邱成良

伴随经济的快速发展，中小银行（含农信社改制的农合行、农商行）业务快速发展，信息科技应用水平持续提升，一方面提高业务交易的方便快捷，降低管理成本和交易花费；另一方面信息科技过度渗透到业务、管理的各环节，其对科技过度依赖及由此产生的风险却在加剧，信息科技风险问题突出，已经成为影响中小银行业务连续性和经营稳健性的重要因素。

本文选取中小银行利用信息技术加强风险管理的几个重要实践，主要包括建立网络备份中心机房、启用虚拟化技术建立应用系统级容灾、建立统一数据软件、移动存储设备和数据保密、网络入侵检测、准入控制系统、运维监控预警以及几个实用工具等，为中小银行防范信息科技风险进行相关实践提供参考。

一、建立网络备份中心

中小银行网络结构基本分为三个区域：上联区、核心区、下联区。上联区中小银行一般采用双设备双线路，设备基本是双电源路由器。核心区一般会部署两台双电源的交换机，实现业务核心数据交换。下联区中小银行采用三层交换机双设备双线路和分支相连。中小银行同城网络备份中心可采用热备的方式建立，即两地机房网络系统在平日处于同时运行的状态，并且相互之间互为备份，这样当任何一地发生灾难性事件时，两地之间可以相互的切换，且备份网络系统必须能够保证相关重要业务的正常访问。

中小银行业务网络备份系统采用完全热备的方式建立，两个机房的网络设备性能基本能对等。对于热备模式，中小银行可以租用电信运营商机房机柜的方式建设。当中小银行中心机房网络系统因为灾难性事件出现整个故障时，中心机房的系统、网络均不能正常运行。如果建立起一个同城网络备份机房，该备份机房与中心机房互为备份，当任何一地发生紧急状况时，可以相互之间迅速进行热切换。

中小银行同城备份机房的建设应具体衡量如下几方面：备份中心的所有外联网线路应与中小银行中心机房的所有外联网线路同时处于运行当中，且相互之间互为热备份；备份机房应与中小银行中心机房具有大致相同的网络层次拓扑，以保证在发生紧急状况时，备份中心能够保证相关重要业务的正常访问；对于两地机房，应在同一网络拓扑层面上部署具有相同功能和作用的网络硬件，两者同时处于运行状态，且相互之间互为热备；备份中心构建一台核心交换机，从而在网络拓扑层面上，与中心机房的核心交换区相互对应。中心机房和备份机房应采用合适的网络技术，在核心交换区域网络层面打通；备份中心构建一台上联路由器，从而在网络拓扑层面上，与中心机房的上联路由器相互对应；备份中心构建一台下联路由器，从而在网络拓扑层面上，与中心机房的下联路由器相互映射，作为所有网点的备份线路。

二、利用虚拟化建立应用系统级容灾

近年来，伴随中小银行的迅猛扩大，其科技系统建设大为增加。传统情况下，如果增加一个业务科技系统必须配套增加一臺或多台专用服务器和相应存储设备，这样的情况下，所配置服务器、存储的大量资源没有被实用，设备利用率低下，造成运算资源和存储资源的双重浪费。同时，伴随着服务器、存储设备数量的快速增加，后期成本也增长迅速，并且，伴随服务器数量剧增，机房耗电量大为提高，给机房供电、制冷、温湿度等带来一系列问题。

中小银行自行或与外部公司合作开发建设管理类、生产类的科技系统，这些科技系统大多没有建立完善的备份，而银行的生产运营、管理决策已经与科技系统密切联系在一起，这些系统的崩溃会直接影响银行的营运。中小银行在虚拟化实施以前，一般是每个应用系统占用一台或多台服务器和存储设备，服务器、存储设备购置花费逐年增加，运算资源、存储设备等使用效率普遍低下，不间断电源供电、机房温、湿度等指标预警频繁发生，运行维护工作量大大增加。为解决以上问题，确保业务连续性，中小银行应当建设服务器虚拟化，建立应用系统及容灾备份中心，同时为防止因其应用上线，所形成一个存储运行造成的孤点问题，中小银行应当利用虚拟化建设中替换下的存储在本地建立相应数据备份，同时适时建立同城异地应用系统级备份中心。

中小银行可以将现有设备建成一个机群，同时在线运行约一二百个左右虚拟机器，着重保护若干个（总数量一半以上）以内关键业务虚拟机。替换下的一台存储用来做相应站点的数据备份，谨防错误操作及逻辑错误指令。相关备份软件应该采用在虚拟化软件领域处于较强领导地位的备份软件。在备份中心配置几台服务器和一台存储设备，做成一个机群，配置关键虚拟机，配置共享资源。

整个容灾切换的流程应当保持易操作，最好一键式操作，脱离人工的自动切换流程。项目建设时，中小银行重点将CPU、RAM、磁盘资源占用少的系统迁入虚拟机，其他系统暂不处理。实施后，存储设备、服务器数量一般会大幅降低。软件运行会更加安全，软件上线部署会变得简单、快捷、便利，极大减轻软件运行维护压力；与此同时，中心机房用电、空调运行效果会有较大程度的改观，机房拓扑结构将会变得更加整齐，维护更加方便；可以清楚预测，实施虚拟化及应用级容灾建成后中小银行服务器、存储设备采购的花费将极大下降。

三、统一数据软件

中小银行始终致力于服务当地中小企业、中小工商户、农户等相对规模较小的群体。由于中小银行规模、运行维护水平差别巨大，其对数据的利用程度非常悬殊，存在各种运维问题。例如：软件建设没有规划、前瞻，盲目投资建设、重复现象严重；软件开发技术框架不规范，部分新引进项目开发技术已落后；缺乏核心技术，存在较大外包管理风险；忽视科技人才团队建设，导致较高水平人员严重匮乏，持续健康发展受到挑战，甚至软件运行维护管理也漏洞百出，受制外包公司现象严重。

为进一步加大对辖内分支机构的数据支撑，中小银行亟须建立新的业务数据统一管理软件，增加重要的外包系统数据源统一管理，对数据中心数据结构进行改进调整。为充分利用数据，支持业务发展和管理需要，同时，考虑其他业务系统数据来源，建设数据集中管理软件，整合不同业务部门业务管理子系统，为银行业务部门、下级机构、部门间交流，部门经理、行领导领导决策，提供数据支持，在现阶段显得极为迫切。统一数据软件系统建设采用“系统规划、逐步实施”的方式，实行滚动联体式开发、确保持续改进和完善。

建设统一数据软件。根据中小银行自身科技水平和银行科技管理思路，可以选择一到两家公司进行项目的长期合作，与合作方共同开发建设统一数据软件，这样的好处是即开发了软件，又为中小银行培养了相关数据专业人才。在技术框架选择上综合衡量成本、技术先进性和适用性等因素，同时要充分兼顾系统的可扩展性，确保系统在未来五年内业务发展的需求。在系统的界面友好性及可维护性方面，要求系统界面设计交互性强，便于系统运行维护维护职员及各级一线操作员能够学会各项业务操作，尽量减少系统运行维护人员工作。

自主或合作搭建统一开发软件。中小银行根据自身科技实力水平，可以选择自主或与合作公司共同搭建统一开发软件，如果中小银行自身科技水平和实力较强，并且时间充裕，那么中小银行可以考虑自主开发相应的软件系统，反之，可以选择和外包公司一起进行软件开发，逐步积累技术、成果，为以后打好坚实基础。在开发软件搭建好以后，中小银行可以逐步整合各类应用。根据之前系统开发缺乏规划的局面，建立统一登录软件，实现系统单点登陆，解决系统繁多多次登陆的弊病。通过逐步的整合和开发，逐步构建各类应用系统，支撑全行的业务发展和管理需要。

四、移动设备接入和数据保密

随着银行业务的不断发展，金融科技化日新月异，银行对信息系统的依赖性越来越大，信息科技系统已成为日常办公和业务操作的重要支撑，但同时众多的重要信息存于内连网络中，信息安全问题日益突出，各类病毒层出不穷。终端设备安全防范方式方法匮乏，并未引起相关管理人员的足够重视，终端管理缺乏有效的监管，通过信息科技系统窃取大客户信息存贷款信息、电话信息、商业机密、乱改重要数据、入侵应用系统等事件常有发生，中小银行必须引起高度重视。

由于设备购置日期、品牌、配置、厂商各不相同，设备的系统软件、安全防范措施及补丁安装状况差异巨大，甚至存在购买的设备没有采取防范措施，病毒大肆蔓延，病毒感染严重；对外部设备的接入未实现接入控制或者控制不严，随着笔记本电脑、智能手机、平板电脑等移动设备的普及，大量移动设备接入内联系统网络中，如忽视接入终端身边检测、管控等措施，同样会造成较大的病毒蔓延，带来较大的信息科技风险。

为解决目前信息科技系统管理存在的问题，可以从技术理念两方面双管齐下，确保上述问题扼杀在萌芽之中。技术方面通过接入控制管理来实施信息科技系统安全管理软件，加大新设备、新的软件的投建力度，确保新技术的广泛应用，同时增强科技安全管理的技术手段，理念方面除制定相应的规程手册和操作流程外，根据杀毒或其他信息安全软件定期提供的报告结果，不断地修订安全策略，尽可能的降低隐患发生频率。

一是接入控制管理。以往计算机设备接入内部网络系统主要采用在交换机设备上配置网络和物理地址绑定的方法进行管控，但维护工作量大，同时存在控制不嚴、不全问题。中小银行实施接入实名审批管理，任何计算机终端接人内联网络必须通过审批，且有维护人员在接入控制系统中严格把关、实名登记后方可接人内部系统，否则将被阻断。凡是接入设备需进行强制安全体检后，确定已安装相关安全软件后方可接入内部网络，据网络地址分配使用规则和设备命名规范，生成网络物理地址对，严防用户私自修改地址信息，保证接入设备的真实性。

二是移动设备接入控制管理。针对不同的计算机终端设备制定不同外设接入策略，实现对光驱、软驱、串/并口、USB端口、无线、蓝牙、卷等设备的禁用或启用配置。移动存储介质具有惟一的识别编码，软件将移动介质的相关信息记录在后台数据库，管理人员按条件可以进行模糊检索和查看，实现编号管理和权限密码管理。

中小银行部署接入控制系统，同时制定内网计算机安全管理规章，通过采用制订安全方略、逐级管理的方式对信息科技软件实现全面的、综合的、多位一体的管控，安全策略经过由松到严、循序渐进的应用，逐渐显现出预期的效果。通过接入控制，可以变被动为主动，积极改变信息科技系统模式，增强管理员对问题的主动发现和远程维护能力，提高工作效率和工作质量，并且可以解决终端非法外联问题，实现基于用户网络地址和物理地址接入认证，在一定程度上增强网络的安全性、可用性，实现标准化管理。通过接入控制系统应用实施和探索，信息安全管理在制度建设、技术控制、工作方式上做到三位一体，各方面都会极大提高，为建立信息安全工作的长效机制提供保障。

五、入侵检测系统

网络入侵检测系统部署于网络中的关键位置点，用来实时监控各种网络数据报文及网络动态行为，以便在遭遇或认为有可能遭遇网络侵害时，及时的报警、响应。其动态的安全响应体系与防火墙、路由器等静态的安全体系形成强大的协防体系，可以增强用户的整个安全防护强度。网络入侵检测系统综合使用各项检测技术，例如，网络入侵检测系统通过误用检测、异常巡检、智能协议分析、会话状态分析、实时关联检测等多种入侵检测技术，提高精确度，降低误报率等。网络入侵检测系统实时跟踪各种系统、软件漏洞，并及时更新事件库，及时、准确地检测到各种已知攻击。网络入侵检测系统建立完备的异常统计分析模型，用户还可以根据实际网络环境适当调整相关参数，更加准确地检测到行为异常攻击。并且，基于内置的强大协议解码器，能够检测到各种违背网络协议规范的协议异常攻击。

中小银行建立网络入侵检测系统，通过重组各类网络数据包、监控并分析会话状态，在有效地防止网络入侵检测系统规避攻击的同时，不仅可以减少误报和漏报，而且可以大大提高检测性能。现在的网络入侵检测系统内置几千种以上入侵规则，提供对拒绝服务攻击、代码攻击、病毒、后门攻击等各种攻击的检测能力，并且能够基于网络协议及可疑网络活动处理器，增强拒绝服务攻击、扫描等攻击事件检测能力。网络入侵检测系统采用最新的，较高配置的，专用的高速硬件平台，提供高速网络接口接入和全面改进的背板总线设计。对于存在系统漏洞但尚未发现相关蠕虫事件的状况，通过分析漏洞来提供相关的入侵事件规则，最大限度地解决蠕虫发现滞后的问题。网络入侵检测系统具有高稳定、高安全、高效率、高扩展、模块化、多平台的特点，其内置大量入侵检测规则，能检测各种入侵攻击企图，并且可以与华为、思科路由器互动，组成强大的联合防御体系。

网络入侵检测系统通过提供实时监控当前会话并根据情况及时进行切断、保存会话内容的功能，以图形方式实时监控引擎的处理器、内存等资源信息及网络流量信息，并且监控并记录会话的访问信息，提供客户端、服务器的相关访问情况，并且可以展示成各自报表，更加形象，并且提供基于网络流量统计报表，支持大型分布式网络环境下的分级部署管理功能。该系统提供采集入侵相关信息、发出入侵警报以及限制网络访问等功能，以保护服务器免受内外部攻击，有效地防止暴露入侵检测系统的存在，控制台引擎间的通讯采用加密认证，保护入侵检测系统自身的安全性，极大地减轻管理员的负担。

六、运维预警监控系统

随着网络设备、主机设备等各种设备增多，愈来愈多的客户都在规划或采纳业务集中的方案。然而业务系统集中后，不仅增加运行维护的工作强度，而且会使集中的系统变得更加繁杂。有效的系统和应用监控体系成为监督业务资源的使用状况，及时发现可能导致系统故障的隐患，实现系统运营保障的关键。另外，借助于统一监控解决方案，中小银行能够正确和及时掌握系统的运行状态，发现影响整个系统运行的瓶颈，协助系统管理人员进行必要的系统改进和配置变更，甚至为系统的升级和扩容提供依据。维护人员快速地分析出应用故障原因，把他们从繁杂重复的工作中解放出来。因此，很多中小银行的科技部门提出建立集中科技管理系统的需求，监控的内容包括网络、服务器、数据库、中间件和应用等等，其通过统一监控系统及时发现系统中的故障，减少故障处理时间。

监控系统包含网络故障监控和系统性能故障监控。网络监控是向网络的管理软件，可以高效的发现各类大型网络的拓扑结构，持续地监视、报告网络的运行状况。通过网络监控管理可以实现，直观、准确的展现网络的组成拓扑，协助管理人员全面了解整个网络运行状况；通过实时性能监控，能够预防各种可能出现的故障，降低网络运行和维护成本，达到快速排查故障，协助管理人员及时处理网络中出现的问题，进而构建良好及透明的网络环境，为银行的网络管理提供便利和快捷的通道。

从业务和技术角度对网络重要链路进行监测和分析，对链路的连通性、负荷程度、鲁棒性进行评估，持续监视、报告网络链路的运行状况，发现异常及时预警提示。性能故障管理是实时监控网络设备的处理器、内存、流量、存储等运行性能指标，持续跟踪和分析设备负载的变化；提供网管信息工具箱，方便查询端口列表、网络信息表、转发表等等；支持故障、性能、安全等各类告警事件的接收和分级；可对故障进行根源挖掘分析，在网络拓扑的标红突出显示，并提供一键式的故障定位、排查机制。

中小银行通过业务与应用监控管理可以实现对网络设备、服务器、数据库、中间件、虚拟化资源、通用服务等资源的监控，协助管理人员快速掌握以上资源的运行状况；通过实时性能监控和图形化展示平台，提前预防故障出现，降低系统运行风险；快速定位排查故障，协助管理人员及时解决故障，降低故障影响范围，建立业务视图，从业务角度出发，监控、评估和展现业务运行状况。

七、准入控制系统

随着计算机网络安全技术的快速发展和大面积深度和广度的应用，其带来的利弊被广大企业技术人员和管理人士所熟稔，信息的安全性越来越受到企业单位的高度重视，特别在银行、证券公司等金融行业，企业接入终端种类繁多，用户安全意识悬殊，金融行业对终端接入安全认证的要求也愈发严格，通过终端准入管理功能可以方便的对终端安全接入进行控制。目前遇到的问题主要有：非法外联的问题、内、外网隔离的问题、网络边界完整的问题、私改网址、网址无法可控、内外网无法实名制等问题，安全威胁多，管理难题大。准入控制系统包含准入控制、集中用户管理、多种认证方式、网络地址管理模块、网络边界保护、网络地址审计、强制安装客户端、软件检查、网络连接管理等模块。

（一）准入控制

基于DHCP无客户端的准入认证，支持老旧交换机及集线器的控制，支持无线设备的准入认证、无线网络准入认证及VPN的准入认证，对不符合要求的终端进行隔离。

（二）集中用户管理

按组、按角色对用户进行统一管理，并支持用户的自注册、自服务，按照管理员策略，可以定制用户口令的安全等级、弱口令字曲、过期时间等，支持外联AD、LDAP、SQL用户数据库。

（三）支持多种认证方式

支持账号和密码方式认证、动态口令牌认证、短信双因素认证、动态口令卡认证、移动设备密码卡认证、蓝牙认证和无线认证。

（四）网络地址管理

支持动态分配固定网络地址，基于组、角色、用户、终端分配网络地址，实现网络隔离区，先认证再分配正常网络地址，并对网络地址使用状况通过图形、表格形式进行统计。

（五）网络边界保护

实时监测在线终端的状况，当发现篡改I网络、物理地址的终端，对其进行告警、阻断，图形化展示网络设备的端口详細信息，对用户、网络地址、物理地址、物理位置进行定位，并对内网ARP病毒进行监测、定位。

（六）网络地址审计

支持网络地址使用人实时和历史查询及网络地址的分配报告，提供详尽的报表和标准日志的导入、存贮、查询。

（七）强制安装客户端

用户入网时强制用户必须安装客户端，客户端本身具有进程防杀、防卸载功能，并支持客户端自动升级。

（八）软件检查

支持自定义软件检查，通过进程、服务、端口、文件版本信息进行设置，并可以检查所安装杀毒软件的病毒库版本，做到及时更新预警。

（九）网络连接管理

支持对拨号、2G、3G、4G、无线网络连接行为进行核查，通过禁止使用代理服务器、禁止私接ARP表项、禁止更改路由表项，防止违规外联。

八、实用小工具

本节介绍中小银行在实际工作中的一些常用小工具，包含启用网络时间同步、统一日志收集工具和在线PING工具，工具虽小，简便实用。

（一）启用设备时间同步

通过统一配置时间同步，统一配置网络设备时间同步配置。目前，中小银行的服务器和网络设备等都有时间设置，但是大多数中小银行的时间设置不同步，导致系统日志等各方面信息交换不能很好的对应起来，中小银行启用主机设备和网络设备同步，对保持时间的一致性、统一性、规范性都有重要的意义，对分析日志，日志收集的可比性也可以做到保证。中小银行应当将逐步在支行设备进行推广配置，通过设置网络设备时间同步，统一网络设备、主机设备的日志记录时间，避免每一台设备时间重复配置，保证日志时间的准确性，进而可以准确分析故障日志时间，定位故障。

（二）统一日志收集工具

通过研究3CDaemon软件特性，结合中小银行实际状况，配置应用成日志统一收集小工具，该工具统一收集网络日志、系统日志到一个展示页面，极大提高查看日志的效率，对比分析日志更加便捷，该软件绿色免安装，简单易用。统一日志的好处在于日志大集中处理，极大减轻网络管理人员和系统管理人员的工作复杂度，节约时间，提高工作效率，另外，日志大集中，可以方便的度日志运用大数据技术进行智能分析，以便更好的分析系统的运行情况，及时区分和识别日志奇异点，以便高效运行，降低故障频率，从而降低信息科技风险，保证系统高效稳定的运行。

（三）统一在线PING

在线PING工具是中小银行科技人员用来的实现批量PING网络主机，及时检测网络状态、线路连通性，并且配有TELNET功能，可以方便的TELNET进入该机器进行操作。该工具扫描依据扫描频次分为自动扫描、手工扫描和定时扫描三种方式，其中，定时扫描可以自主设立扫描间隔，一次扫描历时控制在较短时间以内，扫描结束后，能够提示未通线路、包传递过长线路，并且可以集中查看，还可以查看历时记录。通过该工具，系统管理人员的工作可以变得更加便捷高效，从而及时发现和处置网络故障情况，从而减少网络故障网点，保证网络的可用性。

九、小結

本文选取中小银行利用信息技术加强风险管理的几个常用实践，主要包括建立网络备份中心、启用虚拟化技术建立应用系统级容灾备份中心、建立统一数据平台、移动设备接入控制和数据保密、网络入侵检测、设备准入控制、运维监控预警以及几个常用小工具。通过实践，较大程度上可以降低信息科技风险，从而保证中小银行系统稳定的运行，进而更好的服务银行业务的发展。