文 / 中信银行信创终端数字化安全管控攻关小组 马超 伍科松 鲍德华 李楠
信创终端数字化安全管控系统建设背景
维护金融安全是践行国家金融工作战略的永恒主题,党的二十大报告将科技创新与金融安全列为重点工作推进。习近平总书记反复强调,金融安全是经济平稳健康发展的重要基础,维护金融安全、防范化解金融风险是关系我国经济社会发展全局的一件战略性大事。同时,金融监管机构始终保持“严监管、重处罚”的高压态势,对于银行业网络安全、数据安全的监管日趋严格、细致。
在重安全、求创新的时代背景下,为建设信创终端的安全管控体系,我们对金融同业终端设备使用状况进行了调研,主要发现四大类问题。首先是信创终端在安全管控方面难度大、成本高,数字化管控手段缺失,信创版本的终端安全工具与普通Windows版本相比有较大的功能性差距;其次是部分国内的安全工具仅在终端APP层面进行了适配,服务端节点还未完成全栈式信创改造,安全保障方面还存在“卡脖子”的风险;再次信创终端的资产管理工作也存在人力投入高、效率低、数字化资产盘点手段缺失的问题;最后信创终端下发至用户后,现有工具无法精确掌握用户开机、登录和实际使用时间等情况,信创终端推广和真替真用缺乏有效的数据支撑。
基于上述情况,我们决定对终端的数字化安全管控系统进行专项攻关,建设信创终端数字化安全管控系统(以下简称信创PCM)。一方面利用全栈式信创技术平台用信创管信创,防范因感染病毒、木马导致的网络安全和数据安全风险,保障全行信息系统和网络安全稳定运行;另一方面提升全行科技固定资产的精益化管理水平,同时也为信创终端“真替真用”提供数据支撑。
信创PCM系统技术亮点
中信银行信创终端数字化安全管控系统创造性地综合运用多种安全、大数据和人工智能分析技术,实现信创终端全景式精准数字画像,有效实施终端数字化管控,大幅度提高管控效率。
1.构建全栈式信创终端管控体系。本项目创造性地通过信创终端数字化安全管控系统的客户端程序,将终端安全系统软件信息、终端基础配置、软件列表、补丁安装等各类终端进行全面采集,并通过Mac地址实现数据与所属设备一对一匹配,利用大数据技术第一时间自动发现和精确识别所有入网的终端设备,确保接入设备信息的快速追踪,形成全方位、精准化的全行终端数字画像,为实现终端设备一体化集中管控和安全运营构筑强大的数据基座。
信创PCM系统的前端APP适配国芯及终端操作系统,服务端节点基于国内芯片服务器和操作系统、数据库等基础软硬件,实现全栈适配改造,并计划在2023年底前实现单轨运行,实现用信创保安全的目标,弥补信创终端在数字化安全管控能力体系方面的空白。
2.形成数字化问题检测管控闭环。基于安全规则算法并总结全行终端安全运维和审计经验,自动检测终端防病毒异常、天擎程序异常、安装非法软件等各种安全威胁,并支持扩展丰富新的安全检查和整改场景,由终端数字化管控平台建立全行统一的数字化安全问题整改台账。并通过自动调度终端任务的方式完成整改,对于自动化任务执行不成功的再转派人工处理,形成反馈形成闭环,实现从人机驱动到全数据驱动。终端安全问题检测已不再需要人工介入,在试运行阶段验证,至少可以提升90%以上的运维工作效率。
3.实现全景式资产盘点功能。信创终端数字化管控系统作为全行终端管控的中枢大脑,对全行终端设备实施一体化集中管理,通过终端MAC地址网络信息与我行网络管理信息系统进行对接,获取终端物理位置,并通过域用户信息获取终端实际使用人。在信息科技固定资产管理过程中,可通过该系统查找和定位各类终端,准确反映总分行终端设备使用情况,建立终端设备使用管理台账,动态维护终端设备品牌型号、责任人、入网IP地址、操作系统、预装软件、维修记录等信息。覆盖终端设备采购、入网、维护、报废等处置全过程,真正做到账实相符,确保科技固定资产管理“底数清、情况明”,80%以上的信创终端固定资产盘点工作效率得到提升。
4.提供数据支撑,提升信创终端使用体验。本项目可以在用户无感知的情况下,采集终端开机时间、用户登录时间、用户实际使用时间等数据,同时支持信创终端点对点的消息推送功能,将信创终端的操作系统升级、使用提示等消息快速通知到用户,尽可能为一线业务提供更好的信创终端使用体验,并为后续信创终端推广过程中的实际使用情况提供有效的数据支撑。
攻关经验总结
由于本系统在信创终端安全领域尚属首创,中信银行在对于技术难点的攻关过程中,充分发挥了攻关团队的技术能力,并与信创技术生态紧密结合,不但实现了系统最初的设计目标,还总结出一套解决信创项目攻关问题的方法论,具体如下。
1.借助金融信创生态力量解决问题。与一般技术难点的解决方式不同,对于信创技术难点的解决,行之有效的方式是由信创技术厂商提供方向,再根据解决方向把问题描述清楚,之后到技术社区发帖提问,获取生态社区的支持往往能较高效率地解决问题。比如我们在研发“真替真用”数据采集模块时,服务商提供的获取用户输入空闲时间的API接口就不能频繁调用,可能造成终端卡顿,但其技术人员也不了解为何API频繁调用会引发BUG。最终我们在技术社区发帖获取了5分钟调用一次的合理设置值,节约了自行寻找调用频率最值实践所需要耗费的时间。这种通过技术生态的支持最终解决问题的方式,是信创攻关任务中所总结的重要经验。
2.充分考虑不同型号终端之间的差异。我们在自研过程中发现飞腾、龙芯、兆芯在时钟管理、内存回收、锁隔离级别等方面都或多或少存在差异,甚至有些现象仅在某些特定的品牌和型号上才会出现。我们在实践中发现某些适配工作必须针对具体型号进行特殊处理,在开发过程中就提高终端型号的覆盖度,做到完成一个模块就测试一个模块,避免问题积累,这也是我们在自研过程中总结的重要经验。
3.总结攻关经验反哺信创技术生态。实践证明通过信创生态社区去解决问题,往往是攻克信创系统难点的有效途径。后续我们计划把项目研发过程中在消息推送、内存治理等方面的问题解决经验总结出来,反哺给技术社区。比如我们“真替真用”采集模块的自研算法,除了通过操作系统级API获取用户空闲时间之外,还综合考虑CPU时间等因素来综合判定用户的实际使用时间,这方面的设计也得到了服务商方面的重视。我们通过将相关算法的设计思路分享给服务商的技术人员,解决信创操作系统的问题。后续我们还会继续积极参与信创操作系统的文档编写,形成生态体系的良性循环,推进金融信创系统不断积累经验,向前发展。
后续产品演进路线
中信银行信创终端数字化安全管控系统采用全自主研发模式,致力于打造信创终端精准数字画像,依靠科技创新实现信创终端设备一体化自动发现、分类、检测、处置和反馈的全流程闭环安全管控措施。根据目前平台的建设思路及情况分析,未来继续演进的思路如下。
1.进一步提升终端状态动态感知能力。该项目将进一步通过大数据技术,第一时间自动发现和精确识别所有入网的终端设备,并获取终端安全系统和网络流量特征数据,精确识别其中的信创终端,保证对信创终端100%精准管控及全面的动态覆盖,提升终端状态的动态感知能力。
2.持续向安全管控要效益。由于金融机构尤其是传统的银行业,大量终端都分布在各分支机构及子公司,人工现场排查效率低且难以确保质量,随着信创终端数字化管控系统的推广实施,通过新技术手段将在线远程开展问题发现和自动化修复,降低全行终端安全风险,极大程度减少全行特别是分行终端运维的工作压力和人力成本,深化全行一体化运维服务水平,为分行减负,实现降本增效。
未来PCM系统还将成为全行信创终端科技固定资产的“数字化账本”,避免在固定资产管理环节上可能造成的隐患,减轻对人工记账的依赖,解决账账、账实不符,资产的盘亏、毁损及有效资产存量不清等问题,优化资产配置,减少成本支出,提高资产使用效益,有效增强对科技创新的支撑和保障能力。
3.凸显信创工作社会效益。保障终端安全是金融行业信息安全防护的重点环节,各种外部渗透、侵入经常利用终端的薄弱点发起攻击,一旦因安全防护措施不到位被暴露出问题,会极大影响金融行业的品牌效应、社会形象,造成不必要的损失。
后续信创PCM项目将依托我行先进技术平台和综合研发能力,以及长期的终端安全管理经验,再将项目攻关经验推广后,推动金融行业打造数字化、一体化的信创终端安全管控模式,以科技创新、管理机制变革持续推动金融科技的服务能力,改善金融行业在信创终端设备数字化安全管控方面能力不足的现状,提升全行业的终端安全防护水平。
声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。