邱成良

伴隨經(jīng)濟的快速發(fā)展，中小銀行（含農(nóng)信社改制的農(nóng)合行、農(nóng)商行）業(yè)務(wù)快速發(fā)展，信息科技應(yīng)用水平持續(xù)提升，一方面提高業(yè)務(wù)交易的方便快捷，降低管理成本和交易花費；另一方面信息科技過度滲透到業(yè)務(wù)、管理的各環(huán)節(jié)，其對科技過度依賴及由此產(chǎn)生的風(fēng)險卻在加劇，信息科技風(fēng)險問題突出，已經(jīng)成為影響中小銀行業(yè)務(wù)連續(xù)性和經(jīng)營穩(wěn)健性的重要因素。

本文選取中小銀行利用信息技術(shù)加強風(fēng)險管理的幾個重要實踐，主要包括建立網(wǎng)絡(luò)備份中心機房、啟用虛擬化技術(shù)建立應(yīng)用系統(tǒng)級容災(zāi)、建立統(tǒng)一數(shù)據(jù)軟件、移動存儲設(shè)備和數(shù)據(jù)保密、網(wǎng)絡(luò)入侵檢測、準(zhǔn)入控制系統(tǒng)、運維監(jiān)控預(yù)警以及幾個實用工具等，為中小銀行防范信息科技風(fēng)險進行相關(guān)實踐提供參考。

一、建立網(wǎng)絡(luò)備份中心

中小銀行網(wǎng)絡(luò)結(jié)構(gòu)基本分為三個區(qū)域：上聯(lián)區(qū)、核心區(qū)、下聯(lián)區(qū)。上聯(lián)區(qū)中小銀行一般采用雙設(shè)備雙線路，設(shè)備基本是雙電源路由器。核心區(qū)一般會部署兩臺雙電源的交換機，實現(xiàn)業(yè)務(wù)核心數(shù)據(jù)交換。下聯(lián)區(qū)中小銀行采用三層交換機雙設(shè)備雙線路和分支相連。中小銀行同城網(wǎng)絡(luò)備份中心可采用熱備的方式建立，即兩地機房網(wǎng)絡(luò)系統(tǒng)在平日處于同時運行的狀態(tài)，并且相互之間互為備份，這樣當(dāng)任何一地發(fā)生災(zāi)難性事件時，兩地之間可以相互的切換，且備份網(wǎng)絡(luò)系統(tǒng)必須能夠保證相關(guān)重要業(yè)務(wù)的正常訪問。

中小銀行業(yè)務(wù)網(wǎng)絡(luò)備份系統(tǒng)采用完全熱備的方式建立，兩個機房的網(wǎng)絡(luò)設(shè)備性能基本能對等。對于熱備模式，中小銀行可以租用電信運營商機房機柜的方式建設(shè)。當(dāng)中小銀行中心機房網(wǎng)絡(luò)系統(tǒng)因為災(zāi)難性事件出現(xiàn)整個故障時，中心機房的系統(tǒng)、網(wǎng)絡(luò)均不能正常運行。如果建立起一個同城網(wǎng)絡(luò)備份機房，該備份機房與中心機房互為備份，當(dāng)任何一地發(fā)生緊急狀況時，可以相互之間迅速進行熱切換。

中小銀行同城備份機房的建設(shè)應(yīng)具體衡量如下幾方面：備份中心的所有外聯(lián)網(wǎng)線路應(yīng)與中小銀行中心機房的所有外聯(lián)網(wǎng)線路同時處于運行當(dāng)中，且相互之間互為熱備份；備份機房應(yīng)與中小銀行中心機房具有大致相同的網(wǎng)絡(luò)層次拓?fù)洌员ＷC在發(fā)生緊急狀況時，備份中心能夠保證相關(guān)重要業(yè)務(wù)的正常訪問；對于兩地機房，應(yīng)在同一網(wǎng)絡(luò)拓?fù)鋵用嫔喜渴鹁哂邢嗤δ芎妥饔玫木W(wǎng)絡(luò)硬件，兩者同時處于運行狀態(tài)，且相互之間互為熱備；備份中心構(gòu)建一臺核心交換機，從而在網(wǎng)絡(luò)拓?fù)鋵用嫔?，與中心機房的核心交換區(qū)相互對應(yīng)。中心機房和備份機房應(yīng)采用合適的網(wǎng)絡(luò)技術(shù)，在核心交換區(qū)域網(wǎng)絡(luò)層面打通；備份中心構(gòu)建一臺上聯(lián)路由器，從而在網(wǎng)絡(luò)拓?fù)鋵用嫔希c中心機房的上聯(lián)路由器相互對應(yīng)；備份中心構(gòu)建一臺下聯(lián)路由器，從而在網(wǎng)絡(luò)拓?fù)鋵用嫔?，與中心機房的下聯(lián)路由器相互映射，作為所有網(wǎng)點的備份線路。

二、利用虛擬化建立應(yīng)用系統(tǒng)級容災(zāi)

近年來，伴隨中小銀行的迅猛擴大，其科技系統(tǒng)建設(shè)大為增加。傳統(tǒng)情況下，如果增加一個業(yè)務(wù)科技系統(tǒng)必須配套增加一臺或多臺專用服務(wù)器和相應(yīng)存儲設(shè)備，這樣的情況下，所配置服務(wù)器、存儲的大量資源沒有被實用，設(shè)備利用率低下，造成運算資源和存儲資源的雙重浪費。同時，伴隨著服務(wù)器、存儲設(shè)備數(shù)量的快速增加，后期成本也增長迅速，并且，伴隨服務(wù)器數(shù)量劇增，機房耗電量大為提高，給機房供電、制冷、溫濕度等帶來一系列問題。

中小銀行自行或與外部公司合作開發(fā)建設(shè)管理類、生產(chǎn)類的科技系統(tǒng)，這些科技系統(tǒng)大多沒有建立完善的備份，而銀行的生產(chǎn)運營、管理決策已經(jīng)與科技系統(tǒng)密切聯(lián)系在一起，這些系統(tǒng)的崩潰會直接影響銀行的營運。中小銀行在虛擬化實施以前，一般是每個應(yīng)用系統(tǒng)占用一臺或多臺服務(wù)器和存儲設(shè)備，服務(wù)器、存儲設(shè)備購置花費逐年增加，運算資源、存儲設(shè)備等使用效率普遍低下，不間斷電源供電、機房溫、濕度等指標(biāo)預(yù)警頻繁發(fā)生，運行維護工作量大大增加。為解決以上問題，確保業(yè)務(wù)連續(xù)性，中小銀行應(yīng)當(dāng)建設(shè)服務(wù)器虛擬化，建立應(yīng)用系統(tǒng)及容災(zāi)備份中心，同時為防止因其應(yīng)用上線，所形成一個存儲運行造成的孤點問題，中小銀行應(yīng)當(dāng)利用虛擬化建設(shè)中替換下的存儲在本地建立相應(yīng)數(shù)據(jù)備份，同時適時建立同城異地應(yīng)用系統(tǒng)級備份中心。

中小銀行可以將現(xiàn)有設(shè)備建成一個機群，同時在線運行約一二百個左右虛擬機器，著重保護若干個（總數(shù)量一半以上）以內(nèi)關(guān)鍵業(yè)務(wù)虛擬機。替換下的一臺存儲用來做相應(yīng)站點的數(shù)據(jù)備份，謹(jǐn)防錯誤操作及邏輯錯誤指令。相關(guān)備份軟件應(yīng)該采用在虛擬化軟件領(lǐng)域處于較強領(lǐng)導(dǎo)地位的備份軟件。在備份中心配置幾臺服務(wù)器和一臺存儲設(shè)備，做成一個機群，配置關(guān)鍵虛擬機，配置共享資源。

整個容災(zāi)切換的流程應(yīng)當(dāng)保持易操作，最好一鍵式操作，脫離人工的自動切換流程。項目建設(shè)時，中小銀行重點將CPU、RAM、磁盤資源占用少的系統(tǒng)遷入虛擬機，其他系統(tǒng)暫不處理。實施后，存儲設(shè)備、服務(wù)器數(shù)量一般會大幅降低。軟件運行會更加安全，軟件上線部署會變得簡單、快捷、便利，極大減輕軟件運行維護壓力；與此同時，中心機房用電、空調(diào)運行效果會有較大程度的改觀，機房拓?fù)浣Y(jié)構(gòu)將會變得更加整齊，維護更加方便；可以清楚預(yù)測，實施虛擬化及應(yīng)用級容災(zāi)建成后中小銀行服務(wù)器、存儲設(shè)備采購的花費將極大下降。

三、統(tǒng)一數(shù)據(jù)軟件

中小銀行始終致力于服務(wù)當(dāng)?shù)刂行∑髽I(yè)、中小工商戶、農(nóng)戶等相對規(guī)模較小的群體。由于中小銀行規(guī)模、運行維護水平差別巨大，其對數(shù)據(jù)的利用程度非常懸殊，存在各種運維問題。例如：軟件建設(shè)沒有規(guī)劃、前瞻，盲目投資建設(shè)、重復(fù)現(xiàn)象嚴(yán)重；軟件開發(fā)技術(shù)框架不規(guī)范，部分新引進項目開發(fā)技術(shù)已落后；缺乏核心技術(shù)，存在較大外包管理風(fēng)險；忽視科技人才團隊建設(shè)，導(dǎo)致較高水平人員嚴(yán)重匱乏，持續(xù)健康發(fā)展受到挑戰(zhàn)，甚至軟件運行維護管理也漏洞百出，受制外包公司現(xiàn)象嚴(yán)重。

為進一步加大對轄內(nèi)分支機構(gòu)的數(shù)據(jù)支撐，中小銀行亟須建立新的業(yè)務(wù)數(shù)據(jù)統(tǒng)一管理軟件，增加重要的外包系統(tǒng)數(shù)據(jù)源統(tǒng)一管理，對數(shù)據(jù)中心數(shù)據(jù)結(jié)構(gòu)進行改進調(diào)整。為充分利用數(shù)據(jù)，支持業(yè)務(wù)發(fā)展和管理需要，同時，考慮其他業(yè)務(wù)系統(tǒng)數(shù)據(jù)來源，建設(shè)數(shù)據(jù)集中管理軟件，整合不同業(yè)務(wù)部門業(yè)務(wù)管理子系統(tǒng)，為銀行業(yè)務(wù)部門、下級機構(gòu)、部門間交流，部門經(jīng)理、行領(lǐng)導(dǎo)領(lǐng)導(dǎo)決策，提供數(shù)據(jù)支持，在現(xiàn)階段顯得極為迫切。統(tǒng)一數(shù)據(jù)軟件系統(tǒng)建設(shè)采用“系統(tǒng)規(guī)劃、逐步實施”的方式，實行滾動聯(lián)體式開發(fā)、確保持續(xù)改進和完善。

建設(shè)統(tǒng)一數(shù)據(jù)軟件。根據(jù)中小銀行自身科技水平和銀行科技管理思路，可以選擇一到兩家公司進行項目的長期合作，與合作方共同開發(fā)建設(shè)統(tǒng)一數(shù)據(jù)軟件，這樣的好處是即開發(fā)了軟件，又為中小銀行培養(yǎng)了相關(guān)數(shù)據(jù)專業(yè)人才。在技術(shù)框架選擇上綜合衡量成本、技術(shù)先進性和適用性等因素，同時要充分兼顧系統(tǒng)的可擴展性，確保系統(tǒng)在未來五年內(nèi)業(yè)務(wù)發(fā)展的需求。在系統(tǒng)的界面友好性及可維護性方面，要求系統(tǒng)界面設(shè)計交互性強，便于系統(tǒng)運行維護維護職員及各級一線操作員能夠?qū)W會各項業(yè)務(wù)操作，盡量減少系統(tǒng)運行維護人員工作。

自主或合作搭建統(tǒng)一開發(fā)軟件。中小銀行根據(jù)自身科技實力水平，可以選擇自主或與合作公司共同搭建統(tǒng)一開發(fā)軟件，如果中小銀行自身科技水平和實力較強，并且時間充裕，那么中小銀行可以考慮自主開發(fā)相應(yīng)的軟件系統(tǒng)，反之，可以選擇和外包公司一起進行軟件開發(fā)，逐步積累技術(shù)、成果，為以后打好堅實基礎(chǔ)。在開發(fā)軟件搭建好以后，中小銀行可以逐步整合各類應(yīng)用。根據(jù)之前系統(tǒng)開發(fā)缺乏規(guī)劃的局面，建立統(tǒng)一登錄軟件，實現(xiàn)系統(tǒng)單點登陸，解決系統(tǒng)繁多多次登陸的弊病。通過逐步的整合和開發(fā)，逐步構(gòu)建各類應(yīng)用系統(tǒng)，支撐全行的業(yè)務(wù)發(fā)展和管理需要。

四、移動設(shè)備接入和數(shù)據(jù)保密

隨著銀行業(yè)務(wù)的不斷發(fā)展，金融科技化日新月異，銀行對信息系統(tǒng)的依賴性越來越大，信息科技系統(tǒng)已成為日常辦公和業(yè)務(wù)操作的重要支撐，但同時眾多的重要信息存于內(nèi)連網(wǎng)絡(luò)中，信息安全問題日益突出，各類病毒層出不窮。終端設(shè)備安全防范方式方法匱乏，并未引起相關(guān)管理人員的足夠重視，終端管理缺乏有效的監(jiān)管，通過信息科技系統(tǒng)竊取大客戶信息存貸款信息、電話信息、商業(yè)機密、亂改重要數(shù)據(jù)、入侵應(yīng)用系統(tǒng)等事件常有發(fā)生，中小銀行必須引起高度重視。

由于設(shè)備購置日期、品牌、配置、廠商各不相同，設(shè)備的系統(tǒng)軟件、安全防范措施及補丁安裝狀況差異巨大，甚至存在購買的設(shè)備沒有采取防范措施，病毒大肆蔓延，病毒感染嚴(yán)重；對外部設(shè)備的接入未實現(xiàn)接入控制或者控制不嚴(yán)，隨著筆記本電腦、智能手機、平板電腦等移動設(shè)備的普及，大量移動設(shè)備接入內(nèi)聯(lián)系統(tǒng)網(wǎng)絡(luò)中，如忽視接入終端身邊檢測、管控等措施，同樣會造成較大的病毒蔓延，帶來較大的信息科技風(fēng)險。

為解決目前信息科技系統(tǒng)管理存在的問題，可以從技術(shù)理念兩方面雙管齊下，確保上述問題扼殺在萌芽之中。技術(shù)方面通過接入控制管理來實施信息科技系統(tǒng)安全管理軟件，加大新設(shè)備、新的軟件的投建力度，確保新技術(shù)的廣泛應(yīng)用，同時增強科技安全管理的技術(shù)手段，理念方面除制定相應(yīng)的規(guī)程手冊和操作流程外，根據(jù)殺毒或其他信息安全軟件定期提供的報告結(jié)果，不斷地修訂安全策略，盡可能的降低隱患發(fā)生頻率。

一是接入控制管理。以往計算機設(shè)備接入內(nèi)部網(wǎng)絡(luò)系統(tǒng)主要采用在交換機設(shè)備上配置網(wǎng)絡(luò)和物理地址綁定的方法進行管控，但維護工作量大，同時存在控制不嚴(yán)、不全問題。中小銀行實施接入實名審批管理，任何計算機終端接人內(nèi)聯(lián)網(wǎng)絡(luò)必須通過審批，且有維護人員在接入控制系統(tǒng)中嚴(yán)格把關(guān)、實名登記后方可接人內(nèi)部系統(tǒng)，否則將被阻斷。凡是接入設(shè)備需進行強制安全體檢后，確定已安裝相關(guān)安全軟件后方可接入內(nèi)部網(wǎng)絡(luò)，據(jù)網(wǎng)絡(luò)地址分配使用規(guī)則和設(shè)備命名規(guī)范，生成網(wǎng)絡(luò)物理地址對，嚴(yán)防用戶私自修改地址信息，保證接入設(shè)備的真實性。

二是移動設(shè)備接入控制管理。針對不同的計算機終端設(shè)備制定不同外設(shè)接入策略，實現(xiàn)對光驅(qū)、軟驅(qū)、串/并口、USB端口、無線、藍牙、卷等設(shè)備的禁用或啟用配置。移動存儲介質(zhì)具有惟一的識別編碼，軟件將移動介質(zhì)的相關(guān)信息記錄在后臺數(shù)據(jù)庫，管理人員按條件可以進行模糊檢索和查看，實現(xiàn)編號管理和權(quán)限密碼管理。

中小銀行部署接入控制系統(tǒng)，同時制定內(nèi)網(wǎng)計算機安全管理規(guī)章，通過采用制訂安全方略、逐級管理的方式對信息科技軟件實現(xiàn)全面的、綜合的、多位一體的管控，安全策略經(jīng)過由松到嚴(yán)、循序漸進的應(yīng)用，逐漸顯現(xiàn)出預(yù)期的效果。通過接入控制，可以變被動為主動，積極改變信息科技系統(tǒng)模式，增強管理員對問題的主動發(fā)現(xiàn)和遠程維護能力，提高工作效率和工作質(zhì)量，并且可以解決終端非法外聯(lián)問題，實現(xiàn)基于用戶網(wǎng)絡(luò)地址和物理地址接入認(rèn)證，在一定程度上增強網(wǎng)絡(luò)的安全性、可用性，實現(xiàn)標(biāo)準(zhǔn)化管理。通過接入控制系統(tǒng)應(yīng)用實施和探索，信息安全管理在制度建設(shè)、技術(shù)控制、工作方式上做到三位一體，各方面都會極大提高，為建立信息安全工作的長效機制提供保障。

五、入侵檢測系統(tǒng)

網(wǎng)絡(luò)入侵檢測系統(tǒng)部署于網(wǎng)絡(luò)中的關(guān)鍵位置點，用來實時監(jiān)控各種網(wǎng)絡(luò)數(shù)據(jù)報文及網(wǎng)絡(luò)動態(tài)行為，以便在遭遇或認(rèn)為有可能遭遇網(wǎng)絡(luò)侵害時，及時的報警、響應(yīng)。其動態(tài)的安全響應(yīng)體系與防火墻、路由器等靜態(tài)的安全體系形成強大的協(xié)防體系，可以增強用戶的整個安全防護強度。網(wǎng)絡(luò)入侵檢測系統(tǒng)綜合使用各項檢測技術(shù)，例如，網(wǎng)絡(luò)入侵檢測系統(tǒng)通過誤用檢測、異常巡檢、智能協(xié)議分析、會話狀態(tài)分析、實時關(guān)聯(lián)檢測等多種入侵檢測技術(shù)，提高精確度，降低誤報率等。網(wǎng)絡(luò)入侵檢測系統(tǒng)實時跟蹤各種系統(tǒng)、軟件漏洞，并及時更新事件庫，及時、準(zhǔn)確地檢測到各種已知攻擊。網(wǎng)絡(luò)入侵檢測系統(tǒng)建立完備的異常統(tǒng)計分析模型，用戶還可以根據(jù)實際網(wǎng)絡(luò)環(huán)境適當(dāng)調(diào)整相關(guān)參數(shù)，更加準(zhǔn)確地檢測到行為異常攻擊。并且，基于內(nèi)置的強大協(xié)議解碼器，能夠檢測到各種違背網(wǎng)絡(luò)協(xié)議規(guī)范的協(xié)議異常攻擊。

中小銀行建立網(wǎng)絡(luò)入侵檢測系統(tǒng)，通過重組各類網(wǎng)絡(luò)數(shù)據(jù)包、監(jiān)控并分析會話狀態(tài)，在有效地防止網(wǎng)絡(luò)入侵檢測系統(tǒng)規(guī)避攻擊的同時，不僅可以減少誤報和漏報，而且可以大大提高檢測性能?，F(xiàn)在的網(wǎng)絡(luò)入侵檢測系統(tǒng)內(nèi)置幾千種以上入侵規(guī)則，提供對拒絕服務(wù)攻擊、代碼攻擊、病毒、后門攻擊等各種攻擊的檢測能力，并且能夠基于網(wǎng)絡(luò)協(xié)議及可疑網(wǎng)絡(luò)活動處理器，增強拒絕服務(wù)攻擊、掃描等攻擊事件檢測能力。網(wǎng)絡(luò)入侵檢測系統(tǒng)采用最新的，較高配置的，專用的高速硬件平臺，提供高速網(wǎng)絡(luò)接口接入和全面改進的背板總線設(shè)計。對于存在系統(tǒng)漏洞但尚未發(fā)現(xiàn)相關(guān)蠕蟲事件的狀況，通過分析漏洞來提供相關(guān)的入侵事件規(guī)則，最大限度地解決蠕蟲發(fā)現(xiàn)滯后的問題。網(wǎng)絡(luò)入侵檢測系統(tǒng)具有高穩(wěn)定、高安全、高效率、高擴展、模塊化、多平臺的特點，其內(nèi)置大量入侵檢測規(guī)則，能檢測各種入侵攻擊企圖，并且可以與華為、思科路由器互動，組成強大的聯(lián)合防御體系。

網(wǎng)絡(luò)入侵檢測系統(tǒng)通過提供實時監(jiān)控當(dāng)前會話并根據(jù)情況及時進行切斷、保存會話內(nèi)容的功能，以圖形方式實時監(jiān)控引擎的處理器、內(nèi)存等資源信息及網(wǎng)絡(luò)流量信息，并且監(jiān)控并記錄會話的訪問信息，提供客戶端、服務(wù)器的相關(guān)訪問情況，并且可以展示成各自報表，更加形象，并且提供基于網(wǎng)絡(luò)流量統(tǒng)計報表，支持大型分布式網(wǎng)絡(luò)環(huán)境下的分級部署管理功能。該系統(tǒng)提供采集入侵相關(guān)信息、發(fā)出入侵警報以及限制網(wǎng)絡(luò)訪問等功能，以保護服務(wù)器免受內(nèi)外部攻擊，有效地防止暴露入侵檢測系統(tǒng)的存在，控制臺引擎間的通訊采用加密認(rèn)證，保護入侵檢測系統(tǒng)自身的安全性，極大地減輕管理員的負(fù)擔(dān)。

六、運維預(yù)警監(jiān)控系統(tǒng)

隨著網(wǎng)絡(luò)設(shè)備、主機設(shè)備等各種設(shè)備增多，愈來愈多的客戶都在規(guī)劃或采納業(yè)務(wù)集中的方案。然而業(yè)務(wù)系統(tǒng)集中后，不僅增加運行維護的工作強度，而且會使集中的系統(tǒng)變得更加繁雜。有效的系統(tǒng)和應(yīng)用監(jiān)控體系成為監(jiān)督業(yè)務(wù)資源的使用狀況，及時發(fā)現(xiàn)可能導(dǎo)致系統(tǒng)故障的隱患，實現(xiàn)系統(tǒng)運營保障的關(guān)鍵。另外，借助于統(tǒng)一監(jiān)控解決方案，中小銀行能夠正確和及時掌握系統(tǒng)的運行狀態(tài)，發(fā)現(xiàn)影響整個系統(tǒng)運行的瓶頸，協(xié)助系統(tǒng)管理人員進行必要的系統(tǒng)改進和配置變更，甚至為系統(tǒng)的升級和擴容提供依據(jù)。維護人員快速地分析出應(yīng)用故障原因，把他們從繁雜重復(fù)的工作中解放出來。因此，很多中小銀行的科技部門提出建立集中科技管理系統(tǒng)的需求，監(jiān)控的內(nèi)容包括網(wǎng)絡(luò)、服務(wù)器、數(shù)據(jù)庫、中間件和應(yīng)用等等，其通過統(tǒng)一監(jiān)控系統(tǒng)及時發(fā)現(xiàn)系統(tǒng)中的故障，減少故障處理時間。

監(jiān)控系統(tǒng)包含網(wǎng)絡(luò)故障監(jiān)控和系統(tǒng)性能故障監(jiān)控。網(wǎng)絡(luò)監(jiān)控是向網(wǎng)絡(luò)的管理軟件，可以高效的發(fā)現(xiàn)各類大型網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，持續(xù)地監(jiān)視、報告網(wǎng)絡(luò)的運行狀況。通過網(wǎng)絡(luò)監(jiān)控管理可以實現(xiàn)，直觀、準(zhǔn)確的展現(xiàn)網(wǎng)絡(luò)的組成拓?fù)?，協(xié)助管理人員全面了解整個網(wǎng)絡(luò)運行狀況；通過實時性能監(jiān)控，能夠預(yù)防各種可能出現(xiàn)的故障，降低網(wǎng)絡(luò)運行和維護成本，達到快速排查故障，協(xié)助管理人員及時處理網(wǎng)絡(luò)中出現(xiàn)的問題，進而構(gòu)建良好及透明的網(wǎng)絡(luò)環(huán)境，為銀行的網(wǎng)絡(luò)管理提供便利和快捷的通道。

從業(yè)務(wù)和技術(shù)角度對網(wǎng)絡(luò)重要鏈路進行監(jiān)測和分析，對鏈路的連通性、負(fù)荷程度、魯棒性進行評估，持續(xù)監(jiān)視、報告網(wǎng)絡(luò)鏈路的運行狀況，發(fā)現(xiàn)異常及時預(yù)警提示。性能故障管理是實時監(jiān)控網(wǎng)絡(luò)設(shè)備的處理器、內(nèi)存、流量、存儲等運行性能指標(biāo)，持續(xù)跟蹤和分析設(shè)備負(fù)載的變化；提供網(wǎng)管信息工具箱，方便查詢端口列表、網(wǎng)絡(luò)信息表、轉(zhuǎn)發(fā)表等等；支持故障、性能、安全等各類告警事件的接收和分級；可對故障進行根源挖掘分析，在網(wǎng)絡(luò)拓?fù)涞臉?biāo)紅突出顯示，并提供一鍵式的故障定位、排查機制。

中小銀行通過業(yè)務(wù)與應(yīng)用監(jiān)控管理可以實現(xiàn)對網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫、中間件、虛擬化資源、通用服務(wù)等資源的監(jiān)控，協(xié)助管理人員快速掌握以上資源的運行狀況；通過實時性能監(jiān)控和圖形化展示平臺，提前預(yù)防故障出現(xiàn)，降低系統(tǒng)運行風(fēng)險；快速定位排查故障，協(xié)助管理人員及時解決故障，降低故障影響范圍，建立業(yè)務(wù)視圖，從業(yè)務(wù)角度出發(fā)，監(jiān)控、評估和展現(xiàn)業(yè)務(wù)運行狀況。

七、準(zhǔn)入控制系統(tǒng)

隨著計算機網(wǎng)絡(luò)安全技術(shù)的快速發(fā)展和大面積深度和廣度的應(yīng)用，其帶來的利弊被廣大企業(yè)技術(shù)人員和管理人士所熟稔，信息的安全性越來越受到企業(yè)單位的高度重視，特別在銀行、證券公司等金融行業(yè)，企業(yè)接入終端種類繁多，用戶安全意識懸殊，金融行業(yè)對終端接入安全認(rèn)證的要求也愈發(fā)嚴(yán)格，通過終端準(zhǔn)入管理功能可以方便的對終端安全接入進行控制。目前遇到的問題主要有：非法外聯(lián)的問題、內(nèi)、外網(wǎng)隔離的問題、網(wǎng)絡(luò)邊界完整的問題、私改網(wǎng)址、網(wǎng)址無法可控、內(nèi)外網(wǎng)無法實名制等問題，安全威脅多，管理難題大。準(zhǔn)入控制系統(tǒng)包含準(zhǔn)入控制、集中用戶管理、多種認(rèn)證方式、網(wǎng)絡(luò)地址管理模塊、網(wǎng)絡(luò)邊界保護、網(wǎng)絡(luò)地址審計、強制安裝客戶端、軟件檢查、網(wǎng)絡(luò)連接管理等模塊。

（一）準(zhǔn)入控制

基于DHCP無客戶端的準(zhǔn)入認(rèn)證，支持老舊交換機及集線器的控制，支持無線設(shè)備的準(zhǔn)入認(rèn)證、無線網(wǎng)絡(luò)準(zhǔn)入認(rèn)證及VPN的準(zhǔn)入認(rèn)證，對不符合要求的終端進行隔離。

（二）集中用戶管理

按組、按角色對用戶進行統(tǒng)一管理，并支持用戶的自注冊、自服務(wù)，按照管理員策略，可以定制用戶口令的安全等級、弱口令字曲、過期時間等，支持外聯(lián)AD、LDAP、SQL用戶數(shù)據(jù)庫。

（三）支持多種認(rèn)證方式

支持賬號和密碼方式認(rèn)證、動態(tài)口令牌認(rèn)證、短信雙因素認(rèn)證、動態(tài)口令卡認(rèn)證、移動設(shè)備密碼卡認(rèn)證、藍牙認(rèn)證和無線認(rèn)證。

（四）網(wǎng)絡(luò)地址管理

支持動態(tài)分配固定網(wǎng)絡(luò)地址，基于組、角色、用戶、終端分配網(wǎng)絡(luò)地址，實現(xiàn)網(wǎng)絡(luò)隔離區(qū)，先認(rèn)證再分配正常網(wǎng)絡(luò)地址，并對網(wǎng)絡(luò)地址使用狀況通過圖形、表格形式進行統(tǒng)計。

（五）網(wǎng)絡(luò)邊界保護

實時監(jiān)測在線終端的狀況，當(dāng)發(fā)現(xiàn)篡改I網(wǎng)絡(luò)、物理地址的終端，對其進行告警、阻斷，圖形化展示網(wǎng)絡(luò)設(shè)備的端口詳細信息，對用戶、網(wǎng)絡(luò)地址、物理地址、物理位置進行定位，并對內(nèi)網(wǎng)ARP病毒進行監(jiān)測、定位。

（六）網(wǎng)絡(luò)地址審計

支持網(wǎng)絡(luò)地址使用人實時和歷史查詢及網(wǎng)絡(luò)地址的分配報告，提供詳盡的報表和標(biāo)準(zhǔn)日志的導(dǎo)入、存貯、查詢。

（七）強制安裝客戶端

用戶入網(wǎng)時強制用戶必須安裝客戶端，客戶端本身具有進程防殺、防卸載功能，并支持客戶端自動升級。

（八）軟件檢查

支持自定義軟件檢查，通過進程、服務(wù)、端口、文件版本信息進行設(shè)置，并可以檢查所安裝殺毒軟件的病毒庫版本，做到及時更新預(yù)警。

（九）網(wǎng)絡(luò)連接管理

支持對撥號、2G、3G、4G、無線網(wǎng)絡(luò)連接行為進行核查，通過禁止使用代理服務(wù)器、禁止私接ARP表項、禁止更改路由表項，防止違規(guī)外聯(lián)。

八、實用小工具

本節(jié)介紹中小銀行在實際工作中的一些常用小工具，包含啟用網(wǎng)絡(luò)時間同步、統(tǒng)一日志收集工具和在線PING工具，工具雖小，簡便實用。

（一）啟用設(shè)備時間同步

通過統(tǒng)一配置時間同步，統(tǒng)一配置網(wǎng)絡(luò)設(shè)備時間同步配置。目前，中小銀行的服務(wù)器和網(wǎng)絡(luò)設(shè)備等都有時間設(shè)置，但是大多數(shù)中小銀行的時間設(shè)置不同步，導(dǎo)致系統(tǒng)日志等各方面信息交換不能很好的對應(yīng)起來，中小銀行啟用主機設(shè)備和網(wǎng)絡(luò)設(shè)備同步，對保持時間的一致性、統(tǒng)一性、規(guī)范性都有重要的意義，對分析日志，日志收集的可比性也可以做到保證。中小銀行應(yīng)當(dāng)將逐步在支行設(shè)備進行推廣配置，通過設(shè)置網(wǎng)絡(luò)設(shè)備時間同步，統(tǒng)一網(wǎng)絡(luò)設(shè)備、主機設(shè)備的日志記錄時間，避免每一臺設(shè)備時間重復(fù)配置，保證日志時間的準(zhǔn)確性，進而可以準(zhǔn)確分析故障日志時間，定位故障。

（二）統(tǒng)一日志收集工具

通過研究3CDaemon軟件特性，結(jié)合中小銀行實際狀況，配置應(yīng)用成日志統(tǒng)一收集小工具，該工具統(tǒng)一收集網(wǎng)絡(luò)日志、系統(tǒng)日志到一個展示頁面，極大提高查看日志的效率，對比分析日志更加便捷，該軟件綠色免安裝，簡單易用。統(tǒng)一日志的好處在于日志大集中處理，極大減輕網(wǎng)絡(luò)管理人員和系統(tǒng)管理人員的工作復(fù)雜度，節(jié)約時間，提高工作效率，另外，日志大集中，可以方便的度日志運用大數(shù)據(jù)技術(shù)進行智能分析，以便更好的分析系統(tǒng)的運行情況，及時區(qū)分和識別日志奇異點，以便高效運行，降低故障頻率，從而降低信息科技風(fēng)險，保證系統(tǒng)高效穩(wěn)定的運行。

（三）統(tǒng)一在線PING

在線PING工具是中小銀行科技人員用來的實現(xiàn)批量PING網(wǎng)絡(luò)主機，及時檢測網(wǎng)絡(luò)狀態(tài)、線路連通性，并且配有TELNET功能，可以方便的TELNET進入該機器進行操作。該工具掃描依據(jù)掃描頻次分為自動掃描、手工掃描和定時掃描三種方式，其中，定時掃描可以自主設(shè)立掃描間隔，一次掃描歷時控制在較短時間以內(nèi)，掃描結(jié)束后，能夠提示未通線路、包傳遞過長線路，并且可以集中查看，還可以查看歷時記錄。通過該工具，系統(tǒng)管理人員的工作可以變得更加便捷高效，從而及時發(fā)現(xiàn)和處置網(wǎng)絡(luò)故障情況，從而減少網(wǎng)絡(luò)故障網(wǎng)點，保證網(wǎng)絡(luò)的可用性。

九、小結(jié)

本文選取中小銀行利用信息技術(shù)加強風(fēng)險管理的幾個常用實踐，主要包括建立網(wǎng)絡(luò)備份中心、啟用虛擬化技術(shù)建立應(yīng)用系統(tǒng)級容災(zāi)備份中心、建立統(tǒng)一數(shù)據(jù)平臺、移動設(shè)備接入控制和數(shù)據(jù)保密、網(wǎng)絡(luò)入侵檢測、設(shè)備準(zhǔn)入控制、運維監(jiān)控預(yù)警以及幾個常用小工具。通過實踐，較大程度上可以降低信息科技風(fēng)險，從而保證中小銀行系統(tǒng)穩(wěn)定的運行，進而更好的服務(wù)銀行業(yè)務(wù)的發(fā)展。