文 / 中国人民银行清算总中心技术部  康一鑫 张林山 白雪莹

没有网络安全就没有国家安全。随着《中华人民共和国网络安全法》正式实施,网络安全越来越受到重视。而网络安全的本质在对抗,对抗的本质在攻防两端能力的较量。

一方面,大规模网络安全攻防演练在各大网络强国常态化开展,已成为检验网络强国建设的重器。在2006年日本就举行了一次全国性的网络攻击演练,参加演练的日本“网络部队”奉命对一些金融机构、公司和政府部门的网络进行攻击,考验这些单位的应对能力。2016~2018年,美国国防部连续组织开展了“黑掉五角大楼”“黑掉陆军”“黑掉空军”“黑掉国防旅行系统”“黑掉海军陆战队”等多次军方实战演练。2019年北约组织的世界最大规模网络安全演练“锁盾-2019”在紧邻俄罗斯西部边境的爱沙尼亚举行。

另一方面,金融行业作为关键基础设施机构,一直都是网络攻击发生的重灾区。2016年2月5日,孟加拉国央行被黑客攻击导致8100万美元被窃取。2017年韩国多家银行遭黑客组织分布式拒绝服务(DDoS)攻击威胁。2019年7月,美国银行第一资本金融公司遭黑客窃取逾1亿名顾客和潜在顾客的个人信息。2017年金融行业已被列为仅次于政府、能源之后,被高级持续性威胁(Advanced Persistent Threat,即APT)攻击组织关注的第三大领域。

近年来,金融领域网络安全防护和处置能力成为金融机构和监管部门关注的重点。中国人民银行印发的《金融科技(FinTech)发展规划(2019~2021年)》提出增强金融风险技防能力,加强网络安全风险管控和金融信息保护,坚决守住不发生系统性金融风险的底线。因此,攻防演练作为有效的网络安全检验手段也越来越受到业界重视和关注。

金融行业网络安全攻防演练的特点

金融行业网络安全攻防演练与日常举行的应急预案演练和网络安全攻防大赛(CTF),既有相关性,又有不同性。

金融行业信息系统应急管理工作在2004年全面启动,金融IT应急预案和演练工作逐步规范化,但应急预案主要围绕自然灾害、信息系统故障等情况机构的应对措施,演练目的主要是对预案有效性进行验证,在机构中更多发挥以练代训的作用。预案场景在演练中多以桌面推演的形式进行模拟,更多的是侧重“演”和“训”。

我国的网络安全攻防演练主要模拟遭受网络攻击时的灾难恢复,演练是无脚本攻防对抗,过程需上下联动、多方协调,且趋于实战化,能够更全面地检验机构网络安全防护措施和网络安全保障专业人才队伍情况。

网络安全的本质在对抗,网络安全攻防演练能够全面、有效检验金融机构网络安全工作的整体情况,更贴合金融机构面临的真实网络威胁。与其他形式相比,网络安全攻防演练特点也更加明显,如表1所示。

表 1  金融行业网络安全检验方式对比

金融行业网络安全攻防演练的价值

网络攻防演练,一般采用国内外公认的模拟黑客攻击的方式为主,对机构的网络平台和信息系统进行全方位渗透测试,以发现可导致数据泄露、资产受损、系统篡改等的漏洞为目标,帮助机构在维护网络空间安全提早发现安全隐患,未雨绸缪。

将网络攻防演练引入金融行业,特别对金融基础设施应急管理具有非常强的现实意义和长远价值。

1.以我为主,优化应急联动机制

金融行业呈现明显的前台、后台模式运营,业务部门多居于前台,IT部门多居于后台,在应急管理中会有前后台“两张皮”,以及业务应急和IT应急融合困难的问题。开展网络安全攻防演练相比一般单一应急预案演练,具有涵盖演练科目更多的特点。网络作为连接前后台部门的主要媒介,网络安全攻防演练范围一般涵盖前后台多部门。

因此,金融行业在网络安全攻防演练工作中,可以学习《国家网络安全事件应急预案》,坚持“以我为主”的策略,从攻防角逐视角,编制适合自己机构的网络安全应急机制,构建应急“中台”形成联动机制,形成统一的报告、处置流程,将网络安全攻防演练。作为提升应急预案实战成果转化率的手段,形成“即插即用”应急联动模块,实现“召之即来来之能战”的应急战斗力。

2.引入对抗,丰富演练形式内容

金融行业与国内其他行业类似,以应急预案演练为主,围绕业务风险、IT风险分别制定应急预案,并通过演练验证预案有效性,存在与日常场景结合不紧密、形式单一的问题。网络安全攻防演练采用红蓝对抗形式,针对行业需求红方可以真实模拟演练场景,更加贴近实际情况。引入对抗,可以在桌面推演、线上线下、实战演习等多种模式中,丰富演练形式,解决演练应急过程方对照手册执行,缺少实际应变环节的问题。

3.问题导向,完善应急预案体系

网络安全攻防演练的主要目的之一是发现潜在的风险和漏洞,可能出现已有应急预案之外的演练场景,比无脚本、突袭式演练更能全面检验机构的安全保障能力。网络安全攻防演练坚持问题导向,可以有效推进应急演练规则、演练工具、演练方法、应急预案和评价标准等的持续优化,不断完善应急预案体系。

4.实战锻炼,提升安全保障能力

金融行业坚持“防风险、强内控、重监管”,内部控制体系较完整,在应急管理方面合规性风险较低,但对于应急管理有效性的评价、应急人员能力的培养缺乏有效手段。应急管理有效性体现在应急处置行为中,人员作为行为主体,其能力是决定性因素。人员能力主要由经验和技能两方面组成,经验源于积累,技能来自理论和实践,网络安全攻防演练融合了多科目、多部门演练的实操内容,实战性强,能够有效提升机构保障金融安全的实战能力。

网络安全攻防演练引入金融行业,其自身特点在信息科技视角下对整体应急管理有“PDCA”循环改进价值(如图1所示)。

图1 网络安全攻防演练工作的“PDCA”循环

金融行业网络安全攻防演练的风险

将网络安全攻防演练引入金融行业具有长远价值,但由于金融行业的特殊性质和网络安全攻防演练的特点,也要关注其风险。

1.控制对抗演练的过程风险

网络安全攻防演练一般多方参加,具有对抗性,较一般演练具有人员多、情况复杂的特点。特别当红方队伍来自外部机构时,对抗过程的控制风险显著增加。考虑金融行业特殊性,演练前应对参演人员背景审查、攻防手段约束规范、对抗过程记录、演练情况上报、紧急情况处置等做好过程管控。

2.严防对抗中的“黑天鹅”和“灰犀牛”

网络安全攻防演练依据攻防两端较量的结果做出评价,但由于对抗具有不确定性,攻防演练在风险可控的基础上,结果依然具有不确定性。较量结果的不确定性可能会产生“黑天鹅”和“灰犀牛”事件,因此在网络安全攻防演练准备阶段,应特别针对发生“黑天鹅”和“灰犀牛”事件开展风险评估,明确应急处置流程和手段,作为演练应急管理的一部分。

3.守住不发生业务连续性风险的底线

网络安全攻防演练的目的是通过攻防两端的较量和对基础设施渗透对金融机构的网络安全防护能力和保障队伍进行全面检测,提升金融机构网络安全保障能力。但由于攻防与渗透可能以业务系统为目标,所以演练必须不能发生业务连续性风险。因此,网络安全攻防演练的组织实施必须精细化,坚持“要发现风险,不发生风险”的原则。

声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。