在全球数字化浪潮和我国新质生产力的双重驱动下,银行业正迅速向智慧银行、科技银行、数据银行的方向进行全面数字化转型,在满足客户日益多样化需求的过程中,提升科技的应用管理水平,利用科技赋能已成为增强各行自身竞争力的重要手段。在这一背景下,网络安全与运维能力对业务的稳定支撑起到了保驾护航的关键作用,交通银行青岛分行(以下简称“青岛分行”)在网络安全策略管理这一细分技术领域进行了积极探索,通过技术创新并结合多年的分行运行维护工作和经验总结,在网络安全策略管理的应用场景中进行了实践并达到预期效果。
运维难点:安全策略管理的现状及挑战
近年,金融系统的安全事件时有发生,这对银行补短板、强基础,不断提升网络安全防护水平提出更高要求,行内网络安全关注度和工作量不断增加;同时在分行业务侧的发展中,如何既要保证业务的连续性和安全稳定运行,又要支撑敏捷的业务和满足多样化的客户需求,对分行的安全运行维护提出了更高的要求。于青岛分行而言,安全策略的管理运行维护是其中的一个重要工作内容,在“最小授权原则”下确保每一用户权限只可访问其必要的信息,如何实施严谨的网络访问控制策略和精细的安全域划分,成为应对这些难题的重要手段。然而,伴随科技进步和监管深化,切实有效的安全策略管理仍面临以下挑战:
(1) 策略管理复杂性与传统变更管理的局限
展开剩余89%网络安全策略需适应新威胁并动态调整,以满足实际的业务需求及保障安全。然而,策略的创建需求往往来自于不同部门或系统,缺乏统一的管理和高效的检索机制,无法将策略与业务需求实时关联,紧急情况下,策略需求的关键信息无法被迅速定位,影响了安全响应的速度和效率。同时,由于某些策略的频繁修订,需要确保所有相关人员都能及时获取最新的业务变化,并准确理解变更内容,任何信息的滞后或误解都可能为安全体系留下漏洞。另外,依赖人力的传统手动操作变更管理模式效率低下,且易引发系统安全隐患,引入新的系统风险,影响新策略执行的速度和准确性。
(2) 策略可视化与策略清理、查重、合规审计
金融系统数据中心网络分区分域规范使得业务的访问关系经过多个安全设备,部分访问关系还需要经过双向地址转换,当需要确认某个访问关系通断情况时,通常需要分别登录通讯路径上每个设备进行查询,缺乏集中统一视角,查询效率低下且易出错。安全策略的需求来源广泛且多样,这导致安全策略在创建过程中极易出现重复或冲突的情况,需求查重成为一项艰巨任务,技术人员需要仔细比对现有安全策略,一方面要确保在策略开通流程中不纳入重复需求,另一方面要识别并解决潜在的需求冲突,以此维护安全策略的一致性和有效性。
安全策略的数量随着时间不断累加,在上万条策略中,清理隐藏、冗余、过期的策略变得尤为重要。通过自动化策略清理能够减少人工操作,有助于实现配置合规审计管理保持策略一致性与有效性,进而灵活应对多样化的业务需求。此外,由于策略繁多、配置复杂、设备品牌各异,难以准确规划和设计防火墙策略,所以容易导致误开通的情况,需加强策略审计,提高策略管理的效率,确保策略合规性。
(3) 架构调整与策略收敛的挑战
随着网络架构的快速迭代,网络架构调整后缺乏系统访问关系清单,增加了策略部署的难度和精准度,此外,历史遗留的宽泛策略也影响了管理精度。如何对宽泛策略进行收敛,缩小风险暴露面,也是金融机构安全策略管理亟待解决的问题。
科技赋能:安全策略管理的创新驱动
在金融行业的数字化转型中,网络安全策略管理不仅是技术问题,更是安全管理和效率提升的关键要素,对青岛分行网络安全和业务连续性起到重要作用。
(1) 构建全方位智能安全策略管理体系
高可用容器技术与自主化平台结合:为应对不断变化的安全威胁,青岛分行搭建智能化的安全策略管理系统。该系统采用容器技术进行部署,底层使用Docker和Kubernetes(k8s)进行容器集群管理,以满足高效、灵活的使用需求,同时积极推动自主创新,采用自主知识产权技术解决方案,确保安全防护的本地化适应性,同时增强抵御风险的能力。
集中策略管理与自动化工具的融合:青岛分行通过集中管理和自动化工具的结合,实现了高效的策略管理和运维。所有网络策略能够集中存储,策略文档与安全策略动态关联,便于快速检索并与业务需求无缝对接。自动化工具提升了版本控制和审批流程效率,使资源管理更为高效。这种整合实现了负载均衡、交换机和异构防火墙策略的统一管理,确保青岛分行灵活应对变动的业务环境和安全需求,保持稳定运营。
智能化决策与创新性策略管理:借助先进的智能需求查询系统,青岛分行不断完善智能化审查机制,通过应用标准化工单模板及堡垒机结合的策略管理方式,分行实现了变更操作的全流程可控。在策略开通流程中嵌入可视化拓扑模型,实现了一键配置生成与智能管理,变革了传统开通模式,夯实了业务创新的基础。
可视化平台与实时动态调适:通过可视化平台,青岛分行显著提升了运维人员的协作效率。数据可通性查询与路径展示功能使业务人员能够直观追踪源至目的路径,提高跨部门协作能力;实时的策略追踪和自动化冗余策略消除功能也确保了策略的迅速部署和调整,实现整体运维效能的显著提升。
图1 策略自动化管理系统架构
(2) 复杂安全环境下的智能化策略管理
智能安全策略编排:为保障业务通信的准确性,青岛分行通过搭建策略自动化配置平台,在提高网络资源利用效率的同时,推动策略优化在数据驱动下为业务发展提供支持。该平台能够动态地收集信息并在部署前进行仿真计算和风险分析,实现了策略的精细化部署与管理。
存量策略收敛治理:在长期的运维过程中,由于历史遗留问题以及网络架构调整,存在一些过于宽泛或不再适用的“大策略”。平台通过流量会话分析功能,动态收集访问日志,对现有策略进行全面评估和优化,精准地自动生成收敛脚本,逐步消除“大策略”,确保策略的精简和有效。显著提高了策略管理的效率和精度,确保了业务安全稳定的运行。
图2 端到端访问路径可视化
卓越成效:安全运营与合规管理的双赢局面
在引入至赛安全策略管理平台之后,青岛分行在信息化“智慧运维”方面取得一系列进展,无论在安全运维的转型升级方面,还是在合规管理的精准化层面均取得了可喜的成就。
(1)策略管理高效智能
通过集中式智能管理,青岛分行提高了网络资源的整合效率,使得管理人员能够在高效的运维环境下对策略进行有效的管理与维护,工作效率较以往提升3倍。
策略文档功能提高了策略的可读性,策略自动化运维功能提升了策略开通的效率与准确度,策略优化分析功能帮助清理无效策略,提升了策略的精准性,这些都大大降低了管理成本,提升了工作效率。
(2) 合规性检查无缝对
网络策略管理平台的实时监控功能,确保所有策略符合当前的安全合规要求和行业标准,该平台无缝对接监管要求,通过五元组最小化策略原则来提升合规性,有效识别并管理敏感端口,避免出现潜在跳板情况。合规性检查功能不仅确保了策略的合法性和有效性,还大幅提升了整体网络运行的稳定性和安全性。
(3)策略管理可视化
策略管理驾驶舱的可视化功能不仅提升了网络管理中故障排查效率,还推动了跨部门沟通和协作,使得整体运作效率大幅度提升,为业务的连贯稳定运行提供坚实保障。
未来展望:新质生产力与金融科技的进一步融合
在金融数字化转型进程里,青岛分行始终积极面对各类挑战,努力积累经验,本次实践也为行业发展提供了一些思路和借鉴。同时,凭借科技赋能,青岛分行将持续地踏实地探索安全与创新的融合之道,力求为金融业朝着更安全、更智能的方向发展增添一份助力。
关于联软NSPM
联软至赛UniNSPM安全策略管理系统通过对全网路由交换、防火墙、负载设备的策略、NAT、路由等数据进行采集和解析,实现对安全策略的集中管理、查询、分析、优化、工单开通等功能;通过对网络设备进行模拟仿真,自动构建网络拓扑模型,在该模型上进行大数据的深度计算,可以实现路径查询、攻击面分析、跳板分析、全网安全域基线检查、策略开通的自动防火墙定位、脚本生成,最终实现策略运维智能化、自动化,安全策略可视化。
主要功能:
策略集中管理
策略采集:联软至赛UniNSPM安全策略管理系统可实现全网防火墙、路由交换、负载均衡等异构品牌、异构型号的网络设备进行统一集中管理;
策略搜索:全网策略、对象快速搜索定位;
变更对比跟踪:不同时间点配置对比,记录每次采集防火墙配置的修改,包括修改的详细技术信息。可比较不同版本的策略、地址对象、服务对象等的变化,也可比较配置文本的差异。
策略梳理
策略优化分析:静态梳理,清理冗余、失效等垃圾策略,提高网络性能;
策略命中分析:动态梳理,通过syslog定期采集防火墙策略命中数,定位高使用率策略;
策略流量分析:收集防火墙syslog并提取五元组信息,关联到对应策略从而梳理该策略的明细流量;梳理策略和业务的关系;防火墙策略端口收敛;
合规性检查:定期检查策略是否开放高危端口如telnet、源目地址和端口是否存在any。
策略可视
可视化拓扑:获取全网三层网络设备配置进行解析建模,构建全网三层逻辑拓扑;仿真计算;
路径查询:输入源地址、目的地址、服务,可查看路径、经过的设备、匹配的策略及路由;
攻击面/跳板分析:输入两个网段或者安全域,查看策略的放通关系,可以查看外网到内网的放通情况,也可计算全网任意两点是否跳板可达;
域间基线检查:根据自定义安全区域,计算域间是否存在放通的访问关系,可以添加黑白名单, 实现违反策略基线访问关系的告警。
策略运维
路径查询:输入网段或者安全域,查看数据的放通情况,可以进行攻击面的分析;
策略规划:针对新的开通需求(源地址、目的地址、端口),策略自动化可以通过全网拓扑模型,进行路径计算,展示出经过的防火墙和放通情况;
策略生成:同时可将策略建议转换成命令脚本;
策略下发:实现策略开通、策略批量下发、下发验证回退、一键封堵等多项功能;
联软至赛UniNSPM安全策略管理系统模型图
主要优势:
丰富的拓扑布局模型
支持多种拓扑自动布局算法,包括圆环、层次、有机、正交等布局,支持全局自动布局和局部自动布局。
攻击视角的访问路径分析
可查询任意两个网段或者安全域是否可以通过跳板访问,显示跳板路径。
场景化模板编排
可以编排NAT策略、安全策略模板、自定义脚本,实现场景化的运维功能。
先进的算法引擎
路径与全网访问关系的仿真计算,速度更快,性能更好。
主要价值:
高效、精确策略运维。
安全策略闭环管理。
安全策略可视化。
典型应用场景:
策略梳理
可以定义审计项,对不合规的端口或放行过大的策略进行检查,梳理出不符合要求的策略。
集中管理
集中纳管现网所有防火墙、路由交换,实现全网的集中管理,可以快速全网搜索地址、服务,以及对应策略导出,提高运维效率。
自动计算
对于开通工单,平台可以自动计算路径判断是否已有策略放通,没有放通的定位设备给出规划建议和脚本。
跟踪配置变化
记录设备的变更情况,对不同配置版本进行比较跟踪管理,帮助管理员及时了解配置变化详情。
发布于:广东省瑞和网配资-杠杆买股票-炒股配资平台-五倍股票杠杆提示:文章来自网络,不代表本站观点。
