基于銀行網絡可靠性及安全優化

◆黃海軍

基于銀行網絡可靠性及安全優化

◆黃海軍

（云南工商學院 云南 651700）

隨著時代的進步，銀行數字化轉型勢在必行，為加強金融科技在銀行中的深化落實，銀行網絡的安全可靠性也越來越重要，銀行數字化通過使用一些新技術，包括大數據、人工智能、云計算技術，為用戶提供更好的服務，通過提升銀行網絡的安全可靠性，為銀行使用新技術提供安全可靠的平臺。本文將闡述在銀行網絡安全可靠性方面采取的方法和策略。主要技術涵蓋網絡設備冗余、數據鏈鋸冗余、可靠性的協議、服務器安全優化。

銀行網絡；冗余；安全優化

網絡可靠性是一個企業或是單位運轉正常的基本條件，影響網絡可靠性的因素很多，其中包括鏈路質量、網絡設備轉發數據處理能力、服務器性能、軟件運行效率、網絡設備冗余規劃設計、網絡安全防護、數據中心異地“災備”以及“運維”人員水平等。

某銀行云南省分行目前已建成與總行、地級、縣級支行以及轄內多家金融機構連接的網絡，并先后在網絡上建成了OA系統，視頻會議系統、個人征信系統，支付清算業務系統及代理國庫系統等數百個系統。各系統均以網絡為支撐，采取B/S、C/S結構運行。大部分系統均要求網絡提供24小時不間斷服務，對網絡可靠性要求非常高。

銀行網絡目前已建成與總行、地級、縣級支行以及轄內多家金融機構連接的網絡，隨著信息化程度提高，對于網絡的可靠性的要求也越來越高，本次可靠性優化規劃設計目標為提升網絡的可靠性并優化網絡結構。

1 網絡可靠性優化

為切實提高某銀行云南省分行網絡可靠性，在網絡技術方面，首選成熟的技術，采用穩定的網絡拓撲結構，考慮到網絡協議的復雜性，對于多通信協議的支持，采用TCP/IP協議架構，要求必須基于TCP/IP協議，持國際標準的路由協議，保證與其他IP網絡的可靠互聯，其中包括對IPv6協議的支持，銀行網絡自身的情況比較特殊，因涉及金融業務，相比較其他行業，對于這個網絡的可用性、穩定性以及安全性都有較高的要求，所以必須采用穩定性比較高的網絡設備，并且是國產設備，這也是符合國家網絡安全要求。以前銀行網絡有部分接入層和核心層設備用的是思科交換機路由器，在本次可靠性優化升級中交換機路由器全部更換為H3C國產設備，使用私有協議HGMP實現交換設備集中管理，簡化網絡維護工作，動態網絡鄰居自動發現，網絡拓撲自動收集，實現交換機集群設備快速響應。針對分行和總行廣域線路端點之間的可能故障，兩端設備必須支持BFD（雙向路徑檢測）技術，并且支持網絡快速收斂，可以針對全程線路間的故障檢測，通過autodetect技術實現分行端口到總行IP地址的全路徑監控，并可以配合靜態或策略路由實現快速故障旁路，從而支持“業務級”的不間斷運行。根據業務重要程度不同，采取不同的可靠性策略。業務連續性要求不高的部分，采用設備、線路“冷備冗余”策略，發生故障時手動切換至備用設備、線路。為應對故障情況，需提前配置好設備參數，例如樓層交換機配置，制定應急演練制度并定期開展演練，總結演練經驗，并形成文檔方便以后查閱。針對業務連續性要求較高的部分，如清算業務、征信業務、身份證聯網核查業務，采用設備和線路“熱備冗余”策略，線路上至少保證兩路冗余，不允許存在單點故障，力保故障發生時“業務”不中斷。放棄MSTP與VRRP相結合解決環路與網關備份方案，使用H3C虛擬化（大二層）方案。兩臺核心交換機虛擬為一臺，各匯聚層分區2臺交換機虛擬為1臺，所有接入層交換機虛擬為對應匯聚虛擬交換機的板卡。新拓撲為1臺虛擬核心交換機與4臺虛擬匯聚交換機連接，無二層環路，提供網關冗余，更好地為虛擬機遷移提供保障。

2 SAN存儲優化

針對存儲服務器后端FC-SAN，采用雙光纖交換機設備冗余組網，拓撲結構采用FC-SW，最多支持一千六百萬個設備，有著強大的擴展性，并且傳送速度最大可以達到8Gb。優化服務器備份技術，SAN存儲技術首先支持硬盤熱插拔技術，可以在不斷電的情況下更換故障硬盤，并且支持多服務器到多存儲設備的連接方式，備份服務器上只需要安裝和主服務器上相同操作系統即可在主服務器出現故障時快速切換，連接存儲在SAN上面的數據庫、中間件和業務系統，充分利用了SAN技術中的硬盤分組技術，使主備服務器切換效率提升，并且可以減少機房中服務器的數量，降低機房耗電量，節能環保，機房空間要求也隨之降低，對于機房的運維工作量也將減少。

3 數據中心可靠性優化

為進一步增強省級網絡的可靠性，建設了同城轉接中心，采用兩地“三中心”模式。省級數據中心與同城轉接中心對應的網絡設置之間部署具備冗余備份的光纖復用設備，使用兩對以上的“互備裸光纖”互聯，以提供冗余備份功能與數據快速交換服務。當數據中心生產區無法提供網絡服務時，同城轉接中心將接管網絡服務，外部機構將通過同城轉接中心的外聯防火墻訪問DMZ區中業務系統，實現數據中心和轉接中心間的網絡級“雙活”。采用此方式可以最大限度保護數據和業務連續工作不中斷，還可以應對重大區域性災難，如地震等不可抗拒原因。

4 網絡安全訪問及服務器安全優化

安全性優化主要是對網絡硬件設備安全優化，在網絡設備上架之前需要檢測有無漏洞，無效配置是否去除，系統版本是否為最新版本，遠程訪問方式是否為SSH（ Secure Shell，安全外殼協議）或HTTPS加密訪問方式。采用信息安全預警系統對攻擊進行預警，其中包括網絡邊界防控預警、通過把整個銀行網絡區域邏輯上劃分為外部區域、安全區域和銀行內部系統區域三個部分。外部區域主要連接互聯網，部署了防火墻、WAF等多種網絡安全硬件設備，一旦發現來自“外網”的攻擊，預警系統將會立即做出響應策略，應用防控預警、日志分析預警、業務數據流異常行為預警以及攻擊反饋，通過以上5個預警反饋模塊增強銀行線上業務信息安全，針對銀行內部系統區域服務器安全，使用漏洞掃描設備，對服務器開放的端口進行掃描，進行風險評估，并使用集中管理平臺統一管理，對于每一個內部區域都可以進行安全掃描覆蓋，避免出現掃描盲區。對服務器進行漏洞檢測時，避免使用影響服務器穩定的掃描策略，例如使用弱口令字典，有可能會造成服務器賬號被鎖住無法正常登錄，影響服務器的管理維護工作，對于掃描后發現的操作系統漏洞，及時安裝漏洞補丁，在對服務器掃描時遇到開源軟件漏洞，先停用此開源軟件，避免漏洞被利用對服務器產生危害，到“開源軟件官網”下載漏洞補丁，升級到“穩定版”方可使用。如果遇到外購軟件掃描出漏洞，先通知軟件開發商，讓其對漏洞進行修補，如涉及系統升級需求進行兼容性檢測，為了避免升級后對服務器上的其他應用業務產生影響，一定要先做好兼容性測試后再對系統進行升級。服務器上以前使用后面未使用的服務如被檢測出來后也需要將其關閉，免除安全隱患，卸載服務器上所有未授權軟件。在后期將定期開展網絡安全專項檢查，排除基本網絡設施安全風險，掃描網絡安全漏洞，定期給服務器安裝補丁，全面提升網絡防護水平，以及網絡安全保障能力。也可以加入一些日常內部網絡“安全攻防”演練，找到系統存在的安全問題。

5 總結

銀行網絡可靠性的提升方法，可以通過采用“雙機熱備”以及線路冗余技術，提升銀行網絡可靠性，也保證了網絡的快速響應，實現了銀行業務流量穩定可靠傳輸，多層網絡設計結構，在網絡出現故障后可以隔離，避免網絡傳輸中斷，大二層新技術的使用，也解決了二層環路問題，并實現網關冗余。網絡設備安全檢測，內部網絡安全攻防演練以及信息安全預警系統的使用，可以提升銀行網絡安全性，第一時間對攻擊進行預警，并做出防御，更好的保護銀行網絡以及信息系統安全，服務器安全也是一項長期持久的工作，沒有一個操作系統是百分之一百安全，只有定期進行漏洞檢測，安全升級，才能保證銀行系統網絡穩定運行。

[1]李臣星，俞俊杰.銀行網絡安全問題與防范措施的探析[J].網絡安全技術與應用，2018（2）：129-129.

[2]丁晨.大數據和人工智能技術在銀行網絡安全風險管理中的實踐—日志安全審計分析業務[J].中國信息化，2019（5）：66-68.

[3]劉遠歡.關于金融科技時代下銀行網絡安全運營的思考[J].中國信息安全，2019（8）：64-67.

[4]和發文.農村商業銀行網絡安全管理研究[J].數字通信世界，2019（5）：160-160.

[5]王昕平，趙姝，張鳳林.人民銀行網絡安全框架構建研究[J].華北金融，2020（9）：66-75.

[6]韓丹.銀行網絡架構的高可用性規劃[J].科技信息，2012（35）：108-108.