当前位置:首页>>新闻 > 政策 > >统筹IT基础设施 支撑数字央行建设【中国人民银行科技司司长 李伟】

统筹IT基础设施 支撑数字央行建设【中国人民银行科技司司长 李伟】

在2017年人民银行科技工作会上,范一飞副行长提出建设数字央行的战略目标,为央行未来科技工作指明了方向。作为建设数字央行的基石,IT基础设施应如何管理,范一飞副行长也提出了明确要求:“要做好人民银行IT基础设施顶层设计,通过统筹规划、建设和管理,研究构建统一的人民银行基础设施服务(IaaS),降低总体成本,防范运行风险。”科技司后续将以推动央行分布式架构转型为着力点,逐步实现对全行IT基础设施的统筹管理、统一规划和科学利用,更好地支撑数字央行建设。

 

 

IT基础设施建设现状
 

 

经过多年努力,人民银行已建成覆盖全国的信息网络、机房设施、数据计算存储框架和部分关键应用灾备环境等IT基础设施,为支撑数字央行建设打下了初步基础。

 

一是网络体系不断完善。人民银行实现全行四级机构网络连通和省级“网络双活”;网络服务覆盖面不断扩大,网络接入拓展至小微金融机构和第三方支付机构,人民银行网络体系已成为金融业规模最大的跨机构服务网络之一。

 

二是标准化机房建设初显成效。人民银行已形成纵跨各级分支机构,横联各直属单位的全国机房布局和两级数据中心总体架构,省级机构均已实现同城双机房运行。

 

三是计算存储资源广泛分布。随着信息化建设规模的不断扩大,人民银行计算存储资源呈现出全国分散部署的特点,已初步具备计算存储资源弹性分配和多中心协同运行的技术实施可行性。 

 

四是灾备体系逐渐完善。国库、货金、联网核查等七个重要业务系统已实现同城灾备,部分分支机构已具备省级同城或异地备份,相关直属单位灾备建设也不断取得新进展,业务连续性保障能力持续提高。

 

新形势下IT基础设施管理面临的挑战
 

 

当前蓬勃发展的新兴技术、不断涌现的金融业态、日趋严峻的网络安全形势、日益加强的金融监管要求对央行科技履职提出了新挑战,现有IT基础设施应更好地适应分布式处理、大数据分析等技术要求,满足建设数字央行的需求。

 

1.IT基础设施规划需适应统筹协调共享理念

当前人民银行IT基础设施顶层设计有待进一步优化完善,以更好满足资源统筹共享需求。

 

一是网络体系需适应统筹数据传输和对外服务需求。人民银行总行和分支机构主用网络分别为办公网和业务网,上下办公联动不便,业务网未与互联网连通,不能更好支撑面向公众的创新业务发展;对外服务渠道未完全形成统一布局,多类业务系统存在一定分割隔离现象,资源还可以进一步整合。

 

二是机房设施需适应统筹业务处理能力需求。目前行内数据中心资源较分散,资源灵活配置能力有待继续提升。总体看,省级数据中心当前承担的运营职能偏少但有一些富余机房资源可进一步加以利用,而总行数据中心的运营主要集中于单一机房,资源和需求存在一定程度的错配。

 

三是计算存储资源需适应统筹数据整合分析需求。人民银行当前拥有的数据资产较为丰富,但存在一定程度的孤岛现象。计算和存储资源规划未充分考虑数据互访共享、统一提取、规范转换和综合利用的需求,不便于更好地支持全行大数据在线和离线业务分析场景。

 

四是灾备体系规划需适应协同应对各类应急故障需求。业务通信处理架构以地域切分、各自负责模式为主,某地区IT基础设施运行出现短时故障时,往往只能采取本地应急修复措施,较难实现跨地区快速接管服务的理想状态,应急处置效率和效果难以保证。

 

2.IT基础设施建设需适应分布式架构转型需求

一是网络架构需适应分布式架构转型技术需求。相比集中架构,分布式架构对网络提出更高性能、更高连通冗余和更高配置灵活性的要求,数据中心内部和数据中心之间应具备低时延、高带宽的网络传输能力,支持数据高速同步传输;网络拓扑应考虑支持分布式账本技术所依赖的P2P网络技术需求。当前人民银行网络架构受设备功能和星型拓扑结构等因素制约,较难满足上述新要求。

 

二是机房布局需适应分布式架构转型业务构想。传统的“两地三中心”布局难以更好满足分布式架构技术发展趋势。从行业发展来看,数据中心多点多活布局已成为发展方向,当单一中心丧失对外服务能力时,其他中心可快速实现业务接管,最大限度保障业务连续性。因此,要以新的思路规划机房布局。

 

三是计算存储设施配置需适应分布式架构资源灵活调配要求。人民银行应用系统主要部署在集中式架构的计算存储设施之上,当遇到性能瓶颈时,系统纵向扩容受限制、横向扩容周期长且总体成本较高,不利于支持GFS、BigTable等分布式数据存储模型和MapReduce、Spark等分布式计算框架,较难满足资源弹性扩容和动态适应业务量快速增长的需求。

 

四是灾备体系需满足分布式架构细粒度部署技术条件。集中式架构下传统灾难恢复模式设计要点,往往需要灾备环境“1:1”部署全套对应IT基础设施,并采用同等资源参数配置设计,与分布式微服务架构下应用细粒度切分部署的理念较为不符,并带来一定资源闲置和浪费等问题。

 

3.IT基础设施管理需适应更高安全生产风险防控要求

从近年情况看,IT基础设施还存在一定风险隐患,需进一步提高IT基础设施风险防控能力。

 

一是网络攻击风险防控能力较为有限。网络攻击威胁来源和实施手段不断变化,整体网络安全技术防护体系仍存在薄弱环节,攻击发现处置有时滞后;抵御大规模网络攻击的能力仍有欠缺,IT基础设施整体安全可控能力还有进一步提升的空间。

 

二是机房风险防控能力仍有不足。部分省级数据中心全天候运行保障能力尚不健全,“人防+技防”管理制度体系仍不完备,较难承担分布式数据中心节点运营职责;外包管理规范有待进一步与时俱进,借助专业机构力量建设或运维IT基础设施的模式尚需摸索;部分机房建成年代久远,供配电系统设计已不满足机房动力标准要求。

 

三是设施设备老旧现象较明显。相当比例的计算存储设备和网络设备老化严重,冗余备份机制仍不健全,不支持较新的安全管理协议,统一的设备更新标准尚不完备,存在一定的运行和操作风险。

 

四是灾备体系演练验证不够充分。缺乏一键式自动切换控制机制,灾备切换演练主要依赖一线运维人员的经验储备,实施较困难;灾备中心往往处于只备不演练、不接管、不验证的状态。灾备中心运维人员技术水平难以锻炼、基础设施功能难以检验,较难实现多中心运维统一标准管理。

 

统筹IT基础设施管理的思考
 

 

为更好地支撑数字央行建设,应遵循“理念先进、布局合理、安全可控、灵活高效”的原则,从管理体制、技术规划、风险防控和队伍建设等层面统筹做好IT基础设施管理。

 

1.做好全行数据中心统筹规划

首先,顺应分布式架构转型需要,按照“三个统筹”要求,统筹人民银行企事业单位和分支行的数据中心资源,研究数据中心布局,探索构建分布式数据中心区域处理节点和网络中转节点;其次,依托企事业单位和分支行力量,综合考量环境与资源、电力与通信设施、人才吸引力等指标,推动新建数据中心作为分布式数据中心骨干处理节点;第三,进一步完善数据中心运营体系,推进一键式应用切换,逐步实现多中心全时在线运行。

 

2.开展网络规划并优化网络架构

重新规划网络定位,让涉密网络更安全,非密网络更便捷;全面推进信息高速公路建设,实施互联网、业务网骨干线路带宽扩容;规范业务网分区分域,基于多级网络安全互联机制,建设统一互联网接入区;整合网络线路资源,优化网络结构,探索对等网络技术的应用;研究利用软件定义网络(SDN)、网络功能虚拟化(NFV)等技术优化数据中心内部网络结构,提升网络可扩展性及管理配置的灵活性;基于虚拟专用拨号(VPDN)等技术,探索建立无线网络备份体系,推进移动办公试点。 

 

3.推动计算存储资源统一调度

实现计算资源云化管理。分布式架构转型过程中,PC服务器将逐步成为数据中心最主要的计算资源。参照软件定义计算(SDC)理念,将PC服务器逐步整合为灵活、可控的计算资源池,拥有对计算资源的精确监控、分析与可视化展示能力;实现对计算资源的灵活匹配,满足业务定制化需求。

 

开展分布式存储转型实施。参照软件定义存储(SDS)理念,一方面研究基于服务器本地硬盘集群存储架构开展分布式块存储部署及技术验证,逐步增强人民银行存储资源的池化和横向扩展能力;另一方面针对大数据分析、非结构数据读写等场景,做好分布式文件和对象存储集群的选型及试点应用,更好地支撑数据共享需求。

 

在上述工作规划基础上,基于虚拟数据中心(VDC)技术体系,实现对人民银行数据中心资源的统一管理、统一呈现和灵活切分,构建人民银行基础设施服务云,实现资源利用最优化。

 

4.提升IT基础设施风险管控能力

一是全面排查IT基础设施运行风险。在全行范围开展IT基础设施风险排查工作,通过总行抽查、分支行互查、第三方专业机构技术检测等方式,将IT基础设施风险排查工作制度化、常态化。对发现的风险点实施清单管控,督促各级数据中心及时采取措施整改落实,消除隐患。

 

二是有序开展老旧IT基础设施设备更新升级。制定IT基础设施更新标准,对各类设备科学管理,重点加强老旧设备的更新升级,确保IT基础设施的良好运行状态。省级数据中心核心IT基础设施如机房动力系统等要统一按A类标准建设。

 

三是完善管理制度体系。修订机房等IT基础设施建设指引、更新标准和运维规范,针对IT基础设施统筹管理和分布式架构转型背景下的新要求,进一步完善形成与新技术应用相适应的制度体系。

 

四是建立IT基础设施一体化运维管理模式,逐步实现全行IT基础设施统一监控和分级运维,规范运维流程和应急处置流程,统一知识库管理,构建制度健全、指标量化、反应敏捷的IT基础设施监控体系。

 

五是加强网络安全态势感知能力建设,应用数据挖掘等技术,实现对网络流量和网络实体行为的动态监测及分析,从全局视角提升对安全威胁的识别预警、理解分析、追踪处置能力。

 

六是研究敏感数据传输保护新思路。积极探索量子通信等前沿技术在金融领域内的示范应用,进一步提升金融业务数据安全保障水平。

 

5.强化IT基础设施全局协同意识

强化直属企事业单位间协同意识,促进IT基础设施资源优势互补;强化总行与分支行协同意识,建设IT基础设施信息系统,准确掌握全行整体情况,实现资源共享和精细化管理;强化开发测试运维一体化协同意识,优化IT基础设施协同管理能力;强化行业机构间协同意识,及时分享行业IT基础设施建设成果,传递行业前沿技术发展应用趋势,共享技术资源与实践经验;汇聚行业力量共同开展数据中心、云计算等IT基础设施相关技术应用创新和标准编制工作,推动形成行业共识。

 

6.加强IT基础设施管理人才队伍建设

通过针对性开展专业资质培训,提升全行IT基础设施管理队伍的理论水平与实践经验;通过建立优化考评机制,准确全面地评价科技人员技能水平、知识深度与工作态度,建立人民银行科技人才库;通过加强行业机构间的合作,引进外脑,协助技术管理创新。多措并举,建立一支熟悉先进技术与管理模式,具备专业资质的央行IT基础设施管理骨干团队。


  分享到:
360网站安全检测平台