◆劉萌

基于業(yè)務(wù)視角的網(wǎng)絡(luò)性能管理應(yīng)用研究

◆劉萌

（中國(guó)人民銀行昆明中心支行 云南 650000）

人民銀行信息化建設(shè)的快速發(fā)展和“三集中”工作的持續(xù)推進(jìn)對(duì)人民銀行各省級(jí)節(jié)點(diǎn)網(wǎng)絡(luò)穩(wěn)定性和數(shù)據(jù)安全性的要求越來(lái)越高，現(xiàn)有安全運(yùn)維及監(jiān)控手段明顯不足。為實(shí)時(shí)感知網(wǎng)絡(luò)異常和業(yè)務(wù)風(fēng)險(xiǎn)，本文研究分析了網(wǎng)絡(luò)性能管理平臺(tái)在人民銀行網(wǎng)絡(luò)中的部署及應(yīng)用，基于業(yè)務(wù)視角加強(qiáng)網(wǎng)絡(luò)安全預(yù)警與分析，加快構(gòu)建閉環(huán)安全運(yùn)維保障體系，為金融業(yè)信息安全“穿透式”監(jiān)管提供技術(shù)支撐。

業(yè)務(wù)分析；網(wǎng)絡(luò)管理；監(jiān)測(cè)模型；安全體系

1 引言

人民銀行省級(jí)節(jié)點(diǎn)業(yè)務(wù)網(wǎng)絡(luò)作為各省金融網(wǎng)絡(luò)的中樞，承載著貨幣信貸、金融統(tǒng)計(jì)、征信管理、貨幣發(fā)行等重要業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行的任務(wù)，是支撐央行履職的核心網(wǎng)絡(luò)。近年來(lái)，隨著人民銀行信息化建設(shè)的快速發(fā)展，業(yè)務(wù)系統(tǒng)不斷上線，對(duì)網(wǎng)絡(luò)穩(wěn)定性和數(shù)據(jù)安全性的要求越來(lái)越高，現(xiàn)有安全運(yùn)維及監(jiān)控手段存在許多不足，主要表現(xiàn)在難以全面掌握網(wǎng)絡(luò)健康狀態(tài)，精準(zhǔn)定位業(yè)務(wù)故障原因。因此，如何從業(yè)務(wù)視角加強(qiáng)網(wǎng)絡(luò)安全預(yù)警，實(shí)時(shí)感知網(wǎng)絡(luò)異常和業(yè)務(wù)風(fēng)險(xiǎn)是運(yùn)維管理過(guò)程中亟待解決的問(wèn)題。

2 現(xiàn)狀與不足

隨著人民銀行軟件開(kāi)發(fā)、系統(tǒng)運(yùn)行和數(shù)據(jù)管理工作的省級(jí)集中，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)日益凸顯，目前人民銀行各省級(jí)節(jié)點(diǎn)主要采用三種技術(shù)手段對(duì)業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)預(yù)警和安全防護(hù)，一是以網(wǎng)管監(jiān)控系統(tǒng)為代表的監(jiān)控手段，重點(diǎn)監(jiān)測(cè)網(wǎng)絡(luò)設(shè)備運(yùn)行狀態(tài)及線路通信情況；二是以入侵檢測(cè)系統(tǒng)和防火墻為代表的防護(hù)手段，重點(diǎn)防范非法入侵行為，保障網(wǎng)絡(luò)邊界安全；三是以日志審計(jì)系統(tǒng)為代表的審計(jì)手段，通過(guò)收集分析網(wǎng)絡(luò)日志信息，審計(jì)發(fā)現(xiàn)違規(guī)行為。這些措施在一定程度上解決了人民銀行安全防護(hù)設(shè)施較弱的問(wèn)題，但仍存在一些不足。

（1）缺少業(yè)務(wù)流量分析能力

人民銀行業(yè)務(wù)網(wǎng)絡(luò)承載著各業(yè)務(wù)系統(tǒng)的數(shù)據(jù)流量，現(xiàn)有技術(shù)手段缺乏對(duì)業(yè)務(wù)傳輸端口、帶寬占用情況和關(guān)鍵性能指標(biāo)的監(jiān)控能力，無(wú)法掌握數(shù)據(jù)流量的趨勢(shì)和規(guī)律，不能為網(wǎng)絡(luò)系統(tǒng)優(yōu)化、安全策略制定提供準(zhǔn)確的數(shù)據(jù)支撐，網(wǎng)絡(luò)安全管理處于被動(dòng)狀態(tài)。

（2）缺少業(yè)務(wù)質(zhì)量分析能力

現(xiàn)有網(wǎng)絡(luò)監(jiān)控方式基于IT基礎(chǔ)設(shè)施運(yùn)維角度，實(shí)現(xiàn)了網(wǎng)絡(luò)設(shè)備及通信線路的狀態(tài)監(jiān)控，但缺乏對(duì)業(yè)務(wù)系統(tǒng)關(guān)鍵質(zhì)量指標(biāo)的監(jiān)測(cè)分析，無(wú)法對(duì)網(wǎng)絡(luò)延時(shí)、響應(yīng)時(shí)間、丟包重傳等重要指標(biāo)進(jìn)行實(shí)時(shí)預(yù)警，難以主動(dòng)發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)存在的安全隱患。

（3）缺少突發(fā)故障排查能力

當(dāng)業(yè)務(wù)系統(tǒng)出現(xiàn)訪問(wèn)緩慢或短時(shí)中斷等間歇性問(wèn)題時(shí)，現(xiàn)有技術(shù)手段難以回溯故障發(fā)生時(shí)的數(shù)據(jù)流量還原問(wèn)題，無(wú)法快速判斷問(wèn)題產(chǎn)生的根本原因，也不能對(duì)網(wǎng)絡(luò)通信故障和業(yè)務(wù)應(yīng)用故障進(jìn)行有效劃分，缺乏中立的責(zé)任界定依據(jù)。

因此，人民銀行各省級(jí)節(jié)點(diǎn)有必要部署基于業(yè)務(wù)視角的網(wǎng)絡(luò)性能管理平臺(tái)，構(gòu)建全面的風(fēng)險(xiǎn)管理和內(nèi)控體系，進(jìn)一步提高業(yè)務(wù)風(fēng)險(xiǎn)防控水平，筑牢金融網(wǎng)絡(luò)安全防線。

3 系統(tǒng)設(shè)計(jì)

基于業(yè)務(wù)視角的網(wǎng)絡(luò)性能管理平臺(tái)在人民銀行各省級(jí)節(jié)點(diǎn)采用兩級(jí)模式部署，以旁路方式接入人民銀行業(yè)務(wù)網(wǎng)絡(luò)，不改變現(xiàn)網(wǎng)結(jié)構(gòu)，僅需將網(wǎng)絡(luò)中傳輸?shù)臉I(yè)務(wù)流量鏡像至數(shù)據(jù)采集設(shè)備即可。平臺(tái)按照功能可劃分為前端數(shù)據(jù)采集模塊和后端可視化分析模塊，其中前端數(shù)據(jù)采集模塊實(shí)現(xiàn)人民銀行業(yè)務(wù)網(wǎng)絡(luò)核心區(qū)域的流量采集、性能分析、數(shù)據(jù)包回溯和異常事件預(yù)警等功能；后端可視化分析模塊基于業(yè)務(wù)視角實(shí)現(xiàn)網(wǎng)絡(luò)性能監(jiān)控、服務(wù)路徑發(fā)現(xiàn)、業(yè)務(wù)關(guān)聯(lián)分析、智能故障定位和運(yùn)行態(tài)勢(shì)感知等功能。

（1）前端數(shù)據(jù)采集模塊部署設(shè)計(jì)

前端數(shù)據(jù)采集模塊主要用于采集業(yè)務(wù)網(wǎng)絡(luò)數(shù)據(jù)流量，根據(jù)人民銀行現(xiàn)網(wǎng)結(jié)構(gòu)，省級(jí)節(jié)點(diǎn)和地市節(jié)點(diǎn)在不同位置部署數(shù)據(jù)采集設(shè)備，實(shí)現(xiàn)重要業(yè)務(wù)系統(tǒng)的全路徑、全流量采集與分析，其中省級(jí)節(jié)點(diǎn)部署位置為下聯(lián)區(qū)、核心區(qū)、DMZ區(qū)和外聯(lián)區(qū)，地市節(jié)點(diǎn)部署位置為骨干區(qū)和核心區(qū)。

以省級(jí)節(jié)點(diǎn)為例，各采集點(diǎn)部署位置說(shuō)明如表1所示。

表1 人民銀行省級(jí)節(jié)點(diǎn)流量采集位置說(shuō)明

（2）后端可視化分析模塊部署設(shè)計(jì)

后端可視化分析模塊主要用于分析處理數(shù)據(jù)采集模塊采集到的網(wǎng)絡(luò)數(shù)據(jù)流量，實(shí)現(xiàn)基于業(yè)務(wù)視角的網(wǎng)絡(luò)性能監(jiān)控和診斷，通過(guò)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)向用戶交付業(yè)務(wù)的性能，自動(dòng)化地預(yù)警和定位問(wèn)題，保障核心業(yè)務(wù)的高效可用。

基于業(yè)務(wù)視角的網(wǎng)絡(luò)性能管理平臺(tái)部署設(shè)計(jì)如圖1所示。

圖1 網(wǎng)絡(luò)性能管理平臺(tái)部署設(shè)計(jì)

4 模型建立

基于業(yè)務(wù)視角的網(wǎng)絡(luò)性能管理平臺(tái)可實(shí)時(shí)分析各網(wǎng)絡(luò)節(jié)點(diǎn)所采集的數(shù)據(jù)流量，提供以業(yè)務(wù)為核心的網(wǎng)絡(luò)訪問(wèn)梳理、業(yè)務(wù)性能監(jiān)測(cè)和快速故障定位等功能，全面監(jiān)控業(yè)務(wù)系統(tǒng)各環(huán)節(jié)服務(wù)質(zhì)量。根據(jù)人民銀行業(yè)務(wù)系統(tǒng)分類，可重點(diǎn)對(duì)支付、國(guó)庫(kù)、征信和辦公類系統(tǒng)以及網(wǎng)絡(luò)線路建立監(jiān)測(cè)模型，實(shí)時(shí)感知業(yè)務(wù)運(yùn)行態(tài)勢(shì)。

（1）業(yè)務(wù)系統(tǒng)監(jiān)測(cè)模型

信息系統(tǒng)生命周期分為立項(xiàng)、開(kāi)發(fā)、運(yùn)維和消亡四個(gè)階段，其中運(yùn)維階段歷時(shí)最長(zhǎng)，在此階段軟件開(kāi)發(fā)人員將系統(tǒng)交由人民銀行運(yùn)維人員管理。隨著時(shí)間的推移與人員的變更，運(yùn)維人員通常只能處理簡(jiǎn)單的硬件故障，并不清楚業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)拓?fù)渑c訪問(wèn)路徑，當(dāng)出現(xiàn)系統(tǒng)無(wú)法訪問(wèn)或訪問(wèn)緩慢等業(yè)務(wù)性能下降問(wèn)題時(shí)，往往無(wú)從下手。因此，可以利用網(wǎng)絡(luò)性能管理平臺(tái)梳理人民銀行核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)流，建立業(yè)務(wù)監(jiān)測(cè)模型，全面監(jiān)控業(yè)務(wù)系統(tǒng)各環(huán)節(jié)服務(wù)質(zhì)量，模型建立流程如圖2所示。

圖2 業(yè)務(wù)系統(tǒng)監(jiān)測(cè)模型建立流程

（2）網(wǎng)絡(luò)線路監(jiān)測(cè)模型

網(wǎng)絡(luò)線路是人民銀行各級(jí)節(jié)點(diǎn)進(jìn)行數(shù)據(jù)通信的傳輸媒介，目前主要采用MSTP、SDH和ATM數(shù)據(jù)專線。網(wǎng)絡(luò)線路通信質(zhì)量較差或者延時(shí)較大往往也是造成業(yè)務(wù)系統(tǒng)訪問(wèn)緩慢的原因之一，傳統(tǒng)的網(wǎng)管監(jiān)控手段通常只能監(jiān)控網(wǎng)絡(luò)線路的通斷情況，無(wú)法對(duì)網(wǎng)絡(luò)線路通信質(zhì)量進(jìn)行分析。因此，可以利用網(wǎng)絡(luò)性能管理平臺(tái)提取全轄網(wǎng)絡(luò)數(shù)據(jù)流量，建立網(wǎng)絡(luò)線路監(jiān)測(cè)模型，分析省會(huì)節(jié)點(diǎn)至州市節(jié)點(diǎn)的網(wǎng)絡(luò)線路通信質(zhì)量，全面監(jiān)控網(wǎng)絡(luò)線路使用情況。

5 應(yīng)用效果

基于業(yè)務(wù)視角的網(wǎng)絡(luò)性能管理平臺(tái)滿足了網(wǎng)絡(luò)運(yùn)維精細(xì)化管理需要，通過(guò)監(jiān)測(cè)分析業(yè)務(wù)訪問(wèn)的最小數(shù)據(jù)單元-數(shù)據(jù)包，實(shí)現(xiàn)業(yè)務(wù)訪問(wèn)從數(shù)據(jù)包發(fā)起到結(jié)束全生命周期的感知、防御與響應(yīng)，為金融業(yè)網(wǎng)絡(luò)安全“穿透式”監(jiān)管提供技術(shù)支撐，主要應(yīng)用效果如下：

（1）提高網(wǎng)絡(luò)監(jiān)控能力

平臺(tái)通過(guò)對(duì)數(shù)據(jù)流量的實(shí)時(shí)監(jiān)控，建立圖形化網(wǎng)絡(luò)全景信息，快速識(shí)別和定位網(wǎng)絡(luò)問(wèn)題，進(jìn)一步提高了網(wǎng)絡(luò)監(jiān)控能力，為網(wǎng)絡(luò)策略優(yōu)化調(diào)整提供了決策依據(jù)。

（2）提高運(yùn)維管理能力

平臺(tái)通過(guò)采用分布式部署、集中式管理的方式，滿足了跨區(qū)域、多結(jié)構(gòu)的網(wǎng)絡(luò)分析需求，能夠?qū)θW(wǎng)關(guān)鍵鏈路信息進(jìn)行集中監(jiān)控與分析比對(duì)，實(shí)現(xiàn)了從核心網(wǎng)絡(luò)到邊緣網(wǎng)絡(luò)的運(yùn)維管理。

（3）提高規(guī)劃建設(shè)能力

平臺(tái)通過(guò)對(duì)數(shù)據(jù)流量的分析統(tǒng)計(jì)與網(wǎng)絡(luò)性能的全面評(píng)估，獲得了網(wǎng)絡(luò)應(yīng)用部署、容量規(guī)劃以及運(yùn)行趨勢(shì)的分析數(shù)據(jù)，全面掌握了網(wǎng)絡(luò)運(yùn)行的整體情況，為網(wǎng)絡(luò)規(guī)劃建設(shè)提供數(shù)據(jù)支撐。

（4）提高應(yīng)急處置能力

平臺(tái)通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行挖掘，能夠從不同角度、不同層次快速鎖定敏感數(shù)據(jù)，并進(jìn)行二次分析，同時(shí)對(duì)冗余數(shù)據(jù)進(jìn)行過(guò)濾處理，提高數(shù)據(jù)分析及應(yīng)急處置效率。

（5）提高問(wèn)題發(fā)現(xiàn)能力

平臺(tái)通過(guò)建立網(wǎng)絡(luò)安全基線，設(shè)置報(bào)警閾值，預(yù)先防范可能發(fā)生的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，對(duì)間歇性網(wǎng)絡(luò)問(wèn)題與短暫性中斷事件的歷史數(shù)據(jù)進(jìn)行分析，避免網(wǎng)絡(luò)安全隱患升級(jí)為網(wǎng)絡(luò)安全事故。

6 結(jié)語(yǔ)

網(wǎng)絡(luò)性能管理平臺(tái)為運(yùn)維人員提供了基于業(yè)務(wù)視角的網(wǎng)絡(luò)監(jiān)控能力，提高了網(wǎng)絡(luò)安全防護(hù)水平，在人民銀行網(wǎng)絡(luò)安全監(jiān)控、網(wǎng)絡(luò)故障處置和業(yè)務(wù)性能分析等方面發(fā)揮了重要作用，特別是在處理網(wǎng)絡(luò)數(shù)據(jù)丟包、業(yè)務(wù)訪問(wèn)緩慢、異常流量突增等問(wèn)題時(shí)成效明顯，例如幫助人民銀行昆明中支成功應(yīng)對(duì)了勒索病毒攻擊，解決了辦公自動(dòng)化系統(tǒng)訪問(wèn)緩慢等，現(xiàn)已成為集感知能力、響應(yīng)能力和防御能力于一體的閉環(huán)安全運(yùn)維體系的關(guān)鍵一環(huán)，為實(shí)現(xiàn)金融業(yè)網(wǎng)絡(luò)安全“穿透式”監(jiān)管提供了技術(shù)支撐。