徐徽:广发银行安全运营探索与实践
2021年8月17日,国务院正式发布《关键信息基础设施安全保护条例》,并于9月1日施行。安全保护条例明确要求包括金融行业在内的关键信息基础设施运营者,强化和落实安全主体责任,包括设置专门安全管理机构和负责人,健全安全规章制度,组织安全人员开展培训与考核,推动网络安全防护能力建设,开展网络安全监测、检测和风险评估,实施网络安全检查和应急演练,按规定向国家有关部门报告网络安全重要事项与事件。
广发银行作为关键信息基础设施的运营者,肩负着维护国家金融安全和人民群众切身利益的重任,维护网络安全责无旁贷,需要从人员队伍、技术平台和运营机制等方面加强能力建设,切实落实主体责任。首先,网络安全工作涵盖合规、开发、运维及攻防对抗各方面,要求安全团队全面掌握网络、系统、应用基本知识与漏洞利用原理;信息系统面对来自国内外顶级黑客组织的攻击,要求核心成员具备丰富安全实战经验。其次,在海量的网络流量、业务数据、操作记录中感知攻击行为、挖掘APT痕迹,必须借助各种安全工具和智能化平台实现。再次,标准化的流程与机制,是实现人和技术平台最佳结合的重要保障。因此,我行将打造专业团队、推进安全防御体系建设、建立标准化运营流程机制,作为加强网络安全运营的三项重要工作,在关键信息基础设施实际运营保障中体系化推进。
广发银行数据中心总经理 徐徽
打造专业化的网络安全队伍
习近平总书记指出:“网络空间的竞争,归根到底是人才竞争”。人才是网络安全的核心,打造一支专业队伍是网络安全工作的重要挑战。我行对安全工作进行专业细分和岗位划分,提供专业技能提升途径,让安全人员未来可期、安全运营工作可持续发展。
1.专业细分与岗位划分。我行结合自身网络安全工作需求,细分安全管理、安全运维、安全开发、安全分析四个专业方向。同时,每个专业划分初、中、高级岗位,对应要求具备基础安全运维与监控能力,分析研判、安全处置和策略优化能力,架构规划、新技术研究和协调组织能力。我行结合个人兴趣能力和工作需求统筹分工,构建多元化、多层次的网络安全专业队伍。
2.专业技能提升路径。我行结合四个专业特点确定36项知识技能,通过培训与考试,确保团队具备理论基础。在日常工作中,我行针对合规操作、建设运维、安全分析三维度建立考核机制,要求牢记合规操作,鼓励主动挖掘潜在风险漏洞和成功入侵威胁。同时,我行通过内、外部的专项攻防演练,积累个人实战经验,锻炼团队协同作战能力。
推进网络安全防御体系建设
我行于2014年开始加速安全体系建设,基本完成终端、网络、系统、应用安全的纵深防护体系建设;2015年上线网络安全感知平台,实现安全规则自动分析与网络攻击自动封禁。近年来,我行持续完善防御体系:对安全设备进行异构部署提升检测能力,引入流量编排技术提供细颗粒度安全服务,新增主机入侵检测系统加固主机安全,引入流式计算框架提升安全计算效率。在互联网安全态势日益严峻、国家对网络安全要求日趋严格的环境下,我行基于“以攻促防”“同步规划、同步建设、同步使用”“共建共享”的原则,不断丰富和完善安全防御体系。
1.“以攻促防”查漏补缺。我行在建立纵深安全防护体系后,一直被“防御体系是否全面”“所有攻击是否都检测到”的问题困扰。近年,国家和地方政府定期组织攻防实战演练,给网络安全建设工作带来新思路。我行以攻击者视角重新规划设计“四道防线”,对抗不同阶段的不同攻击战术:“边界安全”监测互联网业务攻击、DDOS攻击、社工钓鱼攻击、异常外联;“内网安全”感知内网漏洞扫描、横向渗透攻击;“异常行为”感知内网无明显攻击特征的异常行为;“主机安全”监测落到服务器上的攻击行为。同时,对每次实战的每个攻击路径进行复盘,对安全体系、安全场景、安全规则进行查漏补缺。
2.安全措施与基础设施“三同步”。随着信息技术不断发展,我行持续优化和调整信息系统架构,引入新技术与新产品,这些变化给网络安全工作提出新问题、新挑战。为此,我行制定了数据中心安全防御体系部署规范要求,明确数据中心网络层、系统层、应用层和终端层的安全规范,让安全系统与保障措施嵌入到信息系统的架构调整和优化工作中。与此同时,我行积极研究和探索新的安全技术,保障新建系统的网络安全。例如在国产化核心和容器云平台的规划建设中,我行同步研究容器安全规范、测试容器安全技术,努力实现安全措施与基础设施“同步规划、同步建设、同步应用”。
3.威胁情报“共建共享”。威胁情报具有数据共享的属性,有助于安全人员快速识别已出现过的攻击。我行网络安全感知平台对接三种不同类型的威胁情报,包括商业威胁情报、行业级威胁情报和区域性威胁情报。我行对恶意IP、恶意域名、恶意代码、社工邮件进行关联比对,对通报的0day漏洞进行快速排查与整改,同时积极共享我行安全告警数据,提交自身发现的0day漏洞,让网络安全工作从单独作战升级为联合作战、协同作战。
建立标准化的流程与机制
网络安全的关键一环是安全团队和安全工具有机结合、协同作战对抗网络攻击。因此,建立常态化值守机制和标准化事件处置流程,让人员更好地使用工具和平台处理安全事件,制定可度量的指标,持续评估和优化安全运营工作,尤为重要。
1.常态化值守机制。我行把安全运营值班人员分成一线和二线。一线为7×24现场值班,是安全告警第一处理人,主要负责安全运营工单的初步研判、上报和快速处置工作。二线为5×8现场值班和非现场技术支持,细分为应用安全团队、入侵检测团队、异常流量团队、主机安全团队、集权系统保障团队及研判团队,提供更专业的技术支持,研判入侵是否成功,解决一线无法快速处理的事件,撰写安全事件分析报告,优化安全策略,推进安全运营长效机制和工程化落地工作。一、二线联动作战,满足7×24网络安全保障需求。
2.标准化事件处置机制。我行定义“监测、研判、处置、优化”四个安全运营流程,通过网络安全感知平台与运维管理平台对接,把可疑安全事件转为人工跟进处理的安全运营流程工单。同时,我行在知识库建立安全运营工单操作手册,明确常见安全事件的分析思路和处置动作;在配置库提供IT资产信息,例如IP、应用组件、应用管理员,方便数据中心内部开展协同处置,实现安全事件快速处理。
3.数字化运营工作评价机制。我行制定安全监控、应急处置、优化跟踪、工程化、综合评价五个方面的安全运营评价指标,主要涵盖设备性能和策略有效性管理、MTTD与MTTR度量、安全监控覆盖率度量、安全告警准确率度量、安全事件重报率度量、安全运营工单标准化与自动化程度度量等功能。从安全设备、配置库、漏洞风险工单、安全运营工单、运维变更工单获取原始数据,提炼加工为安全运营指标,并对数据进行横向对比、纵向环比和同比,评估安全人员专业能力、安全防御有效性、运营流程可操作性,监督和优化安全运营工作,提高安全服务质量。
未来目标与展望
我行网络安全工作需要在深度和广度上进一步拓展。在深度上,借助人工智能、安全编排等技术实现感知能力和处置效率的质的飞跃;在广度上,希望与监管机构、同业以及安全厂商强化安全协同,共同应对新的网络安全问题。
1.持续强化自身能力。网络安全没有终点,我行将在自动化和智能化方面进一步强化自身防御能力。在自动化方面,我行推动安全厂商开发安全设备API功能,结合自身安全运营需要丰富安全自动化剧本,提升处置效率。在智能化方面,目前部分安全产品已加入了机器学习算法,例如贝叶斯模型识别垃圾邮件、语义分析检测应用层攻击、DGA算法识别恶意域名,但仍缺乏基于跨设备告警关联、网络日志、系统日志、应用日志的机器学习场景和案例。我行计划通过聚类分析、马尔可夫链、行为画像等算法,识别异常用户、异常网络、异常进程,异常行为,提升针对高级攻击的感知能力。
2.携手共建安全生态圈。在万物互联时代,金融业正面临开放银行API安全、合作伙伴供应链安全等问题。网络安全不能独善其身、各自为政,国家关键基础设施安全保障需要国家、行业、机构层面一起合力。我行将与监管机构、同业以及安全厂商,携手共建互联网金融安全生态圈,共筑网络安全屏障。
(栏目编辑:韩维蜜)
推荐阅读
(点击图片查看精彩内容)
精彩内容回顾
(点击查看精彩内容)
■ 2022中国金融科技创新与应用外滩高峰论坛暨第二届长三角金融科技创新与应用全球大赛总决赛成功举办
■ 伯乐 | 中国人民银行金融研究所-清华大学2022年联合培养博士研究生招生简章
■ 观点 | 信用卡业务戴上紧箍圈:睡眠卡、模型…… 银行怎么办?
《金融电子化》新媒体部:主任 / 邝源 编辑 / 傅甜甜 潘婧