雷 智
湖北省農村信用社聯合社
摘要:隨著數字化和智能化的加速升級,知識產權保護逐步成為銀行業提升市場份額、贏得業務發展、提高競爭能力的關鍵手段之一。在此背景下,湖北農信對知識產權保護和管理越發重視,成果較為顯著。本文以湖北農信社自主創新研發的「基礎軟件安全基線檢測平台」為例,介紹了安全基線檢測工作難點、平台功能、專利技術及建設成果。並基於湖北農信在科技創新方面的探索經驗,對中小銀行的知識產品保護工作進行了思考與展望。
關鍵字:知識產權;科技創新;自主研發;安全基線;檢測平台
隨著數字化和智能化的加速升級,知識產權保護逐步成為銀行業提升市場份額、贏得業務發展、提高競爭能力的關鍵手段之一。在此背景下,湖北省農村信用社聯合社(以下簡稱「湖北農信」)對知識產權保護和管理越發重視,知識產權保護意識逐步提升,成果較為顯著。目前,湖北農信已申請技術發明專利10項,獲得8項授權和8項軟件著作權,在知識產權產業媒體IPRdaily與IncoPat 創新指數研究中心聯合發佈的「2019全球銀行發明專利排行榜」中排名第66位,是入選榜單的全國兩家省級聯社之一。
基於「優先級算法」的自動化基礎軟件安全基線檢測平台是湖北農信「兩地三中心」架構體系建成後,根據信息安全要求、業務發展趨勢和運營實際情況而自主研發的科技創新平台,主要實現了對信息系統的版本信息、用戶權限、高可用功能、監控指標和備份策略等方面的自動化核對檢查,可有效提高檢測效率,降低操作風險,節約人力成本。該平台共獲得了3項國家技術發明專利、1項軟件著作權及監管部門科技獎項。
一、安全基線檢測難點
安全基線是保障業務系統和數據安全的最低標准。安全基線管理是銀行基於企業發展需要、監管合規要求和系統安全可控而開展的基礎性工作,安全基線檢測則是確保信息系統安全可靠的重要舉措。
湖北農信「兩地三中心」投產運營後,在提升技術架構災備能力的同時,應用系統數量急劇增多,基礎軟件類別更為廣泛,加大了基礎軟件安全基線檢測的難度。
一是軟件類別更加多元。由於各業務系統平台和架構的差異,技術棧更為豐富,應用平台和基礎軟件呈現出多元化的特點,對基線檢測機制的完備性和工具的兼容性抱以了更多期待。
二是系統數量更加龐大。在市場競爭和業務發展的驅動下,新建系統數量逐年攀升,結合系統災備能力要求,進一步增加了系統數量,對基線檢測工具的性能帶來了更大挑戰。
三是檢測需求更加迫切。在愈加重視業務連續性和信息安全合規的背景之下,對基礎軟件安全基線檢測的範圍、頻率、准確性以及基線配置更新時效都提出了更高要求。
二、平台建設內容
湖北農信基於基礎軟件安全基線檢測現狀,通過自主設計和研發的「基於『優先級算法』的自動化基礎軟件安全基線檢測平台」(以下簡稱「平台」)建設,建立了統一的集中基線配置庫,重新構建了常態化自動基線檢查機制並利用專利技術,實現了對信息系統的版本信息、用戶權限、高可用功能、監控指標和備份策略等軟件安全和配置信息的自動化基線檢測,提高了檢測效率,降低了管理成本。
(一)平台功能
根據湖北農信基礎軟件安全基線檢測所面臨的現實困難,項目團隊自主設計並研發了該平台,在平台的技術架構、配置管理、優先策略和展示輸出四個環節創新攻關,利用自動化基礎軟件安全基線檢測軟件、兼容性基線檢測方法、優先級基線檢測方法和優先級基線檢測方法等專利技術和自研軟件,實現了平台預期功能。
湖北農信基於該平台建設實現了如下內容:一是建立了涵蓋6大常用軟件類別(操作系統、數據庫、中間件、高可用、備份及監控)和178項標准(例如,賬號安全控制標准、文件目錄權限配置標准、網絡與服務安全配置標准等)的安全基線庫並集中管理;二是根據安全需求變化,彈性配置並持續完善基線標准,實現自動化匹配和檢測;三是適用20種常用基礎軟件,通過原創算法針對風險大小和重要程度優先檢測;四是對系統安全信息進行自動監控和預警,及時報告安全風險並出具優化建議。
(二)平台架構
1.平台物理架構
該平台物理架構(如圖1所示)。其中:
圖1 平台物理架構
(1)業務處理模塊負責業務機制處理、檢測模型封裝、數據庫交互、頁面展示等。
(2)數據庫負責存儲各服務器上的各種指標數據、分析型數據、檢測到的數據、各種配置數據等。
(3)被檢服務器為需達到安全基線要求的業務系統服務器。
(4)通過客戶端登錄到統一的自動化基線檢查平台,基線的各項操作均在客戶端上執行。不同角色的客戶端可以做不同的操作。客戶端角色一般分為管理員、操作員和監測員。管理員為系統最高權限的角色,具備角色管理、配置管理、檢查管理、報告管理等操作權限。操作員作為基線配置和操作檢測角色,負責基線配置和報告管理。監測員僅能查看檢測報告。
2.平台技術架構
該平台采用開源技術架構(如圖2所示),使用django作為WEB動態頁面前端,uWSGI作為網絡接口,Nginx作為反向代理,提供負載均衡和安全保護功能,後台調用檢測功能采用ansible自動化調度工具,使用python整體開發。平台軟件基於Centos運行,具備冗餘架構,可對主流操作系統、數據庫及中間件等基礎系統軟件,用戶權限、備份策略和監控指標等運維管理的安全基線情況進行檢測。
圖2 平台技術架構
(三)創新點
1.兼容性基線檢測方法及系統
湖北農信自主研發了一種基於農信系統的兼容性基線檢測方法及系統。首先將農信系統的基礎軟件類型及其所對應的基線檢測規則分別裝載至所述配置文件中;在平台服務端執行檢測命令後,運行所述檢測程序,從所述配置文件中獲取被檢服務器的基礎軟件類型;最後根據所述基礎軟件類型匹配其對應的基線檢測規則進行檢測。
該方法及系統兼容業界主流常用的基礎軟件,如各種常用操作系統、數據庫等,解決了現有基線檢測方式僅限於特定軟件類別、兼容性不足和檢測效率低下等問題,節約了參與作業的人力成本,規避了手工誤操作風險,拓展了基礎軟件安全基線檢測的兼容範圍。該專利技術廣泛適用於業界主流常用基礎軟件的跨平台調用、集中管理等場景。
檢測平台的軟件類型及檢測規則配置界面(如圖3所示)。通過配置軟件類型和檢測規則,將對應的信息加載到配置文件中,平台執行檢測操作時,從配置文件中獲取被檢服務器的基礎軟件類型和檢測規則進行檢測。
圖3 檢測規則配置界面
2.基於優先級的基線檢測方法
現行的常用基線檢測方法,通常采用無差別或抽樣來檢測目標端,從而導致在眾多匯總信息中,很難全面體現重要系統的檢測情況,也給基線檢測工具帶來了較大性能負擔,降低了檢測效率。
本方法涉及網絡安全技術領域,具體為一種基於優先級的基線檢測方法,其創新點在於將服務請求的數量、耗時以及目標端的CPU、IO和內存使用情況進行加權,制定服務請求優先策略並執行,有效提高檢測效率,降低服務端性能負擔。本方法適用於多客戶端、高負荷、同一服務請求優先排序提交場景。
具體包括策略制定階段:巡檢服務器獲取一時間段內所有負載均衡節點的同步處理請求數量、處理每個請求所需要的時間,以及負載均衡節點所對應的所有被檢服務器的CPU使用率、IO占有率和內存使用率,制定出每個被檢服務器處理服務請求的優先策略,並根據所述優先策略,將所有被檢服務器從高到低對應匹配優先級;策略執行階段:根據優先級順序,依次對被檢服務器進行基線檢測。通過設置規則,將資源和需求進行合理調度,對被檢服務器進行基線檢測的優先級排列,根據優先級策略,對重要資源或系統依次進行檢測,使得有限的資源最大限度滿足檢測需求,不僅提高了檢測效率,同時也保證了檢測質量。
平台的服務器配置界面(如圖4所示)。通過配置需要檢測的服務器節點,當執行批量檢測操作時,後台檢測程序會根據優先策略,依次對被檢服務器進行基線檢測。
圖4 服務器配置界面
3.基線檢測報告的展現方法及系統
現有基線檢測報告的展現方式中,通常只顯示服務器列表及其詳細檢查情況。這種無差別的根據列表顯示檢查信息的展現方式,並未全面體現重要系統的檢測結果,容易出現故障發現和處理不及時等情況,影響檢測效果。
基線檢測報告的展現方法及系統包括:定義各個種類的基線檢測報告所對應的優先級別,所述優先級別是根據基線檢測報告是否為異常報告及其嚴重情況而設置;根據所述基線檢測報告的優先級別以及上傳時間進行排序展示,進一步簡化報告展現,突出重點信息,以便運維人員快速了解並處置所發現的安全基線問題(如圖5所示)。
圖5 基線檢查生成的報告
三、平台建設成果
自動化基礎軟件安全基線檢測平台是湖北農信「兩地三中心」架構體系建成後,根據信息安全要求、業務發展趨勢和運營實際情況而自主研發的科技創新平台,主要實現了對信息系統的版本信息、用戶權限、高可用功能、監控指標和備份策略等方面的自動化核對檢查,有效提高檢測效率,降低操作風險,節約人力成本。平台建設成果如下:
(一)管理上的突破
解決了信息系統基線檢查難題。通過獨立開發集中管理軟件平台,建立了統一的、全面完整的「安全基線」集中管理。針對服務器日漸增多的現狀,提高了運維效率、綜合降低了運維成本,從而有效提升省聯社的形象。
完善了集中基線檢查運維體系。通過對原有基線檢查運維方式的重新設計,融合了傳統的運維項目設計需求和集中式的運維需求,對原有分散的運維人員和能力進行集中調整,統一建立安全檢查平台,解決了效率低的問題。在架構上,集中運維可以更好地快速響應,彈性配置檢查項目,自動化檢查服務器基線,節約運維成本,提升運維響應速度,提高了省聯社總體的運維和安全保障水平。
(二)技術上的貢獻
統一管理,自主可控。建設了省聯社自動化基線檢測統一管理平台,一站式管理,提供高效的運維管理手段,提升問題處理效率,縮減問題處理時間。可快速通知到維護人員,從而快速響應,解決問題,減少了大量的重複性投入。綜合降低了重複性建設和運維相關成本的60%,從而有效提升省聯社在金融市場上的形象,提升社會公眾對省聯社的認可度和信心。
開放融合,拓展多元。自主研發的平台,方便二次開發,同時提供不同的角色,從而增加了資源分配的靈活度;同時提供多租戶的自助管理,提升最終用戶的自助能力,減少運營人力成本。平台允許各部門實現多元化應用的定制檢測,可以使效率提升50%。
更低成本,綠色安全。安全、高性能的技術架構,保障系統的安全性和業務的穩定性、延續性,綜合節約60%的運維成本,在原有基礎上提升80%的運維響應速度,提高了省聯社總體的運維和安全保障水平。
通過平台的建設,鍛煉了科技人員技術能力,發揮了「小工具、大成效」的杠杆效應,推動了日常基礎運維從手工化向自動化、智能化的轉變,逐步實現IT運維向IT運營的跨越。
四、思考與展望
知識產權作為一種重要的資源,深刻影響著銀行機構的市場競爭力。盡管知識產權和專利技術如此重要,但知識產權保護意識的淡薄以及知識技術人才的缺乏等都嚴重制約了銀行機構的知識產權和專利技術的開發與發展,影響了銀行機構的可持續發展。因此,銀行機構要審時度勢,采取一系列措施來制定專利保護策略,完善專利保護機制,取得競爭優勢。
中小銀行在科技投入、人員數量和專業能力上與大型銀行機構仍有較大差距,難以全方位、全領域、全身心地投入技術創新。中小銀行應基於自身資源稟賦,在科技創新方面,聚焦方向、強化意識、健全機制和培育生態,持續提升知識產權管理能力,促進金融科技創新賦能業務發展。
(一)聚焦技術創新方向
中小銀行應在有限資源條件下,聚焦創新技術的應用場景、使用範圍和實際成效,以「做得到、有必要、見成效」的務實理念,在技術創新攻關中以「解決實際問題」為動力,以「總結創新方法」為抓手,持續開展技術專利創新和保護工作。
(二)強化專利保護意識
通過加強知識產權保護工作的相關培訓,增強各級領導及科技人員的保護意識。倡導科技人員重視和保護日常工作中解決實際技術難題的「微創新」,有意識地對項目成果進行挖掘並轉化為專利,同時注重現有專利的遷移復用,進一步發揮技術專利價值。
(三)健全專利管理機制
借鑒業界成熟經驗,將專利法務管理與科技創新應用職責相分離,由法務與科技部門各司其職,進一步完善專利管理和保護制度流程,建立正向激勵科技創新評價機制,從專利的質管、運用和保護等各方面健全管理機制。
(四)培育科技創新生態
采取有效措施加強與銀行機構同業、金融科技供應商、高校和研究機構等單位的合作,明確合作成果的專利權屬,以戰略合作協議、聯合創新實驗室等方式,取長補短,共同發展、利益共享、風險共擔,培育良好科技創新生態。
【作者簡介】
雷 智,湖北省農村信用社聯合社資深技術經理,經濟學博士,高級經濟師。研究方向:業務與科技的融合。