SD-WAN融合物联网实现金融行业资产智能化管控｜证券行业专刊2·安全村

**摘 要：**资产是企业日常运营的根本。在金融企业数字化转型的当下，资产管理须通过一系列系统、科学的方法，促进资产全生命周期内绩效、风险和成本的综合最优，最终实现企业的整体战略目标，其过程如何做到智能可视至关重要。

**关键词：**物联网 金融 资产管理

===

**

一、金融行业资产管理面临的风险与挑战

**

2021年4月27日，《关键信息基础设施安全保护条例》经国务院第133次常务会议通过，自2021年9月1日起施行。2023年5月1日，《信息安全技术关键信息基础设施安全保护要求》开始正式实施。其中，关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

目前，关键信息基础设施金融企业资产数量巨大，具有种类繁多，流转快、地点分散，使用周期长等特点，传统的管理方式常常会忽略资产的这些特性，仅以账面记录为基础进行事后统计，导致经常出现“有账无物” 或“有物无账” 的问题，这就造成了实物帐和财务账的信息不对等，大幅提升了企业的实际经营成本，甚至面临“资产流失” 的法律风险。

金融企业资产管理面临的痛点主要包括：

1、账实不一致，资产报废时无法找到对应实物。

2.、资产盘点费时费力，耗费大量人力却无法得到满意结果。

3、IP类资产数量多，入网慢，影响金融业务开通效率。

4、重要资产无法做到实时位置监控和异常情况联动报警。

===

**

二、智能资产管理解决方案

**

射频识别（RFID）技术的应用，为资产管理带来了便捷性，具有如下特性：

1. 适用性：RFID技术依靠电磁波，并不需要连接双方的物理接触。这使得它能够无视尘、雾、塑料、纸张、木材以及各种障碍物建立连接，直接完成通信。

2. 高效性：RFID系统的读写速度极快，一次典型的RFID传输过程通常不到100毫秒。高频段的RFID阅读器甚至可以同时识别、读取多个标签的内容，极大地提高了信息传输效率。

3. 独一性：每个RFID标签都是独一无二的，通过RFID标签与产品的一一对应关系，可以清楚的跟踪每一件产品的后续流通情况。

4. 简易性：RFID标签结构简单，识别速率高、所需读取设备简单。尤其是随着NFC技术在智能手机上逐渐普及，每个用户的手机都将成为最简单的RFID阅读器。 

射频识别技术依据其标签的供电方式可分为无源RFID标签和有源RFID标签。

有源RFID标签识别距离较长（通常15米—30米），标签将资产信息传递给RFID读写器，RFID读写器可通过连接IP网络将数据实时传回资产管理系统。有源RFID标签的供电方式通常有外接电源和内置电池两种，外接电源的标签相对体积较大，不够便携，移动体验较差，且依赖外部电源，无法独立工作；内置电池使用寿命一般在3年—5年，寿命结束则需要进行批量更换,运维成本较高，通常用于关键性资产的管理。

无源RFID自身则无需供电，可通过手持阅读器等发出的高频/超高频的电磁波激励获取能量并完成数据的通信，且使用寿命通常在10年以上，经济实用，是一般性资产管理的首选；但无源RFID识别距离较短（通常1米-3米）,由此手持阅读器可通过WIFI联接无线AP，从而将近距离读取的资产信息通过IP网络实时远程传送回资产管理系统。资产管理系统再与财务、安防、定位等系统的联动，达到设备管理分类科学、编码规范、标识统一,真正实现“账、卡、物”相符，提高设备管理的速度和准确性，使海量的不同种类设备管理真正落到实处。

图1：RFID传感器架构

由此可见，不论是用于关键性资产的有源RFID标签还是用于一般性资产的无源RFID标签，都需要一个稳定可靠高效的IP网络提供RFID与WIFI融合接入，为了解决融合接入的问题，可采用无线物联AP的方案。该物联AP可将有源RFID的读写器以Mini PCIE插卡的形态插入到AP中，用一张物理网络提供RFID标签与WIFI终端的融合接入，并结合AP的无线网规地图，可获知到资产的位置信息，这样就避免了RFID物联专网的建设，降低了建网的成本，提升了资产管理网络开通的效率。

图2：RFID传感器区别

===

===

**

三、智能IP终端即插即用解决方案

**

金融行业随着数字化建设的推进，智能化、网联化的终端资产种类越来越多，数量越来越多，如：智能机器人，自助打印机、智慧屏、摄像头等；这类IP终端通常无专人值守，加上金融网点地理位置分散的特点，网络管理员无法做到进场为每个终端进行网络接入的配置工作，如何让这些智能化的IP终端安全高效的接入网络是提升金融业务开通效率的重要一环。

通常为这类无人值守的IP终端可泛称为IOT哑终端，采用ETH或者WIFI的方式接入网络，网络侧为了这些哑终端可采用更通用更便捷的方式入网，通常采用MAC认证的管控方式，但由此带来了两个问题：一是终端的MAC地址难采集，逐个手工抄录易出错，且需反复校对，效率低下；二是终端MAC地址易被仿冒，安全风险较大。

为解决上述的两个问题，山西证券股份有限公司（以下简称山西证券）部署了终端即插即用解决方案，如图所示：

图3：即插即用解决方案

终端即插即用解决方案基于终端智能识别引擎，在对现网业务零干扰的基础上，智能感知到所接入终端的MAC、IP、接入位置、终端类型，操作系统等多维度的信息，做到终端的可视、可控、可管，免MAC采集，管理员一键审批即可自动入网。

可视：网络智能感知终端流量特征，对已知终端采用指纹库匹配的方式，未知/新型终端采用AI聚类等方式，精确识别出终端的类别，厂商，型号，操作系统等信息。

可控：可根据终端不同的类型，OS，接入位置等信息，灵活制定终端访问网络的权限，自动开通网络，做到终端的即插即用。

可管：针对MAC易被仿冒的缺陷，网络可智能感知到终端类型的变更（如：该MAC地址对应的终端类型由打印机变成了PC），自动安全隔离，做到零仿冒，零私接，将安全风险降到最低。

===

**

四、SD-WAN多分支高效互联，高可靠传输

**

山西证券于2021年开始针对不同分支机构的规模和业务特点，构建高性价比的高速SD-WAN互联通道，在节约了大量专线成本的同时，提升了集中管理效率。其中应用级智能选路方案保障了关键业务的体验；ZTP（Zero Touch Provisioning，零接触部署）开局方案，使各分支机构无需专业人员上门，利用USB、邮件等多种方式灵活开局，实现跨区域分支机构的分钟级上线。

同时，SD-WAN方案解决了目前证券期货行业各分支机构通讯情况无法集中管理的困境，实现了通讯情况集中可视，全流程自动化管理，提升了运维效率。

在产业侧，充分验证了鲲鹏+欧拉和海思+VRP架构的稳定性，实现了SM3认证算法、SM4加密算法的双加密模式下通道的安全可靠。同时融合5G+IPv6技术重塑了证券期货业广大分支机构的广域网边缘基础设施，极大简化运维复杂度、减少故障定位时间，为分布式、跨地域的证券行业分支机构无人化运维提供了基础保障。

===

**

五、基于SD-WAN + WIFi6 + IoT技术的资产管理综合实践

**

在2021年构建高性价比的高速SD-WAN多分支互联通道的基础上，2022年山西证券将SD-WAN管控平台升级到LAN-WAN融合的一体式管控平台。该LAN-WAN融合解决方案实现了各分支机构的WIFi6无线AP与出口SD-WAN路由器的统一纳管，IOT哑终端的即插即用，RFID标签与WIFI终端的融合接入,极大提升了业务开通，网络运维的效率，降低了建网成本。并且RFID终端以及IP终端的数据传输均由SD-WAN数据隧道（SM4加密）传输到数据中心，解决了资产数据在互联网上传输的安全问题，结合AP的定位识别技术，可有效判断资产的位置，并实现资产在企业内部流转的可视化。

图4：资产盘点流程

SD-WAN+WIFI6+IoT技术彻底改变了传统方式下固定资产管理工作繁忙、手段落后、信息迟滞、沟通困难的痛点。在办公室的方寸之中就能掌控全方位设备信息，实现了设备领用、盘点、巡检、运维保障、调拨、租赁、故障快速定位,网络快速开通等敏捷功能。通过后台对数据进行客观的统计分析，为企业领导层提供决策客观依据。

===

**

六、SD-WAN+WIFI+IoT技术对金融数字化未来建设的展望

**

如今可穿戴设备、虚拟现实、物联网等技术已经悄然进入人们的生活中。借助物联网技术，智能办公模式加速形成，物联网自动化办公也逐渐成为一种趋势。当前，物联网的智能办公场景主要是会议室、休息室和办公室。通过将传感器、摄像头等监控传感设备与互联网实现高效连通，可以管理、控制办公室的多种设备，从而为员工工作提供便捷的环境。具体来讲，在办公室中，可以将窗帘、投影仪、空调等设备接入物联网系统中，在日常工作期间，员工可以根据实际需要，打开或者关闭相应的设备，以此来控制自己周围环境的温度、湿度等，有益于促进资源节约、降低能耗。

实际上将物联网技术应用于办公室后，使办公场所发生了许多变化。一方面，物联网让工作空间更加智能化。在节约能源、减少浪费、提高工作效率、个性化定制办公环境、提高工作场所安全性等方面，物联网的确起到了重要作用。另一方面，虽然物联网具有多种优势，但是其在实际落地中还存在一些问题。比如：成本问题。要想实现办公设备之间的智能连通，企业就需要安装相应的物联网设备，而这需要投入大量的资金。购买昂贵的物联网设备会成为一种负担。与此同时，接入物联网设备后，还会引发企业对于隐私数据是否安全的担忧。在当前隐私数据泄露事件频发的背景下，连入物联网后，是否会对企业的数据安全造成威胁，是需要重点考虑的问题。此外，物联网对稳定的电源和WiFi连接极度依赖，这就要求企业必须有比较完善的硬件设施和网络连接平台。只有具有稳定的运行环境，物联网设备才能及时准确的收集信息数据，并为管理人员进行相关决策时提供可以信赖的参考依据。

目前，在SD-WAN+WIFi+IoT技术的推动下，高效化、智能化、自动化办公模式将加速形成，企业员工将进一步感受到科技给商业办公带来的便利。值得注意的是，为更好的服务企业，应该及时制定包括隐私政策在内的制度和规范。在实际操作过程中可以通过SD-WAN+WIFi+IoT建立可靠和安全的网络基础设施。与此同时，只允许授权的物联网设备在办公室使用（如Mac地址绑定）、对员工进行适当的培训等措施，都可以促进智慧办公的高效运用，从而兼顾科技应用和网络安全。

SD-WAN+WIFi+IOT的融合方案是山西证券在信创化道路上摸索出来的一套行之有效的资产综合管理解决办法。但该办法并不是唯一的，在解决互联网通道安全性的基础上，放置在互联网端的台账也可通过APP加密、区块链等技术来实现资产数据的安全性、保密性与完整性。这里也期待业内的各位同仁各抒己见，融合思想，并肩创新，找到符合金融行业各自实际情况的解决方案。

作者介绍

王建国&徐渊&崔潇敏，山证安全团队在历年山西省攻防演习中分别担任防守方、攻击方和裁判员，获得最佳防守个人和最佳防守团队等多项荣誉，在常态化应对和处置网络安全事件中积累了宝贵的实战经验，期待与各位专家在《安全村》纵论网络安全技术，共同进步。

关于 安全村文集·证券行业专刊

证券行业自身低时延的业务要求以及业务中断的敏感性给安全防护带来了很大的挑战。专刊汇集了证券基金期货行业网络安全防护的最新经验、成果和解决方案，为大家分享一线安全规划、运营、建设的心得和实践经验。

关于 安全村

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。

投稿邮箱：info@sec-un.org