|
一、基于优炫数据库的银行秘钥管理平台的构建与实现 业务效果:秘钥管理平台在保障密码资源高效使用率的前提下,使整个平台中的密码计算资源保持负载均衡状态,为用户提供安全、稳定、高效的可定制密码服务管理平台。 关键举措:项目中,优炫数据库提供三权分立安全管理机制、身份鉴别、自主访问控制、行列级访问控制、强制访问控制、安全审计等功能,保障用户数据的完整性与保密性;支持第三方硬件安全模块对接和密钥管理等全面数据安全技术及完善的安全管控手段;采用可信计算理念与技术,确保客户数据资产安全;支持国密等算法。 应用场景:秘钥管理平台主要面向金融领域。系统整合多台密码设备,形成一套统一、有效的管理体系和管理模型,集中管理不同类型的密码设备,统一管理各种应用系统使用的各种密钥,为上层密码应用主体提供密码服务虚拟化,解决其对密码设备以及相关密钥管理混乱状态,及后继开发困难等诸多问题,构筑金融安全整体防护体系。 适用规模:本案例适用的用户数量:15000人至30000人;并发量:800TPS至2000TPS;达到该规模所使用的硬件节点数量为:3。 技术路线:秘钥管理平台针对不同的应用领域和应用场景,可拆分为密码管理系统和密码服务系统。密码管理系统侧重密码安全管理部分,密码服务系统则负责提供基于密码机的交易服务,两者既可单独运行、也可有机结合整体运行。 实施方案:秘钥管理单轨运行的整体目标即在保证系统数据准确性、一致性和完整性的基础上,实现数据的一次性录入,避免由于并行带来无效率的,重复劳动。通过数据系统的交互及共享,逐步完善各系统和秘钥管理平台的集成接口,实现一体化的密钥管理平台。 关键指标:优炫数据库提供三权分立安全管理机制、身份鉴别、自主访问控制、标记、强制访问控制、数据流控制、安全审计、用户数据完整性、用户数据保密性全部安全特性;采用全库加密、列加密、表、行级访问授权、通信信道加密、基于会话的访问隔离、内置数据库审计等措施保证数据安全;支持 SCRAM 认证时绑定通道、GSSAPI 认证时客户端和服务端加密;支持国密等算法、硬件加密与密钥管理,支持 SM2、SM3、SM4、SM9 国密加密算法和 AES、DES、3DES、Blowfish、RC4 等国际标准加密算法;提供用户加解密权限,灵活控制用户访问敏感数据。满足敏感数据加密存储与应用。 创新示范效果: 1)应用程度 在传统密码应用场景中,通常由应用系统直接调用密码机完成加解密操作,不仅接口开发工作量较大,并且无法实现对密码机的集中管理和统一维护。针对银行数据大集中,建立一套完善且统一的密码体系来保障整个银行系统中业务数据的安全性,具有十分重要的意义,同时也是一项复杂的系统工程。随着银行行业务发展的需要,需要通过国产化平台提供加解密及加签验签支持的系统数量、规模将会不断扩大,业务覆盖范围将会越来越全面,需要采用国产化的硬件设备与基础软件,通过与现有业务系统的适配测试与应用兼容性测试,建成全国产化的密钥管理平台,与现有密钥管理平台实现负载均衡部署,共同支撑银行各个业务 系统的加解密及加签验签需求。 2)覆盖范围 随着银行信息系统业务的不断发展,密码设备种类和数量的不断增长,银行在密码设备管理和密钥管理等方面也都提出了更高的安全强度与管理便捷的需求。由于密码设备管理方式、应用模式、设备形态等存在较大差异,如果不建立有效的设备集中管理和维护手段,且密码设备不能重复使用,势必造成极大的物力和人力资源浪费。 建设统一密码服务平台,使各业务系统能够直接与平台进行密码接口调用,由平台统一适配各品牌、型号的密码机设备,实现密码服务的统一调用,并能够通过平台对密码机设备进行状态监测和健康检查,帮助用户实现对密码机的集中管理和统一维护。 图 22业务流程 3)实施周期 银行通过国产化的软硬件环境,如服务器、操作系统、云平台、数 据库、中间件、及密钥管理平台等国产化基础软件及硬件支持,搭建国产化的密 钥管理平台。目前建成的密钥管理平台,部署在新中心机房,下挂加密设备包括多种类型的加密机,支持行内各类业务。新建的国产化密钥管理平台与现有密钥 管理平台需支持下挂的加密设备,包括但不限于已有的加密机,并良好支持行内各类业务,包括但不限于核心、网联、银联、电话银行等多个业务系统的运行。
二、面向银行绩效考核系统中的优炫数据库应用创新 业务效果:基于优炫数据库,支持行式存储、列式存储及行列混合存储,支持结构化、半结构化、非结构化等多种数据类型,提供针对考核对象的各类考核办法,如机构考核、以及员工账户EVA考核等,实现了业绩管理、绩效分析、考核方案管理、系统管理等功能。 关键举措:绩效对象包含存款账户、贷款账户、交易流水、表外授信账户(承兑、保函、信用证等)、理财、基金、保险(银保通)、财务报销明细、其他手工录入业务数据等;机构:支持总-分(或独立法人)-支、总-支、分-支多种模式;行员:所有人员在某个节点归属一个机构;系统创建每个机构虚拟行员,作为每个机构公共户;机构业绩有所辖机构人员业绩汇总;公司营销关系:公司客户支持按客户号管理,同时也可按账户关系管理;个人营销关系:个人客户支持按客户号、卡、账户的分级关系管理;营销关系调整与OA对接(或绩效自有的流程引擎),实现营销关系流程管理。 应用场景:通过基于优炫数据库的绩效考核系统的建设,重新设计了平衡记分卡指标与权重,并增加员工沟通反馈渠道,加强了员工的沟通交流,帮助银行提高绩效考核管理效率。在绩效考核系统的支持下,决策层充分发挥考核“指挥棒”作用,将银行的绩效管理、考核制度、考核文化充分结合,将银行的战略目标进行有效分解到客户经理,优化资源配置,实现银行短期目标和长期目标间的平衡。 适用规模:本案例适用的用户数量:8000人至10000人;并发量:500TPS至1500TPS;达到该规模所使用的硬件节点数量为:3。 技术路线:绩效管理系统是以总行考核思想为导向,在总行统一考核体系框架下,以机构、部门、团队、人员、产品、客户、渠道等为考核对象,以个人、公司为考核条线,以规模、效益指标为考核依据,以指标计算,绩效评定等到为功能主线。系统应用功能:业绩管理、指标管理、方案管理、客户管理、绩效分析、统计报表、系统管理和移动平台等;同时可设定不同角色和权限,为各级考核参与者提供丰富的查询分析界面,支持灵活的流程、参数调整和个性化修改。 实施方案:根据方案建设总体部署,通过试用、推广、改进完善,逐步在各银行各网点全面推广运行。针对运行期间存在的问题,开展优化完善和深化应用工作。优化后的系统,加强了管理功能,使管理功能更加符合实际,基本满足银行绩效考核管理业务的应用需求。总部和网点部分按专业需求实现单轨,主要涉及系统总部及网点的费用报销、采购业务、固定资产、薪酬与其他财务核算等。由总部结合业务及系统实际情况分阶段实现单轨,明确了单轨运行总体实施方案。 关键指标:风险资本管理:系统指标库有4000多个指标,包含存、贷款等规模类指标、风险资本成本,经济利润,费用配置,加权利率等;绩效对象:存款账户、贷款账户、交易流水、表外授信账户(承兑、保函、信用证等)、理财、基金、保险(银保通)、财务报销明细、其他手工录入业务数据等;考核对象:机构:支持总-分(或独立法人)-支、总-支、分-支多种模式。行员:所有人员在某个节点归属一个机构;系统创建每个机构虚拟行员,作为每个机构公共户。机构业绩有所辖机构人员业绩汇总。 创新示范效果: 1)支持多业务场景 优炫数据库支持行式存储、列式存储及行列混合存储,支持结构化、半结构化、非结构化等多种数据类型,可同时满足在线事务型业务与在线分析型业务场景需求。 2)自治管理与优化 为应对复杂应用场景下的数据库配置调优、故障诊断、风险预警,以及问题处置需要,提供多层次的数据库自适应、自配置、自管理、自调优、自修复能力,以及丰富且直观的功能操作。为降低数据库维护难度,减少数据库维护工作量,增强数据库运行的安全性和稳定性提供了高效的技术手段。
三、基于优炫数据库的银行数据仓库系统 业务效果:基于现有银行业务系统分散的情况,进行整合,建立统一的数据信息管理平台,构建统一的管理架构体系,体现业务集中统一管理,具备本地分布式数据库存储、分布式文件系统存储、按主题库的集中管理能力,实现高可用、高性能的数据库架构体系。 关键举措:大规模并行处理(UXDB Massive Parallel Process,缩写UXMPP)是UXDB基于shared-nothing架构的横向扩展,UXMPP以扩展形式在UXDB数据库中运行。采用“化整为零”原理,通过分片和复制将多个UXDB数据库逻辑上结合在一起,形成多机、多核并行的UXDB集群,可实现PB级大规模数据集的实时在线分析。 应用场景:优炫数据库管理系统具备处理超大规模数据所需的存储和计算能力,能提供多模式的数据处理能力。更强调对于数据的管理、治理和资产化能力,包括:更强大的数据接入能力、更强大的数据管理能力和可共享的元数据。 适用规模:本案例适用的用户数量:500人至1000人;并发量:800TPS至2000TPS;达到该规模所使用的硬件节点数量为:5。 技术路线:采用先进的数据仓库解决方案,结合UXDB的MPP架构,满足重建银行的数据仓库系统的需求。本方案数据库部署模式采用优炫数据库管理系统的UXDB MPP架构部署模式,按照2+3模式部署:部署2个协调节点,3个数据节点,共计5个节点(支持扩展)。 图 2数据仓库部署架构图 实施方案:将“单轨制”实施模式应用于银行数据仓库系统的工作中,实施过程中,相关部门进行了数据归档和数据管理系统的开发、数据整体化管理流程的优化以及相应配套机制的制定等,有效保证了单轨实施模式在工作中的应用。系统应用了电子签章和电子认证技术,并且综合运用自动采集、检测、数字签名和元数据采集等技术措施,促进了各部门信任并且承认电子档案中所记录的信息,从而形成了对数据的全程监督和管理;对数据的归档数量、类型以及质量等诸多因素展开定期监控以及抽查,从而确保数据的长期可用性。 关键指标: 1)更强大的数据接入能力:体现在对于各类外部异构数据源的定义管理能力,以及对于外部数据源相关数据的抽取迁移能力,抽取迁移的数据包括外部数据源的元数据与实际存储的数据。 2)更强大的数据管理能力:具体可分为基本管理能力(对各类元数据的管理、数据访问控制、数据资产管理)和扩展管理能力(任务管理、流程编排以及与数据质量、数据治理相关的能力)。 3)可共享的元数据:计算引擎在处理数据时,能从元数据中直接获取数据存储位置、数据格式、数据模式、数据分布等信息,然后直接进行数据处理,而无需进行人工/编程干预。更进一步,还可以对数据中心中的数据进行访问控制,控制的力度可以做到“库表列行”等不同级别。 创新示范效果:通过基于优炫数据库的银行数据中心建设,满足在重构核心等主要业务系统的同时,对数据仓库系统进行优化重构的需求。我公司的部署方案采用业界先进的数据仓库解决方案,结合国产优炫数据库的MPP架构,满足重建银行的数据中心的需求。
| 
私信
