神秘、低調(diào)、不為人知，是銀行數(shù)據(jù)中心給人的第一印象。千里之外的ATM能否實(shí)現(xiàn)轉(zhuǎn)帳、存取款，網(wǎng)銀水電費(fèi)繳款操作可否順利完成，銀行各類業(yè)務(wù)都離不開背后數(shù)據(jù)中心的運(yùn)營(yíng)支撐。

　　“如果說(shuō)總行是銀行經(jīng)營(yíng)的大腦，數(shù)據(jù)中心就是銀行經(jīng)營(yíng)的心臟。只有一顆安全、健康跳動(dòng)的心臟，經(jīng)營(yíng)才能搞好?！敝袊?guó)農(nóng)業(yè)銀行董事長(zhǎng)項(xiàng)俊波如是說(shuō)。

　　對(duì)中國(guó)農(nóng)業(yè)銀行而言，成立于2005年11月的總行數(shù)據(jù)中心是農(nóng)行總行直屬一級(jí)部門，是農(nóng)行整體信息化架構(gòu)的重要核心，更是農(nóng)行生產(chǎn)運(yùn)營(yíng)向集約化、科學(xué)化戰(zhàn)略目標(biāo)邁進(jìn)的一項(xiàng)重要舉措。

　　網(wǎng)絡(luò)升級(jí)先行

　　目前，農(nóng)行正通過(guò)全國(guó)24064家分支機(jī)構(gòu)，30089臺(tái)自動(dòng)柜員機(jī)和遍布全球的1171家境外代理行，向全世界超過(guò)3億5千萬(wàn)客戶提供便利、高效、優(yōu)質(zhì)的金融服務(wù)。

　　境內(nèi)星羅密布的營(yíng)業(yè)網(wǎng)點(diǎn)，以及境內(nèi)外各分支機(jī)構(gòu)的巨大網(wǎng)絡(luò)差異性，使得農(nóng)行整體網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，要不斷滿足新業(yè)務(wù)上線要求，數(shù)據(jù)中心網(wǎng)絡(luò)升級(jí)成為農(nóng)行整個(gè)系統(tǒng)升級(jí)改造的重中之重。

　　據(jù)了解，農(nóng)行數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)如下：各級(jí)分行的生產(chǎn)網(wǎng)有8個(gè)分區(qū)、辦公網(wǎng)有5個(gè)分區(qū)，分區(qū)多達(dá)13個(gè)，兩套物理隔離的網(wǎng)絡(luò)分別承載生產(chǎn)和辦公業(yè)務(wù)，但生產(chǎn)業(yè)務(wù)區(qū)與辦公業(yè)務(wù)區(qū)部分功能重疊，業(yè)務(wù)分區(qū)之間需要部署防火墻進(jìn)行網(wǎng)絡(luò)隔離，以增強(qiáng)業(yè)務(wù)流量的安全控制。

　　為更好地科學(xué)制定網(wǎng)絡(luò)改造升級(jí)計(jì)劃，農(nóng)行選擇合作伙伴華為，幫助其重新規(guī)劃涉及所有36個(gè)一級(jí)分行數(shù)據(jù)中心和一級(jí)骨干網(wǎng)的網(wǎng)絡(luò)架構(gòu)，以改變農(nóng)行當(dāng)前網(wǎng)絡(luò)架構(gòu)，實(shí)現(xiàn)兩網(wǎng)融合，即采用一套物理網(wǎng)絡(luò)承載生產(chǎn)和辦公業(yè)務(wù)。

　　華為在充分調(diào)研中國(guó)農(nóng)行網(wǎng)絡(luò)現(xiàn)狀后，針對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)進(jìn)行了結(jié)構(gòu)性調(diào)整、規(guī)劃：全網(wǎng)按照“多地、多中心”架構(gòu)進(jìn)行設(shè)計(jì)，實(shí)現(xiàn)網(wǎng)絡(luò)全時(shí)服務(wù)能力；所有核心設(shè)備采用雙主控、多交換板、多電源等最高榮譽(yù)等級(jí)配置，實(shí)現(xiàn)核心節(jié)點(diǎn)超過(guò)5個(gè)9的可靠性。這次網(wǎng)絡(luò)改造涉及所有36個(gè)一級(jí)分行數(shù)據(jù)中心和一級(jí)骨干網(wǎng)。

　　要解決生產(chǎn)網(wǎng)和辦公網(wǎng)功能重疊問(wèn)題，農(nóng)行科技部的具體思路是將生產(chǎn)網(wǎng)與辦公網(wǎng)功能重復(fù)的網(wǎng)絡(luò)分區(qū)歸類合并，整合之后網(wǎng)絡(luò)分區(qū)從13個(gè)減少至6個(gè)，網(wǎng)絡(luò)結(jié)構(gòu)大大簡(jiǎn)化，可擴(kuò)展性也大大增強(qiáng)。

　　但合并之后的公共網(wǎng)絡(luò)分區(qū)，在安全性上又提出了更高要求，因此，華為實(shí)施團(tuán)隊(duì)在本地用戶接入?yún)^(qū)、開放平臺(tái)區(qū)、開發(fā)測(cè)試區(qū)等區(qū)域部署防火墻，以增加對(duì)業(yè)務(wù)互訪的安全控制策略。

　　其次，生產(chǎn)網(wǎng)和辦公網(wǎng)的外聯(lián)網(wǎng)合并后，華為在關(guān)鍵網(wǎng)絡(luò)核心節(jié)點(diǎn)采用雙機(jī)熱備，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)可靠性。同時(shí)，為確保業(yè)務(wù)流量無(wú)阻塞轉(zhuǎn)發(fā)，華為在核心層和匯聚層部署了高性能交換機(jī)CE12800。

　　關(guān)注高可靠性

　　數(shù)據(jù)中心網(wǎng)絡(luò)升級(jí)為農(nóng)行業(yè)務(wù)運(yùn)行提供了更高穩(wěn)定性，與此同時(shí)，也對(duì)業(yè)務(wù)系統(tǒng)的出口安全提出了更為嚴(yán)苛的要求。

　　為滿足國(guó)家安全審查建設(shè)，2014年，農(nóng)行總行針對(duì)電子認(rèn)證系統(tǒng)建設(shè)規(guī)劃，開展了“某系統(tǒng)國(guó)家安全審查建設(shè)項(xiàng)目“萬(wàn)兆防火墻入圍選型工作。從銀行業(yè)務(wù)的特點(diǎn)出發(fā)，農(nóng)總行對(duì)設(shè)備的性能提出了明確要求：防火墻吞吐40G以上，能夠?qū)崿F(xiàn)基于用戶、應(yīng)用的下一代防火墻特性以及負(fù)載均衡、VPN、多種路由協(xié)議等網(wǎng)絡(luò)特性。

　　經(jīng)過(guò)謹(jǐn)慎檢驗(yàn)，H3C SecPath F5040入圍農(nóng)總行數(shù)據(jù)中心。作為下一代高性能萬(wàn)兆防火墻產(chǎn)品，H3C SecPath F5040采用最新64位多核高性能處理器和高速存儲(chǔ)器，支持多維一體化安全防護(hù)，可從用戶、應(yīng)用、時(shí)間、五元組等多個(gè)維度，對(duì)流量展開IPS、AV、DLP等一體化安全訪問(wèn)控制，能夠有效的保證網(wǎng)絡(luò)的安全；支持多種VPN業(yè)務(wù)，如L2TP VPN、GRE VPN 、IPSec VPN和SSL VPN等，與智能終端對(duì)接實(shí)現(xiàn)移動(dòng)辦公；提供豐富的路由能力，支持RIP/OSPF/BGP/路由策略及基于應(yīng)用與URL的策略路由；支持IPv4/IPv6雙協(xié)議棧同時(shí)，可實(shí)現(xiàn)針對(duì)IPV6的狀態(tài)防護(hù)和攻擊防范。

　　高可靠性是農(nóng)總行最為關(guān)注的一個(gè)方面，H3C SecPath F5040防火墻采用互為冗余備份的雙電源模塊，支持可插拔的交、直流輸入電源模塊，同時(shí)支持雙機(jī)狀態(tài)熱備，充分滿足高性能網(wǎng)絡(luò)的可靠性要求，這對(duì)銀行業(yè)務(wù)來(lái)具有實(shí)際意義。

　　更易用的網(wǎng)絡(luò)防護(hù)

　　目前，已經(jīng)有兩臺(tái)H3C SecPath F5040部署在農(nóng)總行數(shù)據(jù)中心，作為數(shù)據(jù)中心出口的“屏障”，為網(wǎng)銀業(yè)務(wù)保駕護(hù)航。對(duì)于農(nóng)總行IT部門而言，采用H3C SecPath F5040，也一定程度減輕了在系統(tǒng)部署和運(yùn)維環(huán)節(jié)的壓力。

　　采用雙機(jī)熱備，是高端用戶普遍采用的一種增強(qiáng)系統(tǒng)穩(wěn)定性的方法。以往農(nóng)總行數(shù)據(jù)中心采用的是VRRP+HA的雙機(jī)部署方式，這也是國(guó)內(nèi)廠商設(shè)備的普遍方式。但這種方式的短板十分明顯，由于單組VRRP需要消耗三個(gè)IP地址，如果雙主方式需要兩組VRRP；兩臺(tái)設(shè)備需要單獨(dú)配置維護(hù)，部分配置需要能夠自動(dòng)備份。

　　這種傳統(tǒng)方式無(wú)疑需要消耗很多IP地址資源，同時(shí)需要提前規(guī)劃眾多的地址分配以及鏈路協(xié)議規(guī)則。農(nóng)行總行的IT部門需要投入大量精力，來(lái)了解安全技術(shù)細(xì)節(jié)，熟悉雙機(jī)組網(wǎng)方式。

　　H3C SecPath F5040改變了這一點(diǎn)。由于可以采用SCF集群雙機(jī)技術(shù)，雙機(jī)熱備的兩臺(tái)防火墻，在網(wǎng)絡(luò)拓?fù)渲谐蔀榱艘慌_(tái)設(shè)備，對(duì)外呈現(xiàn)單節(jié)點(diǎn)、單IP，而且只需一次配置，也無(wú)需擔(dān)心配置備份問(wèn)題。由于設(shè)備的SCF功能已經(jīng)通過(guò)集群協(xié)議完成了大部分雙機(jī)配置工作，維護(hù)人員只需通過(guò)簡(jiǎn)單的界面來(lái)進(jìn)行部署與維護(hù)，而無(wú)需理會(huì)底層的技術(shù)細(xì)節(jié)，這樣就大大提升IT部門對(duì)防火墻設(shè)備維護(hù)的工作效率。

　　此外，由于H3C SecPathF5040具備了IPS、AV防毒、應(yīng)用流控等多種高性能的深度安全防御擴(kuò)展能力。因此，除了實(shí)現(xiàn)網(wǎng)絡(luò)出口的基本訪問(wèn)控制外，華三通信下一代防火墻可以在任何需要的時(shí)候開啟高性能的多業(yè)務(wù)防護(hù)以及多種VPN接入手段，在不改變現(xiàn)有組網(wǎng)的情況下，便捷地獲得更加完整的邊界安全防護(hù)，同時(shí)多種安全防護(hù)業(yè)務(wù)可以在一條安全策略中統(tǒng)一集成，讓現(xiàn)有網(wǎng)絡(luò)防護(hù)更為簡(jiǎn)單易用。

　　對(duì)用戶而言，尤其是金融企業(yè)，網(wǎng)絡(luò)安全建設(shè)并非一蹴而就，而是需要不斷完善、提升的持續(xù)性工作。隨著總行數(shù)據(jù)中心的網(wǎng)絡(luò)防火墻部署需求不斷調(diào)整，農(nóng)行的信息安全策略也將不斷提升、完善。

　　同時(shí)，隨著銀行系統(tǒng)規(guī)模不斷擴(kuò)展，由早年簡(jiǎn)單的以賬戶為中心的信息系統(tǒng)“水泥路”發(fā)展至統(tǒng)一賬務(wù)核算、資金匯劃清算、24小時(shí)業(yè)務(wù)處理的高速公路，那再發(fā)展到支持經(jīng)營(yíng)管理、分析決策及金融產(chǎn)品創(chuàng)新為一體，這一過(guò)程也對(duì)農(nóng)行科技部也不斷提出挑戰(zhàn)。

　　目前，如何從“大集中”的海量數(shù)據(jù)中挖出“金子”，采用更加開放、主動(dòng)、以客戶為中心的手段來(lái)優(yōu)化業(yè)務(wù)、改善經(jīng)營(yíng)，正成為包括農(nóng)行在內(nèi)的金融機(jī)構(gòu)關(guān)注的重點(diǎn)。

　　本報(bào)記者 洪蕾

關(guān)注讀覽天下微信， 100萬(wàn)篇深度好文， 等你來(lái)看……