◆黃海軍

基于銀行網(wǎng)絡(luò)可靠性及安全優(yōu)化

◆黃海軍

（云南工商學(xué)院 云南 651700）

隨著時(shí)代的進(jìn)步，銀行數(shù)字化轉(zhuǎn)型勢(shì)在必行，為加強(qiáng)金融科技在銀行中的深化落實(shí)，銀行網(wǎng)絡(luò)的安全可靠性也越來(lái)越重要，銀行數(shù)字化通過(guò)使用一些新技術(shù)，包括大數(shù)據(jù)、人工智能、云計(jì)算技術(shù)，為用戶(hù)提供更好的服務(wù)，通過(guò)提升銀行網(wǎng)絡(luò)的安全可靠性，為銀行使用新技術(shù)提供安全可靠的平臺(tái)。本文將闡述在銀行網(wǎng)絡(luò)安全可靠性方面采取的方法和策略。主要技術(shù)涵蓋網(wǎng)絡(luò)設(shè)備冗余、數(shù)據(jù)鏈鋸冗余、可靠性的協(xié)議、服務(wù)器安全優(yōu)化。

銀行網(wǎng)絡(luò)；冗余；安全優(yōu)化

網(wǎng)絡(luò)可靠性是一個(gè)企業(yè)或是單位運(yùn)轉(zhuǎn)正常的基本條件，影響網(wǎng)絡(luò)可靠性的因素很多，其中包括鏈路質(zhì)量、網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)處理能力、服務(wù)器性能、軟件運(yùn)行效率、網(wǎng)絡(luò)設(shè)備冗余規(guī)劃設(shè)計(jì)、網(wǎng)絡(luò)安全防護(hù)、數(shù)據(jù)中心異地“災(zāi)備”以及“運(yùn)維”人員水平等。

某銀行云南省分行目前已建成與總行、地級(jí)、縣級(jí)支行以及轄內(nèi)多家金融機(jī)構(gòu)連接的網(wǎng)絡(luò)，并先后在網(wǎng)絡(luò)上建成了OA系統(tǒng)，視頻會(huì)議系統(tǒng)、個(gè)人征信系統(tǒng)，支付清算業(yè)務(wù)系統(tǒng)及代理國(guó)庫(kù)系統(tǒng)等數(shù)百個(gè)系統(tǒng)。各系統(tǒng)均以網(wǎng)絡(luò)為支撐，采取B/S、C/S結(jié)構(gòu)運(yùn)行。大部分系統(tǒng)均要求網(wǎng)絡(luò)提供24小時(shí)不間斷服務(wù)，對(duì)網(wǎng)絡(luò)可靠性要求非常高。

銀行網(wǎng)絡(luò)目前已建成與總行、地級(jí)、縣級(jí)支行以及轄內(nèi)多家金融機(jī)構(gòu)連接的網(wǎng)絡(luò)，隨著信息化程度提高，對(duì)于網(wǎng)絡(luò)的可靠性的要求也越來(lái)越高，本次可靠性?xún)?yōu)化規(guī)劃設(shè)計(jì)目標(biāo)為提升網(wǎng)絡(luò)的可靠性并優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)。

1 網(wǎng)絡(luò)可靠性?xún)?yōu)化

為切實(shí)提高某銀行云南省分行網(wǎng)絡(luò)可靠性，在網(wǎng)絡(luò)技術(shù)方面，首選成熟的技術(shù)，采用穩(wěn)定的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，考慮到網(wǎng)絡(luò)協(xié)議的復(fù)雜性，對(duì)于多通信協(xié)議的支持，采用TCP/IP協(xié)議架構(gòu)，要求必須基于TCP/IP協(xié)議，持國(guó)際標(biāo)準(zhǔn)的路由協(xié)議，保證與其他IP網(wǎng)絡(luò)的可靠互聯(lián)，其中包括對(duì)IPv6協(xié)議的支持，銀行網(wǎng)絡(luò)自身的情況比較特殊，因涉及金融業(yè)務(wù)，相比較其他行業(yè)，對(duì)于這個(gè)網(wǎng)絡(luò)的可用性、穩(wěn)定性以及安全性都有較高的要求，所以必須采用穩(wěn)定性比較高的網(wǎng)絡(luò)設(shè)備，并且是國(guó)產(chǎn)設(shè)備，這也是符合國(guó)家網(wǎng)絡(luò)安全要求。以前銀行網(wǎng)絡(luò)有部分接入層和核心層設(shè)備用的是思科交換機(jī)路由器，在本次可靠性?xún)?yōu)化升級(jí)中交換機(jī)路由器全部更換為H3C國(guó)產(chǎn)設(shè)備，使用私有協(xié)議HGMP實(shí)現(xiàn)交換設(shè)備集中管理，簡(jiǎn)化網(wǎng)絡(luò)維護(hù)工作，動(dòng)態(tài)網(wǎng)絡(luò)鄰居自動(dòng)發(fā)現(xiàn)，網(wǎng)絡(luò)拓?fù)渥詣?dòng)收集，實(shí)現(xiàn)交換機(jī)集群設(shè)備快速響應(yīng)。針對(duì)分行和總行廣域線(xiàn)路端點(diǎn)之間的可能故障，兩端設(shè)備必須支持BFD（雙向路徑檢測(cè)）技術(shù)，并且支持網(wǎng)絡(luò)快速收斂，可以針對(duì)全程線(xiàn)路間的故障檢測(cè)，通過(guò)autodetect技術(shù)實(shí)現(xiàn)分行端口到總行IP地址的全路徑監(jiān)控，并可以配合靜態(tài)或策略路由實(shí)現(xiàn)快速故障旁路，從而支持“業(yè)務(wù)級(jí)”的不間斷運(yùn)行。根據(jù)業(yè)務(wù)重要程度不同，采取不同的可靠性策略。業(yè)務(wù)連續(xù)性要求不高的部分，采用設(shè)備、線(xiàn)路“冷備冗余”策略，發(fā)生故障時(shí)手動(dòng)切換至備用設(shè)備、線(xiàn)路。為應(yīng)對(duì)故障情況，需提前配置好設(shè)備參數(shù)，例如樓層交換機(jī)配置，制定應(yīng)急演練制度并定期開(kāi)展演練，總結(jié)演練經(jīng)驗(yàn)，并形成文檔方便以后查閱。針對(duì)業(yè)務(wù)連續(xù)性要求較高的部分，如清算業(yè)務(wù)、征信業(yè)務(wù)、身份證聯(lián)網(wǎng)核查業(yè)務(wù)，采用設(shè)備和線(xiàn)路“熱備冗余”策略，線(xiàn)路上至少保證兩路冗余，不允許存在單點(diǎn)故障，力保故障發(fā)生時(shí)“業(yè)務(wù)”不中斷。放棄MSTP與VRRP相結(jié)合解決環(huán)路與網(wǎng)關(guān)備份方案，使用H3C虛擬化（大二層）方案。兩臺(tái)核心交換機(jī)虛擬為一臺(tái)，各匯聚層分區(qū)2臺(tái)交換機(jī)虛擬為1臺(tái)，所有接入層交換機(jī)虛擬為對(duì)應(yīng)匯聚虛擬交換機(jī)的板卡。新拓?fù)錇?臺(tái)虛擬核心交換機(jī)與4臺(tái)虛擬匯聚交換機(jī)連接，無(wú)二層環(huán)路，提供網(wǎng)關(guān)冗余，更好地為虛擬機(jī)遷移提供保障。

2 SAN存儲(chǔ)優(yōu)化

針對(duì)存儲(chǔ)服務(wù)器后端FC-SAN，采用雙光纖交換機(jī)設(shè)備冗余組網(wǎng)，拓?fù)浣Y(jié)構(gòu)采用FC-SW，最多支持一千六百萬(wàn)個(gè)設(shè)備，有著強(qiáng)大的擴(kuò)展性，并且傳送速度最大可以達(dá)到8Gb。優(yōu)化服務(wù)器備份技術(shù)，SAN存儲(chǔ)技術(shù)首先支持硬盤(pán)熱插拔技術(shù)，可以在不斷電的情況下更換故障硬盤(pán)，并且支持多服務(wù)器到多存儲(chǔ)設(shè)備的連接方式，備份服務(wù)器上只需要安裝和主服務(wù)器上相同操作系統(tǒng)即可在主服務(wù)器出現(xiàn)故障時(shí)快速切換，連接存儲(chǔ)在SAN上面的數(shù)據(jù)庫(kù)、中間件和業(yè)務(wù)系統(tǒng)，充分利用了SAN技術(shù)中的硬盤(pán)分組技術(shù)，使主備服務(wù)器切換效率提升，并且可以減少機(jī)房中服務(wù)器的數(shù)量，降低機(jī)房耗電量，節(jié)能環(huán)保，機(jī)房空間要求也隨之降低，對(duì)于機(jī)房的運(yùn)維工作量也將減少。

3 數(shù)據(jù)中心可靠性?xún)?yōu)化

為進(jìn)一步增強(qiáng)省級(jí)網(wǎng)絡(luò)的可靠性，建設(shè)了同城轉(zhuǎn)接中心，采用兩地“三中心”模式。省級(jí)數(shù)據(jù)中心與同城轉(zhuǎn)接中心對(duì)應(yīng)的網(wǎng)絡(luò)設(shè)置之間部署具備冗余備份的光纖復(fù)用設(shè)備，使用兩對(duì)以上的“互備裸光纖”互聯(lián)，以提供冗余備份功能與數(shù)據(jù)快速交換服務(wù)。當(dāng)數(shù)據(jù)中心生產(chǎn)區(qū)無(wú)法提供網(wǎng)絡(luò)服務(wù)時(shí)，同城轉(zhuǎn)接中心將接管網(wǎng)絡(luò)服務(wù)，外部機(jī)構(gòu)將通過(guò)同城轉(zhuǎn)接中心的外聯(lián)防火墻訪問(wèn)DMZ區(qū)中業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)數(shù)據(jù)中心和轉(zhuǎn)接中心間的網(wǎng)絡(luò)級(jí)“雙活”。采用此方式可以最大限度保護(hù)數(shù)據(jù)和業(yè)務(wù)連續(xù)工作不中斷，還可以應(yīng)對(duì)重大區(qū)域性災(zāi)難，如地震等不可抗拒原因。

4 網(wǎng)絡(luò)安全訪問(wèn)及服務(wù)器安全優(yōu)化

安全性?xún)?yōu)化主要是對(duì)網(wǎng)絡(luò)硬件設(shè)備安全優(yōu)化，在網(wǎng)絡(luò)設(shè)備上架之前需要檢測(cè)有無(wú)漏洞，無(wú)效配置是否去除，系統(tǒng)版本是否為最新版本，遠(yuǎn)程訪問(wèn)方式是否為SSH（ Secure Shell，安全外殼協(xié)議）或HTTPS加密訪問(wèn)方式。采用信息安全預(yù)警系統(tǒng)對(duì)攻擊進(jìn)行預(yù)警，其中包括網(wǎng)絡(luò)邊界防控預(yù)警、通過(guò)把整個(gè)銀行網(wǎng)絡(luò)區(qū)域邏輯上劃分為外部區(qū)域、安全區(qū)域和銀行內(nèi)部系統(tǒng)區(qū)域三個(gè)部分。外部區(qū)域主要連接互聯(lián)網(wǎng)，部署了防火墻、WAF等多種網(wǎng)絡(luò)安全硬件設(shè)備，一旦發(fā)現(xiàn)來(lái)自“外網(wǎng)”的攻擊，預(yù)警系統(tǒng)將會(huì)立即做出響應(yīng)策略，應(yīng)用防控預(yù)警、日志分析預(yù)警、業(yè)務(wù)數(shù)據(jù)流異常行為預(yù)警以及攻擊反饋，通過(guò)以上5個(gè)預(yù)警反饋模塊增強(qiáng)銀行線(xiàn)上業(yè)務(wù)信息安全，針對(duì)銀行內(nèi)部系統(tǒng)區(qū)域服務(wù)器安全，使用漏洞掃描設(shè)備，對(duì)服務(wù)器開(kāi)放的端口進(jìn)行掃描，進(jìn)行風(fēng)險(xiǎn)評(píng)估，并使用集中管理平臺(tái)統(tǒng)一管理，對(duì)于每一個(gè)內(nèi)部區(qū)域都可以進(jìn)行安全掃描覆蓋，避免出現(xiàn)掃描盲區(qū)。對(duì)服務(wù)器進(jìn)行漏洞檢測(cè)時(shí)，避免使用影響服務(wù)器穩(wěn)定的掃描策略，例如使用弱口令字典，有可能會(huì)造成服務(wù)器賬號(hào)被鎖住無(wú)法正常登錄，影響服務(wù)器的管理維護(hù)工作，對(duì)于掃描后發(fā)現(xiàn)的操作系統(tǒng)漏洞，及時(shí)安裝漏洞補(bǔ)丁，在對(duì)服務(wù)器掃描時(shí)遇到開(kāi)源軟件漏洞，先停用此開(kāi)源軟件，避免漏洞被利用對(duì)服務(wù)器產(chǎn)生危害，到“開(kāi)源軟件官網(wǎng)”下載漏洞補(bǔ)丁，升級(jí)到“穩(wěn)定版”方可使用。如果遇到外購(gòu)軟件掃描出漏洞，先通知軟件開(kāi)發(fā)商，讓其對(duì)漏洞進(jìn)行修補(bǔ)，如涉及系統(tǒng)升級(jí)需求進(jìn)行兼容性檢測(cè)，為了避免升級(jí)后對(duì)服務(wù)器上的其他應(yīng)用業(yè)務(wù)產(chǎn)生影響，一定要先做好兼容性測(cè)試后再對(duì)系統(tǒng)進(jìn)行升級(jí)。服務(wù)器上以前使用后面未使用的服務(wù)如被檢測(cè)出來(lái)后也需要將其關(guān)閉，免除安全隱患，卸載服務(wù)器上所有未授權(quán)軟件。在后期將定期開(kāi)展網(wǎng)絡(luò)安全專(zhuān)項(xiàng)檢查，排除基本網(wǎng)絡(luò)設(shè)施安全風(fēng)險(xiǎn)，掃描網(wǎng)絡(luò)安全漏洞，定期給服務(wù)器安裝補(bǔ)丁，全面提升網(wǎng)絡(luò)防護(hù)水平，以及網(wǎng)絡(luò)安全保障能力。也可以加入一些日常內(nèi)部網(wǎng)絡(luò)“安全攻防”演練，找到系統(tǒng)存在的安全問(wèn)題。

5 總結(jié)

銀行網(wǎng)絡(luò)可靠性的提升方法，可以通過(guò)采用“雙機(jī)熱備”以及線(xiàn)路冗余技術(shù)，提升銀行網(wǎng)絡(luò)可靠性，也保證了網(wǎng)絡(luò)的快速響應(yīng)，實(shí)現(xiàn)了銀行業(yè)務(wù)流量穩(wěn)定可靠傳輸，多層網(wǎng)絡(luò)設(shè)計(jì)結(jié)構(gòu)，在網(wǎng)絡(luò)出現(xiàn)故障后可以隔離，避免網(wǎng)絡(luò)傳輸中斷，大二層新技術(shù)的使用，也解決了二層環(huán)路問(wèn)題，并實(shí)現(xiàn)網(wǎng)關(guān)冗余。網(wǎng)絡(luò)設(shè)備安全檢測(cè)，內(nèi)部網(wǎng)絡(luò)安全攻防演練以及信息安全預(yù)警系統(tǒng)的使用，可以提升銀行網(wǎng)絡(luò)安全性，第一時(shí)間對(duì)攻擊進(jìn)行預(yù)警，并做出防御，更好的保護(hù)銀行網(wǎng)絡(luò)以及信息系統(tǒng)安全，服務(wù)器安全也是一項(xiàng)長(zhǎng)期持久的工作，沒(méi)有一個(gè)操作系統(tǒng)是百分之一百安全，只有定期進(jìn)行漏洞檢測(cè)，安全升級(jí)，才能保證銀行系統(tǒng)網(wǎng)絡(luò)穩(wěn)定運(yùn)行。

[1]李臣星，俞俊杰.銀行網(wǎng)絡(luò)安全問(wèn)題與防范措施的探析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（2）：129-129.

[2]丁晨.大數(shù)據(jù)和人工智能技術(shù)在銀行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理中的實(shí)踐—日志安全審計(jì)分析業(yè)務(wù)[J].中國(guó)信息化，2019（5）：66-68.

[3]劉遠(yuǎn)歡.關(guān)于金融科技時(shí)代下銀行網(wǎng)絡(luò)安全運(yùn)營(yíng)的思考[J].中國(guó)信息安全，2019（8）：64-67.

[4]和發(fā)文.農(nóng)村商業(yè)銀行網(wǎng)絡(luò)安全管理研究[J].數(shù)字通信世界，2019（5）：160-160.

[5]王昕平，趙姝，張鳳林.人民銀行網(wǎng)絡(luò)安全框架構(gòu)建研究[J].華北金融，2020（9）：66-75.

[6]韓丹.銀行網(wǎng)絡(luò)架構(gòu)的高可用性規(guī)劃[J].科技信息，2012（35）：108-108.