作者 北京中关村银行金融科技部总经理 杨乾
各家民营银行成立时间有限,经营也各具特点,但均从自身发展特点出发,以业务创新为驱动力,不断推动数字化转型,加速在大数据、区块链、人工智能、物联网等技术领域的布局。与此同时,相关业务创新对信息安全的要求必然不断提高。民营银行在发展过程要充分借鉴目前成熟的安全管理理论、安全建设模型,构建符合自身特点的信息安全建设理念,结合行业特点及业务特性开展建设工作,才能有效降低有关安全风险,少走弯路,多出成果。北京中关村银行作为北京首家设立的民营银行,立足“三创”(即创客、创投、创新型企业),致力于打造“创新创业者的银行”,自建行以来坚持以科技创新为根本,在信息安全建设上基于自身业务特点并结合相关安全建设理论指导,持续开展信息安全建设,逐步建立自己的安全防御体系。笔者在本文结合中关村银行信息安全建设中积累的经验尝试提炼与总结,管中窥豹,抛砖引玉,以期为民营银行同业的信息安全建设提供一些实践参考。
一、民营银行信息安全建设的必要性及理论
1.民营银行信息系统面临的安全问题
目前民营银行普遍处于信息安全建设的初期阶段,大多未形成完整的信息安全技术体系,信息系统面临以下问题:
一是安全防护覆盖不全,安全能力未形成体系化。目前随着信息化程度的不断提升,现有的安全体系明显滞后,无法应对来自互联网的多样化安全威胁。
二是应用防护能力不足,缺乏实战化应用检验机制。安全对抗本质上是人的对抗,对民营银行而言,其业务具有开放性,安全风险系数高,迫切需要开展应用的实战化检测及加固。
三是深度检测能力不足,无法发现新型高级威胁。民营银行生产网目前对安全事件的深度检测能力不足,无法发现新型高级威胁,还不具备业务、数据等全生命周期的深度分析能力。
2.安全建设理论
由于民营银行主要以线上金融服务为主,注重业务创新,面临的风险暴露面大、风险系数高,为科学地开展信息安全建设,需要着重参考目前主流的相关安全建设理论,形成客观的安全防御思想,建设严密的安全防护体系。笔者对目前主流安全技术体系建设模型进行研究及对比,提炼其建设指导思想,为安全建设提供指引,具体见表1。
二、民营银行信息安全建设的需求及架构
笔者根据民营银行的业务特点、风险特点,结合相关安全建设理论指导,规划安全技术防御体系、信息安全管理体系,形成安全整体框架。
1.民营银行信息安全建设需求
民营银行较传统银行业务弹性大、创新性强,要求相关安全防御架构也有良好的弹性、灵活性。结合安全技术体系建设的理论,民营银行信息安全建设须重视以下四点:
一是加强威胁可视化建设。威胁可见性是安全防御的基础,民营银行需要加强威胁可视化建设,逐步丰富监控的手段及深度,形成整体监控能力。
二是打造持续运营能力。安全重点将转向持续检测和快速响应,因此,民营银行须在完善的技术安全防御体系上建立持续运营的能力。
三是实现纵深防御能力。围绕数据资产的全生命周期建立多层防线,各层防御间采用不同的防御技术监测威胁,层层防御,达到发现并阻止攻击的效果。
四是从被动防御向积极防御演进。民营银行的网络安全须从被动防御向积极防御叠加演进,以积极防御作为演进目标,逐步提升整体防御能力,具体如图1所示。
2.信息安全建设一般体系架构
根据网络安全法及相关监管规范要求,结合行业特点及资产风险防护要求,参考信息安全建设理论,民营银行可采用以下一般信息安全管理体系框架,实现信息安全体系化建设。
该框架包括基础安全技术体系、安全运营体系及安全管理体系三层,如图2所示。
基础安全技术体系通常包括主机安全、网络安全、终端安全、数据安全、统一身份认证、云平台安全等方面,依照监管要求并结合自身资产部署情况及业务特性,补齐短板,完善各模块安全防御能力,满足业务发展需要。
安全运营体系着重围绕安全的检测(包括流量安全监测、主机监控、蜜罐系统等)、保护(互联网钓鱼防护、API定向防护、攻击监测及防护等)、分析(态势感知、安全情报、入侵溯源等)、响应(威胁分析、自动化响应、应急预案及演练等)等方面持续开展建设,逐步覆盖全局,循序渐进,建立持续监控、及时响应的运营能力。
安全管理体系包括安全方针、组织架构、职责分工、安全策略等内容,目标及范围各行大同小异。基于民营银行的风险特点,安全管理体系需要满足业务的弹性要求,各种制度及流程建设在满足合规性的同时,也需考虑执行效率,以匹配业务需求。此外,信息安全管理与信息安全技术需要并重,安全管理和安全技术是灯芯和灯油的关系,谁也离不开谁,需要“两手抓,两手都要硬”,因此,民营银行业需要持续推进安全管理体系建设。
民营银行信息安全建设,须建立坚实的安全技术防御体系,实现层次化纵深化防御,建立持续监控、及时处置的安全运营体系,并逐步建立合规及符合自身业务发展需求的安全管理体系。
三、民营银行信息安全建设实践
作为民营银行的一员,北京中关村银行认真研究自身业务特点,参照相关安全建设理论,从安全技术防御体系、信息安全运营体系及信息安全管理体系逐层探索实践,结合安全建设理论,较快建立了安全纵深防御体系、安全运营体系,并逐步推进信息安全管理体系建设。
1.基础技术安全体系建设
依据自身业务特点,结合安全建设理论的指导理念,北京中关村银行从互联网边界安全防护架构改造、主机层安全防护、内部渗透检测、安全流量分析等方面逐步进行建设完善,建立了纵深防御的安全体系。再结合业务渗透测试、外部钓鱼防护等安全服务能力,进一步完善安全防御能力,建立基于实战化的立体防御体系。
(1)网络安全架构优化
为适应业务快速发展的安全防护要求,需要突破传统银行互联网边界架构固化的问题,增强互联网业务的按需安全功能部署能力。北京中关村银行对传统的网络边界安全架构进行重新设计,构建一个灵活的安全子区。
该子区的核心部件为基于流量分析编排的调度平台(如图3所示)。相关安全设备部署在平台之下开展防护,但受平台控制流量路径。架构优化后,安全设备之间松耦合部署,可灵活扩展。平台的流量编排管理能力可根据特征对流量进行分类,通过策略进行引流。该平台具备加密流量卸载能力,将卸载后的流量分发安全设备处理。
子区内安全设备可以通过服务链的方式灵活组合,按需提供组合安全防护能力。服务链中节点上的设备通过资源池的方式部署,灵活扩展,同时提供服务,与传统架构相比优势明显。在设备维护等运维操作时,通过调整平台策略,可以实现维护设备的平滑下线及上线,实现灰度管理,大大提高运维效率。
在北京中关村银行实际使用中,传统的IPS、WAF、七层墙、APT设备按上述架构部署,互联网流量按需被引到不同服务链进行处理,明显优化了安全防护策略,提高了运维效率。流量调度过程如图4所示。
(2)网络流量安全分析
为实现威胁可视化,提高安全风险发现的能力,建立基于网络流量分析的安全系统非常必要。根据自身安全监控需要,结合安全建设理论指导,北京中关村银行从以下三个方面建设分析能力:
一是网络流量数据实时采集、分析、存储及回溯。流量分析系统采用网络流量实时采集的思路,实现流量中威胁行为的实时检测、分析及告警,检测隐藏在流量中的黑客恶意行为。网络分析系统可还原网络事件发生时的全部网络通讯内容,实现数据包级的数据取证和责任判定,从综合的维度上解决了网络流量数据实时采集、分析、存储及回溯的难题。
二是未知恶意文件检测。目前传统的文件检测大多使用基于签名特征库匹配的机制,面对恶意代码的复杂性和多样性,传统的静态检测技术已无法完全检测新出现的恶意代码。针对上述问题,流量分析系统需要具备静态检测和动态检测相结合的能力,通过对文件进行细粒度的行为检测,精准全面分析文件属性,满足检测需求。
三是威胁发现精准度高。流量分析系统通过语义分析检测技术、智能分析技术及自主学习等一系列技术,对攻击结果精细化提炼,提升了告警的精准度,聚焦高价值威胁事件的分析及运营。
根据上述要求,设计出网络流量系统部署架构,如图5所示。
流量分析探针的功能是负责对网络流量的镜像流量进行采集并还原,还原后的流量日志会加密传输给流量分析平台。流量分析平台通过大数据分析技术并结合威胁情报对相关日志进行关联分析并产生告警,有效提高告警的准确性,提高安全运营的效率。
随着该系统投入日常运营,其在日常信息安全运维及重大活动支持中的安全保障能力显著提高,安全分析能力较全面,安全预警准确率高,以快速告警、快速处置。
(3)主机安全防护体系建设
为构建纵深防御体系,需要部署主机安全监控系统,补齐安全防护短板。通过监控系统对主机上相关操作行为的检测及分析,及时对攻击操作(如上传shell等)进行识别并告警。
为实现主机层面的行为监控及预警,采用了轻量级Agent的部署方案,通过Server-Agent方式部署主机监控系统。Server管理端负责策略定义、数据分析、安全检测、威胁展示及告警等工作,Agent安装在受监控主机上,进行主机行为监控、数据收集、日志传输等,与服务器端组成一个闭环,实现相关威胁的监控及预警工作。
主机安全防护体系如图6所示。
(4)内部渗透检测
蜜罐技术是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法。蜜罐系统目前是黑客内部渗透检测的有效工具。
为防护内网渗透,全面部署蜜罐系统进行检测,蜜罐系统着重对互联网业务区域相关前置、应用、数据库及内部重要信息资产周围按需部署,形成内部密网。其架构如图7所示。
蜜罐系统作为最后一道内网主机探测防线,在国家重保活动、日常运维过程中运行平稳,告警数少但准确性高,是安全运维工作的有力工具,体现出较高的使用价值。
(5)应用渗透性测试
为满足目前安全形势下实战化的安全防护需要,北京中关村银行通过开展投产前渗透测试工作、互联网业务系统众测工作等多种应用检测技术,采用实战化的手段检验应用系统的安全,深入检测应用存在的风险,并及时修复相关威胁,明显提升应用的健壮性及安全性。
(6)钓鱼防护
为避免网站、手机App、企业公众号等重要渠道在互联网侧遭受仿冒攻击,北京中关村银行开展调研、评估后进行防御方案设计,通过联合外部安全服务商提供全球的资产安全检测能力,及时发现仿冒行为,并通过合作服务商开展核实及关停,及时处置风险。通过补齐该短板,建成了内部防御与外部风险监测处置相结合的立体安全防御能力。
2.安全运营建设
根据安全理论中可视化的要求及持续监控、持续处置的建议,北京中关村银行通过安全平台融合全量安全数据,逐步建设形成企业数据湖,利用大数据技术进行风险关联分析,判断风险事件的准确性并告警。运营人员通过平台将安全事件的处置措施自动下发至全行安全控制点,联动控制安全组件,自动执行防护措施;以全场景运营为目的,实现安全事件处置的全流程、自动化、智能化的机控和协同联动,实现安全预警、安全攻防、安全态势分析和情报共享等智能安全运营。
3.安全管理体系建设
为逐步完善安全管理体系,北京中关村银行对现有资产情况及相关风险进行评估,确立安全管理方针及政策,并最终通过相关项目实施逐步完善安全管理制度及流程,使得安全建设及运维工作逐步规范,逐步完善。
四、民营银行安全建设展望
民营银行为适应应用更新迭代快、业务创新快、需求变化快、落地高效等业务发展需求,未来基础安全设施必将全面云化、容器化,以支撑上层业务的快速落地。因此,信息安全体系建设将针对云基础架构向自动化、智能化方向进一步发展。另外,为适应云环境,各安全能力将以服务化形式提供,主要安全能力可以实现即插即用,满足简单易用的用户需求,进一步提高安全部署效率及安全功能虚拟化、池化扩展能力,适应基础设施及业务的安全防护需求。
文章刊于《中国金融电脑》2021年第5期
声明:本文来自中国金融电脑,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。