C銀行新一代OA系統及網絡安全體系研究

孫樹剛，左琳琳，楊鵬飛，段毅然，趙藝子

(中軟信息系統工程有限公司，北京 102209)

0 引言

為積極落實信息系統替代升級戰略，更好地滿足用戶對辦公信息系統的新需求，C銀行基于以“國產飛騰CPU芯片+國產麒麟操作系統”為核心的新一代IT技術成果，搭建網絡隔離、安全可靠的商密網基礎環境，移植現有OA系統中成熟功能，開發具有收文、發文、簽報等為一體的新一代國產商密辦公自動化系統(OA2系統)，實現商密文件電子化全過程管理，為全行商密文件運轉和傳輸提供安全平臺和通道，實現全國產化，同時全面提升安全防護能力。OA2系統是一個安全可靠、體驗友好、兼容適配、靈活部署的辦公及業務應用支撐平臺，也是一個支持信息系統持續眾創發展的應用生態服務環境。同時，系統堅持“安全即服務”的原則，打造金融級、智慧型、主動型的網絡安全保障體系，為系統運行及應用服務提供靈活、便捷、彈性伸縮、按需分配的網絡安全服務[1-2]。本文對該平臺的架構、組成、部署應用、網絡安全機制等進行研究，期望能夠對相關領域產業和技術的發展起到拋磚引玉的作用。

1 系統的總體設計

1.1 系統的構建基礎：新一代IT技術

隨著國內云計算、人工智能、物聯網、移動通信、大數據等技術的快速發展及應用，新一代IT技術的內涵主要呈現以下幾個方面的特點：一是不斷完善的國產化生態；二是云端一體的系統架構；三是支持眾創集成的開發模式；四是立體智能的安全防護機制等[3]。

當前，隨著新一代IT技術的快速發展和用戶需求的不斷嬗變，過去若干年來基于傳統開發模式和系統架構建成的辦公信息系統，整體上都面臨升級換代的壓力。首先，隨著信息安全在國家總體安全體系中的地位日益凸顯，國家重點行業信息系統和關鍵信息基礎設施的國產化任務日趨緊迫；其次，新一代IT技術群的快速發展和應用，也使得用戶對許多新型辦公應用模式產生了期待。與此同時，面對信息系統生命周期的不斷輪回，用戶普遍厭倦了過幾年全部推倒重來的系統建設模式。面對新的挑戰和機遇，必須提出蘊含新技術、新模式的新型解決方案。為貫徹落實網絡強國戰略，促進央企高質量發展，更好地滿足用戶對現代辦公模式的新需求，C銀行先行先試，基于新一代IT技術成果，充分利用國產化軟硬件適配成果，成功建設了新一代辦公信息系統(OA2)，實現了信息化建設的換代升級和國產化，為創新智慧銀行服務和構建智慧安全體系提供了系統支持。該辦公信息系統基于“網-云-端”架構設計，能夠軟件硬件一體化直接交付使用，支持眾創發展和持續集成，在滿足用戶辦公需求的同時，也為信息系統的替代升級提供了一整套科學的解決方案。

1.2 系統的總體架構：辦公云平臺

從系統的總體架構看，C銀行新一代辦公信息系統是一個基于容器技術的輕量級云平臺，該辦公云平臺面向辦公業務應用需求，提供一套專業、簡單、靈活、穩定、安全、易用的安全可靠云解決方案。平臺主要有以下幾個方面的特點：一是屏蔽底層硬件復雜度，為用戶提供清晰、簡單的配置和監控服務，用戶只需要關心業務容量即可；二是屏蔽軟件復雜度，構建應用基座，為用戶提供完備的應用即插即用服務，用戶只需關注要用哪些應用即可；三是為應用互聯提供橋梁，為應用提供統一的鑒權、消息、數據服務等；四是構建開放式眾創眾籌的應用商店，平臺提供應用規范及接口標準，應用開發商只需關注業務應用；五是屏蔽客戶端軟硬件兼容的問題，為用戶提供統一的辦公桌面，用戶操作簡單平易；六是兼容原有應用系統，保證應用無縫平滑過渡。

1.3 系統的技術架構：網-云-端模式

系統的技術架構采用典型的“網-云-端”技術路線設計，總體技術架構如圖1所示。

圖1 系統總體技術架構圖

網為資源層：為系統提供安全可靠硬件網絡設施以及基礎運行環境，主要是新型的基礎設施，包括用戶網絡和數據中心中的國產的計算設備、存儲設備和網絡設備等，以及安裝在計算機中的基礎軟件。

云為服務層：主要提供各種云服務，包括云服務三種典型方式：基礎設施服務IaaS、平臺服務PaaS和軟件服務SaaS，提供眾創眾籌應用商店功能。

(1)基礎設施服務：通過虛擬化技術，形成計算資源池、存儲資源池、網絡資源池；利用云管理平臺實現計算、存儲、網絡等資源的運行管理與服務調度。

(2)平臺服務：包括辦公基礎服務、辦公生態服務等。辦公基礎服務包括辦公服務框架、辦公服務接口和辦公應用容器，為辦公應用的統一訪問、權限控制、應用集成接入提供支撐；辦公生態服務(應用商店)為應用的入庫、分發、部署、卸載、調度提供全面支撐。

(3)軟件服務：基于平臺，定制開發首頁、收文管理、發文管理、簽報管理、便函管理、待辦事宜、個人辦公、電子檔案管理、業務配置管理、系統管理等功能服務。

端為應用層：為用戶提供個性化的應用，一般是為用戶量身定做的各種辦公應用，包括系統業務用戶、業務管理人員、系統管理人員、系統運維人員等，可根據各級單位使用權限配置應用功能。

2 系統的安全防護機制設計

2.1 安全防護需求分析

基于自主化基礎軟硬件平臺，新一代OA系統綜合運用身份認證、安全攔截策略、文件商密標識及加密等技術，進行安全保密一體化設計，全面提升安全防護能力。參照《信息系統安全等級保護基本要求》(GB/T 22239-2008)、《信息系統安全等級保護測評要求》(GB/T 28448-2012)、《中央企業商業秘密保護暫行規定》《中央企業商業秘密信息系統安全技術指引》等要求，結合C銀行信息系統安全保密相關標準規范和管理規定，以商密文件全生命周期管理為目標，新一代OA系統需要對商密文件處理的每個環節進行安全保密防護。OA系統安全防護主要需求如表1所示。

表1 網絡安全防護需求

2.2 網絡安全部署架構設計

針對安全防護建設的需求，系統劃分不同的安全域，做出相應的安全防護設計，在不同的安全區域分別部署相應的安全設備，保證網絡、數據及各業務應用的安全；平臺需要基于國產化體系，構建支撐平臺系統運行的網絡和數據中心系統基礎設施，部署專用機服務器和國產自主安全可靠數據庫、中間件、存儲等基礎軟硬件。

邊界防護區域：在邊界防護區域部署了抗泛洪攻擊、惡意代碼檢查、鏈路負載、防病毒過濾、防火墻、VPN等設備，實現對外來訪問的防護和管理；通過部署NAT與ADS-M識別核心資產，設置DDoS防護策略，全天候檢查業務異常，及時響應和攔截DDoS攻擊等四個步驟完善DDoS的防護體系，提供強大的安全防護止損能力，在安全運維管理域部署日志審計與態勢感知系統，通過對各個安全產品日志收集、SNMP監控等技術，實現對產品鏈路、日志、狀態等的實時監控。

核心交換區：在核心交換機部署萬兆安全防火墻設備，來保證業務網之間的安全訪問管控、業務邏輯隔離。核心網絡之間信息的傳遞數據量很大，設備之間采用40 G互聯。部署IDS來監控網絡中的入侵攻擊行為，并發出報警，同時按照預定的響應規則對攻擊事件作出響應，核查系統漏洞及后門，協助管理員加強網絡安全的管理。通過部署網絡審計系統，與其他網絡安全設備進行聯動，將各自的監控記錄通過安全管理中心，集中對網絡異常、攻擊和病毒進行分析和檢測。

云業務應用區：為保證業務系統的安全運行，在業務應用區配置防火墻。同時，為保證虛擬邊界安全，部署云安全套件，實現虛擬邊界的訪問控制、入侵防范和惡意代碼控制，并保證策略隨主機遷移。

DMZ區(數據交換區)：為保證服務網站的安全，部署網頁防篡改系統與應用負載，對Web文件內容實時監控與恢復，為門戶網站提供實時自動安全監護。

數據存儲區：為保證數據信息的安全，需要配置數據庫審計設備，以便能夠實時記錄網絡上的數據庫活動，對數據庫操作進行細粒度審計的合規性管理，對數據庫遭受到的風險行為進行告警，對攻擊行為進行阻斷。(部署云安全套件，實現虛擬邊界的訪問控制、入侵防范和惡意代碼控制，并保證策略隨主機遷移。)

用戶終端區：為保證信息及用戶終端的安全，需要在用戶終端上部署防病毒軟件客戶端。

安全運維管理區：在運維管理區部署堡壘主機，進行統一的身份鑒別和操作行為審計,進行統一的身份管理，攔截非法訪問和惡意攻擊，對不合法命令進行阻斷，過濾掉所有對目標設備的非法訪問行為；在運維管理區配置漏洞掃描設備，通過漏洞掃描系統及時找出網絡中存在的隱患和漏洞，幫助用戶及時修補漏洞，保障網絡安全事件不對網絡造成影響。與原身份認證系統和現應用系統進行訪問控制聯動，實現對業務、應用訪問接入的控制。主機和終端安全是一個綜合的系統問題，涉及管理計算機本身、計算機應用、計算機操作者、計算機使用單位規范等多個方面因素，所以需要部署補丁管理系統。部署安全管理平臺統一對整個網絡安全進行監控、管理和維護。

各網絡區域之間用安全邊界防護設備及配置相應的訪問控制策略進行安全隔離。

2.3 安全防護體系總體架構

新一代OA系統采用自主安全支撐平臺與C銀行現有辦公化平臺進行深度融合，在滿足商密辦公和普通辦公一體化應用的同時，采用安全保密技術手段，保障辦公系統安全，并且實現商密公文和普通公文應用和數據的邏輯隔離，保護商密文件安全。面對傳統安全威脅和非傳統安全威脅，結合等級保護標準要求，系統從安全技術、安全管理、安全運維三個角度構建多維立體安全防護體系，切實保障網絡信息安全。系統安全防護體系總體架構如圖2所示。

圖2 系統安全防護體系總體架構圖

2.4 安全防護技術體系

在安全防護技術體系維度，將系統安全分解到物理、網絡、主機、應用和數據等各個層面進行安全措施的落實。系統安全防護技術體系如圖3所示。

圖3 系統安全防護技術體系

(1)物理安全設計

根據等級保護標準基本要求，系統基礎設施設計和建設主要考慮以下因素：環境(防火、防水、防雷擊等)、設備和介質等方面的安全。具體包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護。

(2)網絡安全設計

系統網絡層安全技術體系主要設計了以下安全防護機制：網絡結構安全、網絡訪問控制、網絡安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網絡設備防護等。系統通過在安全管理區部署堡壘機實現對網絡設備自身的防護。同時，系統支持單點登錄，支持運維過程審計，支持密碼自動定期修改等功能。

(3)主機和用戶訪問安全設計

主機和用戶訪問安全方面主要設計了身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范、資源控制幾大類安全控制機制。

(4)應用安全設計

應用安全方面主要設計了身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性和保密性、軟件容錯、抗抵賴幾大類安全控制機制。

(5)數據安全及備份恢復設計

信息系統處理的各種數據(用戶數據、系統數據、業務數據等)在維持系統正常運行上起著至關重要的作用。一旦數據遭到破壞(泄漏、修改、毀壞)，都會在不同程度上造成影響，從而危害到系統的正常運行。由于信息系統的各個層面(網絡、主機、應用等)都對各類數據進行傳輸、存儲和處理等,因此，數據保護需要物理環境、網絡、數據庫和操作系統、應用程序等提供支持。

數據備份也是防止數據被破壞后無法恢復的重要手段，而硬件備份等更是保證系統可用的重要內容，在高級別的信息系統中采用異地適時備份會有效地防治災難發生時可能造成的系統危害。

數據安全和備份恢復機制主要對數據完整性、數據保密性、備份和恢復等幾個關鍵控制點進行了設計。

2.5 商密數據生命周期管理

按照《中央企業商業秘密安全保護技術指引》要求，系統對商密文件全生命周期的每個階段進行安全防護措施的設計，以數據加密技術為核心，在數據的形成、流轉、存儲、使用等各階段，進行商密數據安全防護，保證非密數據自由使用，商密數據安全可控，并最大程度確保不影響用戶正常辦公。主要采取了以下幾個方面的措施：

(1)事前加密保護。數據庫服務器配置支持國密算法的密碼卡，實現數據庫透明加密保護；在總行和各級機構終端之間跨域互聯部分，采用SSL VPN對網絡數據進行加密保護；在總行商密辦公服務器上部署商密標識應用中間件，與商密辦公系統集成，對商密文件加電子標識保護，保證電子標志與電子文件唯一性綁定，不可分離、不可非授權篡改。安全保障區部署商密標識生成和管理系統。

(2)事中權限控制。在商密網核心區域部署終端準入控制系統，實現對終端接入商密辦公系統的準入控制；商密辦公應用系統采用基于角色的訪問控制技術，在身份認證基礎上，針對不同用戶角色授權不同應用功能；通過基于標識的文件安全管理和基于標識的文件安全控制，實現商密文件權限控制。

(3)全程審計，事后可查。采用網絡運維審計系統、數據庫審計系統和統一安全管理中心系統，結合應用審計和防火墻、入侵檢測等產生的安全事件，從網絡接入、辦公處理、數據訪問到輸入輸出進行全方位審計。

2.6 安全防護優勢

C銀行新一代OA系統基于國產化基礎軟硬件生態建設成果，對網絡安全體系進行創新設計，和傳統OA系統相比，其安全防護優勢主要體現在以下幾個方面：

(1)系統基于中國電子(CEC)研發的PKS安全體系構建網絡安全機制。PKS從內到外實現了八重安全防護機制，分別是：基于飛騰CPU芯片的可信計算防護、內存條安全區防護、整機防護、殺毒軟件防護、可信運行區防護、系統分析防護、安全運行框架防護、安全管控中心防護。C銀行新一代OA系統基于PKS的CPU內置可信技術、內存內置物理防護技術、終端統一安全中心、云端統一安全管控等成果實現了底層構架的本質安全。

(2)系統基于“安全即服務”的設計理念，實現安全技術體系從功能型到智慧型、靈活型、主動型轉變[4]。C銀行新一代OA系統構建了企業級安全架構體系，該體系采用面向服務架構、云計算、組件化、可視化開發等技術，將安全功能從應用中解耦，實現安全功能的組件化、標準化和參數化，形成以用戶認證、密碼服務、安全監控、安全策略管理等安全組件為核心，以近300個安全服務為代表的“安全功能庫”。所有安全功能由策略管理中心動態調配，可依據所面臨的風險智能匹配適用的安全策略，啟動相應的安全功能，從而靈活應對已知和未知威脅帶來的風險。因為是以服務的方式提供安全功能，辦公應用可專注功能開發，無需關注安全服務的具體實現方式。該安全體系有力支撐了C銀行新一代OA系統的安全運行，在保障網絡安全可控的同時，實現了非密數據的自由使用[5]，也改善了用戶體驗[6]。

(3)系統改變“木桶式”安全架構體系，將系統安全分解到物理、網絡、主機、應用和數據等各個層面進行落實，建立縱深“多層水閘式”的防護體系；同時，系統充分運用威脅情報、大數據分析、智能風控、生物特征識別等技術，建立主動防控體系，基于網絡安全態勢感知，系統可實時、動態調整安全防護策略，實現網絡安全的智慧防控。

3 結論

C銀行新一代OA系統(OA2系統)基于新一代IT技術成果，首次將國產化自主安全軟硬件產品規模化、體系化應用于銀行系統。通過OA2系統建設，自主進行了IT架構設計，自主建立了IT基礎環境，自主設計了系統安全防護架構，自主構建了銀行業務新藍圖，實現了預期的技術效益、產業生態效益和網絡安全效益。系統進一步優化和升級將緊跟國家戰略發展要求，并力爭成為同行業國產化平臺應用的示范性工程。下一步，C銀行將以新一代OA系統(OA2)建設為切入點，聚焦自主安全替代和網信安全優化，從以下幾個維度對系統持續完善和升級：

一是基于國產自有的信息技術產品，構建包括“分布式應用、分布式框架平臺和底層云基礎設施”在內的全棧國產化自主解決方案，形成金融行業通用的一體化解決方案，提升金融行業的技術自主力、服務力。

二是聯合相關科技創新型企業及金融機構，共同實現解決方案的驗證和落地，為解決方案在行業的應用與推廣做出示范。

三是建立聯合創新實驗室，加強基于國產芯片、操作系統、數據庫、中間件等基礎軟硬件的應用適配攻關，加速國產化技術方案的形成和應用落地。

四是基于金融業標準化體系框架，將長期積累的方法、工藝、規范等業界領先的標準化內容進行提煉，轉化為具有行業共性推廣價值的行業標準。

五是持續優化智慧安全體系，不斷提升安全服務和保障能力。探索建立基于大數據和人工智能技術的主動式安全態勢感知模型，主動發現和應對安全威脅，實現更加智能靈活的安全防護。