随着互联网的快速发展,各行各业正在被信息化这只强而有力的“手”被快速的重塑,金融作为事关国计民生的重要行业,也在利用各种信息化手段对业务的效率提升等进行着不断探索。金融行业同样在进行着革命性的变革,作为全球顶级金融行业资深顾问的布莱特·金(Brett King)提出了“银行X.0”的概念,描绘出银行从1.0时代到4.0时代的演进历程,强调未来将会是“银行4.0”的时代,在那个时代下,银行的边界将会越来越模糊,银行将会脱离传统的物理实体而变得无处不在:传统网点是银行,手机APP是银行,人类的所有经济活动亦都成为银行。
无处不在的银行带给消费者、经济体更加高效的业务流程和更加便利的体验,同时,无边界的银行对于银行内部则带来了更大的安全风险。传统银行网络相对封闭固定,承载业务明确,总行数据中心、各类分支机构数量、位置明确,对于风险防范,一般基于物理位置设计,通过制定相应的安全制度,在固定的机构边界、网络边界部署相应的人防、技防,即可实现最大化的安全保障。但在未来,金融业务创新将会成为新常态,“网点”也会根据业务经营持续变化,传统的安全防范手段已经无法面对越来越多的非确定性网络安全威胁。为此,内蒙古农村信用社从自身业务出发,结合行业发展趋势,基于云、大数据、SDN、、云网安一体化、区块链等先进技术手段,规划了面向未来3至5年的下一代数据中心网络,以应对防范未来更加多样、隐蔽的网络安全威胁,确保金融安全,守护储户利益。
内蒙古农村信用社(简称“农信社”)是自治区境内资产规模最大、人员网点最多、服务范围最广的地方性金融机构。资产、存款、人员、网点、助农金融服务点、ATM机、金牛卡总量均居全区银行业首位,是农村牧区金融服务的主力军。2005年成立之初,农信社完成了全区联社业务的整体规划,并在此规划基础上,建设了支撑未来5-10年发展的第一个自治区数据中心,支撑了储蓄业务、对公业务、贷款业务等核心业务的顺利开展:
数据中心建设之初,农信社便积极规划设计了银行业务的安全保障方案,在数据中心各业务区域中部署了某厂商型号的防火墙,基于最强安全规则,部署了大量的基于主机地址的白名单,对业务访问实现了最细力度管控。随着业务的快速发展,原有数据中心在安全性、可靠性等方面出现一定风险。因此,新一代的灾备数据中心作为后续的主用数据中心,在设计过程中,设备选型以国产化为基础,充分预估未来的业务规模,合理应用SDN等新技术,详细体现在如下几个方面:
1.可管可控,“芯片”是设备的核心,随着设备功能逐渐增多、性能日益增强,芯片的集成度越来越高,编码复杂度越来越大,同时,由于有意或无意的疏漏,带来了各类“芯片门”,如国外著名的C厂商就被曝在销往国外的网络交换机中植入后门。本次农信社灾备数据中心使用了华为USG9560高端交换机,所使用的关键硬件芯片(网络处理器NP、逻辑FPGA、交换芯片等)均为国产自研设计,运行的操作系统为华为第八代操作系统VRP8.0,从根本上杜绝了恶意后门的存在。同时,由于该芯片系列和软件系统只供应华为使用,在出现问题的时候也可以快速的定位、修复,最大化的降低网络系统暴露在安全威胁下的时间。
2.高性能,通过对农信社原有数据中心的业务流量分析,通过防火墙的单链路业务流量已经达到了50G之多,配置的白名单数量已经到数万条,已经达到了传统盒式交换机的极限。在新建设的灾备数据中心中,华为USG9560能够提供Tbps级别的业务流量处理能力(吞吐量),整机具备8个可灵活扩展的业务槽位,提供NAT、VPN、IPS、虚拟化、业务感知等多种安全特性,不仅将设备的处理能力提升60倍,同时,提供无限制的白名单机制,为部署更多最小颗粒度白名单提供能力支撑。
3.面向未来,从当前的网络安全发展趋势来看,网络的安全防护需要从传统的防止外部安全威胁衍生至防止内外部双向安全威胁,同时,应该能够识别未知安全威胁,基于大数据、云等先进技术,能够实现全网态势动态感知,从“亡羊补牢”演进至“未雨绸缪”。华为USG9560产品能够通过SecoManager安全管理平台,配合SDN控制器,创新实现了全面的“云、网、安”三位一体立体化安全解决方案。安全探针不再局限于防火墙或者服务器,网络交换机也可以作为安全探针部署在网络中每个节点,从而实现对内外部网络安全威胁的快速识别,网络中的防火墙和交换机既可以作为网络安全探针,还可以作为安全策略执行点,通过全网统一的控制平面向交换机、防火墙下发策略,在离威胁最近的地方阻断网络,防止安全威胁的进一步传播。
最终,在农信社数据中心的每个业务区域(网银区、外联区、广域网互联区等)中规划部署了高端防火墙以及相应的配套安全设备落地,数据中心总集部署高端防火墙超过50套,形成了更加坚强、高效、灵活的立体化安全防护屏障。
在新时代的形势下,网络与我们的生活越来越紧密,如何更加高效的应对网络上已知、未知风险将会成为信息安全路上的永恒话题。华为做为数字化转型的领导者通过将自身的技术实力与客户的实际情况结合,必将碰撞出更加耀眼夺目的思想火花,与客户携手一起创造更加安全、稳定的网络世界。
华为致力于把数字世界带入每个人、每个家庭、每个组织,构建万物互联的智能世界:让无处不在的联接,成为人人平等的权利;让无所不及的智能,驱动新商业文明;所有的行业和组织,因强大的数字平台,而变得敏捷、高效、生机勃勃;个性化的定制体验不再是少数人的专属特权,每一个人与生俱来的个性得到尊重,潜能得到充分的发挥和释放。
推荐阅读:叶紫网