金融行业数据中心安全可控白皮书

金融行业数据中心安全可控白皮书目录1.0 概 述41.1 白皮书编制背景41.2 白皮书编制目标52.0 信息安全与金融数据中心建设52.1 金融领域信息安全所面临的问题52.2 金融数据中心的基础技术特征73.0 金融数据中心推进自主可控的可行性及进展133.1可行性13在国家自主可控的领域主动选用国产软硬件设备14应用架构调整应避免对基础平台和产品应用的依赖153.2 实施进展153.2.1自主可控技术应用15大型金融信息化系统15关键应用主机16云计算与大数据支撑163.2.2金融行业市场184.0金融数据中心在上海的自主可控成功实践204.1云应用案例204.2金融大数据案例244.3互联网金融案例254.4电子商务案例264.5金融重要应用系统案例275.0 金融数据中心自主可控推进工作33附录340.1 成立金融信息化自主可控推进工作组340.1.1 成立背景340.1.2 主要工作340.1.3 组织架构340.2 编制金融数据中心自主可控产品推荐目录350.2.1 网络、服务器、存储350.2.2 集成电路芯片和硬件模块380.2.3 基础软件391.0 概 述1.1 白皮书编制背景纵观国内金融、电信、能源等核心行业的信息系统市场，长期以来被IOE（IBM,Oracle,EMC）等国外信息服务提供商所垄断。不过，在“棱镜”事件曝光、某大行发生系统升级故障事件之后，信息安全已经被提升至国家战略高度，在国家工信部以及一行三会（央行、银监会、证监会、保监会）的大力推动下，金融行业数据中心国产化自主可控攻关工作已经开始提速。金融系统作为国民经济的支柱，由于自身的行业性质决定了其对信息数据的依赖性。2012年底，银监会提出了“自主可控，持续发展，科技创新”的三大战略。为了落实国家安全战略，信息系统国产软硬件系统在银行、保险、证券业的应用不断扩大，必将会越来越接近金融业的核心领域，最后实现关键软件、硬件的自主开发、生产、运营。2013年底，工信部联合银监会，计划成立银行业数据中心国产化联合攻关基地，更是标志着在金融系统数据中心领域国产化替代工作已经进入了实质性开展阶段。2014年6月，银监会与相关单位联合出台了关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见，全面推进银行业安全可控自主创新能力的提升，组建安全可控信息技术创新战略联盟，围绕国产信息技术应用落地的关键问题开展试点示范研究，系统性、分层次、分阶段地推动银行信息化关键基础设施的国产化程度。上海做为国家金融中心，已建立起包括商业银行、证券公司、保险公司、基金管理公司、信托公司、期货公司、金融租赁公司、货币经纪公司、票据业务中心等在内的类型齐全的金融机构体系。其中，保险公司、基金管理公司、信托公司等金融机构实力在全国处于领先地位。基于良好的金融产业环境，上海在金融行业信息化提升方面具备先天的优势条件，拥有丰富的金融行业数据资源以及信息化系统改造经验，全中国50%以上的金融行业数据中心均已落户上海，现有的金融企业迫切要求进一步提升服务能力和创新水平。如何构建符合自己业务特点的自主可控的数据中心，已成为这些企业信息化建设过程中必须考虑的核心问题。在上海启动金融数据中心自主可控推进，具备一定的产业环境基础和市场需求，也是十分紧迫的工作。1.2 白皮书编制目标随着网络和信息技术的飞速发展，信息安全已经与政治安全、经济安全、国防安全、文化安全共同成为国家安全的重要组成部分。正因为如此，各国纷纷将信息技术和信息安全的自主可控能力与维护国家安全的能力紧密联系在一起。近年来，我国高新技术产业取得飞速发展，网络、通信、计算机、操作系统、数据库、中间件与应用基本形成了完整的产业链，逐步培育和完善金融服务业的条件基本成熟。在信息技术领域，我国在基础软硬件方面已经有了相当的积累，但目前国内金融、电信、政府、能源、民航等关键领域的信息系统主要依托国外品牌设备构筑，对国家信息安全存在风险隐患。本白皮书的编制旨在说明对于推进金融领域数据中心自主可控的观点，介绍国内软硬件基础厂商在金融领域方面的成果，促进自主可控工作在上海金融领域中的进一步推进。2.0 信息安全与金融数据中心建设2.1 金融领域信息安全所面临的问题近年来，随着经济全球化不断深入，金融创新的广度和深度不断扩展，我国的金融业信息化工作得到快速发展，规范、方便、高效、安全的金融业信息服务体系初步形成。与此同时，金融业对信息技术的依赖程度越来越大，金融业信息安全保障难度持续加大，给我国金融业信息安全带来新的更大的挑战。如何应对，要求我们必须高度重视。一、面临的挑战目前，金融业的业务开展更加依赖于信息技术的应用，特别是以综合业务系统整合、数据集中为主要特征的金融业信息化发展到一个新的阶段。因而，信息技术风险也自然成为中国金融机构运行风险的重要方面。金融业信息安全工作正面临比以往更严峻的形势，围绕信息网络空间的斗争日趋尖锐，境内外网络违法犯罪活动呈快速递增趋势，恶意代码和网络攻击呈多样化局面，金融业信息系统安全运行的难度加大，挑战增多。而另一方面我国近年来的自主可控技术的发展成果，还没有在金融业信息建设充分应用，金融业对我国自主可控技术的认识还需提升。（一）对国外技术和产品的依赖凸显安全风险当前我国各行业信息化建设的核心技术及核心产品过度对外依赖的问题，已经引起了国家战略层面的高度关注，而在对信息技术强依赖的金融行业，这种现象更为普遍。关键技术的对外过度依赖，金融风险已经凸显。“棱镜”事件给金融信息安全敲响了警钟，微软XP服务下线事件增加了金融业务连续性风险，IOE的垄断造成了金融信息建设和运营的畸高成本。（二）关键技术掌控缺失限制了金融业业务创新发展金融业在信息化建设过程中，在获得国外先进软件理念和国外先进软件产品的同时，自身发展的话语权也在悄然弱化。国外产品供应商通过不断停止后续服务等手段强制用户进行意义不大的升级，极大的消耗了金融用户有限的科技资源以及科技预算。国外产品的全球化策略限制了金融用户在业务创新上更多的努力，同时这也限制了国内金融用户在同质化竞争环境下获得突围的手段。（三）摸索阶段缺少金融数据中心整体的解决方案及实践借鉴金融信息化建设，通过三十多年来的学习、引进、模仿到现在的创新发展，历史造成了当前金融信息系统对国外关键技术的依赖。在金融业安全风险压力及业务创新的驱使下，不少金融单位在局部领域主动进行自主可控技术的应用尝试，但还缺少在金融数据的自主可控的整体解决方案和实践借鉴，这些案例的缺失，限制了金融业对自主可控技术应用的信心，增加了金融业在推动自主可控的前期决策难度及验证工作，也制约了金融数据中心自主可控的应用推广。2.2 金融数据中心的基础技术特征金融数据中心的应用系统都构筑于IT基础设施之上，一般分为：基础硬件、操作系统软件、数据库和中间件四大类。对于一个常规的业务系统，其IT基础硬件通常包括服务器、存储设备、网络与安全设备。对于业务系统中涉及的服务器、PC机及其它智能终端设备（包括瘦客户机），均需要安装操作系统（Operating System，简称OS）。它是管理和控制计算机硬件与软件资源的计算机程序，是直接运行在“裸机”上的最基本的系统软件，任何其他软件都必须在操作系统的支持下才能运行。在云计算发展的背景下，许多企业的业务系统运行在“云”中，跑在虚拟机(VM: Virtual Machine)上。虚拟化环境需要有虚拟化软件构成基本的操作系统环境，而云操作系统则提供整个虚拟化环境的服务管理功能。云计算的操作系统如果不自主可控或留有后门，运行于其上的虚拟机也是不安全的。因此，将云计算的虚拟化软件和云操作系统纳入操作系统软件类很有必要。数据库和中间件也是通常业务系统所常用的组件。数据库实现大量结构化数据的高效专业化存储和管理；中间件为上层应用软件实现特定的公共功能支持。下表列示了对IT系统的基础软硬件的分层分类：种类细分种类编码定义（解释）基础硬件服务器机架式101服务器（Server）指一个管理资源并为用户提供服务的计算机，通常分为文件服务器、数据库服务器和应用程序服务器。运行以上软件的计算机或计算机系统也被称为服务器。相对于普通PC来说，服务器在稳定性、安全性、性能等方面都要求更高，因此CPU、芯片组、内存、磁盘系统、网络等硬件和普通PC有所不同。刀片式102整机柜式103存储基础存储201根据不同的应用环境通过采取合理、安全、有效的方式将数据保存到某些介质上并能保证有效的访问，总的来讲可以包含两个方面的含义：一方面它是数据临时或长期驻留的物理媒介；另一方面，它是保证数据完整安全存放的方式或行为。存储就是把这两个方面结合起来，向客户提供一套数据存放解决方案。其中，基础存储通常面向TB级结构化数据存储，海量存储面向PB级结构或非结构化类型的数据存储；大数据存储面向海量的结构化和非结构化数据统一存储，支持处理。海量存储202大数据存储203网络与安全设备路由器301是连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号。 路由器是互联网络的枢纽，"交通警察"。路由和交换机之间的主要区别就是交换机发生在OSI参考模型第二层（数据链路层），而路由发生在第三层，即网络层。这一区别决定了路由和交换机在移动信息的过程中需使用不同的控制信息，所以两者实现各自功能的方式是不同的。交换机与Hub302交换机是一种用于光电信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的光或电信号通路。HUB集线器就是一种物理层共享设备，HUB本身不能识别MAC 地址和IP地址，当同一局域网内的A主机给B主机传输数据时，数据包在以HUB为架构的网络上是以广播方式传输的，由每一台终端通过验证数据报头的MAC地址来确定是否接收。VPN303Virtual Private Network(虚拟专用网络),功能是 ：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式，主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。VPN具有成本低，易于使用的特点。FW304防火墙（Firewall），也称防护墙，是由Check Point创立者Gil Shwed于1993年发明并引入国际互连网（US5606668（A）1993-12-15）。它是一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。IPS,IDS305入侵预防系统(Intrusion-preventionsystem)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。防火墙可以拦截低层攻击行为，但对应用层的深层攻击行为无能为力。IPS是对防火墙的补充。IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。LB