2019(第二届)中国金融科技产业峰会于10月31日——11月1日在北京国际会议中心隆重召开。在11月1日下午召开的“金融业网络信息安全”分论坛上,华胜信泰信息产业发展有限公司CEO杜国旺先生进行了《金融操作安全风险防控》主题演讲。

杜国旺

我今天演讲题目是针对《金融操作安全风险防控》。金融操作安全风险防控这个问题有明确的定义,操作安全风险什么时候得到重视的?大概是2002年之后,操作安全风险成为了金融业以及所有数据中心、信息中心的一个重点关注的课题。

针对操作安全风险,最早法律法规是《萨班斯法案》,紧跟着中国一系列的政策出现了,尤其是等保二级以后,在等保二级里有更多关于操作安全风险的控制。

萨班斯法案要求所有的数据中心都进行日志收集和监控,等保2.0公布以后,在2.0里大约是50%以上的内容都要求到关于操作安全风险的要求,包括可信验证、身份鉴别、访问控制、安全运维等等,有很多的内容。

在金融领域,操作安全风险具体是怎样的一种表现?随着金融领域大量数据中心的涌现,以及到目前为止国产软硬件产品使用率的不断提升,国家已经大量在用国产软硬件产品,我们出现了更多操作风险的意识。

关于传统运维操作,在传统运维操作中,我们首先遇到各种各样的麻烦,可能维护一个数据中心若干的设备,就一套密码、一个权限,大家都用这个密码、这个帐户,但是到了最后,密码被谁改了?不知道!谁在这个机器上增加新帐户了?谁删除一个文件?谁改变了一个规则?我们经常不知道。尤其是现在金融以外泛金融的延伸,这种问题太突出了!

发现一个安全漏洞以后,证据从哪里找呢?其实我们说针对金融的运维、操作,如果我们能获取如下的几个环节,我们就不愁实现一个风险防控。首先,是谁干了这件事情,什么时间从什么地点登陆的,客户端的IP是哪一个,登陆到哪个目标主机了,在这个目标主机上做了哪些事情,这些事情的返回结果是什么,成功了还是失败了,有记录吗?可以回溯吗?可以回放吗?当我们明确了在线问题的时候,就很容易实现金融操作风险的防控。

上升到管理规范上,我们在金融的运维管理中要实现:

1、    事前防范。实现一个事前防范,要对已认证的用户、实名的用户、实名的认证进行管理,要对它进行强省份认证、强身份识别。这个强身份认证,刚才有专家已经讲了,说支持静态口令、动态口令、生物特征的认证,声纹、虹膜、指纹、人脸等等。某人操作权限提前的授权、审批。

2、    事中控制。在操作过程中,事中我们对他访问的每一个课题甚至执行每一个命令进行访问控制,他所执行的操作进行控制,比如在Unix系统下操作,它做一个命令,操作员做完以后回车不起作用,为什么?可能需要更高权限、更高级别的同事给他审批,实现双重认证。他执行哪些命令、能操作哪些设备,进行访问控制。

3、    事后审计。事后能够实现审计,对于每一个人每一个操作做了哪些工作,能够把它操作的过程回溯出来,可以预警出来哪些风险,最后形成统一的报表报告,知道做了哪有风险的操作。

接下来,介绍一下我们的统一安全平台业务模型∑USP是干什么的?

进行统一身份管理、统一身份认证、统一访问控制、审计过来。传统运维是访问目标服务器,所有数据都是直连的,风险很大。访问帐户一般是每台机器上root、DBA的用户,实现不了实名。我们西格玛USP是业界有名的堡垒机或者跳板级东西。首先,对堡垒机进行登陆访问,这个堡垒机登陆时用的实名、多因素身份认证,实现对后台所有访问资源的单点登陆,这些访问资源统一实现授权,几百台机器,我这个用户登陆以后能访问哪几台机器,它是有明确设定的。我访问每台机器时可以执行哪他命令、执行哪类操作,它也是有统一定义的。我做完工作可以把我的行为调出来进行回放,然后在1台机器上,我这个人做的所有工作可以形成统一的报表进行审计,这就是我们的功能模型。

它的应用架构,分为:访问主体、管理员、访问课题。访问主体是普通的运维人员,他可以使用各种各样的协议,Telnet、RDP、3270、5250等等,包括网络设备、Windows设备,也包括我们现在针对数据库服务也进行访问控制和审计。在这些金融案例中都提出来各种需求。

这是服务器监控,前台在操作服务器,后台可以实现监控,对用户对话实现监控,截到同一个屏幕上。前面窗口的对话从后面可以看到。这是行为审计回放,把访问列表列出来,我可以选择其中一个访问动作,把这一个访问动作拿出来,在这个访问动作中干了哪些事情,下面可以加速、可以拖拽,从某一个断点开始播放,这是我们针对Unix的、Windows的,都可以。

针对这个需求我们构建一款USP一体机,基础平台设备是华为服务器鲲鹏920,湖南麒麟。这是华为服务器的性能表现,我们为什么选择了华为的服务器?这是这款新应用使用的架构,我们现在采用微服务架构,所有组件可以拆分出来,甚至安全防护都可以拆分加进去的。

最后,简单介绍华胜信泰。

华胜信泰是华胜天成旗下一家全资子公司,公司的成立来自于一件事情,IBM总裁和李克强总理的一次会晤,在这次会晤上中国给他提出来IBM的技术有多开放,我中国给你的市场就有多开放,我们跟IBM做了引进、消化、吸收、再创新的合作。这个合作主要是几款产品,第一款产品是西格玛∑DB,然后支持异构、嵌入式、物联网、时空特征。还有一个产品是∑MQ可靠消息传输中间件,我们做了特色功能方面的改造,支持文件传输、跨网闸,跨网闸是中国环境下比较特殊的一个东西。∑AS是一款外部应用中间件。还有两款应用级中间件,∑USP是一款运控审计平台。∑AOP是可视化调度控制系统。这款产品是做运维管理、专业调度的东西。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2020-02-26 18:16:22
云资讯 潍坊银行与阿里云达成合作 全面拥抱云计算和金融科技
根据合作协议,双方将在创新实验室、产业金融创新、小微金融创新、智能风控、组织管理与业务双在线等多项业务上展开全面合作。 <详情>
2020-01-08 17:53:23
大数据技术 大数据风控行业正本清源 金融科技开启下半场
这些违规的数据公司仅是个案,不能代表大数据风控技术或金融科技的全貌。 <详情>
2019-12-26 18:13:55
5G资讯 开拓“5G+金融科技”创新 翼支付生态合作再升级
2019年12月11日,中国电信翼支付在北京举办了第三届合作伙伴生态大会,邀请来自金融、零售、科技等领域的合作伙伴共聚一堂,围绕“共迎5G未来 赋能金融科技” <详情>
2019-11-15 14:43:34
互联网 容联获2019中国金融科技创新应用优秀解决方案
2019年11月8日,中国金融创新高峰论坛暨第十四届中国金融CIO年会 在北京隆重召开,来自中国农业银行、中信银行、民生银行、国信证券、平安产险、容联、IBM等众多知名企业数 <详情>