国产欧美精品综合一区二区三区,日产精品一卡2卡三卡四卡区别,国产免费一区二区三区不卡,亚洲 欧美 成人 自拍 高清,亚洲精品suv精品一区二区

轉(zhuǎn)載自 金融電子化 第319期

作者 國(guó)家開(kāi)發(fā)銀行信息科技部 衛(wèi)劍釩 夏曉峰

好看的皮囊千篇一律，有趣的靈魂萬(wàn)里挑一。拋開(kāi)現(xiàn)象看本質(zhì)，網(wǎng)絡(luò)安全的靈魂是什么？如果把防火墻等硬件看作皮囊的話，它們的靈魂就是安全策略，沒(méi)有靈魂的防火墻是脆弱的、無(wú)用的，也是孤獨(dú)的。

當(dāng)前，大多數(shù)金融機(jī)構(gòu)的防火墻策略采用人工方式進(jìn)行管理。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大與業(yè)務(wù)的頻繁變更，策略規(guī)則的數(shù)量與日俱增，效果評(píng)估難以完成，合規(guī)性難以保證。IDC早在2018年就建議安全廠商重視策略管理。Gartner在2019年預(yù)測(cè)“至2023年，99%的防火墻被突破是由策略配置錯(cuò)誤引起的，而不是防火墻自身缺陷”，并定義了網(wǎng)絡(luò)安全策略管理技術(shù)（NSPM）。

從網(wǎng)絡(luò)安全角度看，防守者不僅需要設(shè)備本身，更需要一套完整的訪問(wèn)控制管理機(jī)制，防火墻作為安全邊界的第一道防線，自然成為這套機(jī)制的重要載體。我們將訪問(wèn)控制的決策機(jī)制稱為“策略中臺(tái)”，或網(wǎng)絡(luò)訪問(wèn)控制策略運(yùn)維平臺(tái)。

一、金融機(jī)構(gòu)訪問(wèn)控制策略管理現(xiàn)狀

目前國(guó)家開(kāi)發(fā)銀行網(wǎng)絡(luò)安全訪問(wèn)控制策略管理工作主要以安全運(yùn)維人員為主，其主要內(nèi)容、方式和面臨的問(wèn)題有：

通過(guò)人工方式對(duì)存量訪問(wèn)控制策略中的風(fēng)險(xiǎn)點(diǎn)進(jìn)行定期梳理整改，如是否開(kāi)放高危端口、存在跨安全域訪問(wèn)、是否允許特定源和目的的訪問(wèn)、定期優(yōu)化存量策略（冗余、掩蓋、失效條目）等。

面臨問(wèn)題：訪問(wèn)控制策略數(shù)量龐大，通過(guò)人工定期、逐條篩查，工作量較大；設(shè)備廠商類型多，策略表達(dá)方式各不相同；缺乏標(biāo)準(zhǔn)操作規(guī)范。

流程為：需求方提出訪問(wèn)控制策略需求->安全運(yùn)維人員根據(jù)管理要求進(jìn)行合規(guī)評(píng)估->登錄安全設(shè)備確認(rèn)策略是否開(kāi)通->手工編寫策略開(kāi)通腳本->通過(guò)自動(dòng)化平臺(tái)下發(fā)執(zhí)行->通知需求方驗(yàn)證訪問(wèn)控制策略是否開(kāi)通。

面臨問(wèn)題：策略開(kāi)通需求量大，人工操作環(huán)節(jié)過(guò)多；檢查內(nèi)容復(fù)雜且數(shù)量較多，效率不高且人為失誤率高；各運(yùn)維人員編寫腳本差異性較大。

遇到業(yè)務(wù)訪問(wèn)異常需要排查訪問(wèn)控制策略時(shí)，由運(yùn)維人員根據(jù)訪問(wèn)路徑逐一確認(rèn)策略開(kāi)通情況，再由管理員逐臺(tái)登錄設(shè)備進(jìn)行訪問(wèn)控制列表篩查，最終確認(rèn)策略開(kāi)通情況。

面臨問(wèn)題：根據(jù)策略路徑節(jié)點(diǎn)逐個(gè)分析效率低，且依賴運(yùn)維人員個(gè)人對(duì)各網(wǎng)絡(luò)區(qū)域的熟悉程度和技術(shù)技能。

二、網(wǎng)絡(luò)訪問(wèn)控制策略運(yùn)維平臺(tái)建設(shè)與實(shí)踐

Gartner在2019年的一篇技術(shù)觀察中對(duì)網(wǎng)絡(luò)安全策略管理(NSPM：Network security policy management）進(jìn)行了定義：NSPM超越了防火墻供應(yīng)商提供的用戶策略管理界面，提供異構(gòu)環(huán)境下集中的安全策略可視化控制能力，NSPM將整網(wǎng)的設(shè)備及其訪問(wèn)控制規(guī)則映射為虛擬網(wǎng)絡(luò)拓?fù)?，為?guī)則優(yōu)化、變更管理工作流、規(guī)則仿真、合規(guī)性評(píng)估與可視化提供分析和審計(jì)能力。

參考Gartner關(guān)于NSPM的定義，結(jié)合現(xiàn)階段國(guó)家開(kāi)發(fā)銀行防火墻策略的管理方法與管理體系的調(diào)研，網(wǎng)絡(luò)訪問(wèn)控制策略運(yùn)維平臺(tái)采用模塊化分層結(jié)構(gòu)。

圖2 網(wǎng)絡(luò)訪問(wèn)控制策略運(yùn)維平臺(tái)總體架構(gòu)

基礎(chǔ)軟件層

采用分布式文件存儲(chǔ)系統(tǒng)HDFS、分布式數(shù)據(jù)庫(kù)Hbase、分布式文檔存儲(chǔ)數(shù)據(jù)庫(kù)MongoDB提供最基礎(chǔ)的大數(shù)據(jù)存儲(chǔ)；采用分布式批量處理框架MapReduce，實(shí)時(shí)處理使用Spark流式數(shù)據(jù)，實(shí)現(xiàn)分布式存儲(chǔ)的分布式計(jì)算。

數(shù)據(jù)服務(wù)層

平臺(tái)采集所有影響網(wǎng)絡(luò)數(shù)據(jù)路徑和訪問(wèn)規(guī)則的三層網(wǎng)絡(luò)設(shè)備配置。將多種不同來(lái)源數(shù)據(jù)按照統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)匯聚存儲(chǔ)，分析建模，形成原始素材數(shù)據(jù)存儲(chǔ)庫(kù)，并可對(duì)外提供策略數(shù)據(jù)的共享服務(wù)接口。

業(yè)務(wù)應(yīng)用層

平臺(tái)對(duì)數(shù)據(jù)服務(wù)層采集和匯聚的數(shù)據(jù)，根據(jù)業(yè)務(wù)需求和應(yīng)用需求，整合為業(yè)務(wù)資產(chǎn)管理模塊、策略挖掘與分析模塊、業(yè)務(wù)策略基線庫(kù)、攻擊面分析模塊、策略開(kāi)通模塊等主要功能，實(shí)現(xiàn)訪問(wèn)控制策略的全生命周期管理。

用戶展示層

采用B/S架構(gòu)，通過(guò)可視化的手段，將數(shù)據(jù)采集及分析的結(jié)果，按照大屏展示、功能模塊、配置需求、管理需求等，以簡(jiǎn)單直觀的方式展示給用戶。

異構(gòu)設(shè)備訪問(wèn)控制策略集中管理

平臺(tái)通過(guò)在線采集方式定期抓取防火墻、路由交換、負(fù)載均衡等網(wǎng)關(guān)設(shè)備的策略配置及路由表信息，采用歸一化方式解析存儲(chǔ)到統(tǒng)一的安全策略模型中，最終實(shí)現(xiàn)對(duì)異構(gòu)品牌設(shè)備的各類訪問(wèn)控制策略的集中展示、查詢、導(dǎo)出、分析等功能。

安全策略配置檢查與優(yōu)化分析

防火墻策略由于日積月累、頻繁變更等原因造成很多僵尸策略，安全策略配置檢查是將配置文件中的安全策略逐一與其它策略進(jìn)行比對(duì)分析，判斷相互之間的包含與被包含關(guān)系，最終檢查分析判斷是否為冗余策略或隱藏策略，以及是否存在可合并策略和空策略等，管理員可根據(jù)分析結(jié)果進(jìn)行精簡(jiǎn)和優(yōu)化調(diào)整。

邏輯安全域拓?fù)渥詣?dòng)生成

通過(guò)解析防火墻、路由交換設(shè)備的配置，計(jì)算設(shè)備間的互聯(lián)關(guān)系，在拓?fù)渖献詣?dòng)通過(guò)子網(wǎng)連線體現(xiàn)出來(lái)，依次遞歸遍歷所有網(wǎng)關(guān)設(shè)備，自動(dòng)形成全網(wǎng)邏輯拓?fù)?；在此基礎(chǔ)上，通過(guò)人工干預(yù)安全域及資產(chǎn)信息，描繪安全域架構(gòu)拓?fù)洹?/span>

端到端全路徑分析

實(shí)現(xiàn)任意源地址到目的地址的訪問(wèn)路徑及數(shù)據(jù)流分析，包括是否有可達(dá)路徑、可達(dá)路徑經(jīng)過(guò)的節(jié)點(diǎn)及命中的路由及策略信息、允許或拒絕的數(shù)據(jù)流詳情等；訪問(wèn)路徑分析時(shí)，通過(guò)源地址定位到對(duì)應(yīng)的網(wǎng)關(guān)設(shè)備，再通過(guò)網(wǎng)關(guān)設(shè)備上的路由逐一尋找下一網(wǎng)關(guān)，直到目的地址；期間需匹配網(wǎng)關(guān)設(shè)備上的ACL策略、NAT策略、路由、安全策略等信息。

訪問(wèn)控制策略自動(dòng)開(kāi)通

訪問(wèn)控制策略自動(dòng)開(kāi)通包括開(kāi)通業(yè)務(wù)請(qǐng)求、模擬仿真分析、開(kāi)通選路建議、策略風(fēng)險(xiǎn)分析、策略配置自動(dòng)生成及策略開(kāi)通驗(yàn)證等多個(gè)環(huán)節(jié)，通過(guò)全流程化、自動(dòng)化的方式減輕訪問(wèn)控制開(kāi)通業(yè)務(wù)工作量，并確保變更內(nèi)容的準(zhǔn)確。

實(shí)現(xiàn)全網(wǎng)安全策略集中可視化管理

國(guó)家開(kāi)發(fā)銀行通過(guò)部署訪問(wèn)控制策略運(yùn)維平臺(tái)，實(shí)現(xiàn)對(duì)全網(wǎng)異構(gòu)品牌的防火墻、交換路由、負(fù)載均衡等設(shè)備的安全策略、路由策略、NAT策略等配置信息的自動(dòng)采集、解析和存儲(chǔ)。同時(shí)通過(guò)可視化展現(xiàn)方式，對(duì)策略業(yè)務(wù)邏輯統(tǒng)一展示，使訪問(wèn)控制策略可讀性和可維護(hù)管理性大大提高。

策略優(yōu)化檢查，落實(shí)信息安全最小化原則

國(guó)家開(kāi)發(fā)銀行防火墻等網(wǎng)絡(luò)安全設(shè)備由于長(zhǎng)時(shí)間使用，產(chǎn)生了較多不必要的、重復(fù)的安全策略，這類策略嚴(yán)重影響設(shè)備運(yùn)行效率，也不符合信息安全管理規(guī)范，同時(shí)還存在被惡意軟件利用和攻擊的安全隱患。網(wǎng)絡(luò)訪問(wèn)策略運(yùn)維平臺(tái)通過(guò)大數(shù)據(jù)和機(jī)器學(xué)習(xí)算法，針對(duì)此類策略進(jìn)行檢查、梳理和優(yōu)化，可實(shí)現(xiàn)秒級(jí)的優(yōu)化檢查，從而快速找出設(shè)備中的各類冗余策略、隱藏策略、空策略、過(guò)期策略等帶來(lái)的安全隱患，減少核心業(yè)務(wù)與數(shù)據(jù)資產(chǎn)的受攻擊面。

策略開(kāi)通實(shí)現(xiàn)智能化運(yùn)維

網(wǎng)絡(luò)訪問(wèn)控制策略運(yùn)維平臺(tái)實(shí)現(xiàn)了安全策略全生命周期管理。通過(guò)與工單系統(tǒng)對(duì)接，自動(dòng)分析訪問(wèn)控制策略開(kāi)通的需求，智能定位需要開(kāi)通策略的防火墻，自動(dòng)進(jìn)行風(fēng)險(xiǎn)分析和配置腳本生成與下發(fā)，開(kāi)通結(jié)果驗(yàn)證等。完美解決策略運(yùn)維工作效率低與業(yè)務(wù)敏捷性高的矛盾，策略變更工作準(zhǔn)確率達(dá)到100%，變更交付效率提升300%，保障策略變更工作的準(zhǔn)確、合規(guī)與高效。

攻擊分析，可視合規(guī)路徑

網(wǎng)絡(luò)訪問(wèn)控制策略運(yùn)維平臺(tái)自動(dòng)采集和解析網(wǎng)絡(luò)安全設(shè)備配置信息，同時(shí)通過(guò)對(duì)網(wǎng)絡(luò)配置和安全策略進(jìn)行集合分析和繪圖管理，呈現(xiàn)出全網(wǎng)面向業(yè)務(wù)視角的安全域基礎(chǔ)架構(gòu)拓?fù)洹Ｍㄟ^(guò)添加核心業(yè)務(wù)資產(chǎn)，自動(dòng)計(jì)算核心業(yè)務(wù)資產(chǎn)在安全域網(wǎng)絡(luò)拓?fù)渲械姆植记闆r，使得核心業(yè)務(wù)資產(chǎn)與外界的互訪關(guān)系及網(wǎng)絡(luò)路徑一目了然。

三、網(wǎng)絡(luò)訪問(wèn)控制運(yùn)維平臺(tái)前沿發(fā)展探索

安全策略管理不應(yīng)獨(dú)立于日常安全運(yùn)營(yíng)，防火墻策略集中管理平臺(tái)未來(lái)需要與安全運(yùn)營(yíng)管理中心對(duì)接。一方面網(wǎng)絡(luò)訪問(wèn)控制策略管理是安全運(yùn)營(yíng)管理體系的組成部分；另一方面可以實(shí)現(xiàn)策略配置數(shù)據(jù)的采集與下發(fā)，以及多種安全能力的集成，便于與用戶業(yè)務(wù)平臺(tái)的流程對(duì)接。

2021年，國(guó)家正式發(fā)布了《國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》，專門談到“加快數(shù)字化發(fā)展，建設(shè)數(shù)字中國(guó)”的議題，為金融科技的研發(fā)應(yīng)用設(shè)置了重要的歷史命題。金融企業(yè)越來(lái)越多的業(yè)務(wù)上云，云環(huán)境打破了傳統(tǒng)IT基礎(chǔ)架構(gòu)的固有模式，通過(guò)云技術(shù)屏蔽硬件差異化，采用統(tǒng)一的管理工具，實(shí)現(xiàn)多類型、多品牌、多型號(hào)等安全訪問(wèn)控制設(shè)備的多元化統(tǒng)一策略管理。從而能夠?qū)λ蠭T基礎(chǔ)設(shè)施環(huán)境中的安全策略和規(guī)則集進(jìn)行集中管理。