护航网银业务 农行数据中心筑安全屏障
- 来源:中国信息化周报 smarty:if $article.tag?>
- 关键字:网银,农行,金融 smarty:/if?>
- 发布时间:2015-10-09 16:12
神秘、低调、不为人知,是银行数据中心给人的第一印象。千里之外的ATM能否实现转帐、存取款,网银水电费缴款操作可否顺利完成,银行各类业务都离不开背后数据中心的运营支撑。
“如果说总行是银行经营的大脑,数据中心就是银行经营的心脏。只有一颗安全、健康跳动的心脏,经营才能搞好。”中国农业银行董事长项俊波如是说。
对中国农业银行而言,成立于2005年11月的总行数据中心是农行总行直属一级部门,是农行整体信息化架构的重要核心,更是农行生产运营向集约化、科学化战略目标迈进的一项重要举措。
网络升级先行
目前,农行正通过全国24064家分支机构,30089台自动柜员机和遍布全球的1171家境外代理行,向全世界超过3亿5千万客户提供便利、高效、优质的金融服务。
境内星罗密布的营业网点,以及境内外各分支机构的巨大网络差异性,使得农行整体网络结构复杂,要不断满足新业务上线要求,数据中心网络升级成为农行整个系统升级改造的重中之重。
据了解,农行数据中心网络架构如下:各级分行的生产网有8个分区、办公网有5个分区,分区多达13个,两套物理隔离的网络分别承载生产和办公业务,但生产业务区与办公业务区部分功能重叠,业务分区之间需要部署防火墙进行网络隔离,以增强业务流量的安全控制。
为更好地科学制定网络改造升级计划,农行选择合作伙伴华为,帮助其重新规划涉及所有36个一级分行数据中心和一级骨干网的网络架构,以改变农行当前网络架构,实现两网融合,即采用一套物理网络承载生产和办公业务。
华为在充分调研中国农行网络现状后,针对数据中心网络架构进行了结构性调整、规划:全网按照“多地、多中心”架构进行设计,实现网络全时服务能力;所有核心设备采用双主控、多交换板、多电源等最高荣誉等级配置,实现核心节点超过5个9的可靠性。这次网络改造涉及所有36个一级分行数据中心和一级骨干网。
要解决生产网和办公网功能重叠问题,农行科技部的具体思路是将生产网与办公网功能重复的网络分区归类合并,整合之后网络分区从13个减少至6个,网络结构大大简化,可扩展性也大大增强。
但合并之后的公共网络分区,在安全性上又提出了更高要求,因此,华为实施团队在本地用户接入区、开放平台区、开发测试区等区域部署防火墙,以增加对业务互访的安全控制策略。
其次,生产网和办公网的外联网合并后,华为在关键网络核心节点采用双机热备,进一步增强网络可靠性。同时,为确保业务流量无阻塞转发,华为在核心层和汇聚层部署了高性能交换机CE12800。
关注高可靠性
数据中心网络升级为农行业务运行提供了更高稳定性,与此同时,也对业务系统的出口安全提出了更为严苛的要求。
为满足国家安全审查建设,2014年,农行总行针对电子认证系统建设规划,开展了“某系统国家安全审查建设项目“万兆防火墙入围选型工作。从银行业务的特点出发,农总行对设备的性能提出了明确要求:防火墙吞吐40G以上,能够实现基于用户、应用的下一代防火墙特性以及负载均衡、VPN、多种路由协议等网络特性。
经过谨慎检验,H3C SecPath F5040入围农总行数据中心。作为下一代高性能万兆防火墙产品,H3C SecPath F5040采用最新64位多核高性能处理器和高速存储器,支持多维一体化安全防护,可从用户、应用、时间、五元组等多个维度,对流量展开IPS、AV、DLP等一体化安全访问控制,能够有效的保证网络的安全;支持多种VPN业务,如L2TP VPN、GRE VPN 、IPSec VPN和SSL VPN等,与智能终端对接实现移动办公;提供丰富的路由能力,支持RIP/OSPF/BGP/路由策略及基于应用与URL的策略路由;支持IPv4/IPv6双协议栈同时,可实现针对IPV6的状态防护和攻击防范。
高可靠性是农总行最为关注的一个方面,H3C SecPath F5040防火墙采用互为冗余备份的双电源模块,支持可插拔的交、直流输入电源模块,同时支持双机状态热备,充分满足高性能网络的可靠性要求,这对银行业务来具有实际意义。
更易用的网络防护
目前,已经有两台H3C SecPath F5040部署在农总行数据中心,作为数据中心出口的“屏障”,为网银业务保驾护航。对于农总行IT部门而言,采用H3C SecPath F5040,也一定程度减轻了在系统部署和运维环节的压力。
采用双机热备,是高端用户普遍采用的一种增强系统稳定性的方法。以往农总行数据中心采用的是VRRP+HA的双机部署方式,这也是国内厂商设备的普遍方式。但这种方式的短板十分明显,由于单组VRRP需要消耗三个IP地址,如果双主方式需要两组VRRP;两台设备需要单独配置维护,部分配置需要能够自动备份。
这种传统方式无疑需要消耗很多IP地址资源,同时需要提前规划众多的地址分配以及链路协议规则。农行总行的IT部门需要投入大量精力,来了解安全技术细节,熟悉双机组网方式。
H3C SecPath F5040改变了这一点。由于可以采用SCF集群双机技术,双机热备的两台防火墙,在网络拓扑中成为了一台设备,对外呈现单节点、单IP,而且只需一次配置,也无需担心配置备份问题。由于设备的SCF功能已经通过集群协议完成了大部分双机配置工作,维护人员只需通过简单的界面来进行部署与维护,而无需理会底层的技术细节,这样就大大提升IT部门对防火墙设备维护的工作效率。
此外,由于H3C SecPathF5040具备了IPS、AV防毒、应用流控等多种高性能的深度安全防御扩展能力。因此,除了实现网络出口的基本访问控制外,华三通信下一代防火墙可以在任何需要的时候开启高性能的多业务防护以及多种VPN接入手段,在不改变现有组网的情况下,便捷地获得更加完整的边界安全防护,同时多种安全防护业务可以在一条安全策略中统一集成,让现有网络防护更为简单易用。
对用户而言,尤其是金融企业,网络安全建设并非一蹴而就,而是需要不断完善、提升的持续性工作。随着总行数据中心的网络防火墙部署需求不断调整,农行的信息安全策略也将不断提升、完善。
同时,随着银行系统规模不断扩展,由早年简单的以账户为中心的信息系统“水泥路”发展至统一账务核算、资金汇划清算、24小时业务处理的高速公路,那再发展到支持经营管理、分析决策及金融产品创新为一体,这一过程也对农行科技部也不断提出挑战。
目前,如何从“大集中”的海量数据中挖出“金子”,采用更加开放、主动、以客户为中心的手段来优化业务、改善经营,正成为包括农行在内的金融机构关注的重点。
本报记者 洪蕾