云计算·大数据 频道

某农信企业自主创新自动化安全基线检测平台建设实践

  【导读】随着银行应用系统数量急剧增多,基础软件类别更为广泛,加大了基础软件基线检测的难度。本文分享了某省农信自主设计和研发的“基于‘优先级算法’的自动化基础软件基线检测平台”建设实践经验,同时对银行机构在数字化转型中的知识产权保护问题进行了思考,希望能为广大同行带来启发。

  【作者】昼者,某省农信社资深技术经理、经济学博士、高级经济师,银行从业17年,在全行数字化转型变革中,参与了科技发展规划、组织架构调整、管理流程设计和重大项目建设,为业务与科技的融合之路,进行了有益的探索。带领团队获得了10项发明专利和7项软件著作权,2项作为第一发明人,多次获得监管部门科技奖项。出版了个人经济学学术专著并在《金融电子化》、《金融科技时代》、《中国金融电脑》、《中国农村金融》等期刊发表多篇金融科技文章。多次受邀参加金融科技峰会及专题会作主题分享,为头部金融同业机构授课培训金融科技创新实践。

  随着移动互联网的广泛普及,金融科技赋能业务发展的重要性日益凸显,同时对信息系统的安全可靠性提出了更高要求。安全基线是保障业务系统和数据安全的最低标准。安全基线管理是银行基于企业发展需要、监管合规要求和系统安全可控而开展的基础性工作,安全基线检测则是确保信息系统安全可靠的重要举措。

  一、安全基线检测难点

  某省农信“两地三中心”投产运营后,在提升技术架构灾备能力的同时,应用系统数量急剧增多,基础软件类别更为广泛,加大了基础软件基线检测的难度。

  一是软件类别更加多元。由于各业务系统平台和架构的差异,技术栈更为丰富,呈现出应用平台和基础软件多元化的特点,对基线检测机制的完备性和工具的兼容性抱以了更多期待。

  二是系统数量更加庞大。在市场竞争和业务发展的驱动下,新建系统数量逐年攀升,结合系统灾备能力要求,进一步增加了系统数量,对基线检测工具的性能带来了更大挑战。

  三是检测需求更加迫切。在愈加重视业务连续性和信息安全合规的背景之下,对基础软件安全基线检测的范围、频率、准确性以及基线配置更新时效都提出了更高要求。

  二、自动化安全基线检测平台建设实践

  省农信基于基础软件基线检测现状,通过自主设计和研发的“基于‘优先级算法’的自动化基础软件基线检测平台”(以下简称“平台”)建设,建立了统一的集中基线配置库,重新构建了常态化自动基线检查机制并利用专利技术,实现了对信息系统的版本信息、用户权限、高可用功能、监控指标和备份策略等软件安全和配置信息的自动化基线检测,提高了检测效率,降低了管理成本。

  (一)平台功能

  根据某省农信基础软件基线检测所面临的现实困难,项目团队自主设计并研发了该平台,在平台的技术架构、配置管理、优先策略和展示输出四个环节创新攻关,利用“自动化基础软件基线检测软件”、“兼容性基线检测方法”、“优先级基线检测方法”和“优先级基线检测方法”等专利技术和自研软件,实现了平台预期功能。

  某省农信基于该平台建设实现了如下内容:一是建立了涵盖6大常用软件类别(操作系统、数据库、中间件、高可用、备份及监控)和178项标准(例如,账号安全控制标准、文件目录权限配置标准、网络与服务安全配置标准等)的安全基线库并集中管理;二是根据安全需求变化,弹性配置并持续完善基线标准,实现自动化匹配和检测;三是适用20种常用基础软件,通过原创算法针对风险大小和重要程度优先检测;四是对系统安全信息进行自动监控和预警,及时报告安全风险并出具优化建议。

  (二)平台架构

  1、平台物理架构

  该平台物理架构如图1所示。其中:

  (1)业务处理模块负责业务机制处理、检测模型封装、数据库交互、页面展示等。

  (2)数据库负责存储各服务器上的各种指标数据、分析型数据、检测到的数据、各种配置数据等。

  (3)被检服务器为需达到安全基线要求的业务系统服务器。

  (4)通过客户端登录到统一的自动化基线检查平台,基线的各项操作均在客户端上执行。不同角色的客户端可以做不同的操作。客户端角色一般分为管理员、操作员和监测员。管理员为系统最高权限的角色,具备角色管理、配置管理、检查管理、报告管理等权限操作。操作员作为基线配置和操作检测角色,负责基线配置和报告管理。监测员仅能查看检测报告。

  2、平台技术架构

  该平台采用开源技术架构(如图2所示),使用django作为WEB动态页面前端,uWSGI网络接口,Nginx作为反向代理,提供负载均衡和安全保护功能,后台调用检测功能采用ansible自动化调度工具,使用python整体开发。平台软件基于Centos运行,具备冗余架构,可对主流操作系统、数据库及中间件等基础系统软件,用户权限、备份策略和监控指标等运维管理的安全基线情况进行检测。

  (三)创新点

  1、兼容性基线检测方法及系统

  自主研发了一种基于农信系统的兼容性基线检测方法及系统,首先将农信系统的基础软件类型及其所对应的基线检测规则分别装载至所述配置文件中。在平台服务端执行检测命令后,运行所述检测程序,从所述配置文件中获取被检服务器的基础软件类型。最后根据所述基础软件类型匹配其对应的基线检测规则进行检测。

  该方法及系统兼容业界主流常用基础软件,如各种常用操作系统、数据库等。解决了现有基线检测方式仅限于特定软件类别、兼容性不足和检测效率低下等问题,节约了参与作业的人力成本,规避了手工误操作风险,拓展了基础软件基线检测的兼容范围。专利技术广泛适用于业界主流常用基础软件的跨平台调用、集中管理等场景。

  图3为检测平台的软件类型及检测规则配置界面。通过配置软件类型和检测规则,将对应的信息加载到配置文件中,平台执行检测操作时,从配置文件中获取被检服务器的基础软件类型和检测规则进行检测。

  2、基于优先级的基线检测方法

  现行的常用基线检测方法,通常采用无差别或抽样检测目标端,从而导致在众多汇总信息中,很难全面体现重要系统的检测情况,也给基线检测工具带来了较大性能负担,降低了检测效率。

  本方法涉及网络安全技术领域,具体为一种基于优先级的基线检测方法,其创新点在于将服务请求的数量、耗时以及目标端的CPU、IO和内存使用情况进行加权,制定服务请求优先策略并执行,有效提高检测效率,降低服务端性能负担。适用于多客户端、高负荷、同一服务请求优先排序提交场景。

  具体包括策略制定阶段:巡检服务器获取一时间段内所有负载均衡节点的同步处理请求数量、处理每个请求所需要的时间,以及负载均衡节点所对应的所有被检服务器的CPU使用率、IO占有率和内存使用率,制定出每个被检服务器处理服务请求的优先策略,并根据所述优先策略,将所有被检服务器从高到低对应匹配优先级;策略执行阶段:根据优先级顺序,依次对被检服务器进行基线检测。通过设置规则,将资源和需求进行合理调度,对被检服务器进行基线检测的优先级排列,根据优先级策略,对重要资源或系统依次进行检测,使得有限的资源最大限度满足检测需求,不仅提高了检测效率,同时也保证了检测质量。

  图4为平台的服务器配置界面。通过配置需要检测的服务器节点,当执行批量检测操作时,后台检测程序会根据优先策略,依次对被检服务器进行基线检测。

  3、基线检测报告的展现方法及系统

  现有基线检测报告的展现方式中,通常只显示服务器列表及其详细检查情况,这种无差别的根据列表显示检查信息,并未全面体现重要系统的检测结果,容易出现故障发现和处理不及时等情况,影响检测效果。

  一种基线检测报告的展现方法及系统,该方法包括:定义各个种类的基线检测报告所对应的优先级别,所述优先级别是根据基线检测报告是否为异常报告及其严重情况而设置;根据所述基线检测报告的优先级别以及上传时间进行排序展示,进一步简化报告展现,突出重点信息,以便运维人员快速了解并处置所发现的安全基线问题。

  三、建设成果

  自动化基础软件基线检测平台是该省农信“两地三中心”架构体系建成后,根据信息安全要求、业务发展趋势和运营实际情况而自主研发的科技创新平台,主要实现了对信息系统的版本信息、用户权限、高可用功能、监控指标和备份策略等方面的自动化核对检查,有效提高检测效率,降低操作风险,节约人力成本。该平台共获得了3项国家技术发明专利、1项软件著作权及监管部门科技奖项。平台建设成果如下:

  (一)管理上的突破

  解决了信息系统基线检查难题。通过独立开发集中管理软件平台,建立了统一的、全面完整的“安全基线”集中管理。针对服务器日渐增多的现状,提高了运维效率、综合降低了运维成本,从而有效提升省联社的形象。

  完善了集中基线检查运维体系。通过对原有基线检查运维方式的重新设计,融合了传统的运维项目设计需求和集中式的运维需求,对原有分散的运维人员和能力进行集中调整,统一建立安全检查平台,解决了效率低的问题。在架构上,集中运维可以更好地快速响应,弹性配置检查项目,自动化检查服务器基线,节约运维成本,提升运维响应速度,提高了省联社总体的运维和安全保障水平。

  (二)技术上的贡献

  统一管理,自主可控。建设了省联社自动化基线检测统一管理平台,一站式管理,提供高效的运维管理手段,提升问题处理效率,缩减问题处理时间。可快速通知到维护人员,从而快速响应,解决问题,减少了大量的重复性投入。综合降低重复性建设和运维相关成本60%,从而有效提升省联社在金融市场上的形象,提升社会公众对省联社的认可度和信心。

  开放融合,拓展多元。自主研发的平台,方便二次开发,同时提供不同的角色,从而增加了资源分配的灵活度。同时提供多租户的自助管理,提升最终用户的自助能力,减少运营人力成本。允许各部门实现多元化应用的定制检测,可以使效率提升50%。

  更低成本,绿色安全。安全、高性能的技术架构,保障系统的安全性和业务的稳定性延续性,综合节约60%的运维成本,在原有基础上提升80%的运维响应速度,提高了省联社总体的运维和安全保障水平。

  通过平台建设,锻炼了科技人员技术能力,发挥了“小工具、大成效”的杠杆效应,推动了日常基础运维从手工化向自动化、智能化的转变,逐步实现IT运维向IT运营的跨越。

  四、思考与展望

  该平台是某省农信科技自主创新战略下的又一重要成果。目前该省农信已申请知识产权18项,其中技术发明专利10项、获得8项授权和8项软件著作权,在知识产权产业媒体IPRdaily与IncoPat创新指数研究中心联合发布的“2019全球银行发明专利排行榜”中排名第66位,是全国2家入选榜单的省级联社之一。

  随着数字化和智能化的升级加速,知识产权保护逐步成为银行业提升市场份额、赢得业务发展、提高竞争能力的关键手段之一。更多银行机构对知识产权保护和管理越发重视,逐步提升知识产权保护意识,为可持续发展打造技术“护城河”。

  (一)银行机构在数字化转型中的知识产权保护展望

  知识产权作为一种重要的资源,深刻影响着银行机构的市场竞争力。尽管知识产权和专利技术如此重要,但知识产权保护意识的淡薄以及知识技术人才的缺乏等都严重制约了银行机构的知识产权和专利技术的开发与发展,影响了银行机构的可持续发展。因此,银行机构要审时度势,采取一系列措施来制定专利保护策略,完善专利保护机制,取得竞争优势。

  (二)中小银行强化知识产权保护的思考

  中小银行在科技投入、人员数量和专业能力上与大型银行机构仍有较大差距,难以全方位、全领域、全身心地投入技术创新。中小银行应基于自身资源禀赋,在科技创新方面,聚焦方向、强化意识、健全机制和培育生态,持续提升知识产权管理能力,促进金融科技创新赋能业务发展。

  聚焦技术创新方向。中小银行在有限资源条件下,聚焦创新技术的应用场景、使用范围和实际成效,以“做得到、有必要、见成效”的务实理念,在技术创新攻关中以“解决实际问题”为动力,以“总结创新方法”为抓手,持续开展技术专利创新和保护工作。

  强化专利保护意识。通过加强知识产权保护工作的相关培训,增强各级领导及科技人员的保护意识。倡导科技人员重视和保护日常工作中解决实际技术难题的“微创新”,有意识地对项目成果进行挖掘并转化为专利,同时注重现有专利的迁移复用,进一步发挥技术专利价值。

  健全专利管理机制。借鉴业界成熟经验,将专利法务管理与科技创新应用职责相分离,由法务与科技部门各司其职,进一步完善专利管理和保护制度流程,建立正向激励科技创新评价机制,从专利的质管、运用和保护等各方面健全管理机制。

  培育科技创新生态。采取有效措施加强与银行机构同业、金融科技供应商、高校和研究机构等单位的合作,明确合作成果的专利权属,以战略合作协议、联合创新实验室等方式,取长补短,共同发展、利益共享、风险共担,培育良好科技创新生态。

0
相关文章