来源:2023第七届农村中小金融机构科技创新优秀案例评选
获奖单位:青岛农商银行
荣获奖项:信息安全创新优秀案例
一、项目背景
多维度、多业务的高速发展,云计算、大数据等技术的广泛应用,给金融行业带来深刻变革的同时,也带来一定程度上的安全挑战,传统的网络安全防御体系需要随着业务与时俱进。根据 Gartner 的统计,95%的防火墙安全事件均是由防火墙的配置错误而引起的,防火墙安全策略的配置好坏,将很大程度上影响防火墙的性能、稳定性。目前,青岛农商银行的防火墙策略采用人工方式进行管理,随着网络规模的不断扩大与业务的频繁变更,策略规则的数量和管理难度不断增加,防护效果、合规性难以保证。
二、必要性分析
目前我行防火墙访问控制策略管理工作主要以安全运维人员为主,随着业务的不断发展,防火墙上的策略不断增加,日常网络及安全运维工作存在以下问题:
1.防火墙设备厂商类型多,策略表达方式各不相同,缺乏标准操作规范,管理员难以进行集中统一管理。
2.防火墙长时间使用后堆积了大量的策略,存在很多隐藏、冗余、无效的访问控制策略,通过人工定期、逐条筛查,工作量较大,而且存在操作风险。
3. 与社保、公积金等第三方合作单位互联的业务,由于第三方管理要求和技术能力的不同,部分业务不能向我行提供准确的服务端口,在防火墙只能开放全部默认端口,管理较为粗放,风险隐患较大。
4.新增访问控制策略的需求量大,人工操作环节过多;检查内容复杂且数量较多,效率不高且人为失误率高。
5.遇到业务访问异常需要排查访问控制策略时,由运维人员根据访问路径逐一确认策略开通情况,再由管理员逐台登陆设备进行访问控制列表筛查,不仅效率低,而且依赖运维人员个人对各网络区域的熟悉程度和技术技能。
三、项目建设
安全配置集中管理平台超越了防火墙供应商提供的用户策略管理界面,提供异构环境下集中的安全策略可视化控制能力,整网的设备及其访问控制规则映射为虚拟网络拓扑,为规则优化、变更管理工作流、规则仿真、合规性评估与可视化提供分析和审计能力。安全配置集中管理平台采用模块化分层结构。
(1)数据服务层。
平台采集所有影响网络数据路径和访问规则的三层网络设备配置。将多种不同来源数据按照统一的数据标准汇聚存储,分析建模,形成原始素材数据存储库,并可对外提供策略数据的共享服务接口。
(2)业务应用层。
平台对数据服务层采集和汇聚的数据,根据业务需求和应用需求,整合为业务资产管理模块、策略挖掘与分析模块、业务策略基线库、攻击面分析模块、策略开通模块等主要功能,实观访问控制策略的全生命周期管理。
(3)用户展示层。
采用 B/S 架构过可视化的手段,将数据采集及分析的结果,按照大屏展示、功能模块、配置需求理需求等模块,简单直观地展示给用户。
四、创新点
安全配置集中管理平台的建设是整合安全资源、提高运维效率、提升安全防护能力的一体化构建过程,通过对全网安全设备、策略的集中化和可视化管理,实现了安全策略的智能化检查以及自动化运维,提高了运维效率,进而提升了安全防护能力。
1.异构设备访问控制策略集中管理
平台通过在线采集方式定期抓取防火墙、路由交换、负载均衡等网关设备的策略配置以及路由表信息,采用归一化方式解析存储到统一的安全策略模型中最终实现对异构品牌设备各类访问控制策略的集中展示、查询、导出、分析等功能。
2.安全策略配置检查与优化分析
防火墙策略由于日积月累、频繁变更等原因造成很多僵尸策略,安全策略配置检查是对配置文件中的安全策略逐一与其他策略进行比对分析,判断相互之间的包含与被包含关系,最终检查分析判断是否为冗余策略或隐藏策略,以及是否存在可合并策略和空策略等,管理员可根据分析结果进行精简和优化调整。
3.逻辑安全域拓扑自动生成
通过解析防火墙、路由交换设备的配置,计算设备间的互联关系,在拓扑上自动通过子网连线体现出来,依次递归遍历所有网关设备,自动形成全网逻辑拓扑;在此基础上,通过人工干预安全域及资产信息,描绘安全域架构拓扑。
4.端到端全路径分析
实现任意源地址到目的地址的访问路径及数据流分析,包括是否有可达路径、可达路径经过的节点及命中的路由及策略信息、允许或拒绝的数据流详情等。访问路径分析时通过源地址定位到对应的网关设备,再通过网关设备上的路由逐一寻找下一网关直到目的地址。期间需匹配网关设备上的ACL 策略、NAT 策略、路由、安全策略等信息。
5.访问控制策略自动开通
包括开通业务请求、模拟仿真分析、开通选路建议、策略风险分析、策略配置自动生成以及策略开通验证等多个环节,通过全流程化、自动化的方式减轻访问控制开通业务工作量,并确保变更内容准确。
四、项目过程管理
青岛农商银行于2022年3月启动安全配置集中管理平台项目,5月完成相关产品功能测试与分析,于8月完成系统采购以及部署上线。
五、运营情况
安全配置集中管理平台自上线以来系统运行正常。日常由网络安全运维人员使用,负责管理全行防火墙、路由器、负载均衡等网络安全设备,定期收集网络安全设备的配置策略。网络安全运维人员定期使用安全配置管理平台对全网网络安全策略进行扫描,排查FTP、冗余、重复、无效等存在安全隐患的策略,定期进行清理工作,不断提升网络安全防护能力。同时,运维人员利用安全配置集中管理平台智能化运维功能,配合进行访问策略问题排查,访问策略开通、删除等,提升了运维人员工作效率以及策略开通的准确性。
六、项目成效
1、实现安全策略集中可视化管理
我行通过部署安全配置集中管理平台,实现对全网异构品牌的防火墙、交换路由、负载均衡等设备的安全策略、路由策略、NAT 策略等配置信息的自动采集、解析和存储。同时通过可视化展现方式,对策略业务逻辑统一展示,使访问控制策略可读性和可维护管理性大大提高。
2、策略优化检查,落实信息安全最小化原则
我行防火墙等网络安全设备由于长时间维护和使用,产生较多不必要的、重复的安全策略,这类策略严重影响设备运行效率,也不符合信息安全管理规范,同时还存在被恶意软件利用和攻击的安全隐患。安全配置集中管理平台通过大数据和机器学习算法,针对此类策略进行检查、梳理和优化,可实现秒级的优化检查,从而快速找出设备中的各类FTP策略、冗余策略、隐藏策略、空策略、过期策略等带来的安全隐患,减少核心业务与数据资立的受攻击面。
3、策略开通实现智能化运维
安全配置集中管理平台实现了安全策略全生命周期管理。通过与工单系统对接,自动分析访问控制策略开通的需求,智能定位需要开通策略的防火墙,自动进行风险分析和配置脚本生成与下发,开通结果验证等。完美解决策略运维工作效率低与业务敏捷性高的矛盾,策略变更工作准确率达到 100%,变更交付效率提升 300%,保障策略变更工作的准确、合规与高效。
4、攻击分析,可视合规路径
安全配置集中管理平台自动采集和解析网络安全设备配置信息,同时通过对网络配置和安全策略集合分析和绘图管理,呈现出全网面向业务视角的安全域基础架构拓扑。通过添加核心业务资产,自动计算核心业务资产在安全域网络拓扑中的分布情况,使得核心业务资产与外界的互访关系及网络路径一目了然。
七、经验总结
安全配置集中管理平台项目的上线和应用,完善我行对防火墙安全设备的管理能力,进一步提高我行网络的安全防护水平。下一步,安全策略管理不应独立于日常安全运营,安全配置集中管理平台未来需要与安全运营管理中心对接。一方面网络访问控制策略管理是安全运营管理体系的组成部分;另一方面可以实现策略配置数据的采集与下发,以及多种安全能力的集成,便于与用户业务平台的流程对接。
更多金融科技案例和金融数据智能优秀解决方案,请登录数字金融创新知识服务平台-金科创新社案例库、选型库查看。
热门跟贴