文 / 中国光大银行 梁思姣 李帅 马晨怡 张嘉伟
近年来,网络安全形势日益严峻,突发网络安全事件给全社会、各行业带来巨大影响,网络安全上升至国家战略高度。《国家网络安全事件应急预案》针对国家重要活动、会议期间提出明确网络安全重保要求,开展重要时期网络安全保障(以下简称“网络安全重保”)已经成为国家政企单位信息安全运营工作的重要一环。然而,网络安全重保工作时间紧、任务重、要求高、频次多,呈现出整体性强、协同度高,动作复杂、专业性强的特点,对商业银行安全运营能力和安全防护弹性提出较高要求。为更好完成网络安全重保任务,提高重保筹备效率,最大化沉淀重保经验,杜绝关键时期网络安全事件引发的政治风险、业务中断风险、监管风险、声誉风险等,我行于2021年提出网络安全重保分级切换概念,并通过建设重保分级标准、持续打磨切换动作,开展多场景切换演练,逐步形成明确工作机制。
网络安全重保分级切换机制定义
网络安全重保分级切换机制是指在全行范围形成网络安全重保分级标准、基本操作要求和原则,明确每一级安全重保安全策略和切换动作,在获取行内相关授权的前提下,按照分级标准和操作要求执行对应级别的动作切换,以实现全行“平时”到“重保时期”快速有序切换、级别适度保护以及全行高效协同。
网络安全重保分级切换机制运营模式
为形成全行网络安全重保统一标准,确保网络安全重保分级切换机制紧贴一线工作、可切实落地、可持续完善、可向自动化转变,我行建立“四步走”运营模式,包括:一是建立网络安全重保分级切换工作机制,明确三级重保分级标准、操作要求及原则;二是不定期开展全行范围的分级切换动作收集与重检;三是定期组织全行网络安全重保分级切换演练;四是逐步建设网络安全重保分级自动化切换场景。
图1 网络安全重保分级切换机制运营模式示意图
1.建立网络安全重保分级切换工作机制
为实现平时到重要时期、实战攻防等场景的有序切换,提升应对不同规模网络攻击场景下的防护弹性,根据国家及行业重保要求,我行按照特殊节点重要程度或遭受攻击的影响程度,将重保场景分为三级(从第三级到第一级逐级增高),明确分级标准和保障原则,在每级设置不同强度的安全策略和重保动作,并面向全行发布,便于全行按照统一标准快速同步切换进入重保。
级别 | 级别描述 | 操作要求和原则 |
一级 | 可能或正在遭受特大规模(对银行IT系统整体有较高威胁的场景)网络攻击的场景下,或国家级特级重保活动,经授权启动的最高级别安全重保。 | 全面加强监控;执行一级应急预案,全辖范围收敛风险暴露面,提高监控拦截等级。 |
二级 | 可能或正在遭受大规模(对银行主要IT系统有威胁的场景)网络攻击的场景下,或国家级重大活动,经授权启动的次高级别安全重保。 | 全面加强监控;执行二级应急预案,根据攻击方式,重点收敛有风险隐患的、未能及时修复的系统暴露面,提高监控拦截等级。 |
三级 | 日常运营以外,可能或正在遭受一般性网络攻击场景下,或行业性或其他常规重保活动,经授权启动的安全重保。 | 加强监控值守;执行三级应急预案,增加必要的监控拦截等级。 |
2.分级切换动作收集与重检
在全行范围持续收集网络安全重保分级切换动作,固化形成具有分级特征并逐级强化的安全策略,包括资产梳理和收敛、风险排查和加固、组织和协同、监测和防护、通报和预警、响应和处置等,并不定期进行分级切换动作重检,保证动作有效性。
3.网络安全重保分级切换演练
按照机制每年常态化组织开展网络安全重保分级切换演练,保证全行统一步调,对照级别执行相应策略和动作。过程中通过“桌面推演+实操演练”的方式检验网络安全重保分级切换动作的有效性,发现切换流程或切换动作存在的问题。通过实操演练可帮助全行科技和业务部门成员进一步了解分级切换工作机制,指导一线人员熟练掌握分级切换工具箱,逐步提高参与度和熟练度,提升切换动作准确度。
4.网络安全重保分级自动化切换场景建设
为提升网络安全重保工作效率,进一步强化全行安全应急协同响应,我行依托安全事件协作平台的在线剧本编排和在线协同处置能力,规划建设安全重保分级自动化切换场景。通过持续完善安全运营、安全加固自动化工具箱,搭建切换动作库、接口库,并逐步与安全事件协作平台打通,积累丰富剧本,实现网络安全重保分级动作的“一键切换”,最终全面支撑我行安全重保演练活动、安全重保加固任务、安全重保动作自动化切换。
图2 网络安全重保分级“一键切换”规划图
网络安全重保分级切换动作解析
网络安全重保分级切换动作是本工作机制的核心。经过多年安全事件运营及安全重保工作积累和沉淀,我行将网络安全重保工作按时间段划分为前期准备阶段及正式重保阶段,并在各阶段收集梳理相应的动作清单。大规模网络攻击场景下,则直接进入正式重保阶段。
1.前期准备阶段动作清单
前期准备阶段在重大活动前开启(持续时长依切换级别高低达一周到八周不等),相应级别准备动作同步启动,动作类别包括:资产梳理和收敛、风险排查和加固、组织和协同等。各动作逐级收紧和增强,收紧和增强的维度一般包括:动作覆盖范围、动作审批层级、动作参与人员等。
下面以一级重保为例:
级别 | 动作大类 | 动作内容 |
一级 | 资产梳理和收敛 | 1、网络策略梳理与收敛。 2、信息资产清查与收敛。 3、检查纵深防御覆盖度。 4、…… |
风险排查和加固 | 1、在常态化漏洞挖掘、安全演练、安全事件运营基础上,加强风险排查力度,包括历史漏洞复检、应急预案排查,自动化有效性验证;并开展供应链、伪强口令、常见漏洞、高危漏洞、终端安全等重点专项排查。 2、在常态化数据安全管理和检查基础上,提高敏感数据清理频次。 3、在年度安全培训和钓鱼邮件测试基础上,组织全行专项安全培训,开展突击式钓鱼邮件和物理渗透演习。 ………… | |
组织和协同 | 1、启动一级重保领导组和工作组。 2、组织供应商会议,成立联合工作组,协同作战。 3、与监管、集团、同业、兄弟单位合作加大威胁情报共享。 4、发布值守值班表。 ………… |
2.正式重保阶段动作清单
正式重保阶段在重大活动开始前1—3天或大规模网络攻击发生时开启,相应切换动作将以“分钟级”完成切换。动作类别包括:监测和防护、通报和预警、响应和处置等。各动作逐级收紧和增强,收紧和增强的维度一般包括:动作持续时长、动作频次、动作覆盖范围、动作审批层级、动作参与人员等。大规模网络攻击场景下,切换级别将根据攻击态势强弱实时调整,切换动作随级别弹性变化。
下面以一级重保为例:
重保级别 | 动作大类 | 动作内容 |
一级 | 监测和防护 | 1、提升监控设备至一级监测策略。 2、启动WAF、动态防御、邮件网关、防火墙、旁路封禁、防篡改等设备的一级防守策略。 3、加强办公场所、机房、网点机构安保,加强客服坐席风险舆情监控。 |
通报和预警 | 1、提高通报频率,每2小时发布重保情报和安全态势。 2、执行晨夕会制度,骨干行员7*24小时带班,通报当日重点安全事件,跟进落实指挥组每日工作指示。 3、启动一级舆情话术。 | |
响应和处置 | 1、启动当日漏洞清零策略。 2、启动预授权紧急处置流程。 |
网络安全重保分级切换实战案例
自2021年网络安全重保分级切换机制被提出,我行已顺利完成多次国家重要时期网络安全保障,近年来帮助我行充分验证了网络安全重保分级切换的可行性和有效性。根据分级切换标准,我行在重大时期将防守状态从日常运营切换至重保一级,在其指导和协同下,我行在重保开始前风险排查、安全加固目标明确;重保期间切换流程清晰、动作迅速,各监控、拦截策略有序升至一级,整体切换在预计时间内完成;重保全过程中,全行各机构一体化协同效果显著,有效提升科技与业务、总行与分支机构间的协作效率。
结 语
当前,光大银行网络安全重保分级切换工作机制已初步建成,通过开展安全重保分级切换和网络安全应急演练,切实提高了全行各单位间的协调联动程度。经过多次演练及实战检验,分级切换工作逐步向着标准化、场景化和自动化发展。安全重保分级自动化切换建设是提升我行安全自动化处置能力的重要组成部分。后续我行将持续优化工作机制,同时依托行内安全技术平台建设自动切换工具箱,落地安全重保分级自动化切换场景,在线整合安全重保加固相关的人员、工具和流程,实现安全重保加固任务的在线剧本编排、在线协同处置以及切换动作的自动化执行,降本增效、挖潜赋能。同时,此机制与我行网络安全防护战略相呼应,通过建立健全常态运行、敏捷响应、融合高效的“一套人马,多重防护”机制,实现灵活切换,平时基于日常值守保障业务连续运营,重保时期针对性布防开展严防死守,确保各信息系统在复杂网络威胁态势下的安全、平稳、不间断运行。
声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
