建设网络强国,是国家主席习近平同志提出的宏伟战略目标。要有效实现这一目标,离不开坚实有效的制度保障,正是在此背景下,全国人大于今年7月6日公布了《中华人民共和国网络安全法(草案)》,预示着建设网络强国的制度保障正在努力迈出坚实的一步。
伴随着互联网技术的发展,如何保障彩票运营的日常安全,近日,国家体彩中心副主任李志全接受了《国家彩票》杂志的独家专访,就彩票技术系统安全等问题作出了回应。
牢牢把握安全底线
《国家彩票》:7月6日《中华人民共和国网络安全法(草案)》出台。那么在技术系统安全方面,国家体彩中心做了哪些努力?
李志全: 这些年,我们牢牢把握安全底线,持续提升技术系统安全运营管理水平。
技术系统的安全需要建立结构化的保障框架,既要有统一的安全目标,也要有明确的管理策略和配套的技术手段以及支持工具,还要有强有力的专业团队和行之有效的管理流程。
我们制定了“合规性、业务连续性、数据保密性、完整性、软件可信性和责任可追溯”的体育彩票信息安全的6大目标,这6大目标最终是为诚信公示的总目标服务,是为向公众传递体育彩票机构在体育彩票销售过程中遵循国家相关法规,全面落实“公开、公平、公正和诚实信用”的努力结果。
管理策略方面,结合体育彩票管理组织架构特点,总体上采取统一管理与分级负责相结合的原则,目前已构建了信息安全谁主管谁负责、谁建设谁负责、谁使用谁负责的多层责任体系。
近些年来,国家在信息安全方面出台的法律法规的标准指南也为体育彩票丰富信息安全控制策略提供了有利的依据,在此基础上,建立了覆盖系统开发、运行维护、关键设备使用等环节的制度体系。
技术手段方面,将技术系统划分为应用层、系统层和信息安全基础层三个层级,根据每个层级的不同功能特点采取有针对性的技术保障措施,例如在应用层引入PKI,对每张售出的彩票进行签名,签名受《电子签名法》保护,大大降低了彩票销售环节的行为抵赖和数据篡改风险,又如在信息安全基础层通过部署防火墙和入侵检测设备等加强系统攻击防护能力,同时,定期对技术系统实施漏洞扫描和渗透性测试,及时发现并解决技术系统存在的安全隐患。
安全管理支撑工具方面,部署统一的权限管理和控制系统实现职责分割、授权操作、行为全过程监控,规范内部人员行为;组织建设方面,建立了包含决策机构、管理机构和执行机构在内的3层信息安全组织结构,形成授权、报告、支持、监督工作机制,信息安全专业人员的数量也在逐年扩充。
管理流程方面,我们参考信息安全领域的最佳实践标准ISO27001,加强风险管理,注重事前预防、事中监控和快速响应相结合,以防范业务风险为导向规范了策略发布、执行、过程监督和结果审计的闭环管理流程,并依托监督审计结果对安全控制策略进行适时更新,确保能够持续提升整体安全管理水平。
管理模式优势明显
《国家彩票》:体育彩票坚持全国大集中管理,这种管理模式有哪些优势?
李志全:其优势主要体现在以下几个方面:
1.提高业务管理的效率和准确性。技术系统的集中实现了销售数据的实时汇总,数据又是市场最真实和直接的反映,根据分析结果能够及时采取必要的管理手段对市场进行规范和引导,其效果又可以第一时间通过数据分析来评价,进而不断调整和优化,实现业务管理的良性循环。
2.缩短产品上线周期。技术系统集中后,游戏产品经过集中开发测试,统一在集中管理的后台系统进行部署和配置,就可以实现全国同步上线,避免了同一款游戏产品分省或分区域开发带来的标准不一、资源浪费、质量和时间无法保障等问题。
3.相比分散部署的系统更加安全。技术系统的集中统一部署最大限度的减少和管控了系统的接入点,具备更高的安全性。
4.具有更高的可用性。技术系统的集中为高可用设计提供了基础,能够充分利用包括负载均衡,集群等高可用技术,实现无单点故障设计,可以按照应用软件、系统、网络、安全、基础设施等类别对系统进行划分,根据运行人员的专业和技术能力设置1线到3线的支持团队,便于实现统一监控,统一运行和统一管理,也带来了更好的应急响应能力。
5.降低整体运营成本。技术系统集中后,无论是IT资源还是人力资源,都实现了集中调度,共享使用,提升了资源的利用效率。相对于分散系统,降低了机房空间、物理设备的投资,节省了运维工作中的监控、部署、维保和人力成本。
体彩技术系统集中管理优势
自1998年体育彩票正式开始全国电脑彩票的发行销售至今,18年来,伴随中国体育彩票的快速发展,体彩技术领域建设从零起步,打造了自主知识产权全国集中统一的大型实时在线交易管理平台——
①支持7*24小时运营和超过20万台销售终端接入;
②全面覆盖概率、竞猜、即开三大彩票品种,满足数百个彩票游戏的发行和销售管理,有效支撑数千亿元销量的体彩市场;
③建成占地面积超过万余平米的国家A级智能化数据中心,实现了对物理设备和软件系统安全、高效的集中式管理,基本形成掌控核心关键价值,兼顾整合与开放,面向服务化、产业化转型,满足业务管理可持续发展需要的安全、先进、高效、灵活的信息化架构;
④建立了关键的技术管控机制,补充完善了重要管理流程,核心技术系统连续3年可用性达到99.95%以上的水平;
18年来,通过不断积累,体育彩票培养了近千人的专业化技术团队,保障了技术系统安全稳定运行和不断优化、改进、创新。
《国家彩票》:如何确保体育彩票核心技术系统和关键数据可管可控?
李志全:我们认为体育彩票技术系统需要作为业务和管理活动开展的重要支撑,需要掌握核心的管理权和控制权,做到业务可管、交易可控、渠道可拓展。
因此我们一直坚持核心技术平台和游戏自主研发,通过核心技术平台的建设,提供基础性公共服务,充分发挥统一管理和统一监管职能。当然,相比较发达国家的成熟彩票市场,体育彩票在游戏产品、渠道建设、购彩者服务、业务运营管理等方面还有相当的差距,特别是一些能够符合市场需求的游戏,国内也属于空白,还需要通过引进为发展提供持续动力。
在引进的过程中我们坚持“引进、消化、吸收和再创造”的原则,注重本地化改造和吸收再创新,牢牢掌握合作过程中的主动权和话语权。
目前,体育彩票自主研发的核心技术系统已被列为国家级重要信息系统,按照等级保护3级系统的要求开展建设和保障。负责技术服务的公司分别通过了ISO9000、ISO27001、WLA-SCS等国际主流的质量安全和行业认证。
《国家彩票》:如何确保技术系统建设和运行质量?
李志全:技术系统的建设和运行是智慧密集型工作,需要在不同阶段采取严格的流程管控措施才能确保其质量。
目前体育彩票在软件开发的成熟度已达到CMMI3级的水平,在需求开发、系统设计、系统实现、测试验证、部署上线等不同阶段,均提出明确的质量和安全要求,同时内外部独立的测试团队和代码审计人员在开发过程的不同阶段介入对软件产品进行相关测试。
技术系统上线前,还会聘请专业的第三方团队,对软件功能、性能和安全性进行全面检测,最大限度降低质量和安全缺陷。
技术系统上线运行后,技术运行团队参考ITIL等国际最佳实践标准进行组织结构和运行流程设计,技术服务管理也通过了ISO20000标准认证。
体彩技术系统发展历程
体育彩票技术系统建设在过去的18年里取得了显著成效,走完了一些行业30年的信息化发展过程,回顾其发展历程,大致可以划分为三个阶段。
第一阶段是起步积累—半热线系统 (1998年—2004年)。
1998年,电脑体育彩票半热线系统在江苏省试点成功后,于2002年完成了对全国31个省区市的全部覆盖,标志着体育彩票正式依托信息技术手段开始了全国体育彩票的统一发行销售。
综合当时的网络基础设施建设条件和技术发展水平,半热线系统采取的是分时在线模式,这种模式下,销售终端不能实时上传销售数据,只有在销售截止后把每一台销售终端数据逐一导出上传,才能实现全国销售数据的归集封存。
第二阶段是稳中求进—全热线系统区域中心模式(2005年—2013年)。
半热线系统的技术特点从长远来看对体育彩票业务的支撑能力有限,2004年3月国家体育总局于批准了我中心电脑体育彩票全热线系统建设方案,指出“全热线系统是关系体彩安全、效率的重要技术支持,要以最快速度,在最大范围内实现全热线系统的建设”。
2005年至2006年相继完成了天津、武汉、广州、成都4个区域中心和国家数据中心的建设以及全国范围系统软件的迁移工作,标志着全热线系统正式取代半热线系统开始服务于全国体育彩票发行销售业务。
全热线系统参考当时比较成熟的技术架构,设计上采取4+2模式,即4个区域数据中心+1个主数据中心和1个数据备份中心。其中全国31个省区市按地域原则分别接入4个区域中心,区域中心负责实时处理接入省区市的彩票交易业务,主数据中心负责集中归集4个区域中心的销售数据和执行开奖计奖业务。
第三阶段是创新发展—全热线系统两地三中心模式(2013年至今)。
十二五以来,体育彩票发行销售规模迈上新的台阶,业务开展对技术系统的依赖也越来越高,一方面要求技术系统能够提供持续不间断的服务支撑销售业务开展,另一方面要求技术系统能够更加快速的响应业务拓展需求。
因此从2010年开始,体彩按照中长期规划,陆续启动了以“两地三中心”总体架构为基础的国家主中心、二代系统等建设工作。
“两地三中心”模式是将大型数据中心作为承载体育彩票业务的重要基础设施,数据中心在建设上采取1个主数据中心,1个同城备份中心和1个异地灾备中心,集中提供更加安全和高效的技术服务,保障业务的持续运行。
2013年底,天津、武汉、广州、成都4个区域中心完成切换,正式并入了按照国家A级标准建设的智能化新一代国家主数据中心,标志着体育彩票实现了应用和数据的双集中管理,此模式下不仅能够更好的发挥集中优势,也能够更快速、灵活的响应业务的变化和需求。
评论正在加载...