您现在的位置是:首页 > IT基础架构 > 网络与安全 >

东亚银行CIO:安全是对信息的一体化管理

2010-11-23 23:17:00作者: 来源:

摘要在CIO林丽看来,“安全问题最终是由人产生的,安全实际上是对人的行为进行规范管理。因此,安全不是技术,安全是管理:是对信息的一体化管理。它最根本的性质是通过技术手段最终实现对人的安全行为管控。”...

  东亚银行(中国)有限公司(以下简称东亚中国)自2007年首批获准筹建成立外资法人银行以来,通过3年时间已从成立之初发展至全国约20家分行和近80家网点。目前,东亚中国已成为内地分行网络最庞大的外资银行之一。

  随着东亚中国业务的快速扩展,对IT系统也提出了更高的要求。IT部门因此成为银行里最为繁忙的部门之一。IT部门同时进行多个IT项目的开发与维护,如果本部门人手不够,还需要将一些项目外包给第三方开发伙伴。与此同时,东亚中国的IT部门在规模上进行了相应的扩张,在上海、深圳,东亚中国IT部门都有核心的IT团队。

  外包项目的增多、IT团队人数的增长,给IT部门的管理带来了挑战。如何对日常工作和项目建设中产生的大量文档进行访问控制和监管?如何实现上海研发中心与深圳研发中心团队的无缝合作?如何做到既能让外包人员高效地为东亚中国服务,又不会过多泄露银行内部信息?这些都是东亚中国业务快速增长过程中面临的管理问题。

  构建高效、安全的IT架构可有效解决业务发展中管理上的问题。借助虚拟化技术,东亚中国CIO林丽前瞻性地提出“小终端、大后台”新型信息系统体系架构。在CIO林丽看来,“安全问题最终是由人产生的,安全实际上是对人的行为进行规范管理。因此,安全不是技术,安全是管理:是对信息的一体化管理。它最根本的性质是通过技术手段最终实现对人的安全行为管控。”

  桌面虚拟化重要文档、应用访问受控

  针对银行运营的重要载体——核心业务应用系统,其集中管控是IT部门的头等要事。东亚中国通过虚拟化技术最终实现跨不同安全区的综合后台应用访问,即后台应用/桌面按各自功能划分相应安全组群,通过虚拟应用和虚拟桌面系统向组群外发布应用。东亚中国前台设备可按被分配权限接收相应推送的业务应用,它仅与虚拟应用/虚拟桌面系统产生通信联系,而没有具体数据交换。由于采用了虚拟化技术,前台设备可简化成瘦客户机,甚至手机。

  2009年初,在CIO林丽的带领下,东亚中国仅用了半年时间完成了桌面虚拟化平台的搭建工作,并在整个IT部门实现了桌面虚拟化的应用。东亚中国首先搭建了文档统一管理平台和研发中心安全开发平台。

  在文档管理平台方面,东亚中国建立了集中文件服务器,实现基本的文件集中存储和分类管理并提供基于Web的全面企业文档管理平台。通过虚拟化集中部署和发布文档阅读和编辑客户端软件实现,最终用户可以像平时的本机客户端操作一样,对集中存放的文档进行访问和操作,其访问权限,以及打印、复制、下载等操作权限都能够进行有效的控制,提高了重要文档的安全性。

  在安全开发平台上,虚拟化技术其实已经可以支持很大一部分开发工具的集中部署和发布。在虚拟桌面模式下,每个用户独享自己的操作系统,研发中心的所有客户端都跳过了传统PC,而采用了瘦客户机。

  “实现桌面虚拟化及虚拟应用后,员工只需通过各种终端登录服务器,所有的操作都是在服务器上实现,真正实现了移动办公。” 东亚中国CIO林丽谈道。

  借助虚拟化手段,所有的应用与信息数据都集中存放在数据中心管控,信息数据以最高安全等级严格控制,项目文档和应用源码得到保护,而应用的地域却不受限制。“所有信息都存放在服务器上,服务器被安全保护,限制客户端直接访问,所有信息只进不出,有效控制银行安全风险。”林丽阐述道。

  虚拟化内外网隔离、访问按需分配

  在商业银行中内外网隔离也是IT部门在安全管理过程中面临的一个难题。在没有应用虚拟化技术以前,商业银行也采取了很多手段(如双网卡控制等)。开发、测试、生产不同环境对于网络的安全性会提出不同要求。

  东亚中国在部署了应用、桌面虚拟化以后,可以将开发、测试、生产、办公网段在后台隔离,前端桌面设备由于采用了虚拟化技术,已经演变成只是显示设备。

  只要把生产网段、办公网段和开发网段在后台分开,前端设备登录何种网络并没有直接关系。办公应用连接的是办公网段的服务器,业务系统连接的是生产网段的服务器,在不同网段设置不同访问权限,集中安全控制,在后台增强了数据和资料的保密性。

  在风险和灵活性层面,不管银行内部还是与其合作伙伴公司间有任何往来,甚至是人员的流动情况下也都不会存在数据外泄风险,从而在保证安全的前提下,构建了更简化、高效、共享与灵活的IT工作环境。

  此外,东亚中国在完成桌面虚拟化后,传统PC只是充当显示器的作用,利于统一实现软件正版化并有效降低相应的软件成本,利于统一运维、管理,整个资源可调、可控。通过新系统的部署实现运维不受地域限制、不受座位限制。

  2009年8月,东亚银行深圳研发中心试点完成所有部署,可满足80个并发访问需求,其员工在8月全部迁移至瘦客户端和虚拟桌面,第三方外包服务人员则于7月份迁移到瘦客户端和虚拟桌面。上海研发中心的全面迁移紧随其后,恰逢上海研发中心搬家,只花了一个月的时间就全面迁移到了瘦客户端和虚拟桌面,同样可满足120个并发访问需求。自此,上海和深圳研发中心的员工可以在任何地点访问两个研发中心的开发环境工作站,并通过其访问后台的文档和开发环境,外包员工也可以在异地参加所有授权项目。

  虚拟化应用改造要做到零诧异

  在实现桌面虚拟化后,东亚中国紧接着实施了虚拟应用。银行传统流程是每一笔业务的交易需要借助广域网连接到银行后台,后台将处理的结果通过广域网再反馈到前台。

  从技术角度讲,应用虚拟化可以简单描述为“以IT应用客户端集中部署平台为核心,以对最终用户透明的方式,完全使用户的应用和数据在平台上统一计算和运行,并最终让用户获得与访问本地应用同样的应用感受和计算结果。”林丽针对虚拟应用部署阐述道。

  虚拟化技术应用一个非常明显的优势,就是将大大降低东亚中国全国几十家城市分行与网点在业务接入过程中造成的网络带宽压力,与此形成呼应,“交易处理”的大集中又可以带来最佳性能响应,从而为用户带来更为快速、高效的服务。

  实施虚拟应用后,原先前台的各种应用延伸至后台,柜员发起一笔交易,实际上是发出一个指令传送到后台,这个指令只是一个电讯号。交易不在广域网上传输,即便广域网中断业务也不受影响,确保安全性。之前系统分散在网点、分行、总行,三个地方都需要由服务器来支撑,现在前端只有一个终端,所有应用都在后台。

 

  “原先一台PC机通过广域网访问后台,现在将PC机内的东西都放到后台,中间有一个虚拟应用层,交易在后台发生、处理。每个员工的桌面终端相当于一个显示器的延伸,各分行、网点只需要搭建网络即可。”林丽解释道。

  目前东亚中国服务器虚拟化正处于规划、测试阶段,工作重点集中在构建资源池。传统后台应用主要是做资源池,原来一台机器一个应用,另外一台机器备份,两个双机热备。现在一个服务器群组,上面部署多个应用,如果业务上有新的增加,可以直接增加服务器。东亚中国计划在明年将深圳数据中心搬迁到上海数据中心,并借此机会从基础平台上搭建虚拟化,按照虚拟化的方式规划整个IT架构。

  自上而下力推虚拟化

  东亚中国最初实施虚拟化并非一帆风顺。东亚中国虚拟化项目得到银行高层领导全力支持,自上而下推动。

  林丽作为东亚中国CIO、虚拟化项目的负责人,亲自在深圳数据中心带领IT团队设计框架、制定规划,一点点地推动虚拟化项目的建设。“当初,上海数据中心刚刚建好,我对下面的IT团队要求不实现虚拟化就不准搬迁。”林丽说道,“所以我们的开发部门在搬进去时全部取消PC机,现在所有的IT人员全部应用桌面虚拟化办公。”

  虚拟化应用对网络提出了更高要求,最重要的是在网络上划分网段,对网络隔离要有清晰界定。矩阵式的网络纵向上是开发、测试、办公、生产,横向上分成后台服务器、中间层以及前端应用。“难点在于前期的规划,我来到东亚银行第一件事就是做IT规划,只有把规划做好,后面的虚拟化应用才会很顺利。”林丽谈道。

  虚拟化让IT运维、能耗减压

  虚拟化项目经过前期的艰苦实施也给东亚银行带来了实实在在的好处。首先,服务器采购成本降低。在物理服务器的使用数量上,按运算能力(CPU,内存需求)而不是按应用的数量去购买物理服务器,成本降低30~50%,有效地控制住了今后物理服务器的快速增长,硬件维护成本也降低到十几分之一。

  另外,虚拟化应用加速了应用系统的交付时间,提高了IT服务响应能力。原来新安装一台物理服务器需要至少几十分钟的时间,而新部署一套虚拟环境仅需要几分钟,从而能大幅提高工作效率,减少交付服务器的时间,加快上线应用的时间,迅速将新的项目推广到市场,从而更为快捷地为用户提供相应的金融产品与金融服务。

  服务器数量的减少以及虚拟化技术的高度集成,使东亚中国数据中心单位面积的计算能力显着增强,计算资源得到最佳使用,通过资源池的定义,根据不同业务不同时间段的高峰负载,动态调度资源,平衡容量。此外,将应用虚拟化技术部署到业务运营中,多用户可远程访问集中化的应用资源,一改传统的银行系统数据大集中应用架构模式,将应用集中在后台,进而打造高透明度、高安全性和高性能的集约式应用系统架构,从而为数据中心带来机动性、灵活性和效率,提高对信息资源的控制能力,简化IT运营成本,推动业务发展。

  值得一提的是,在全球变暖与能源危机的情况下,银行数据中心管理的一个非常重要的指标是看数据中心的PUE值,即能源利用率指标。从目前国内的数据中心来看,大部分PUE值都在2.0以上,也就是说数据中心中,一台设备使用一度电以后,在空调制冷等方面还要花另一度电,甚至更多。对数据中心进行虚拟化整合之后,采用动态管理功能,可以在服务器比较空闲的时候,减少服务器使用数量,把电源消耗降下来,从而使数据中心能源消耗和二氧化碳排放量大幅降低,达到节能减排的目的。

  虚拟化数据中心成为新课题

  “借助虚拟化,传统意义上的灾备中心将被改变,取而代之的是双中心乃至多中心的建设,通过网络,构建虚拟数据中心、虚拟运维团队。”林丽谈道。

  Gary点评

  金融企业在某一个层面来讲就是一家经营数据的的公司,而这一特点在银行之中尤为重要。更加引起人们注意的是,银行与其他金融企业在信息交换上也正充当一个枢纽的作用。在中国,已经开始出现金融混业的企业,这些企业大多是依托原有银行业务,而拓展出更多的金融理财产品,甚至涉足保险、证券领域。

  由此可以看出,未来银行业务多样化已经成为趋势。与此同时,为了能够给客户带来更好的服务质量,个性化的金融衍生品会越来越丰富,随之而来的数据量以几何数增长,必定会给后台服务器带来新的挑战。传统封闭的IT基础架构是否还能适应这样的变化,一直是金融领域IT管理者所关注的话题。

  令人欣喜的是,在虚拟化被金融行业广泛采用的今天,数据大集中、银行核心业务系统升级的部署和应用将会发生变化。利用开放、可扩展、稳定的IT基础架构,有利于去构建一个以虚拟化为平台的银行核心应用平台。此外金融行业在进行虚拟化改造过程中,数据的迁移、服务器的重新部署是一个出现隐患的环节。英特尔? 虚拟化灵活迁移技术(Intel VT FlexMigration)旨在实现基于英特尔处理器的当前服务器与未来服务器之间的无缝迁移,即使新的系统可能包括增强的指令集也不例外。

  目前英特尔至强服务器已经在国有、股份、乃至城市商业银行中得到了用户的认可。而灵活部署,也为企业在构建以虚化为平台的IT架构时,提供了IT成本可控的可能。

  金融行业对于安全性、稳定性的担忧,由于采用了虚拟化技术可以得到有效的解决。而这种解决办法并非以高昂的IT投入为代价。因此可以想见,在未来的金融企业之中,构建以至强服务器为基础的应用将会逐渐增多,而成为一种主流趋势。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们