案例一
南海农信:安全治理
广东南海农村信用联社(简称南海农信)已经在内部建立了人事系统、OA(办公自动化)、内部DSS系统及报表系统,并将逐步建立网上银行等多种应用。这些内部应用逐渐增多后浮现以下问题:
1.各个系统中的用户独立存在,难以实现用户账号的整合,达到统一治理;用户需要记住大量的密码;
2.没有统一的应用访问入口,需要记住大量的URL和用户名及密码;
3.系统应用的安全性需要提高。由于考虑到安全性的问题,还无法将现有的内部应用放到Internet上,以实现员工移动办公的需要。南海农信希望能与现有应用实现无缝的结合,不需要对现有的应用做修改。
南海农信选择时考虑的基本原则是:高可靠性、安全性和可扩展性。最后选择的是Novell的单点登录及安全身份治理系统,以Novell eDirectory目录为基础,构建员工身份库,通过构建用户中心身份库,集成OA、DSS等应用中的用户,实现用户账号在各系统间的实时同步。采用基于反向代理架构的iChain连接各个系统应用。当用户登录时,首先连接到代理服务器iChain,由iChain的认证服务将用户的账号向中心身份库进行验证。通过验证的用户,即可获得对内部应用的访问列表。再通过iChain将用户的请求指向他所需要的应用。
在此基础上利用元目录技术, 实现将原有采用“非目录化”的应用系统与现有员工中心身份库进行自动的双向交互。该方案可以在不改变现有系统的框架基础上进行实施,利用这样的方案实现身份库与现有应用系统的无缝结合。利用元目录技术,采用自动化处理方式代替原有系统中账号由IT治理人员手工操作的方式。
统一的员工身份库就如同网络中的Hub,它一方面作为IT平台中内部员工的统一身份资料库,另一方面还可负责与已有系统中的身份信息实现同步。比如,人事部门录用一个新的员工,在人事系统中添加一个新的用户账号时,系统将根据IT部门所定制的业务规则,在身份库中创建用户信息,同时根据规则更新到相关子系统中。比如,在 OA和DSS中自动创建账号。这些操作只需要业务部门之间的授权治理即可,无需IT人员的参与。
同时,这种信息的同步是双向的。假如在一个应用程序中的数据发生了变化,利用xml技术和一定的转换规则,将信息传递到中心身份库中。然后,再把这些数据传递给与这些数据相关的其他应用程序或目录服务中。
通过实施这一项目,南海农信在以下几个方面获得了收益:首先,大大增强内部系统的安全性;其次,实现了内部员工在各个系统间的整合,实现了系统治理自动化、策略化;再次,实现了内部应用系统的单点登录,用户无需记住大量的内部应用的URL及用户名、密码;最后,大大降低了IT系统维护人员的工作量。
“我们在成功应用了身份整合及单点登录解决方案后,内部应用的安全问题得到极大改善,并解决了一直困扰用户需要记住太多的用户名/密码问题,减少了IT系统的维护工作量。整个系统从上线试运行以来运行都很稳定。”南海农信计算机中心IT经理王尚辉说。
案例二
陕西建行:成功迁移
2004年,陕西建行用中标普华Linux操作系统替代在前台业务和前置服务器上的Unix操作系统。在近两年的攻关开发和实施中,开发小组碰到的各种技术难题足有2000多个,归纳起来主要包括以下几个方面的问题:
第一,银行大量应用程序移植到Linux平台后的运行问题。从SCO Unix系统移植到中标Linux的应用程序包括:原城综网系统的网点前端处理子系统(储蓄、会计、信用卡、出纳、支付密码、综合柜员、证券、基金、代理财政等)、原城综网系统的业务前置处理子系统(外汇买卖)、原城综网系统的后台处理子系统(会计后台、信用卡后台)、原城综网系统的中间业务平台、DCC核心业务前端部分、DCC中间业务平台、省行特色业务主机部分、省行特色业务前端部分。
第二,将SCO Unix替换为Linux系统,需要在Linux系统上进行数据库和中间件等支撑软件的移植,并解决应用程序与这些支撑软件及后台主机通信的无缝集成问题,形成完善的解决方案。
第三,将国产服务器操作系统、国产服务器及网络设备等应用到银行核心业务系统,需要解决数据库、中间件等系统软硬件的集成问题,解决大量应用程序的移植开发和系统运行等问题。
第四,解决在安装Linux系统的储蓄前台系统Client端和通信前置机Server端采用Tuxedo的版本问题。
第五,在Linux系统上对Informix SE 7.2的开发版本进行大量的测试,保证移植系统的正常运行。
第六,解决由于中标Linux系统使用GCC-C++-3.2-7高版本编译器和Glibc-Devel-2.2.90-24最新版开发库所带来的问题。
第七,重新开发了对AHA金融开发平台中无法移植的静态和动态数据库。
第八,完成银行专用设备和部分通用设备驱动程序的开发和移植工作。
第九,完成数据集中前端开发平台(ACE)基于Linux平台软件的移植工作。
第十,完成Linux系统安全性、稳定性和容错性方面的研究。
这个基于陕西建行原城综网系统投入使用Linux整体解决方案的项目,已经成为金融领域Linux应用的示范平台。
案例三
人民银行:网间互联
中国人民银行是中华人民共和国的中心银行,是在国务院领导下制定和实施货币政策、对金融业实施监督治理的宏观调控部门。中国人民银行总行下设两个营业治理部、9个分行、326个中心支行、1827个县(市)支行。这些下属行的主要职责是按照总行的授权,主要负责本辖区的金融监管。
“金融业网间互联平台建设及应用”是国家金融科技攻关项目。金融业网间互联综合前置系统是此项目的一个重要组成部分,用于商业银行接入人行系统的渠道,为商业银行和人行系统提供接入渠道和平台。前置系统担负着数据格式转换、连接治理、业务流治理、外围调度、外围处理,并把业务数据交后台应用服务系统处理等任务。
由于金融行业网间互联应用的复杂性,综合前置系统采用开放式的系统结构,要求具有良好的安全性、兼容性、扩展性和可维护性。在评估了众多Linux厂商后,中国人民银行选择了 Novell的SUSE LINUX EnterPRise Server 9.0(SLES9)系统,因为它通过yast2使安装、配置、治理、升级变得轻易。
“SLES9的自动安装功能真是太好了。”负责项目的系统集成商经理说:“66台服务器我们只用了一天的时间安装配置便完成了。假如没有autoyast的功能,通常至少需要一周的时间。”
网间互联综合前置系统项目负责人、中国人民银行金融电子化公司的项目负责人方敏说:“综合前置系统选择SLES9,我们不止是看到它的安全性和有众多厂商的支持,我们还考虑到其具有ZENworks Linux Manager集中治理方案, 在项目后续的建设中可以用来分发系统及前置应用程序的软件,可以有效节约我们维护费用。”
由于采用内置的yast程序进行系统集中的远程治理维护,有效降低了人民银行的治理成本。同时,通过使用ZLM为人行今后的应用扩容提供了很好的软件分发手段,节约维护成本。SLES9内置的高可用性集群支持,提高系统的容错性,节约了购置附加程序的成本。
方敏说:“采用Linux系统加快了我们整个系统的布置时间,厂商给我们提供了很大的支持帮助。通过这次合作,我们也增强了使用Linux的信心。”
新闻热点
疑难解答