中信银行数据中心 王培发
随着疫情逐渐得到控制,各行业全面复产复工,银行业各项服务和业务也陆续恢复正常,中信银行数据中心将持续以数据为基石、以技术为手段、以平台为支撑、以服务为连接,让用户和员工享受到敏捷、高效、全面的技术支撑服务,为全面赢取抗击疫情胜利,助力全行各项业务飞速发展贡献力量。
2020年伊始,新冠肺炎疫情快速席卷中华大地,对中国经济增长和社会治理带来巨大的冲击。受疫情影响,人们居家隔离,企业停工、工厂停产、商业关门,银行也不例外,总部人员无法返岗,银行网点停止营业,传统营销和服务渠道失速、失能。
金融科技是银行业转型发展的关键变量,也是金融业银行机构服务疫情防控的有力武器。多家银行通过手机银行、网上银行、线上获客、数字营销、智能风控、智能客服等线上化、智能化服务,有力保障了各项金融业务的连续性。
经过30余年的发展,中信银行已成为一家具有强大综合实力和品牌竞争力的银行,全行员工人数近6万名,全球营业网点1400多家。总行数据中心承担着保障全行各项金融服务稳定运行的重要职责,如何发挥好数据中心基础支撑平台和服务能力,助力银行各项抗疫举措的顺利实施,是打赢这场保卫战的关键。
面对此次疫情,总行数据中心在灵活化工作模式、运维模式方面进行了深入探索,齐心协力、共克时艰,积极做好全行各类系统运维保障工作,主动作为、勇于担当,借助VPN、企业微信、网络会议等多种手段,在保障疫情期间的系统安全稳定以及业务高效运转的同时,积累了非常时期的运维经验,进一步夯实了运维基础。
一、突发疫情对运维管理工作带来的挑战
在这个不同寻常的春节,银行IT人迎来了一场技术大考验,总行、各分行人员无法正常复工,远程交易、远程办公、远程开发等需求纷至沓来,数据中心面临来自各方面的挑战和压力:
(1)运维管理模式发生变化,原来的运维方式多依赖于现场运维,现在是“现场办公+居家办公”相结合,技术手段如何满足?
(2)全行数万名员工需要远程办公,原来提供的远程服务,无论是资源还是开放情况都非常有限,现在需要增加应用远程访问的应用范围、同时用户数量猛增,如何快速满足远程办公需求?
(3)部分部门需要远程开展业务,在保障安全的前提下,如何为业务人员提供远程访问服务?
(4)开发人员为满足项目进度,提出大量行员和厂商人员远程开发,如何满足几千人远程开发的需求?
(5)网点服务人员减少,如何利用线上渠道,对客户业务办理进行引流?
疫情就是命令,防控就是责任。在各行各业众志成城、齐心抗击疫情的背景下,数据中心有责任、有义务在做好自身疫情防控的同时,通过技术手段保障全行各类信息系统及各项业务和工作的正常运行。
二、有效防控,推广灵活化工作和运维模式
面对突发状况,数据中心根据上级统一安排,结合系统运维工作需要,立即启动应急机制,统筹安排、积极响应,除了做好人员离京情况统计、健康状况摸查、安排AB班轮流上班外,充分发挥数据中心专业化和数据化的优势,强化疫情防控期间数据服务能力。
数据中心两地四处办公地点,根据各部门、各岗位人员离京情况和健康状况,执行“AB分组白班+夜班”排班,每天轮换一次,确保运维、服务台、三地机房均能7×24小时人员在岗,确保工作全面恢复。
2019年,中信银行完成全行运维工作上收集约化工作,各分行运维工作主要集中在分行特色应用运维,其他系统运维、网络运维类工作大部分已经上收至总行。为保障疫情期间分行运维工作的连续性,分行信息技术保障部门按照总行白天AB班方式进行,有效防范因隔离导致分行人员无法到岗的风险;发生生产事件时,总行统一发起应急,分行按照总行统一指挥进行应急处置。
在日常变更方面,充分采用自动化手段,变更分时分场地进行,减少人员干预和集中聚集,控制风险;会议组织方面,每天通过视频会议形式组织变更评审、方案评审、重点工作汇报等任务,确保了日常工作的延续性。同时,对于参与重点任务的人员开通远程办公权限,确保数据中心重点任务不停工。
三、敏捷响应,加快远程办公系统建设
面对突如其来的疫情,作为金融科技时代银行业“大脑”的数据中心,多个部门齐心协力完成VPN远程办公系统的扩容、优化和保障,确保疫情期间远程办公系统的安全稳定以及员工日常工作的高效推进。
VPN利用认证、加密、安全检测、权限分配、访问记录等一系列手段来构建安全的业务网络,目前主流的远程办公方式为SSLVPN模式,SSLVPN具有如下优势:首先是简单性,它不需要复杂配置,可以立即安装、立即生效;其次是不需要安装客户端,直接利用浏览器中内嵌的SSL协议即可;最后是兼容性好,可以适用于任何的终端及操作系统。经过充分对比,兼顾易用性和安全性,中信银行基于SSLVPN构建了一套远程办公系统。
根据对疫情期间远程业务办理、远程办公及远程开发等需求的预判,中信银行分类制定了不同的VPN访问架构满足不同的需求。客户端通过Internet与行内的VPN网关建立隧道,形成一个被加密后的安全虚拟网络通道访问行内资源,引入堡垒机增加数据隔离屏障,控制直接访问行内资源带来的安全风险。通过VPN资源配置及堡垒机细粒度权限控制,满足不同场景、不同用户的使用需求。
为提升VPN的支撑能力及用户使用体验,中信银行数据中心对网络带宽、设备许可和容量、堡垒机处理性能等基础支撑能力进行全面评估,快速启动搭建和扩容工作。通过持续的迭代搭建、扩容、优化配置,搭建近50台堡垒机,大幅提升同时在线用户规模,每日监控带宽、用户、资源使用情况,分析VPN用户访问行为,持续配置VPN架构优化,确保全行VPN办公系统稳定运行。
四、多措并举,控制远程办公带来的安全风险
远程办公在方便员工随时随地访问资源的同时,也给安全带来了很多挑战,安全边界被打破,数据安全风险,权限管控无序,蠕虫的蔓延,黑客的攻击,核心业务被暴露等,主要风险有以下两个方面:
一是网络攻击风险,包括VPN使用者用户密码泄露、客户端感染病毒或受到钓鱼网站勒索邮件的攻击后,黑客通过该VPN使用者电脑渗透进入行内业务系统,窃取客户信息及重要敏感信息,理论上甚至可以同时控制业务流程中多个角色的用户,完成虚假业务以盗取银行资金。
二是敏感信息泄露风险,即VPN使用者通过文件下载、拍照留存等手段,恶意下载以及扩散行内信息,导致客户信息或敏感信息泄露或用于不法目的。
远程办公潜在风险汇总见表1。
表1 远程办公潜在风险汇总
针对这些风险,数据中心组织各方面安全专家进行分析、讨论、验证、整改、复检,为减少VPN使用者直接访问行内资源,提出了通过堡垒机增加一层控制的解决方案,VPN—堡垒机—行内资源的访问流程,虽然给用户使用体验带来一定影响,但通过控制堡垒机的复制粘贴功能,阻断数据在个人电脑落地的可能性,明显减少了行内数据下载和泄露的风险。
为进一步控制远程访问带来的安全风险,在其他方面也实施了全方位、多角度的安全加固措施:
(1)实施安全网络、用户密码防暴力破解机制等防范网络密码泄露风险,VPN用户身份认证采用“用户名密码+短信验证码”认证方式。
(2)个人电脑上强制要求安装防木马外联客户端,防范个人电脑感染病毒、被木马控制等风险。
(3)增加VPN使用异常行为监测、事后审计等措施,第一时间发现VPN的黑客攻击、VPN非授权访问尝试等行为。从用户登录到访问安全、从系统安全到网络安全、从木马病毒到系统漏洞,从权限控制到安全审计,多措并举使风险降至最低水平。
(4)在VPN申请和访问资源方面进行严格审核和把关,关闭不必要使用的用户,对用户可访问资源实行细粒度的控制,以“最小开通”原则为基础,控制无效VPN用户及权限开放过多带来的访问风险。
(5)安全意识方面,通过登录的安全须知及保密协议,加强对员工的VPN安全使用教育。
五、与时俱进,利用企业微信、
网络会议提升协同办公效率受疫情影响带来的远程办公需求急剧增加,软件开发中心的开发人员春节期间便提前进入紧锣密鼓的工作状态,利用企业微信、网络会议提升协同办公效率。
(1)在企业微信协同办公方面,开发人员基于企业微信平台,紧急投产疫情保障相关的功能开发,取得良好的效果。
为了解员工每日健康情况,通过移动化能力迅速开发部署了健康打卡功能,减少人员接触,坚持疫情监测,目前已覆盖总行及部分分行,充分发挥科技赋能分行的作用。快速上线信菜篮、信餐厅、信拼车、身边疫情等多个疫情保障应用,最快两个工作日完成从需求受理至交付全流程,全力保障员工远程办公,充分发挥科技赋能的作用。
为了全行员工充分熟悉和了解企业微信的各项功能,举办远程办公指引专题直播培训,全行合计近6000人参加直播,从沟通机制、工作方式、信息安全三个方面重点讲解如何利用企业微信等软件实现高效远程办公,参训学员积极提问互动,表示课程清晰实用,培训及时有效,整体取得了良好的效果。
(2)在远程会议保障方面,数据中心原本每日通过夕会方式回顾当日生产事件及运维保障情况,每周通过变更评审会形式对当周重要变更进行分析和评审,受疫情影响,人员无法集中开会,于是利用当前流行的瞩目、ZOOM、腾讯会议等App,组织相关人员通过手机远程方式参加会议,在确保日常运维工作正常进行的同时,最大限度降低疫情给工作带来的影响。
在全国人民合力抗击新型冠状病毒肺炎期间,中信银行数据中心在做好基础设施及信息系统7×24小时运行保障的同时,借助远程办公、网络会议、企业微信等技术、平台,有力支撑保障全行各项业务及远程工作正常开展,获得各部门员工的积极好评。
随着疫情逐渐得到控制,各行业全面复产复工,银行业各项服务和业务也陆续恢复正常,中信银行数据中心将持续以数据为基石、以技术为手段、以平台为支撑、以服务为连接,让用户和员工享受到敏捷、高效、全面的技术支撑服务,为全面赢取抗击疫情胜利,助力全行各项业务飞速发展贡献力量。
|
