中信銀行網(wǎng)絡(luò)安全策略可視化管理平臺(tái)建設(shè)實(shí)踐

標(biāo)題:實(shí)戰(zhàn)丨推進(jìn)全行集約化運(yùn)維,賦能業(yè)務(wù)數(shù)字化轉(zhuǎn)型——中信銀行網(wǎng)絡(luò)安全策略可視化管理平臺(tái)建設(shè)實(shí)踐

來(lái)源:金融電子化

作者:中信銀行 劉小娜 徐袁媛 任子建 宋義華

IT運(yùn)維體系是IT系統(tǒng)效能發(fā)揮的重要保障。近年來(lái),中信銀行秉承“新技術(shù)驅(qū)動(dòng)、價(jià)值導(dǎo)向”的科技創(chuàng)新理念,積極推進(jìn)全行IT運(yùn)維體系向集約化、自動(dòng)化、智能化方向轉(zhuǎn)變,持續(xù)保障IT系統(tǒng)的安全穩(wěn)定和敏捷高效,最大限度釋放IT系統(tǒng)的支撐效能,為經(jīng)營(yíng)業(yè)務(wù)的創(chuàng)新與轉(zhuǎn)型賦能。

防火墻訪問(wèn)控制策略變更管理是運(yùn)維工作的重要內(nèi)容,占網(wǎng)絡(luò)運(yùn)維部門(mén)整體工作量的30%以上,變更工作的效率和效果同時(shí)制約著銀行業(yè)務(wù)的敏捷性與安全性,是中信銀行全行集約化運(yùn)維體系建設(shè)必須解決的重點(diǎn)難點(diǎn)問(wèn)題。

  全行集約化運(yùn)維轉(zhuǎn)型的背景與思路

中信銀行在推行集約化運(yùn)維前,總/分行獨(dú)立承擔(dān)運(yùn)維工作,能力參差不齊,對(duì)廠商依賴(lài)嚴(yán)重,難以實(shí)現(xiàn)全行統(tǒng)籌規(guī)劃和統(tǒng)一管理,“運(yùn)維孤島”長(zhǎng)期存在,運(yùn)維部門(mén)人力總處于相對(duì)不足狀態(tài),安全合規(guī)難度大、風(fēng)險(xiǎn)高。

隨著總行運(yùn)維能力的日益增強(qiáng),以云平臺(tái)為代表的各種先進(jìn)技術(shù)和工具快速推廣,數(shù)據(jù)中心服務(wù)能力成熟度穩(wěn)步提升。為全面提升總/分行運(yùn)維部門(mén)的工作效率和效果,總行積極推進(jìn)集約化運(yùn)維工作,從機(jī)房、系統(tǒng)、網(wǎng)絡(luò)、流程、運(yùn)行、合規(guī)和安全7個(gè)方面進(jìn)行全方位建設(shè),構(gòu)建全行一體的運(yùn)維模式,從根本上解決運(yùn)維工作面臨的問(wèn)題,助力全行科技轉(zhuǎn)型。

  策略統(tǒng)一管理成為必須解決的難題

隨著信息安全管理制度的不斷完善,以及相關(guān)監(jiān)管機(jī)構(gòu)對(duì)網(wǎng)絡(luò)安全防護(hù)要求的不斷提高,中信銀行在內(nèi)、外部網(wǎng)絡(luò)區(qū)域邊界均部署有大量的防火墻設(shè)備,通過(guò)設(shè)置嚴(yán)格的網(wǎng)絡(luò)訪問(wèn)控制策略,實(shí)現(xiàn)網(wǎng)絡(luò)安全域的劃分與隔離,在網(wǎng)絡(luò)層面落地最小特權(quán)原則。

網(wǎng)絡(luò)訪問(wèn)控制策略是中信銀行多層次、立體化信息安全防護(hù)體系的重要基礎(chǔ),但在實(shí)際運(yùn)維中存在著諸多挑戰(zhàn),在集約化運(yùn)維模式下這些問(wèn)題更加凸顯。

1、網(wǎng)絡(luò)訪問(wèn)控制策略運(yùn)維體量大

總/分行防火墻數(shù)量總計(jì)幾百臺(tái),策略數(shù)量整體在百萬(wàn)條以上,相關(guān)的配置完全由網(wǎng)絡(luò)管理員人工編寫(xiě),策略變更頻繁,導(dǎo)致日常變更工作量大。2018年全年和2019年上半年網(wǎng)絡(luò)訪問(wèn)控制策略的變更量達(dá)到5000條以上,平均每周變更在70條以上。策略變更工作量占到網(wǎng)絡(luò)運(yùn)維部門(mén)整體工作量的30%以上。

2、網(wǎng)絡(luò)訪問(wèn)控制策略開(kāi)通效率低

防火墻之間的網(wǎng)絡(luò)訪問(wèn)控制策略關(guān)聯(lián)度高、配置復(fù)雜、變更步驟準(zhǔn)備時(shí)間長(zhǎng),導(dǎo)致策略變更周期為3-5個(gè)工作日,無(wú)法滿(mǎn)足OKR指標(biāo)對(duì)上線(xiàn)周期的要求。隨著集約化運(yùn)維模式的推進(jìn),總行管理工作量將成倍增加,現(xiàn)行的人工模式無(wú)法支撐集約化運(yùn)維。

  3、網(wǎng)絡(luò)訪問(wèn)控制策略合規(guī)風(fēng)險(xiǎn)高

國(guó)家、行業(yè)監(jiān)管機(jī)構(gòu)與銀行業(yè)務(wù)等多個(gè)層面對(duì)網(wǎng)絡(luò)安全的要求日益提升,網(wǎng)絡(luò)訪問(wèn)控制策略是網(wǎng)絡(luò)安全防御體系的重要基礎(chǔ),同時(shí)關(guān)聯(lián)網(wǎng)絡(luò)連通性和網(wǎng)絡(luò)安全性,網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)中對(duì)網(wǎng)絡(luò)訪問(wèn)控制策略集中管理與精細(xì)化管理有明確的要求。

中信銀行網(wǎng)絡(luò)訪問(wèn)控制策略數(shù)量大、變更頻繁、管理分散,策略實(shí)施效果評(píng)估、安全風(fēng)險(xiǎn)評(píng)估與合規(guī)審計(jì)工作難度極大,缺少系統(tǒng)化與自動(dòng)化的管理手段,不利于安全管理水平的進(jìn)一步提升。

網(wǎng)絡(luò)安全策略可視化平臺(tái)建設(shè)實(shí)踐

1、建設(shè)目標(biāo)

2019年,在全面推進(jìn)集約化運(yùn)維工作的背景下,中信銀行啟動(dòng)了面向總行與37家分行的網(wǎng)絡(luò)安全策略可視化管理平臺(tái)建設(shè)項(xiàng)目,主要目標(biāo)如下:

(1)集中納管總/分行網(wǎng)絡(luò)連接類(lèi)與訪問(wèn)控制類(lèi)設(shè)備,包括防火墻、路由器、三層交換機(jī)、負(fù)載均衡。平臺(tái)管理設(shè)備規(guī)模不少于10000臺(tái),支持性能橫向擴(kuò)展;兼容現(xiàn)網(wǎng)使用的所有設(shè)備品牌型號(hào),并支持業(yè)內(nèi)主流品牌設(shè)備的快速擴(kuò)容適配。

(2)優(yōu)化現(xiàn)有的網(wǎng)絡(luò)訪問(wèn)控制策略變更流程,并實(shí)現(xiàn)全流程自動(dòng)化,提升策略變更交付效率,匹配新業(yè)務(wù)上線(xiàn)與網(wǎng)絡(luò)變更的敏捷性要求。

(3)支持策略風(fēng)險(xiǎn)規(guī)則與安全合規(guī)基線(xiàn)設(shè)定,實(shí)現(xiàn)對(duì)全網(wǎng)存量網(wǎng)絡(luò)訪問(wèn)控制策略進(jìn)行定期檢查審計(jì),及時(shí)發(fā)現(xiàn)問(wèn)題策略,并給出相應(yīng)處置建議。在策略變更過(guò)程中,支持對(duì)新增策略進(jìn)行自動(dòng)化風(fēng)險(xiǎn)評(píng)估,以直觀報(bào)告形式支撐安全管理部門(mén)審批工作,實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)控制策略持續(xù)安全合規(guī)可控。

2、總體架構(gòu)

平臺(tái)整體采用模塊化分層結(jié)構(gòu),分為數(shù)據(jù)處理、基線(xiàn)建模、管理應(yīng)用三個(gè)層面,每層包含若干功能模塊。平臺(tái)各功能模塊均對(duì)外封裝API接口,靈活接受調(diào)用與業(yè)務(wù)編排。實(shí)現(xiàn)全行集約化運(yùn)維系統(tǒng)的大集成。(見(jiàn)下圖)

中信銀行網(wǎng)絡(luò)安全策略可視化管理平臺(tái)建設(shè)實(shí)踐

圖:網(wǎng)絡(luò)安全策略可視化管理平臺(tái)架構(gòu)圖

數(shù)據(jù)處理層主要解決策略配置數(shù)據(jù)標(biāo)準(zhǔn)化南北向轉(zhuǎn)換的工作。北向?qū)崿F(xiàn)策略配置數(shù)據(jù)采集和解析,采集方式支持SSH直接采集與CMDB同步方式,通過(guò)不同品牌設(shè)備的配置解析插件,將全網(wǎng)不同語(yǔ)法的策略配置文件解析為統(tǒng)一標(biāo)準(zhǔn)的策略數(shù)據(jù)表達(dá)格式,同時(shí)解析與路徑分析相關(guān)的IP子網(wǎng)、路由、NAT等數(shù)據(jù)。南向與北向工作機(jī)制相反,實(shí)現(xiàn)將標(biāo)準(zhǔn)的策略配置數(shù)據(jù)按需翻譯成不同類(lèi)型、品牌、型號(hào)設(shè)備的配置腳本,配置腳本生成按預(yù)設(shè)規(guī)范進(jìn)行,確保統(tǒng)一合規(guī)。

基線(xiàn)建模層是平臺(tái)的核心,主要完成策略數(shù)據(jù)計(jì)算與合規(guī)基線(xiàn)設(shè)定,支持上層模塊調(diào)用完成各類(lèi)策略管理應(yīng)用。策略分析模塊逐條計(jì)算策略規(guī)則間的沖突與包含關(guān)系,分析策略問(wèn)題;拓?fù)浣Ec安全域管理模塊,主要實(shí)現(xiàn)全局端到端網(wǎng)絡(luò)邏輯路徑與安全訪問(wèn)控制路徑的仿真,生成安全域拓?fù)?域間基線(xiàn)與策略風(fēng)險(xiǎn)規(guī)則模塊支持按照相關(guān)管理要求預(yù)設(shè)策略風(fēng)險(xiǎn)規(guī)則,支撐上層模塊的風(fēng)險(xiǎn)評(píng)估應(yīng)用。

管理應(yīng)用層基于運(yùn)維業(yè)務(wù)的視角,調(diào)用核心層計(jì)算結(jié)果或引用相關(guān)基線(xiàn)規(guī)則,封裝各類(lèi)策略管理APP,完成特定的策略管理工作。策略合規(guī)檢查模塊主要完成垃圾策略、寬松策略、風(fēng)險(xiǎn)策略的檢查,輸出策略合規(guī)檢查報(bào)告。安全拓?fù)淠K提供全局可視化拓?fù)湔故荆С职窗俣鹊貓D方式進(jìn)行端到端的安全訪問(wèn)路徑查詢(xún),可用于網(wǎng)絡(luò)故障排查與安全事件分析。網(wǎng)絡(luò)暴露分析模塊基于全網(wǎng)視角對(duì)網(wǎng)絡(luò)訪問(wèn)控制策略的設(shè)置效果進(jìn)行量化評(píng)估,可用于網(wǎng)絡(luò)層暴露風(fēng)險(xiǎn)的收斂與網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)的優(yōu)化。策略全流程自動(dòng)化變更管理模塊按業(yè)務(wù)流程串聯(lián)了路徑仿真、策略檢查、風(fēng)險(xiǎn)分析、配置腳本生成等平臺(tái)能力,實(shí)現(xiàn)策略變更全過(guò)程的自動(dòng)化與可視化。

3、效果總結(jié)

平臺(tái)自2019年11月正式上線(xiàn)以來(lái),累計(jì)納管總/分行設(shè)備超過(guò)13000臺(tái),網(wǎng)絡(luò)訪問(wèn)控制策略變更工作實(shí)現(xiàn)了全流程自動(dòng)化和服務(wù)化,變更流程周期由原來(lái)的3-5個(gè)工作日縮短為一天,加急狀態(tài)下可隨時(shí)交付。同時(shí),釋放了四分之三的人力資源用于其他業(yè)務(wù)創(chuàng)新,真正落地了“用人開(kāi)發(fā)系統(tǒng),用系統(tǒng)維護(hù)系統(tǒng)”的IT運(yùn)維理念,中信銀行策略運(yùn)維工作率先進(jìn)入“四化”階段。

  設(shè)備管理集中化。實(shí)現(xiàn)全行異構(gòu)品牌防火墻設(shè)備及路由器、三層交換機(jī)、負(fù)載均衡設(shè)備的統(tǒng)一管理,形成了全局IP網(wǎng)段資產(chǎn)動(dòng)態(tài)臺(tái)賬、網(wǎng)絡(luò)訪問(wèn)控制策略標(biāo)準(zhǔn)列表、NAT轉(zhuǎn)換關(guān)系數(shù)據(jù)庫(kù)與多級(jí)可視化安全拓?fù)湟晥D,這幾點(diǎn)對(duì)于網(wǎng)絡(luò)運(yùn)維與網(wǎng)絡(luò)安全均具有重要價(jià)值。

策略變更自動(dòng)化。自動(dòng)分析業(yè)務(wù)訪問(wèn)控制策略開(kāi)通的需求,智能定位業(yè)務(wù)路徑開(kāi)通相關(guān)的總/分行防火墻設(shè)備或其他網(wǎng)絡(luò)訪問(wèn)控制設(shè)備,自動(dòng)化進(jìn)行安全風(fēng)險(xiǎn)分析與配置腳本生成,開(kāi)通結(jié)果自動(dòng)化驗(yàn)證。策略變更工作準(zhǔn)確率達(dá)到100%,策略變更交付效率提升300%。

管理平臺(tái)服務(wù)化。管理平臺(tái)與服務(wù)流程平臺(tái)、開(kāi)發(fā)運(yùn)維一體化平臺(tái)實(shí)現(xiàn)無(wú)縫集成,以自服務(wù)的方式實(shí)現(xiàn)業(yè)務(wù)路徑自助查詢(xún)、策略變更工單自助申請(qǐng),變更過(guò)程與結(jié)果可視化返回,完成策略變更流程再造的同時(shí),做到了“策略變更即服務(wù)”。

安全合規(guī)系統(tǒng)化。實(shí)現(xiàn)全行網(wǎng)絡(luò)訪問(wèn)控制策略的一體化、全生命周期管理??傂邢嚓P(guān)安全規(guī)范以規(guī)則形式預(yù)設(shè)于管理平臺(tái)中,建立統(tǒng)一的基線(xiàn)系統(tǒng),全行的網(wǎng)絡(luò)訪問(wèn)控制策略基于統(tǒng)一標(biāo)準(zhǔn)進(jìn)行規(guī)范化管理與合規(guī)審計(jì),策略安全合規(guī)工作更高效、更客觀、更持續(xù)。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )