网御神州：过硬技术保障人民银行业务安全

　　据了解，中国人民银行的信息化建设经过20多年的发展，已达到了较高水平。作为信息化中不可或缺的环节，银行信息系统的安全防护对保障国家经济、客户权益具有非常重要的意义。随着信息化进程的不断深入，银行经营对信息技术高度依赖，致使信息安全面临新的考验。特别是银行全面进入业务系统整合、数据大集中的新发展阶段，副省级以上单位与其他金融单位的业务往来更加频繁，对总行、省级分行的信息安全提出了越来越高的要求。

　　复杂网络引挑战

　　“中国人民银行内联网外联防火墙建设项目，是人民银行规模最大的一次防火墙设备部署，要求采购具有‘高性能、高可靠性、高安全性的国产千兆防火墙产品’，主要用于人民银行全国所有副省级以上单位的业务骨干网，要求业务不能中断。”人民银行相关负责人介绍说，人民银行为了降低不同区域资产面临的风险，防范外部入侵和内部违规事件的发生，实现各安全域的有效隔离，启动了人民银行内联网外联防火墙建设项目。

　　然而，人民银行复杂的网络基础架构为信息安全防护带来很大的难度。据介绍，中国人民银行分为总行、一级分行、二级分行三个接入层次。同时，人民银行也是各商业银行之间通信的核心节点，建成覆盖全国的大型广域网专网是必然趋势。与之相对应的，大型专网将会存在诸多的安全风险及问题。首当其冲的是边界安全，网络结构的合理性与网络信息安全息息相关，网络的覆盖范围越大，所面临的安全风险也会越多。人民银行的网络不是一次建成的，各级单位的内部网络不但要与上、下级单位进行连接，还要同其它商业银行进行连接，大量临时性的接入线路为整个网络系统的安全性带来很大的隐患。在各级分行的网络边界，并没有做到充分的安全防护，每个组织的网络都会面临着来自非信任网络的安全威胁。

　　其次，在人民银行的网络中，各个单位之间的信息传递依赖网络进行，其中大部分又是以专线或宽带接入方式形成的广域网传输线路。由于数据采用明文方式进行传输，存在着被窃取或篡改的可能，对数据安全乃至业务安全造成了极大的威胁。最后，针对内网的安全防范措施也必须被提到非常重要的高度。堡垒被从内部攻克的案例近年来逐渐增多，由内而外的安全事件或内部人员的误操作都会带来不可估量的损失。

　　“网络信息安全的构建是由各个安全要素构成的，人民银行网络信息系统遍及全国，包括现在的或者是未来的安全产品和安全策略，每一个子网的安全要素加在一起的数量之庞大可想而知。随着应用的推广和普及，各个子网之间的信息交互将会更加频繁，某个节点的安全问题有可能直接影响到全网的安全，所以对每一个子网中的每一个安全要素进行分层次的集中管理十分必要。”人民银行相关负责人说。

　　技术过硬保安全

　　在需求和困难都已明确的情况下，中国人民银行启动了内联网外联防火墙建设项目，力图实现各安全域的有效隔离，降低不同区域资产面临的风险，防范外部入侵和内部违规事件的发生。该项目吸引了国内10余家安全产品及解决方案供应商的参与，经过严格的测试评估，网御神州以排名首位的身份成为第一中标供应商，为全国2/3的省级分行提供安全防护。

　　单纯的高性能并不代表一切，越是大型的业务应用，用户就越重视所部署产品的可靠性。正是基于这方面的考虑，网神防火墙以多机热备的方式被部署在DMZ区、内联区、外联区及支付区之间。在少数承载核心业务的系统环境，人民银行甚至采用了4台防火墙做HA部署。也就是说，即使出现了3台设备同时出现故障的极端情况，核心业务系统也必须保证安全、正常地运行。

　　为保证该项目的成功实施，网御神州组建了优秀的技术实施团队。该团队根据项目中的业务应用需求，制定了防火墙HA+动态路由的部署方式，并搭建模拟环境进行了反复的测试验证。这种部署模式打破了静态路由配置下HA需要人工手动配置的惯例，能够在网络环境发生变化时自动计算路由，重新调整最优路径。经过不断完善，技术实施团队最终在项目中成功实现了国内首例双机热备+动态路由的部署，应用于人民银行的核心生产环境。

　　从项目前期跟踪、测试、中标到后期实施，网御神州证明了他们过硬的产品品质和团队优秀的技术能力，得到了人民银行相关领导的好评：“信息安全建设是一个复杂、长期的过程，需要不断实践和变化。通过部署网御神州防火墙，实现事前预防、事中可控、事后可查的安全策略，有效保障了人民银行信息系统安全、可靠地运行。”