文 / 中国农业银行数据中心 徐建斌 张相广
近几年,随着开放银行模式的推广、服务方式的虚拟化以及经营环境的开放,大型商业银行生产系统信息安全面临巨大的挑战。本文从生产系统架构的设计、用户安全访问、网络安全防护和数据安全保护四个方面提出了构建大型商业银行生产系统信息安全体系的新思路。
一、生产系统信息安全面临的形势
当前,互联网金融蓬勃发展,商业银行信息化在广度和深度上日益拓展,银行业务形态日益多元化,业务场景更加开放化。此外,随着物联网、移动化和云计算时代的来临,银行员工对远程办公和居家办公需求日益旺盛。银行和新兴信息技术的结合日益紧密为客户和银行员工带来了方便快捷的服务,与此同时,银行信息网络触角日益延伸,网络安全边界逐步模糊,银行信息系统面临越来越多的外部风险。
商业银行生产系统在业务迅猛发展的同时,积累了海量的客户数据和交易数据。随着银行IT运维逐步向IT运营转化,这些数据已成为银行重要资产和核心竞争力。国家和社会各界愈发重视信息安全问题,《中华人民共和国数据安全法(草案)》在中国人大网公布,征求社会意见。在数字化转型的大背景下,在拥抱新技术、拓展新业务的同时,农业银行数据中心生产系统运维管理人员深入贯彻“安全大于天”的运维理念,持续强化安全意识,牢牢守住信息安全的底线,保障业务健康发展,维护客户权益。
二、构建“动账+查询”的融合生产系统架构
构建稳定高效的大型商业银行生产系统架构是保障信息安全的前提和技术基础。基于对最新的业务方式和未来业务发展方向的研究,秉持“集约、高效和安全”理念,农业银行对生产系统进行重塑性改造,优化IT基础架构,完成软硬件跨带升级,使得新的生产系统健壮性更强、资源更加节约、运维操作更加简便。农业银行生产系统应用架构如图1所示。
图1 农业银行生产系统应用架构
开放型、易扩展、成本可控和安全稳定的“动账+查询”的融合生产系统架构,能保障生产业务连续性运行。在该架构中,动账类交易和大部分查询类交易分布部署。一方面,部分生产系统数据通过QREP的方式实时下送到开放平台,供开放端查询类交易使用;另一方面,部分开放查询交易也可以通过DRDA方式查询动账类生产系统数据库。同时,为了提高生产系统高可用性,在应急情况下,开放端查询交易可以通过两种方式回切主机平台,一种是交易回切,即回切后通过运行联机交易实现;另一种是数据源回切,即通过DRDA方式访问数据库。
三、简化动账类生产系统接入
由于动账类生产系统承载了动账类交易运行,存放着大部分生产数据,因此确保该系统安全稳定是重中之重。为了减少关键动账类生产系统信息安全风险点,简化该系统的外围接入,农业银行将原先总控部分功能下移到开放平台。
当前,绝大部分联机交易(包括柜面交易和其他外围交易)都先经过开放总控,再上送到动账类交易生产系统。开放总控用于应用处理的接入控制、安全控制、公共应用检查、特殊应用处理、统一的服务调度接口等功能,负责对所有的交易进行接入公共处理,是连接前台与后台的桥梁,对动账类交易生产系统安全访问具有重要意义。
开放总控在整个核心系统中有三个作用。
统一鉴权
为分布式核心应用的交易请求提供统一的安全检查与权限控制,精简了原总控的检查逻辑,可进一步节约资源。
统一接入
为分布式核心应用提供统一路由,提供现有的TCP/NETE交易接入模式。
统一资源
实现日志号、传票号、会计日期等资源的统一分配,全部核心交易日志的统一归口记录。
四、提升生产系统高可用性
当前,分行或者总行前置先经过F5再与主机CICS建立TCPIP通信连接,被侦听交易NETL Accept后进行处理,NETL读取报文发起交易,且NETL和总控对报文有规范性要求,遇到不规范的报文直接报错。
F5负载均衡设备能实现如下目标:
对网络接入的优化,F5能够隔离农业银行广域网给生产系统服务器带来的影响;
负载分发功能,F5能将交付给它的业务请求按照指定的策略分发到不同的CICS AOR;
安全性方面,F5为生产系统提供一定的保护功能,避免生产服务器被直接攻击;
高可用性方面,F5在生产系统服务器或F5自身发生故障时,能提供有效、高速的切换。
五、强化用户安全访问控制
1.规范生产用户管理
通过IT运维账户统一管理平台合规使用生产账号,实现对用户访问全流程的定期自查和审计。严格管理所分配的用户并定期修改密码,对权限较高的变更用户实行密码分段管理,应用程序用户密码在程序中不得以明文方式出现,严禁个人通过程序用户登录系统,不越权访问未被授权的内容。规范用户口令安全、使用行为审查、注销申请、用户审核、权限申请等环节的审批。生产用户使用方只能在指定终端IP登入生产系统,系统管理员用户不得通过远程访问方式登录系统。
2.基于RACF的资源访问控制
大型商业银行生产系统采用了资源访问控制设备RACF(Resource Access Control Facility)专门担负安全管理任务,可以对系统进行安全保护,以防止非法的访问和入侵行为,有效地保障了系统的安全。
RACF通过对用户、组、数据集、通用资源的授权管理和访问控制,避免资源不会被有意或无意地破坏、修改、泄露或使用。通过RACF,银行可以实现对系统和用户资源灵活而严格的保护,防止保护对象被非法访问和攻击。
RACF具有四大功能:认证用户、安全审计、安全管理和资源授权检查。
(1)认证用户
RACF使用用户ID和口令来证实一个用户。当一个用户试图登录时,RACF将检查这个用户是否在RACF中有定义、口令是否有效、用户是否已被挂起、用户是否被授权使用这个终端、用户是否被授权使用这个应用、用户是否允许此时登录、终端是否允许此时登录。所有的安全检查通过后,用户才会被允许登录进入系统。每一个RACF定义的用户均有一个Profile,其内容有用户ID、拥有者、口令、属性等。
(2)安全审计
RACF决定允许或不允许用户访问系统后,它会检查是否应当记录这一事件(由安全管理员或具有AUDITOR属性的用户指定)。
(3)安全管理
具有SPECIAL属性的用户有权管理系统中的安全。其主要工作为:RACF数据库中定义、改变、查看、删除Profile,根据实际需要规划RACF安全策略和审计策略,监控RACF运行情况等。
(4)资源授权检查
当一个用户企图访问一个特定的资源时,系统会调用RACF去确定其是否被允许使用该资源。
六、加固网络安全防护体系
网络访问安全是生产系统信息安全的重要内容,需要对生产系统网络连通性和端口开放需求进行全面梳理排查和优化,加固网络防护体系。
1.最小化网络访问
随着农业银行生产系统架构的衍变,生产系统与分行和其他外围系统的直连需求发生巨大变化。以演练保障工作为抓手,农业银行定期开展生产系统网络连通性大排查,断开非必需网路直连,进一步收紧生产系统IP连接范围,梳理形成生产系统IP访问控制白名单。实施生产系统端口扫描测试工作,排查所有对外端口的使用情况,关闭不必要的服务端口。在生产环境,除个别应急终端外,确保生产系统仅对IT运维账户统一管理平台提供访问服务。各类自动化工具统一通过Webservice服务器中转后再上连生产系统,在Webservice服务器运行IP地址认证、命令格式认证和用户密码认证等访问控制,Webservice服务器到主机实现加密传输。
2.网络传输加密
交易方面,对从开放应用服务器到生产系统数据库服务器的网络链路采用基于TLS的加密保护;终端访问方面,使用SSL加密协议对生产系统和运维终端的交互过程进行加密,该协议可以认证用户和服务器,确保数据发送到正确的客户机和服务器;加密数据以防止数据中途被窃取;维护数据的完整性,确保数据在传输过程中不被改变。采用符合人民银行规范的加密算法,对应用报文中的关键敏感字段进行软加密。
3.建立网络监测预警机制
持续动态完善允许直连主机的IP地址白名单。引入QRADAR智能分析工具对直连生产网络连接进行监控预警,朝着实现网路安全“动态防御”和“主动防御”方向迈进。QRADAR主要通过对日志和网络数据流等数据进行整合分析,可提供快速而精确的内部和云环境威胁检测、安全分析,帮助理清威胁主次展开调查并积极应对。基于该平台,可以实现对生产上的非授权访问进行发现和告警。目前QRADAR监控配置分两个维度:一是生产系统IP监控资源池,即配置需要进行监控的生产目标地址;二是源端地址对生产端口访问白名单,即上述生产目标地址允许被访问的地址清单,若捕获到对非白名单的访问,则触发告警。
七、筑牢数据安全保护机制
商业银行要持续加强数据(特别是敏感数据)和个人敏感信息安全防护工作,防止泄密。最小化员工日常运维用户权限,最大化限制从生产系统到验证系统再到个人终端恶意数据转移的可能性,计划内数据转移也要严格审批;生产交易性能数据转移到验证环境后要经过脱敏处理;使用生产专用安全U盘,解决生产数据拷贝复制的需求;员工使用专用的安全U盘加密保险箱保管各自数据资料;使用专门的中转机才可以将数据资料从安全U盘转移到其他存储介质,中转环节实行严格的登记和审计。
邮件外发方面,部署邮件网关对所有的外发邮件进行监控和审计,含有关键敏感信息的邮件只有经过严格的审批流程之后才可以外发,实时阻断可能发生的敏感信息泄露。
大型商业银行生产系统信息安全至关重要,需要从安全意识、技术架构、制度规范和流程行为等多维度进行联防联控,构建多层次、立体化的安全防控体系。信息安全有明显的“木桶效应”,防御最薄弱的环节往往是最容易被攻击以及失守的环节,这就要求我们必须与时俱进,不忽视每一个信息安全防控组件,狠抓薄弱环节,做到主动防御,全面提升生产系统信息安全防御能力!
文章刊于《中国金融电脑》2021年第04期
声明:本文来自FCC30+,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
