背景介绍:
个人征信业务是通过建立联合征信的方式,收集、整合分散在社会各方面的信用信息(数据),以市场化的运作模式和公正、独立的第三方立场,为社会提供信息产品与服务,解决社会经济交往中信息不对称问题,降低经济运行成本,规范市场经济秩序,从而推动社会信用体系的建立。
项目详细描述
武汉市个人征信系统可以采集分布在武汉市政府部门、金融机构、商业机构、教育机构以及其他机构中的与个人信用相关的信息,并加入到武汉市个人征信数据库中,然后根据客户查询请求,生成《个人信用报告》,对客户提供《个人信用报告》的查询服务。
如下图所示:
武汉个人征信项目是武汉市07年重点建设项目,并且武汉市全国个人征信业务若干试点城市之一。未来征信业务还将覆盖到武汉市所有工商注册企业信用记录。初步建立完整的社会信用体系。其意义十分重大,因此对于征信业务数据的机密性、完整性、可用性等安全防护要求十分严格。
武汉征信项目是全新项目,没有前期经验可以借鉴,本次建设内容是建立起高起点的数据中心平台:涵盖主机系统、存储系统、网络平台、安全系统均需整合,统一规划建设。
第一阶段:容纳1000万人10个数据提供单位,在线查询系统 300人同时在线交易,响应时间不高于3秒;一期工程考虑每年对外提供100万人次信用报告查询服务;未来扩展考虑每年对外提供1000万人次信用报告查询服务;同时考虑到企业征信服务需求;
第二阶段:1000万人50个数据提供单位,在线查询系统1000人同时在线交易,响应时间不高于5秒;
第三阶段:8000万人80个数据提供单位,在线查询系统要求能提供 1000人同时在线交易能力。
本次建设需完全满足第一阶段需求,而且要求可以通过扩展平滑过度,以满足第二、三阶段的业务需求。
可以看到,本次建设对安全设备性能、扩展性、高可靠性都有着相当高的要求。本期部署的防火墙是保护数据中心,核心信息资产的最重要的安全屏障。
关键挑战:
1、性能。征信系统核心价值是提供个人信用信息的查询,提供信用信息产品,用户对收费获取的信息服务要求会很高,包括延迟、并发在线数等等。
2、稳定性。产品应该软硬件稳定可靠。
3、高可靠性。业务因为平台故障引起中断,导致的损失是数据加工型企业不能容忍的。
4、高扩展性。武汉征信平台分了三期建设,对安全网关设备的性能冗余提出了很高需求,直接选择高端千兆运营商级产品才能应对用户业务急速扩张带来的性能压力。
5、较之竞争对手具备独特优势功能。
解决方案描述
1、模拟环境测试:在选型阶段,用户组织了多个参测品牌将产品置于用户实际环境测试。参测东软产品为东软NOKIA IP391。部分防火墙部署在核心交换机与中间件服务器之间。部分用于隔离开发网段与内网网段。测试结果显示,产品较之同类参测其他品牌产品,在性能上有着明显的优势。
2、东软产品研发、生产均遵循国际最高标准,软件成熟度达到CMM5,防火墙产品安全认证级别达到国内最高的EAL3级。获得国家权威官方机构认证。是一款成熟稳定的高品质设备。用户对此十分认可。
3、在核心网中,防火墙设备采用双机冗余VFRP协议,全面兼容核心路由HSRP和小机的热备协议。设备部署互联实现了交叉的全连接拓扑。这样所有来自广域网或者局域网访问读写请求,必须经过东软防火墙3-7层安全筛选和过滤,方能取得相关资源。同时还实现了全网骨干从设备级到链路级的全备份—双核心路由—双核心防护墙—小机双机冗余。另外一台单机防火墙部署在开发网段与核心内网之间,抑制开发网段对核心业务网段潜在的不良网络访问和攻击。
4、东软NOKIA IP391支持扩展到8个千兆端口,为未来业务扩展预留空间。此外,东软防火墙支持以太网通道功能,提供了弹性支撑未来业务带宽增长的低成本解决方案。通过对多条物理链路的捆绑,可以将防火墙的多个物理以太网端口映射成一个逻辑端口,从而达到增加带宽和链路冗余的目的,实现防火墙上下行链路带宽从1G到2G的无缝扩展。而这样的性能扩展,无需采购配件和许可。延长了设备运营周期,有效提高了投资消费比,这也是用户所看重的。
5、东软NOKIA IP391为了提供多客户式的托管服务,满足用户对防火墙系统个性化配置的需求,可以将NetEye防火墙系统逻辑划分为多个虚拟系统(vsys),每一个虚拟系统的资源和配置都是独立的,都可以进行用户管理、服务配置、安全规则配置等一系列操作。目前,用户划分开发网段安全域的另一台东软NOKIA IP391只使用了2个端口,还有潜在6个端口可供使用。这六个端口任意组合后,作为独立防火墙,可以被用作网络环境中其他新增安全域边界划分设备。用户通过单台防火墙的投资,换回多台设备使用回报。
实施效果
项目实施后,通过采用双机冗余全连接拓扑方式,在高速交换骨干和高容量存储设备之间,无缝嵌入高性能深度防御防火墙设备,使得武汉征信业务平台在具备极高故障容错性能基础上,获得了极高的核心数据平台应用安全防护能力,其内嵌自动入侵行为检测阻断模块对流行的蠕虫病毒、分布式DOS攻击等威胁,提供了良好的的识别及阻断能力。
设备采用HTTPS的WEBUI管理方式,管理员在工作中可以方便的通过任何联网终端机建立安全的HTTPS加密通道以IE窗口方式登陆管理。防火墙还支持类CISOC命令行方式管理,安全管理员经过培训可以迅速精通防火墙操作,具备良好的操作便利性和较低的培训成本。
用户评价
用户通过选择了可靠的合作伙伴,选择高品质的高端产品,感受到了优质的产品服务。项目的良好完工,上线运行,东软的产品和服务经受了试运行阶段的考验。以上实践证明,用户前期项目设计和产品选型是可行和可靠的。用户对以太网通道、虚拟防火墙这样的高端防火墙才具备的实用功能非常认可。