隨著銀行業(yè)的飛速發(fā)展，人們?cè)絹碓胶玫叵硎苤?cái)富生活，保障著財(cái)富安全。銀行業(yè)的發(fā)展和穩(wěn)定，更是保障社會(huì)穩(wěn)定和發(fā)展的先決條件。

　　隨著互聯(lián)網(wǎng)、無線通信、計(jì)算機(jī)等IT技術(shù)的日新月異，銀行業(yè)信息化發(fā)展的步伐也在日益加快。銀行業(yè)數(shù)據(jù)中心建設(shè)的大幕已經(jīng)拉開，我們正欣喜地迎接著“數(shù)據(jù)大集中”時(shí)代的機(jī)遇與挑戰(zhàn)。

　　在數(shù)據(jù)大集中的實(shí)施過程中，國內(nèi)各銀行不斷加大對(duì)數(shù)據(jù)中心IT基礎(chǔ)設(shè)施、業(yè)務(wù)平臺(tái)和應(yīng)用系統(tǒng)的投入，將原本各分支、各區(qū)域的數(shù)據(jù)源匯集整合為大型的數(shù)據(jù)中心。為提升自身核心競(jìng)爭力，各銀行紛紛積極開展業(yè)務(wù)辦理渠道及新型業(yè)務(wù)功能的研發(fā)，逐步將銀行柜面操作業(yè)務(wù)搬遷至電子化業(yè)務(wù)服務(wù)平臺(tái)，如自助銀行、電話銀行、手機(jī)銀行及網(wǎng)上銀行等。

　　可見，銀行業(yè)數(shù)據(jù)大集中以及信息技術(shù)的發(fā)展不僅為廣大用戶提供了自助化、便捷化的全新服務(wù)模式，同時(shí)也提高了銀行自身業(yè)務(wù)辦理的效率，緩解了人工作業(yè)壓力。然而，伴隨新鮮事物的誕生，勢(shì)必會(huì)出現(xiàn)新的問題：在區(qū)域多元化、用戶差異化、業(yè)務(wù)量持續(xù)擴(kuò)張的背景下,如何保障數(shù)據(jù)中心IT基礎(chǔ)設(shè)施運(yùn)營管理的穩(wěn)定可靠性，確保業(yè)務(wù)數(shù)據(jù)信息的安全性，已經(jīng)成為銀行界最為關(guān)注也最棘手的問題。

　　某國有商業(yè)銀行，始終堅(jiān)持以“科技創(chuàng)新業(yè)務(wù)，科技改善管理”為企業(yè)發(fā)展指導(dǎo)方針，大力倡導(dǎo)“兩地三中心”(即同城建立雙中心，異地建立備份中心)災(zāi)難恢復(fù)體系的建設(shè)。2011年底，該銀行的同城災(zāi)備數(shù)據(jù)中心順利落成。然而，在實(shí)際投運(yùn)過程中發(fā)現(xiàn)，保障業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行及數(shù)據(jù)信息安全可靠的管理手段仍有亟需改善的地方：第一，現(xiàn)有數(shù)據(jù)中心部署了大量復(fù)雜、異構(gòu)的應(yīng)用系統(tǒng)，原先獨(dú)立分散的運(yùn)維模式操作繁瑣，效率低下;第二，盡管企業(yè)已經(jīng)建立了先進(jìn)完善的管理機(jī)制用以規(guī)范和制約運(yùn)維人員的操作行為，但缺少相應(yīng)的技術(shù)保障手段，不能有效地杜絕因內(nèi)部操作引起的信息泄漏風(fēng)險(xiǎn)。

　　針對(duì)上述問題，德訊科技對(duì)該銀行數(shù)據(jù)中心進(jìn)行深入調(diào)研，同時(shí)結(jié)合銀行未來的戰(zhàn)略部署與發(fā)展規(guī)劃，為其提供了一套以ICS2000網(wǎng)絡(luò)運(yùn)維安全網(wǎng)關(guān)典型產(chǎn)品為基礎(chǔ)的數(shù)據(jù)中心網(wǎng)內(nèi)運(yùn)維審計(jì)解決方案。

　　本套網(wǎng)內(nèi)運(yùn)維審計(jì)解決方案體系架構(gòu)由數(shù)據(jù)展現(xiàn)層、數(shù)據(jù)處理層及設(shè)備控制層構(gòu)成，主要能夠?qū)崿F(xiàn)兩大功能體系：運(yùn)維人員對(duì)設(shè)備控制層集中運(yùn)維操作體系;審計(jì)人員對(duì)設(shè)備控制層操作安全審計(jì)管理體系。

　　圖1 網(wǎng)內(nèi)運(yùn)維審計(jì)解決方案體系架構(gòu)圖

　　數(shù)據(jù)展現(xiàn)層： 為運(yùn)維人員提供運(yùn)維與管理入口，通過B/S模式的運(yùn)維管理控制臺(tái)(WEB管理平臺(tái))，可實(shí)現(xiàn)運(yùn)維、認(rèn)證、策略部署、安全審計(jì)等管理操作;

　　數(shù)據(jù)處理層： 通過網(wǎng)絡(luò)運(yùn)維安全網(wǎng)關(guān)(ICS2000)及虛擬運(yùn)維網(wǎng)關(guān)(VOS)的組合部署，實(shí)現(xiàn)(Telnet/FTP/Rlogin/HTTP/HTTPS/SSH

　　/SFTP/RDP/ VNC/Xwindows等)多協(xié)議會(huì)話代理、(PL-SQL、MS查詢分析器、DB2 Quest、Radmin、PC Anywhere、ERP等)多種類應(yīng)用程序發(fā)布、運(yùn)維操作審計(jì)、報(bào)文處理等服務(wù);

　　設(shè)備控制層 ：由數(shù)據(jù)中心機(jī)房服務(wù)器、網(wǎng)絡(luò)安全、存儲(chǔ)、路由等IT基礎(chǔ)設(shè)備組成，基于WEB管理平臺(tái)進(jìn)行統(tǒng)一集中控管。

　　在最終的方案部署中，該銀行數(shù)據(jù)中心將ICS2000 +VOS聯(lián)合部署于數(shù)據(jù)中心IT運(yùn)營網(wǎng)絡(luò)中，無需調(diào)整和變動(dòng)該銀行數(shù)據(jù)中心原有的網(wǎng)絡(luò)體系架構(gòu)，即可實(shí)現(xiàn)對(duì)運(yùn)維管理員運(yùn)維操作的集中化管理及運(yùn)維全過程的安全審計(jì)，為該國有銀行數(shù)據(jù)中心建立了一套全面的IT基礎(chǔ)設(shè)施網(wǎng)內(nèi)運(yùn)維審計(jì)體系。

　　圖2 IT基礎(chǔ)設(shè)施網(wǎng)內(nèi)運(yùn)維審計(jì)體系圖

　　該網(wǎng)內(nèi)運(yùn)維審計(jì)體系主要通過以下四方面，保證該銀行數(shù)據(jù)中心IT業(yè)務(wù)系統(tǒng)的穩(wěn)定運(yùn)行以及數(shù)據(jù)信息的安全可靠：

　　第一，變分散運(yùn)維操作為集中運(yùn)維管理

　　該銀行數(shù)據(jù)中心原先通過分散客戶端實(shí)現(xiàn)對(duì)目標(biāo)設(shè)備運(yùn)維的模式，該模式存在很大的弊端：其一，必須在每臺(tái)運(yùn)維客戶端預(yù)裝所有C/S架構(gòu)的運(yùn)維工具;其二，運(yùn)維工具版本需要更新時(shí)，只能逐一對(duì)每臺(tái)運(yùn)維客戶端進(jìn)行升級(jí)操作。

　　針對(duì)現(xiàn)有數(shù)據(jù)中心運(yùn)維工具種類多、運(yùn)維人員不集中、區(qū)域分散、跨網(wǎng)絡(luò)等管理特點(diǎn)，本方案采用ICS2000與VOS聯(lián)合部署平臺(tái)，實(shí)現(xiàn)對(duì)眾多運(yùn)維工具、多類客戶端程序的統(tǒng)一安裝部署與集中管理。該銀行運(yùn)維人員僅需通過B/S模式的WEB管理平臺(tái)入口，建立與相應(yīng)運(yùn)維通道的連接，即可實(shí)現(xiàn)對(duì)數(shù)據(jù)中心所有目標(biāo)管理設(shè)備的集中化、一站式運(yùn)維服務(wù)。這種集中運(yùn)維管理模式極大減輕了運(yùn)維人員工作壓力，顯著提高了數(shù)據(jù)中心的運(yùn)維管理效率。

　　第二，運(yùn)維前主動(dòng)防控――身份認(rèn)證

　　針對(duì)該銀行數(shù)據(jù)中心內(nèi)部運(yùn)維操作行為，本方案提供了一套非常完善的身份管理與認(rèn)證機(jī)制，把握和控制該數(shù)據(jù)中心WEB管理平臺(tái)訪問入口，逐一驗(yàn)證所有登陸用戶身份的有效性和合法性，加強(qiáng)操作源頭的安全防范，真正實(shí)現(xiàn)操作訪問前的主動(dòng)防控管理，大大降低了該銀行重要業(yè)務(wù)信息數(shù)據(jù)的泄露風(fēng)險(xiǎn)。本方案支持用戶本地(WEB管理平臺(tái))與第三方(如Radius、RSA SecureID認(rèn)證、LDAP/AD 域)兩種認(rèn)證渠道，在保證安全防范操作的同時(shí)，提高了用戶操作的靈活性與便捷性，更體現(xiàn)出系統(tǒng)強(qiáng)大的兼容性與擴(kuò)展性。

　　第三，運(yùn)維中實(shí)時(shí)監(jiān)控――桌面監(jiān)控

　　本方案提供代理、旁路偵聽等多種會(huì)話訪問管理方式，能夠積極、主動(dòng)、直接地實(shí)現(xiàn)對(duì)該銀行數(shù)據(jù)中心運(yùn)維人員業(yè)務(wù)操作行為的安全管控。對(duì)于核心業(yè)務(wù)操作或關(guān)鍵目標(biāo)設(shè)備，運(yùn)維人員通過監(jiān)控窗口可以實(shí)現(xiàn)單臺(tái)或多臺(tái)設(shè)備桌面的實(shí)時(shí)在線監(jiān)看，并支持多路監(jiān)視畫面矩陣窗口輪巡切換播放，監(jiān)看過程中如發(fā)生異常或違規(guī)操作，運(yùn)維人員可立即切換至設(shè)備接管狀態(tài)，通過強(qiáng)制“中斷”結(jié)束非法會(huì)話。方案采用對(duì)訪問會(huì)話過程實(shí)時(shí)監(jiān)看、非法操作及時(shí)阻斷的操作策略，有效將該銀行數(shù)據(jù)中心網(wǎng)內(nèi)操作引起的安全風(fēng)險(xiǎn)扼殺于萌芽狀態(tài)，從根本上杜絕了危害的擴(kuò)張與蔓延。

　　第四，運(yùn)維后操作審計(jì)――安全審計(jì)

　　本方案支持對(duì)WEB管理平臺(tái)內(nèi)一切運(yùn)維行為(如協(xié)議類運(yùn)維、WEB訪問、客戶端訪問以及數(shù)據(jù)庫訪問等)的遠(yuǎn)程圖形化安全審計(jì)，會(huì)話過程中所有的操作步驟和操作細(xì)節(jié)均以錄像形式呈現(xiàn)給數(shù)據(jù)中心審計(jì)人員。同時(shí)支持關(guān)鍵字定位、數(shù)據(jù)庫關(guān)鍵語句與審計(jì)錄像關(guān)聯(lián)回放，實(shí)現(xiàn)運(yùn)維操作過程的快速定位、精確跟蹤以及真實(shí)重現(xiàn)，有助于審計(jì)人員對(duì)非法運(yùn)維操作節(jié)點(diǎn)的排查及故障責(zé)任的追溯，促進(jìn)該銀行數(shù)據(jù)中心實(shí)現(xiàn)運(yùn)維安全管理的精細(xì)化、規(guī)范化。

　　通過本方案的實(shí)際部署和應(yīng)用，該國有商業(yè)銀行實(shí)現(xiàn)了保障數(shù)據(jù)中心IT基礎(chǔ)設(shè)施運(yùn)營管理的穩(wěn)定可靠性和業(yè)務(wù)數(shù)據(jù)信息的安全性的管理目標(biāo)。德訊科技“以科技及創(chuàng)新改善IT管理方式”的發(fā)展理念，最終得到了良好的成效和驗(yàn)證!