金融行业存储架构建设的数据安全挑战
传统银行保险行业的人工柜台、信贷申请、承保理赔等业务除了在数据库中记录交易信息,往往也会产生大量的非结构化数据,如身份证照片、纸质文件扫描件、取证文件扫描件、现场照片等。依据金融行业相关法规要求,这些文件需长期保存,以便于后督审计和避免可能存在的法律风险。
如今业界领先的银行及证券机构早已实现互联网转型。智能化柜台的采用降低了营业网点业务开通成本;无纸化柜台的应用提升了柜台工作和服务效率;理赔服务智能手机客户端提升了用户理赔效率;智能化信贷审核提升了风险评估效率,降低了人力投入成本。这一切都离不开金融行业票据影像系统的信息化升级。而存储基础架构作为银行信息化建设的重要支撑,其可靠性、安全性是存储系统的底线。
实际上,金融数据一直处于行政强监管之下。金融数据涉及到个人财产信息、机构运营信息等。金融数据被泄露、滥用、篡改将影响国家安全、社会秩序、公众利益和金融市场稳定。
当前,我国金融数据安全保护制度正逐步完善。近年来,《金融数据安全 数据安全分级指南》《金融数据安全 数据生命周期安全规范》《金融数据安全 数据安全评估规范(征求意见稿)》《网络安全法》《个人信息保护法》《数据安全法》相继发布。这些政策法规的发布,将为金融数据安全保护工作开展提供更好的规范和指引,在保障安全和隐私的前提下推动数据的有序共享与综合应用,充分激活数据要素潜能,有力提升金融服务质效。
如何在满足金融业务基本需求的基础上,强化数据保护能力,保障金融数据的安全流动?这已成为当前亟待解决的问题。
金融业务受到人民银行、银保监会、公安部等机关单位极为严格的安全管控。随着金融监管机构对业务办理过程中的记录(录音录像)、原始凭证、开户资料等数据的监管要求日趋严格,为满足监管审计的要求,存储系统应具备数据长期保存、行为记录、日志审计等功能。
在机构内部,数据在不同等级系统之间进行交互和流转,不同角色分别承担着对业务数据不同的管理责任,如何对其操作和访问行为进行安全控制?多数据中心部署会分布在总部、分支机构等不同级别,跨数据中心容灾如何保障业务连续性?
在大国战略博弈加剧的大背景下,国家鼓励银行业推动自主可控技术的应用。坚持自主创新,寻求国产化替代,将成为国内金融业信息化的突围之路。引进国产信创软件来定义存储技术,成为越来越多金融企业的选择。
杉岩分布式存储加码数据安全
当前,金融科技创新发展呈现出底层技术基础向分布式架构转型的演变趋势。传统的集中式架构难以应对巨大业务量对核心业务系统带来的冲击,越来越多的金融机构开始积极推进IT架构由集中式向分布式转型,以提高数据的安全性、稳定性、高可用性。
杉岩数据在大数据时代帮助金融行业客户实现安全的海量数据存储,可提供高达EB级的存储容量。在分布式存储架构中,数据被复制成多份,存储于不同站点的硬盘内,多站点、多备份容灾确保了数据的高可靠性。在数据智能应用方面,杉岩MOS海量对象存储产品可对文件自动添加标签,可以快速实现对非结构化数据的特征标签识别,实现基于标签信息来进行检索和调阅的功能。同时,金融机构也可以根据标签对于数据实施统一化管理,极大地提升了数据检索和利用的效率,为金融机构提供了众多便利。在数据安全方面,主要分为数据存储安全和访问安全。
数据存储安全
1.可靠性:主要包括存储服务稳定运行时长、服务中断频率、服务中断后恢复的速度等要求。分布式存储由于架构的特点,通常要求支持副本、纠删码、多版本、CDP等功能。
杉岩分布式存储产品支持最新版本和历史版本自动存放到不同的物理故障域,即使单个物理故障域发生整体故障,仍能够恢复历史版本,为用户提供更加灵活的数据保护策略。在存储桶开启多版本的情况下,杉岩MOS海量对象存储产品支持整个存储桶级别的数据回退到任意历史时间点,针对数据遭遇大规模误删除或者病毒感染的场景,无需使桶内单个对象文件逐一恢复历史版本,可以借助整个桶的CDP回滚功能,轻松将所有对象文件恢复到之前想要的历史版本,不仅运维恢复动作简单,同时也避免了恢复过程中潜在的人为失误。
在银行“灾备”中心建设过程中,除了数据备份,还需要保证“双活”。主中心服务器一旦有故障,灾备中心应能立刻接管,并对外提供服务。相较于传统的主备站点容灾功能,杉岩MOS站点双活功能不仅可以提供数据的异地站点灾备,还允许应用程序根据所处地域就近访问存储,提升用户体验。当站点故障发生后,智能DNS模块能够自动将业务流量切换到异地双活站点,有效保障业务连续性。
2.安全性:当下信息安全事件频发,对于存储的安全性要求也越来越高。分布式存储主要是通过以太网提供服务,因此应该具备传输加密和数据加密的能力,具备完善的权限管理机制。同时为满足审计的要求,还应具备操作记录、日志审计等功能。杉岩数据MOS支持WORM特性,在该状态下文件只能被读取,无法被删除、修改或重命名,可以有效防止数据被意外或恶意纂改。针对金融等特定行业的客户对数据保密性的严苛要求,杉岩MOS支持数据上传自动加密功能,用户可通过界面配置加密方式。读取文件时,客户端必须提供解密密钥,确保数据的物理安全,避免数据泄露,满足安全合规要求。
数据访问安全
杉岩分布式存储系统通过安全策略和访问控制保障数据安全,同时拥有数据检索查询、用户界面访问以及数据分析处理等能力,保障对象文件在传输过程中的安全性。数据使用过程中存在数据非授权访问、窃取、泄漏、篡改、损毁等安全风险。杉岩分布式存储系统采用AES进行加密传输,支持HTTPS保证传输链路安全,支持S3标准协议,采用了完整的多租户访问、文件粒度的授权访问等多种安全技术,保证了数据开放给外网访问时的安全性。同时,业务端可根据需要对日志文件进行审计查询或统计分析,所有的覆盖及删除类型用户操作均会被详细记录操作发生的时间、客户端网络地址、操作类型等信息,方便在出现人为恶意破坏的情况下快速追溯查询,满足金融行业合规审计需求,同时给业务决策提供支撑。
金融信创加速
作为信创领域的重要参与者,杉岩数据紧跟信创国产化及自主可控的步伐。在信创产品方面,杉岩数据推出了软硬件全国产化的杉岩HuaYan安全存储一体机。该产品基于软件定义构建统一存储资源池,为上层应用提供块、文件和对象三种存储服务,提供海量存储、智能管理、数据价值三位一体的存储解决方案,兼容适配鲲鹏CPU、飞腾CPU、华为TaiShan服务器(鲲鹏平台)、长城服务器(飞腾平台)、曙光服务器(海光平台)等自主硬件平台,以及银河麒麟、统信、中科方德等国产操作系统,提供安全可信、开放的智能存储解决方案及服务。
在金融信创生态建设过程中,软硬件深度融合,兼容适配国产平台。凭借在高性能大数据存储和数据智能领域的优异表现,杉岩数据通过了国家电子计算机质量监督检验中心(NCTC)、工业和信息化部电子第五研究所等机构的产品认证,同时兼容适配产品60余个。针对金融行业不同的应用场景,推出金融信创解决方案、金融影像解决方案、非结构化数据统一管理解决方案等多个应用方案,为海通证券、恒丰银行、广发证券、平安证券、民生证券、江苏银行、北京银行信用卡中心、华润银行、中国金融认证中心等数十家大型金融客户提供了坚实的金融数据底座。
最佳实践:G证券多数据中心相互容灾,保障业务连续性
G证券是中国首批综合类券商之一,一直稳居全国十大券商行列。
随着在线业务量的暴增,为了从源头上预防违规操作、洗钱等金融风险,金融监管机构对业务办理过程中产生的记录(录音录像)、原始凭证、开户资料的监管要求日趋严格。在日常的证券业务中,业务系统产生的客户证件、远程开户录像、合同扫描件、客服中心语音、企业相关资料等非结构化数据每年增长40%-50%,这对G证券的信息系统是一个很大的挑战。
经过综合对比,G证券公司选择了杉岩分布式存储系统,开启了对集约式数字化档案管理的全新探索。在存储平台数据安全保障方面,杉岩数据提供了三层数据保护方案:
1.通过副本和纠删机制,提高数据可靠性;
2.通过内置备份功能,取代外置的备份软硬件;
3.通过跨数据中心容灾,保障业务连续性。
具体到解决方案的实现,MOS替代了NAS,可保障毫秒级访问。该方案利用小文件合并提升空间利用率。通过应用分布式架构,容量和性能实现了线性增长。通过应用跨数据中心双活模式,多数据中心可同时读写,实现了就近访问、容灾自动切换、RPO分钟级灾备,保障了高连续性和高可用性。通过智能QoS合理分配带宽和优先级,避免了资源抢占。营业网点通过HTTPS访问存储,提升了文件读取效率。MOS告警信息通过SNMP对接G证券告警管理平台,实现了精细化监管。