基于業務視角的網絡性能管理應用研究

◆劉萌

基于業務視角的網絡性能管理應用研究

◆劉萌

（中國人民銀行昆明中心支行 云南 650000）

人民銀行信息化建設的快速發展和“三集中”工作的持續推進對人民銀行各省級節點網絡穩定性和數據安全性的要求越來越高，現有安全運維及監控手段明顯不足。為實時感知網絡異常和業務風險，本文研究分析了網絡性能管理平臺在人民銀行網絡中的部署及應用，基于業務視角加強網絡安全預警與分析，加快構建閉環安全運維保障體系，為金融業信息安全“穿透式”監管提供技術支撐。

業務分析；網絡管理；監測模型；安全體系

1 引言

人民銀行省級節點業務網絡作為各省金融網絡的中樞，承載著貨幣信貸、金融統計、征信管理、貨幣發行等重要業務系統的安全穩定運行的任務，是支撐央行履職的核心網絡。近年來，隨著人民銀行信息化建設的快速發展，業務系統不斷上線，對網絡穩定性和數據安全性的要求越來越高，現有安全運維及監控手段存在許多不足，主要表現在難以全面掌握網絡健康狀態，精準定位業務故障原因。因此，如何從業務視角加強網絡安全預警，實時感知網絡異常和業務風險是運維管理過程中亟待解決的問題。

2 現狀與不足

隨著人民銀行軟件開發、系統運行和數據管理工作的省級集中，網絡安全風險日益凸顯，目前人民銀行各省級節點主要采用三種技術手段對業務網絡進行監測預警和安全防護，一是以網管監控系統為代表的監控手段，重點監測網絡設備運行狀態及線路通信情況；二是以入侵檢測系統和防火墻為代表的防護手段，重點防范非法入侵行為，保障網絡邊界安全；三是以日志審計系統為代表的審計手段，通過收集分析網絡日志信息，審計發現違規行為。這些措施在一定程度上解決了人民銀行安全防護設施較弱的問題，但仍存在一些不足。

（1）缺少業務流量分析能力

人民銀行業務網絡承載著各業務系統的數據流量，現有技術手段缺乏對業務傳輸端口、帶寬占用情況和關鍵性能指標的監控能力，無法掌握數據流量的趨勢和規律，不能為網絡系統優化、安全策略制定提供準確的數據支撐，網絡安全管理處于被動狀態。

（2）缺少業務質量分析能力

現有網絡監控方式基于IT基礎設施運維角度，實現了網絡設備及通信線路的狀態監控，但缺乏對業務系統關鍵質量指標的監測分析，無法對網絡延時、響應時間、丟包重傳等重要指標進行實時預警，難以主動發現業務系統存在的安全隱患。

（3）缺少突發故障排查能力

當業務系統出現訪問緩慢或短時中斷等間歇性問題時，現有技術手段難以回溯故障發生時的數據流量還原問題，無法快速判斷問題產生的根本原因，也不能對網絡通信故障和業務應用故障進行有效劃分，缺乏中立的責任界定依據。

因此，人民銀行各省級節點有必要部署基于業務視角的網絡性能管理平臺，構建全面的風險管理和內控體系，進一步提高業務風險防控水平，筑牢金融網絡安全防線。

3 系統設計

基于業務視角的網絡性能管理平臺在人民銀行各省級節點采用兩級模式部署，以旁路方式接入人民銀行業務網絡，不改變現網結構，僅需將網絡中傳輸的業務流量鏡像至數據采集設備即可。平臺按照功能可劃分為前端數據采集模塊和后端可視化分析模塊，其中前端數據采集模塊實現人民銀行業務網絡核心區域的流量采集、性能分析、數據包回溯和異常事件預警等功能；后端可視化分析模塊基于業務視角實現網絡性能監控、服務路徑發現、業務關聯分析、智能故障定位和運行態勢感知等功能。

（1）前端數據采集模塊部署設計

前端數據采集模塊主要用于采集業務網絡數據流量，根據人民銀行現網結構，省級節點和地市節點在不同位置部署數據采集設備，實現重要業務系統的全路徑、全流量采集與分析，其中省級節點部署位置為下聯區、核心區、DMZ區和外聯區，地市節點部署位置為骨干區和核心區。

以省級節點為例，各采集點部署位置說明如表1所示。

表1 人民銀行省級節點流量采集位置說明

（2）后端可視化分析模塊部署設計

后端可視化分析模塊主要用于分析處理數據采集模塊采集到的網絡數據流量，實現基于業務視角的網絡性能監控和診斷，通過實時監控網絡向用戶交付業務的性能，自動化地預警和定位問題，保障核心業務的高效可用。

基于業務視角的網絡性能管理平臺部署設計如圖1所示。

圖1 網絡性能管理平臺部署設計

4 模型建立

基于業務視角的網絡性能管理平臺可實時分析各網絡節點所采集的數據流量，提供以業務為核心的網絡訪問梳理、業務性能監測和快速故障定位等功能，全面監控業務系統各環節服務質量。根據人民銀行業務系統分類，可重點對支付、國庫、征信和辦公類系統以及網絡線路建立監測模型，實時感知業務運行態勢。

（1）業務系統監測模型

信息系統生命周期分為立項、開發、運維和消亡四個階段，其中運維階段歷時最長，在此階段軟件開發人員將系統交由人民銀行運維人員管理。隨著時間的推移與人員的變更，運維人員通常只能處理簡單的硬件故障，并不清楚業務系統的網絡拓撲與訪問路徑，當出現系統無法訪問或訪問緩慢等業務性能下降問題時，往往無從下手。因此，可以利用網絡性能管理平臺梳理人民銀行核心業務系統數據流，建立業務監測模型，全面監控業務系統各環節服務質量，模型建立流程如圖2所示。

圖2 業務系統監測模型建立流程

（2）網絡線路監測模型

網絡線路是人民銀行各級節點進行數據通信的傳輸媒介，目前主要采用MSTP、SDH和ATM數據專線。網絡線路通信質量較差或者延時較大往往也是造成業務系統訪問緩慢的原因之一，傳統的網管監控手段通常只能監控網絡線路的通斷情況，無法對網絡線路通信質量進行分析。因此，可以利用網絡性能管理平臺提取全轄網絡數據流量，建立網絡線路監測模型，分析省會節點至州市節點的網絡線路通信質量，全面監控網絡線路使用情況。

5 應用效果

基于業務視角的網絡性能管理平臺滿足了網絡運維精細化管理需要，通過監測分析業務訪問的最小數據單元-數據包，實現業務訪問從數據包發起到結束全生命周期的感知、防御與響應，為金融業網絡安全“穿透式”監管提供技術支撐，主要應用效果如下：

（1）提高網絡監控能力

平臺通過對數據流量的實時監控，建立圖形化網絡全景信息，快速識別和定位網絡問題，進一步提高了網絡監控能力，為網絡策略優化調整提供了決策依據。

（2）提高運維管理能力

平臺通過采用分布式部署、集中式管理的方式，滿足了跨區域、多結構的網絡分析需求，能夠對全網關鍵鏈路信息進行集中監控與分析比對，實現了從核心網絡到邊緣網絡的運維管理。

（3）提高規劃建設能力

平臺通過對數據流量的分析統計與網絡性能的全面評估，獲得了網絡應用部署、容量規劃以及運行趨勢的分析數據，全面掌握了網絡運行的整體情況，為網絡規劃建設提供數據支撐。

（4）提高應急處置能力

平臺通過對網絡數據流量進行挖掘，能夠從不同角度、不同層次快速鎖定敏感數據，并進行二次分析，同時對冗余數據進行過濾處理，提高數據分析及應急處置效率。

（5）提高問題發現能力

平臺通過建立網絡安全基線，設置報警閾值，預先防范可能發生的網絡安全風險，對間歇性網絡問題與短暫性中斷事件的歷史數據進行分析，避免網絡安全隱患升級為網絡安全事故。

6 結語

網絡性能管理平臺為運維人員提供了基于業務視角的網絡監控能力，提高了網絡安全防護水平，在人民銀行網絡安全監控、網絡故障處置和業務性能分析等方面發揮了重要作用，特別是在處理網絡數據丟包、業務訪問緩慢、異常流量突增等問題時成效明顯，例如幫助人民銀行昆明中支成功應對了勒索病毒攻擊，解決了辦公自動化系統訪問緩慢等，現已成為集感知能力、響應能力和防御能力于一體的閉環安全運維體系的關鍵一環，為實現金融業網絡安全“穿透式”監管提供了技術支撐。