中信銀行網(wǎng)絡(luò)安全策略可視化管理平臺建設(shè)實踐

標題:實戰(zhàn)丨推進全行集約化運維,賦能業(yè)務(wù)數(shù)字化轉(zhuǎn)型——中信銀行網(wǎng)絡(luò)安全策略可視化管理平臺建設(shè)實踐

來源:金融電子化

作者:中信銀行 劉小娜 徐袁媛 任子建 宋義華

IT運維體系是IT系統(tǒng)效能發(fā)揮的重要保障。近年來,中信銀行秉承“新技術(shù)驅(qū)動、價值導向”的科技創(chuàng)新理念,積極推進全行IT運維體系向集約化、自動化、智能化方向轉(zhuǎn)變,持續(xù)保障IT系統(tǒng)的安全穩(wěn)定和敏捷高效,最大限度釋放IT系統(tǒng)的支撐效能,為經(jīng)營業(yè)務(wù)的創(chuàng)新與轉(zhuǎn)型賦能。

防火墻訪問控制策略變更管理是運維工作的重要內(nèi)容,占網(wǎng)絡(luò)運維部門整體工作量的30%以上,變更工作的效率和效果同時制約著銀行業(yè)務(wù)的敏捷性與安全性,是中信銀行全行集約化運維體系建設(shè)必須解決的重點難點問題。

  全行集約化運維轉(zhuǎn)型的背景與思路

中信銀行在推行集約化運維前,總/分行獨立承擔運維工作,能力參差不齊,對廠商依賴嚴重,難以實現(xiàn)全行統(tǒng)籌規(guī)劃和統(tǒng)一管理,“運維孤島”長期存在,運維部門人力總處于相對不足狀態(tài),安全合規(guī)難度大、風險高。

隨著總行運維能力的日益增強,以云平臺為代表的各種先進技術(shù)和工具快速推廣,數(shù)據(jù)中心服務(wù)能力成熟度穩(wěn)步提升。為全面提升總/分行運維部門的工作效率和效果,總行積極推進集約化運維工作,從機房、系統(tǒng)、網(wǎng)絡(luò)、流程、運行、合規(guī)和安全7個方面進行全方位建設(shè),構(gòu)建全行一體的運維模式,從根本上解決運維工作面臨的問題,助力全行科技轉(zhuǎn)型。

  策略統(tǒng)一管理成為必須解決的難題

隨著信息安全管理制度的不斷完善,以及相關(guān)監(jiān)管機構(gòu)對網(wǎng)絡(luò)安全防護要求的不斷提高,中信銀行在內(nèi)、外部網(wǎng)絡(luò)區(qū)域邊界均部署有大量的防火墻設(shè)備,通過設(shè)置嚴格的網(wǎng)絡(luò)訪問控制策略,實現(xiàn)網(wǎng)絡(luò)安全域的劃分與隔離,在網(wǎng)絡(luò)層面落地最小特權(quán)原則。

網(wǎng)絡(luò)訪問控制策略是中信銀行多層次、立體化信息安全防護體系的重要基礎(chǔ),但在實際運維中存在著諸多挑戰(zhàn),在集約化運維模式下這些問題更加凸顯。

1、網(wǎng)絡(luò)訪問控制策略運維體量大

總/分行防火墻數(shù)量總計幾百臺,策略數(shù)量整體在百萬條以上,相關(guān)的配置完全由網(wǎng)絡(luò)管理員人工編寫,策略變更頻繁,導致日常變更工作量大。2018年全年和2019年上半年網(wǎng)絡(luò)訪問控制策略的變更量達到5000條以上,平均每周變更在70條以上。策略變更工作量占到網(wǎng)絡(luò)運維部門整體工作量的30%以上。

2、網(wǎng)絡(luò)訪問控制策略開通效率低

防火墻之間的網(wǎng)絡(luò)訪問控制策略關(guān)聯(lián)度高、配置復雜、變更步驟準備時間長,導致策略變更周期為3-5個工作日,無法滿足OKR指標對上線周期的要求。隨著集約化運維模式的推進,總行管理工作量將成倍增加,現(xiàn)行的人工模式無法支撐集約化運維。

  3、網(wǎng)絡(luò)訪問控制策略合規(guī)風險高

國家、行業(yè)監(jiān)管機構(gòu)與銀行業(yè)務(wù)等多個層面對網(wǎng)絡(luò)安全的要求日益提升,網(wǎng)絡(luò)訪問控制策略是網(wǎng)絡(luò)安全防御體系的重要基礎(chǔ),同時關(guān)聯(lián)網(wǎng)絡(luò)連通性和網(wǎng)絡(luò)安全性,網(wǎng)絡(luò)安全等級保護2.0標準中對網(wǎng)絡(luò)訪問控制策略集中管理與精細化管理有明確的要求。

中信銀行網(wǎng)絡(luò)訪問控制策略數(shù)量大、變更頻繁、管理分散,策略實施效果評估、安全風險評估與合規(guī)審計工作難度極大,缺少系統(tǒng)化與自動化的管理手段,不利于安全管理水平的進一步提升。

網(wǎng)絡(luò)安全策略可視化平臺建設(shè)實踐

1、建設(shè)目標

2019年,在全面推進集約化運維工作的背景下,中信銀行啟動了面向總行與37家分行的網(wǎng)絡(luò)安全策略可視化管理平臺建設(shè)項目,主要目標如下:

(1)集中納管總/分行網(wǎng)絡(luò)連接類與訪問控制類設(shè)備,包括防火墻、路由器、三層交換機、負載均衡。平臺管理設(shè)備規(guī)模不少于10000臺,支持性能橫向擴展;兼容現(xiàn)網(wǎng)使用的所有設(shè)備品牌型號,并支持業(yè)內(nèi)主流品牌設(shè)備的快速擴容適配。

(2)優(yōu)化現(xiàn)有的網(wǎng)絡(luò)訪問控制策略變更流程,并實現(xiàn)全流程自動化,提升策略變更交付效率,匹配新業(yè)務(wù)上線與網(wǎng)絡(luò)變更的敏捷性要求。

(3)支持策略風險規(guī)則與安全合規(guī)基線設(shè)定,實現(xiàn)對全網(wǎng)存量網(wǎng)絡(luò)訪問控制策略進行定期檢查審計,及時發(fā)現(xiàn)問題策略,并給出相應(yīng)處置建議。在策略變更過程中,支持對新增策略進行自動化風險評估,以直觀報告形式支撐安全管理部門審批工作,實現(xiàn)網(wǎng)絡(luò)訪問控制策略持續(xù)安全合規(guī)可控。

2、總體架構(gòu)

平臺整體采用模塊化分層結(jié)構(gòu),分為數(shù)據(jù)處理、基線建模、管理應(yīng)用三個層面,每層包含若干功能模塊。平臺各功能模塊均對外封裝API接口,靈活接受調(diào)用與業(yè)務(wù)編排。實現(xiàn)全行集約化運維系統(tǒng)的大集成。(見下圖)

中信銀行網(wǎng)絡(luò)安全策略可視化管理平臺建設(shè)實踐

圖:網(wǎng)絡(luò)安全策略可視化管理平臺架構(gòu)圖

數(shù)據(jù)處理層主要解決策略配置數(shù)據(jù)標準化南北向轉(zhuǎn)換的工作。北向?qū)崿F(xiàn)策略配置數(shù)據(jù)采集和解析,采集方式支持SSH直接采集與CMDB同步方式,通過不同品牌設(shè)備的配置解析插件,將全網(wǎng)不同語法的策略配置文件解析為統(tǒng)一標準的策略數(shù)據(jù)表達格式,同時解析與路徑分析相關(guān)的IP子網(wǎng)、路由、NAT等數(shù)據(jù)。南向與北向工作機制相反,實現(xiàn)將標準的策略配置數(shù)據(jù)按需翻譯成不同類型、品牌、型號設(shè)備的配置腳本,配置腳本生成按預(yù)設(shè)規(guī)范進行,確保統(tǒng)一合規(guī)。

基線建模層是平臺的核心,主要完成策略數(shù)據(jù)計算與合規(guī)基線設(shè)定,支持上層模塊調(diào)用完成各類策略管理應(yīng)用。策略分析模塊逐條計算策略規(guī)則間的沖突與包含關(guān)系,分析策略問題;拓撲建模與安全域管理模塊,主要實現(xiàn)全局端到端網(wǎng)絡(luò)邏輯路徑與安全訪問控制路徑的仿真,生成安全域拓撲;域間基線與策略風險規(guī)則模塊支持按照相關(guān)管理要求預(yù)設(shè)策略風險規(guī)則,支撐上層模塊的風險評估應(yīng)用。

管理應(yīng)用層基于運維業(yè)務(wù)的視角,調(diào)用核心層計算結(jié)果或引用相關(guān)基線規(guī)則,封裝各類策略管理APP,完成特定的策略管理工作。策略合規(guī)檢查模塊主要完成垃圾策略、寬松策略、風險策略的檢查,輸出策略合規(guī)檢查報告。安全拓撲模塊提供全局可視化拓撲展示,支持按百度地圖方式進行端到端的安全訪問路徑查詢,可用于網(wǎng)絡(luò)故障排查與安全事件分析。網(wǎng)絡(luò)暴露分析模塊基于全網(wǎng)視角對網(wǎng)絡(luò)訪問控制策略的設(shè)置效果進行量化評估,可用于網(wǎng)絡(luò)層暴露風險的收斂與網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)的優(yōu)化。策略全流程自動化變更管理模塊按業(yè)務(wù)流程串聯(lián)了路徑仿真、策略檢查、風險分析、配置腳本生成等平臺能力,實現(xiàn)策略變更全過程的自動化與可視化。

3、效果總結(jié)

平臺自2019年11月正式上線以來,累計納管總/分行設(shè)備超過13000臺,網(wǎng)絡(luò)訪問控制策略變更工作實現(xiàn)了全流程自動化和服務(wù)化,變更流程周期由原來的3-5個工作日縮短為一天,加急狀態(tài)下可隨時交付。同時,釋放了四分之三的人力資源用于其他業(yè)務(wù)創(chuàng)新,真正落地了“用人開發(fā)系統(tǒng),用系統(tǒng)維護系統(tǒng)”的IT運維理念,中信銀行策略運維工作率先進入“四化”階段。

  設(shè)備管理集中化。實現(xiàn)全行異構(gòu)品牌防火墻設(shè)備及路由器、三層交換機、負載均衡設(shè)備的統(tǒng)一管理,形成了全局IP網(wǎng)段資產(chǎn)動態(tài)臺賬、網(wǎng)絡(luò)訪問控制策略標準列表、NAT轉(zhuǎn)換關(guān)系數(shù)據(jù)庫與多級可視化安全拓撲視圖,這幾點對于網(wǎng)絡(luò)運維與網(wǎng)絡(luò)安全均具有重要價值。

策略變更自動化。自動分析業(yè)務(wù)訪問控制策略開通的需求,智能定位業(yè)務(wù)路徑開通相關(guān)的總/分行防火墻設(shè)備或其他網(wǎng)絡(luò)訪問控制設(shè)備,自動化進行安全風險分析與配置腳本生成,開通結(jié)果自動化驗證。策略變更工作準確率達到100%,策略變更交付效率提升300%。

管理平臺服務(wù)化。管理平臺與服務(wù)流程平臺、開發(fā)運維一體化平臺實現(xiàn)無縫集成,以自服務(wù)的方式實現(xiàn)業(yè)務(wù)路徑自助查詢、策略變更工單自助申請,變更過程與結(jié)果可視化返回,完成策略變更流程再造的同時,做到了“策略變更即服務(wù)”。

安全合規(guī)系統(tǒng)化。實現(xiàn)全行網(wǎng)絡(luò)訪問控制策略的一體化、全生命周期管理??傂邢嚓P(guān)安全規(guī)范以規(guī)則形式預(yù)設(shè)于管理平臺中,建立統(tǒng)一的基線系統(tǒng),全行的網(wǎng)絡(luò)訪問控制策略基于統(tǒng)一標準進行規(guī)范化管理與合規(guī)審計,策略安全合規(guī)工作更高效、更客觀、更持續(xù)。

(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )