文 | 中国民生银行信息科技部 袁靖 詹丹丹

当前,随着数字化发展的不断深入,关键信息基础设施作为国家的重要战略资源,面临着国内外严峻的网络安全风险。为了确保国家安全,在国家发展各领域和全过程中,需要将安全发展贯穿始终,筑牢国家安全屏障。金融安全作为国家安全的重要组成部分,是经济平稳健康发展的重要基础。《关键信息基础设施安全保护条例》已实施了两年,《信息安全技术关键信息基础设施安全保护要求》(GB/T 39204-2022)(以下简称《关保要求》)也于今年 5 月1 日正式实施。中国民生银行作为关键信息基础设施(以下简称“关基”)运营者,始终贯彻习近平总书记关于网络安全的重要指示精神和决策部署。根据《网络安全法》《关键信息基础设施安全保护条例》《关保要求》等法律法规和监管要求,中国民生银行通过将网络安全工作纳入重要议事日程,持续构建完备的网络金融安全体系,落实关基保护工作,有效防范网络安全风险。

一、落实关键信息基础设施安全保护要求

民生银行依据《关保要求》,遵循以下三项基本原则进行工作:“以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防”。在安全保护要求等六个方面积极开展工作。

一是主动识别关基所承载的关键业务,开展业务依赖性识别、关键资产识别、风险识别。民生银行通过三个环节,即关键业务梳理、关键业务信息和信息流识别、关基要素确定,进行资产识别工作。在关键业务梳理环节,根据业务类型、客户性质、营业规模、交易笔数、声誉影响等指标,针对对外业务、内部业务和渠道业务三种重要业务类型,梳理出了 14 种关键业务,例如“个人人民币存款”“国内结算”“跨境人民币支付”等。在关键业务信息和信息流识别环节,通过分析这 14 种关键业务所需功能模块对信息资源的依赖情况,明确关键业务信息的种类和作用,厘清关键业务功能和信息系统的支撑关系,共梳理出 36 套重要信息系统,包括分布式核心账务系统、ATM系统、手机银行系统等。在关基要素确认环节,依据梳理出的关键业务和重要信息系统,确定了关基的关键资产要素,并以此为基础开展风险识别工作。

经上述识别,民生银行共梳理了 3 类业务类型、14 种关键业务、36 套重要信息系统,涉及近千台服务器。依据《信息安全技术 信息安全风险评估方法》(GB/T 20984-2022)标准,针对物理损害、自然灾害、信息损害、技术失效、未授权行为、功能损害和供应链失效这 7 类威胁,识别了存在的安全风险,并将其纳入后续的整改提升计划。

二是针对关基加强体系化、实战化的安全防护。民生银行为了做好关基安全保护工作,采取加强型的保护措施,不断完善体系化、实战化的安全运营能力。民生银行建成了以总部为中心、覆盖全网、立体纵深式的网络安全防护体系,积极稳妥地运用新技术手段,逐一消除关基的安全威胁,有效应对重大网络安全突发事件,确保关基的安全稳定运行。

首先,持续完善信息安全管理体系建设。目前,民生银行已形成了涵盖信息安全方针、安全事件管理等 14 个领域的安全管理制度体系,发布了三十多项安全管理制度,实现了信息安全管理流程和技术的统一化和规范化。

其次,民生银行持续提升数据安全保护能力。发布了《数据安全管理办法》《数据分类分级管理办法》等制度,并持续推动制度的落地执行;采用了数据加密、存储隔离、动态认证、身份鉴别、权限控制等技术手段,增强数据生命周期的安全防护;在应用系统开发流水线的安全需求和设计环节开展数据安全评审,并在上线投产前设置安全检测门禁、实施漏洞扫描、人工渗透测试、源代码安全检测等措施,以实现系统的安全稳定;此外,还建立了全行邮件外发“加密+审批”机制,实现了邮件外发的事前审批、事中监控和事后审计的闭环管理。

再次,民生银行持续加强供应链安全管控措施,提升防范供应链风险的能力。在制度层面,发布了《开源软件管理办法》《商业软件管理办法》等制度,覆盖了软件全生命周期各阶段的安全管理要求。在执行层面,将安全评估和安全检测工作嵌入到软件准入、软件入库上架、应用模块变更上线、软件下线等流程中,管控范围涵盖开源组件、开源产品、商业软件、自研组件等所有软件。同时,通过系统与工具间的集成,实现了安全管控的自动化执行,提升了管控效率。这不仅保证了供应链软件的安全性,还很好地支撑了敏捷研发体系。此外,对在互联网贷款、数字生态业务中的合作机构执行科技风险准入评估,每年定期对供应链合作企业进行安全检查和远程渗透测试,以确保与第三方合作不会降低信息系统的安全性。

三是持续开展系统安全检测及风险评估。民生银行严格落实网络安全等级保护制度要求,每年对总分行及信用卡中心网络安全等级保护三级及以上系统进行等保测评和风险评估,覆盖率达到 100%。民生银行常态化开展网络安全攻防实战演练,秉持“以攻促防,攻防兼备”的理念,在互联网侧从攻击者的角度,运用接近实战的技术手段进行渗透测试,以挖掘系统漏洞、评估信息系统安全现状,提升信息安全防护的内生动力。同时,民生银行研究网络安全风险场景,分析漏洞产生的原因,并通过模拟实际场景进行桌面沙盘推演工作,有效提升各团队协作及防守能力,从根源上降低各类安全漏洞所带来的风险。

四是持续构建体系化的安全事件处置机制。民生银行已形成了完善的网络安全事件管理制度体系,对不同的事件进行了分类分级,并发布了《信息安全事件处置实施细则》和 12 个场景下的信息安全事件应急预案。针对各类型网络安全事件,民生银行每年至少进行一次演练。同时,组建了超过 20 人的专业网络攻防红蓝队伍,以有效保障网络安全事件处置的专业度和及时性。民生银行定期组织实战化的网络安全攻防演练,红蓝双方在演练过程中根据安全事件应急预案进行响应和处置,并完成事件报告。

五是多措并举,提升网络安全主动防御能力。民生银行定期进行互联网资产扫描、公共存储空间信息泄露扫描等任务,建立了互联网系统资产台账,以收敛互联网资产和信息的暴露面。针对Web 应用攻击、社会工程学攻击、拒绝服务攻击等网络攻击,进行全方位的监控和防护,构建纵深防御体系,从网络、主机、应用等多个维度对攻击行为进行监控、发现和自动化处置,能够快速切断攻击路径,处置网络攻击事件。通过攻防实战对抗和系统安全检测等手段,对覆盖总分行、信用卡中心、附属机构以及主要供应商单位进行问题发现和整改,消除结构性和全局性风险。

六是建设全覆盖的网络安全威胁监测预警系统。民生银行在互联网、第三方专线以及附属机构接入等各个网络边界部署了网络安全监控和防护设备,用于发现和阻断来自外部网络的攻击;银行监控数据中心内部的各个网络区域、私有云网络等核心区域的流量,以发现内网存在的风险和威胁;在应用服务器上部署了主机安全监控程序,用于检测和发现高风险操作和高可疑行为,增强对未知威胁的发现能力。基于大数据技术搭建安全运营中心平台,并在该平台上构建了规则模型,将海量日志收敛为安全事件告警,以降低误报和漏报,提升监测预警能力。此外,还建立了 7×24 小时的安全监控值班机制,实时监控和处置安全事件告警。民生银行以风险管理为导向,将静态防护转变为动态防护。

在关基安全保障试点示范工作中,针对综合分析、威胁研判等难点问题,制定了专项提升计划,落实实时监测和获取并应用威胁情报两项重点措施,以提升攻击发现和主动防御能力。民生银行建设了多源威胁情报本地化管理平台,收集并汇总多方威胁情报源数据,生成攻击者画像标签。基于安全大数据中台,采用安全编排及自动化(SOAR)和扩展式检测响应技术(XDR)相关理念和技术,自动化结合威胁情报、系统资产、安全漏洞、原始流量等上下文信息,通过交互式取证功能和威胁评分等方式辅助人工分析研判工作,提高了安全监测、事件分析和告警研判工作的自动化比例,节省了安全人工成本,并提高了安全运营的整体效率。

二、关基保护工作面临的新挑战

关基保护当前所面临的挑战是多方位、多形态、多层次的,既有来自网络空间内的“线上化”安全威胁,也有来自现实生活中的“线下化”安全威胁。这些威胁的影响无处不在、无时不在。关基安全事件所带来的危害不再局限于网络中断、数据泄露、服务不可用等事件,而是可迅速蔓延至影响能源、交通、金融、水利、工业等重要行业和领域,乃至危害国家安全、国计民生、公共利益。其影响范围之广,程度之深,令人震惊。当前,金融行业关基安全保障面临如下四个问题。

一是数据安全成为关基保护新的风险点。随着银行数字化转型的稳步推进,AI 银行、开放银行、手机银行等金融业务需求不断扩展,银行与第三方之间的数据交互场景日益频繁。作为典型的数据密集型行业,金融行业已成为国内外网络攻击的首选目标,数据泄露事件频频发生,整个网络空间安全形势严峻。由于数据具有关联性和蔓延性的特点,易引发金融行业的系统性风险和全局数据安全问题,这直接威胁到关基保护的安全。

二是物联网(IoT)融合下的关基保护难度加大。随着数字支付、生物识别、人工智能等金融科技创新技术的发展,越来越多的可连接设备加入了物联网生态系统。这导致网络安全风险敞口增大,并使物联网设备的安全性成为关基安全的重点关注问题。由于数字金融的加速建设,金融业广泛使用智能安防设备、室内控制设备、综合能耗设备、厅堂营业机具等物联网设备。这导致金融业的网络安全边界逐渐模糊,面临传统安全管控措施失效的风险。在设备网络准入控制、运行状态监测、脆弱性识别、网络访问行为检测等方面面临着新的挑战。

三是供应链安全风险成为关基保护的痛点。金融与科技的融合正在加速进行,金融行业的关基系统由于构成复杂,涉及的软硬件产品类型繁多且供应商参与对象众多,而外部第三方机构的信息安全防护水平参差不齐,导致第三方网络风险加剧,可能对银行的网络安全和业务连续性造成影响。同时,金融机构外购或自研的信息系统大量使用开源和第三方软件,缺少全面的安全检查,扩大了供应链安全攻击面。这可能导致开源软件的使用限制、开源代码被恶意篡改或“投毒”、软件更新被劫持等情况发生,给关基设施带来严重的危害。

三、对关基保护工作的下一步建议

当前,云计算、人工智能、大数据等相关新基础设施在金融行业中不断推广应用,整个网络安全形势日益严峻。网络安全已上升到国家安全战略层面,而关基保护是一个庞大而复杂的系统工程。这项工作任重而道远,需要关基监管部门、保护工作部门、运营者、测评服务机构、网络安全相关机构和厂商等产业部门协同合作。我们需要从法律法规、技术措施、风险预警、协同处置等各个层面,不断完善关基保护能力。

一是持续推进网络安全合规建设。金融行业的关基运营者应持续推进网络安全合规建设,积极开展信息系统网络定级备案、安全建设整改、等级测评和安全自查等工作。加强安全管理和技术措施的力度,夯实网络安全基础,切实提升关基网络安全防护水平。

二是持续深化开展网络安全审查工作。金融行业的关基运营者应严格落实网络安全审查机制,依据人民银行的《金融业网络安全审查预判指南》,在立项审批、采购活动和合同签署等阶段嵌入网络安全审批流程。通过对关键系统、网络产品和服务的安全风险进行评估和研判,推动安全关口前移,防患于未然。同时,加强关基供应链安全风险管控,提升关基网络的安全保障水平。

三是加强与外部机构的协同合作,增强风险预警能力。加强与监管部门、金融同业和外部安全厂商等机构的协同合作,实现网络安全威胁情报数据的互享互通,通过建立内外共建的纵深安全防御体系,提升关基运营单位的网络安全态势感知能力和协同保障水平。

(本文刊登于《中国信息安全》杂志2023年第9期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。