標(biāo)題:實(shí)戰(zhàn)丨推進(jìn)全行集約化運(yùn)維,賦能業(yè)務(wù)數(shù)字化轉(zhuǎn)型——中信銀行網(wǎng)絡(luò)安全策略可視化管理平臺建設(shè)實(shí)踐
來源:金融電子化
作者:中信銀行 劉小娜 徐袁媛 任子建 宋義華
IT運(yùn)維體系是IT系統(tǒng)效能發(fā)揮的重要保障。近年來,中信銀行秉承“新技術(shù)驅(qū)動、價(jià)值導(dǎo)向”的科技創(chuàng)新理念,積極推進(jìn)全行IT運(yùn)維體系向集約化、自動化、智能化方向轉(zhuǎn)變,持續(xù)保障IT系統(tǒng)的安全穩(wěn)定和敏捷高效,最大限度釋放IT系統(tǒng)的支撐效能,為經(jīng)營業(yè)務(wù)的創(chuàng)新與轉(zhuǎn)型賦能。
防火墻訪問控制策略變更管理是運(yùn)維工作的重要內(nèi)容,占網(wǎng)絡(luò)運(yùn)維部門整體工作量的30%以上,變更工作的效率和效果同時(shí)制約著銀行業(yè)務(wù)的敏捷性與安全性,是中信銀行全行集約化運(yùn)維體系建設(shè)必須解決的重點(diǎn)難點(diǎn)問題。
全行集約化運(yùn)維轉(zhuǎn)型的背景與思路
中信銀行在推行集約化運(yùn)維前,總/分行獨(dú)立承擔(dān)運(yùn)維工作,能力參差不齊,對廠商依賴嚴(yán)重,難以實(shí)現(xiàn)全行統(tǒng)籌規(guī)劃和統(tǒng)一管理,“運(yùn)維孤島”長期存在,運(yùn)維部門人力總處于相對不足狀態(tài),安全合規(guī)難度大、風(fēng)險(xiǎn)高。
隨著總行運(yùn)維能力的日益增強(qiáng),以云平臺為代表的各種先進(jìn)技術(shù)和工具快速推廣,數(shù)據(jù)中心服務(wù)能力成熟度穩(wěn)步提升。為全面提升總/分行運(yùn)維部門的工作效率和效果,總行積極推進(jìn)集約化運(yùn)維工作,從機(jī)房、系統(tǒng)、網(wǎng)絡(luò)、流程、運(yùn)行、合規(guī)和安全7個(gè)方面進(jìn)行全方位建設(shè),構(gòu)建全行一體的運(yùn)維模式,從根本上解決運(yùn)維工作面臨的問題,助力全行科技轉(zhuǎn)型。
策略統(tǒng)一管理成為必須解決的難題
隨著信息安全管理制度的不斷完善,以及相關(guān)監(jiān)管機(jī)構(gòu)對網(wǎng)絡(luò)安全防護(hù)要求的不斷提高,中信銀行在內(nèi)、外部網(wǎng)絡(luò)區(qū)域邊界均部署有大量的防火墻設(shè)備,通過設(shè)置嚴(yán)格的網(wǎng)絡(luò)訪問控制策略,實(shí)現(xiàn)網(wǎng)絡(luò)安全域的劃分與隔離,在網(wǎng)絡(luò)層面落地最小特權(quán)原則。
網(wǎng)絡(luò)訪問控制策略是中信銀行多層次、立體化信息安全防護(hù)體系的重要基礎(chǔ),但在實(shí)際運(yùn)維中存在著諸多挑戰(zhàn),在集約化運(yùn)維模式下這些問題更加凸顯。
1、網(wǎng)絡(luò)訪問控制策略運(yùn)維體量大
總/分行防火墻數(shù)量總計(jì)幾百臺,策略數(shù)量整體在百萬條以上,相關(guān)的配置完全由網(wǎng)絡(luò)管理員人工編寫,策略變更頻繁,導(dǎo)致日常變更工作量大。2018年全年和2019年上半年網(wǎng)絡(luò)訪問控制策略的變更量達(dá)到5000條以上,平均每周變更在70條以上。策略變更工作量占到網(wǎng)絡(luò)運(yùn)維部門整體工作量的30%以上。
2、網(wǎng)絡(luò)訪問控制策略開通效率低
防火墻之間的網(wǎng)絡(luò)訪問控制策略關(guān)聯(lián)度高、配置復(fù)雜、變更步驟準(zhǔn)備時(shí)間長,導(dǎo)致策略變更周期為3-5個(gè)工作日,無法滿足OKR指標(biāo)對上線周期的要求。隨著集約化運(yùn)維模式的推進(jìn),總行管理工作量將成倍增加,現(xiàn)行的人工模式無法支撐集約化運(yùn)維。
3、網(wǎng)絡(luò)訪問控制策略合規(guī)風(fēng)險(xiǎn)高
國家、行業(yè)監(jiān)管機(jī)構(gòu)與銀行業(yè)務(wù)等多個(gè)層面對網(wǎng)絡(luò)安全的要求日益提升,網(wǎng)絡(luò)訪問控制策略是網(wǎng)絡(luò)安全防御體系的重要基礎(chǔ),同時(shí)關(guān)聯(lián)網(wǎng)絡(luò)連通性和網(wǎng)絡(luò)安全性,網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn)中對網(wǎng)絡(luò)訪問控制策略集中管理與精細(xì)化管理有明確的要求。
中信銀行網(wǎng)絡(luò)訪問控制策略數(shù)量大、變更頻繁、管理分散,策略實(shí)施效果評估、安全風(fēng)險(xiǎn)評估與合規(guī)審計(jì)工作難度極大,缺少系統(tǒng)化與自動化的管理手段,不利于安全管理水平的進(jìn)一步提升。
網(wǎng)絡(luò)安全策略可視化平臺建設(shè)實(shí)踐
1、建設(shè)目標(biāo)
2019年,在全面推進(jìn)集約化運(yùn)維工作的背景下,中信銀行啟動了面向總行與37家分行的網(wǎng)絡(luò)安全策略可視化管理平臺建設(shè)項(xiàng)目,主要目標(biāo)如下:
(1)集中納管總/分行網(wǎng)絡(luò)連接類與訪問控制類設(shè)備,包括防火墻、路由器、三層交換機(jī)、負(fù)載均衡。平臺管理設(shè)備規(guī)模不少于10000臺,支持性能橫向擴(kuò)展;兼容現(xiàn)網(wǎng)使用的所有設(shè)備品牌型號,并支持業(yè)內(nèi)主流品牌設(shè)備的快速擴(kuò)容適配。
(2)優(yōu)化現(xiàn)有的網(wǎng)絡(luò)訪問控制策略變更流程,并實(shí)現(xiàn)全流程自動化,提升策略變更交付效率,匹配新業(yè)務(wù)上線與網(wǎng)絡(luò)變更的敏捷性要求。
(3)支持策略風(fēng)險(xiǎn)規(guī)則與安全合規(guī)基線設(shè)定,實(shí)現(xiàn)對全網(wǎng)存量網(wǎng)絡(luò)訪問控制策略進(jìn)行定期檢查審計(jì),及時(shí)發(fā)現(xiàn)問題策略,并給出相應(yīng)處置建議。在策略變更過程中,支持對新增策略進(jìn)行自動化風(fēng)險(xiǎn)評估,以直觀報(bào)告形式支撐安全管理部門審批工作,實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制策略持續(xù)安全合規(guī)可控。
2、總體架構(gòu)
平臺整體采用模塊化分層結(jié)構(gòu),分為數(shù)據(jù)處理、基線建模、管理應(yīng)用三個(gè)層面,每層包含若干功能模塊。平臺各功能模塊均對外封裝API接口,靈活接受調(diào)用與業(yè)務(wù)編排。實(shí)現(xiàn)全行集約化運(yùn)維系統(tǒng)的大集成。(見下圖)
圖:網(wǎng)絡(luò)安全策略可視化管理平臺架構(gòu)圖
數(shù)據(jù)處理層主要解決策略配置數(shù)據(jù)標(biāo)準(zhǔn)化南北向轉(zhuǎn)換的工作。北向?qū)崿F(xiàn)策略配置數(shù)據(jù)采集和解析,采集方式支持SSH直接采集與CMDB同步方式,通過不同品牌設(shè)備的配置解析插件,將全網(wǎng)不同語法的策略配置文件解析為統(tǒng)一標(biāo)準(zhǔn)的策略數(shù)據(jù)表達(dá)格式,同時(shí)解析與路徑分析相關(guān)的IP子網(wǎng)、路由、NAT等數(shù)據(jù)。南向與北向工作機(jī)制相反,實(shí)現(xiàn)將標(biāo)準(zhǔn)的策略配置數(shù)據(jù)按需翻譯成不同類型、品牌、型號設(shè)備的配置腳本,配置腳本生成按預(yù)設(shè)規(guī)范進(jìn)行,確保統(tǒng)一合規(guī)。
基線建模層是平臺的核心,主要完成策略數(shù)據(jù)計(jì)算與合規(guī)基線設(shè)定,支持上層模塊調(diào)用完成各類策略管理應(yīng)用。策略分析模塊逐條計(jì)算策略規(guī)則間的沖突與包含關(guān)系,分析策略問題;拓?fù)浣Ec安全域管理模塊,主要實(shí)現(xiàn)全局端到端網(wǎng)絡(luò)邏輯路徑與安全訪問控制路徑的仿真,生成安全域拓?fù)?域間基線與策略風(fēng)險(xiǎn)規(guī)則模塊支持按照相關(guān)管理要求預(yù)設(shè)策略風(fēng)險(xiǎn)規(guī)則,支撐上層模塊的風(fēng)險(xiǎn)評估應(yīng)用。
管理應(yīng)用層基于運(yùn)維業(yè)務(wù)的視角,調(diào)用核心層計(jì)算結(jié)果或引用相關(guān)基線規(guī)則,封裝各類策略管理APP,完成特定的策略管理工作。策略合規(guī)檢查模塊主要完成垃圾策略、寬松策略、風(fēng)險(xiǎn)策略的檢查,輸出策略合規(guī)檢查報(bào)告。安全拓?fù)淠K提供全局可視化拓?fù)湔故荆С职窗俣鹊貓D方式進(jìn)行端到端的安全訪問路徑查詢,可用于網(wǎng)絡(luò)故障排查與安全事件分析。網(wǎng)絡(luò)暴露分析模塊基于全網(wǎng)視角對網(wǎng)絡(luò)訪問控制策略的設(shè)置效果進(jìn)行量化評估,可用于網(wǎng)絡(luò)層暴露風(fēng)險(xiǎn)的收斂與網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)的優(yōu)化。策略全流程自動化變更管理模塊按業(yè)務(wù)流程串聯(lián)了路徑仿真、策略檢查、風(fēng)險(xiǎn)分析、配置腳本生成等平臺能力,實(shí)現(xiàn)策略變更全過程的自動化與可視化。
3、效果總結(jié)
平臺自2019年11月正式上線以來,累計(jì)納管總/分行設(shè)備超過13000臺,網(wǎng)絡(luò)訪問控制策略變更工作實(shí)現(xiàn)了全流程自動化和服務(wù)化,變更流程周期由原來的3-5個(gè)工作日縮短為一天,加急狀態(tài)下可隨時(shí)交付。同時(shí),釋放了四分之三的人力資源用于其他業(yè)務(wù)創(chuàng)新,真正落地了“用人開發(fā)系統(tǒng),用系統(tǒng)維護(hù)系統(tǒng)”的IT運(yùn)維理念,中信銀行策略運(yùn)維工作率先進(jìn)入“四化”階段。
設(shè)備管理集中化。實(shí)現(xiàn)全行異構(gòu)品牌防火墻設(shè)備及路由器、三層交換機(jī)、負(fù)載均衡設(shè)備的統(tǒng)一管理,形成了全局IP網(wǎng)段資產(chǎn)動態(tài)臺賬、網(wǎng)絡(luò)訪問控制策略標(biāo)準(zhǔn)列表、NAT轉(zhuǎn)換關(guān)系數(shù)據(jù)庫與多級可視化安全拓?fù)湟晥D,這幾點(diǎn)對于網(wǎng)絡(luò)運(yùn)維與網(wǎng)絡(luò)安全均具有重要價(jià)值。
策略變更自動化。自動分析業(yè)務(wù)訪問控制策略開通的需求,智能定位業(yè)務(wù)路徑開通相關(guān)的總/分行防火墻設(shè)備或其他網(wǎng)絡(luò)訪問控制設(shè)備,自動化進(jìn)行安全風(fēng)險(xiǎn)分析與配置腳本生成,開通結(jié)果自動化驗(yàn)證。策略變更工作準(zhǔn)確率達(dá)到100%,策略變更交付效率提升300%。
管理平臺服務(wù)化。管理平臺與服務(wù)流程平臺、開發(fā)運(yùn)維一體化平臺實(shí)現(xiàn)無縫集成,以自服務(wù)的方式實(shí)現(xiàn)業(yè)務(wù)路徑自助查詢、策略變更工單自助申請,變更過程與結(jié)果可視化返回,完成策略變更流程再造的同時(shí),做到了“策略變更即服務(wù)”。
安全合規(guī)系統(tǒng)化。實(shí)現(xiàn)全行網(wǎng)絡(luò)訪問控制策略的一體化、全生命周期管理??傂邢嚓P(guān)安全規(guī)范以規(guī)則形式預(yù)設(shè)于管理平臺中,建立統(tǒng)一的基線系統(tǒng),全行的網(wǎng)絡(luò)訪問控制策略基于統(tǒng)一標(biāo)準(zhǔn)進(jìn)行規(guī)范化管理與合規(guī)審計(jì),策略安全合規(guī)工作更高效、更客觀、更持續(xù)。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )