文 / 中国建设银行运营数据中心 丁海虹

网络安全是金融云的生命线

作为国有大型商业银行和金融科技领域的践行者,中国建设银行积极响应国家号召,努力打造一个以建设银行为中心的云生态系统——建行云,在不断提升自身金融科技能力的同时,将自身的行业能力社会化输出,实现共享经济下的共赢。建行云是大型国有商业银行金融科技产品共享的首推之举,形成行业商业合作生态链,让多层次的产品产生更大的产业价值;是建设银行支持国家战略转型、承担社会责任的体现;是普惠金融的具体落实,为社会树立了良好的企业形象。

面对云计算时代的网络安全风险,建设银行在建行云的建设实践过程中更加重视云安全领域,充分落实党的十九大网络强国战略和习近平总书记关于网络安全和信息化工作要求,打造具有建行特色的符合公有云技术特点的建行公有云安全体系:以信息安全策略为指导,以信息安全制度和信息安全技术为抓手,围绕信息资产分级分类,针对云基础设施及云上租户提供完备的安全服务和全生命周期的信息安全管理,保障平台侧和租户侧信息安全,支持业务持续稳定运营。

建行云信息总体安全策略

信息安全策略是构建云安全的核心前提,根据实际网络情况和应用特点提出恰当的安全策略,对于安全防护体系的建立具有指导性意义。建行云信息总体安全策略包含:分级保护、责任共担、全面管理、主动防御。分级保护即根据信息资产重要性确定安全等级,实施差异化保护,实现重点保护;责任共担即根据建行与租户的合同或协议约定,共同承担建行云上应用的安全责任,保障应用的安全稳定运行;全面管理即信息安全管理覆盖第三方应用及建行云的全生命周期活动及所有信息资产;主动防御即建行主动为租户提供职责范围内的安全保障,主动提示风险和建议措施。

为建立有效的信息安全防御体系,建行云采用了领域内精湛的信息安全技术,在延续了建行自身生产环境应用的安全管理体系和能力的同时,融入了前沿安全产品作为技术补充,具有可靠、可控、可信赖的特点,在信息安全技术策略的制订、信息安全技术防护的构建与信息安全教育的普及方面均有充分的体现。同时,为规范信息安全管理工作,加强过程管理和基础设施管理的风险分析与防范,确保信息安全技术的合理化开展,建行云制订出全面完整的信息安全制度,包含信息安全办法、信息安全规程、信息安全细则与信息安全指南。信息安全技术和信息安全制度作为安全防护体系的抓手,两者相互促进、相互决定,促进信息安全策略能够有效落地实施,为建行云安全能力的持续稳步提升提供了保障。

具有主动防御能力的建行云安全防护体系

为应对日益复杂的网络攻击,建行云打造金融级、智慧型、主动性的云安全防护体系,具备主动防御的能力,为客户提供智能化、一站式、开放共享、随需所用的云安全服务。其能力体现在以下几方面。

1.多重异构。建行云在业界最佳实践的基础上,创新性地构建了“多层水闸式”的安全防范理念。在建行云资产的端末、网络、操作系统、数据库(大数据)、应用等层面统一部署多类可定制的安全组件和安全服务。例如:部署串行Web应用防火墙,用于拦截常见的Web应用攻击;部署双向入侵检测,用于检测网络层、系统层攻击;部署主机安全产品,用于检测到达主机的恶意文件、暴力破解等行为。通过构建“边界串行阻断、边界旁路封禁、纵深检测防御”三位一体的建行云安全架构,有效避免了传统安全防护“水桶效应”的缺点,并通过企业级的集中监控和安全策略管理中心集中管理、动态调整安全服务的安全策略,形成安全防控的合力。

2.协同联动。网络攻防,唯快不破,当发现网络攻击时,第一时间阻断攻击是最有效的防护措施。建行云采用集中式硬件和分布式软件协同工作模式,集合各安全产品的核心优势,创新打造“4+N”全方位安全威胁自动封禁方案。通过将各安全产品与领域内领先的封禁手段高度融合及联动,解决防御割裂、入侵感知滞后、资产管理混沌等问题,实现从安全事件快速发现到自动化响应处置的整体闭环,防护效率高,精准应对复杂的网络环境给业务所带来的安全风险,为建行云提供了快速、精准、全面的安全治理能力。

3.集中监控。建行云针对安全事件进行集中监控和处置。可以及时分析双向入侵检测、APT检测、Web应用防火墙、主机安全等监测情况,快速发现并处置外部入侵行为;及时发现攻击者、扰乱攻击者的视线、延缓攻击者的时间,并收集攻击者的各种攻击行为和特征,有效提升了整体监控能力。同时,建行建立了与监管机构、国家级安全机构、互联网安全公司等威胁情报共享机制,主动监测互联网舆情和威胁情况,及时发现网络攻击线索和安全风险。

4.详尽审计。在独具金融特色的安全体系下,建行云在客户端和平台端均提供了强有力的审计能力。在客户层面,对云上系统及应用提供云堡垒机、数据库加密、数据库审计等数据安全服务,并通过严格的身份认证等措施全面保护用户数据安全。在平台层面,延续了建行在自身生产环境应用的安全管理体系和能力,行内运维人员均采用堡垒机作为运维的唯一渠道,多重因子认证登录,操作行为实时审计,访问权限按需开通,问题故障有据溯源;变更升级方面无论规模大小,严格按照前期多级审批、实施双人复核的流程进行,极大缩小了违规风险敞口。

5.与时俱进。建行云积极拥抱最新的前沿科技并深入实践,充分发挥威胁情报、AI智能、大数据挖掘等技术优势,灵活、有效、针对性地调整安全防护策略,及时发现潜在攻击和威胁、识别安全隐患、预测未知风险,充分满足租户与平台的各方面需求,保障云上系统及应用的安全稳定运营。

6.未雨绸缪。被其他人发现漏洞并利用漏洞攻击系统,发生安全事故后的补救,就像是亡羊补牢,而提前发现网络中的漏洞,并进行必要的修补,就像是未雨绸缪。建行云提供平台全局安全服务:漏洞扫描与渗透测试,模拟黑客可能使用的攻击技术和漏洞发现技术,定期对系统进行安全脆弱性检查,充分了解网络当前存在的安全隐患,并提供专业的报告帮助整改问题,先于黑客发现潜在的安全风险,避免由于网络黑客攻击造成重大损失,防范于未然。

7.灵活定制。建行云为租户提供功能独立、部署灵活、简便易用的标准化安全组件,部署在云上的系统及应用可以根据自身需求自由定制安全能力。同时,建行云安全团队积累了从开发测试、到运维响应、到威胁处置的全面覆盖各安全领域的运营能力,其能力在实践中屡次得到证明,是业界内公认的顶尖水平,租户也可以由建行云安全专家为其量身打造最合适的安全方案。

砥砺前行,云安全永无止境

建行云将基于建设银行数年累积的先进技术与实践经验,聚集了大量专属的信息安全资源,从安全策略、技术提炼、制度建设等方面以自身的实力诠释云安全防护体系的顶尖水平,为云上系统及应用提供最大程度的安全保障。安全工作永无止境,未来建行云将持续在云安全方面加强自身建设。

从基础设施安全向应用安全发展:随着安全意识在社会上的整体性提升,攻击者利用基础设施漏洞攻陷系统的难度逐渐提高,便更多将目光转移到应用开发的漏洞上,关注应用安全能够有效应对此类高级性、隐蔽性、有针对性的攻击行为。

从集中式安全向分布式安全发展:分布式安全架构能够降低安全产品间的耦合度,增删一个产品,不会影响其他功能产品和整体安全架构,提高整个安全架构的可用性。同时在业务扩展时能够灵活扩展安全能力,高效缩小风险敞口。

从事中、事后安全向事前安全发展:随着业务的扩展,越来越多的新型业务框架将在生产中得以运用,随之而来的安全风险也层出不穷。建行云将充分发展事前预防的作用,能够在业务上线前发现潜在的安全隐患,从而制订安全事件发生的应对措施,具备将安全风险扼杀在萌芽阶段的能力。

从安全防御向安全治理发展:租户往往不具备较高的安全水平,容易忽视安全隐患,需要在专业的指导下才可完成安全合规性检查工作。建行云将利用技术手段自动检查平台侧与租户侧的安全性与合规性,在解放人力的同时主动向平台侧与租户侧提示潜在的风险,并提供合理的建议帮助其治理安全隐患。

安全是建行云的核心,建行云继承建设银行“安全即服务”的理念,打造金融级、智慧型、主动性的云安全保障体系,为云上系统及应用提供灵活、便捷、弹性伸缩、按需分配的云安全服务。在提供云服务过程中,建行云始终捍卫用户的信息安全,帮助用户保护其系统及数据的安全,提升用户信息的可用性、保密性和完整性。未来建行云将持续提升云计算、云存储、云网络等安全管理与技术能力,不断开放更多的云端业务安全解决方案。

声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。