文 / 中信银行 刘小娜 徐袁媛 任子建 宋义华
IT运维体系是IT系统效能发挥的重要保障。近年来,中信银行秉承“新技术驱动、价值导向”的科技创新理念,积极推进全行IT运维体系向集约化、自动化、智能化方向转变,持续保障IT系统的安全稳定与敏捷高效,最大限度释放IT系统支撑效能,为经营业务的创新与转型赋能。防火墙访问控制策略变更管理是运维工作的重要内容,占网络运维部门整体工作量的30%以上,变更工作的效率与效果同时制约着银行业务的敏捷性与安全性,是中信银行全行集约化运维体系建设必须解决的重点与难点问题。
全行集约化运维转型的背景与思路
中信银行在推行集约化运维前,总、分行独立承担运维工作,能力参差不齐,对厂商依赖严重,难以进行全行统筹规划和统一管理,“运维孤岛”长期存在,运维部门人力总处于相对不足状态,工作效率低,安全合规难度大、风险高。
随着总行运维能力的日益增强,以云平台为代表的各种先进技术和工具快速推广,数据中心服务能力成熟度稳步提升。为全面提升总、分行运维部门的工作效率与效果,总行积极推进集约化运维工作,从机房、系统、网络、流程、运行、合规和安全7个方面进行全方位建设,构建全行一体的运维模式,从根本上解决运维工作面临的问题,助力全行科技转型。
策略统一管理成为必须解决的难题
随着信息安全管理制度的不断完善,以及相关监管机构对网络安全防护要求的不断提高,中信银行在内、外部网络区域边界均部署有大量的防火墙设备,通过设置严格的网络访问控制策略,实现网络安全域的划分与隔离,在网络层面落地最小特权原则。网络访问控制策略是中信银行多层次、立体化信息安全防护体系的重要基础,但在实际运维中存在着诸多挑战,在集约化运维模式下这些问题更加凸显。
1.网络访问控制策略运维体量大
总分行防火墙数量总计几百台,策略数量整体在百万条以上,相关的配置完全由网络管理员人工编写,策略变更频繁,日常变更工作量大。2018年全年和2019年上半年网络访问策略的变更量达到5000条以上,平均每周变更在70条以上。策略变更工作量占到网络运维部门整体工作量的30%以上。
2.网络访问控制策略开通效率低
防火墙之间的网络访问制策略关联度高,配置复杂,变更步骤准备时间长,导致策略变更周期为3~5个工作日,无法满足OKR指标对上线周期的要求。随着集约化运维模式的推进,总行管理工作量将成倍增加,现行的人工模式无法支撑集约化运维。
3.网络访问控制策略合规风险高
国家、行业监管机构与银行业务等多个层面对于网络安全的要求日益提升,网络访问控控制是网络安全防御体系的重要基础,同时关联网络连通性与网络安全性强,网络安全等级保护2.0标准中对网络访问控制策略集中管理与精细化管理有明确的要求。中信银行网络访问控制策略数量大、变更频繁、管理分散,策略实施效果评估、安全风险评估与合规审计工作难度极大,缺少系统化与自动化的管理手段,不利于安全管理水平的进一步提升。
网络安全策略可视化平台建设实践
1.建设目标
2019年,在全面推进集约化运维工作的背景下,中信银行启动了面向总行与37家分行的网络安全策略可视化管理平台建设项目,主要目标如下。
集中纳管总行与分行网络连接类与访问控制类设备,包括防火墙、路由器、三层交换机、负载均衡。平台管理设备规模不少于10000台,支持性能横向扩展;兼容现网使用的所有设备品牌型号,并支持业内主流品牌设备的快速扩容适配。
优化现有的网络访问制策略变更流程,并实现全流程自动化,提升策略变更交付效率,匹配新业务上线与网络变更的敏捷性要求。
支持策略风险规则与安全合规基线设定,实现对全网存量网络访问控制策略进行定期检查审计,及时发现问题策略,并给出相应处置建议。在策略变更过程中,支持对新增策略进行自动化风险评估,以直观报告形式支撑安全管理部门审批工作,实现网络访问控制策略持续安全合规可控。
2.总体架构
平台整体采用模块化分层结构,分为数据处理、基线建模、管理应用三个层面,每层包含若干功能模块。平台各功能模块均对外封装API接口,灵活接受调用与业务编排。实现全行集约化运维系统的大集成(见下图)。
图 网络安全策略可视化管理平台架构图
数据处理层主要解决策略配置数据标准化南北向转换的工作。北向实现策略配置数据采集、解析,采集方式支持SSH直接采集与CMDB同步方式,通过不同品牌设备的配置解析插件,将全网不同语法的策略配置文件解析为统一标准的策略数据表达格式,同时解析与路径分析相关的IP子网、路由、NAT等数据。南向与北向工作机制相反,实现将标准的策配置数据按需翻译成不同类型、品牌、型号设备的配置脚本,配置脚本生成按预设规范进行,确保统一合规。
基线建模层是平台的核心,主要完成策略数据计算与合规基线设定,支持上层模块调用完成各类策略管理应用。策略分析模块逐条计算策略规则间的冲突与包含关系,分析策略问题;拓扑建模与安全域管理模块,主要实现全局端到端网络逻辑路径与安全访问控制路径的仿真,生成安全域拓扑;域间基线与策略风险规则模块支持按照相关管理要求预设策略风险规则,支撑上层模块的风险评估应用。
管理应用层基于运维业务的视角,调用核心层计算结果或引用相关基线规则,封装各类策略管理APP,完成特定的策略管理工作。策略合规检查模块主要完成垃圾策略、宽松策略、风险策略的检查,输出策略合规检查报告。安全拓扑模块提供全局可视化拓扑展示,支持按百度地图方式进行端到端的安全访问路径查询,可用于网络故障排查与安全事件分析。网络暴露分析模块基于全网视角对网络访问控制策略的设置效果进行量化评估,可用网络层暴露风险的收敛与网络安全基础架构的优化。策略全流程自动化变更管理模块按业务流程串联了路径仿真、策略检查、风险分析、配置脚本生成等平台能力,实现策略变更全过程的自动化与可视化。
3.效果总结
平台自2019年11月正式上线以来,累计纳管总分行设备超过13000台,网络访问控制策略变更工作实现了全流程自动化与服务化,变更流程周期由原来的3~5个工作日缩短为每天,加急状态下可随时交付。同时释放了3/4的人力资源用于其他业务创新,真正落地了“用人开发系统、用系统维护系统”的IT运维理念,中信银行策略运维工作率先进入“四化”阶段。
设备管理集中化。实现全行异构品牌防火墙设备及路由器、三层交换机、负载均衡设备的统一管理,形成了全局IP网段资产动态台账、网络访问控制策略标准列表、NAT转换关系数据库与多级可视化安全拓扑视图,这几点对于网络运维与网络安全均具有重要价值。
策略变更自动化。自动分析业务访问控制策略开通的需求,智能定位业务路径开通相关的总分行防火墙设备或其他网络访问控制设备,自动化进行安全风险分析与配置脚本生成,开通结果自动化验证。策略变更工作准确率达到100%,策略变更交付效率提升300%。
管理平台服务化。管理平台与服务流程平台、开发运维一体化平台实现无缝集成,以自服务的方式实现业务路径自助查询、策略变更工单自助申请、变更过程与结果可视化返回,完成策略变更流程再造的同时,做到了“策略变更即服务”。
安全合规系统化。实现全行网络访问控制策略的一体化、全生命周期管理。总行相关安全规范以规则形式预设于管理平台中,建立统一的基线系统,全行的网络访问控制策略基于统一标准进行规范化管理与合规审计,策略安全合规工作更高效、更客观、更持续。
声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。