80FINANCIALCOMPUTEROFCHINAITPRACTICEIT实践数字化转型背景下,江西省农村信用社联合社(以下简称“江西农信”)先后历经数据中心搬迁、业务系统切换演练、业务上线以及设备升级替换等多个阶段,其间涉及防火墙、路由器、交换机、负载均衡等领域一万余条策略的梳理和优化,而一旦面临业务切换等操作,网络策略梳理压力非常大。对此,江西农信在归纳网络安全策略梳理难点的基础上,结合不同阶段的实施要点总结了优化建议,希望能够为中小金融同业提供有价值的参考和借鉴。一、策略优化难点和预期目标在十多年的发展历程中,由于不同运维人员的风格不同以及不同设备的运维操作不同,导致当前设备上的安全策略存在数量多且杂的特点。经分类分析,当前设备的安全策略主要面临四方面问题:一是大权限策略。由于各种历史原因,当前设备上存在一些权限比较大的江西农信网络安全策略优化梳理实践摘要:随着业务的发展和网络规模的变化,防火墙网络策略也变得越来越繁杂,甚至存在策略冗余和权限过大等情况。对此,本文结合江西农信对数据中心级别网络策略的梳理优化实践,在分析网络策略优化目标和梳理思路的基础上,详述了策略梳理过程中历经的不同阶段,以及行之有效的实施要点和建议。关键词:安全策略;权限策略;自动化梳理江西省农村信用社联合社夏侯春洪黄顺欢策略,如源地址、目的地址或端口范围等。二是隐藏策略。由于安全策略通常按“顺序优先”原则生效,如果前面已部署了权限较大的策略,则位于后面的策略易被隐藏。三是冗余策略。对于变更时需要人工操作的情况,极易在未检查当前策略的情况下设定重复策略,此时该策略即会被认定为冗余策略。四是过期策略。如果有业务系统已经不用或下线,则由此导致的长时间未有命中记录的策略即称之为过期策略。针对上述问题,江西农信制定了如下策略梳理目标:一是消除大权限策略,二是删除隐藏策略,三是合并冗余策略,四是清理过期策略,并据此为后续网络变更和运维定制合规规则。二、策略优化的思路和方法1.优化思路针对当前设备存在的配置问题,江西农信结合实际812023.08中国金融电脑IT实践ITPractice业务系统需求,以“权限最小化”为目标,以“安全稳定运行”为前提,以“轻重缓急”为分类原则,从三方面总结了策略优化思路(如图1所示)。选择从会话日志中梳理出基于五元组的明确策略。2.流程规划基于以上优化思路分析,江西农信结合自身设备配置现状,将实施流程大体分为信息收集、数据分析、操...
