某農信企業自主創新自動化安全基線檢測平臺建設實踐

【導讀】隨著銀行應用系統數量急劇增多，基礎軟體類別更為廣泛，加大了基礎軟體基線檢測的難度。本文分享了某省農信自主設計和研發的“基於‘優先順序演算法’的自動化基礎軟體基線檢測平臺”建設實踐經驗，同時對銀行機構在數字化轉型中的智慧財產權保護問題進行了思考，希望能為廣大同行帶來啟發。

【作者】晝者，某省農信社資深技術經理、經濟學博士、高階經濟師，銀行從業17年，在全行數字化轉型變革中，參與了科技發展規劃、組織架構調整、管理流程設計和重大專案建設，為業務與科技的融合之路，進行了有益的探索。帶領團隊獲得了10項發明專利和7項軟體著作權，2項作為第一發明人，多次獲得監管部門科技獎項。出版了個人經濟學學術專著並在《金融電子化》、《金融科技時代》、《中國金融電腦》、《中國農村金融》等期刊發表多篇金融科技文章。多次受邀參加金融科技峰會及專題會作主題分享，為頭部金融同業機構授課培訓金融科技創新實踐。

隨著移動網際網路的廣泛普及，金融科技賦能業務發展的重要性日益凸顯，同時對資訊系統的安全可靠性提出了更高要求。安全基線是保障業務系統和資料安全的最低標準。安全基線管理是銀行基於企業發展需要、監管合規要求和系統安全可控而開展的基礎性工作，安全基線檢測則是確保資訊系統安全可靠的重要舉措。

一、安全基線檢測難點

某省農信“兩地三中心”投產運營後，在提升技術架構災備能力的同時，應用系統數量急劇增多，基礎軟體類別更為廣泛，加大了基礎軟體基線檢測的難度。

一是軟體類別更加多元。由於各業務系統平臺和架構的差異，技術棧更為豐富，呈現出應用平臺和基礎軟體多元化的特點，對基線檢測機制的完備性和工具的相容性抱以了更多期待。

二是系統數量更加龐大。在市場競爭和業務發展的驅動下，新建系統數量逐年攀升，結合系統災備能力要求，進一步增加了系統數量，對基線檢測工具的效能帶來了更大挑戰。

三是檢測需求更加迫切。在愈加重視業務連續性和資訊保安合規的背景之下，對基礎軟體安全基線檢測的範圍、頻率、準確性以及基線配置更新時效都提出了更高要求。

二、自動化安全基線檢測平臺建設實踐

省農信基於基礎軟體基線檢測現狀，透過自主設計和研發的“基於‘優先順序演算法’的自動化基礎軟體基線檢測平臺”(以下簡稱“平臺”)建設，建立了統一的集中基線配置庫，重新構建了常態化自動基線檢查機制並利用專利技術，實現了對資訊系統的版本資訊、使用者許可權、高可用功能、監控指標和備份策略等軟體安全和配置資訊的自動化基線檢測，提高了檢測效率，降低了管理成本。

(一)平臺功能

根據某省農信基礎軟體基線檢測所面臨的現實困難，專案團隊自主設計並研發了該平臺，在平臺的技術架構、配置管理、優先策略和展示輸出四個環節創新攻關，利用“自動化基礎軟體基線檢測軟體”、“相容性基線檢測方法”、“優先順序基線檢測方法”和“優先順序基線檢測方法”等專利技術和自研軟體，實現了平臺預期功能。

某省農信基於該平臺建設實現瞭如下內容：一是建立了涵蓋6大常用軟體類別(作業系統、資料庫、中介軟體、高可用、備份及監控)和178項標準(例如，賬號安全控制標準、檔案目錄許可權配置標準、網路與服務安全配置標準等)的安全基線庫並集中管理;二是根據安全需求變化，彈性配置並持續完善基線標準，實現自動化匹配和檢測;三是適用20種常用基礎軟體，透過原創演算法針對風險大小和重要程度優先檢測;四是對系統安全資訊進行自動監控和預警，及時報告安全風險並出具最佳化建議。

(二)平臺架構

1、平臺物理架構

該平臺物理架構如圖1所示。其中：

(1)業務處理模組負責業務機制處理、檢測模型封裝、資料庫互動、頁面展示等。

(2)資料庫負責儲存各伺服器上的各種指標資料、分析型資料、檢測到的資料、各種配置資料等。

(3)被檢伺服器為需達到安全基線要求的業務系統伺服器。

(4)透過客戶端登入到統一的自動化基線檢查平臺，基線的各項操作均在客戶端上執行。不同角色的客戶端可以做不同的操作。客戶端角色一般分為管理員、操作員和監測員。管理員為系統最高許可權的角色，具備角色管理、配置管理、檢查管理、報告管理等許可權操作。操作員作為基線配置和操作檢測角色，負責基線配置和報告管理。監測員僅能檢視檢測報告。

2、平臺技術架構

該平臺採用開源技術架構(如圖2所示)，使用django作為WEB動態頁面前端，uWSGI網路介面，Nginx作為反向代理，提供負載均衡和安全保護功能，後臺呼叫檢測功能採用ansible自動化排程工具，使用python整體開發。平臺軟體基於Centos執行，具備冗餘架構，可對主流作業系統、資料庫及中介軟體等基礎系統軟體，使用者許可權、備份策略和監控指標等運維管理的安全基線情況進行檢測。

(三)創新點

1、相容性基線檢測方法及系統

自主研發了一種基於農信系統的相容性基線檢測方法及系統，首先將農信系統的基礎軟體型別及其所對應的基線檢測規則分別裝載至所述配置檔案中。在平臺服務端執行檢測命令後，執行所述檢測程式，從所述配置檔案中獲取被檢伺服器的基礎軟體型別。最後根據所述基礎軟體型別匹配其對應的基線檢測規則進行檢測。

該方法及系統相容業界主流常用基礎軟體，如各種常用作業系統、資料庫等。解決了現有基線檢測方式僅限於特定軟體類別、相容性不足和檢測效率低下等問題，節約了參與作業的人力成本，規避了手工誤操作風險，擴充了基礎軟體基線檢測的相容範圍。專利技術廣泛適用於業界主流常用基礎軟體的跨平臺呼叫、集中管理等場景。

圖3為檢測平臺的軟體型別及檢測規則配置介面。透過配置軟體型別和檢測規則，將對應的資訊載入到配置檔案中，平臺執行檢測操作時，從配置檔案中獲取被檢伺服器的基礎軟體型別和檢測規則進行檢測。

2、基於優先順序的基線檢測方法

現行的常用基線檢測方法，通常採用無差別或抽樣檢測目標端，從而導致在眾多彙總資訊中，很難全面體現重要系統的檢測情況，也給基線檢測工具帶來了較大效能負擔，降低了檢測效率。

本方法涉及網路安全技術領域，具體為一種基於優先順序的基線檢測方法，其創新點在於將服務請求的數量、耗時以及目標端的CPU、IO和記憶體使用情況進行加權，制定服務請求優先策略並執行，有效提高檢測效率，降低服務端效能負擔。適用於多客戶端、高負荷、同一服務請求優先排序提交場景。

具體包括策略制定階段：巡檢伺服器獲取一時間段內所有負載均衡節點的同步處理請求數量、處理每個請求所需要的時間，以及負載均衡節點所對應的所有被檢伺服器的CPU使用率、IO佔有率和記憶體使用率，制定出每個被檢伺服器處理服務請求的優先策略，並根據所述優先策略，將所有被檢伺服器從高到低對應匹配優先順序;策略執行階段：根據優先順序順序，依次對被檢伺服器進行基線檢測。透過設定規則，將資源和需求進行合理排程，對被檢伺服器進行基線檢測的優先順序排列，根據優先順序策略，對重要資源或系統依次進行檢測，使得有限的資源最大限度滿足檢測需求，不僅提高了檢測效率，同時也保證了檢測質量。

圖4為平臺的伺服器配置介面。透過配置需要檢測的伺服器節點，當執行批次檢測操作時，後臺檢測程式會根據優先策略，依次對被檢伺服器進行基線檢測。

3、基線檢測報告的展現方法及系統

現有基線檢測報告的展現方式中，通常只顯示伺服器列表及其詳細檢查情況，這種無差別的根據列表顯示檢查資訊，並未全面體現重要系統的檢測結果，容易出現故障發現和處理不及時等情況，影響檢測效果。

一種基線檢測報告的展現方法及系統，該方法包括：定義各個種類的基線檢測報告所對應的優先順序別，所述優先順序別是根據基線檢測報告是否為異常報告及其嚴重情況而設定;根據所述基線檢測報告的優先順序別以及上傳時間進行排序展示，進一步簡化報告展現，突出重點資訊，以便運維人員快速瞭解並處置所發現的安全基線問題。

三、建設成果

自動化基礎軟體基線檢測平臺是該省農信“兩地三中心”架構體系建成後，根據資訊保安要求、業務發展趨勢和運營實際情況而自主研發的科技創新平臺，主要實現了對資訊系統的版本資訊、使用者許可權、高可用功能、監控指標和備份策略等方面的自動化核對檢查，有效提高檢測效率，降低操作風險，節約人力成本。該平臺共獲得了3項國家技術發明專利、1項軟體著作權及監管部門科技獎項。平臺建設成果如下：

(一)管理上的突破

解決了資訊系統基線檢查難題。透過獨立開發集中管理軟體平臺，建立了統一的、全面完整的“安全基線”集中管理。針對伺服器日漸增多的現狀，提高了運維效率、綜合降低了運維成本，從而有效提升省聯社的形象。

完善了集中基線檢查運維體系。透過對原有基線檢查運維方式的重新設計，融合了傳統的運維專案設計需求和集中式的運維需求,對原有分散的運維人員和能力進行集中調整，統一建立安全檢查平臺，解決了效率低的問題。在架構上，集中運維可以更好地快速響應，彈性配置檢查專案，自動化檢查伺服器基線，節約運維成本，提升運維響應速度，提高了省聯社總體的運維和安全保障水平。

(二)技術上的貢獻

統一管理，自主可控。建設了省聯社自動化基線檢測統一管理平臺，一站式管理，提供高效的運維管理手段，提升問題處理效率，縮減問題處理時間。可快速通知到維護人員，從而快速響應，解決問題，減少了大量的重複性投入。綜合降低重複性建設和運維相關成本60%，從而有效提升省聯社在金融市場上的形象，提升社會公眾對省聯社的認可度和信心。

開放融合，擴充多元。自主研發的平臺，方便二次開發，同時提供不同的角色，從而增加了資源分配的靈活度。同時提供多租戶的自助管理，提升終端使用者的自助能力，減少運營人力成本。允許各部門實現多元化應用的定製檢測，可以使效率提升50%。

更低成本，綠色安全。安全、高效能的技術架構，保障系統的安全性和業務的穩定性延續性，綜合節約60%的運維成本，在原有基礎上提升80%的運維響應速度，提高了省聯社總體的運維和安全保障水平。

透過平臺建設，鍛鍊了科技人員技術能力，發揮了“小工具、大成效”的槓桿效應，推動了日常基礎運維從手工化向自動化、智慧化的轉變，逐步實現IT運維向IT運營的跨越。

四、思考與展望

該平臺是某省農信科技自主創新戰略下的又一重要成果。目前該省農信已申請智慧財產權18項，其中技術發明專利10項、獲得8項授權和8項軟體著作權，在智慧財產權產業媒體IPRdaily與IncoPat創新指數研究中心聯合釋出的“2019全球銀行發明專利排行榜”中排名第66位，是全國2家入選榜單的省級聯社之一。

隨著數字化和智慧化的升級加速，智慧財產權保護逐步成為銀行業提升市場份額、贏得業務發展、提高競爭能力的關鍵手段之一。更多銀行機構對智慧財產權保護和管理越發重視，逐步提升智慧財產權保護意識，為可持續發展打造技術“護城河”。

(一)銀行機構在數字化轉型中的智慧財產權保護展望

智慧財產權作為一種重要的資源，深刻影響著銀行機構的市場競爭力。儘管智慧財產權和專利技術如此重要，但智慧財產權保護意識的淡薄以及知識技術人才的缺乏等都嚴重製約了銀行機構的智慧財產權和專利技術的開發與發展，影響了銀行機構的可持續發展。因此，銀行機構要審時度勢，採取一系列措施來制定專利保護策略，完善專利保護機制，取得競爭優勢。

(二)中小銀行強化智慧財產權保護的思考

中小銀行在科技投入、人員數量和專業能力上與大型銀行機構仍有較大差距，難以全方位、全領域、全身心地投入技術創新。中小銀行應基於自身資源稟賦，在科技創新方面，聚焦方向、強化意識、健全機制和培育生態，持續提升智慧財產權管理能力，促進金融科技創新賦能業務發展。

聚焦技術創新方向。中小銀行在有限資源條件下，聚焦創新技術的應用場景、使用範圍和實際成效，以“做得到、有必要、見成效”的務實理念，在技術創新攻關中以“解決實際問題”為動力，以“總結創新方法”為抓手，持續開展技術專利創新和保護工作。

強化專利保護意識。透過加強智慧財產權保護工作的相關培訓，增強各級領導及科技人員的保護意識。倡導科技人員重視和保護日常工作中解決實際技術難題的“微創新”，有意識地對專案成果進行挖掘並轉化為專利，同時注重現有專利的遷移複用，進一步發揮技術專利價值。

健全專利管理機制。借鑑業界成熟經驗，將專利法務管理與科技創新應用職責相分離，由法務與科技部門各司其職，進一步完善專利管理和保護制度流程，建立正向激勵科技創新評價機制，從專利的質管、運用和保護等各方面健全管理機制。

培育科技創新生態。採取有效措施加強與銀行機構同業、金融科技供應商、高校和研究機構等單位的合作，明確合作成果的專利權屬，以戰略合作協議、聯合創新實驗室等方式，取長補短，共同發展、利益共享、風險共擔，培育良好科技創新生態。