- 快捷搜索
- 全站搜索
在银行实现数据大集中工程、核心系统升级换代之后,网络越来越关键。一方面,7×24小时的交易处理要求网络的高可用性、数据传输的安全性;另一方面,应用整合与许多的新应用要求更加灵活的网络服务,实现柜面业务、经营分析、决策管理等系统的数据交互、共享。尽管银行网络建设经过十几年的实践,在架构设计、优化改造、安全隔离等方面已经积累了一些成熟的经验;但是,面对产品创新和业务提升对银行网络在安全管理方面提出的挑战以及应用系统部署虚拟化的趋势,现有银行网络架构亟待调整和优化。如何设计和部署银行网络,适应未来云计算技术发展潮流、提升银行业务创新能力,成为技术人员和业界共同关注的课题。笔者以银行网络从业者的视角,从银行业务的实际需求出发,通过研究当前业界主流成熟技术和国际先进的行业案例,提出一个经过测试验证的可实施方案。
一、网络融合的技术难题:客户端安全接入
目前大部分的银行网络采用网络隔离的部署模式(如图l所示),也就是说生产网、办公网、互联网等采用独立部署、垂直部署的方式,通过物理隔离的手段,实现了高安全性、高可靠性。作为原有业务系统要求来讲,现在的网络架构可以满足要求,但是对于日益增长的数据共享和资源共享要求,现有网络架构无法满足要求。按照现有网络架构,对于用户来说,必须同时拥有多台部署在不同网络的个人计算机。
现有银行网络垂直隔离的架构使得业务、办公和互联网之间的访问物理隔开。随着银行业务和应用的变化,网点服务从高柜到低柜模式的转变、数据中心普遍采用SOA的松散耦合架构,后台的系统要求在逻辑上可以灵活地隔离和互通,数据访问和共享更加灵活。应用环境和系统要求银行网络必须改变现有架构,要考虑将生产网与办公网进行物理的融合,为业务创新和系统开发提供敏捷的服务。
从银行网络设计的原则和要求来讲,为确保融合后网络的安全性和健壮性,客户端安全接入是网络融合的必要前提,也是一个公认的难题。从另一个方面看,假设网络中没有客户端的存在,那也就没有隔离的必要。解决客户端安全问题的传统解决方案是采取部署网络安全准入系统和桌面管理系统,但不容忽视的还包括弱电井和布线系统带来的实体安全问题。从传统方案的实践经验来看,网络安全准入系统涉及所有桌面接入交换机的功能和性能对整体安全性来说至关重要,其次桌面管理系统需要投入大量人力、物力去实施,且重点在管理,因此,传统的方案并不简单,效果并不理想。另外从实践经验来讲,传统的隔离网络工程是需要全体员工配合的大工程,前期的施工量和设备的投入量很大,后期的维护工作更为重要,直接影响项目的作用。且不去设想未来的网络安全能达到什么程度,就现有实施后的案例看,从运管部门到用户的反应一般,且很多员工又自带了一台个人购买的设备,通过3G等各种方式仍然可以连接到互联网。用户端的安全工作好比“魔高一尺,道高一丈”,没有永远和绝对的安全,更无法避免安全控制与用户体验的妥协,有可能出现防住内部员工而防不住黑客的现象,成为IT部门费力不讨好的项目。
二、虚拟化打破隔离实现融合
众所周知,客户端安全接入作为IT部门面临的难题,涉及面广、施工量大、维护管理难度高,长期以来没有一个理想的解决方案。现有的银行网络隔离了系统、隔离了访问,从用户角度看,在一定程度上降低了灵活性,用户满意度会下降。面对银行业务部门需求和系统升级不断增长的压力,银行网络从业者需要研究最新的网络技术,探索采用新的架构、新的技术手段来解决这些问题。
从需求出发分析问题,既然客户端安全问题从技术上不容易提升,那么能不能降低对客户端网络安全的要求,甚至不需要一个安全的用户网络,就能够实现银行业务系统的安全可靠呢?如果有了这样的前提存在,那么虚拟桌面技术为我们提供了一个新思路。
目前Hadoop/HBase广泛应用于各类具有大数据需求的企业,尤其是互联网企业,
工商银行启动业务集中处理改革,研发了具有自主知识产权的业务集中处理平台