作者

湖南三湘银行科技管理部高级专家 刘沅沅

湖南三湘银行科技管理部 胡洁琳

湖南三湘银行科技管理部高级专家 刘沅沅

当前,全球数字化进程持续推进,伴随着人工智能、大数据和云计算等数字技术的不断创新与升级,全球信息安全的格局也随之发生深刻变化。银行业机构作为金融基础设施的运营者,在网络安全建设方面承担着更多的责任和使命。

一、银行业机构开展网络安全工作的背景及现状

1.亟待构建体系化的信息安全防御能力

自2017年以来,国家陆续发布《中华人民共和国网络安全法》《中华人民共和国数据安全法》以及《关键信息基础设施安全保护条例》,对金融基础设施运营者的网络安全保护责任和义务进行了明确界定,全面提高了网络安全监管要求。同时,为落实法规政策要求,以练促防,利用实战对抗检验各金融基础设施运营者的网络安全防御能力,各级网信办及网络安全部门每年不定期组织辖内金融机构开展网络安全实战攻防演练,并统一考核参与机构的演练水平,持续提高金融机构的整体网络安全防御能力。

面对日益严峻的网络安全挑战,银行业体系化的信息安全防御能力建设显得尤为迫切。

2.企业IT架构演变推动安全理念升级

在IT架构单体结构时代,采用传统的边界安全方案即可通过“隔离”来避免网络的对外暴露,降低安全工作资源投入。而当IT架构进入分布式、云计算时代,企业采用更加开放的应用系统部署结构,需要制定基于“零信任”的安全管控方案。企业不仅要监控南北向网络流动,还要管控东西向网络突破,IT系统架构的云化演进使得网络安全管控的复杂度持续提升。在此情况下,安全运营理念应运而生,银行业机构通过采用“技防+人防”的方式,破解云化IT架构下日趋复杂的网络安全管控难题。

3.人工智能成为影响网络安全攻防平衡的新变量

随着以ChatGPT为代表的人工智能大模型框架的快速发展与应用,网络安全攻防平衡面临严峻挑战。外部攻击人员可以依靠人工智能技术对外部情报和企业内部系统日志的快速学习、加工能力,打造更加高效的辅助攻击工具,从而可以更加快速地从某个网络暴露点进行突破,使防守方的监测压力呈指数级上升。所以,人工智能技术的发展与应用,很可能成为影响网络安全攻防平衡的新变量。

二、银行业机构安全运营的痛点与难点

安全运营是指利用安全产品或安全服务等提升企业信息安全能力的管理过程,具体包括对安全产品或安全服务的设计、运行、监控、改进等。它不是一个平台或一套工具,而是为实现安全能力目标所采用的一系列方法的集合。

传统安全运维团队的主要职责是根据入侵检测、防火墙等多种安全工具系统的告警日志,实现对安全入侵威胁的响应和处置;而安全运营团队的职责是根据IT服务所面临的各类安全威胁进行分析,构建具体的安全控制策略模型,跟踪实际运行环节中各类技术指标及其结果,并持续进行工作优化,直至目标达成。安全运维工作的目标是对安全事件进行短期处置,而安全运营的目标则是通过主动进行常态化监测、处置、回溯以及整改,完成安全运行指标,并对信息安全管理体系进行持续迭代优化。银行业机构在安全运营工作中,主要面临以下痛点和难点。

1.安全运营依赖完善的网络安全设施

安全运营能够发挥作用的前提是银行业机构自身具备相对完善的网络安全基础设施,如具备态势感知系统、入侵检测、应用防火墙、蜜罐、互联网监测、主机安全软件、黑盒/灰盒安全漏洞扫描等软硬件安全工具;同时,还需配备专业的安全工程师团队,建立健全的信息安全管理体系机制与流程,配套相适应的流程化管理工具等。

“巧妇难为无米之炊”,若银行业机构自身安全基础设施不完备,安全运营将很难发挥明显效用。

2.安全运营依赖于信息安全管理的体系化能力

安全运营是体系化作战,遵循木桶原理,依赖于网络安全情报获取能力及内部系统脆弱性感知发现能力等。具备良好的网络安全态势感知能力仅仅是银行业机构进行网络安全防御的第一步,银行业机构既要建立主动安全防御的工作机制,还要利用全纵深的安全防御工具体系设置层层防线。仅仅依靠某一方面强大的安全技术防御能力并不能改变整体结果,银行业机构安全运营能力的提升有赖于安全体系能力的整体提高。

3.安全运营更关注工作的持续性

安全运营是持久战,安全运营团队不仅要做好网络安全监测,还要做好预判;不仅能够防守,更要能够诱捕、消杀、溯源。“兵无常势,水无常形”,攻守双方的技术都在进步,不断变化的网络环境、设施形态、资源准备等因素都会对攻守双方产生较大影响,唯有持续迭代优化信息安全管理体系,才能实现最优投入产出比。

三、三湘银行数字化安全运营实践

近年来,湖南三湘银行(以下简称“三湘银行”)紧跟时代步伐,结合自身实际,在数字化安全运营方面开展了一系列实践,并取得了良好的成效。

1.提升信息安全管理的体系化能力

三湘银行在2021年开展了ISO27001、DevOpsSec等行业主流信息安全体系标准评估诊断工作,通过标准对标,有效提升了信息安全管理能力的成熟度。三湘银行的数字化安全运营实践既包含制度、规范、流程等体系和机制的完善,又包含物理安全、网络安全、终端安全、数据安全、应用安全等技术领域管理方法和工具的构建。通过向行业头部企业安全团队看齐,三湘银行明确了信息安全能力成熟度的提升路径,确立了全行信息安全能力建设的目标。

2.建设全栈网络安全基础设施

在成立之初,三湘银行参考传统银行机构的网络安全建设思路,以边界防御理念为核心,重点落实边界网络防火墙、入侵检测,防DDOS攻击等设备的部署。通过网络分区隔离,进行内外网严格逻辑隔离,保障内网安全。2020年,三湘银行参照行业优秀机构实践,建设了基于感知发现理念的态势感知平台,构建了对内外网安全行为的感知发现能力,取得了较好的网络安全监控效果。

3.制定安全事件管理流程

安全运营机制要求对安全事件进行常态化的跟踪管理。三湘银行参考IT事件管理流程,将安全工具“感知”到的所有情报信息进行综合分析,制定了IT安全事件管理流程并进行全周期跟踪,以确保所有安全事件的及时发现、处置与关闭。

4.建立安全监测指标看板

与大型商业银行相比,三湘银行受限于IT资源投入规模,在信息安全方面采取“重点投入+适时投入”的投入策略。日常的信息安全工作重点主要为内防系统安全漏洞、外防攻击入侵。对此,三湘银行构建了16个主题的安全监测指标看板,重点关注日常运营指标变化,并据此制定防控策略。其中,在安全漏洞管理方面,主要关注漏洞发现数量、漏洞及时修复率、漏洞逃逸率等几个指标;在安全防御方面,重点关注攻击数量、区域、对象占比等几个指标。通过日常技术指标跟踪,三湘银行建立了数字化的安全管控流程。

5.加速自动化工具的应用

随着安全运营自动化技术的发展,SOAR工具的应用逐渐被市场接受。三湘银行利用态势感知平台的场景建模能力,运用自动化脚本对常规安全威胁模型策略进行调整,实现了简单安全操作的自动化。

6.积极开展攻防演练

三湘银行积极参加各省市网络安全部门组织的实战攻防演练,以练促改,进一步弥补了系统安全漏洞,积累了安全人员攻防对战的经验。在演练前,安全人员进行互联网资产清单排查摸底,减少不必要的网络暴露面;在演练期间,将实战演练纳入安全运营范围,按照标准流程进行处置,检验运营流程运作效果;在演练结束后,积极进行总结复盘,优化工作流程,持续完善事前防范手段。

7.积极跟踪新技术的发展趋势

三湘银行积极跟踪新技术发展,特别关注人工智能技术在安全领域的应用。新技术的应用将打破原有网络安全攻防平衡点,所以三湘银行在日常运营过程中积极总结新技术手段的攻击特征,及时部署应对手段和工具。

综上,银行业机构要应对外部环境变化与IT架构演变所带来的信息安全管理挑战,需要树立整体、动态、开放的网络安全观,实现全方位网络安全态势感知与洞察。特别是在人工智能技术快速发展的当下,各金融基础设施运营者迫切需要建立常态化的安全运营机制,通过配备7×24小时安全威胁感知和主动防御团队,改变传统安全团队被动防御、注重事后处置的安全运维模式,并积极引入人工智能防御工具,提高防御效率与精准度。

本文刊于《中国金融电脑》2023年第12期

声明:本文来自中国金融电脑,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。