作者:中国光大银行信息科技部总经理史晨阳、中国光大银行信息科技部副总经理彭晓、中囯光大银行信息科技部团队主管李刚
中国光大银行信息科技部总经理 史晨阳
疫情总会过去,春暖总会花开。光大科技人将时刻秉持着“稳中求进、变中求机,进中求新”总要求,在做好系统安全平稳运营保障的同时,加大科技驱动,全力推进银行数字化转型,赋能一流财富管理银行建设迈上新台阶。
2020年新春伊始,一场突如其来的新冠疫情给人民群众的健康带来威胁,正常的工作生活秩序也遭受影响,在此特殊时期,对于金融从业者,尤其是金融科技从业者,面临的首要难题是如何保障银行信息系统的持续安全稳定运行,如何便捷有效地满足人民群众尤其是疫区人民的各项需求?此时,保障银行系统的安全稳定运行成为解决这一问题的关键所在。
在深入学习贯彻习近平总书记关于新冠病毒疫情防控工作的重要讲话和指示精神后,光大银行信息科技部按照党中央、光大集团和总行关于疫情防控工作的要求,紧急部署和落实一系列措施,在扎实做好银行科技人员自身疫情防控和有序复工的基础上,以保障业务发展为前提,以金融科技应用为契机,全力保障业务开展,力争打胜打赢这场“抗疫”之战。以下是光大银行在疫情防控期间关于科技运维保障工作的一些经验体会。
一、技术搭台,积极助力复工复产
疫情给人员出行和工作带来了不便,光大银行采取分组轮流现场办公与居家远程办公相结合等一系列方式,最大限度降低交叉感染风险,保证工作有序开展。同时为保障全体员工有效复工复产,光大银行信息科技部依托安全、自主的云基础设施,整合多个业务办公系统,构建多终端、多媒体、多场景的光大银行远程办公生态圈。具体包括:
1.加强技术协同建设远程办公生态圈
疫情期间,为保证银行远程运维办公效率,满足全行员工在各种场景下移动办公、服务请求、流程审批等需求,光大银行信息科技部组织专家和技术人员,充分利用互联网、云计算、移动通讯、信息安全等技术,构建出全生态远程综合办公平台。平台依托于银行光大家App,整合办公OA、邮箱、统一用户访问管理、办公云盘等已有电子化平台,通过互联网访问方式为用户提供了多人沟通、共享、协作机制,在疫情防控时期为银行打赢疫情防控阻击战提供坚实的技术保障和系统支持。
2.临时远程VPN和云桌面技术实现安全接入
依托科技长期技术积累和云基础设施能力,信息科技部在短时间内高效完成三套远程安全接入平台的建设工作,分别满足不同用户的接入需求。其中,远程临时办公VPN系统用于支持总分行人员在疫情隔离期间通过互联网远程访问银行OA办公、邮件系统等办公需求,并满足业务部门紧急信贷审批、远程金融服务等应急操作;远程生产VPN系统用于科技生产运维、生产业务参数紧急调整以及风险管理等远程访问需求;远程临时开发测试VPN系统用于满足科技部门紧急开发测试远程访问、业务紧急参数调整开发、生产相关问题测试等需求。
截至2020年3月下旬,信息科技部开通远程办公系统,覆盖总行31个部门、39家境内分行及其他分支机构,做到行内用户各类型需求的全覆盖,行内接入场景全覆盖,有效支持员工远程业务办公、科技应急操作和开发测试需求。
同时该安全接入系统平台结合光大云桌面提供真实可溯办公环境,充分发挥其数据隔离的安全特性,辅助自定义会话带宽、屏幕水印、实时录屏等技术,为用户提供虚拟桌面和虚拟应用两种技术方案。目前光大云桌面累计构建起了三大资源池(业务生产、开发测试、日常办公),采用分布式存储和双活数据灾备架构,共支撑起5000多个虚拟桌面环境和数百个虚拟应用,接入范围涉及全国和海外分行地区,有效保证了互联网接入行内环境的数据安全,积极打造行内数据保护“金钟罩”。
3.光大云视频会议升级满足音视频沟通需求
为满足远程办公期间员工内外网联动音视频协同会议沟通需求,光大银行云视频会议系统在疫情期间破茧而出,该系统以光大银行私有云为基础,通过容器化集群部署,支持用户通过行内网络和互联网共同参与视频会议,并支持自主约会、会议日程提醒、终端屏幕共享,会议画面自由切换,灵活的会场管理控制、会议录制及后台数据监控等丰富功能。在有效节省网络资源的情况下提升视频会议画面质量,同时,该系统支持融合现有主流视频会议终端,实现行内外移动终端、电脑客户端、桌面视频终端以及行内视频会议室互联,开展多媒体会议等多种会议场景,满足日常业务办公沟通、行内外人员沟通、科技生产操作应急处置沟通等各类需求。
光大云会议系统覆盖全行总分行科技用户,在系统上线后的40天中,云视频会议总数超过9000个,累计会议时长超过20万分钟,先后支持了全行经营分析会、老员工云上专场面试、总分行各业务条线工作会、总分行科技安全工作会等几十个全行性大型会议,为打造光大银行精品办公系统奠定了坚实基础。在疫情期间,光大云视频会议系统作为科技运营重要沟通渠道,科技运营相关事件晨、周、月会,容量周、月会以及变更评审会等正常召开,每日召开视频变更沟通会,对需要实施的变更操作进行逐一分析评估,有力地防控了各类风险,成功保障了月度集中投产安全、有效应用金融市场波动带来的运营风险。
二、拼搏创新,探索科技运营新模式
信息系统安全运营是银行业务开展的基石。面对疫情给运维工作带来的诸多影响,光大银行努力探索科技安全运营新模式,结合自动化平台、容量管理、变更管控、应急演练等各项措施,确保7×24小时值守不间断,全力保障系统安全稳定运行。
1.自动化平台支持远程运维值守
疫情期间,各类运维自动化平台,为科技部人员提供了便利条件,成为安全运维的有力保障。以系统运维配置管理平台(SMDB)为例,该平台可实现系统运维管理的标准化、精细化和自动化管理,是抗“疫”期间管理员远程办公的重要“武器”。SMDB平台纳管总、分行生产环境全部服务器,一方面能够通过对系统7大领域47个维度进行全面自动化巡检分析,确保管理员全面了解系统在容量、安全、合规、运行状态、故障日志分析、主备环境一致性及变更结果;另一方面还具备强大高效的并发任务执行能力,通过平台批量发布变更任务,在疫情防控期间多次对全行系统进行安全扫描、漏洞分析排查、OS补丁更新和中间件漏洞修补等变更操作,充分体现银行在智能化运维建设中的敏捷化、自动化能力和水平。
此外,行内应用运维自动化操作管理平台(MAOP)已纳管总行全部应用系统,通过对生产系统4大领域12个维度进行自动化检查,确保应用运维人员在不需要登录生产系统的情况下就能全面了解应用系统是否可以正常对外提供服务、后台资源是否充足、联机交易整体情况、批量运行结果等内容,及时发现和排除应用系统运行潜在隐患,保障了疫情期间生产系统运行安全。其它如网络智网平台、统一监控平台、容量管理平台等,也在疫情期间为应用系统和基础设施管理、运行状况监测调优等提供了充分支持,为保障生产系统稳定运行和业务发展方面发挥了巨大的作用。
2.应用系统远程集中投产
综合考虑疫情防控期间人员安全要求,2020年一季度光大银行首次采用以远程为主进行集中投产,除运维中心一线工程师与自动化发布平台支持人员外,基本不安排专业人员现场支持。同时为保障集中投产顺利完成,运维中心安排数据库、中间件、监控等专业领域的支持人员通过远程方式实时保障,确保疫情重点区域的金融支持需求(如贷款到期宽限期处理、手续费减免等)、疫情防控期间远程办公类需求,LPR定价改造等重要需求的顺利投产。
3.非现场故障应急演练和处置
为应对可能出现的业务中断类故障,光大银行信息科技部试用了多种远程协同工具,并最终依托光大云视频会议系统实现了特殊时期的非现场故障应急组织和实施演练工作。演练过程中,一二线人员通过云视频会议音视频、共享桌面等方式确认故障信息和根因分析,协商快速恢复处置方案,并对操作进行远程实施与复核,确保故障迅速隔离、快速恢复业务。
4.尝试外包管理离岸交付新模式
为有效降低人因风险,满足复工需求,在确保防疫安全的前提下提高工作效率和规范性,光大银行积极探索外包离岸交付管理新模式。离岸交付是指合作供应商向银行提供外包服务的公司人员,在其公司自有场地进行服务交付的新工作模式。在疫情防控期间,这种方式用于解决短期内部分人员无法全面复工,需要逐步恢复现场办公的态势,以分散远程办公安全接入方式减少外包场地人员密度、降低风险。
离岸交付参照外包人员远程办公模式进行快速部署,在满足防疫标准,且不低于远程办公的安全标准下,将人员相对集中在自有场地实行统一管理,以提高项目组人员工作规范程度和沟通协调效率,有效保证外包服务水平。光大银行通过试点—推广—总结的推进方式,确定应用效果并研究常态化外包离岸交付模式可行性,以场地灾备的思路建立外包运营连续性管理机制和预案。同时与监管机构进行沟通,进行外包离岸交付模式的报备。
三、科技赋能,支撑业务平稳发展
1.助力境内外业务正常开展
为保障疫情期间银行各类业务的正常运营,提升客户服务体验,光大银行积极探索多场景的敏捷远程服务模式,助力我行境内外业务正常开展。如配合行内零售业务部疫情防控期主动营销需求,制定远程营销分析服务工作方案,助力有效开展营销工作;为确保分行用户随时随地查询分行特色经营指标数据,通过远程开发方式与试点分行进行多轮联调测试,于2月投产上线“光速观察”功能,满足多家分行数据使用需求。
随着新冠病毒疫情持续在世界各地蔓延,截至3月下旬,全球已经有超过190个国家和地区出现疫情,为确保银行境外分支机构的人员健康安全,光大银行通过远程办公VPN接入方式,有效助力悉尼、首尔等境外分支机构开展远程办公业务访问需求,实现境外机构远程居家办公的安全访问需求,同时支持首尔分行远程生产灾备切换演练等生产运维工作。将安全访问措施推广到境外机构,在保障员工健康的前提下助力海外分行业务正常开展。
2.居家座席客服中心持续保障优质服务
当前国内银行的客服中心主要按集中办公的模式来建设,银行座席在家服务客户呼入电话模式属于业内创新。支持客服座席人员在家办公,不仅能解决光大银行远程银行中心的客服人力紧缺的燃眉之急,还是提升服务效率的创新之举。
经过信息科技部、数字金融部等部门仔细研究、反复论证和多渠道测试后,采用了“远程生产VPN+光大云桌面”解决方案,实现居家座席使用远程生产VPN访问呼叫平台、CTI、工作流和知识库功能。通过修改CTI路由策略,将低风险的咨询业务引导至居家座席,高风险的交易业务仍保留在行内,这样既满足了客服居家服务客户的基本需求,同时又综合考虑网络安全对高风险交易进行了限制。目前已开通数百个远程座席账号,支撑数百个武汉座席人员居家远程客户服务,有效支持武汉地区远程银行中心移动办公座席接入需求。
四、防在治先,严守安全运营底线
疫情期间,需要从组织管理、人员管理、网络安全等方面做好各项安全防护工作,特别是远程办公在带来便利的同时,也存在一定的安全隐患。光大银行谨守安全生产不放松、防在治先的原则,打造疫情期间风险防控机制,全面落实安全管理要求。
1.建立疫情防控管理机制、加强人员安全保障
根据银行疫情防控工作部署,光大银行组织建立疫情防控领导小组,多措并举,安排多地分散办公、错峰上下班,对人员进出管理、体温检测、消毒防疫,在行领导的支持和相关部门的配合下,数据中心所在办公区大年三十开始就安排全员佩戴口罩进入,并多方协调调配防护资源,迅速补充消毒用品、防护口罩和体温枪等,为持续安全运营打好基础。重点对信息科技部办公场地和数据中心出入管理、卫生消毒、餐饮保障等进行方案设计,颁布并落实《光大银行数据中心疫情防控工作实施细则》,并通过视频、电话会议等方式进行引导宣贯,确保每一位员工掌握和理解细则的要求,自觉接受和配合整体的防疫管控要求。
加强运行一线人员值守保障,为避免出现病例导致的全员隔离,形成运维“真空”期,首先对一线值守人员进行合理分工,采取A、B组严格隔离、延长轮岗周期、降低路途感染风险,增加二线人员对一线支持等方式,最大程度避免人员交叉感染,对前期疫情较为严重地区人员定期进行慰问,了解人员健康和工作情况,解决遇到的问题和困难,缓解员工压力,确保身心健康状态。
2.加强用户身份认证和数据安全
因为疫情期间远程工作原因,系统远程访问带来的安全风险高于平常时期,采取以下主要措施:
(1)远程生产VPN系统采用动态令牌实现一次一密;临时办公/开发测试VPN采用强口令定期强制改密、启用动态验证码双因素认证,确保认证强度和安全性。
(2)设置较短的用户有效期,到期需由需求人员所在部门(分行)第一负责人批准延期,同时设置用户一定时间内不登录自动禁用等账号安全管控策略。
(3)数据防泄密方面。采用虚拟云桌面技术,可有效实现数据隔离和病毒隔离,数据不落地,防止敏感信息泄露;设置流量限速、屏幕水印等管控策略;远程接入后用户桌面内操作与在行内保持一致,使用相关防泄密系统进行控制,加大信息防泄密控制,同时加大人员信息防泄密安全意识的宣贯力度,利用各类渠道面向全行员工进行宣传。
3.开展远程办公场景专项防控
光大银行开展远程办公场景专项防控,主要技术手段包括:
(1)蜜罐系统捕获攻击。针对远程办公中VPN系统及其他办公辅助系统的风险,光大银行在主动部署蜜罐系统,通过主动捕获攻击流量,发现攻击行为、分析攻击手法,实施安全封禁。
(2)加强安全威胁分析。依托安全态势感知平台及网络全流量检测等各类安全监控手段针对临时远程VPN接入系统开展7×24小时监控。对每天的VPN远程接入安全情况进行全面研判,形成远程办公每日安全分析日报。
(3)大数据分析及日报技术。通过大数据分析技术对VPN异常登录日志进行每日审计分析,建立总分行办公、生产、开发测试VPN使用情况日报、周报机制,对VPN使用情况、异常登录情况进行审计分析。
(4)VPN异常红线监控。为提高特殊时期VPN远程接入系统安全监控能力,实施访问策略加固及红线区域异常访问高精度监控策略,实现对远程VPN内网访问异常流量的有效甄别分析。
(5)开发测试环境后门专项检测。通过云安全监测系统对开发测试环境服务器进行专项后门检测,对新增文件进行实时监测,对存量文件每天定时扫描监测,实现对后门程序上传、主机提权、反弹shell等安全入侵行为有效检测。
防微杜渐、未雨绸缪,才能在疫情面前做到临危不惧、始终如一。对于金融科技而言,新冠肺炎疫情是一场考验,光大科技人会同总分行各业务部门及同事,用自身的技术积累和沉淀,全体员工凝心聚力,突破病毒造成物理场地的隔离等困难,共同抗疫,全力支持银行各项工作有序复工复产。
疫情总会过去,春暖总会花开。光大科技人将时刻秉持着“稳中求进、变中求机,进中求新”总要求,在做好系统安全平稳运营保障的同时,加大科技驱动,全力推进银行数字化转型,赋能一流财富管理银行建设迈上新台阶。
|
