◆刘萌

基于业务视角的网络性能管理应用研究

◆刘萌

（中国人民银行昆明中心支行 云南 650000）

人民银行信息化建设的快速发展和“三集中”工作的持续推进对人民银行各省级节点网络稳定性和数据安全性的要求越来越高，现有安全运维及监控手段明显不足。为实时感知网络异常和业务风险，本文研究分析了网络性能管理平台在人民银行网络中的部署及应用，基于业务视角加强网络安全预警与分析，加快构建闭环安全运维保障体系，为金融业信息安全“穿透式”监管提供技术支撑。

业务分析；网络管理；监测模型；安全体系

1 引言

人民银行省级节点业务网络作为各省金融网络的中枢，承载着货币信贷、金融统计、征信管理、货币发行等重要业务系统的安全稳定运行的任务，是支撑央行履职的核心网络。近年来，随着人民银行信息化建设的快速发展，业务系统不断上线，对网络稳定性和数据安全性的要求越来越高，现有安全运维及监控手段存在许多不足，主要表现在难以全面掌握网络健康状态，精准定位业务故障原因。因此，如何从业务视角加强网络安全预警，实时感知网络异常和业务风险是运维管理过程中亟待解决的问题。

2 现状与不足

随着人民银行软件开发、系统运行和数据管理工作的省级集中，网络安全风险日益凸显，目前人民银行各省级节点主要采用三种技术手段对业务网络进行监测预警和安全防护，一是以网管监控系统为代表的监控手段，重点监测网络设备运行状态及线路通信情况；二是以入侵检测系统和防火墙为代表的防护手段，重点防范非法入侵行为，保障网络边界安全；三是以日志审计系统为代表的审计手段，通过收集分析网络日志信息，审计发现违规行为。这些措施在一定程度上解决了人民银行安全防护设施较弱的问题，但仍存在一些不足。

（1）缺少业务流量分析能力

人民银行业务网络承载着各业务系统的数据流量，现有技术手段缺乏对业务传输端口、带宽占用情况和关键性能指标的监控能力，无法掌握数据流量的趋势和规律，不能为网络系统优化、安全策略制定提供准确的数据支撑，网络安全管理处于被动状态。

（2）缺少业务质量分析能力

现有网络监控方式基于IT基础设施运维角度，实现了网络设备及通信线路的状态监控，但缺乏对业务系统关键质量指标的监测分析，无法对网络延时、响应时间、丢包重传等重要指标进行实时预警，难以主动发现业务系统存在的安全隐患。

（3）缺少突发故障排查能力

当业务系统出现访问缓慢或短时中断等间歇性问题时，现有技术手段难以回溯故障发生时的数据流量还原问题，无法快速判断问题产生的根本原因，也不能对网络通信故障和业务应用故障进行有效划分，缺乏中立的责任界定依据。

因此，人民银行各省级节点有必要部署基于业务视角的网络性能管理平台，构建全面的风险管理和内控体系，进一步提高业务风险防控水平，筑牢金融网络安全防线。

3 系统设计

基于业务视角的网络性能管理平台在人民银行各省级节点采用两级模式部署，以旁路方式接入人民银行业务网络，不改变现网结构，仅需将网络中传输的业务流量镜像至数据采集设备即可。平台按照功能可划分为前端数据采集模块和后端可视化分析模块，其中前端数据采集模块实现人民银行业务网络核心区域的流量采集、性能分析、数据包回溯和异常事件预警等功能；后端可视化分析模块基于业务视角实现网络性能监控、服务路径发现、业务关联分析、智能故障定位和运行态势感知等功能。

（1）前端数据采集模块部署设计

前端数据采集模块主要用于采集业务网络数据流量，根据人民银行现网结构，省级节点和地市节点在不同位置部署数据采集设备，实现重要业务系统的全路径、全流量采集与分析，其中省级节点部署位置为下联区、核心区、DMZ区和外联区，地市节点部署位置为骨干区和核心区。

以省级节点为例，各采集点部署位置说明如表1所示。

表1 人民银行省级节点流量采集位置说明

（2）后端可视化分析模块部署设计

后端可视化分析模块主要用于分析处理数据采集模块采集到的网络数据流量，实现基于业务视角的网络性能监控和诊断，通过实时监控网络向用户交付业务的性能，自动化地预警和定位问题，保障核心业务的高效可用。

基于业务视角的网络性能管理平台部署设计如图1所示。

图1 网络性能管理平台部署设计

4 模型建立

基于业务视角的网络性能管理平台可实时分析各网络节点所采集的数据流量，提供以业务为核心的网络访问梳理、业务性能监测和快速故障定位等功能，全面监控业务系统各环节服务质量。根据人民银行业务系统分类，可重点对支付、国库、征信和办公类系统以及网络线路建立监测模型，实时感知业务运行态势。

（1）业务系统监测模型

信息系统生命周期分为立项、开发、运维和消亡四个阶段，其中运维阶段历时最长，在此阶段软件开发人员将系统交由人民银行运维人员管理。随着时间的推移与人员的变更，运维人员通常只能处理简单的硬件故障，并不清楚业务系统的网络拓扑与访问路径，当出现系统无法访问或访问缓慢等业务性能下降问题时，往往无从下手。因此，可以利用网络性能管理平台梳理人民银行核心业务系统数据流，建立业务监测模型，全面监控业务系统各环节服务质量，模型建立流程如图2所示。

图2 业务系统监测模型建立流程

（2）网络线路监测模型

网络线路是人民银行各级节点进行数据通信的传输媒介，目前主要采用MSTP、SDH和ATM数据专线。网络线路通信质量较差或者延时较大往往也是造成业务系统访问缓慢的原因之一，传统的网管监控手段通常只能监控网络线路的通断情况，无法对网络线路通信质量进行分析。因此，可以利用网络性能管理平台提取全辖网络数据流量，建立网络线路监测模型，分析省会节点至州市节点的网络线路通信质量，全面监控网络线路使用情况。

5 应用效果

基于业务视角的网络性能管理平台满足了网络运维精细化管理需要，通过监测分析业务访问的最小数据单元-数据包，实现业务访问从数据包发起到结束全生命周期的感知、防御与响应，为金融业网络安全“穿透式”监管提供技术支撑，主要应用效果如下：

（1）提高网络监控能力

平台通过对数据流量的实时监控，建立图形化网络全景信息，快速识别和定位网络问题，进一步提高了网络监控能力，为网络策略优化调整提供了决策依据。

（2）提高运维管理能力

平台通过采用分布式部署、集中式管理的方式，满足了跨区域、多结构的网络分析需求，能够对全网关键链路信息进行集中监控与分析比对，实现了从核心网络到边缘网络的运维管理。

（3）提高规划建设能力

平台通过对数据流量的分析统计与网络性能的全面评估，获得了网络应用部署、容量规划以及运行趋势的分析数据，全面掌握了网络运行的整体情况，为网络规划建设提供数据支撑。

（4）提高应急处置能力

平台通过对网络数据流量进行挖掘，能够从不同角度、不同层次快速锁定敏感数据，并进行二次分析，同时对冗余数据进行过滤处理，提高数据分析及应急处置效率。

（5）提高问题发现能力

平台通过建立网络安全基线，设置报警阈值，预先防范可能发生的网络安全风险，对间歇性网络问题与短暂性中断事件的历史数据进行分析，避免网络安全隐患升级为网络安全事故。

6 结语

网络性能管理平台为运维人员提供了基于业务视角的网络监控能力，提高了网络安全防护水平，在人民银行网络安全监控、网络故障处置和业务性能分析等方面发挥了重要作用，特别是在处理网络数据丢包、业务访问缓慢、异常流量突增等问题时成效明显，例如帮助人民银行昆明中支成功应对了勒索病毒攻击，解决了办公自动化系统访问缓慢等，现已成为集感知能力、响应能力和防御能力于一体的闭环安全运维体系的关键一环，为实现金融业网络安全“穿透式”监管提供了技术支撑。