建设数字化管控平台，筑牢信创终端系统安全体系

文 / 中信银行信创终端数字化安全管控攻关小组 马超 伍科松 鲍德华 李楠

信创终端数字化安全管控系统建设背景

维护金融安全是践行国家金融工作战略的永恒主题，党的二十大报告将科技创新与金融安全列为重点工作推进。习近平总书记反复强调,金融安全是经济平稳健康发展的重要基础，维护金融安全、防范化解金融风险是关系我国经济社会发展全局的一件战略性大事。同时，金融监管机构始终保持“严监管、重处罚”的高压态势，对于银行业网络安全、数据安全的监管日趋严格、细致。

在重安全、求创新的时代背景下，为建设信创终端的安全管控体系，我们对金融同业终端设备使用状况进行了调研，主要发现四大类问题。首先是信创终端在安全管控方面难度大、成本高，数字化管控手段缺失，信创版本的终端安全工具与普通Windows版本相比有较大的功能性差距；其次是部分国内的安全工具仅在终端APP层面进行了适配，服务端节点还未完成全栈式信创改造，安全保障方面还存在“卡脖子”的风险；再次信创终端的资产管理工作也存在人力投入高、效率低、数字化资产盘点手段缺失的问题；最后信创终端下发至用户后，现有工具无法精确掌握用户开机、登录和实际使用时间等情况，信创终端推广和真替真用缺乏有效的数据支撑。

基于上述情况，我们决定对终端的数字化安全管控系统进行专项攻关，建设信创终端数字化安全管控系统（以下简称信创PCM）。一方面利用全栈式信创技术平台用信创管信创，防范因感染病毒、木马导致的网络安全和数据安全风险，保障全行信息系统和网络安全稳定运行；另一方面提升全行科技固定资产的精益化管理水平，同时也为信创终端“真替真用”提供数据支撑。

信创PCM系统技术亮点

中信银行信创终端数字化安全管控系统创造性地综合运用多种安全、大数据和人工智能分析技术，实现信创终端全景式精准数字画像，有效实施终端数字化管控，大幅度提高管控效率。

1.构建全栈式信创终端管控体系。本项目创造性地通过信创终端数字化安全管控系统的客户端程序，将终端安全系统软件信息、终端基础配置、软件列表、补丁安装等各类终端进行全面采集，并通过Mac地址实现数据与所属设备一对一匹配，利用大数据技术第一时间自动发现和精确识别所有入网的终端设备，确保接入设备信息的快速追踪，形成全方位、精准化的全行终端数字画像，为实现终端设备一体化集中管控和安全运营构筑强大的数据基座。

信创PCM系统的前端APP适配国芯及终端操作系统，服务端节点基于国内芯片服务器和操作系统、数据库等基础软硬件，实现全栈适配改造，并计划在2023年底前实现单轨运行，实现用信创保安全的目标，弥补信创终端在数字化安全管控能力体系方面的空白。

2.形成数字化问题检测管控闭环。基于安全规则算法并总结全行终端安全运维和审计经验，自动检测终端防病毒异常、天擎程序异常、安装非法软件等各种安全威胁，并支持扩展丰富新的安全检查和整改场景，由终端数字化管控平台建立全行统一的数字化安全问题整改台账。并通过自动调度终端任务的方式完成整改，对于自动化任务执行不成功的再转派人工处理，形成反馈形成闭环，实现从人机驱动到全数据驱动。终端安全问题检测已不再需要人工介入，在试运行阶段验证，至少可以提升90%以上的运维工作效率。

3.实现全景式资产盘点功能。信创终端数字化管控系统作为全行终端管控的中枢大脑，对全行终端设备实施一体化集中管理，通过终端MAC地址网络信息与我行网络管理信息系统进行对接，获取终端物理位置，并通过域用户信息获取终端实际使用人。在信息科技固定资产管理过程中，可通过该系统查找和定位各类终端，准确反映总分行终端设备使用情况，建立终端设备使用管理台账，动态维护终端设备品牌型号、责任人、入网IP地址、操作系统、预装软件、维修记录等信息。覆盖终端设备采购、入网、维护、报废等处置全过程，真正做到账实相符，确保科技固定资产管理“底数清、情况明”，80%以上的信创终端固定资产盘点工作效率得到提升。

4.提供数据支撑，提升信创终端使用体验。本项目可以在用户无感知的情况下，采集终端开机时间、用户登录时间、用户实际使用时间等数据，同时支持信创终端点对点的消息推送功能，将信创终端的操作系统升级、使用提示等消息快速通知到用户，尽可能为一线业务提供更好的信创终端使用体验，并为后续信创终端推广过程中的实际使用情况提供有效的数据支撑。

攻关经验总结

由于本系统在信创终端安全领域尚属首创，中信银行在对于技术难点的攻关过程中，充分发挥了攻关团队的技术能力，并与信创技术生态紧密结合，不但实现了系统最初的设计目标，还总结出一套解决信创项目攻关问题的方法论，具体如下。

1.借助金融信创生态力量解决问题。与一般技术难点的解决方式不同，对于信创技术难点的解决，行之有效的方式是由信创技术厂商提供方向，再根据解决方向把问题描述清楚，之后到技术社区发帖提问，获取生态社区的支持往往能较高效率地解决问题。比如我们在研发“真替真用”数据采集模块时，服务商提供的获取用户输入空闲时间的API接口就不能频繁调用，可能造成终端卡顿，但其技术人员也不了解为何API频繁调用会引发BUG。最终我们在技术社区发帖获取了5分钟调用一次的合理设置值，节约了自行寻找调用频率最值实践所需要耗费的时间。这种通过技术生态的支持最终解决问题的方式，是信创攻关任务中所总结的重要经验。

2.充分考虑不同型号终端之间的差异。我们在自研过程中发现飞腾、龙芯、兆芯在时钟管理、内存回收、锁隔离级别等方面都或多或少存在差异，甚至有些现象仅在某些特定的品牌和型号上才会出现。我们在实践中发现某些适配工作必须针对具体型号进行特殊处理，在开发过程中就提高终端型号的覆盖度，做到完成一个模块就测试一个模块，避免问题积累，这也是我们在自研过程中总结的重要经验。

3.总结攻关经验反哺信创技术生态。实践证明通过信创生态社区去解决问题，往往是攻克信创系统难点的有效途径。后续我们计划把项目研发过程中在消息推送、内存治理等方面的问题解决经验总结出来，反哺给技术社区。比如我们“真替真用”采集模块的自研算法，除了通过操作系统级API获取用户空闲时间之外，还综合考虑CPU时间等因素来综合判定用户的实际使用时间，这方面的设计也得到了服务商方面的重视。我们通过将相关算法的设计思路分享给服务商的技术人员，解决信创操作系统的问题。后续我们还会继续积极参与信创操作系统的文档编写，形成生态体系的良性循环，推进金融信创系统不断积累经验，向前发展。

后续产品演进路线

中信银行信创终端数字化安全管控系统采用全自主研发模式，致力于打造信创终端精准数字画像，依靠科技创新实现信创终端设备一体化自动发现、分类、检测、处置和反馈的全流程闭环安全管控措施。根据目前平台的建设思路及情况分析，未来继续演进的思路如下。

1.进一步提升终端状态动态感知能力。该项目将进一步通过大数据技术，第一时间自动发现和精确识别所有入网的终端设备，并获取终端安全系统和网络流量特征数据，精确识别其中的信创终端，保证对信创终端100%精准管控及全面的动态覆盖，提升终端状态的动态感知能力。

2.持续向安全管控要效益。由于金融机构尤其是传统的银行业，大量终端都分布在各分支机构及子公司，人工现场排查效率低且难以确保质量，随着信创终端数字化管控系统的推广实施，通过新技术手段将在线远程开展问题发现和自动化修复，降低全行终端安全风险，极大程度减少全行特别是分行终端运维的工作压力和人力成本，深化全行一体化运维服务水平，为分行减负，实现降本增效。

未来PCM系统还将成为全行信创终端科技固定资产的“数字化账本”，避免在固定资产管理环节上可能造成的隐患，减轻对人工记账的依赖，解决账账、账实不符，资产的盘亏、毁损及有效资产存量不清等问题，优化资产配置，减少成本支出，提高资产使用效益，有效增强对科技创新的支撑和保障能力。

3.凸显信创工作社会效益。保障终端安全是金融行业信息安全防护的重点环节，各种外部渗透、侵入经常利用终端的薄弱点发起攻击，一旦因安全防护措施不到位被暴露出问题，会极大影响金融行业的品牌效应、社会形象，造成不必要的损失。

后续信创PCM项目将依托我行先进技术平台和综合研发能力，以及长期的终端安全管理经验，再将项目攻关经验推广后，推动金融行业打造数字化、一体化的信创终端安全管控模式，以科技创新、管理机制变革持续推动金融科技的服务能力，改善金融行业在信创终端设备数字化安全管控方面能力不足的现状，提升全行业的终端安全防护水平。

声明：本文来自金融电子化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。