金融行业监控分流方案

          伴随着金融科技的发展和应用,金融机构对信息系统的依赖程度也越来越大,金融机构遭受内部攻击、违规操作、信息泄露等安全威胁也在不断增加,为此,金融机构部署了安全监测、合规审计、大数据分析等众多的旁路监测系统,例如网络监控系统、入侵检测系统、APT攻击检测系统、防病毒系统、安全态势感知系统、欺诈检测系统、业务性能管理系统、数据库审计系统、回溯分析系统、日志分析系统、征信分析系统等,不同类型的旁路监测系统往往来自不同的供应商,彼此之间独立工作,形成一个个“信息孤岛”,使得大量分析信息散落在网络各处,互不相通,不仅给信息资源和监测设备的共享和协作造成极大阻碍,降低了设备的工作效率,更因为无法做到全网全局监控,而平白增加了网络设备的整体管理和运维成本,与此同时,大量部署的旁路监测系统都需要对网络流量进行采集,也加剧了核心交换机的性能负载,且每当新增监测设备或链路时,都需要重新规划网络,无法实现灵活部署。
          基于上述因素,在实际网络部署实践中,金融机构较为普遍的接受了“透明监控矩阵”+“监测分析平台”的网络流量监控系统架构。采用透明监控矩阵式的输入输出管理方式,可以充分满足金融行业数据流量监控统一的流量采集与调度分配,同时,为了适应金融机构多地多中心的网络架构,透明监控矩阵的部署也能够支持“分布部署、分层设计、集中监控”的要求,“透明监控矩阵”可以采用分层结构设计,包括接入层、核心汇聚层和分流输出层,所有设备能够能够进行统一的配置与管理。主数据中心部署一套支持整个金融机构的网络流量汇聚分流设备,在各副中心与各关键网络区域通过分布部署汇聚分流设备,将副中心与各关键区域的网络流量进行采集和预处理以后统一汇聚到主数据中心的汇聚分流设备,再依据后端监测分析平台的不同需求进行过滤分流处理以后发送给后端不同的监测分析系统。

  • 方案简介

          透明监控矩阵作为金融大数据采集和监控的前置平台,要完成对网络流量的统一采集,并依据后端监测分析系统的不同需求,提供定制化的数据源输出。具体的金融行业客户分流需求如下:

    • 基本汇聚分流功能(汇聚、复制、负载均衡等)
      为落实《商业银行信息科技风险管理指引》、《银行业金融机构全面风险管理指引》等对金融机构的信息安全要求,金融机构通常部署了众多的旁路监测分析系统,同时需要对网络中众多关键业务节点或链路的数据进行采集监测,较为普遍的采用“透明监控矩阵”+“监测分析平台”的网络流量监控系统架构,在此架构下,透明监控矩阵中的汇聚分流设备需要具备最基本的汇聚分流功能,如N:1的流量汇聚、1:N的流量复制、N:M的负载均衡输出、同源同宿,以满足多点数据一次采集、统一调度、按需输出的要求。
    • 流量过滤,提升后端处理性能,降低部署成本
      在金融机构部署的众多后端旁路监测分析系统中,并非所有的系统都需要对全量的网络数据进行分析。如数据库审计系统只关心数据库访问相关的数据(MYSQL端口号3306、SQL Server端口号1433、ORACLE端口号1521、DB2端口号5000等),此时只需要过滤出对应的数据库访问数据交给后端进行分析即可,这样不但可以提升后端系统的处理性能,还能降低部署成本。再如日志操作的合规审计系统,只关心运维日志数据;而回溯分析系统只关心特定区域的用户用户网络数据。上述场景下,就需要汇聚分流设备具备IP七元组过滤能力,在与某些后端安全监测分析系统配合时,还需要具备基于特征字符串的匹配过滤能力。
    • 特定隧道封装(DCE、VxLAN、GRE等)情况下的去封装处理能力
      在实际网络部署中,部分金融机构的数据中心采用了数据中心以太网(DCE)技术,采集到的数据报文存在DCE报文封装,需要剥离DCE包头以后输出给后端检测分析系统,后端系统才能够正确的分析和处理。在金融机构的云数据中心虚拟化网络环境下,存在一层或多层的VxLAN封装,此时需要剥离VxLAN封装后再输出数据给后端系统。
    • 溯源标识需求
      金融机构监控数据采集涉及单地多区域以及多地多中心,而在后端的回溯分析系统需要前端的汇聚分流设备能够对来自不同区域的采集数据进行标记,以满足回溯分析的需要。这就要求汇聚分流设备端口支持数据包标签功能,按需给捕获到的数据包添加或剥离VLAN标签。
    • 数据脱敏需求
      金融机构网络数据中含有大量敏感信息,如账号、密码等,敏感信息的外泄将带来灾难性的后果。因此,在实际网络部署中,经常遇到针对敏感字段或信息进行脱敏的需求,脱敏的方式也有两种,一种是置换脱敏,一种是加密脱敏。置换脱敏以特定字符替代敏感信息,脱敏后无法恢复,属于不可逆脱敏;加密脱敏,是对敏感信息进行加密,如果有需要,还可以进行解密,属于可逆脱敏。
    • 报文切片截短需求
      采集到的网络数据不少是无用的数据载荷,对于部分后端监测分析系统(如NPM)而言,数据包载荷部分并无太多的实际意义,反而要占用大量的系统资源,如果能够将采集的流量进行切片截短,将有效降低流量带宽,减少后端监测分析系统处理负载,提升监测分析系统的分析效率。
    • 高精度时间戳需求
      金融机构努力为用户提供最优的体验和满意度,通常会部署网络性能监控系统(NPM)和业务性能监控系统(APM),而性能监测系统的核心是能够获取高精度的网络时间,这就需要汇聚分流设备能够为网络报文打高精度(纳秒级)时间戳,为后端的NPM/APM进行网络及业务交易性能分析提供基础支持。
    • 去重需求
      为了保证后端监测分析系统分析数据的全面性,在部署金融机构网络数据采集时,通常会从不同的网络位置进行全面的流量采集,这就难免会有数据重复采集的情况,因此需要汇聚分流设备具备高性能的数据包去重能力。

          面向金融行业数据分流需求,中创腾锐在SpekFabric系列产品的基础上,进行了定向需求开发和功能优化,完全可以满足金融行业网络汇聚分流的需求,可以完成流量汇聚、复制、负载均衡、同源同宿等基本汇聚分流功能,并且可以根据金融网络分流需要对采集报文进行过滤、隧道去封装、溯源标识、数据脱敏、报文切片截短、高精度时间戳、报文去重等处理,从而为后端监测分析系统提供定制化数据源。
          下图为SpekFabric在某金融系统客户实际部署案例,对不同区域进行数据采集和区分,并完成如下数据处理功能:丢弃指定流量,过滤五元组,流量汇聚输出,按源/目的IP负载均衡输出;剥离DCE隧道头;溯源标识;报文去重处理等。

    某金融机构实际部署方案图

  • 方案特点

    • 面向金融行业的定制化功能设计
      面向金融行业需求,除提供流量汇聚、复制、负载均衡、同源同宿等基本汇聚分流功能,提供对采集报文进行过滤、隧道去封装、溯源标识、数据脱敏、报文切片截短、高精度时间戳、报文去重等定制化的处理需求,从而为后端监测分析系统提供定制化数据源。
    • 众多商用案例的考验
      该解决方案目前已经在众多银行、保险、证券客户中进行商用部署,完全满足金融行业监控分流需求。