· 全国
金融机构防火墙策略管理工作的难点主要体现在三个方面:异构性、复杂性与动态性。
1. 异构性
金融机构网络中的防火墙的品牌普遍在五个以上,不同品牌设备的访问控制策略配置不同,而且同一品牌设备的不同软件版本在访问控制策略配置方面也会存在差异。大中型金融机构网络中防火墙的数量能达到几十台至几百台,每台设备的策略规则普遍在1000条以上,核心边界设备的策略规则能达到几万条。异构性的另一主要表现是本地与云同时存在的混合网络环境,访问控制设备呈现为物理、虚拟、安全组策略、主机访问控制等多种形态。
2. 复杂性
防火墙策略设置的有效性与风险性分析不仅限于单台防火墙,还需要通过网络对象间的访问关系与访问路径进行分析。网络中两点间的访问路径需要对多台网络设备的逻辑连接与访问控制进行关联分析,这里面所提到的网络设备不仅指防火墙,还包括路由器、交换机与负载均衡,需要分析的数据包括IP、VLAN、VXLAN、路由、策略路由、NAT、ACL、安全策略等。金融机构的网络结构复杂,人工方式实现全局网络对象访问路径与访问关系分析基本不可能。
3. 动态性
金融机构防火墙策略变更是常态化的,每周至少两次以上的变更窗口,其主要原因是防火墙访问控制策略与网络连通性和安全性都相关,访问控制的安全原理就是通过收敛网络连通性以降低网络风险。所以,只要网络结构与业务发生变化,访问控制策略就需要随之变化,对于业务敏捷性高的金融机构网络来说,策略变更加频繁、规则数量更大。
以上三方面的问题使得金融机构防火墙策略精细化管理工作难于落地,将会造成了两方面的后果,一是频繁的策略变更增加了安全风险引入的机会,二是占用了大量的人力。有些金融机构的策略管理工作量占比达到安全运维工作量的40%,直接导致其他更高层面工作资源得不到保证。
