漏洞，定期給服務(wù)器安裝補丁，全面提升網(wǎng)絡(luò)防護水平，以及網(wǎng)絡(luò)安全保障能力。也可以加入一些日常內(nèi)部網(wǎng)絡(luò)“安全攻防”演練，找到系統(tǒng)存在的安全問題。

5 總結(jié)

銀行網(wǎng)絡(luò)可靠性的提升方法，可以通過采用“雙機熱備”以及線路冗余技術(shù)，提升銀行網(wǎng)絡(luò)可靠性，也保證了網(wǎng)絡(luò)的快速響應(yīng)，實現(xiàn)了銀行業(yè)務(wù)流量穩(wěn)定可靠傳輸，多層網(wǎng)絡(luò)設(shè)計結(jié)構(gòu)，在網(wǎng)絡(luò)出現(xiàn)故障后可以隔離，避免網(wǎng)絡(luò)傳輸中斷，大二層新技術(shù)的使用，也解決了二層環(huán)路問題，并實現(xiàn)網(wǎng)關(guān)冗余。網(wǎng)絡(luò)設(shè)備安全檢測，內(nèi)部網(wǎng)絡(luò)安全攻防演練以及信息安全預(yù)警系統(tǒng)的使用，可以提升銀行網(wǎng)絡(luò)安全性，第一時間對攻擊進行預(yù)警，并做出防御，更好的保護銀行網(wǎng)絡(luò)以及信息系統(tǒng)安全，服務(wù)器安全也是一項長期持久的工作，沒有一個操作系統(tǒng)是百分之一百安全，只有定期進行漏洞檢測，安全升級，才能保證銀行系統(tǒng)網(wǎng)絡(luò)穩(wěn)定運行。

[1]李臣星，俞俊杰.銀行網(wǎng)絡(luò)安全問題與防范措施的探析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（2）：129-129.

[2]丁晨.大數(shù)據(jù)和人工智能技術(shù)在銀行網(wǎng)絡(luò)安全風(fēng)險管理中的實踐—日志安全審計分析業(yè)務(wù)[J].中國信息化，2019（5）：66-68.

[3]劉遠歡.關(guān)于金融科技時代下銀行網(wǎng)絡(luò)安全運營的思考[J].中國信息安全，2019（8）：64-67.

[4]和發(fā)文.農(nóng)村商業(yè)銀行網(wǎng)絡(luò)安全管理研究[J].數(shù)字通信世界，2019（5）：160-160.

[5]王昕平，趙姝，張鳳林.人民銀行網(wǎng)絡(luò)安全框架構(gòu)建研究[J].華北金融，2020（9）：66-75.

[6]韓丹.銀行網(wǎng)絡(luò)架構(gòu)的高可用性規(guī)劃[J].科技信息，2012（35）：108-108.