建設數字化管控平臺,筑牢信創終端系統安全體系
責編:gltian |2023-09-12 17:01:22信創終端數字化安全管控系統建設背景
維護金融安全是踐行國家金融工作戰略的永恒主題,黨的二十大報告將科技創新與金融安全列為重點工作推進。習近平總書記反復強調,金融安全是經濟平穩健康發展的重要基礎,維護金融安全、防范化解金融風險是關系我國經濟社會發展全局的一件戰略性大事。同時,金融監管機構始終保持“嚴監管、重處罰”的高壓態勢,對于銀行業網絡安全、數據安全的監管日趨嚴格、細致。
在重安全、求創新的時代背景下,為建設信創終端的安全管控體系,我們對金融同業終端設備使用狀況進行了調研,主要發現四大類問題。首先是信創終端在安全管控方面難度大、成本高,數字化管控手段缺失,信創版本的終端安全工具與普通Windows版本相比有較大的功能性差距;其次是部分國內的安全工具僅在終端APP層面進行了適配,服務端節點還未完成全棧式信創改造,安全保障方面還存在“卡脖子”的風險;再次信創終端的資產管理工作也存在人力投入高、效率低、數字化資產盤點手段缺失的問題;最后信創終端下發至用戶后,現有工具無法精確掌握用戶開機、登錄和實際使用時間等情況,信創終端推廣和真替真用缺乏有效的數據支撐。
基于上述情況,我們決定對終端的數字化安全管控系統進行專項攻關,建設信創終端數字化安全管控系統(以下簡稱信創PCM)。一方面利用全棧式信創技術平臺用信創管信創,防范因感染病毒、木馬導致的網絡安全和數據安全風險,保障全行信息系統和網絡安全穩定運行;另一方面提升全行科技固定資產的精益化管理水平,同時也為信創終端“真替真用”提供數據支撐。
信創PCM系統技術亮點
中信銀行信創終端數字化安全管控系統創造性地綜合運用多種安全、大數據和人工智能分析技術,實現信創終端全景式精準數字畫像,有效實施終端數字化管控,大幅度提高管控效率。
1.構建全棧式信創終端管控體系。本項目創造性地通過信創終端數字化安全管控系統的客戶端程序,將終端安全系統軟件信息、終端基礎配置、軟件列表、補丁安裝等各類終端進行全面采集,并通過Mac地址實現數據與所屬設備一對一匹配,利用大數據技術第一時間自動發現和精確識別所有入網的終端設備,確保接入設備信息的快速追蹤,形成全方位、精準化的全行終端數字畫像,為實現終端設備一體化集中管控和安全運營構筑強大的數據基座。
信創PCM系統的前端APP適配國芯及終端操作系統,服務端節點基于國內芯片服務器和操作系統、數據庫等基礎軟硬件,實現全棧適配改造,并計劃在2023年底前實現單軌運行,實現用信創保安全的目標,彌補信創終端在數字化安全管控能力體系方面的空白。
2.形成數字化問題檢測管控閉環。基于安全規則算法并總結全行終端安全運維和審計經驗,自動檢測終端防病毒異常、天擎程序異常、安裝非法軟件等各種安全威脅,并支持擴展豐富新的安全檢查和整改場景,由終端數字化管控平臺建立全行統一的數字化安全問題整改臺賬。并通過自動調度終端任務的方式完成整改,對于自動化任務執行不成功的再轉派人工處理,形成反饋形成閉環,實現從人機驅動到全數據驅動。終端安全問題檢測已不再需要人工介入,在試運行階段驗證,至少可以提升90%以上的運維工作效率。
3.實現全景式資產盤點功能。信創終端數字化管控系統作為全行終端管控的中樞大腦,對全行終端設備實施一體化集中管理,通過終端MAC地址網絡信息與我行網絡管理信息系統進行對接,獲取終端物理位置,并通過域用戶信息獲取終端實際使用人。在信息科技固定資產管理過程中,可通過該系統查找和定位各類終端,準確反映總分行終端設備使用情況,建立終端設備使用管理臺賬,動態維護終端設備品牌型號、責任人、入網IP地址、操作系統、預裝軟件、維修記錄等信息。覆蓋終端設備采購、入網、維護、報廢等處置全過程,真正做到賬實相符,確保科技固定資產管理“底數清、情況明”,80%以上的信創終端固定資產盤點工作效率得到提升。
4.提供數據支撐,提升信創終端使用體驗。本項目可以在用戶無感知的情況下,采集終端開機時間、用戶登錄時間、用戶實際使用時間等數據,同時支持信創終端點對點的消息推送功能,將信創終端的操作系統升級、使用提示等消息快速通知到用戶,盡可能為一線業務提供更好的信創終端使用體驗,并為后續信創終端推廣過程中的實際使用情況提供有效的數據支撐。
攻關經驗總結
由于本系統在信創終端安全領域尚屬首創,中信銀行在對于技術難點的攻關過程中,充分發揮了攻關團隊的技術能力,并與信創技術生態緊密結合,不但實現了系統最初的設計目標,還總結出一套解決信創項目攻關問題的方法論,具體如下。
1.借助金融信創生態力量解決問題。與一般技術難點的解決方式不同,對于信創技術難點的解決,行之有效的方式是由信創技術廠商提供方向,再根據解決方向把問題描述清楚,之后到技術社區發帖提問,獲取生態社區的支持往往能較高效率地解決問題。比如我們在研發“真替真用”數據采集模塊時,服務商提供的獲取用戶輸入空閑時間的API接口就不能頻繁調用,可能造成終端卡頓,但其技術人員也不了解為何API頻繁調用會引發BUG。最終我們在技術社區發帖獲取了5分鐘調用一次的合理設置值,節約了自行尋找調用頻率最值實踐所需要耗費的時間。這種通過技術生態的支持最終解決問題的方式,是信創攻關任務中所總結的重要經驗。
2.充分考慮不同型號終端之間的差異。我們在自研過程中發現飛騰、龍芯、兆芯在時鐘管理、內存回收、鎖隔離級別等方面都或多或少存在差異,甚至有些現象僅在某些特定的品牌和型號上才會出現。我們在實踐中發現某些適配工作必須針對具體型號進行特殊處理,在開發過程中就提高終端型號的覆蓋度,做到完成一個模塊就測試一個模塊,避免問題積累,這也是我們在自研過程中總結的重要經驗。
3.總結攻關經驗反哺信創技術生態。實踐證明通過信創生態社區去解決問題,往往是攻克信創系統難點的有效途徑。后續我們計劃把項目研發過程中在消息推送、內存治理等方面的問題解決經驗總結出來,反哺給技術社區。比如我們“真替真用”采集模塊的自研算法,除了通過操作系統級API獲取用戶空閑時間之外,還綜合考慮CPU時間等因素來綜合判定用戶的實際使用時間,這方面的設計也得到了服務商方面的重視。我們通過將相關算法的設計思路分享給服務商的技術人員,解決信創操作系統的問題。后續我們還會繼續積極參與信創操作系統的文檔編寫,形成生態體系的良性循環,推進金融信創系統不斷積累經驗,向前發展。
后續產品演進路線
中信銀行信創終端數字化安全管控系統采用全自主研發模式,致力于打造信創終端精準數字畫像,依靠科技創新實現信創終端設備一體化自動發現、分類、檢測、處置和反饋的全流程閉環安全管控措施。根據目前平臺的建設思路及情況分析,未來繼續演進的思路如下。
1.進一步提升終端狀態動態感知能力。該項目將進一步通過大數據技術,第一時間自動發現和精確識別所有入網的終端設備,并獲取終端安全系統和網絡流量特征數據,精確識別其中的信創終端,保證對信創終端100%精準管控及全面的動態覆蓋,提升終端狀態的動態感知能力。
2.持續向安全管控要效益。由于金融機構尤其是傳統的銀行業,大量終端都分布在各分支機構及子公司,人工現場排查效率低且難以確保質量,隨著信創終端數字化管控系統的推廣實施,通過新技術手段將在線遠程開展問題發現和自動化修復,降低全行終端安全風險,極大程度減少全行特別是分行終端運維的工作壓力和人力成本,深化全行一體化運維服務水平,為分行減負,實現降本增效。
未來PCM系統還將成為全行信創終端科技固定資產的“數字化賬本”,避免在固定資產管理環節上可能造成的隱患,減輕對人工記賬的依賴,解決賬賬、賬實不符,資產的盤虧、毀損及有效資產存量不清等問題,優化資產配置,減少成本支出,提高資產使用效益,有效增強對科技創新的支撐和保障能力。
3.凸顯信創工作社會效益。保障終端安全是金融行業信息安全防護的重點環節,各種外部滲透、侵入經常利用終端的薄弱點發起攻擊,一旦因安全防護措施不到位被暴露出問題,會極大影響金融行業的品牌效應、社會形象,造成不必要的損失。
后續信創PCM項目將依托我行先進技術平臺和綜合研發能力,以及長期的終端安全管理經驗,再將項目攻關經驗推廣后,推動金融行業打造數字化、一體化的信創終端安全管控模式,以科技創新、管理機制變革持續推動金融科技的服務能力,改善金融行業在信創終端設備數字化安全管控方面能力不足的現狀,提升全行業的終端安全防護水平。
來源:本文來自金融電子化