案例丨构筑纵深防御体系,全方位强化网络安全防护座
文 / 浙商银行金融科技部 富浩 肖郑进 钱正旸
受新冠肺炎疫情冲击,各银行持续推进线上化改造,开放银行、非接触服务、云服务、移动互联网等成为关键词。金融服务场景与服务渠道的巨大变化使得传统的内外网物理边界泛化模糊,给银行网络安全带来严峻挑战,包括线上渠道导致更广的资产暴露面、互联网环境访问端不可信任、金融生态建设带来数据安全共享等问题。单纯依靠物理边界实施防火墙、入侵防御等安全建设的传统防御模式,已无法解决新形势下银行业网络安全与开放环境访问需求间的矛盾。
浙商银行深入贯彻落实“科技自立自强”国家战略,秉持“持续验证、永不信任”的新一代网络安全防护理念,围绕信息资产保护,构筑包含安全管理体系、安全技术体系和安全运营体系的“三位一体”网络安全纵深防御体系,立体式、全方位保驾银行网络安全,护航金融科技创新。
数字化时代银行业网络安全困境
传统网络安全管控往往将网络划分为内、外网并通过物理位置来判断威胁程度,默认内部网络是安全的,外部网络是危险的,在内外网边界部署防火墙、入侵防御等软硬件设备,构建边界安全防御体系。随着移动互联网、云计算、大数据等高新技术得到广泛应用,基于物理边界的网络安全防控模式正在逐步瓦解。很多应用系统操作、访问都是从外部网络发起,并需作为可信任主体接入内部进行授权访问。例如在移动办公场景中,员工需要从全球各个位置安全地接入企业内网进行访问与操作。
数字化时代,数据作为战略性新兴生产要素倍受重视,随之而来的数据安全、个人隐私保护风险已成为数字经济安全的核心问题。对于银行业而言,数据安全保护的焦点在于如何平衡数据共享利用与安全保护之间的矛盾,这不仅涉及允许谁接入内部网络,还必须精准授权接入者访问哪些资源,即实现访问者到被访问资源点对点的控制,单纯依靠防火墙、入侵防御等技术构建的边界安全防御模式只能检测到流量内容的安全性,无法对访问者进行身份认证、授权、审计等安全管控操作,数据泄露、破坏等事件就会层出不穷。例如微盟删库、微博5亿用户数据泄露等事件。
面对内外部网络安全威胁和网络边界泛化模糊的新形势,零信任概念应运而生。零信任并非某种单一的安全技术或产品,而是一种网络安全防护理念,其核心思想是从不自动信任内外部接入的任何访问主体,每次访问都必须在授权前对任何试图接入访问资源的主体进行验证,即将传统的边界访问控制转移成对访问端和资源间的每次访问进行控制。零信任安全架构,即以资源保护为目标、密码为基石、身份认证为中心、访问权限为边界,通过持续信任评估、动态访问控制等手段,打造主客体(用户、终端、应用、服务、数据等)端到端的安全访问方法,实现访问主体的身份标识、认证信息、访问授权、操作运维、端点管控、运行环境和互联基础设施等统一管理,提升企业网络安全防护体系的主动性。
目前,零信任安全架构所倡导的全新安全思路,已成为银行业数字化转型过程中应对安全挑战的主流架构之一,在浙商银行等机构中得到落地实施。
基于“零信任”安全架构,
实施精细化访问控制
浙商银行应用零信任安全架构,在移动办公接入、开发测试环境接入等互联网访问场景使用终端零信任安全桌面与零信任安全网关替代原有的VPN与虚拟桌面,基于用户身份与属性实施精细化访问控制,防止非法访问与接入,并通过数据隔离有效防止数据泄露事件的发生。
浙商银行采用软件定义边界(Software Defined Perimeter,SDP)和身份识别与访问管理(Identity and Access Management,IAM)相结合构建零信任安全架构模型,核心由如图1所示的数据平面和控制平面构成。
图1 零信任安全部署架构
在控制平面中,核心的部分是策略引擎(即SDP控制器),作为整个零信任架构的大脑。策略引擎针对每一个访问,不仅仅基于账号进行鉴权,而是根据访问者设备、身份、网络环境、访问策略、威胁情报结合应用资源、网络资源及加密情况等诸多因子综合考量后进行访问资源的授权,并将授权结果通过策略管理模块下发至数据平面的策略执行点(即SDP网关)进行访问控制。同时,策略执行点记录授权后的访问行为并反馈给策略引擎,策略引擎会根据访问行为作出策略调整。由此在零信任安全架构中,不再给访问者定义和分配基于二元决策的策略,而是不断地通过访问环境与访问行为的反馈机制进行动态调整,具体的零信任安全访问步骤如图2所示。
图2 零信任安全访问步骤
浙商银行部署应用零信任安全架构后,有效降低网络攻击与数据泄露安全风险。一是减少互联网暴露端口,最小化受攻击面,降低安全风险;二是分离访问控制和数据信道,保护关键资产和基础架构,阻止潜在的网络攻击;三是允许预先审查所有连接,建立设备、服务、设施的连接白名单,具有更高安全性;四是实现持续的身份鉴别,对用户访问行为、用户特征和权限数据以及环境上下文数据进行动态分析,通过风险模型生成认证和授权策略;五是实现安全可视化,直观展示访问路径、访问流量、用户异常访问行为、设备状态等信息;六是终端侧实现数据隔离、数据加密、应用安全控制、文件打印控制、水印控制、截图控制等功能,有效防止内网数据外泄风险。
深化“三位一体”纵深防御,
全面筑牢网络安全防线
基于“零信任”安全架构虽然可更好地防御横向攻击,保护核心数据与系统,但全面实施“零信任”安全架构难度大、代价高,甚至可能影响业务高峰时系统访问性能。因此,浙商银行主要围绕移动办公接入、开发测试环境接入等互联网访问场景实施“零信任”安全架构,并针对御敌于城墙之外的传统边界防御安全体系缺点,构建了符合浙商银行实际情况,由安全管理体系、安全技术体系和安全运营体系共同组成的网络安全纵深防御体系。如图3所示。
图3 网络安全纵深防御体系
1.网络安全管理体系
网络安全首重管理。浙商银行建立党委领导下的网络安全工作责任制,明确了网络安全“一把手”负责制,全面细化落实日常管理、内控、审计、考核评价和培训等工作。同时严格落实国家法律法规和行业监管规则,建立了贯穿网络安全全流程的制度体系,并持续完善监督检查、风险评估、检测认证等流程机制,结合风险监测、检查、操作审计、非现场监督等手段,严格落实各级网络安全主体责任,强化制度执行力,实现网络安全的精细化管理。
2.网络安全技术体系
安全技术是网络安全的基础。在“实战化、常态化、体系化”与“纵深防御、动态防御、主动防御、整体防控、精准防御、联防联控”的“三化六防”思想指导下,浙商银行持续健全完善技术防御手段,形成全面涵盖物理安全、网络安全、系统安全、应用安全、数据安全、业务安全等方面的网络安全技术体系。通过应用零信任、大数据、人工智能等新技术建设态势感知平台、网络防火墙、IPS、WAF、WEB行为审计、邮件网关、防病毒、蜜罐、数据防泄露、文件沙箱、邮件网关等安全系统,全面提升网络安全主动防御能力,实现分级部署、统一管理、纵深防御。
3.网络安全运营体系
安全运营是网络安全的保障。浙商银行围绕数据资产、安全漏洞、安全威胁、安全事件等要素,构建7×24小时持续、主动、闭环的安全运营体系,实现事前预警布防、事中监控阻断、事后拔本塞源的全流程安全管控。在传统的安全运营监控基础上,建立安全操作日志及安全设备类报警的大数据平台,并引入威胁情报建立安全大数据资源底盘,基于流量与安全运行日志,依托于大数据技术、人工智能技术,以平台化的态势感知平台为安全大脑载体,及时进行全面的呈现与预警威胁,结合高效的安全决策执行机制,实现快速有效的安全防御。
近年来,浙商银行信息系统总体运行稳定,无重大网络安全风险事件发生,先后获得公安部“护网2019最佳防守单位”“浙江省网络安全先进单位”“HW2021网络安全攻防演练优秀团队”等荣誉,网络安全态势感知平台荣获“2018年网络安全十大创新成果奖”,基于B端的大数据风险管理和预警平台荣获“浙江省金融科技十大年度案例”。
4.持续推进网络安全创新实践,为高质量发展保驾护航
九层之台,起于累土。网络安全离不开国家、行业、机构以及个人等各层级的共同努力。中国人民银行印发《金融科技发展规划(2022-2025年)》,强调要践行安全发展观,运用数字化手段不断增强风险识别监测、分析预警能力,切实防范算法、数据、网络安全风险,共建数字安全生态。
浙商银行全面拥抱数字化发展趋势,以成立“浙银网络安全创新实验室”为契机,持续健全完善网络安全纵深防御体系,强化信息技术应用创新环境网络安全保障,深化联动防御机制,全面对接金融业网络态势感知与信息共享平台,推进网络安全生态圈建设,借助行业威胁情报和大数据、AI智能分析等技术,扩大场景化建模,优化安全模型,有效监测、识别、跟踪、预警、响应、处置安全威胁,不断提升精准防御能力,推进网络安全管理向数字化、智能化方向转型。
(栏目编辑:韩维蜜)
往期精选:
(点击查看精彩内容)
● 案例丨“云安管控”四位一体:青岛农商银行探索中小银行转型新模式
● 案例丨华夏银行落地端到端NVMe,全面支撑数字化转型应用创新
● 案例 | 应“云”而生,赋能未来——平安银行 A+ 新核心的自主化建设之路
新媒体中心:主任 / 邝源 编辑 / 傅甜甜 张珺 邰思琪