標題：實戰丨推進全行集約化運維，賦能業務數字化轉型——中信銀行網絡安全策略可視化管理平臺建設實踐

來源：金融電子化

作者：中信銀行 劉小娜 徐袁媛 任子建 宋義華

IT運維體系是IT系統效能發揮的重要保障。近年來，中信銀行秉承“新技術驅動、價值導向”的科技創新理念，積極推進全行IT運維體系向集約化、自動化、智能化方向轉變，持續保障IT系統的安全穩定和敏捷高效，最大限度釋放IT系統的支撐效能，為經營業務的創新與轉型賦能。

防火墻訪問控制策略變更管理是運維工作的重要內容，占網絡運維部門整體工作量的30%以上，變更工作的效率和效果同時制約著銀行業務的敏捷性與安全性，是中信銀行全行集約化運維體系建設必須解決的重點難點問題。

全行集約化運維轉型的背景與思路

中信銀行在推行集約化運維前，總/分行獨立承擔運維工作，能力參差不齊，對廠商依賴嚴重，難以實現全行統籌規劃和統一管理，“運維孤島”長期存在，運維部門人力總處于相對不足狀態，安全合規難度大、風險高。

隨著總行運維能力的日益增強，以云平臺為代表的各種先進技術和工具快速推廣，數據中心服務能力成熟度穩步提升。為全面提升總/分行運維部門的工作效率和效果，總行積極推進集約化運維工作，從機房、系統、網絡、流程、運行、合規和安全7個方面進行全方位建設，構建全行一體的運維模式，從根本上解決運維工作面臨的問題，助力全行科技轉型。

策略統一管理成為必須解決的難題

隨著信息安全管理制度的不斷完善，以及相關監管機構對網絡安全防護要求的不斷提高，中信銀行在內、外部網絡區域邊界均部署有大量的防火墻設備，通過設置嚴格的網絡訪問控制策略，實現網絡安全域的劃分與隔離，在網絡層面落地最小特權原則。

網絡訪問控制策略是中信銀行多層次、立體化信息安全防護體系的重要基礎，但在實際運維中存在著諸多挑戰，在集約化運維模式下這些問題更加凸顯。

1、網絡訪問控制策略運維體量大

總/分行防火墻數量總計幾百臺，策略數量整體在百萬條以上，相關的配置完全由網絡管理員人工編寫，策略變更頻繁，導致日常變更工作量大。2018年全年和2019年上半年網絡訪問控制策略的變更量達到5000條以上，平均每周變更在70條以上。策略變更工作量占到網絡運維部門整體工作量的30%以上。

2、網絡訪問控制策略開通效率低

防火墻之間的網絡訪問控制策略關聯度高、配置復雜、變更步驟準備時間長，導致策略變更周期為3-5個工作日，無法滿足OKR指標對上線周期的要求。隨著集約化運維模式的推進，總行管理工作量將成倍增加，現行的人工模式無法支撐集約化運維。

3、網絡訪問控制策略合規風險高

國家、行業監管機構與銀行業務等多個層面對網絡安全的要求日益提升，網絡訪問控制策略是網絡安全防御體系的重要基礎，同時關聯網絡連通性和網絡安全性，網絡安全等級保護2.0標準中對網絡訪問控制策略集中管理與精細化管理有明確的要求。

中信銀行網絡訪問控制策略數量大、變更頻繁、管理分散，策略實施效果評估、安全風險評估與合規審計工作難度極大，缺少系統化與自動化的管理手段，不利于安全管理水平的進一步提升。

網絡安全策略可視化平臺建設實踐

1、建設目標

2019年，在全面推進集約化運維工作的背景下，中信銀行啟動了面向總行與37家分行的網絡安全策略可視化管理平臺建設項目，主要目標如下：

（1）集中納管總/分行網絡連接類與訪問控制類設備，包括防火墻、路由器、三層交換機、負載均衡。平臺管理設備規模不少于10000臺，支持性能橫向擴展；兼容現網使用的所有設備品牌型號，并支持業內主流品牌設備的快速擴容適配。

（2）優化現有的網絡訪問控制策略變更流程，并實現全流程自動化，提升策略變更交付效率，匹配新業務上線與網絡變更的敏捷性要求。

（3）支持策略風險規則與安全合規基線設定，實現對全網存量網絡訪問控制策略進行定期檢查審計，及時發現問題策略，并給出相應處置建議。在策略變更過程中，支持對新增策略進行自動化風險評估，以直觀報告形式支撐安全管理部門審批工作，實現網絡訪問控制策略持續安全合規可控。

2、總體架構

平臺整體采用模塊化分層結構，分為數據處理、基線建模、管理應用三個層面，每層包含若干功能模塊。平臺各功能模塊均對外封裝API接口，靈活接受調用與業務編排。實現全行集約化運維系統的大集成。（見下圖）

圖：網絡安全策略可視化管理平臺架構圖

數據處理層主要解決策略配置數據標準化南北向轉換的工作。北向實現策略配置數據采集和解析，采集方式支持SSH直接采集與CMDB同步方式，通過不同品牌設備的配置解析插件，將全網不同語法的策略配置文件解析為統一標準的策略數據表達格式，同時解析與路徑分析相關的IP子網、路由、NAT等數據。南向與北向工作機制相反，實現將標準的策略配置數據按需翻譯成不同類型、品牌、型號設備的配置腳本，配置腳本生成按預設規范進行，確保統一合規。

基線建模層是平臺的核心，主要完成策略數據計算與合規基線設定，支持上層模塊調用完成各類策略管理應用。策略分析模塊逐條計算策略規則間的沖突與包含關系，分析策略問題；拓撲建模與安全域管理模塊，主要實現全局端到端網絡邏輯路徑與安全訪問控制路徑的仿真，生成安全域拓撲；域間基線與策略風險規則模塊支持按照相關管理要求預設策略風險規則，支撐上層模塊的風險評估應用。

管理應用層基于運維業務的視角，調用核心層計算結果或引用相關基線規則，封裝各類策略管理APP，完成特定的策略管理工作。策略合規檢查模塊主要完成垃圾策略、寬松策略、風險策略的檢查，輸出策略合規檢查報告。安全拓撲模塊提供全局可視化拓撲展示，支持按百度地圖方式進行端到端的安全訪問路徑查詢，可用于網絡故障排查與安全事件分析。網絡暴露分析模塊基于全網視角對網絡訪問控制策略的設置效果進行量化評估，可用于網絡層暴露風險的收斂與網絡安全基礎架構的優化。策略全流程自動化變更管理模塊按業務流程串聯了路徑仿真、策略檢查、風險分析、配置腳本生成等平臺能力，實現策略變更全過程的自動化與可視化。

3、效果總結

平臺自2019年11月正式上線以來，累計納管總/分行設備超過13000臺，網絡訪問控制策略變更工作實現了全流程自動化和服務化，變更流程周期由原來的3-5個工作日縮短為一天，加急狀態下可隨時交付。同時，釋放了四分之三的人力資源用于其他業務創新，真正落地了“用人開發系統，用系統維護系統”的IT運維理念，中信銀行策略運維工作率先進入“四化”階段。

設備管理集中化。實現全行異構品牌防火墻設備及路由器、三層交換機、負載均衡設備的統一管理，形成了全局IP網段資產動態臺賬、網絡訪問控制策略標準列表、NAT轉換關系數據庫與多級可視化安全拓撲視圖，這幾點對于網絡運維與網絡安全均具有重要價值。

策略變更自動化。自動分析業務訪問控制策略開通的需求，智能定位業務路徑開通相關的總/分行防火墻設備或其他網絡訪問控制設備，自動化進行安全風險分析與配置腳本生成，開通結果自動化驗證。策略變更工作準確率達到100%，策略變更交付效率提升300%。

管理平臺服務化。管理平臺與服務流程平臺、開發運維一體化平臺實現無縫集成，以自服務的方式實現業務路徑自助查詢、策略變更工單自助申請，變更過程與結果可視化返回，完成策略變更流程再造的同時，做到了“策略變更即服務”。

安全合規系統化。實現全行網絡訪問控制策略的一體化、全生命周期管理?？傂邢嚓P安全規范以規則形式預設于管理平臺中，建立統一的基線系統，全行的網絡訪問控制策略基于統一標準進行規范化管理與合規審計，策略安全合規工作更高效、更客觀、更持續。