金磐石　郭汉利　曹文中　张　辉

(中国建设银行股份有限公司　北京 100033)



商业银行SECaaS架构设计与实现

金磐石郭汉利曹文中张辉

(中国建设银行股份有限公司北京 100033)

目前,商业银行应用系统安全功能与应用系统紧密耦合，普遍存在安全功能无法复用、难以实施统一安全策略、难以有效应对新型安全威胁的问题。在商业银行信息安全架构实践基础上，运用面向服务架构SOA技术，提出安全即服务SECaaS(Securityasaservice)架构，将安全功能从应用中解耦，实现安全功能的组件化、标准化、智能化和参数化。将安全功能以安全服务的形式为应用系统提供完备、透明、高效、可靠的安全支撑，不仅有效保障商业银行信息系统的安全稳定运行，也前瞻性地将信息安全由传统的支撑信息化建设转变为业务发展的助力者。

商业银行安全架构组件化SECaaS安全服务

0　引　言

近年来，信息技术快速发展，商业银行业务类型日益多元化，信息系统数量和规模不断增长。商业银行在信息系统建设时，通常各信息系统的安全功能独立进行开发或建设，系统之间很少复用或共用，并且安全功能往往与应用系统紧密耦合。各系统开发人员按自身理解落实安全策略，存在安全策略不统一、不一致，安全防护不能形成合力，难以应对复杂、跨系统的安全威胁。

当前，攻击者的动机更具功利性，受政治、经济、意识形态等多方面的影响，攻击者正在形成拥有强大技术、经济实力的有组织攻击团体；同时，攻击者的目标选择更明确，攻击更为专注。传统的识别、检测、防护的安全保护模式，越来越无法应对未知的、高级的新一代安全威胁。新一代安全威胁的智能化、持续性及危害性已经迫在眉睫，而且日益灵活多变的业务需求，让传统安全防护模式的力量日显薄弱。

此外，云计算、虚拟化、大数据、移动互联网等新型信息技术应用的快速发展，在为用户提供更为灵活、实用的应用及服务模式的同时，也不可避免地引入新的安全问题，并对当前的信息安全防护能力提出新的挑战。

为了应对新的安全威胁及IT技术应用的挑战，本文在商业银行信息安全架构实践基础上，运用SOA技术，提出SECaaS架构，将安全功能从应用中解耦，实现安全功能的组件化、标准化、智能化和参数化，为信息系统建设提供组件式安全服务。并通过集中策略管控，实现商业银行的统一安全策略管控、协同防护、纵深防御。

1　SECaaS架构设计与实现

1.1架构设计原则

商业银行SECaaS架构设计遵循以下三个原则：

1) 业务驱动

适应业务发展为导向的安全管控是安全服务、安全基础框架的建设目标和方向，指导安全服务和安全基础各项工作的展开。企业级的风险管控以银行内部用户和外部客户的业务流程为保护对象，可以将各个业务流程进行统一的标准化管理，针对不同的业务流程制定专属的安全管理策略，并对所有的安全策略集中管理，全局管控企业的安全管理发展方向。将安全管理由传统的以技术领域划分转变为以业务应用场景和流程划分，从信息系统安全延伸到业务、应用安全，从单点控制提升到企业级、全局风险管控的管理高度。

2) 组件化可定制

组件化可定制的安全服务是核心，从风险角度出发组合定制安全基础平台提供的服务，贯彻安全管控的策略和原则。安全服务全面涵盖国际标准、国家监管和业界最佳实践，集中为应用系统提供安全保障。同时，针对业务不同发展阶段、业务场景，平衡安全和客户体验，提供差异化的安全服务，满足安全需求，帮助业务建立适当的安全服务机制。

3) 完备的基础框架

全面完备的安全基础框架是架构的基础，提供基础的安全功能和产品，为定制化安全服务提供支撑。安全基础框架应具有安全功能高效、服务平台通用、安全管理统一的特征。同时，在充分保证性能和可靠性的前提下，能够快速适应新技术、新应用对安全保障的需求，将安全功能以无缝透明的形式向应用系统提供服务。另外，安全基础框架应可以将繁多的信息安全技术进行标准化和模块化处理，通过各种统一的标准模块将安全功能灵活快速组合，并可根据应用系统的个性化需求提供定制化的安全支撑，满足各个应用系统的个性化安全需求。

1.2架构设计

商业银行SECaaS架构将传统的安全服务组件化，为基础设施、应用系统提供定制化的安全服务。架构整体上包括服务接入层、应用安全服务层、基础设施安全服务层和安全策略管理中心，架构整体结构如图1所示。

图1　商业银行SECaaS架构

1) 基础设施安全服务层

基础设施安全服务层为终端、系统、网络、主机、云等基础设施，提供设备认证、非法外联、系统安全加固及规范配置、云防病毒、网络隔离、防拒绝服务攻击等各类安全服务。

2) 应用安全服务层

提供统一、规范的安全措施，主要包括用户认证、客户认证、密码服务、数据安全、安全监控等，以安全服务的形式供应用调用，便捷地实现各个业务应用系统中所需的安全保障。

3) 服务接入层

基于硬件无关性的设计，适应不同业务应用，提供多样化的服务模式和统一的服务接口，使安全功能与应用松耦合，易于扩展安全服务，支撑安全功能的快速部署。

4) 安全策略管理中心

通过统一的安全策略管理，部署一体化安全管理机制，实现信息安全管理的标准化、规范化，保障安全架构的有效落实和运转。

1.3架构实现

1.3.1基础设施安全服务层

基础设施安全组件在终端、网络、系统、云等方面，通过终端设备认证、非法外联、系统安全加固及规范配置、云防病毒、网络隔离、防拒绝服务攻击各类安全控制机制，保障基础设施安全，延伸企业安全边界，扩展银行业务办理渠道，为应用安全提供基础保障。基础设施安全服务层的结构如图2所示。

图2　基础设施安全服务层

网络安全方面，以银行安全策略为总体原则，实现网络安全域划分，不同网络区域采取隔离措施，严格访问控制，满足管理策略中对基础设施安全的要求。其中网络安全包括划分网络安全域、互联网隔离、渗透性测试、互联网数据防泄露(DLP)、入侵检测系统(IDS)、分布式拒绝服务(DDOS)防护、网络访问控制和SSLVPN等安全服务；系统安全包括运维管理平台、系统安全配置、系统身份认证、安全加固、系统账户管理、系统防恶意代码、系统入侵检测和漏洞扫描等安全服务；终端安全包括终端设备认证、终端防泄露、沙盒、加密U盘、桌面云以及非法外法监控等安全服务；云安全包括服务器虚拟化安全、桌面云安全，服务器虚拟化安全采取了防逃逸和网络隔离产品，桌面云安全部署了防病毒和敏感信息监控产品。

1.3.2应用安全服务层

应用安全服务层提供了信息系统安全的核心功能，包括用户认证、客户认证、密码服务、数据安全和安全监控。将安全功能从应用中解耦，实现了安全功能的组件化、标准化、专业化，面向所有安全对象，建立全面、集中、统一、灵活的安全服务体系，提供全面、透明、高效、可靠、面向服务的安全机制。

1) 用户认证组件

用户认证组件为银行员工多渠道接入提供统一规范、灵活便捷的身份认证和单点登录服务，支持用户多应用一站式登录，支持不同内部办公、业务及管理系统，满足不同员工的安全需求，提升银行内部员工认证效率和安全水平。用户认证组件的结构如图3所示。

图3　用户认证组件

企业级身份认证平台，采用多认证方式，灵活支持员工使用多种认证方式进行身份认证，如极强静态口令、动态口令、指纹，并为数字证书、脸型等认证方式保留扩展接口。实现多协议接入，为C/S应用系统提供基于HTTPS协议的认证与单点登录接口，为B/S应用系统提供统一认证与统一登录服务，为VPN接入、网络设备提供RADIUS、LDAP协议。

2) 客户认证组件

客户身份认证使用银行统一的外部客户认证组件实现，提供多种方式的身份认证机制，为不同业务系统提供接入安全保证，满足不同业务需求和业务创新需求。客户认证组件的结构如图4所示。

图4　客户认证组件

客户认证组件对传统业务、电子业务和智慧银行提供了静态口令、动态口令、短信验证、数字证书等传统认证方式。针对客户风险等级、交易限额采取相应的认证措施，有效提升了银行系统的安全性和客户资金的安全性。

同时，客户认证组件也实现了生物特征认证方式，如虹膜识别技术代替密码、令牌等身份认证方式，解决了银行客户身份的确认，有效验证人、卡一致性，解决卡片欺诈和银行卡安全等问题。为客户提供一种安全、便捷的银行交易身份认证新模式。

客户认证组件实现了联盟认证服务，客户使用商业银行发行的网银盾等安全产品登录第三方的系统，实现了商业银行、第三方的共赢，方便了客户。

3) 密码服务组件

密码服务组件通过构建银行统一的密钥管理方案，为银行各个平台以及外联单位的数据传输和数据存储提供透明的密钥管理服务，是确保数据机密性、完整性和防抵赖的重要手段。密码服务组件为银行业务系统提供统一的密钥管理机制，能够有效提升全行业务系统的安全等级。密码服务组件的结构如图5所示。

图5　密码服务组件

密码服务组件以服务平台的形式为业务系统提供统一、完整、全面、丰富可用的密码安全机制，降低业务系统开发项目中的密码运算和密钥管理的工作复杂度，避免了各个业务系统为达到安全要求的重复开发。

密码服务组件以安全服务方式为各应用组件提供机制统一的安全服务，实现分布式和集中式的密钥应用方式的管理，不仅能为银行内部系统提供企业级的传输与存储安全，还能为外联单位接入银行提供安全保障；实现密码算法库的开发，支持软件和硬件实现方式，同时支持国际算法和国产算法；提供丰富可用的API接口，支持多种密码算法和安全功能，可支持报文安全需求和文件安全需求，满足C/Java的调用方式；提供密码设备集中管理、统一调度、实时监控的服务。设计开发符合信息系统体系架构的密钥管理模块，为工作密钥集中管理和存储加密密钥管理提供服务。协助安全节点之间完成工作密钥的协商，为存储加密密钥提供生成、分发、存储、备份、归档、撤销等全生命周期的管理服务，提高节点密钥管理能力，提高可用性和服务效率。

为业务系统提供透明、动态配置加解密服务，密钥管理由安全代理与密钥管理中心交互完成，框架集成安全插件，并负责密码计算接口的调用。安全策略由密钥管理中心统一配置，通过轮询、增量下载机制实现动态管理。

4) 数据安全组件

数据安全组件提供数据集散地、数据脱敏、文档权限控制、数据水印、在线浏览、数据销毁等安全功能和服务。通过构建多个安全区域实现数据的分级分类保护和方便使用。数据集散地实现数据在各安全区域内部、安全区域之间、安全区域与数据集散地之间发布和流转，并集成了数据脱敏、在线浏览等功能，保障数据跨区域流转的安全。通过文档权限控制、数据水印和数据销毁功能实现对数据本身的安全加固，保证数据全生命周期权限的统一管理。数据安全组件有效提升了全行的数据保护能力。数据安全组件的结构如图6所示。

图6　数据安全组件

数据安全组件提供环境识别组件,确定用户使用环境的安全区域等级，根据不同安全区域等级灵活订制客户端访问及敏感数据共享策略，提供多种不同的数据安全保障措施。同时利用沙盒客户端、文档权限控制客户端等在客户端层面丰富敏感数据保护手段。

同时为满足用户不同终端环境和安全区域的敏感数据存储需求，数据安全组件提供个人网盘功能，为每个用户提供了存储敏感数据文件的空间。用户可以根据自身需要，像桌面管理操作系统文件一样，组织管理自己的敏感数据文件。敏感数据文件被系统逻辑分割到不同的存储位置，这样既保证用户的正常数据存储使用等功能，又防止了敏感数据外泄的风险。

数据安全组件通过构建数据集散地，实现数据在不同安全区域内部及之间的发布和流转，简化数据流转流程，提高数据使用的易用性、便捷性。针对数据文件一对多发布的需求，提供用户组、组文件空间功能，实现便捷、易用的共享功能。组管理员可以通过Web界面维护组内成员信息，组内成员都可以通过上传文档在组内共享数据文件，确保一对多的共享效率更高。

数据安全组件有效提升了全行的数据保护能力。数据安全组件全方位与统一安全无缝集成，包括策略管理中心、统一认证、安全审计组件，提供了完整、统一、集中的策略管理界面和安全、可靠的认证体系，以及完备、详细的事后审计。数据安全组件提供了邮件、短信通知功能，让用户可以及时获取、处理任务信息。

5) 安全监控组件

安全监控组件负责全面采集各类安全监控对象(主机、网络设备、终端设备、安全设备、应用组件、技术组件、安全组件、运维平台等)的安全日志信息，分析安全风险事件，展示全行IT风险态势，及时发现来自内外部的攻击威胁、违规行为，识别潜在风险和安全隐患，保障银行信息系统的持续安全运营。安全监控组件的结构如图7所示。

图7　安全监控组件

组件建立统一日志采集平台，提供多样化的日志采集模式，集中体系内基础设施日志、应用安全日志、应用业务数据和外部安全数据。组件可根据安全监控对象的日志数据格式进行多种适配，支持通用的SysLog、文件、数据库3种格式的采集模式，可自定义日志数据格式满足个性化要求。

组件提供基于关键字、行为特征、行为习惯等多样化的分析机制，建立多维度的风险事件分析模型，及时发现风险，准确定位事件责任主体；通过对大量历史数据的挖掘与分析，识别潜在风险和安全隐患；组件提供紧急事件分析环境及分析手段，以适应案件新特征和多变性。

基于关键字的分析模型是指通过某个特定关键字(一般为事件责任主体，如某个人、某台机器)分析该事件所有相关信息，包括时间、行为、周围环境等。基于行为特征的分析模型是指依据事件责任主体行为特征确定为安全事件的分析方法，如：客户在短时间内在多个地区登录网银系统，这些特征被定义为异常登录行为，有可能是客户密码被盗取。基于行为习惯的分析模型是指依据事件责任主体的日常行为进行数据统计，得出其正常行为习惯,当异常行为发生时能及时发现的分析方法。

安全监控组件提供对攻击威胁、信息泄漏、用户终端、客户资金安全等风险主题的多视角关联展示，统一呈现全行IT风险态势。通过对防火墙、入侵检测系统、防病毒网关、邮件网关、Web服务等日志和事件的关联分析，发现来自外部的攻击和威胁；通过跟踪数据、介质的使用情况和分析数据使用环境的日志，发现信息泄漏行为；通过审计和跟踪用户管理、用户操作行为，监控终端健康状况，发现风险和安全隐患；通过对交易IT信息、交易账户和行为等关联分析，发现风险账户和可疑行为，丰富业务风险识别手段。风险态势重点通过两个角度进行展示，一是违反安全监控策略的安全事件，另一个则是通过展示日常安全风险态势，发现异态，进行预判并跟踪风险或事件的走向。

1.3.3服务接入层

服务接入层作用为将信息安全功能以服务的形式接入到各个业务应用系统中。该层提供安全代理、安全插件和安全客户端，独立于业务应用系统。为业务应用系统提供安全相关功能接口的集合，主要包括加解密运算、数字签名、用户认证等安全功能，是业务系统与安全服务发生直接联系的窗口。将业务系统与安全服务进行了解耦，安全服务调整将不影响业务系统。应用系统使用传统安全架构与SECaaS安全架构对比如图8所示。

图8　传统安全架构与SECaaS安全架构对比

安全代理和安全插件支持多平台部署，提供安全功能和安全服务的统一接口，实现安全功能的合理分布，达到安全功能部署集中与高效的平衡。

应用系统可依据自身的技术架构选择部署安全代理或安全插件，代理和插件部署在各个应用平台，为应用系统集中提供安全服务。安全代理和安全插件采用颁发给应用系统数字证书绑定应用系统的身份，在提供安全服务的过程中应用系统需要使用数字证书进行身份认证。

安全代理对应用系统提供安全服务的API接口，通过调用接口，应用系统可触发相应的安全服务。安全代理和插件也会定期检查应用系统的安全服务状态，例如：自动检测密钥的有效期，在密钥到达有效期后自动发起密钥协商操作，实现对应用的透明服务。同时，安全代理和安全插件也可开启监听服务，接收来自其他安全代理和插件的相关请求。

例如加密服务，应用组件看到的只有一个加密的服务功能，即可以用加密组件进行数据加密。但后台有复杂的安全逻辑，包括采用什么样的算法，如何协商、生成、更新和交换密钥等，这些内容都被安全服务封装起来。表面上看，业务应用就是用了加密服务去加密一条数据，但后台其实已经实现了国密算法的选择和改造，或者RSA2048的升级，以及复杂的密钥管理过程。因为是以服务的方式提供，业务应用无需关注安全服务的具体实现方式。

1.3.4安全策略管理中心

安全策略管理中心实现全行的统一安全策略管理，为安全架构提供策略支持，建立全行统一的安全管理视图。安全策略管理中心实现了对安全对象(安全节点、客户端、安全代理、插件等)的统一管理，对安全策略(认证策略、凭证策略、密钥策略、终端策略等)的统一发布，提升了安全架构的管控能力。同时，安全策略管理中心通过对认证服务和加密服务等安全服务的可用性监测，提升安全服务可用性；通过参数管理，提升精细化管理的粒度，实现参数化管理安全策略。安全策略管理中心的结构如图9所示。

图9　安全策略管理中心

安全策略管理中心主要实现了以下功能：

1) 提供安全策略发布服务

对于安全服务、安全代理及插件、安全客户端，统一发布包括认证管理、凭证管理、密钥管理和终端管理在内的相关策略。安全策略的发布方式包括服务下载、自动同步、离线分发等多种方式。

2) 提供参数发布服务

通过对安全服务、安全代理及插件、安全客户端中相关配置参数的管理，实现对安全策略的精细化管理。

3) 统一管理安全实体

对安全节点、用户、凭证、令牌等安全实体集中管理，管理安全实体从创建、维护到注销的整个生命周期。安全实体的信息由安全策略管理中心统一同步给其他安全组件。

4) 提供安全服务状态监测服务

使用定时器和探针，通过定时发起模拟交易方式监控认证服务、加密服务的可用性，结合预定义的服务状态判断策略，获得监控结果，并决定是否通过短信通知运维人员进行处理。安全服务状态检测增强了对安全服务可用性的监控力度，减少应急响应时间，提升应急处理能力。

5) 提供安全交易统计功能

对于内部用户认证，提供精确到交易类型、交易时间、机构的交易日志报表，可用于用户认证行为分析及认证服务能力分析，并做出相应的认证策略调整。对密码服务提供安全代理客户端全局状态视图，可查看实时的密钥管理整体状态。

2　SECaaS架构在商业银行应用效果分析

中国建设银行已在国内率先实现了SECaaS架构，通过SECaaS架构的实施给中国建设银行的信息系统开发和业务运营带来了很多积极变化。

2.1安全功能实现工作量分析

SECaaS架构实现了安全功能与应用系统的解耦，方便安全功能的复用。通过对比SECaaS架构实施前安全功能实现工作量与实施后的工作量，能客观评价SECaaS架构在应用系统开发建设方面的贡献。本文选取了商业银行中对公信贷管理系统、对私信贷管理系统、信用卡业务系统、支付结算系统和网上银行系统等五个重要交易类系统的安全功能实现工作量，进行了对比分析，工作量对比如图10所示。

图10　SECaaS架构实施前后安全功能实现工作量对比

SECaaS架构实施前，各应用系统的安全功能独立进行开发，开发所需要的工作量分别为26、24、32、23、52人月；SECaaS架构实施后，安全功能的实现所需要的工作量分别为5、4.5、5.3、4、8人月，平均减少82.5%的工作量。SECaaS架构的实施，大大减少应用系统安全功能开发工作量，缩短了开发周期，为银行金融业务市场拓展赢得先机。

2.2服务能力分析

SECaaS架构实现了安全功能的集中服务、集中管控，安全服务能力与传统分散式的架构相比，通过安全服务资源池，安全服务能力大大提升。本文选择客户认证、用户认证和加密服务三个安全服务，对SECaaS架构实施前的最大服务能力、SECaaS架构实施后的最大服务能力、2016年4月实际峰值服务量进行对比分析，分析结果如图11所示。

图11　SECaaS架构实施前后安全服务能力对比

SECaaS架构实施前，中国建设银行的客户认证最大服务能力为每日4000万笔，用户认证为每日300万笔，加密服务为40万笔；而SECaaS架构实施后，客户认证最大服务能力为每日12 000万笔，用户认证为每日1100万笔，加密服务为150万笔。2016年4月，中国建设银行实际的峰值服务量为客户认证4500万笔、用户认证590万笔、加密服务63万笔。通过对比分析可以看出，SECaaS架构的实施有效地满足了业务发展需求，并且通过资源池的扩充还可继续提高安全服务能力。

2.3安全防护效果分析

SECaaS架构实现了边界防护和纵深防御并重，由传统的“木桶原理”从终端、应用、系统、网络、主机和基础设施层面划分安全管理对象和防护的理念，转变为由业务交易为主线，从可信接入、可信交易环境、可信数据和可信行为等几个方面进行有效关联，面向业务交易开展安全管理和防范。将传统边界防护“木桶原理”发展为纵深排列的“多层水闸式”的防范体系，有效避免了安全的短板效应。本文选择网银渠道、手机银行渠道平均每月的业务交易风险拦截数量进行分析，分析结果如图12所示。

图12　SECaaS架构实施前后业务交易风险拦截能力对比

SECaaS架构实施前，中国建设银行的网银渠道平均业务交易风险拦截为每月1629笔，手机渠道为每月1135笔；而SECaaS架构实施后，网银渠道平均业务交易风险拦截为每月3578笔，手机渠道为每月2966笔。通过对比分析可以看出，SECaaS架构的实施有效提高业务交易风险的关联要素和维度，业务交易风险识别能力大大提升，形成了面向业务交易的纵深安全管控体系。

3　结　语

本文通过商业银行所面临的信息安全现状和商业银行信息科技未来发展趋势的研究。首次在业界提出了商业银行SECaaS架构的概念和模型，并在架构模型的基础上完成了银行SECaaS架构的建设工作，将安全功能从应用中解耦，实现安全功能的组件化、标准化、专业化开发；面向所有安全对象，建立全面、集中、灵活、智能的安全架构；实现了“安全即服务”业界领先的安全服务体系，向应用系统提供高效、可靠的、面向服务的安全机制。

[1]FurfaroA,GarrA,TundisA.TowardsSecurityasaService(SecaaS):OnthemodelingofSecurityServicesforCloudComputing[C]//2014InternationalCarnahanConferenceonSecurityTechnology(ICCST).IEEE,2014:1-6.

[2]HussainM,AbdulsalamH.SECaaS:securityasaserviceforcloud-basedapplications[C]//ProceedingsoftheSecondKuwaitConferenceone-Servicesande-Systems.ACM,2011:1-4.

[3]SenkC.Adoptionofsecurityasaservice[J].JournalofInternetServicesandApplications,2013,4(1):1-16.

[4] 林闯,苏文博,孟坤,等.云计算安全:架构、机制与模型评价[J].计算机学报,2013,36(9):1765-1784.[5] Gartner.Survey Analysis:Top 10 Information Security Technology 2014[M].USA:Gartner,2014.

[6] Gartner.Survey Analysis:Risk Management 2013[M].USA:Gartner,2013.

[7] Basel Committee on Banking Supervision[S].Core Principles for Effective Banking Supervision,2012.

[8] The 2011 Standard of Good practice for Information Security[S].UK:Information Security Forum (ISF),2011.

[9] The Business Model for Information Security (BMIS)[S].USA:ISACA,2010.

[10] Guide for Assessing the Information Security Controls in Federal Information Systems and Organizations:Building Effective Security Assessment Plans[S].USA:Department of Commerce,2010.

[11] NST.Technical Guide for Assessing the Security Controls in Federal Information System and Organizations[S].USA:Special Publication,2010.

[12] Common Security Framework (CSF)[S].USA:Health Information Trust Alliance (HITRUST),2009.

DESIGNANDIMPLEMENTATIONOFSECAASARCHITECTUREFORCOMMERCIALBANK

JinPanshiGuoHanliCaoWenzhongZhangHui

(ChinaConstructionBank,Beijing100033,China)

Currently,thesecurityfunctionofcommercialbanksapplicationsystemwastightlycoupledwithapplicationsystem,thecommonexistingproblemsweregeneratedsuchasthesecurityfunctioncannotbereused,theintegratedsecuritystrategywashardtobeimplementedandnewsecuritythreatsweredifficulttocounter.Basedonthecommoninformationsecurityarchitectureofcommercialbanks,thispaperproposestheSECaaS(Securityasaservice)architecturebyusingSOAanddecouplesthesecurityfunctionfromtheapplication.Therefore,thecomponentization,standardization,intellectualizationandconfigurabilityofsecurityfunctionwereaccomplished.Thesecurityfunction,whichcouldbeconsideredasthesecurityservices,providesthesupportforapplicationsystemwithintegrity,transparency,effectivenessandreliability.ItnotonlyeffectivelyguaranteestheITsystemsafeandstableoperation,butalsoprospectivelychangestheroleofinformationsecurityfromformerITdevelopmentsupportertotheboosterofbusinessdevelopment.

CommercialbankSecurityarchitectureModulizationSECaaSSecurityservice

2016-06-20。金磐石，高工，主研领域：信息科技治理。郭汉利，高工。曹文中，高工。张辉，硕士。

TP

ADOI:10.3969/j.issn.1000-386x.2016.10.024