文 / 交通银行青岛分行 王兵 史广轶 李悦
在全球数字化浪潮和我国新质生产力的双重驱动下,银行业正迅速向智慧银行、科技银行、数据银行的方向进行全面数字化转型,在满足客户日益多样化需求的过程中,提升科技的应用管理水平,利用科技赋能已成为增强各行自身竞争力的重要手段。在这一背景下,网络安全与运维能力对业务的稳定支撑起到了保驾护航的关键作用,交通银行青岛分行(以下简称“青岛分行”)在网络安全策略管理这一细分技术领域进行了积极探索,通过技术创新并结合多年的分行运行维护工作和经验总结,在网络安全策略管理的应用场景中进行了实践并达到预期效果。
运维难点:安全策略管理的现状及挑战
近年,金融系统的安全事件时有发生,这对银行补短板、强基础,不断提升网络安全防护水平提出更高要求,行内网络安全关注度和工作量不断增加;同时在分行业务侧的发展中,如何既要保证业务的连续性和安全稳定运行,又要支撑敏捷的业务和满足多样化的客户需求,对分行的安全运行维护提出了更高的要求。于青岛分行而言,安全策略的管理运行维护是其中的一个重要工作内容,在“最小授权原则”下确保每一用户权限只可访问其必要的信息,如何实施严谨的网络访问控制策略和精细的安全域划分,成为应对这些难题的重要手段。然而,伴随科技进步和监管深化,切实有效的安全策略管理仍面临以下挑战:
(1) 策略管理复杂性与传统变更管理的局限
网络安全策略需适应新威胁并动态调整,以满足实际的业务需求及保障安全。然而,策略的创建需求往往来自于不同部门或系统,缺乏统一的管理和高效的检索机制,无法将策略与业务需求实时关联,紧急情况下,策略需求的关键信息无法被迅速定位,影响了安全响应的速度和效率。同时,由于某些策略的频繁修订,需要确保所有相关人员都能及时获取最新的业务变化,并准确理解变更内容,任何信息的滞后或误解都可能为安全体系留下漏洞。另外,依赖人力的传统手动操作变更管理模式效率低下,且易引发系统安全隐患,引入新的系统风险,影响新策略执行的速度和准确性。
(2) 策略可视化与策略清理、查重、合规审计
金融系统数据中心网络分区分域规范使得业务的访问关系经过多个安全设备,部分访问关系还需要经过双向地址转换,当需要确认某个访问关系通断情况时,通常需要分别登录通讯路径上每个设备进行查询,缺乏集中统一视角,查询效率低下且易出错。安全策略的需求来源广泛且多样,这导致安全策略在创建过程中极易出现重复或冲突的情况,需求查重成为一项艰巨任务,技术人员需要仔细比对现有安全策略,一方面要确保在策略开通流程中不纳入重复需求,另一方面要识别并解决潜在的需求冲突,以此维护安全策略的一致性和有效性。
安全策略的数量随着时间不断累加,在上万条策略中,清理隐藏、冗余、过期的策略变得尤为重要。通过自动化策略清理能够减少人工操作,有助于实现配置合规审计管理保持策略一致性与有效性,进而灵活应对多样化的业务需求。此外,由于策略繁多、配置复杂、设备品牌各异,难以准确规划和设计防火墙策略,所以容易导致误开通的情况,需加强策略审计,提高策略管理的效率,确保策略合规性。
(3) 架构调整与策略收敛的挑战
随着网络架构的快速迭代,网络架构调整后缺乏系统访问关系清单,增加了策略部署的难度和精准度,此外,历史遗留的宽泛策略也影响了管理精度。如何对宽泛策略进行收敛,缩小风险暴露面,也是金融机构安全策略管理亟待解决的问题。
科技赋能:安全策略管理的创新驱动
在金融行业的数字化转型中,网络安全策略管理不仅是技术问题,更是安全管理和效率提升的关键要素,对青岛分行网络安全和业务连续性起到重要作用。
(1) 构建全方位智能安全策略管理体系
高可用容器技术与自主化平台结合:为应对不断变化的安全威胁,青岛分行搭建智能化的安全策略管理系统。该系统采用容器技术进行部署,底层使用Docker和Kubernetes(k8s)进行容器集群管理,以满足高效、灵活的使用需求,同时积极推动自主创新,采用自主知识产权技术解决方案,确保安全防护的本地化适应性,同时增强抵御风险的能力。
集中策略管理与自动化工具的融合:青岛分行通过集中管理和自动化工具的结合,实现了高效的策略管理和运维。所有网络策略能够集中存储,策略文档与安全策略动态关联,便于快速检索并与业务需求无缝对接。自动化工具提升了版本控制和审批流程效率,使资源管理更为高效。这种整合实现了负载均衡、交换机和异构防火墙策略的统一管理,确保青岛分行灵活应对变动的业务环境和安全需求,保持稳定运营。
智能化决策与创新性策略管理:借助先进的智能需求查询系统,青岛分行不断完善智能化审查机制,通过应用标准化工单模板及堡垒机结合的策略管理方式,分行实现了变更操作的全流程可控。在策略开通流程中嵌入可视化拓扑模型,实现了一键配置生成与智能管理,变革了传统开通模式,夯实了业务创新的基础。
可视化平台与实时动态调适:通过可视化平台,青岛分行显著提升了运维人员的协作效率。数据可通性查询与路径展示功能使业务人员能够直观追踪源至目的路径,提高跨部门协作能力;实时的策略追踪和自动化冗余策略消除功能也确保了策略的迅速部署和调整,实现整体运维效能的显著提升。
图1 策略自动化管理系统架构
(2) 复杂安全环境下的智能化策略管理
智能安全策略编排:为保障业务通信的准确性,青岛分行通过搭建策略自动化配置平台,在提高网络资源利用效率的同时,推动策略优化在数据驱动下为业务发展提供支持。该平台能够动态地收集信息并在部署前进行仿真计算和风险分析,实现了策略的精细化部署与管理。
存量策略收敛治理:在长期的运维过程中,由于历史遗留问题以及网络架构调整,存在一些过于宽泛或不再适用的“大策略”。平台通过流量会话分析功能,动态收集访问日志,对现有策略进行全面评估和优化,精准地自动生成收敛脚本,逐步消除“大策略”,确保策略的精简和有效。显著提高了策略管理的效率和精度,确保了业务安全稳定的运行。
图2 端到端访问路径可视化
卓越成效:安全运营与合规管理的双赢局面
在引入至赛安全策略管理平台之后,青岛分行在信息化“智慧运维”方面取得一系列进展,无论在安全运维的转型升级方面,还是在合规管理的精准化层面均取得了可喜的成就。
(1)策略管理高效智能
通过集中式智能管理,青岛分行提高了网络资源的整合效率,使得管理人员能够在高效的运维环境下对策略进行有效的管理与维护,工作效率较以往提升3倍。
策略文档功能提高了策略的可读性,策略自动化运维功能提升了策略开通的效率与准确度,策略优化分析功能帮助清理无效策略,提升了策略的精准性,这些都大大降低了管理成本,提升了工作效率。
(2) 合规性检查无缝对
网络策略管理平台的实时监控功能,确保所有策略符合当前的安全合规要求和行业标准,该平台无缝对接监管要求,通过五元组最小化策略原则来提升合规性,有效识别并管理敏感端口,避免出现潜在跳板情况。合规性检查功能不仅确保了策略的合法性和有效性,还大幅提升了整体网络运行的稳定性和安全性。
(3)策略管理可视化
策略管理驾驶舱的可视化功能不仅提升了网络管理中故障排查效率,还推动了跨部门沟通和协作,使得整体运作效率大幅度提升,为业务的连贯稳定运行提供坚实保障。
未来展望:新质生产力与金融科技的进一步融合
在金融数字化转型进程里,青岛分行始终积极面对各类挑战,努力积累经验,本次实践也为行业发展提供了一些思路和借鉴。同时,凭借科技赋能,青岛分行将持续地踏实地探索安全与创新的融合之道,力求为金融业朝着更安全、更智能的方向发展增添一份助力。
新媒体中心
主任 / 邝源
编辑 / 姚亮宇 傅甜甜 张珺 邰思琪
