1、80FINANCIAL COMPUTER OF CHINAIT PRACTICEIT 实践数字化转型背景下,江西省农村信用社联合社(以下简称“江西农信”)先后历经数据中心搬迁、业务系统切换演练、业务上线以及设备升级替换等多个阶段,其间涉及防火墙、路由器、交换机、负载均衡等领域一万余条策略的梳理和优化,而一旦面临业务切换等操作,网络策略梳理压力非常大。对此,江西农信在归纳网络安全策略梳理难点的基础上,结合不同阶段的实施要点总结了优化建议,希望能够为中小金融同业提供有价值的参考和借鉴。一、策略优化难点和预期目标在十多年的发展历程中,由于不同运维人员的风格不同以及不同设备的运维操作不同,导致当前设备
2、上的安全策略存在数量多且杂的特点。经分类分析,当前设备的安全策略主要面临四方面问题:一是大权限策略。由于各种历史原因,当前设备上存在一些权限比较大的江西农信网络安全策略优化梳理实践摘要:随着业务的发展和网络规模的变化,防火墙网络策略也变得越来越繁杂,甚至存在策略冗余和权限过大等情况。对此,本文结合江西农信对数据中心级别网络策略的梳理优化实践,在分析网络策略优化目标和梳理思路的基础上,详述了策略梳理过程中历经的不同阶段,以及行之有效的实施要点和建议。关键词:安全策略;权限策略;自动化梳理江西省农村信用社联合社 夏侯春洪 黄顺欢策略,如源地址、目的地址或端口范围等。二是隐藏策略。由于安全策略通常按
3、“顺序优先”原则生效,如果前面已部署了权限较大的策略,则位于后面的策略易被隐藏。三是冗余策略。对于变更时需要人工操作的情况,极易在未检查当前策略的情况下设定重复策略,此时该策略即会被认定为冗余策略。四是过期策略。如果有业务系统已经不用或下线,则由此导致的长时间未有命中记录的策略即称之为过期策略。针对上述问题,江西农信制定了如下策略梳理目标:一是消除大权限策略,二是删除隐藏策略,三是合并冗余策略,四是清理过期策略,并据此为后续网络变更和运维定制合规规则。二、策略优化的思路和方法1.优化思路针对当前设备存在的配置问题,江西农信结合实际812023.08 中国金融电脑IT 实践IT Practice
4、业务系统需求,以“权限最小化”为目标,以“安全稳定运行”为前提,以“轻重缓急”为分类原则,从三方面总结了策略优化思路(如图 1 所示)。选择从会话日志中梳理出基于五元组的明确策略。2.流程规划基于以上优化思路分析,江西农信结合自身设备配置现状,将实施流程大体分为信息收集、数据分析、操作实施、事后跟踪等阶段逐步推进(如图 2 所示)。在信息收集阶段,主要是收集设备信息和主机信息。其中,设备信息包括防火墙、路由器和负载设备的配置类型与访问方式等;主机信息则包括应用负载和服务器节点的 IP 地址与访问端口。在数据分析阶段,主要是针对网络设备或服务器信息按不同维度进行关联分析。例如,基于访问链路维度,
5、可进一步划分出互联网业务、外联业务、管理业务以及开发测试业务等领域的不同设备,前两者还包括边界设备,后两者主要是内部设备;基于业务系统维度,则可划分为客户端、负载端、Web 端和数据库存储等。在操作实施阶段,主要任务是在不同设备上实施相应操作,以完成对大权限策略的收敛以及对冗余策略、隐藏策略、过期策略的清理,进而达到策略梳理优化的目的。值得注意的是,操作过程需遵循“轻重缓急”的分类标准和以“业务稳定运行”为前提,循序渐进地推荐实施。在事后跟踪阶段,主要基于“禁用后观察、确认再删除”等实施原则,力求将策略优化的影响降到最低。例如,针对某些特殊的访问频率不高的策略,如出现因观察时间不够导致其被误删
6、除的情况,应做好标记,并在发现问题的第一时间立即恢复策略,以最大限度降低策略梳理对业务造成的影响。图 1 策略优化思路收敛大权限策略循环执行梳理会话日志小权限前移过期策略重复策略冗余策略隐藏策略可以删除的策略策略优化首先,删除隐藏策略、冗余策略和过期策略。基于策略分析结果,江西农信针对隐藏策略和冗余策略,选择采取先禁用观察、后确认删除的方案,逐步完成该类策略的清理,以进一步减轻设备负担、优化设备配置。其次,将小权限策略位置前移。针对部分权限比较大的策略,江西农信结合上下游设备配置,选择在五元组(包括源 IP 地址、源端口、目的 IP 地址、目的端口和传输层协议源 IP 地址)的基础上进一步缩小
7、范围,并将该策略移到大权限策略之前,进一步观察后者的命中记录,之后再选择实施窗口将其禁用删除。最后,基于会话日志收敛大权限策略。针对部分无法确定范围的大权限策略,江西农信开启会话日志,并图 2 策略实施流程信息收集数据分析操作实施事后跟踪设备信息访问链路权限收敛禁用观察主机信息业务系统权限删除特殊标记82FINANCIAL COMPUTER OF CHINAIT PRACTICEIT 实践三、江西农信策略梳理实践及关注要点实践中,江西农信结合数据中心搬迁、业务系统同城切换演练、网络设备升级替换和业务系统上云等发展历程,先后经历手工方式、半自动化方式等不同阶段,逐步构建了自动化策略梳理系统。基于
8、此,笔者针对各阶段总结归纳了关注要点,以期为处于不同阶段的中小金融同业提供有益参考和借鉴。1.手工梳理阶段手工梳理方式主要指手动在各分区防火墙上导出策略,人工核对源 IP、目的 IP 以及服务端口,并按照三大类对策略整体进行初步筛选:可以去除的策略包括标注冗余策略、重复策略以及失效策略;可以缩小的策略即大权限策略,包括较大的目的 IP 和端口段等;需要确认的策略包括敏感端口、病毒传播端口等。在此基础上,还可分别对不同的策略进行颜色标记,并将其与业务部门或应用科室进一步确认,同时要求在双人或多人复核后再进入下一步处理阶段。值得注意的是,手工梳理阶段对操作人员的仔细程度是一个考验,并需要其对网络设
9、备和网络对象较为熟悉,比如网段表示形式可以用掩码和反掩码,操作时易出现失误,因此建议由双人或多人复核完成。2.半自动化阶段半自动化梳理是在手工梳理的基础上,通过针对五元组编写核对脚本,自动筛选出重复策略和冗余策略,同时基于设备访问日志,还可对部分大权限策略起到进一步的收敛作用。例如,通过比对设备配置,将权限最大的策略移动到最后,同时开启大权限的访问日志,并把日志导入日志服务器,再定期用自动化脚本分析服务器日志,将新的访问记录从海量日志中过滤出来,经人工确认后将其加入前面的策略当中。如此反复,大权限策略的访问日志将越来越少,从而达到禁用该策略的目的。值得注意的是,半自动化梳理主要体现在网络参数的
10、合并和判断方面,可以用脚本来替代人工,但对脚本的质量要求较高。同时,在大权限策略收敛的过程中,其实现方式也将从传统针对业务部门或应用科室的访谈转变为防火墙上的会话日志聚合。此外,关于半自动化方式的最终结果也建议与人工复核相配合,以规避编程方面可能存在的逻辑漏洞风险。3.自动化分析阶段伴随网络安全技术的不断发展和进步,行业内出现了自动化的策略分析管理工具,该类软件通过纳管主流厂商的各种防火墙和其他安全设备,不但能实现配置读取分析和服务状态探测,还支持流程管理和策略下发功能。在数据中心搬迁过程中,江西农信引入自动化策略分析管理工具,通过输入业务系统的主机 IP 地址,即可自动列出当前所有设备的相关
11、配置策略,并对隐藏策略、冗余策略、大权限策略等进行颜色标注,同时直观地提出策略优化建议。值得注意的是,尽管自动化工具可以大幅提升工作效率,但中小金融机构应基于自身网络实情,针对不同类型工具进行适配性测试,以尽可能选出最符合自身发展阶段的自动化策略分析管理工具。数字化转型过程中,江西农信经历了主数据中心、灾备数据中心和异地灾备中心建设,共计完成数百套业务系统迁移及一万余条策略的梳理和优化,并总结提出了“循序渐进、轻重缓急、先易后难”等落地原则。下一步,江西农信将尝试把策略梳理系统逐步延伸到变更流程自动对接、线路运维可视化等方面,加速推动网络策略运维朝着更为自动化和智能化的方向转变,更好助力银行业务快速稳健发展。参考文献:1 曹振华.基于网络流向的烟草企业网络安全策略研究J.信息安全与管理,2018(14).2 温长洋.防火墙运维自动化工具的设计与实现J.中国金融电脑,2010(11).栏目编辑:郑清源
浙ICP备2021020529号-1 | 浙B2-20240490 
