中小銀行防范科技風(fēng)險(xiǎn)相關(guān)實(shí)踐的探討

邱成良

伴隨經(jīng)濟(jì)的快速發(fā)展，中小銀行（含農(nóng)信社改制的農(nóng)合行、農(nóng)商行）業(yè)務(wù)快速發(fā)展，信息科技應(yīng)用水平持續(xù)提升，一方面提高業(yè)務(wù)交易的方便快捷，降低管理成本和交易花費(fèi)；另一方面信息科技過度滲透到業(yè)務(wù)、管理的各環(huán)節(jié)，其對(duì)科技過度依賴及由此產(chǎn)生的風(fēng)險(xiǎn)卻在加劇，信息科技風(fēng)險(xiǎn)問題突出，已經(jīng)成為影響中小銀行業(yè)務(wù)連續(xù)性和經(jīng)營穩(wěn)健性的重要因素。

本文選取中小銀行利用信息技術(shù)加強(qiáng)風(fēng)險(xiǎn)管理的幾個(gè)重要實(shí)踐，主要包括建立網(wǎng)絡(luò)備份中心機(jī)房、啟用虛擬化技術(shù)建立應(yīng)用系統(tǒng)級(jí)容災(zāi)、建立統(tǒng)一數(shù)據(jù)軟件、移動(dòng)存儲(chǔ)設(shè)備和數(shù)據(jù)保密、網(wǎng)絡(luò)入侵檢測(cè)、準(zhǔn)入控制系統(tǒng)、運(yùn)維監(jiān)控預(yù)警以及幾個(gè)實(shí)用工具等，為中小銀行防范信息科技風(fēng)險(xiǎn)進(jìn)行相關(guān)實(shí)踐提供參考。

一、建立網(wǎng)絡(luò)備份中心

中小銀行網(wǎng)絡(luò)結(jié)構(gòu)基本分為三個(gè)區(qū)域：上聯(lián)區(qū)、核心區(qū)、下聯(lián)區(qū)。上聯(lián)區(qū)中小銀行一般采用雙設(shè)備雙線路，設(shè)備基本是雙電源路由器。核心區(qū)一般會(huì)部署兩臺(tái)雙電源的交換機(jī)，實(shí)現(xiàn)業(yè)務(wù)核心數(shù)據(jù)交換。下聯(lián)區(qū)中小銀行采用三層交換機(jī)雙設(shè)備雙線路和分支相連。中小銀行同城網(wǎng)絡(luò)備份中心可采用熱備的方式建立，即兩地機(jī)房網(wǎng)絡(luò)系統(tǒng)在平日處于同時(shí)運(yùn)行的狀態(tài)，并且相互之間互為備份，這樣當(dāng)任何一地發(fā)生災(zāi)難性事件時(shí)，兩地之間可以相互的切換，且備份網(wǎng)絡(luò)系統(tǒng)必須能夠保證相關(guān)重要業(yè)務(wù)的正常訪問。

中小銀行業(yè)務(wù)網(wǎng)絡(luò)備份系統(tǒng)采用完全熱備的方式建立，兩個(gè)機(jī)房的網(wǎng)絡(luò)設(shè)備性能基本能對(duì)等。對(duì)于熱備模式，中小銀行可以租用電信運(yùn)營商機(jī)房機(jī)柜的方式建設(shè)。當(dāng)中小銀行中心機(jī)房網(wǎng)絡(luò)系統(tǒng)因?yàn)闉?zāi)難性事件出現(xiàn)整個(gè)故障時(shí)，中心機(jī)房的系統(tǒng)、網(wǎng)絡(luò)均不能正常運(yùn)行。如果建立起一個(gè)同城網(wǎng)絡(luò)備份機(jī)房，該備份機(jī)房與中心機(jī)房互為備份，當(dāng)任何一地發(fā)生緊急狀況時(shí)，可以相互之間迅速進(jìn)行熱切換。

中小銀行同城備份機(jī)房的建設(shè)應(yīng)具體衡量如下幾方面：備份中心的所有外聯(lián)網(wǎng)線路應(yīng)與中小銀行中心機(jī)房的所有外聯(lián)網(wǎng)線路同時(shí)處于運(yùn)行當(dāng)中，且相互之間互為熱備份；備份機(jī)房應(yīng)與中小銀行中心機(jī)房具有大致相同的網(wǎng)絡(luò)層次拓?fù)?，以保證在發(fā)生緊急狀況時(shí)，備份中心能夠保證相關(guān)重要業(yè)務(wù)的正常訪問；對(duì)于兩地機(jī)房，應(yīng)在同一網(wǎng)絡(luò)拓?fù)鋵用嫔喜渴鹁哂邢嗤δ芎妥饔玫木W(wǎng)絡(luò)硬件，兩者同時(shí)處于運(yùn)行狀態(tài)，且相互之間互為熱備；備份中心構(gòu)建一臺(tái)核心交換機(jī)，從而在網(wǎng)絡(luò)拓?fù)鋵用嫔?，與中心機(jī)房的核心交換區(qū)相互對(duì)應(yīng)。中心機(jī)房和備份機(jī)房應(yīng)采用合適的網(wǎng)絡(luò)技術(shù)，在核心交換區(qū)域網(wǎng)絡(luò)層面打通；備份中心構(gòu)建一臺(tái)上聯(lián)路由器，從而在網(wǎng)絡(luò)拓?fù)鋵用嫔希c中心機(jī)房的上聯(lián)路由器相互對(duì)應(yīng)；備份中心構(gòu)建一臺(tái)下聯(lián)路由器，從而在網(wǎng)絡(luò)拓?fù)鋵用嫔?，與中心機(jī)房的下聯(lián)路由器相互映射，作為所有網(wǎng)點(diǎn)的備份線路。

二、利用虛擬化建立應(yīng)用系統(tǒng)級(jí)容災(zāi)

近年來，伴隨中小銀行的迅猛擴(kuò)大，其科技系統(tǒng)建設(shè)大為增加。傳統(tǒng)情況下，如果增加一個(gè)業(yè)務(wù)科技系統(tǒng)必須配套增加一臺(tái)或多臺(tái)專用服務(wù)器和相應(yīng)存儲(chǔ)設(shè)備，這樣的情況下，所配置服務(wù)器、存儲(chǔ)的大量資源沒有被實(shí)用，設(shè)備利用率低下，造成運(yùn)算資源和存儲(chǔ)資源的雙重浪費(fèi)。同時(shí)，伴隨著服務(wù)器、存儲(chǔ)設(shè)備數(shù)量的快速增加，后期成本也增長(zhǎng)迅速，并且，伴隨服務(wù)器數(shù)量劇增，機(jī)房耗電量大為提高，給機(jī)房供電、制冷、溫濕度等帶來一系列問題。

中小銀行自行或與外部公司合作開發(fā)建設(shè)管理類、生產(chǎn)類的科技系統(tǒng)，這些科技系統(tǒng)大多沒有建立完善的備份，而銀行的生產(chǎn)運(yùn)營、管理決策已經(jīng)與科技系統(tǒng)密切聯(lián)系在一起，這些系統(tǒng)的崩潰會(huì)直接影響銀行的營運(yùn)。中小銀行在虛擬化實(shí)施以前，一般是每個(gè)應(yīng)用系統(tǒng)占用一臺(tái)或多臺(tái)服務(wù)器和存儲(chǔ)設(shè)備，服務(wù)器、存儲(chǔ)設(shè)備購置花費(fèi)逐年增加，運(yùn)算資源、存儲(chǔ)設(shè)備等使用效率普遍低下，不間斷電源供電、機(jī)房溫、濕度等指標(biāo)預(yù)警頻繁發(fā)生，運(yùn)行維護(hù)工作量大大增加。為解決以上問題，確保業(yè)務(wù)連續(xù)性，中小銀行應(yīng)當(dāng)建設(shè)服務(wù)器虛擬化，建立應(yīng)用系統(tǒng)及容災(zāi)備份中心，同時(shí)為防止因其應(yīng)用上線，所形成一個(gè)存儲(chǔ)運(yùn)行造成的孤點(diǎn)問題，中小銀行應(yīng)當(dāng)利用虛擬化建設(shè)中替換下的存儲(chǔ)在本地建立相應(yīng)數(shù)據(jù)備份，同時(shí)適時(shí)建立同城異地應(yīng)用系統(tǒng)級(jí)備份中心。

中小銀行可以將現(xiàn)有設(shè)備建成一個(gè)機(jī)群，同時(shí)在線運(yùn)行約一二百個(gè)左右虛擬機(jī)器，著重保護(hù)若干個(gè)（總數(shù)量一半以上）以內(nèi)關(guān)鍵業(yè)務(wù)虛擬機(jī)。替換下的一臺(tái)存儲(chǔ)用來做相應(yīng)站點(diǎn)的數(shù)據(jù)備份，謹(jǐn)防錯(cuò)誤操作及邏輯錯(cuò)誤指令。相關(guān)備份軟件應(yīng)該采用在虛擬化軟件領(lǐng)域處于較強(qiáng)領(lǐng)導(dǎo)地位的備份軟件。在備份中心配置幾臺(tái)服務(wù)器和一臺(tái)存儲(chǔ)設(shè)備，做成一個(gè)機(jī)群，配置關(guān)鍵虛擬機(jī)，配置共享資源。

整個(gè)容災(zāi)切換的流程應(yīng)當(dāng)保持易操作，最好一鍵式操作，脫離人工的自動(dòng)切換流程。項(xiàng)目建設(shè)時(shí)，中小銀行重點(diǎn)將CPU、RAM、磁盤資源占用少的系統(tǒng)遷入虛擬機(jī)，其他系統(tǒng)暫不處理。實(shí)施后，存儲(chǔ)設(shè)備、服務(wù)器數(shù)量一般會(huì)大幅降低。軟件運(yùn)行會(huì)更加安全，軟件上線部署會(huì)變得簡(jiǎn)單、快捷、便利，極大減輕軟件運(yùn)行維護(hù)壓力；與此同時(shí)，中心機(jī)房用電、空調(diào)運(yùn)行效果會(huì)有較大程度的改觀，機(jī)房拓?fù)浣Y(jié)構(gòu)將會(huì)變得更加整齊，維護(hù)更加方便；可以清楚預(yù)測(cè)，實(shí)施虛擬化及應(yīng)用級(jí)容災(zāi)建成后中小銀行服務(wù)器、存儲(chǔ)設(shè)備采購的花費(fèi)將極大下降。

三、統(tǒng)一數(shù)據(jù)軟件

中小銀行始終致力于服務(wù)當(dāng)?shù)刂行∑髽I(yè)、中小工商戶、農(nóng)戶等相對(duì)規(guī)模較小的群體。由于中小銀行規(guī)模、運(yùn)行維護(hù)水平差別巨大，其對(duì)數(shù)據(jù)的利用程度非常懸殊，存在各種運(yùn)維問題。例如：軟件建設(shè)沒有規(guī)劃、前瞻，盲目投資建設(shè)、重復(fù)現(xiàn)象嚴(yán)重；軟件開發(fā)技術(shù)框架不規(guī)范，部分新引進(jìn)項(xiàng)目開發(fā)技術(shù)已落后；缺乏核心技術(shù)，存在較大外包管理風(fēng)險(xiǎn)；忽視科技人才團(tuán)隊(duì)建設(shè)，導(dǎo)致較高水平人員嚴(yán)重匱乏，持續(xù)健康發(fā)展受到挑戰(zhàn)，甚至軟件運(yùn)行維護(hù)管理也漏洞百出，受制外包公司現(xiàn)象嚴(yán)重。

為進(jìn)一步加大對(duì)轄內(nèi)分支機(jī)構(gòu)的數(shù)據(jù)支撐，中小銀行亟須建立新的業(yè)務(wù)數(shù)據(jù)統(tǒng)一管理軟件，增加重要的外包系統(tǒng)數(shù)據(jù)源統(tǒng)一管理，對(duì)數(shù)據(jù)中心數(shù)據(jù)結(jié)構(gòu)進(jìn)行改進(jìn)調(diào)整。為充分利用數(shù)據(jù)，支持業(yè)務(wù)發(fā)展和管理需要，同時(shí)，考慮其他業(yè)務(wù)系統(tǒng)數(shù)據(jù)來源，建設(shè)數(shù)據(jù)集中管理軟件，整合不同業(yè)務(wù)部門業(yè)務(wù)管理子系統(tǒng)，為銀行業(yè)務(wù)部門、下級(jí)機(jī)構(gòu)、部門間交流，部門經(jīng)理、行領(lǐng)導(dǎo)領(lǐng)導(dǎo)決策，提供數(shù)據(jù)支持，在現(xiàn)階段顯得極為迫切。統(tǒng)一數(shù)據(jù)軟件系統(tǒng)建設(shè)采用“系統(tǒng)規(guī)劃、逐步實(shí)施”的方式，實(shí)行滾動(dòng)聯(lián)體式開發(fā)、確保持續(xù)改進(jìn)和完善。

建設(shè)統(tǒng)一數(shù)據(jù)軟件。根據(jù)中小銀行自身科技水平和銀行科技管理思路，可以選擇一到兩家公司進(jìn)行項(xiàng)目的長(zhǎng)期合作，與合作方共同開發(fā)建設(shè)統(tǒng)一數(shù)據(jù)軟件，這樣的好處是即開發(fā)了軟件，又為中小銀行培養(yǎng)了相關(guān)數(shù)據(jù)專業(yè)人才。在技術(shù)框架選擇上綜合衡量成本、技術(shù)先進(jìn)性和適用性等因素，同時(shí)要充分兼顧系統(tǒng)的可擴(kuò)展性，確保系統(tǒng)在未來五年內(nèi)業(yè)務(wù)發(fā)展的需求。在系統(tǒng)的界面友好性及可維護(hù)性方面，要求系統(tǒng)界面設(shè)計(jì)交互性強(qiáng)，便于系統(tǒng)運(yùn)行維護(hù)維護(hù)職員及各級(jí)一線操作員能夠?qū)W會(huì)各項(xiàng)業(yè)務(wù)操作，盡量減少系統(tǒng)運(yùn)行維護(hù)人員工作。

自主或合作搭建統(tǒng)一開發(fā)軟件。中小銀行根據(jù)自身科技實(shí)力水平，可以選擇自主或與合作公司共同搭建統(tǒng)一開發(fā)軟件，如果中小銀行自身科技水平和實(shí)力較強(qiáng)，并且時(shí)間充裕，那么中小銀行可以考慮自主開發(fā)相應(yīng)的軟件系統(tǒng)，反之，可以選擇和外包公司一起進(jìn)行軟件開發(fā)，逐步積累技術(shù)、成果，為以后打好堅(jiān)實(shí)基礎(chǔ)。在開發(fā)軟件搭建好以后，中小銀行可以逐步整合各類應(yīng)用。根據(jù)之前系統(tǒng)開發(fā)缺乏規(guī)劃的局面，建立統(tǒng)一登錄軟件，實(shí)現(xiàn)系統(tǒng)單點(diǎn)登陸，解決系統(tǒng)繁多多次登陸的弊病。通過逐步的整合和開發(fā)，逐步構(gòu)建各類應(yīng)用系統(tǒng)，支撐全行的業(yè)務(wù)發(fā)展和管理需要。

四、移動(dòng)設(shè)備接入和數(shù)據(jù)保密

隨著銀行業(yè)務(wù)的不斷發(fā)展，金融科技化日新月異，銀行對(duì)信息系統(tǒng)的依賴性越來越大，信息科技系統(tǒng)已成為日常辦公和業(yè)務(wù)操作的重要支撐，但同時(shí)眾多的重要信息存于內(nèi)連網(wǎng)絡(luò)中，信息安全問題日益突出，各類病毒層出不窮。終端設(shè)備安全防范方式方法匱乏，并未引起相關(guān)管理人員的足夠重視，終端管理缺乏有效的監(jiān)管，通過信息科技系統(tǒng)竊取大客戶信息存貸款信息、電話信息、商業(yè)機(jī)密、亂改重要數(shù)據(jù)、入侵應(yīng)用系統(tǒng)等事件常有發(fā)生，中小銀行必須引起高度重視。

由于設(shè)備購置日期、品牌、配置、廠商各不相同，設(shè)備的系統(tǒng)軟件、安全防范措施及補(bǔ)丁安裝狀況差異巨大，甚至存在購買的設(shè)備沒有采取防范措施，病毒大肆蔓延，病毒感染嚴(yán)重；對(duì)外部設(shè)備的接入未實(shí)現(xiàn)接入控制或者控制不嚴(yán)，隨著筆記本電腦、智能手機(jī)、平板電腦等移動(dòng)設(shè)備的普及，大量移動(dòng)設(shè)備接入內(nèi)聯(lián)系統(tǒng)網(wǎng)絡(luò)中，如忽視接入終端身邊檢測(cè)、管控等措施，同樣會(huì)造成較大的病毒蔓延，帶來較大的信息科技風(fēng)險(xiǎn)。

為解決目前信息科技系統(tǒng)管理存在的問題，可以從技術(shù)理念兩方面雙管齊下，確保上述問題扼殺在萌芽之中。技術(shù)方面通過接入控制管理來實(shí)施信息科技系統(tǒng)安全管理軟件，加大新設(shè)備、新的軟件的投建力度，確保新技術(shù)的廣泛應(yīng)用，同時(shí)增強(qiáng)科技安全管理的技術(shù)手段，理念方面除制定相應(yīng)的規(guī)程手冊(cè)和操作流程外，根據(jù)殺毒或其他信息安全軟件定期提供的報(bào)告結(jié)果，不斷地修訂安全策略，盡可能的降低隱患發(fā)生頻率。

一是接入控制管理。以往計(jì)算機(jī)設(shè)備接入內(nèi)部網(wǎng)絡(luò)系統(tǒng)主要采用在交換機(jī)設(shè)備上配置網(wǎng)絡(luò)和物理地址綁定的方法進(jìn)行管控，但維護(hù)工作量大，同時(shí)存在控制不嚴(yán)、不全問題。中小銀行實(shí)施接入實(shí)名審批管理，任何計(jì)算機(jī)終端接人內(nèi)聯(lián)網(wǎng)絡(luò)必須通過審批，且有維護(hù)人員在接入控制系統(tǒng)中嚴(yán)格把關(guān)、實(shí)名登記后方可接人內(nèi)部系統(tǒng)，否則將被阻斷。凡是接入設(shè)備需進(jìn)行強(qiáng)制安全體檢后，確定已安裝相關(guān)安全軟件后方可接入內(nèi)部網(wǎng)絡(luò)，據(jù)網(wǎng)絡(luò)地址分配使用規(guī)則和設(shè)備命名規(guī)范，生成網(wǎng)絡(luò)物理地址對(duì)，嚴(yán)防用戶私自修改地址信息，保證接入設(shè)備的真實(shí)性。

二是移動(dòng)設(shè)備接入控制管理。針對(duì)不同的計(jì)算機(jī)終端設(shè)備制定不同外設(shè)接入策略，實(shí)現(xiàn)對(duì)光驅(qū)、軟驅(qū)、串/并口、USB端口、無線、藍(lán)牙、卷等設(shè)備的禁用或啟用配置。移動(dòng)存儲(chǔ)介質(zhì)具有惟一的識(shí)別編碼，軟件將移動(dòng)介質(zhì)的相關(guān)信息記錄在后臺(tái)數(shù)據(jù)庫，管理人員按條件可以進(jìn)行模糊檢索和查看，實(shí)現(xiàn)編號(hào)管理和權(quán)限密碼管理。

中小銀行部署接入控制系統(tǒng)，同時(shí)制定內(nèi)網(wǎng)計(jì)算機(jī)安全管理規(guī)章，通過采用制訂安全方略、逐級(jí)管理的方式對(duì)信息科技軟件實(shí)現(xiàn)全面的、綜合的、多位一體的管控，安全策略經(jīng)過由松到嚴(yán)、循序漸進(jìn)的應(yīng)用，逐漸顯現(xiàn)出預(yù)期的效果。通過接入控制，可以變被動(dòng)為主動(dòng)，積極改變信息科技系統(tǒng)模式，增強(qiáng)管理員對(duì)問題的主動(dòng)發(fā)現(xiàn)和遠(yuǎn)程維護(hù)能力，提高工作效率和工作質(zhì)量，并且可以解決終端非法外聯(lián)問題，實(shí)現(xiàn)基于用戶網(wǎng)絡(luò)地址和物理地址接入認(rèn)證，在一定程度上增強(qiáng)網(wǎng)絡(luò)的安全性、可用性，實(shí)現(xiàn)標(biāo)準(zhǔn)化管理。通過接入控制系統(tǒng)應(yīng)用實(shí)施和探索，信息安全管理在制度建設(shè)、技術(shù)控制、工作方式上做到三位一體，各方面都會(huì)極大提高，為建立信息安全工作的長(zhǎng)效機(jī)制提供保障。

五、入侵檢測(cè)系統(tǒng)

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)部署于網(wǎng)絡(luò)中的關(guān)鍵位置點(diǎn)，用來實(shí)時(shí)監(jiān)控各種網(wǎng)絡(luò)數(shù)據(jù)報(bào)文及網(wǎng)絡(luò)動(dòng)態(tài)行為，以便在遭遇或認(rèn)為有可能遭遇網(wǎng)絡(luò)侵害時(shí)，及時(shí)的報(bào)警、響應(yīng)。其動(dòng)態(tài)的安全響應(yīng)體系與防火墻、路由器等靜態(tài)的安全體系形成強(qiáng)大的協(xié)防體系，可以增強(qiáng)用戶的整個(gè)安全防護(hù)強(qiáng)度。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)綜合使用各項(xiàng)檢測(cè)技術(shù)，例如，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)通過誤用檢測(cè)、異常巡檢、智能協(xié)議分析、會(huì)話狀態(tài)分析、實(shí)時(shí)關(guān)聯(lián)檢測(cè)等多種入侵檢測(cè)技術(shù)，提高精確度，降低誤報(bào)率等。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)實(shí)時(shí)跟蹤各種系統(tǒng)、軟件漏洞，并及時(shí)更新事件庫，及時(shí)、準(zhǔn)確地檢測(cè)到各種已知攻擊。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)建立完備的異常統(tǒng)計(jì)分析模型，用戶還可以根據(jù)實(shí)際網(wǎng)絡(luò)環(huán)境適當(dāng)調(diào)整相關(guān)參數(shù)，更加準(zhǔn)確地檢測(cè)到行為異常攻擊。并且，基于內(nèi)置的強(qiáng)大協(xié)議解碼器，能夠檢測(cè)到各種違背網(wǎng)絡(luò)協(xié)議規(guī)范的協(xié)議異常攻擊。

中小銀行建立網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，通過重組各類網(wǎng)絡(luò)數(shù)據(jù)包、監(jiān)控并分析會(huì)話狀態(tài)，在有效地防止網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)規(guī)避攻擊的同時(shí)，不僅可以減少誤報(bào)和漏報(bào)，而且可以大大提高檢測(cè)性能?，F(xiàn)在的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)內(nèi)置幾千種以上入侵規(guī)則，提供對(duì)拒絕服務(wù)攻擊、代碼攻擊、病毒、后門攻擊等各種攻擊的檢測(cè)能力，并且能夠基于網(wǎng)絡(luò)協(xié)議及可疑網(wǎng)絡(luò)活動(dòng)處理器，增強(qiáng)拒絕服務(wù)攻擊、掃描等攻擊事件檢測(cè)能力。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)采用最新的，較高配置的，專用的高速硬件平臺(tái)，提供高速網(wǎng)絡(luò)接口接入和全面改進(jìn)的背板總線設(shè)計(jì)。對(duì)于存在系統(tǒng)漏洞但尚未發(fā)現(xiàn)相關(guān)蠕蟲事件的狀況，通過分析漏洞來提供相關(guān)的入侵事件規(guī)則，最大限度地解決蠕蟲發(fā)現(xiàn)滯后的問題。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)具有高穩(wěn)定、高安全、高效率、高擴(kuò)展、模塊化、多平臺(tái)的特點(diǎn)，其內(nèi)置大量入侵檢測(cè)規(guī)則，能檢測(cè)各種入侵攻擊企圖，并且可以與華為、思科路由器互動(dòng)，組成強(qiáng)大的聯(lián)合防御體系。

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)通過提供實(shí)時(shí)監(jiān)控當(dāng)前會(huì)話并根據(jù)情況及時(shí)進(jìn)行切斷、保存會(huì)話內(nèi)容的功能，以圖形方式實(shí)時(shí)監(jiān)控引擎的處理器、內(nèi)存等資源信息及網(wǎng)絡(luò)流量信息，并且監(jiān)控并記錄會(huì)話的訪問信息，提供客戶端、服務(wù)器的相關(guān)訪問情況，并且可以展示成各自報(bào)表，更加形象，并且提供基于網(wǎng)絡(luò)流量統(tǒng)計(jì)報(bào)表，支持大型分布式網(wǎng)絡(luò)環(huán)境下的分級(jí)部署管理功能。該系統(tǒng)提供采集入侵相關(guān)信息、發(fā)出入侵警報(bào)以及限制網(wǎng)絡(luò)訪問等功能，以保護(hù)服務(wù)器免受內(nèi)外部攻擊，有效地防止暴露入侵檢測(cè)系統(tǒng)的存在，控制臺(tái)引擎間的通訊采用加密認(rèn)證，保護(hù)入侵檢測(cè)系統(tǒng)自身的安全性，極大地減輕管理員的負(fù)擔(dān)。

六、運(yùn)維預(yù)警監(jiān)控系統(tǒng)

隨著網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備等各種設(shè)備增多，愈來愈多的客戶都在規(guī)劃或采納業(yè)務(wù)集中的方案。然而業(yè)務(wù)系統(tǒng)集中后，不僅增加運(yùn)行維護(hù)的工作強(qiáng)度，而且會(huì)使集中的系統(tǒng)變得更加繁雜。有效的系統(tǒng)和應(yīng)用監(jiān)控體系成為監(jiān)督業(yè)務(wù)資源的使用狀況，及時(shí)發(fā)現(xiàn)可能導(dǎo)致系統(tǒng)故障的隱患，實(shí)現(xiàn)系統(tǒng)運(yùn)營保障的關(guān)鍵。另外，借助于統(tǒng)一監(jiān)控解決方案，中小銀行能夠正確和及時(shí)掌握系統(tǒng)的運(yùn)行狀態(tài)，發(fā)現(xiàn)影響整個(gè)系統(tǒng)運(yùn)行的瓶頸，協(xié)助系統(tǒng)管理人員進(jìn)行必要的系統(tǒng)改進(jìn)和配置變更，甚至為系統(tǒng)的升級(jí)和擴(kuò)容提供依據(jù)。維護(hù)人員快速地分析出應(yīng)用故障原因，把他們從繁雜重復(fù)的工作中解放出來。因此，很多中小銀行的科技部門提出建立集中科技管理系統(tǒng)的需求，監(jiān)控的內(nèi)容包括網(wǎng)絡(luò)、服務(wù)器、數(shù)據(jù)庫、中間件和應(yīng)用等等，其通過統(tǒng)一監(jiān)控系統(tǒng)及時(shí)發(fā)現(xiàn)系統(tǒng)中的故障，減少故障處理時(shí)間。

監(jiān)控系統(tǒng)包含網(wǎng)絡(luò)故障監(jiān)控和系統(tǒng)性能故障監(jiān)控。網(wǎng)絡(luò)監(jiān)控是向網(wǎng)絡(luò)的管理軟件，可以高效的發(fā)現(xiàn)各類大型網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，持續(xù)地監(jiān)視、報(bào)告網(wǎng)絡(luò)的運(yùn)行狀況。通過網(wǎng)絡(luò)監(jiān)控管理可以實(shí)現(xiàn)，直觀、準(zhǔn)確的展現(xiàn)網(wǎng)絡(luò)的組成拓?fù)?，協(xié)助管理人員全面了解整個(gè)網(wǎng)絡(luò)運(yùn)行狀況；通過實(shí)時(shí)性能監(jiān)控，能夠預(yù)防各種可能出現(xiàn)的故障，降低網(wǎng)絡(luò)運(yùn)行和維護(hù)成本，達(dá)到快速排查故障，協(xié)助管理人員及時(shí)處理網(wǎng)絡(luò)中出現(xiàn)的問題，進(jìn)而構(gòu)建良好及透明的網(wǎng)絡(luò)環(huán)境，為銀行的網(wǎng)絡(luò)管理提供便利和快捷的通道。

從業(yè)務(wù)和技術(shù)角度對(duì)網(wǎng)絡(luò)重要鏈路進(jìn)行監(jiān)測(cè)和分析，對(duì)鏈路的連通性、負(fù)荷程度、魯棒性進(jìn)行評(píng)估，持續(xù)監(jiān)視、報(bào)告網(wǎng)絡(luò)鏈路的運(yùn)行狀況，發(fā)現(xiàn)異常及時(shí)預(yù)警提示。性能故障管理是實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)設(shè)備的處理器、內(nèi)存、流量、存儲(chǔ)等運(yùn)行性能指標(biāo)，持續(xù)跟蹤和分析設(shè)備負(fù)載的變化；提供網(wǎng)管信息工具箱，方便查詢端口列表、網(wǎng)絡(luò)信息表、轉(zhuǎn)發(fā)表等等；支持故障、性能、安全等各類告警事件的接收和分級(jí)；可對(duì)故障進(jìn)行根源挖掘分析，在網(wǎng)絡(luò)拓?fù)涞臉?biāo)紅突出顯示，并提供一鍵式的故障定位、排查機(jī)制。

中小銀行通過業(yè)務(wù)與應(yīng)用監(jiān)控管理可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫、中間件、虛擬化資源、通用服務(wù)等資源的監(jiān)控，協(xié)助管理人員快速掌握以上資源的運(yùn)行狀況；通過實(shí)時(shí)性能監(jiān)控和圖形化展示平臺(tái)，提前預(yù)防故障出現(xiàn)，降低系統(tǒng)運(yùn)行風(fēng)險(xiǎn)；快速定位排查故障，協(xié)助管理人員及時(shí)解決故障，降低故障影響范圍，建立業(yè)務(wù)視圖，從業(yè)務(wù)角度出發(fā)，監(jiān)控、評(píng)估和展現(xiàn)業(yè)務(wù)運(yùn)行狀況。

七、準(zhǔn)入控制系統(tǒng)

隨著計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的快速發(fā)展和大面積深度和廣度的應(yīng)用，其帶來的利弊被廣大企業(yè)技術(shù)人員和管理人士所熟稔，信息的安全性越來越受到企業(yè)單位的高度重視，特別在銀行、證券公司等金融行業(yè)，企業(yè)接入終端種類繁多，用戶安全意識(shí)懸殊，金融行業(yè)對(duì)終端接入安全認(rèn)證的要求也愈發(fā)嚴(yán)格，通過終端準(zhǔn)入管理功能可以方便的對(duì)終端安全接入進(jìn)行控制。目前遇到的問題主要有：非法外聯(lián)的問題、內(nèi)、外網(wǎng)隔離的問題、網(wǎng)絡(luò)邊界完整的問題、私改網(wǎng)址、網(wǎng)址無法可控、內(nèi)外網(wǎng)無法實(shí)名制等問題，安全威脅多，管理難題大。準(zhǔn)入控制系統(tǒng)包含準(zhǔn)入控制、集中用戶管理、多種認(rèn)證方式、網(wǎng)絡(luò)地址管理模塊、網(wǎng)絡(luò)邊界保護(hù)、網(wǎng)絡(luò)地址審計(jì)、強(qiáng)制安裝客戶端、軟件檢查、網(wǎng)絡(luò)連接管理等模塊。

（一）準(zhǔn)入控制

基于DHCP無客戶端的準(zhǔn)入認(rèn)證，支持老舊交換機(jī)及集線器的控制，支持無線設(shè)備的準(zhǔn)入認(rèn)證、無線網(wǎng)絡(luò)準(zhǔn)入認(rèn)證及VPN的準(zhǔn)入認(rèn)證，對(duì)不符合要求的終端進(jìn)行隔離。

（二）集中用戶管理

按組、按角色對(duì)用戶進(jìn)行統(tǒng)一管理，并支持用戶的自注冊(cè)、自服務(wù)，按照管理員策略，可以定制用戶口令的安全等級(jí)、弱口令字曲、過期時(shí)間等，支持外聯(lián)AD、LDAP、SQL用戶數(shù)據(jù)庫。

（三）支持多種認(rèn)證方式

支持賬號(hào)和密碼方式認(rèn)證、動(dòng)態(tài)口令牌認(rèn)證、短信雙因素認(rèn)證、動(dòng)態(tài)口令卡認(rèn)證、移動(dòng)設(shè)備密碼卡認(rèn)證、藍(lán)牙認(rèn)證和無線認(rèn)證。

（四）網(wǎng)絡(luò)地址管理

支持動(dòng)態(tài)分配固定網(wǎng)絡(luò)地址，基于組、角色、用戶、終端分配網(wǎng)絡(luò)地址，實(shí)現(xiàn)網(wǎng)絡(luò)隔離區(qū)，先認(rèn)證再分配正常網(wǎng)絡(luò)地址，并對(duì)網(wǎng)絡(luò)地址使用狀況通過圖形、表格形式進(jìn)行統(tǒng)計(jì)。

（五）網(wǎng)絡(luò)邊界保護(hù)

實(shí)時(shí)監(jiān)測(cè)在線終端的狀況，當(dāng)發(fā)現(xiàn)篡改I網(wǎng)絡(luò)、物理地址的終端，對(duì)其進(jìn)行告警、阻斷，圖形化展示網(wǎng)絡(luò)設(shè)備的端口詳細(xì)信息，對(duì)用戶、網(wǎng)絡(luò)地址、物理地址、物理位置進(jìn)行定位，并對(duì)內(nèi)網(wǎng)ARP病毒進(jìn)行監(jiān)測(cè)、定位。

（六）網(wǎng)絡(luò)地址審計(jì)

支持網(wǎng)絡(luò)地址使用人實(shí)時(shí)和歷史查詢及網(wǎng)絡(luò)地址的分配報(bào)告，提供詳盡的報(bào)表和標(biāo)準(zhǔn)日志的導(dǎo)入、存貯、查詢。

（七）強(qiáng)制安裝客戶端

用戶入網(wǎng)時(shí)強(qiáng)制用戶必須安裝客戶端，客戶端本身具有進(jìn)程防殺、防卸載功能，并支持客戶端自動(dòng)升級(jí)。

（八）軟件檢查

支持自定義軟件檢查，通過進(jìn)程、服務(wù)、端口、文件版本信息進(jìn)行設(shè)置，并可以檢查所安裝殺毒軟件的病毒庫版本，做到及時(shí)更新預(yù)警。

（九）網(wǎng)絡(luò)連接管理

支持對(duì)撥號(hào)、2G、3G、4G、無線網(wǎng)絡(luò)連接行為進(jìn)行核查，通過禁止使用代理服務(wù)器、禁止私接ARP表項(xiàng)、禁止更改路由表項(xiàng)，防止違規(guī)外聯(lián)。

八、實(shí)用小工具

本節(jié)介紹中小銀行在實(shí)際工作中的一些常用小工具，包含啟用網(wǎng)絡(luò)時(shí)間同步、統(tǒng)一日志收集工具和在線PING工具，工具雖小，簡(jiǎn)便實(shí)用。

（一）啟用設(shè)備時(shí)間同步

通過統(tǒng)一配置時(shí)間同步，統(tǒng)一配置網(wǎng)絡(luò)設(shè)備時(shí)間同步配置。目前，中小銀行的服務(wù)器和網(wǎng)絡(luò)設(shè)備等都有時(shí)間設(shè)置，但是大多數(shù)中小銀行的時(shí)間設(shè)置不同步，導(dǎo)致系統(tǒng)日志等各方面信息交換不能很好的對(duì)應(yīng)起來，中小銀行啟用主機(jī)設(shè)備和網(wǎng)絡(luò)設(shè)備同步，對(duì)保持時(shí)間的一致性、統(tǒng)一性、規(guī)范性都有重要的意義，對(duì)分析日志，日志收集的可比性也可以做到保證。中小銀行應(yīng)當(dāng)將逐步在支行設(shè)備進(jìn)行推廣配置，通過設(shè)置網(wǎng)絡(luò)設(shè)備時(shí)間同步，統(tǒng)一網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備的日志記錄時(shí)間，避免每一臺(tái)設(shè)備時(shí)間重復(fù)配置，保證日志時(shí)間的準(zhǔn)確性，進(jìn)而可以準(zhǔn)確分析故障日志時(shí)間，定位故障。

（二）統(tǒng)一日志收集工具

通過研究3CDaemon軟件特性，結(jié)合中小銀行實(shí)際狀況，配置應(yīng)用成日志統(tǒng)一收集小工具，該工具統(tǒng)一收集網(wǎng)絡(luò)日志、系統(tǒng)日志到一個(gè)展示頁面，極大提高查看日志的效率，對(duì)比分析日志更加便捷，該軟件綠色免安裝，簡(jiǎn)單易用。統(tǒng)一日志的好處在于日志大集中處理，極大減輕網(wǎng)絡(luò)管理人員和系統(tǒng)管理人員的工作復(fù)雜度，節(jié)約時(shí)間，提高工作效率，另外，日志大集中，可以方便的度日志運(yùn)用大數(shù)據(jù)技術(shù)進(jìn)行智能分析，以便更好的分析系統(tǒng)的運(yùn)行情況，及時(shí)區(qū)分和識(shí)別日志奇異點(diǎn)，以便高效運(yùn)行，降低故障頻率，從而降低信息科技風(fēng)險(xiǎn)，保證系統(tǒng)高效穩(wěn)定的運(yùn)行。

（三）統(tǒng)一在線PING

在線PING工具是中小銀行科技人員用來的實(shí)現(xiàn)批量PING網(wǎng)絡(luò)主機(jī)，及時(shí)檢測(cè)網(wǎng)絡(luò)狀態(tài)、線路連通性，并且配有TELNET功能，可以方便的TELNET進(jìn)入該機(jī)器進(jìn)行操作。該工具掃描依據(jù)掃描頻次分為自動(dòng)掃描、手工掃描和定時(shí)掃描三種方式，其中，定時(shí)掃描可以自主設(shè)立掃描間隔，一次掃描歷時(shí)控制在較短時(shí)間以內(nèi)，掃描結(jié)束后，能夠提示未通線路、包傳遞過長(zhǎng)線路，并且可以集中查看，還可以查看歷時(shí)記錄。通過該工具，系統(tǒng)管理人員的工作可以變得更加便捷高效，從而及時(shí)發(fā)現(xiàn)和處置網(wǎng)絡(luò)故障情況，從而減少網(wǎng)絡(luò)故障網(wǎng)點(diǎn)，保證網(wǎng)絡(luò)的可用性。

九、小結(jié)

本文選取中小銀行利用信息技術(shù)加強(qiáng)風(fēng)險(xiǎn)管理的幾個(gè)常用實(shí)踐，主要包括建立網(wǎng)絡(luò)備份中心、啟用虛擬化技術(shù)建立應(yīng)用系統(tǒng)級(jí)容災(zāi)備份中心、建立統(tǒng)一數(shù)據(jù)平臺(tái)、移動(dòng)設(shè)備接入控制和數(shù)據(jù)保密、網(wǎng)絡(luò)入侵檢測(cè)、設(shè)備準(zhǔn)入控制、運(yùn)維監(jiān)控預(yù)警以及幾個(gè)常用小工具。通過實(shí)踐，較大程度上可以降低信息科技風(fēng)險(xiǎn)，從而保證中小銀行系統(tǒng)穩(wěn)定的運(yùn)行，進(jìn)而更好的服務(wù)銀行業(yè)務(wù)的發(fā)展。