保险行业云战略的风险与机遇

 

在以云计算等为代表的金融科技蓬勃发展的背景下,以银行为代表的“传统金融机构”一度被质疑可能优势尽失,甚至有预言称“银行业将成为21世纪的恐龙”。事实上,在本轮金融科技浪潮中,传统金融机构依托多年的金融电子化、信息化建设基础,坚守金融的基本规律,积极拥抱移动互联网、大数据、云计算、人工智能、区块链等新科技手段,大大推进了整个金融业资源配置效率的提升和成本的下降,不仅没有被“颠覆”,且大有后来居上的趋势。兴业银行长期坚定奉行“科技兴行”战略,不仅是国内极少数具备银行核心系统自主研发能力的银行,也是国内唯一一家对外输出核心系统技术的银行,有300多家中小银行正使用着该行提供的核心系统托管服务。同时,该行积极探索推进数据治理平台和大数据智能云平台构建,在精准营销、智能风控等方面拥有多项创新。例如,智能风控产品“黄金眼”系统,利用机器学习算法,对未来3个月可能降为“关注”类以下评级的企业贷款预测准确率达55%,精准预警异常贷款超过150亿元。

 

企业“云”是利用云计算技术,通过网络向组织内外以服务形式按需提供IT资源,满足企业创新所需的高扩展性和高可用性。通过将IT计算资源“云”化管理,能实现资源的高度集中,提高资源利用率。通过计算、软件等IT组件分布式部署,可以提高IT服务的灵活度。企业“云”通过统一的“IT技术架构”将IT资源整合为服务,用户按需对IT计算资源进行使用或购买,更好地满足业务快速变更和创新的需求。

 

目前国内企业“云”应用处于从了解到尝试应用的发展阶段,企业可以根据各自的需求建设形成个性化的企业“云”,大型企业“云”应用倾向采用私有云为主、公有云为辅的模式。作为一种全新的IT资源使用和交付模式,云服务模式与传统IT模式存在巨大的技术和理念的差异,如何应对云战略实施带来的安全风险,是每个企业必须面对和解决的问题。

 

大型企业私有云建设的四个步骤分别为:资源虚拟化、云管理平台建设、应用系统迁移及安全防护体系建设四个关键工作。

 

网络虚拟化建设是IT资源虚拟化的基础。传统数据中心的网络架构是一个静态的网络,服务器和存储的虚拟化只能在局部范围实现资源的弹性扩展。网络虚拟化后,可以构建更大的资源池,资源调度更灵活,资源的利用率也会随之提升。

 

云管理平台建设是私有云建设的核心。云管理平台管理云数据中心所有服务器、存储、网络等基础设施资源,同时还向用户提供服务交付的界面,云数据中心的运维管理以云管理平台为中心进行。

 

应用迁移是私有云数据中心成功的关键。服务器、存储及网络资源池提供应用系统运行的基础环境,私有云数据中心需要提供应用系统级服务。将传统应用系统迁移到云计算平台,提供应用级的弹性扩展能力和自助服务是成功的关键。

 

安全防护建设是私有云建设的重点工作。云计算环境下传统的安全威胁依然存在,虚拟化技术的实施,产生新的安全风险,也对传统的安全防护技术提出了新的挑战。

 

网络虚拟化的风险分析及应对

 

1.网络虚拟化的风险
网络虚拟化实现了服务器、存储资源的动态分配和迁移,同时引起网络流量不可控,易产生局部网络拥塞和性能瓶颈,导致应用不可用或应用响应变慢的风险。

 

2.产生风险的主要原因
云管理平台会自动进行虚拟机和存储的部署和迁移,部署和迁移过程中会产生大量的突发网络流量,导致局部网络拥塞。目前网络虚拟化技术中无法在大二层交换网络中实现应用系统负载均衡功能,负载均衡功能只能在二层交换网络以外实现。云数据中心资源的横向扩展实现主要依赖负载均衡功能,因此在二层网络与负载均衡设备互联节点,极易产生网络性能瓶颈。

 

3.风险应对建议
合理的网络实施规划设计。网络设计时充分评估网络内的数据流量分布,根据应用流量类型和安全域要求进行合理的网络区域划分,避免频繁产生大量的跨区域的网络交换流量,并实施网络QOS服务质量保障,对重要数据流量实施带宽质量保障。

 

加强网络流量运维监控。通过云管理平台对网络流量实时监控,根据网络带宽利用情况进行虚拟计算资源动态优化调整。并通过对带宽利用率的评估优化任务调度,保证网络流量的平稳。

 

完善应急计划。建立网络应急计划和应急方案,应对突发的网络事件,提高应急事件的响应处置能力。

 

云管理平台建设的风险及应对

 

1.风险分析
云管理平台在加强云数据中心集约化管理同时,也新增和放大了运维操作风险。新增风险:云管理平台自身功能不完备,存在应用缺陷及应用安全漏洞被利用的风险。放大的风险:云管理平台可以对数据中心所有的资源进行调度管理,因平台人员身份冒用产生未授权人员操作和授权人员误操作引发的故障影响,会扩大到一个区域甚至整个数据中心。

 

2.风险应对建议

 

(1)云管理平台在设计时充分考虑平台安全性和健壮性,采用应用安全生命周期管理。从平台需求架构设计、开发实现、测试及上线发布各环节进行严格安全管控,同时加强云管理平台的功能测试和安全测试。

 

(2)建立基于云管理的运维操作审批流程和运维操作监控技术平台,细化运维操作范围并进行权限细分。对重要的操作可以采用双人复核和命令白名单方式管控。

 

(3)加强云管理平台操作审计功能,提高对违规事件的事后审查能力。

 

(4)建立运维误操作回退机制,形成应急计划和应急方案。