作者:郑州银行信息科技部副总经理 孟亚丽
在金融行业数字化转型加速与信息技术自主可控政策深化的双重驱动下,传统DNS系统面临核心软硬件依赖国外厂家、智能解析能力不足、域名解析服务可视化薄弱及域名安全等关键挑战。为响应国家金融基础设施安全战略,郑州银行建设了基于全业务场景的智能域名解析服务平台,以标准化域名管理规则与动态化配置基线为技术抓手,构建覆盖全业务场景的下一代域名服务体系,支撑银行业务创新与合规发展需求。
平台构建:铸造稳健弹性底座
基于全业务场景的智能域名解析服务平台采用分布式架构,基于软件定义网络的思想,平台总体设计基于信创技术栈构建底层环境,确保平台自主可控,采用管理平面与服务平面分离设计,服务平台专注域名解析、流量调度功能,管理平面负责集群、非功能性要求与功能配置下发等工作。双平面设计降低了非功能等要求对服务平面的影响,最大程度保证服务连续性。
平台服务平面采用模块化松耦合设计,基于M/S(Master-Slave)技术框架进行延展,按需配置全局流量调度(GSLB)模块、外部域名转发(Forward)模块、用户接入(Local)模块、互联网权威(NS)模块、移动设备管理(MDC)模块、安全与可视化模块,组建一套完整智能域名解析服务平台,能够进行资源弹性调度与故障隔离,保障高并发场景下系统稳定运行,解决业务应用解析场景复杂、定制化要求高等实际难题,实现域名解析“进得来、出得去、管得住”,域名运维“看得见、看得清、管得住、能预测”的效果。
核心能力:多维度创新,夯实域名服务中枢定位
1. 智能算法,精准解析,提升用户体验
全局流量调度模块是智能域名解析服务平台的核心组件,传统的域名解析方式在面对当今多样化、复杂化的网络环境时,原有的解析方式已经无法适应复杂的业务场景。海量的域名请求、多变的用户场景以及复杂的业务需求,使得传统域名解析方式在解析速度、可靠性以及智能调度等方面捉襟见肘,不仅影响了日常用户体验,而且在金融业信息系统业务连续性和稳定性方面存在潜在的运行风险。
郑州银行通过构建基于全业务场景的智能域名解析服务平台,来应对海量的域名请求和多变的用户场景。该平台融合人工智能、大数据分析、智能域名解析、智能调度等多种技术和算法,通过智能化、高效化域名解析处理,实现了不同场景下的域名解析服务请求。通过精准识别用户场景、动态调整解析策略,全业务场景的智能域名解析服务平台能够显著提升域名解析速度,增强解析稳定性。平台进一步优化智能解析算法和动态调度机制,通过感知业务系统、网络健康状态、负载情况,配合丰富的调度算法,满足多数据中心、混合云场景下的主备快速切换、业务多活、智能流量调度等业务冗灾需求,大幅缩短RTO时间,提高业务连续性保障能力。
当前平台服务已在行内进行规模化部署与推广,包含3大业务访问场景(面向用户访问场景、系统间互访、系统内部应用间互访),为数据中心业务应用、互联网公众用户、总行办公用户、分支机构用户,提供域名智能解析服务,提高业务连续性保障能力,优化访问体验。
2. 安全提升,多维度DNS域名安全防护
DNS作为业务办理的“数字导航系统”,负责将域名转换为IP地址,是网络通信的核心基础设施,但其安全风险长期突出。这源于其设计之初未充分考量安全,依赖UDP协议的明文传输特性缺乏加密与身份认证机制,安全扩展部署率偏低,导致系统存在先天脆弱性。当前,DNS已成为网络攻击的重点目标,常见威胁包括DNS欺骗、缓存污染、放大攻击、隧道攻击等。攻击者可通过篡改解析记录诱骗用户访问恶意网站、窃取敏感数据,或利用DNS特性发起DDoS攻击导致服务瘫痪,还能通过DNS隧道隐蔽传输数据、实现远程控制。这些攻击不仅会造成数据泄露、财务损失、系统停机等直接危害,还可能损害银行声誉、引发合规风险,对个人隐私与关键信息基础设施安全构成严重威胁。
基于全业务场景的智能域名解析服务平台采用多种安全机制,组建DNS安全防护能力。平台内置数据加密、访问控制,确保数据在传输和存储过程中的安全性,在域名解析协议层面平台基于“协议级+业务级”多种机制,防御针对DNS或利用DNS进行的网络安全攻击,通过深度DNS流量行为分析和威胁情报恶意域名匹配,规避开源软件和Windows DNS存在的安全短板。同时,平台内置安全检测和预警功能,能够实时监测并有效应对潜在的网络威胁和攻击。通过建立多层级域名安全防护体系,完善安全加固措施,满足系统安全性要求,保障平台系统与用户业务安全。
3. 高速日志,实现域名解析可视化
传统平台基于SNMP/SYSLOG等方式记录域名访问情况,无法直观、实时观测。郑州银行本次搭建智能域名解析服务平台解决传统可视化瓶颈,同步展示域名解析详细情况。
郑州银行基于全业务场景的智能域名解析服务平台具备数据统计和分析功能,可以对DNS解析过程中的数据进行收集、整理和分析。这有助于了解网络流量的分布、解析效率的变化等情况,为优化网络性能和提升服务质量提供数据支持。同时,通过数据分析,还可以发现潜在的业务机会和风险点,为决策提供参考依据。
基于全业务场景的智能域名解析服务平台,具备多维度、多层次、实时展示域名解析能力,数据中心、总行及分支行办公用户,每月产生68亿次以上的域名解析请求,平台绘制“域名地图”自动接收各模块组件高速日志,通过对传输日志的格式化转换与解析,同步展示结果。通过实时展示的可视化界面,支持域名状态、访问流量、安全事件等多维度可视化展示,提升运维管理效率,实现业务系统域名“看得见、看得清、管得住、能预测”的效果。
4. 灵活定制,平台持续升级
考虑到自身的个性化需求,郑州银行基于全业务场景的智能域名解析服务平台提供了灵活定制和扩展的功能,可以根据自己的业务特点和网络环境,对平台进行定制化配置和开发,以满足特定的解析需求。此外,平台还具有良好的扩展性,可以随着业务的发展而不断升级和扩展。
行业价值:先行先试,积累经验
基于全业务场景的智能域名解析服务平台以提升域名服务体系能力为目标,旨在构建高可靠、高安全的智能域名解析服务,通过架构革新、规则标准化、技术适配与安全加固,全面提升域名服务能力,支撑全场景业务敏捷发展与用户体验优化。截至2024年底,平台已为全行6000余台办公终端、1600余台自助设备及178套业务系统提供服务,月均解析请求超68亿次。
平台建设积极响应国家基础设施自主可控号召,在河南省内“先试先行”,率先完成全场景业务域名化改造,不仅打破了国外技术垄断,增强了国内信息技术产业竞争力,还为同业域名化改造提供了宝贵的实践经验。未来,郑州银行将借助人工智能、大数据等金融科技手段,持续完善平台功能,优化平台能力,进一步提升服务效率与安全性,推动金融行业数字化转型,助力国家信息技术产业竞争力提升。
结语
“业技融合,提升体验”,全业务场景的智能域名解析服务平台将持续融合金融科技新技术,不断提升其智能化水平和业务访问能力,更好地适应复杂多变的网络环境,为用户提供更加个性化、定制化的域名解析服务。同时,智能域名解析服务平台未来将逐步加强与其他网络服务的集成与协同,构建更加完善、高效的网络服务体系,实现郑州银行“对外客户体验第一,对内效率第一”的运营目标,打造服务智能、流程高效、运营安全的数智化金融服务体系,为建设一流城商行而不断迈进。
(本文刊发于《金融电子化》2025年10月下半月刊)