基于業(yè)務(wù)視角的網(wǎng)絡(luò)性能管理應(yīng)用研究

◆劉萌

基于業(yè)務(wù)視角的網(wǎng)絡(luò)性能管理應(yīng)用研究

◆劉萌

（中國人民銀行昆明中心支行 云南 650000）

人民銀行信息化建設(shè)的快速發(fā)展和“三集中”工作的持續(xù)推進對人民銀行各省級節(jié)點網(wǎng)絡(luò)穩(wěn)定性和數(shù)據(jù)安全性的要求越來越高，現(xiàn)有安全運維及監(jiān)控手段明顯不足。為實時感知網(wǎng)絡(luò)異常和業(yè)務(wù)風(fēng)險，本文研究分析了網(wǎng)絡(luò)性能管理平臺在人民銀行網(wǎng)絡(luò)中的部署及應(yīng)用，基于業(yè)務(wù)視角加強網(wǎng)絡(luò)安全預(yù)警與分析，加快構(gòu)建閉環(huán)安全運維保障體系，為金融業(yè)信息安全“穿透式”監(jiān)管提供技術(shù)支撐。

業(yè)務(wù)分析；網(wǎng)絡(luò)管理；監(jiān)測模型；安全體系

1 引言

人民銀行省級節(jié)點業(yè)務(wù)網(wǎng)絡(luò)作為各省金融網(wǎng)絡(luò)的中樞，承載著貨幣信貸、金融統(tǒng)計、征信管理、貨幣發(fā)行等重要業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運行的任務(wù)，是支撐央行履職的核心網(wǎng)絡(luò)。近年來，隨著人民銀行信息化建設(shè)的快速發(fā)展，業(yè)務(wù)系統(tǒng)不斷上線，對網(wǎng)絡(luò)穩(wěn)定性和數(shù)據(jù)安全性的要求越來越高，現(xiàn)有安全運維及監(jiān)控手段存在許多不足，主要表現(xiàn)在難以全面掌握網(wǎng)絡(luò)健康狀態(tài)，精準定位業(yè)務(wù)故障原因。因此，如何從業(yè)務(wù)視角加強網(wǎng)絡(luò)安全預(yù)警，實時感知網(wǎng)絡(luò)異常和業(yè)務(wù)風(fēng)險是運維管理過程中亟待解決的問題。

2 現(xiàn)狀與不足

隨著人民銀行軟件開發(fā)、系統(tǒng)運行和數(shù)據(jù)管理工作的省級集中，網(wǎng)絡(luò)安全風(fēng)險日益凸顯，目前人民銀行各省級節(jié)點主要采用三種技術(shù)手段對業(yè)務(wù)網(wǎng)絡(luò)進行監(jiān)測預(yù)警和安全防護，一是以網(wǎng)管監(jiān)控系統(tǒng)為代表的監(jiān)控手段，重點監(jiān)測網(wǎng)絡(luò)設(shè)備運行狀態(tài)及線路通信情況；二是以入侵檢測系統(tǒng)和防火墻為代表的防護手段，重點防范非法入侵行為，保障網(wǎng)絡(luò)邊界安全；三是以日志審計系統(tǒng)為代表的審計手段，通過收集分析網(wǎng)絡(luò)日志信息，審計發(fā)現(xiàn)違規(guī)行為。這些措施在一定程度上解決了人民銀行安全防護設(shè)施較弱的問題，但仍存在一些不足。

（1）缺少業(yè)務(wù)流量分析能力

人民銀行業(yè)務(wù)網(wǎng)絡(luò)承載著各業(yè)務(wù)系統(tǒng)的數(shù)據(jù)流量，現(xiàn)有技術(shù)手段缺乏對業(yè)務(wù)傳輸端口、帶寬占用情況和關(guān)鍵性能指標的監(jiān)控能力，無法掌握數(shù)據(jù)流量的趨勢和規(guī)律，不能為網(wǎng)絡(luò)系統(tǒng)優(yōu)化、安全策略制定提供準確的數(shù)據(jù)支撐，網(wǎng)絡(luò)安全管理處于被動狀態(tài)。

（2）缺少業(yè)務(wù)質(zhì)量分析能力

現(xiàn)有網(wǎng)絡(luò)監(jiān)控方式基于IT基礎(chǔ)設(shè)施運維角度，實現(xiàn)了網(wǎng)絡(luò)設(shè)備及通信線路的狀態(tài)監(jiān)控，但缺乏對業(yè)務(wù)系統(tǒng)關(guān)鍵質(zhì)量指標的監(jiān)測分析，無法對網(wǎng)絡(luò)延時、響應(yīng)時間、丟包重傳等重要指標進行實時預(yù)警，難以主動發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)存在的安全隱患。

（3）缺少突發(fā)故障排查能力

當業(yè)務(wù)系統(tǒng)出現(xiàn)訪問緩慢或短時中斷等間歇性問題時，現(xiàn)有技術(shù)手段難以回溯故障發(fā)生時的數(shù)據(jù)流量還原問題，無法快速判斷問題產(chǎn)生的根本原因，也不能對網(wǎng)絡(luò)通信故障和業(yè)務(wù)應(yīng)用故障進行有效劃分，缺乏中立的責(zé)任界定依據(jù)。

因此，人民銀行各省級節(jié)點有必要部署基于業(yè)務(wù)視角的網(wǎng)絡(luò)性能管理平臺，構(gòu)建全面的風(fēng)險管理和內(nèi)控體系，進一步提高業(yè)務(wù)風(fēng)險防控水平，筑牢金融網(wǎng)絡(luò)安全防線。

3 系統(tǒng)設(shè)計

基于業(yè)務(wù)視角的網(wǎng)絡(luò)性能管理平臺在人民銀行各省級節(jié)點采用兩級模式部署，以旁路方式接入人民銀行業(yè)務(wù)網(wǎng)絡(luò)，不改變現(xiàn)網(wǎng)結(jié)構(gòu)，僅需將網(wǎng)絡(luò)中傳輸?shù)臉I(yè)務(wù)流量鏡像至數(shù)據(jù)采集設(shè)備即可。平臺按照功能可劃分為前端數(shù)據(jù)采集模塊和后端可視化分析模塊，其中前端數(shù)據(jù)采集模塊實現(xiàn)人民銀行業(yè)務(wù)網(wǎng)絡(luò)核心區(qū)域的流量采集、性能分析、數(shù)據(jù)包回溯和異常事件預(yù)警等功能；后端可視化分析模塊基于業(yè)務(wù)視角實現(xiàn)網(wǎng)絡(luò)性能監(jiān)控、服務(wù)路徑發(fā)現(xiàn)、業(yè)務(wù)關(guān)聯(lián)分析、智能故障定位和運行態(tài)勢感知等功能。

（1）前端數(shù)據(jù)采集模塊部署設(shè)計

前端數(shù)據(jù)采集模塊主要用于采集業(yè)務(wù)網(wǎng)絡(luò)數(shù)據(jù)流量，根據(jù)人民銀行現(xiàn)網(wǎng)結(jié)構(gòu)，省級節(jié)點和地市節(jié)點在不同位置部署數(shù)據(jù)采集設(shè)備，實現(xiàn)重要業(yè)務(wù)系統(tǒng)的全路徑、全流量采集與分析，其中省級節(jié)點部署位置為下聯(lián)區(qū)、核心區(qū)、DMZ區(qū)和外聯(lián)區(qū)，地市節(jié)點部署位置為骨干區(qū)和核心區(qū)。

以省級節(jié)點為例，各采集點部署位置說明如表1所示。

表1 人民銀行省級節(jié)點流量采集位置說明

（2）后端可視化分析模塊部署設(shè)計

后端可視化分析模塊主要用于分析處理數(shù)據(jù)采集模塊采集到的網(wǎng)絡(luò)數(shù)據(jù)流量，實現(xiàn)基于業(yè)務(wù)視角的網(wǎng)絡(luò)性能監(jiān)控和診斷，通過實時監(jiān)控網(wǎng)絡(luò)向用戶交付業(yè)務(wù)的性能，自動化地預(yù)警和定位問題，保障核心業(yè)務(wù)的高效可用。

基于業(yè)務(wù)視角的網(wǎng)絡(luò)性能管理平臺部署設(shè)計如圖1所示。

圖1 網(wǎng)絡(luò)性能管理平臺部署設(shè)計

4 模型建立

基于業(yè)務(wù)視角的網(wǎng)絡(luò)性能管理平臺可實時分析各網(wǎng)絡(luò)節(jié)點所采集的數(shù)據(jù)流量，提供以業(yè)務(wù)為核心的網(wǎng)絡(luò)訪問梳理、業(yè)務(wù)性能監(jiān)測和快速故障定位等功能，全面監(jiān)控業(yè)務(wù)系統(tǒng)各環(huán)節(jié)服務(wù)質(zhì)量。根據(jù)人民銀行業(yè)務(wù)系統(tǒng)分類，可重點對支付、國庫、征信和辦公類系統(tǒng)以及網(wǎng)絡(luò)線路建立監(jiān)測模型，實時感知業(yè)務(wù)運行態(tài)勢。

（1）業(yè)務(wù)系統(tǒng)監(jiān)測模型

信息系統(tǒng)生命周期分為立項、開發(fā)、運維和消亡四個階段，其中運維階段歷時最長，在此階段軟件開發(fā)人員將系統(tǒng)交由人民銀行運維人員管理。隨著時間的推移與人員的變更，運維人員通常只能處理簡單的硬件故障，并不清楚業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)拓撲與訪問路徑，當出現(xiàn)系統(tǒng)無法訪問或訪問緩慢等業(yè)務(wù)性能下降問題時，往往無從下手。因此，可以利用網(wǎng)絡(luò)性能管理平臺梳理人民銀行核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)流，建立業(yè)務(wù)監(jiān)測模型，全面監(jiān)控業(yè)務(wù)系統(tǒng)各環(huán)節(jié)服務(wù)質(zhì)量，模型建立流程如圖2所示。

圖2 業(yè)務(wù)系統(tǒng)監(jiān)測模型建立流程

（2）網(wǎng)絡(luò)線路監(jiān)測模型

網(wǎng)絡(luò)線路是人民銀行各級節(jié)點進行數(shù)據(jù)通信的傳輸媒介，目前主要采用MSTP、SDH和ATM數(shù)據(jù)專線。網(wǎng)絡(luò)線路通信質(zhì)量較差或者延時較大往往也是造成業(yè)務(wù)系統(tǒng)訪問緩慢的原因之一，傳統(tǒng)的網(wǎng)管監(jiān)控手段通常只能監(jiān)控網(wǎng)絡(luò)線路的通斷情況，無法對網(wǎng)絡(luò)線路通信質(zhì)量進行分析。因此，可以利用網(wǎng)絡(luò)性能管理平臺提取全轄網(wǎng)絡(luò)數(shù)據(jù)流量，建立網(wǎng)絡(luò)線路監(jiān)測模型，分析省會節(jié)點至州市節(jié)點的網(wǎng)絡(luò)線路通信質(zhì)量，全面監(jiān)控網(wǎng)絡(luò)線路使用情況。

5 應(yīng)用效果

基于業(yè)務(wù)視角的網(wǎng)絡(luò)性能管理平臺滿足了網(wǎng)絡(luò)運維精細化管理需要，通過監(jiān)測分析業(yè)務(wù)訪問的最小數(shù)據(jù)單元-數(shù)據(jù)包，實現(xiàn)業(yè)務(wù)訪問從數(shù)據(jù)包發(fā)起到結(jié)束全生命周期的感知、防御與響應(yīng)，為金融業(yè)網(wǎng)絡(luò)安全“穿透式”監(jiān)管提供技術(shù)支撐，主要應(yīng)用效果如下：

（1）提高網(wǎng)絡(luò)監(jiān)控能力

平臺通過對數(shù)據(jù)流量的實時監(jiān)控，建立圖形化網(wǎng)絡(luò)全景信息，快速識別和定位網(wǎng)絡(luò)問題，進一步提高了網(wǎng)絡(luò)監(jiān)控能力，為網(wǎng)絡(luò)策略優(yōu)化調(diào)整提供了決策依據(jù)。

（2）提高運維管理能力

平臺通過采用分布式部署、集中式管理的方式，滿足了跨區(qū)域、多結(jié)構(gòu)的網(wǎng)絡(luò)分析需求，能夠?qū)θW(wǎng)關(guān)鍵鏈路信息進行集中監(jiān)控與分析比對，實現(xiàn)了從核心網(wǎng)絡(luò)到邊緣網(wǎng)絡(luò)的運維管理。

（3）提高規(guī)劃建設(shè)能力

平臺通過對數(shù)據(jù)流量的分析統(tǒng)計與網(wǎng)絡(luò)性能的全面評估，獲得了網(wǎng)絡(luò)應(yīng)用部署、容量規(guī)劃以及運行趨勢的分析數(shù)據(jù)，全面掌握了網(wǎng)絡(luò)運行的整體情況，為網(wǎng)絡(luò)規(guī)劃建設(shè)提供數(shù)據(jù)支撐。

（4）提高應(yīng)急處置能力

平臺通過對網(wǎng)絡(luò)數(shù)據(jù)流量進行挖掘，能夠從不同角度、不同層次快速鎖定敏感數(shù)據(jù)，并進行二次分析，同時對冗余數(shù)據(jù)進行過濾處理，提高數(shù)據(jù)分析及應(yīng)急處置效率。

（5）提高問題發(fā)現(xiàn)能力

平臺通過建立網(wǎng)絡(luò)安全基線，設(shè)置報警閾值，預(yù)先防范可能發(fā)生的網(wǎng)絡(luò)安全風(fēng)險，對間歇性網(wǎng)絡(luò)問題與短暫性中斷事件的歷史數(shù)據(jù)進行分析，避免網(wǎng)絡(luò)安全隱患升級為網(wǎng)絡(luò)安全事故。

6 結(jié)語

網(wǎng)絡(luò)性能管理平臺為運維人員提供了基于業(yè)務(wù)視角的網(wǎng)絡(luò)監(jiān)控能力，提高了網(wǎng)絡(luò)安全防護水平，在人民銀行網(wǎng)絡(luò)安全監(jiān)控、網(wǎng)絡(luò)故障處置和業(yè)務(wù)性能分析等方面發(fā)揮了重要作用，特別是在處理網(wǎng)絡(luò)數(shù)據(jù)丟包、業(yè)務(wù)訪問緩慢、異常流量突增等問題時成效明顯，例如幫助人民銀行昆明中支成功應(yīng)對了勒索病毒攻擊，解決了辦公自動化系統(tǒng)訪問緩慢等，現(xiàn)已成為集感知能力、響應(yīng)能力和防御能力于一體的閉環(huán)安全運維體系的關(guān)鍵一環(huán)，為實現(xiàn)金融業(yè)網(wǎng)絡(luò)安全“穿透式”監(jiān)管提供了技術(shù)支撐。