随着互联网、无线通信、计算机等IT技术的日新月异,银行业信息化发展的步伐也在日益加快。银行业数据中心建设的大幕已经拉开,我们正欣喜地迎接着“数据大集中”时代的机遇与挑战。
在数据大集中的实施过程中,国内各银行不断加大对数据中心IT基础设施、业务平台和应用系统的投入,将原本各分支、各区域的数据源汇集整合为大型的数据中心。为提升自身核心竞争力,各银行纷纷积极开展业务办理渠道及新型业务功能的研发,逐步将银行柜面操作业务搬迁至电子化业务服务平台,如自助银行、电话银行、手机银行及网上银行等。
可见,银行业数据大集中以及信息技术的发展不仅为广大用户提供了自助化、便捷化的全新服务模式,同时也提高了银行自身业务办理的效率,缓解了人工作业压力。然而,伴随新鲜事物的诞生,势必会出现新的问题:在区域多元化、用户差异化、业务量持续扩张的背景下,如何保障数据中心IT基础设施运营管理的稳定可靠性,确保业务数据信息的安全性,已经成为银行界最为关注也最棘手的问题。
某国有商业银行,始终坚持以“科技创新业务,科技改善管理”为企业发展指导方针,大力倡导“两地三中心”(即同城建立双中心,异地建立备份中心)灾难恢复体系的建设。2011年底,该银行的同城灾备数据中心顺利落成。然而,在实际投运过程中发现,保障业务系统稳定运行及数据信息安全可靠的管理手段仍有亟需改善的地方:第一,现有数据中心部署了大量复杂、异构的应用系统,原先独立分散的运维模式操作繁琐,效率低下;第二,尽管企业已经建立了先进完善的管理机制用以规范和制约运维人员的操作行为,但缺少相应的技术保障手段,不能有效地杜绝因内部操作引起的信息泄漏风险。
针对上述问题,德讯科技对该银行数据中心进行深入调研,同时结合银行未来的战略部署与发展规划,为其提供了一套以ICS2000网络运维安全网关典型产品为基础的数据中心网内运维审计解决方案。
本套网内运维审计解决方案体系架构由数据展现层、数据处理层及设备控制层构成,主要能够实现两大功能体系:运维人员对设备控制层集中运维操作体系;审计人员对设备控制层操作安全审计管理体系。
图1 网内运维审计解决方案体系架构图
数据展现层:为运维人员提供运维与管理入口,通过B/S模式的运维管理控制台(WEB管理平台),可实现运维、认证、策略部署、安全审计等管理操作;
数据处理层:通过网络运维安全网关(ICS2000)及虚拟运维网关(VOS)的组合部署,实现(Telnet/FTP/Rlogin/HTTP/HTTPS/SSH/SFTP/RDP/VNC/Xwindows等)多协议会话代理、(PL-SQL、MS查询分析器、DB2Quest、Radmin、PCAnywhere、ERP等)多种类应用程序发布、运维操作审计、报文处理等服务;
设备控制层:由数据中心机房服务器、网络安全、存储、路由等IT基础设备组成,基于WEB管理平台进行统一集中控管。
在最终的方案部署中,该银行数据中心将ICS2000+VOS联合部署于数据中心IT运营网络中,无需调整和变动该银行数据中心原有的网络体系架构,即可实现对运维管理员运维操作的集中化管理及运维全过程的安全审计,为该国有银行数据中心建立了一套全面的IT基础设施网内运维审计体系。
图2 IT基础设施网内运维审计体系图
该网内运维审计体系主要通过以下四方面,保证该银行数据中心IT业务系统的稳定运行以及数据信息的安全可靠:
第一,变分散运维操作为集中运维管理
该银行数据中心原先通过分散客户端实现对目标设备运维的模式,该模式存在很大的弊端:其一,必须在每台运维客户端预装所有C/S架构的运维工具;其二,运维工具版本需要更新时,只能逐一对每台运维客户端进行升级操作。
针对现有数据中心运维工具种类多、运维人员不集中、区域分散、跨网络等管理特点,本方案采用ICS2000与VOS联合部署平台,实现对众多运维工具、多类客户端程序的统一安装部署与集中管理。该银行运维人员仅需通过B/S模式的WEB管理平台入口,建立与相应运维通道的连接,即可实现对数据中心所有目标管理设备的集中化、一站式运维服务。这种集中运维管理模式极大减轻了运维人员工作压力,显著提高了数据中心的运维管理效率。
第二,运维前主动防控――身份认证
针对该银行数据中心内部运维操作行为,本方案提供了一套非常完善的身份管理与认证机制,把握和控制该数据中心WEB管理平台访问入口,逐一验证所有登陆用户身份的有效性和合法性,加强操作源头的安全防范,真正实现操作访问前的主动防控管理,大大降低了该银行重要业务信息数据的泄露风险。本方案支持用户本地(WEB管理平台)与第三方(如Radius、RSASecureID认证、LDAP/AD域)两种认证渠道,在保证安全防范操作的同时,提高了用户操作的灵活性与便捷性,更体现出系统强大的兼容性与扩展性。
第三,运维中实时监控――桌面监控
本方案提供代理、旁路侦听等多种会话访问管理方式,能够积极、主动、直接地实现对该银行数据中心运维人员业务操作行为的安全管控。对于核心业务操作或关键目标设备,运维人员通过监控窗口可以实现单台或多台设备桌面的实时在线监看,并支持多路监视画面矩阵窗口轮巡切换播放,监看过程中如发生异常或违规操作,运维人员可立即切换至设备接管状态,通过强制“中断”结束非法会话。方案采用对访问会话过程实时监看、非法操作及时阻断的操作策略,有效将该银行数据中心网内操作引起的安全风险扼杀于萌芽状态,从根本上杜绝了危害的扩张与蔓延。
第四,运维后操作审计――安全审计
本方案支持对WEB管理平台内一切运维行为(如协议类运维、WEB访问、客户端访问以及数据库访问等)的远程图形化安全审计,会话过程中所有的操作步骤和操作细节均以录像形式呈现给数据中心审计人员。同时支持关键字定位、数据库关键语句与审计录像关联回放,实现运维操作过程的快速定位、精确跟踪以及真实重现,有助于审计人员对非法运维操作节点的排查及故障责任的追溯,促进该银行数据中心实现运维安全管理的精细化、规范化。
通过本方案的实际部署和应用,该国有商业银行实现了保障数据中心IT基础设施运营管理的稳定可靠性和业务数据信息的安全性的管理目标。德讯科技“以科技及创新改善IT管理方式”的发展理念,最终得到了良好的成效和验证。