文 / 北京中关村银行 许伟涛 罗进权 翟栋男

2021年12月和2022年1月,中国人民银行《金融科技发展规划(2022—2025年)》(以下简称《发展规划》)和银保监会《关于银行业保险业数字化转型的指导意见》(以下简称《指导意见》)先后印发,将数字金融发展的目标指向对数字经济发展的支持,将金融科技定位在深化金融供给侧改革、更好服务实体经济、实现高质量增长的重要创新力量。

中关村银行的“一体化链接中台”建设

中关村银行积极学习和贯彻落实监管部门《指导意见》,于2022年1月成立了以行领导和各部门负责人为主体的数字化战略领导小组,加强数字化转型统筹协调和组织实施。数字化转型工作是一个复杂系统工程,对银行而言,数字化建设走在各行业前列,大多数同业已实现计算软硬件架构解耦、集中资源池共享及虚拟化建设,并大量采用自动化技术,形成较高的数字化能力,成效显著。而在日常办公运营领域,则很多银行并未列为重点建设方向,认为其重要程度不高。北京中关村银行针对自身信息化建设现状分析,认为办公数字化转型可以整合资源,提升银行整体办公效率,降低成本,因此规划建设一体化链接中台。在数字化战略领导小组的领导下,中关村银行开始推动办公数字化转型“一体化链接中台”建设工作,并将该项目作为中关村银行数字化转型1号工程。

“一体化链接中台”定位办公系统中台,建立数字化门户入口集成各办公系统及工具,利用消息通知、在线会议、办公文档在线协同等功能触达员工,黏合各部门办公人员。此外,利用该平台的链接能力还可以进一步对外链接客户群体和关联企业,加强上下游沟通能力及效率,逐步建立完整生态。数字化协同智能安全管控平台方案作为“一体化链接中台”的安全部分,为中台提供安全支撑能力。

随着办公数字化转型不断深入,“一体化链接中台”跨网络域、跨系统,乃至打通客户和关联企业的特性对“分区分域”的传统安全理念产生了挑战。如:远程办公、业务处理、开发测试等场景均需要用户在不同网络间访问。数字化转型帮助中关村银行获得新的业务增长点,同时也蕴含着巨大的网络安全风险,当前通过网络隔离、重边界的防护理念已经不能满足业务的发展需要。为保障“一体化链接中台”的安全性,中关村银行综合利用零信任技术、沙箱技术创新,寻求数字化协同智能安全管控平台方案。

开发建设过程面临的挑战

中关村银行现有网络按照功能区域划分为生产环境、开发测试环境和办公环境,相互之间隔离,形成不同的网络应用:生产环境使用专用终端访问;行内办公系统使用办公终端访问;开发测试环境使用云桌面,开发人员通过办公终端登录云桌面进行开发工作;远程办公使用VPN接入实现。

1.传统网络边界隔离凸显不足

中关村银行的网络模型采用传统的网络分区和隔离的边界防护模型,随着“一体化链接中台”不断推进,意味着数据必须在多样化的业务、平台、设备、用户之间流动,导致网络安全边界变得模糊,难以通过边界防护实现灵活、动态的访问控制需求。

2.接入设备多样性导致安全风险增大

数字化转型促使网络进一步开放,随时随地接入网络的人员、设备多样性导致安全可控性降低,大量业务数据存放在终端上,一旦发生敏感数据泄露将会给金融机构带来巨大影响。

3.VPN+云桌面方式问题凸显

受疫情影响,远程办公大规模使用VPN和云桌面。近年来,VPN不断被爆出安全漏洞,在中关村银行多次渗透测试中也发现此类问题,攻击者利用VPN漏洞极易绕过VPN用户验证,直接进入VPN后台将VPN作为渗透内网的跳板,进行肆意横向移动。

云桌面需要部署高性能服务器以及虚拟化平台管理工具,每年需要采购云桌面维保服务以及虚拟化授权许可,每年都需要花费大量资金。

持续创新,构建数字化协同智能安全管控平台

数字化转型驱动了系统集成的需求激增,数据流动性需求变大,传统的安全解决方案越来越不能满足业务需要。在当前新技术、新场景下,中关村银行立足于信息化和网络安全的双重定位,摒弃传统安全解决方案,尝试综合利用新技术,创新性地解决业务和安全需要。

1.系统建设思路

调研过程中中关村银行发现,很多企业将零信任定位为VPN的升级替换产品,作为远程访问使用。“一体化链接中台”作为链接远程办公、业务处理、开发测试等场景的平台,模糊了网络边界,零信任主流的远程访问场景不足以满足中关村银行需要。中关村银行综合考虑后决定探索新的零信任使用场景。无企业网络特权的模式,用户和设备的访问都基于权限,与网络位置无关,所有对企业资源的访问都是基于设备状态和用户权限进行全面认证、授权和加密。在此种模式下,网络边界被模糊化,一切基于权限。此种思路符合中关村银行一体化链接中台建设目标,工作中打破壁垒,解决日常工作中沟通协同痛点。

零信任架构可以有效解决传统基于边界的网络安全架构在数字化转型下面临的困境,对用户业务系统安全访问提供了强有力的保护。相比之下,终端作为零信任架构下“信任”关系链中重要的一环,目前只提供了身份认证、终端环境安全感知等能力,缺乏对落地业务数据的有效保护,成为了零信任方案下的安全短板。针对这一需求,中关村银行考虑在零信任方案基础上引入安全工作空间技术,用户在访问不同安全等级的业务系统时,通过安全工作空间,在终端建立相应的安全工作环境,通过加密、隔离、管控等手段,保障落地业务数据的存储、使用、流转安全。

2.项目建设平稳推进

基于上述建设思路,中关村银行设计了一套数字化协同智能安全管控平台方案,在全行部署一套包含可信代理网关、可信访问控制台和安全工作空间的安全系统,通过零信任技术实现网络层的访问控制,通过安全工作空间实现终端层面的隔离控制,使得同一台终端既可以从任意位置访问生产环境、开发环境、办公环境,而且不会因使用同一台终端造成各个环境间相互联通,同时能够满足监管对于生产环境、开发环境、办公环境隔离的要求。数据在各环境间流转需要审批,降低了数据泄露的风险。

(1)统一部署、集中管理

管理端层面,在互联网DMZ区和内网办公区部署零信任TAP(零信任可信应用网关),分别处理来自互联网或内网的访问请求。内网部署TAC(零信任可信访问控制台),统一控制部署在DMZ区、内网办公区的可信应用网关。内网部署一个安全工作空间策略服务器,用于安全工作空间策略的管理。

终端层面,在全行办公终端部署包含零信任和安全工作空间功能的统一客户端,零信任和安全工作空间权限及策略按照用户及其所使用的终端类型的不同,分配对应的权限和策略。

零信任开启SPA模式,利用零信任较强的身份认证能力,实现内、外网的安全接入。利用零信任技术建立的网络通道实现内网的可信连接,提高了内网数据传输的安全性。利用内网DNS和内外网TAP配合,实现用户无需根据互联网或内网环境切换接入点,给予用户内外网一致的用户体验(如图所示)。

图 数字化协同智能安全管控平台架构图

安全工作空间方面,中关村银行配发终端本机用于日常办公使用,通过用户组区分下发不同的安全工作空间策略,业务人员终端创建生产安全工作空间,开发人员终端创建开发测试安全工作空间。自有设备终端除根据角色创建生产安全工作空间或开发测试安全工作空间外,还会创建办公空间,用于日常办公使用,具备与中关村银行配发终端的本机相同的权限。通过这几个空间的灵活使用,实现在自有终端上安全访问中关村银行业务系统。

(2)策略管理灵活、兼顾效率和安全

依靠安全工作空间的隔离能力,将本机与安全工作空间彻底隔离。安全工作空间按角色访问对应的服务器资源,本机不能访问只有安全工作空间才能访问到的资源。在安全工作空间中创建的数据、文件、代码只能保存在安全工作空间中,导出时需要经过审批,防止了敏感信息泄露。为提高便利性,本机向安全工作空间导入数据无需审批,直接使用拖拽方式拖入安全工作空间即可。

为了进一步破除环境间数据不流通造成的协作障碍,中关村银行对员工数据导出需求进行了调研,调研发现,出于数据分析目的进行的数据导出,员工一般按照行内数据导出流程申请数据导出,而终端层面跨环境导出数据场景,主要是办公协同沟通时展示数据能让对方更好地理解并解决问题。这种场景下申请导出的数据量不大,为此申请一次数据导出费时费力。针对此情况,安全工作空间允许截屏、允许共享屏幕,这样员工就可以使用“一体化链接中台”的聊天、截屏功能和会议功能,高效地开展办公协同、讨论隔离在安全工作空间中的内容。为了保证安全性,所有的截屏都会带有水印、导出内容上传服务器,可以实现事后审计。通过这些举措实现了安全和高效之间的平衡。

由于“一体化链接中台”实现了各环境间通讯和协调工具的统一,提高了全行的工作效率。为了保证安全性,防止数据通过“一体化链接中台”在不同等级的安全工作空间之间非法传递,“一体化链接中台”客户端只在本机运行,不允许在安全工作空间内运行。通过这种手段拉齐可传递数据的安全级别,防止利用“一体化链接中台”非法打通各隔离环境,造成数据泄露。

(3)特殊安全设计

数字化协同智能安全管控平台本身就有着很高的安全性设计,为了进一步提升安全性,中关村银行还做了特殊设计。

客户端首次接入系统时需进行认证,由管理员对终端进行人工识别,确认终端是否为已经批准接入的终端,并按照企业配发设备、自带设备为终端分组,便于后续管理。通过这种方式防范客户端被非法获取,从而接入中关村银行内网的情况。

此外,为进一步防范客户端被非法获取,中关村银行对客户端安装文件进行了分离,分解成安全工作空间安装文件和零信任安装文件,终端成功安装安全工作空间后,由安全工作空间到中关村银行内网指定路径拉取零信任安装文件静默安装,最终形成完整的客户端功能。公开渠道只能获取到安全工作空间安装文件,无法获取到零信任安全文件,再结合客户端首次接入系统认证,基本可以阻断非法获取客户端自行接入中关村银行网络的可能。

积极探索实践,完成多场景落地实践

目前,中关村银行已经在开发测试场景、生产访问场景、互联网访问场景落地,数字化协同智能安全管控平台已支持近400台终端的开发测试、生产访问使用。通过多维身份认证、动态权限控制、终端数据隔离等手段,确保用户终端访问开发环境、生产环境的精细化控制以及数据安全。

1.业务隐藏,访问加密,构建资源保护面

通过构建保护面实现对暴露面的收缩,要求所有资源默认隐藏,根据访问控制授权结果进行最小限度的开放,所有的资源访问请求都进行全流量加密和强制授权,有效的防止了黑客在内、外网窃听,获取登录账号和密码的可能性。

2.数据隔离,安全流转,加强数据安全管控和审计

安全工作空间是一个加密的空间,存储在安全工作空间中的文件、代码都是加密存储,较终端上的明文存储更安全,而且安全工作空间支持国密算法、加密密钥丢失也可随时更换密钥,防止安全工作空间内的信息泄露。

数据导入行内环境更加开放,数据可以通过U盘拷入本机,然后再通过拖拽方式导入相应安全空间。整个导入过程不再需要摆渡盘和审批,效率提高。数据导出审批通过客户端即可完成,不再需要通过OA进行繁琐的审批,而且具备审计能力。

3.降本增效,大幅提升工作效率

从使用效果看,开发人员省去登录云桌面过程,开发终端配置可以根据需要增加内存或硬盘甚至更换新终端,不再受云桌面整体硬件资源上限的限制,升级成本大幅降低。同时,由于安全工作空间替代了云桌面,支持云桌面的计算资源被回收,也不会再产生新的软硬件以及带宽等维护费用,IT成本大幅下降。

监控类运维管理系统由专用终端登录改为由生产安全工作空间登录,对安全性要求不高的巡检类工作可直接在工位完成,不再依赖专用终端,大大提高了工作的灵活性。业务人员通过生产安全工作空间访问业务系统,保障工作便捷的同时提高了安全性。

4.高效协同,科技创新助力服务“三创”

通过数字化协同智能安全管控平台落地,切实支持一体化链接中台建设,打通内外网。行内外交流统一,无需切换通讯工具,数据流动更简便,同时提供文档协同、安全审计等能力,协同办公更高效,助力服务“三创”。

结 语

数字化协同智能安全管控平台的上线,改变了中关村银行的管理模式和安全管控模式,在保障安全的前提下提高了沟通效率和工作效率。未来,中关村银行将按照数字化协同智能安全管控平台架构理念,逐步推进更多场景的落地实践,结合“一体化链接工程”建设,形成企业级网络安全能力,高效支撑中关村银行数字化转型和发展。

声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。