2019中国金融科技产业峰会丨华胜信泰杜国旺：金融操作安全风险防控

2019（第二届）中国金融科技产业峰会于10月31日——11月1日在北京国际会议中心隆重召开。在11月1日下午召开的“金融业网络信息安全”分论坛上，华胜信泰信息产业发展有限公司CEO杜国旺先生进行了《金融操作安全风险防控》主题演讲。

我今天演讲题目是针对《金融操作安全风险防控》。金融操作安全风险防控这个问题有明确的定义，操作安全风险什么时候得到重视的？大概是2002年之后，操作安全风险成为了金融业以及所有数据中心、信息中心的一个重点关注的课题。

针对操作安全风险，最早法律法规是《萨班斯法案》，紧跟着中国一系列的政策出现了，尤其是等保二级以后，在等保二级里有更多关于操作安全风险的控制。

萨班斯法案要求所有的数据中心都进行日志收集和监控，等保2.0公布以后，在2.0里大约是50%以上的内容都要求到关于操作安全风险的要求，包括可信验证、身份鉴别、访问控制、安全运维等等，有很多的内容。

在金融领域，操作安全风险具体是怎样的一种表现？随着金融领域大量数据中心的涌现，以及到目前为止国产软硬件产品使用率的不断提升，国家已经大量在用国产软硬件产品，我们出现了更多操作风险的意识。

关于传统运维操作，在传统运维操作中，我们首先遇到各种各样的麻烦，可能维护一个数据中心若干的设备，就一套密码、一个权限，大家都用这个密码、这个帐户，但是到了最后，密码被谁改了？不知道！谁在这个机器上增加新帐户了？谁删除一个文件？谁改变了一个规则？我们经常不知道。尤其是现在金融以外泛金融的延伸，这种问题太突出了！

发现一个安全漏洞以后，证据从哪里找呢？其实我们说针对金融的运维、操作，如果我们能获取如下的几个环节，我们就不愁实现一个风险防控。首先，是谁干了这件事情，什么时间从什么地点登陆的，客户端的IP是哪一个，登陆到哪个目标主机了，在这个目标主机上做了哪些事情，这些事情的返回结果是什么，成功了还是失败了，有记录吗？可以回溯吗？可以回放吗？当我们明确了在线问题的时候，就很容易实现金融操作风险的防控。

上升到管理规范上，我们在金融的运维管理中要实现：

1、    事前防范。实现一个事前防范，要对已认证的用户、实名的用户、实名的认证进行管理，要对它进行强省份认证、强身份识别。这个强身份认证，刚才有专家已经讲了，说支持静态口令、动态口令、生物特征的认证，声纹、虹膜、指纹、人脸等等。某人操作权限提前的授权、审批。

2、    事中控制。在操作过程中，事中我们对他访问的每一个课题甚至执行每一个命令进行访问控制，他所执行的操作进行控制，比如在Unix系统下操作，它做一个命令，操作员做完以后回车不起作用，为什么？可能需要更高权限、更高级别的同事给他审批，实现双重认证。他执行哪些命令、能操作哪些设备，进行访问控制。

3、    事后审计。事后能够实现审计，对于每一个人每一个操作做了哪些工作，能够把它操作的过程回溯出来，可以预警出来哪些风险，最后形成统一的报表报告，知道做了哪有风险的操作。

接下来，介绍一下我们的统一安全平台业务模型∑USP是干什么的？

进行统一身份管理、统一身份认证、统一访问控制、审计过来。传统运维是访问目标服务器，所有数据都是直连的，风险很大。访问帐户一般是每台机器上root、DBA的用户，实现不了实名。我们西格玛USP是业界有名的堡垒机或者跳板级东西。首先，对堡垒机进行登陆访问，这个堡垒机登陆时用的实名、多因素身份认证，实现对后台所有访问资源的单点登陆，这些访问资源统一实现授权，几百台机器，我这个用户登陆以后能访问哪几台机器，它是有明确设定的。我访问每台机器时可以执行哪他命令、执行哪类操作，它也是有统一定义的。我做完工作可以把我的行为调出来进行回放，然后在1台机器上，我这个人做的所有工作可以形成统一的报表进行审计，这就是我们的功能模型。

它的应用架构，分为：访问主体、管理员、访问课题。访问主体是普通的运维人员，他可以使用各种各样的协议，Telnet、RDP、3270、5250等等，包括网络设备、Windows设备，也包括我们现在针对数据库服务也进行访问控制和审计。在这些金融案例中都提出来各种需求。

这是服务器监控，前台在操作服务器，后台可以实现监控，对用户对话实现监控，截到同一个屏幕上。前面窗口的对话从后面可以看到。这是行为审计回放，把访问列表列出来，我可以选择其中一个访问动作，把这一个访问动作拿出来，在这个访问动作中干了哪些事情，下面可以加速、可以拖拽，从某一个断点开始播放，这是我们针对Unix的、Windows的，都可以。

针对这个需求我们构建一款USP一体机，基础平台设备是华为服务器鲲鹏920，湖南麒麟。这是华为服务器的性能表现，我们为什么选择了华为的服务器？这是这款新应用使用的架构，我们现在采用微服务架构，所有组件可以拆分出来，甚至安全防护都可以拆分加进去的。

最后，简单介绍华胜信泰。

华胜信泰是华胜天成旗下一家全资子公司，公司的成立来自于一件事情，IBM总裁和李克强总理的一次会晤，在这次会晤上中国给他提出来IBM的技术有多开放，我中国给你的市场就有多开放，我们跟IBM做了引进、消化、吸收、再创新的合作。这个合作主要是几款产品，第一款产品是西格玛∑DB，然后支持异构、嵌入式、物联网、时空特征。还有一个产品是∑MQ可靠消息传输中间件，我们做了特色功能方面的改造，支持文件传输、跨网闸，跨网闸是中国环境下比较特殊的一个东西。∑AS是一款外部应用中间件。还有两款应用级中间件，∑USP是一款运控审计平台。∑AOP是可视化调度控制系统。这款产品是做运维管理、专业调度的东西。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!