孫樹剛，左琳琳，楊鵬飛，段毅然，趙藝子

(中軟信息系統(tǒng)工程有限公司，北京 102209)

0 引言

為積極落實信息系統(tǒng)替代升級戰(zhàn)略，更好地滿足用戶對辦公信息系統(tǒng)的新需求，C銀行基于以“國產(chǎn)飛騰CPU芯片+國產(chǎn)麒麟操作系統(tǒng)”為核心的新一代IT技術(shù)成果，搭建網(wǎng)絡(luò)隔離、安全可靠的商密網(wǎng)基礎(chǔ)環(huán)境，移植現(xiàn)有OA系統(tǒng)中成熟功能，開發(fā)具有收文、發(fā)文、簽報等為一體的新一代國產(chǎn)商密辦公自動化系統(tǒng)(OA2系統(tǒng))，實現(xiàn)商密文件電子化全過程管理，為全行商密文件運轉(zhuǎn)和傳輸提供安全平臺和通道，實現(xiàn)全國產(chǎn)化，同時全面提升安全防護能力。OA2系統(tǒng)是一個安全可靠、體驗友好、兼容適配、靈活部署的辦公及業(yè)務(wù)應(yīng)用支撐平臺，也是一個支持信息系統(tǒng)持續(xù)眾創(chuàng)發(fā)展的應(yīng)用生態(tài)服務(wù)環(huán)境。同時，系統(tǒng)堅持“安全即服務(wù)”的原則，打造金融級、智慧型、主動型的網(wǎng)絡(luò)安全保障體系，為系統(tǒng)運行及應(yīng)用服務(wù)提供靈活、便捷、彈性伸縮、按需分配的網(wǎng)絡(luò)安全服務(wù)[1-2]。本文對該平臺的架構(gòu)、組成、部署應(yīng)用、網(wǎng)絡(luò)安全機制等進行研究，期望能夠?qū)ο嚓P(guān)領(lǐng)域產(chǎn)業(yè)和技術(shù)的發(fā)展起到拋磚引玉的作用。

1 系統(tǒng)的總體設(shè)計

1.1 系統(tǒng)的構(gòu)建基礎(chǔ)：新一代IT技術(shù)

隨著國內(nèi)云計算、人工智能、物聯(lián)網(wǎng)、移動通信、大數(shù)據(jù)等技術(shù)的快速發(fā)展及應(yīng)用，新一代IT技術(shù)的內(nèi)涵主要呈現(xiàn)以下幾個方面的特點：一是不斷完善的國產(chǎn)化生態(tài)；二是云端一體的系統(tǒng)架構(gòu)；三是支持眾創(chuàng)集成的開發(fā)模式；四是立體智能的安全防護機制等[3]。

當前，隨著新一代IT技術(shù)的快速發(fā)展和用戶需求的不斷嬗變，過去若干年來基于傳統(tǒng)開發(fā)模式和系統(tǒng)架構(gòu)建成的辦公信息系統(tǒng)，整體上都面臨升級換代的壓力。首先，隨著信息安全在國家總體安全體系中的地位日益凸顯，國家重點行業(yè)信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的國產(chǎn)化任務(wù)日趨緊迫；其次，新一代IT技術(shù)群的快速發(fā)展和應(yīng)用，也使得用戶對許多新型辦公應(yīng)用模式產(chǎn)生了期待。與此同時，面對信息系統(tǒng)生命周期的不斷輪回，用戶普遍厭倦了過幾年全部推倒重來的系統(tǒng)建設(shè)模式。面對新的挑戰(zhàn)和機遇，必須提出蘊含新技術(shù)、新模式的新型解決方案。為貫徹落實網(wǎng)絡(luò)強國戰(zhàn)略，促進央企高質(zhì)量發(fā)展，更好地滿足用戶對現(xiàn)代辦公模式的新需求，C銀行先行先試，基于新一代IT技術(shù)成果，充分利用國產(chǎn)化軟硬件適配成果，成功建設(shè)了新一代辦公信息系統(tǒng)(OA2)，實現(xiàn)了信息化建設(shè)的換代升級和國產(chǎn)化，為創(chuàng)新智慧銀行服務(wù)和構(gòu)建智慧安全體系提供了系統(tǒng)支持。該辦公信息系統(tǒng)基于“網(wǎng)-云-端”架構(gòu)設(shè)計，能夠軟件硬件一體化直接交付使用，支持眾創(chuàng)發(fā)展和持續(xù)集成，在滿足用戶辦公需求的同時，也為信息系統(tǒng)的替代升級提供了一整套科學的解決方案。

1.2 系統(tǒng)的總體架構(gòu)：辦公云平臺

從系統(tǒng)的總體架構(gòu)看，C銀行新一代辦公信息系統(tǒng)是一個基于容器技術(shù)的輕量級云平臺，該辦公云平臺面向辦公業(yè)務(wù)應(yīng)用需求，提供一套專業(yè)、簡單、靈活、穩(wěn)定、安全、易用的安全可靠云解決方案。平臺主要有以下幾個方面的特點：一是屏蔽底層硬件復雜度，為用戶提供清晰、簡單的配置和監(jiān)控服務(wù)，用戶只需要關(guān)心業(yè)務(wù)容量即可；二是屏蔽軟件復雜度，構(gòu)建應(yīng)用基座，為用戶提供完備的應(yīng)用即插即用服務(wù)，用戶只需關(guān)注要用哪些應(yīng)用即可；三是為應(yīng)用互聯(lián)提供橋梁，為應(yīng)用提供統(tǒng)一的鑒權(quán)、消息、數(shù)據(jù)服務(wù)等；四是構(gòu)建開放式眾創(chuàng)眾籌的應(yīng)用商店，平臺提供應(yīng)用規(guī)范及接口標準，應(yīng)用開發(fā)商只需關(guān)注業(yè)務(wù)應(yīng)用；五是屏蔽客戶端軟硬件兼容的問題，為用戶提供統(tǒng)一的辦公桌面，用戶操作簡單平易；六是兼容原有應(yīng)用系統(tǒng)，保證應(yīng)用無縫平滑過渡。

1.3 系統(tǒng)的技術(shù)架構(gòu)：網(wǎng)-云-端模式

系統(tǒng)的技術(shù)架構(gòu)采用典型的“網(wǎng)-云-端”技術(shù)路線設(shè)計，總體技術(shù)架構(gòu)如圖1所示。

圖1 系統(tǒng)總體技術(shù)架構(gòu)圖

網(wǎng)為資源層：為系統(tǒng)提供安全可靠硬件網(wǎng)絡(luò)設(shè)施以及基礎(chǔ)運行環(huán)境，主要是新型的基礎(chǔ)設(shè)施，包括用戶網(wǎng)絡(luò)和數(shù)據(jù)中心中的國產(chǎn)的計算設(shè)備、存儲設(shè)備和網(wǎng)絡(luò)設(shè)備等，以及安裝在計算機中的基礎(chǔ)軟件。

云為服務(wù)層：主要提供各種云服務(wù)，包括云服務(wù)三種典型方式：基礎(chǔ)設(shè)施服務(wù)IaaS、平臺服務(wù)PaaS和軟件服務(wù)SaaS，提供眾創(chuàng)眾籌應(yīng)用商店功能。

(1)基礎(chǔ)設(shè)施服務(wù)：通過虛擬化技術(shù)，形成計算資源池、存儲資源池、網(wǎng)絡(luò)資源池；利用云管理平臺實現(xiàn)計算、存儲、網(wǎng)絡(luò)等資源的運行管理與服務(wù)調(diào)度。

(2)平臺服務(wù)：包括辦公基礎(chǔ)服務(wù)、辦公生態(tài)服務(wù)等。辦公基礎(chǔ)服務(wù)包括辦公服務(wù)框架、辦公服務(wù)接口和辦公應(yīng)用容器，為辦公應(yīng)用的統(tǒng)一訪問、權(quán)限控制、應(yīng)用集成接入提供支撐；辦公生態(tài)服務(wù)(應(yīng)用商店)為應(yīng)用的入庫、分發(fā)、部署、卸載、調(diào)度提供全面支撐。

(3)軟件服務(wù)：基于平臺，定制開發(fā)首頁、收文管理、發(fā)文管理、簽報管理、便函管理、待辦事宜、個人辦公、電子檔案管理、業(yè)務(wù)配置管理、系統(tǒng)管理等功能服務(wù)。

端為應(yīng)用層：為用戶提供個性化的應(yīng)用，一般是為用戶量身定做的各種辦公應(yīng)用，包括系統(tǒng)業(yè)務(wù)用戶、業(yè)務(wù)管理人員、系統(tǒng)管理人員、系統(tǒng)運維人員等，可根據(jù)各級單位使用權(quán)限配置應(yīng)用功能。

2 系統(tǒng)的安全防護機制設(shè)計

2.1 安全防護需求分析

基于自主化基礎(chǔ)軟硬件平臺，新一代OA系統(tǒng)綜合運用身份認證、安全攔截策略、文件商密標識及加密等技術(shù)，進行安全保密一體化設(shè)計，全面提升安全防護能力。參照《信息系統(tǒng)安全等級保護基本要求》(GB/T 22239-2008)、《信息系統(tǒng)安全等級保護測評要求》(GB/T 28448-2012)、《中央企業(yè)商業(yè)秘密保護暫行規(guī)定》《中央企業(yè)商業(yè)秘密信息系統(tǒng)安全技術(shù)指引》等要求，結(jié)合C銀行信息系統(tǒng)安全保密相關(guān)標準規(guī)范和管理規(guī)定，以商密文件全生命周期管理為目標，新一代OA系統(tǒng)需要對商密文件處理的每個環(huán)節(jié)進行安全保密防護。OA系統(tǒng)安全防護主要需求如表1所示。

表1 網(wǎng)絡(luò)安全防護需求

2.2 網(wǎng)絡(luò)安全部署架構(gòu)設(shè)計

針對安全防護建設(shè)的需求，系統(tǒng)劃分不同的安全域，做出相應(yīng)的安全防護設(shè)計，在不同的安全區(qū)域分別部署相應(yīng)的安全設(shè)備，保證網(wǎng)絡(luò)、數(shù)據(jù)及各業(yè)務(wù)應(yīng)用的安全；平臺需要基于國產(chǎn)化體系，構(gòu)建支撐平臺系統(tǒng)運行的網(wǎng)絡(luò)和數(shù)據(jù)中心系統(tǒng)基礎(chǔ)設(shè)施，部署專用機服務(wù)器和國產(chǎn)自主安全可靠數(shù)據(jù)庫、中間件、存儲等基礎(chǔ)軟硬件。

邊界防護區(qū)域：在邊界防護區(qū)域部署了抗泛洪攻擊、惡意代碼檢查、鏈路負載、防病毒過濾、防火墻、VPN等設(shè)備，實現(xiàn)對外來訪問的防護和管理；通過部署NAT與ADS-M識別核心資產(chǎn)，設(shè)置DDoS防護策略，全天候檢查業(yè)務(wù)異常，及時響應(yīng)和攔截DDoS攻擊等四個步驟完善DDoS的防護體系，提供強大的安全防護止損能力，在安全運維管理域部署日志審計與態(tài)勢感知系統(tǒng)，通過對各個安全產(chǎn)品日志收集、SNMP監(jiān)控等技術(shù)，實現(xiàn)對產(chǎn)品鏈路、日志、狀態(tài)等的實時監(jiān)控。

核心交換區(qū)：在核心交換機部署萬兆安全防火墻設(shè)備，來保證業(yè)務(wù)網(wǎng)之間的安全訪問管控、業(yè)務(wù)邏輯隔離。核心網(wǎng)絡(luò)之間信息的傳遞數(shù)據(jù)量很大，設(shè)備之間采用40 G互聯(lián)。部署IDS來監(jiān)控網(wǎng)絡(luò)中的入侵攻擊行為，并發(fā)出報警，同時按照預定的響應(yīng)規(guī)則對攻擊事件作出響應(yīng)，核查系統(tǒng)漏洞及后門，協(xié)助管理員加強網(wǎng)絡(luò)安全的管理。通過部署網(wǎng)絡(luò)審計系統(tǒng)，與其他網(wǎng)絡(luò)安全設(shè)備進行聯(lián)動，將各自的監(jiān)控記錄通過安全管理中心，集中對網(wǎng)絡(luò)異常、攻擊和病毒進行分析和檢測。

云業(yè)務(wù)應(yīng)用區(qū)：為保證業(yè)務(wù)系統(tǒng)的安全運行，在業(yè)務(wù)應(yīng)用區(qū)配置防火墻。同時，為保證虛擬邊界安全，部署云安全套件，實現(xiàn)虛擬邊界的訪問控制、入侵防范和惡意代碼控制，并保證策略隨主機遷移。

DMZ區(qū)(數(shù)據(jù)交換區(qū))：為保證服務(wù)網(wǎng)站的安全，部署網(wǎng)頁防篡改系統(tǒng)與應(yīng)用負載，對Web文件內(nèi)容實時監(jiān)控與恢復，為門戶網(wǎng)站提供實時自動安全監(jiān)護。

數(shù)據(jù)存儲區(qū)：為保證數(shù)據(jù)信息的安全，需要配置數(shù)據(jù)庫審計設(shè)備，以便能夠?qū)崟r記錄網(wǎng)絡(luò)上的數(shù)據(jù)庫活動，對數(shù)據(jù)庫操作進行細粒度審計的合規(guī)性管理，對數(shù)據(jù)庫遭受到的風險行為進行告警，對攻擊行為進行阻斷。(部署云安全套件，實現(xiàn)虛擬邊界的訪問控制、入侵防范和惡意代碼控制，并保證策略隨主機遷移。)

用戶終端區(qū)：為保證信息及用戶終端的安全，需要在用戶終端上部署防病毒軟件客戶端。

安全運維管理區(qū)：在運維管理區(qū)部署堡壘主機，進行統(tǒng)一的身份鑒別和操作行為審計,進行統(tǒng)一的身份管理，攔截非法訪問和惡意攻擊，對不合法命令進行阻斷，過濾掉所有對目標設(shè)備的非法訪問行為；在運維管理區(qū)配置漏洞掃描設(shè)備，通過漏洞掃描系統(tǒng)及時找出網(wǎng)絡(luò)中存在的隱患和漏洞，幫助用戶及時修補漏洞，保障網(wǎng)絡(luò)安全事件不對網(wǎng)絡(luò)造成影響。與原身份認證系統(tǒng)和現(xiàn)應(yīng)用系統(tǒng)進行訪問控制聯(lián)動，實現(xiàn)對業(yè)務(wù)、應(yīng)用訪問接入的控制。主機和終端安全是一個綜合的系統(tǒng)問題，涉及管理計算機本身、計算機應(yīng)用、計算機操作者、計算機使用單位規(guī)范等多個方面因素，所以需要部署補丁管理系統(tǒng)。部署安全管理平臺統(tǒng)一對整個網(wǎng)絡(luò)安全進行監(jiān)控、管理和維護。

各網(wǎng)絡(luò)區(qū)域之間用安全邊界防護設(shè)備及配置相應(yīng)的訪問控制策略進行安全隔離。

2.3 安全防護體系總體架構(gòu)

新一代OA系統(tǒng)采用自主安全支撐平臺與C銀行現(xiàn)有辦公化平臺進行深度融合，在滿足商密辦公和普通辦公一體化應(yīng)用的同時，采用安全保密技術(shù)手段，保障辦公系統(tǒng)安全，并且實現(xiàn)商密公文和普通公文應(yīng)用和數(shù)據(jù)的邏輯隔離，保護商密文件安全。面對傳統(tǒng)安全威脅和非傳統(tǒng)安全威脅，結(jié)合等級保護標準要求，系統(tǒng)從安全技術(shù)、安全管理、安全運維三個角度構(gòu)建多維立體安全防護體系，切實保障網(wǎng)絡(luò)信息安全。系統(tǒng)安全防護體系總體架構(gòu)如圖2所示。

圖2 系統(tǒng)安全防護體系總體架構(gòu)圖

2.4 安全防護技術(shù)體系

在安全防護技術(shù)體系維度，將系統(tǒng)安全分解到物理、網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)等各個層面進行安全措施的落實。系統(tǒng)安全防護技術(shù)體系如圖3所示。

圖3 系統(tǒng)安全防護技術(shù)體系

(1)物理安全設(shè)計

根據(jù)等級保護標準基本要求，系統(tǒng)基礎(chǔ)設(shè)施設(shè)計和建設(shè)主要考慮以下因素：環(huán)境(防火、防水、防雷擊等)、設(shè)備和介質(zhì)等方面的安全。具體包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護。

(2)網(wǎng)絡(luò)安全設(shè)計

系統(tǒng)網(wǎng)絡(luò)層安全技術(shù)體系主要設(shè)計了以下安全防護機制：網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護等。系統(tǒng)通過在安全管理區(qū)部署堡壘機實現(xiàn)對網(wǎng)絡(luò)設(shè)備自身的防護。同時，系統(tǒng)支持單點登錄，支持運維過程審計，支持密碼自動定期修改等功能。

(3)主機和用戶訪問安全設(shè)計

主機和用戶訪問安全方面主要設(shè)計了身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范、資源控制幾大類安全控制機制。

(4)應(yīng)用安全設(shè)計

應(yīng)用安全方面主要設(shè)計了身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性和保密性、軟件容錯、抗抵賴幾大類安全控制機制。

(5)數(shù)據(jù)安全及備份恢復設(shè)計

信息系統(tǒng)處理的各種數(shù)據(jù)(用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等)在維持系統(tǒng)正常運行上起著至關(guān)重要的作用。一旦數(shù)據(jù)遭到破壞(泄漏、修改、毀壞)，都會在不同程度上造成影響，從而危害到系統(tǒng)的正常運行。由于信息系統(tǒng)的各個層面(網(wǎng)絡(luò)、主機、應(yīng)用等)都對各類數(shù)據(jù)進行傳輸、存儲和處理等,因此，數(shù)據(jù)保護需要物理環(huán)境、網(wǎng)絡(luò)、數(shù)據(jù)庫和操作系統(tǒng)、應(yīng)用程序等提供支持。

數(shù)據(jù)備份也是防止數(shù)據(jù)被破壞后無法恢復的重要手段，而硬件備份等更是保證系統(tǒng)可用的重要內(nèi)容，在高級別的信息系統(tǒng)中采用異地適時備份會有效地防治災難發(fā)生時可能造成的系統(tǒng)危害。

數(shù)據(jù)安全和備份恢復機制主要對數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復等幾個關(guān)鍵控制點進行了設(shè)計。

2.5 商密數(shù)據(jù)生命周期管理

按照《中央企業(yè)商業(yè)秘密安全保護技術(shù)指引》要求，系統(tǒng)對商密文件全生命周期的每個階段進行安全防護措施的設(shè)計，以數(shù)據(jù)加密技術(shù)為核心，在數(shù)據(jù)的形成、流轉(zhuǎn)、存儲、使用等各階段，進行商密數(shù)據(jù)安全防護，保證非密數(shù)據(jù)自由使用，商密數(shù)據(jù)安全可控，并最大程度確保不影響用戶正常辦公。主要采取了以下幾個方面的措施：

(1)事前加密保護。數(shù)據(jù)庫服務(wù)器配置支持國密算法的密碼卡，實現(xiàn)數(shù)據(jù)庫透明加密保護；在總行和各級機構(gòu)終端之間跨域互聯(lián)部分，采用SSL VPN對網(wǎng)絡(luò)數(shù)據(jù)進行加密保護；在總行商密辦公服務(wù)器上部署商密標識應(yīng)用中間件，與商密辦公系統(tǒng)集成，對商密文件加電子標識保護，保證電子標志與電子文件唯一性綁定，不可分離、不可非授權(quán)篡改。安全保障區(qū)部署商密標識生成和管理系統(tǒng)。

(2)事中權(quán)限控制。在商密網(wǎng)核心區(qū)域部署終端準入控制系統(tǒng)，實現(xiàn)對終端接入商密辦公系統(tǒng)的準入控制；商密辦公應(yīng)用系統(tǒng)采用基于角色的訪問控制技術(shù)，在身份認證基礎(chǔ)上，針對不同用戶角色授權(quán)不同應(yīng)用功能；通過基于標識的文件安全管理和基于標識的文件安全控制，實現(xiàn)商密文件權(quán)限控制。

(3)全程審計，事后可查。采用網(wǎng)絡(luò)運維審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)和統(tǒng)一安全管理中心系統(tǒng)，結(jié)合應(yīng)用審計和防火墻、入侵檢測等產(chǎn)生的安全事件，從網(wǎng)絡(luò)接入、辦公處理、數(shù)據(jù)訪問到輸入輸出進行全方位審計。

2.6 安全防護優(yōu)勢

C銀行新一代OA系統(tǒng)基于國產(chǎn)化基礎(chǔ)軟硬件生態(tài)建設(shè)成果，對網(wǎng)絡(luò)安全體系進行創(chuàng)新設(shè)計，和傳統(tǒng)OA系統(tǒng)相比，其安全防護優(yōu)勢主要體現(xiàn)在以下幾個方面：

(1)系統(tǒng)基于中國電子(CEC)研發(fā)的PKS安全體系構(gòu)建網(wǎng)絡(luò)安全機制。PKS從內(nèi)到外實現(xiàn)了八重安全防護機制，分別是：基于飛騰CPU芯片的可信計算防護、內(nèi)存條安全區(qū)防護、整機防護、殺毒軟件防護、可信運行區(qū)防護、系統(tǒng)分析防護、安全運行框架防護、安全管控中心防護。C銀行新一代OA系統(tǒng)基于PKS的CPU內(nèi)置可信技術(shù)、內(nèi)存內(nèi)置物理防護技術(shù)、終端統(tǒng)一安全中心、云端統(tǒng)一安全管控等成果實現(xiàn)了底層構(gòu)架的本質(zhì)安全。

(2)系統(tǒng)基于“安全即服務(wù)”的設(shè)計理念，實現(xiàn)安全技術(shù)體系從功能型到智慧型、靈活型、主動型轉(zhuǎn)變[4]。C銀行新一代OA系統(tǒng)構(gòu)建了企業(yè)級安全架構(gòu)體系，該體系采用面向服務(wù)架構(gòu)、云計算、組件化、可視化開發(fā)等技術(shù)，將安全功能從應(yīng)用中解耦，實現(xiàn)安全功能的組件化、標準化和參數(shù)化，形成以用戶認證、密碼服務(wù)、安全監(jiān)控、安全策略管理等安全組件為核心，以近300個安全服務(wù)為代表的“安全功能庫”。所有安全功能由策略管理中心動態(tài)調(diào)配，可依據(jù)所面臨的風險智能匹配適用的安全策略，啟動相應(yīng)的安全功能，從而靈活應(yīng)對已知和未知威脅帶來的風險。因為是以服務(wù)的方式提供安全功能，辦公應(yīng)用可專注功能開發(fā)，無需關(guān)注安全服務(wù)的具體實現(xiàn)方式。該安全體系有力支撐了C銀行新一代OA系統(tǒng)的安全運行，在保障網(wǎng)絡(luò)安全可控的同時，實現(xiàn)了非密數(shù)據(jù)的自由使用[5]，也改善了用戶體驗[6]。

(3)系統(tǒng)改變“木桶式”安全架構(gòu)體系，將系統(tǒng)安全分解到物理、網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)等各個層面進行落實，建立縱深“多層水閘式”的防護體系；同時，系統(tǒng)充分運用威脅情報、大數(shù)據(jù)分析、智能風控、生物特征識別等技術(shù)，建立主動防控體系，基于網(wǎng)絡(luò)安全態(tài)勢感知，系統(tǒng)可實時、動態(tài)調(diào)整安全防護策略，實現(xiàn)網(wǎng)絡(luò)安全的智慧防控。

3 結(jié)論

C銀行新一代OA系統(tǒng)(OA2系統(tǒng))基于新一代IT技術(shù)成果，首次將國產(chǎn)化自主安全軟硬件產(chǎn)品規(guī)?；?、體系化應(yīng)用于銀行系統(tǒng)。通過OA2系統(tǒng)建設(shè)，自主進行了IT架構(gòu)設(shè)計，自主建立了IT基礎(chǔ)環(huán)境，自主設(shè)計了系統(tǒng)安全防護架構(gòu)，自主構(gòu)建了銀行業(yè)務(wù)新藍圖，實現(xiàn)了預期的技術(shù)效益、產(chǎn)業(yè)生態(tài)效益和網(wǎng)絡(luò)安全效益。系統(tǒng)進一步優(yōu)化和升級將緊跟國家戰(zhàn)略發(fā)展要求，并力爭成為同行業(yè)國產(chǎn)化平臺應(yīng)用的示范性工程。下一步，C銀行將以新一代OA系統(tǒng)(OA2)建設(shè)為切入點，聚焦自主安全替代和網(wǎng)信安全優(yōu)化，從以下幾個維度對系統(tǒng)持續(xù)完善和升級：

一是基于國產(chǎn)自有的信息技術(shù)產(chǎn)品，構(gòu)建包括“分布式應(yīng)用、分布式框架平臺和底層云基礎(chǔ)設(shè)施”在內(nèi)的全棧國產(chǎn)化自主解決方案，形成金融行業(yè)通用的一體化解決方案，提升金融行業(yè)的技術(shù)自主力、服務(wù)力。

二是聯(lián)合相關(guān)科技創(chuàng)新型企業(yè)及金融機構(gòu)，共同實現(xiàn)解決方案的驗證和落地，為解決方案在行業(yè)的應(yīng)用與推廣做出示范。

三是建立聯(lián)合創(chuàng)新實驗室，加強基于國產(chǎn)芯片、操作系統(tǒng)、數(shù)據(jù)庫、中間件等基礎(chǔ)軟硬件的應(yīng)用適配攻關(guān)，加速國產(chǎn)化技術(shù)方案的形成和應(yīng)用落地。

四是基于金融業(yè)標準化體系框架，將長期積累的方法、工藝、規(guī)范等業(yè)界領(lǐng)先的標準化內(nèi)容進行提煉，轉(zhuǎn)化為具有行業(yè)共性推廣價值的行業(yè)標準。

五是持續(xù)優(yōu)化智慧安全體系，不斷提升安全服務(wù)和保障能力。探索建立基于大數(shù)據(jù)和人工智能技術(shù)的主動式安全態(tài)勢感知模型，主動發(fā)現(xiàn)和應(yīng)對安全威脅，實現(xiàn)更加智能靈活的安全防護。