项目背景

兴业银行一体化智能运维平台是将兴业银行福州中山机房、马江机房、上海张江机房及各分行的主机、服务器和网络等各种生产设备以及各地运维人力资源纳入到统一的运维平台来管理，以提高全行运行维护的的可靠性和安全性的实践。

 该平台的建设完善了兴业银行完整的运维授权访问控制体系，实现运维人员身份认证、运维操作和访问控制、设备密码的统一管理，实现了集中的用户访问痕迹跟踪和审计。与运维审批系统有效集成，全面加强了运维操作的事前授权，事中监控，事后审计，进一步降低了生产系统的运维操作风险，实现兴业银行全行运维人力资源统一调度，实现跨区域、跨机房维护，提高了运维工作效率，保障了全行各信息系统安全、稳定、高效运行。 

商业银行一体化智能运维平台主要特点

（一）集中运维操作及监控，提升风险规避能力

通过构建面向各种生产系统（包括网络设备）的统一运维操作控制管理平台，将目前操作者离散的直接面对设备进行各种日常操作的运维模式转变为操作者通过统一的运维操作控制管理平台来进行操作，弥补传统的网管监控系统重“监”轻“控”的不足，加强IT运维中的控制力。

通过对所有操作的记录和审计的自动化提升管理人员对操作者和整个系统的控制和监管能力。同时，实现配置规范、安全规范的自动化合规审计，确保配置规范的严肃性和有效性，从而将合规审计从突击性的文档整理转变为对运维真正有实际监督和提升作用的重要工作。

（二）将运维管理模式从分散式向集约式升级

通过统一授权，统一实名身份管理，从流程自动化的角度入手，将兴业银行运维中的各项工作都制作成可重复利用的自动化模板和工作流，并整合工作流中会涉及到的各种IT运维系统，实现大量日常运维工作全流程的自动化，为复杂的变更和运维工作提供统一标准的调度，从而可以保证任何 IT 流程都不会偏离已确立的流程标准。

（三）建立总分行一体化的带外网运维网络

搭建了总分行一体化的带外网运维网络，在商业银行一体化智能运维平台与各个地域机房生产设备建立VPN隧道，确保了运维操作数据流在广域网传输中的安全、保密及完整地传输，实现了运维操作数据流与业务数据流的分离，为商业银行一体化智能运维平台的全行集中部署提供了网络安全保障。

（四）加强运维安全，提高运维效率

商业银行一体化智能运维平台通过统一的账号管理，实现对所有主机、数据库、网络设备上相关账号的维护和管理，实现口令的自动更新与维护，改变现有口令双人分段管理与每季度定期修改口令的密码管理模式，提高风险防范水平。

通过统一的身份认证与统一的授权访问控制，控制用户的操作权限和资源，根据资源域、资源组和角色（用户组），实现对用户的授权和访问控制功能，以控制用户访问系统的范围和权限。根据操作的内容可以将操作行为划分成不同的安全级别，不同的操作人员有不同的安全级别。当操作人员执行超过自身允许的安全级别的操作时则需要授权管理人员的审批。通过商业银行一体化智能运维平台，加强运维操作的访问控制，提高运维操作的安全性，降低运维风险。

（五）完善运维审计

在商业银行一体化智能运维平台建设之前，数据中心的运维操作行为未实现痕迹化管理，且不能实现实时监控，误操作难于发现，事后审计和及时跟踪尚缺乏有效手段，同时在安全控制上也存在一些薄弱环节，难以适应本行今后的运维管理模式和不断变化的安全需求。

商业银行一体化智能运维平台通过统一的会话管理，统一的监控和回放机制，统一的审计与报表管理，记录所有的运维操作时间与行为，标识执行操作的时间戳与自然人，并可以实时监控当前的活动会话，同时可根据一定的查询条件对历史会话信息进行信息视图构建，选取一个或多个历史会话进行操作回放，以浏览某操作员在某会话中的具体操作过程。实现运维操作可审计，使信息科技部全面加强运维操作的事前授权、事中监控、事后审计。

（六）运维人力资源的统一调度

目前数据中心的运维人员分布在福州中山机房、马江机房、上海张江机房、江宁路机房、成都机房，运维人员中有区域专业支持团队，有主要负责系统、网络管理及环境保障的团队，有负责软件维护、运行分析及热线服务的团队，有场地维护及数据管理的团队等等，这导致各个区域间运维水平不均衡，运维人员操作分散，存在短板效应，运维人力资源无法共享。

为了打破运维地域限制，通过商业银行一体化智能运维平台建设，将福州中山机房、马江机房、上海张江机房、江宁路机房、成都机房及各分行的主机、服务器和网络设备纳入统一的管理，并通过统一的身份管理、资源管理、帐户管理、身份认证与授权访问控制，实现全行运维人力资源统一调度，实现跨区域、跨机房维护，提高运维工作效率，保障全行各信息系统安全、稳定、高效运行。实现运维横向一体化和纵向一体化,实现总行、分行运维单位间的协同一体化，数据中心内部跨地域运维单位之间、不同运维专业团队之间的协同工作，实现运维资源的统一调度，实现高品质、低成本、易扩展的新一代数据中心运维管理体系。

依托商业银行一体化智能运维平台，兴业银行实现了对生产系统运维操作的有效管理及监控，实现经济与社会效益协调发展。通过该平台建设，实现全行运维人力资源统一调度，实现跨区域、跨机房维护，同时优化兴业银行内部的运维操作流程，使得系统运维人员的工作更加便捷和高效，节约运维人力资源，降低运维操作风险，保障全行各信息系统安全、稳定、高效运行，有力支撑了兴业银行的业务扩展。

从直接效益方面来讲，商业银行一体化智能运维平台的上线使用，实现了兴业银行全行运维人力资源的统一管理与调度，通过平台实现了跨地域跨机房对系统的运维支持，同时实现了运维人力资源及运维知识的全行共享，极大节省了兴业银行的人力、物力成本。商业银行一体化智能运维平台实现了运维操作的单点登录，对大量生产设备的账户口令实现了自动化的定期更新，简化了工作流程，在提高工作效率的同时，直接减少了日常运维过程中大量繁琐的登录及密码定期修改工作。

从间接效益方面看，商业银行一体化智能运维平台实现对全行生产运维操作的集中授权与统一管理，实现生产运维的双人授权控制，并对运维操作实现了痕迹化管理，支持运维操作的实时监控及操作日志的回放审计，大大提高了信息安全管理水平，降低潜在的运维操作风险所可能导致的损失，保障全行生产系统的安全、稳定运行，获得兴业银行信息科技部门的充分肯定和一致好评。总行数据中心也因此屡次获得兴业银行信息安全工作先进单位表彰。

从社会效益方面看，商业银行一体化智能运维平台投产至今，兴业银行通过该平台建设，逐步建立完整的运维授权访问控制体系，通过与运维审批流程的有效整合，实现运维人员身份认证、运维操作和访问控制、设备密码的统一管理，实现集中的用户访问痕迹跟踪和审计，同时全面加强运维操作的事前授权、事中监控、事后审计，进一步降低本行生产系统的运维操作风险，实现全行运维人力资源统一调度，实现跨区域、跨机房维护，提高运维工作效率，保障本行各信息系统安全、稳定、高效运行，进而为本行更好的为客户提供优质金融服务，履行金融企业社会责任提供关键保障。