关于银行“业务集中”技术风险调查资料的评估意见
关于银行“业务集中”技术风险调查资料的评估意见
1.银行系统实施业务集中的计划在现代技术条件下是可行的
强调一体化的业务过程以及知识和数据的统一管理是未来发展趋势。业务集中处理可以减少管理层次和重复建设、充分共享计算资源、规范业务处理功能及流程。近年来,技术的发展和信息处理基础设施的不断完善为“业务集中”提供了必要的使能条件,同时人们对业务流程重组和机构动态调整也有了较充分的认识。该“业务集中”计划在技术上和组织实施上都是可行的。
有几家单位都担心,数据中心一旦成为网络攻击的目标,会导致灾难性的后果,因此推断“业务集中”会带来更大的安全隐患。事实上,攻击多个较脆弱的目标要比攻击一个坚固的目标来得更容易。通过实施“业务集中”计划,我们正好可以统一考虑更完备的、便于统一管理和升级维护的安全体系。
2.安全问题
安全包括物理与环境安全、网络安全、操作安全、应用安全、安全审计,以及安全的备份方案等。各行对物理安全和网络安全方面考虑得比较多,其它方面相对较弱一些。“业务集中”后,信息和信息的传输更为集中,需要管理的“点”变得少了,但一旦出现问题,其损失也变得巨大,即风险也同时变得集中了。“业务集中”后,传输过程中的安全性、业务操作的权限和安全保证、信息在集中管理下的异地、分布式安全存储备份,是几个主要的安全风险的防范控制点。
对于传统的银行业务,目前的系统的安全多依赖于专线网络,而这实际上并不是很安全,而且在电子商务、网上银行等业务发展起来以后,专线网络也是不可行的。特别在业务集中后,大量的业务数据将依靠广域网络来传送,数据传输的安全问题显得更为突出。很多银行没有考虑传输的安全问题,有些考虑到了,但也不够细致,对不同的应用应该有不同的安全保密机制和强度。
集中后的系统,合法用户进入系统后所能获取的资源可能会更加丰富,而统计表明,来自内部的威胁远比外部要大,因此,不加强权限细化、控制、监督和审查是非常危险的,关键的数据要采用加密存储,密钥采用分布存储或秘钥分割,作到互相监督和制约,每次操作均进行对柜台机或终端、操作员以及用户的合法性确认、签名和加密的日志记录。
底层安全措施不能代替应用层的安全解决方案。目前银行系统普遍使用国外的系统和网络产品。有些报告中也指出无法避免其中可能存在的后门和漏洞。尽管这是一个难以改变的现实,但还是应该进行力所能及的工作予以防范。不能把安全完全寄托在已有的B1级操作系统、虚拟专用网、防火墙、入侵检测系统上。必要和可能时应该在应用一级实现保密性、完整性的防护。应用系统的开发和维护则应该由银行系统完全掌握。如果应用级安全实现得好,可以减少一旦底层系统被攻击后的损失。
3. 业务规范和技术实施
我国银行金融电子化的程度表现为参差不齐,各分行经常使用的不同系统和不同版本的业务处理软件。“业务集中”并不应是简单的物理的集中,而是一种应用的集中。各种业务处理过程应该更为统一、有效,并能满足业务急剧扩展的需要。因此在集中过程中,对应用软件系统和硬件平台都需要进行系统的调整和规划。以前一些只适合小规模业务的业务处理平台需要进行整合。有些银行系统考虑到使用机群系统来保证系统的可扩展性,但对发挥机群技术本身优点如集中管理、负载平衡、高可用性等涉及不多,没有把机群作为一个整体的系统来考虑使用。在针对“业务集中”方式还没有成熟的应用系统体系结构和软件解决方案的情况下,系统结构和软件方案的设计(包括安全体系)是一个关键问题
现有网络条件下,数据中心可能难以应付峰值情况下大量联机交易,是否考虑建立必要的缓冲节点?是否应考虑引入适当的本地备份策略?如何充分利用已有投资是另一个需要考虑的问题。例如,需要考虑解决未来一体化的业务系统与现有应用的兼容问题,还有现有数据向数据中心的转换和迁移的问题。需要建立十分完善的备份机制和故障切换手段(工商银行组织南北两大中心并相互建立镜像的方案很值得借鉴,原则上应排除建立单一中心节点的极端方案)。需确定业务应用的合理布局,例如,办公自动化系统显然是不需要都集中到中心去的,然而,办公自动化系统和各业务系统有着各种各样联系,应充分考虑如何合理划分,解决到底集中哪些系统的问题。此外,我们需要支持系统动态更新(适应变化),并保证中心节点的功能服务和基层节点的应用的一致性。
交通银行认为采用机群系统、数据存在多台机器上就难以实现“一本帐”,这种顾虑有没有根据可请技术人员做认真分析,在机群上实现统一存储管理并不是件很难的事。
目前很多业务集中方案只是传统业务的集中。而传统业务的业务量、应用模式相对稳定,集中只要依靠服务器迁移和网络重构等方式即可达到。面对将要到来的网络银行模式的广泛应用,会产生两个新的问题:一是网络银行业务量会达到什么规模?网络银行客户端将不限于银行终端而变得更为广泛,而电子商务等应用会将原来很多银行外的货币交易转化为银行业务。这样是否会产生比传统业务量更大的系统负载?现有的集中方案是否具有相应的可扩展性。二是银行业务将直接连入Internet网中,而Internet不能像传统的银行专用网一样保证传输的流量和响应速度。这时如何保证业务的顺利进行?Internet银行服务是否也应采用大集中的方式还是通过分布各地的前端机联入银行业务网络?这些新问题应在业务集中工程中应提前予以考虑。
4. 关于采用国产化设备
我国几家大的银行主机系统都采用IBM ES/9000或S/390,原来采用开放式系统的交通银行在业务集中时第一方案也是放弃开放式系统改为S/390,似乎离开IBM,中国的银行就无法生存。IBM大型机在银行占主导地位是多年历史形成的,IBM的大型机主要是针对银行业务设计的,而且有丰富可靠的软件,短期内难以改变这一局面。许多银行也担心国家的金融安全完全依赖一家外国大公司十分危险。但对其可能的后门和隐患束手无策。从长远来讲,涉及国家金融安全的关键设备的芯片、操作系统、主要应用软件都应掌握在自己人手中,这应当作为人民银行高层负责人的既定方针和考核目标。银行领导应主动与国家科技部门联系,制定专项国家科技计划(或作为863计划的重大专项)力争5-10年内解决这一问题。十五期间,中科院计算所将在通用CPU设计上取得重大突破,Linux操作系统在银行应用也是可行的。关键是组织力量开发与IBM公司软件相当的大型应用软件。
我们不能只“临渊羡鱼”而不“退而结网”。在条件极其艰苦情况下,两弹一星我国都能研制出来,为什么就不能改变银行系统IBM一统天下的局面而让可能的“定时炸弹”永远埋在我们的核心系统中?
如果没有银行上层领导的决心与支持,计算机科研人员再有本事也改变不了这一局面。如果银行有决心,我愿意奔走呼号,积极争取科技部立项,为解决这一心腹之患尽最大努力。
5. 其它
各行对网上银行业务的支持还很薄弱。支撑技术的实施和科技人员,特别是信息安全方面的人员的配备不够,安全投资的比重较弱,特别是缺少比较系统的、综合的安全解决方案。小规模的商业银行在这方面还走得稍微往前一些,而大银行表现得过于慎重,这在将来入世后很难保证市场竞争实力。
很多银行谈到科技人员流失而束手无策,这方面可以考虑与国家研究机构以及高等院校进行合作,聘请他们的专家作为顾问或提供咨询服务。各行还可以进行联合,建立联合的安全应急服务和技术咨询中心,联合组织技术培训等。
各银行都对异地备份、灾难处理等给予的相当的重视,并提出了对基础设施保障如电力、电信系统以及对国家建立相应的法律法规的期望。国家应协调有关部门加紧与银行业务集中要求相配套的法律法规的制定和基础设施建设,为银行大数据中心的安全提供基础保障。
(2001年)