基层央行网络管理的问题与对策
2018-01-31黄一彬
黄一彬
伴随着信息化建设的不断深入,人民银行在逐步完成两级数据中心的“数据大集中”的同时,也正在围绕着业务发展的需要,逐渐从“数据大集中”向“多业务整合”过渡。在目前“全网运行”的网络架构下,基层央行的网络管理水平将成为制约各项业务及工作的核心因素。在“后数据大集中”时代,基层央行如何加强对网络的管理,笔者通过对辖区地市中心支行及县支行业务网络现状的调查,简要分析基层央行网络管理中存在的问题,并提出建议。
一、基层央行网络管理的现状与问题
(一)网络管理的现状
目前,在我市的县支行中所应用的内联网主要是业务网,其组成部分主要包括一台路由器以及一台交换机,通过两家不同的运营商与中心支行进行连接通讯。在该业务网上运行的系统涉及会计核算系统、国库会计核算系统以及账户管理系统等多个中央银行相关的重要业务系统以及办公自动化系统、电视电话会议系统、电子邮件系统等办公系统。由此可见,如果业务网遭受攻击,将对整个中央银行的业务运作与办公运作产生巨大的破坏性影响。
(二)网络管理存在的问题
1.网络设备缺乏时代性。网络设备没有跟上现代化经济发展的需求,网络建设更新速度低。目前业务网普遍所使用的网络设备都是停产的老旧设备,路由器接口极其低端,网络结构部件具有单一性,同时长时间没有进行结构升级,难以控制网络流量的分配,存在一定程度的单点故障风险,即使有的支行采取了冷备份的形式来改善这种情况,但是这种冷备份往往是备而不用,放置过保,是对设备资产的浪费。
2.网络带宽难以满足需要。目前地市中心支行上行省会中心支行带宽为联通6M和移动2M,下行县支行网络带宽为联通2M和电信2M,其中县支行路由器最大支持仅为2M,随着保卫四级联网上线、高清视频会议系统改造、一体化安全平台上级部署等,网络线路带宽越来越捉襟见肘,特别是县市支行较多的地市中心支行。
3.缺乏有效的实时监控。随着业务系统的上线业务增多,各支行所需要的网络流量也越来越大,因此业务的运营需要系统提供更大的流量,这对于业务网宽带的承载能力提出了新的要求。目前我市的网络监控系统由太原中心支行统一建设运营,监控范围及指标非常有限,且监控数据只供地市级中心支行以上参考。难以形成有效的实时监控,对不同时间段、不同业务系统以及各种网上的应用程序的使用流量进行准确地查看,因此对网络的具体运行缺乏客观的定量分析。如此一来,一旦业务网的线路出现问题,或者网络设备发生故障,那么网络管理工作人员难以立即获取预警信息,具有极大的被动性,对网络管理人员在故障的检查和判断上产生影响,同时加大了网络风险。
4.缺乏网络应急管理措施。目前,基层央行普遍缺乏相应的网络应急管理措施,体现在以下三个方面。第一、网络应急预案没有从实际出发,缺乏可行性操作,存在为有预案而有预案的现象。由于多数的网络应急管理预案制定的依据是上级机构的套用模式,没有从事实出发,造成了网络管理人员难以高效地处理网络突发事件。第二、人员应急处理能力过低,多数基层央行科技人员的工作重点在于维护日常业务系统,对于网络故障的排查判断来自于上级行,导致管理人员在判断思维上形成惰性,削弱了其自身对于突发故障的分析和判断能力,也影响了其解决突发事件的应急能力。第三、基层央行的网络管理人员缺乏有针对性的应急演练,并习惯了按部就班的工作操作流程,對应急事件的处理能力难以应付现代化业务网络风险事件。
5.缺乏对网络管理人员的合理配置。目前,基层央行的网络管理人员缺乏相应的专业资格,多数管理人员都只属于兼职的工作人员。与此同时,他们的学历较低,而且年龄相对较大。这样的人力资源配置难以适应当今现代化技术和网络的发展。且县支行的网络管理人员与运营商沟通渠道不畅,导致出现网络故障由地市中心支行联系市级运营商,再由市级运营商联系县级运营商,环节复杂,效率低下。
6.存在无效或不合理的网络配置。随着业务的不断变更,网络的配置特别是访问控制列表,存在只增不减的现象,导致现有访问控制列表存在冗余的、无效的项目。由于对个VLAN上运行的系统没有明确划分,导致VLAN划分不合理,存在未使用的VLAN,浪费网络资源。
7.网络设备未购置维保。网络类电子设备固定资产在人民银行系统的折旧一般为6年,现实中设备的使用年限往往超过6年,而厂家的设备维保一般为1年,后续设备的维修保养依赖基层央行的网络管理人员,受硬件设备及专业水平限制,维修保养很难到位。
二、相关建议
(一)升级网络基础设施
一是对硬件设备进行优化,包括采用双机备热、双链路双运营商等,可以有效地提高网络的可控性能。更换县支行现有路由设备,选用支持千兆的光口设备,使其具备带宽升级的条件。二是提高下行县支行网络带宽,在目前网络运营商全面实施提速降费的背景下,在更换县支行设备的基础上,对县支行网络带宽进行提速。三是建议省会中心支行对省会到地市的线路带宽进行提速。四是对县支行网络进行扁平化改造,县支行直接与省会中心支行对接。
(二)完善网络管理设施
一是建立智能管理平台,对网络的重要设备进行智能化管理,提高网络业务管理实时监控的集中性。二是采用智能网络流量的控制设备来控制、分析网络的流量使用情况,从而有利于网络管理工作人员清楚地了解网络流量的行为,为网络业务部门的流量使用提供客观性的保障。三是搭建网络日志服务器,对网络运行情况进行全面追踪,有利于网络故障、网络安全事件的排查与追踪。四是对出保设备单独购买维保服务,确保设备故障后能得到厂家的优质服务及备件替代。
(三)加强网络运维管理
一是严格遵守总行的网络管理规范,充分征求和结合各个工作部门的意见与建议,从基层网络管理的实际问题与发展需求出发,重新整理制定基层央行网络管理的制度与措施。二是通过建立健全的网络组织机构,紧紧围绕技术、管理、监督三个重点,明确各个部门、各个岗位的权力和职责,互相监督,互相促进,认真落实好各项具体工作。三是通过建立双向的沟通协作机制来促进基层央行和上级行、运营商的联系与合作,从而改善基层央行的实时沟通现状,提高基层央行外部与内部、内部与内部的工作效率,提升凝聚力,给基层央行的网络管理工作提供有力保障。
(四)提高网络运维能力
一是通过开设热线电话提供技术服务,为基层央行解决网络使用的各种问题,同时建立网络知识资料库并定期更新,对网络管理人员进行定期培训,提高基层央行业务网管理的工作效率。二是鼓励网络管理人员参加华为、思科等认证类培训及考试。
(五)构建安全防控体系
一是可以针对主机进行部署,形成堡垒形式的防御性主机,防范外界网络的威胁与风险。二是为解决基层央行网络及其应用系统方面的漏洞,可通过部署关于漏洞扫描的设备仪器,提高网络系统及时发现漏洞以及识别漏洞的能力,避免漏洞带来的风险与不必要的损失;三是可以对传统的防御思维进行改革,采取主动防御的思维方式部署入侵防御系统。
三、结语
综上所述,随着现代化支付系统、货币金银信息管理系统、结算账户管理系统等一批网络化应用系统的推广应用,网络通信系统的脆弱性直接威胁到各业务系统的稳定运行。因此,如何更好地进行网络安全管理应当受到基层央行网络安全管理部门的关注。endprint