概況介紹
詳細參數
產品展示
文件下載

17106期体育彩票31选7:【中國人民銀行科技司司長 王永紅】提高金融網絡安全可控能力的操作策略和實施路徑

体育彩票排三直和值表 www.hqxkox.com.cn        文‖中國人民銀行科技司司長 王永紅

經多年努力,以國家網絡安全保障設施為基礎、以金融網絡安全謹慎監管框架為指引、以金融機構技術防護為主體的金融網絡安全保障體系已基本建立,維護了金融網絡安全大局。但和平時期的網絡安全局面不代表御敵于網絡邊界之外的真實安全。在貫徹落實總體國家安全觀、提高金融網絡安全可控能力過程中,我們認為應用行業的技術創新能力、網絡攻防能力雖然有限,但不能無所作為,應該從需求導向、用戶拉動的角度,推廣使用安全可控產品,降低對少數廠家、少數產品的依賴度,在促進信息產業發展、提高國家網絡安全可控能力的基礎上提高金融網絡安全保障水平。


提高安全可控能力是建設網絡強國的核心


1.立足于國家網絡安全看待行業網絡安全

維護網絡空間主權成為國家安全戰略的核心。網絡輿論、網絡攻擊在多個國家的暴力恐怖活動、顏色革命中充當了顛覆工具。2015 年3 月17 日,美國眾議院國土安全委員會主席麥考爾公開承認美國曾對朝鮮發動了網絡攻擊。中國網絡空間戰略研究所所長秦安認為,美國已經完成發動網絡戰爭的準備,具備了“兵不血刃”的遠程打擊能力。皮之不存,毛將焉附。沒有國家安全,也就不存在行業安全和用戶安全。網絡安全隱患具有長期隱蔽性、爆發突然性。技術廠家設置產品后門,初衷可能是?;ぶ恫?、提供運維便利,但同樣可用于竊取數據和發動猝不及防的網絡攻擊。隨著網絡應用不斷深入,因網絡安全導致電網停電、交通癱瘓、金融紊亂等群體性事件的風險正在上升。傳統的信息安全要求實際是面向和平環境建立技術風險治理框架和縱深防御體系,現在的網絡安全要求則強調具備在特殊時期防御外部網絡攻擊、快速恢復正常秩序的能力。


2. 大力降低網絡安全潛在威脅

減少產品后門威脅。技術產品后門是僅供設置者使用的隱藏功能或渠道,難于發現和封堵,相當于設置者(攻擊方)潛伏在對方網絡空間的“第五縱隊”,也是動搖國家關鍵信息基礎設施的“蟻穴”。2014 年10 月16 日,美國聯邦調查局局長詹姆斯·科米(James Comey)公開表示,1994 年《通訊協助法律執行法案》要求電信公司在設備中安裝監聽后門,新一代通訊公司也應該開放手機加密后門,讓美國政府可以監聽信息。


降低單一供應鏈威脅。這是改變我國面臨的安全風險的重要環節。由于對外依存度高,一旦某些國家切斷信息產業供應鏈,終止設備和零配件供應、技術支持服務,將嚴重威脅應用行業乃至國家安全。2014 年,歐美國家借“烏克蘭事件”制裁俄羅斯就是前車之鑒。2015 年4 月9 日,美國商務部發出公告,決定禁止英特爾公司向我國出售“至強”(XEON)芯片,以阻止天河二號系統的計算能力從50 PFLOPS(千萬億次/ 秒)升級到100 PFLOPS。


3. 發揮應用行業的需求導向、用戶拉動作用

網絡安全可控能力與信息產業發展水平相適應。網絡大國是數量型要求,核心內容是應用發展水平,主要指標是網絡覆蓋面、網民數量和網絡應用滲透率。網絡強國是質量型要求,核心內容是安全可控能力,主要指標是規則制定能力、安全保障能力、網絡攻擊手段。顯然,網絡安全可控能力源于人才隊伍和產品,信息產業維系、聚集并促進人才隊伍和產品的持續發展,是網絡安全可控能力可持續發展的基礎。


促進創新驅動發展戰略。在國際上普遍認可的創新型國家中,科技創新對經濟發展的貢獻率在70% 以上,研發投入超過國民生產總值GDP 的2%,技術對外依存度低于20%。我國要在2020 年進入創新型國家行列,就必須打破國外技術和產品的壟斷優勢,為國內信息產品提供應用場景,為信息產業發展騰出市場空間,應用行業作為用戶成為實施創新驅動發展戰略不可或缺的角色。


建立健全提高網絡安全可控能力的操作策略


站在行業應用、基層實施的角度,需要建立一個正向激勵機制,將落實提高網絡安全可控能力這一國家戰略的要求,轉化為行業、機構發展的內生性動力。信息產業的管理端(政府部門)有必要對需求端(應用行業)、供給端(廠家及其代理商)提出明確要求,推動建立一個安全可控的產業生態圈。


1.將國家戰略部署轉化為機構發展職責

提出部門規章。將國家意志、人民意愿轉化為法律法規,有利于形成各行業、各機構的行為規范。在立法進程不可控的情況下,可以圍繞加強國家關鍵信息基礎設施?;ね瞥霾棵毆嬲?,處理好安全可控與自主可控、國產化與對外開放之間的關系,有利于減少國際的貿易糾紛及“網絡安全噪音”。


把提高安全可控能力列入行業發展策略。提高網絡安全可控能力,意味著在一定時期內增加投入、轉變技術路線、延緩發展步伐,“安全與發展”在操作層從來都是一對矛盾,科技談安全、領導要發展的“兩張皮”現象并不鮮見。只有從機構年度考核指標、監管指標入手,形成從股東、管理層向科技部門的壓力傳遞鏈條,才能形成整個機構的“安全發展動力”。


對使用安全可控產品造成的安全生產事件提高容忍度。客觀上說,主管部門、監管部門對安全生產的高度重視是成熟但不一定安全可控產品廣泛占領市場的推手。國家有關部門能夠明確對使用安全可控產品出現生產事件降低甚至豁免處罰,將大大有助于消除應用行業的畏懼心態,才有可能從技術指標、應用案例等方面降低安全可控產品的準入門檻。


2. 在操作層實施創新驅動發展戰略

引導代理商推廣安全可控產品。非安全可控產品代理商和安全可控產品廠家“同室操戈”,顯然不利于信息產業發展。有關部門應立足于創新驅動發展戰略,引導廠家積極、主動推廣安全可控的產品,并且減少“安全可控產品嵌入非安全可控產品”的現象,在供給側形成“安全發展合力”。


建立健全國家檢測認證體系。結合國家建立網絡安全審查制度,依托專業檢測機構、國家重點實驗室、國家工程實驗室、網絡安全隊伍建立國家檢測認證體系,完善國家設備認證、授權管理和安全審計等網絡信任服務手段,發布具有可比性的產品檢測指標,公布安全可控產品分類清單,大大提高安全可控產品的識別度,鋪平安全可控產品的推廣之路。


明確數據大集中水平較低的行業作為當前推廣重點。產品進步、產業發展始終需要一個循序漸進的過程,已實現數據大集中的應用行業對產品功能和性能、配套產品適配性都有較高要求,在這些行業推廣使用安全可控產品表面來看似占領了應用制高點,但實則加大了廠家研發和運營成本,并不利于其良性發展。


研究和制定整體實施框架


金融業推進數據大集中,出現了適應高并發交易和海量數據處理的“主機技術體系”,包括以高端服務器和高端存儲為代表的硬件產品,以數據庫、中間件為代表的基礎軟件,以及用于災備的數據同步產品。主機技術體系的各個組成部分高度適配、耦合,在相當長一段時間內,很難于使用體系外的部分或全部產品構建一個同類的技術體系。


我國信息產業仍處于追趕階段,提高網絡安全可控能力并非是一個簡單的“設備替代”工程,需要統籌規劃、周密設計、長期推動,穩妥有序開展應用技術體系優化升級,并在實施過程中加強技術風險管理和技術隊伍建設,防范出現衍生的技術風險。


1.確定綜合性工作目標

2014 年以來,我國的金融經濟環境面臨一系列變化和挑戰:一是經濟發展處于“三期疊加”(經濟增長速度換擋期、結構調整陣痛期、前期刺激政策消化期)階段,二是中央深化改革領導小組圍繞“讓市場在金融資源配置中起決定性作用”推進系列市場化改革,三是移動互聯網、云計算、大數據、物聯網等新技術推廣應用,上述變化和挑戰在金融信息化領域表現為預算緊縮、需求變化和技術轉型,金融機構普遍面臨發展壓力,“安全發展”不同于“發展優先”,在操作層面將會遇到很大阻力。


制定短中期發展目標。全面梳理應用技術體系組成部分,分類研究,圍繞信息化預算、技術和產品成熟度、系統建設或升級等維度,平衡、權衡安全和發展兩方面的要求,研究制定2~3 年、“十三五”期間的工作目標,并取得管理層、董事會的支持,為網絡安全保障水平的可持續性提高打下基礎。


突出清單和比例兩個控制手段。安全可控產品逐漸走向成熟,應用技術體系的優化升級是一項長期復雜的工程,制定并定期修改產品清單(目錄),以及確定安全可控應用比例(產品占比和投資占比),加強問題導向,有利于明確安全可控的發展方向和控制工作進度。


2. 加強安全設計

農業銀行副行長林曉軒曾明確表示,使用安全可控產品不等同于提高安全可控能力,應用行業強化并實施安全設計,提高對技術架構的整體把握能力最為重要。通過梳理應用技術體系各組成部分及相互之間的耦合關系,結合安全可控產業、產品的發展情況,按照如下原則確定應用技術體系的優化升級方案。


“三個注重”原則。注重使用異構產品布局提高抑制后門威脅的能力,注重提高“五防”(防攻擊、防病毒、防篡改、防癱瘓、防竊密)能力,注重提高遭遇大規模、有組織攻擊時的應急處置能力。


“三道防線”原則。使用安全可控網絡產品和安全類系統,加固網絡邊界。建設新一代運維監控系統,提高網絡和系統的安全態勢感知能力。使用安全可控密碼算法,防止遭受網絡攻擊后爆發大規模的數據泄漏。


實踐證明,不遵循上述原則和不經歷大量的測評整改,僅僅換設備、換技術、換系統,很難達到提高安全可控能力的預期目標。


3. 確定技術轉型策略

將提高網絡安全可控能力的目標,與金融業降低信息化建設成本(系統擁有總成本TOC)、提高安全生產要求、推廣使用新技術等要求結合起來,技術轉型是金融信息化的必由之路。


以分布式技術架構作為發展方向。分布式技術領域的商業軟件和技術服務較少,需要通過“分庫分區”等技術手段提高事務(數據)的一致性,以及研究小型化、標準化的交易處理節點,金融機構根據自身的技術實力,根據系統建設難度,選擇一步到位使用PC 服務器集群,或者是“高端服務器(主機)—小型機集群—PC 服務器集群”的漸進式發展路徑。


選擇非交易類、非核心類系統作為突破口。管理類、監控類、數據分析類系統,并發訪問量和數據一致性要求低于聯機交易系統(OLTP),將其技術架構從集中式轉為分布式的技術難度低很多,同時有利于鍛煉技術隊伍、優化基礎軟件性能。在聯機交易系統方面,多數金融機構則選擇交易查詢系統、電商交易系統作為突破口。


分類施策穩步推進


設備替代、專項治理和系統再造,是應用行業提高網絡安全可控能力的實施路徑。


1. 優先實施設備替代

按照“存量自然淘汰,增量直接使用”的原則,逐年有序使用安全可控產品替代進入更新周期或國家有關部門發現技術后門的現有產品。其中,部分比較成熟的安全可控產品能夠和現有產品兼容使用,可在建設災備、實施雙機熱備、購置備機時引入。下文列出一些業界認為已經成熟、比較成熟的安全可控產品。

(1)網絡設備,按照分支機構網絡、開發測試網絡、災備網絡、生產網絡的順序逐步替代。

(2)安全類設備,包括防火墻、防病毒(防毒墻)、郵件網關、入侵檢測、抗拒絕服務攻擊、審計等軟硬件,注意確認其中是否使用安全可控數據庫。

(3)周邊設備,包括各種終端型、自助型設備,尤其要重視密碼設備(加密機、簽名驗簽服務器、動態令牌、U 盾等)和金融IC 卡卡片。

(4)PC 服務器、中低端存儲設備、小型機。

(5)軟件產品,包括辦公軟件、中間件、負載均衡軟件等。

(6)維保服務,通過細分產品種類引入競爭服務商,大幅度降低維保價格。

持續開展設備替代要采取“清單管控”的做法,根據同業案例或組織測試的數據,按照已經成熟、比較成熟、尚未成熟的規則,動態修訂安全可控產品清單,大力推廣已經成熟的產品,擴大比較成熟產品的使用范圍,針對尚未成熟產品開展試點。


2. 積極開展專項治理

開展專項治理提高技術合規性,以增強應用技術體系抵御網絡攻擊的能力。

優化運維監控系統。運維監控能力是網絡安全可控能力的組成之一,運維監控系統可發展成為網絡安全風險管理平臺。一是運維監控要實現全覆蓋,范圍包括生產、災備、開發、測試系統和網絡,內容包括設備監控、應用監控。二是實現多種日志分析手段,具備安全態勢感知能力。


推廣使用安全可控密碼算法。在電子認證、網上銀行、金融IC 卡、移動支付、網上證券、網上保險等重點領域,在身份識別、加密傳輸、加密存儲等重點環節,推廣使用安全可控密碼算法,大力提高應用安全水平。


規范接收授時信號。數據中心的時鐘同步服務器,從北斗衛星定位系統、中國國家授時中心而不是全球衛星定位系統GPS 接收授時信號,避免因服務器時間錯誤導致系統運行紊亂。


規范外包技術服務。使用外包服務是金融機構的普遍現象,明確“服務外包責任不外包”的基本原則,加強外包服務的風險管理,降低操作性風險和數據泄露風險。


定期開展信息安全等級?;げ餛?。根據《關于大力推進信息化發展和切實保障信息安全的若干意見》的精神,信息安全等級?;ぶ貧紉殉晌夜綈踩U系幕局貧戎?。金融業根據《計算機信息系統安全?;さ燃痘腫莢頡罰℅B17859 - 1999)為基礎的系列國家標準(包括GB/T 20269-2006、20270-2006、20271-2006 和22239-2008),普遍開展等級?;げ餛?。


建立網絡安全?;ね?。金融業與國家級、行業級的技術支持單位建立密切的合作關系,充分利用國家、社會技術資源抵御大規模、有組織的網絡攻擊。


3. 穩妥推進技術轉型

通過技術轉型,可以顯著降低對少數廠家、少數產品的依賴性,是提高網絡安全可控能力的關鍵對策。


開展試點解決關鍵性技術難題。農業銀行科技與信息產品管理局總工程師葉又升和數人科技創始人王璞都曾提出,分布式技術架構最大的特點就是具備橫向擴展能力,廉價服務器集群協同完成高并發訪問或者海量數據處理,由軟件實現硬件容錯。不過,技術架構由集中式轉向分布式是一次“蝶變”,在軟件結構、數據結構、交易流程、數據存儲、應急處置等方面都會出現眾多變化,需要針對其中的關鍵性技術問題研究解決方案,并驗證、優化其可用于高并發交易和海量數據處理。如前所述,可以選擇非交易類、非核心類系統作為突破口。


從主機向開放技術平臺下移交易。為提高系統健壯性,一些機構曾經將盡可能多的交易處理環節上移到主機(含高端服務器),現在則將報文解析、安全檢查、日志記錄生成等操作下移到開放技術平臺( 例如前置系統、中間業務平臺),逐漸把主機轉變為一個相對單純的賬戶管理系統,形成“小核心,大外圍”的格局。另一種做法,則是把整體交易數中占比達到60%~75% 的查詢類交易(包括查詢交易及交易處理的“衍生”查詢交易)從主機轉移到開放技術平臺,后者通過數據庫連接池訪問主機數據庫。


上述做法可以形容為“數據集中,處理分散”,不對應用軟件結構、數據結構做顛覆性修改,但達到了明顯降低主機技術體系擴容需求的目標,甚至在相當長一段時間內不需要對主機技術體系進行擴容。


建設新一代分布式核心業務系統。杜絕外部攻擊、自然災害以及操作性失誤導致的安全生產事件完全不可能,應用行業提高業務連續性的對策是建設“兩地三中心”技術體系,按照“優先恢復系統對外服務”的原則實現數據中心之間的快速切換,但這種主從機構或部分“雙活”的技術體系投資大、利用率低,而且始終存在故障隔離、應急切換的“時間差”。分布式核心業務系統在若干數據中心內部署多個同時活動的交易處理節點,分別處理不同區域或不同種類的交易,數據中心具備相互“接管”交易處理的能力,從而把故障隔離、應急切換轉變為日常交易處理流程的分支,具備應對安全生產事件的主動防御能力。


建設分布式核心業務系統,可以形容為需要“數據分散,處理分散”,根據交易、數據特點采取“分區分庫”模式重新設計數據存儲結構,統籌考慮在若干個數據中心中構建多個交易處理節點,重新設計批處理流程,形成一個數據中心集群,實現了,比較徹底擺脫主機技術體系。


2013 年6 月爆發的“斯諾登事件”,以及2014 年2 月27 日召開中央網絡安全和信息化領導小組第一次會議,標志著我國對網絡空間的認識和治理進入一個新階段。有關部門加強協同、應用行業深度參與、信息產業奮起直追,才能持續提高網絡安全可控能力,奠定網絡強國的基礎。


轉載聲明:   本文系本網編輯轉載,轉載目的在于傳遞更多信息,并不代表本網贊同其觀點和對其真實性負責。如涉及作品內容、版權和其它問題,請在30日內與本網聯系,我們將在第一時間刪除內容!本站擁有對此聲明的最終解釋權!


原文鏈接:  //mp.weixin.qq.com/s?__biz=MjM5MzA3MzAzOQ==&mid=402725660&idx=1&sn=f3345c19805f2392b8437d8f859e9494&scene=1&srcid=0107k5NeiX49QcS4EssCUPBh&from=groupmessage&isappinstalled=0#wechat_redirect


詳細參數

硬件參數

產品型號
JZST-5411-12FD
物理特性外觀
2U機架式
CPU1顆64位4核申威411處理器
內存2根DDR3 ECC DIMM內存條插槽,最大支持16GB內存容量
支持的存儲協議FC、FCoE、iSCSI、InfiniBand、NFS、CIFS、HTTP、FTP
端口類型

2個10GB的SFP+接口

2個10M/100M/1000M自適應千兆以太網接口

最大硬盤數3.5英寸:12塊

2.5寸:24塊

硬盤類型

2T、4T (7.2K)SATA硬盤

512G、1T、2T SSD硬盤

RAID級別0、1、5、6、10、50
電源風扇熱插拔冗余電源及風扇
兼容性操作系統Linux,Raise操作系統,中標麒麟操作系統


產品展示
文件下載
JZST-5411-12HD 用戶手冊 (1)2017.9.28.docx
2.37MB下載
上一頁 1 下一頁
會員登錄
登錄
我的資料
留言
回到頂部