金融机构内网远程运维如何开展?
贝锐 | 2024-10-15
银行等金融机构的业务往往呈现树状分布,由总部和下辖分支机构组成整个业务网络,同时总部和地方上的分支又有很强的业务交互需求。在这一背景下,传统的线下运维方式时效性不佳且效率低下的缺陷被放大,很多金融机构就会选择引入远程控制作为远程技术支持的可靠手段。
同时,出于安全考虑,金融机构的信息系统往往构建在专网中,无论是总部还是分支机构的设备都不会与外网直接连接,金融机构内部也需要对关键系统进行分级管理和权限划分,以保证敏感数据的保密性和完整性。
上述种种需求,可部署在内网环境,更加安全可控的私有化部署方案显然是更合理的选择。
案例分享:潍坊农商银行引入向日葵私有化部署,构建分组管理内网远程IT管理体系。
潍坊农商银行下辖110余个分支网点,分支网点与总部的设备以及数字化系统均处于专网环境,其日常运维与相关技术支持工作由总行的信息科承担。
由于是地方区域性质的金融机构,潍坊农商银行早期在构建IT运维管理体系时采用了传统的电话/工单+外派IT工程师现场运维的方式,但随着银行系统数字化程度的不断提升,传统线下运维所能提供的支持逐渐捉襟见肘,于是潍坊农商银行与贝锐向日葵开展合作,引入向日葵私有化部署方案,通过远程控制的方式解决分支机构日常IT运维和技术支持需求。
方案需求与部署:客户端云策略功能巧妙解决分组管理需求
之所以选择向日葵方案,主要由于潍坊农商银行在管理和安全方面的诉求。
方案部署层面,潍坊农商行将向日葵服务部署至专网环境,总部信息科的特定设备安装主控端,分支机构设备安装定制化的客户端软件,主控双方均为Windows系统环境。
为了满足相关IT管理规章制度,该农商行需要对不同地区范围内的分支机构设备进行相对独立的“网格化”管理,具体的实现方式为信息科经理直接掌握超管帐号,向下级具体的IT运维工程师帐号授权对应设备,同时对能够发起远控的主控端权限也进行管理,远控指定区域的设备,只能通过指定的主控端电脑发起,形成“一主控一区域”的网格化管理模式。
在这一模式下,当远控需求产生,一线分支机构人员通过电话或者工单告知总部信息科,之后IT工程师通过操作位于本部的指定主控设备,通过设备列表方式直接发起远程控制,开展运维和技术支持工作。
核心功能价值:围绕管理与安全展开
实现上述管理策略的具体方式,则是巧妙应用了贝锐向日葵近期推出的企业版新功能“客户端云策略”,该功能支持在云端修改客户端定制包的权限策略,设置更改无需重新覆盖安装客户端软件。
潍坊农商银行信息科通过“云策略”功能,对客户端的“IP地址过滤”功能进行配置,使之指向对应主控设备的独立IP地址,从而实现上文所述“一主控一区域”的网格化运维管理体系。
该“网格化”的运维管理体系在安全层面进行了双重管控,首先是在被控设备授权方面进行了分组管理与授权,同时还对主控端的IP地址进行限制,双重安全管控塑造了更高的运维安全等级。
(参考图)
此外,该银行还非常重视向日葵的其他安全功能搭载,充分对【黑白名单】、【明暗水印策略】等功能进行了应用,全方位的保障了内部的信息安全。
总结:
金融机构的数字化系统普遍处于内网环境,之所以大多数情况下不直接使用Windows自带的远程桌面,原因往往在于对安全性和管理的进阶需求,潍坊农商银行与向日葵合作的案例就是其中的典型。
此外,从这个案例,我们还能进一步了解到,向日葵耕耘B端市场多年,积累的产品功能所发挥的具体作用,它们既可能在非常常规但不可或缺的发挥作用,也可以应对一些细分的场景,面向个性化的需求产生意想不到的优秀效果,我们希望这些例子能够帮助更多的企业了解远程控制这一技术,同时了解自身需要何种专业的远控方案。