观点 | 零信任体系下多维安全探索
欢迎金融科技工作者积极投稿!
投稿邮箱:newmedia@fcmag.com.cn
——金融电子化
江苏省农村信用社联合社
信息科技部总经理 傅晓三
以身份为核心的信任体系是终端可信执行环境和数据安全的有力保障,信息技术应用创新类终端作为可信环境重要载体,可信环境的建设是深化落实国家数据安全法和江苏省政府“数字经济”高质量建设要求,有利于应用和接口可信认证一体化的安全管理机制建设,实现业务访问和执行的完全可信。
数字领域新战场,面临新挑战
安全和可信是支撑金融行业良性运作的重要基石,金融业网络安全素来以“进不来、拿不走、看不懂、改不了、跑不掉”为主要目标,但以境外网络战组织为首的美国国家安全局(National Security Agency,NSA)暗藏未公开漏洞“私货”,例如Spring框架远程代码执行漏洞、量子攻击平台等一系列网络安全恶性事件让金融行业敲响了警钟,未公开漏洞的执行就好比“万能钥匙”,可以随意“破门而入”,窃取机密数据,破坏重要金融系统。面对新挑战,“严防死守”的安全建设模式已无法适应安全形势发展。
在当前数字化新常态下,江苏省联社紧跟数字化发展浪潮,在国内农信机构中率先构建了以“金融云”为基础的数字集约化架构,利用农信专网实现全省农商行业务访问,以X86为架构核心的终端业务访问环境。在建设金融云契机下,不断推进能力集约化,不仅极大节约了全省农信系统的信息化投入成本,还打破了全省农信系统数据“烟囱”化,为省联社数字化转型提供了必要条件。数字化转型同时也面临着数据量大、交互复杂,安全隐患大等诸多挑战。
农信机构筑堡垒,探索新思路
农信机构如何面对日趋复杂的网络安全新挑战,安全能力集约化和可信执行环境的应用便捷访问、数据合规应用、用户行为合规、国密技术访问、终端安全管控等技术管控措施是不断探索的重要内容,赋能全省农商行,强化数字安全,以不断完善省联社和农商行全面的数字安全体系建设为目标,深化落实国家数字战略。
1.坚决业务运营使用优先,贯彻信任体系下的便捷访问。数字化改造浪潮下,业务系统对安全便捷的访问要求越来越高。利用统一SSO(Single Sign On)单点登录技术,记录初次认证结果,再次访问无需认证方式,已成为重要的管理技术手段。通过零信任技术打通SSO单点登录通道,打通组织架构认证通道,实现业务访问无缝化接入已然成为趋势,结合零信任体系金融业务动态匹配可访问应用资源场景需求,同时利用访问控制策略对异常用户动态收紧。在预防潜在威胁的同时保证访问效率,是金融体系推动信息技术应用创新类终端利用零信任通道稳定访问业务的核心关键。
2.坚定安全核心建设方向,推动信任体系下的合规要求。信息技术应用创新类终端和零信任的建设工作核心是减轻网络安全攻击破坏可能性,通过端口隐藏技术,减少业务资产暴露面。结合安全感知和用户行为分析能力,采集安全环境、业务系统、网络请求等数据,构建以员工为核心的访问行为画像,设置行为安全知识库,与零信任身份服务中心联动,通过用户身份及权限形成访问控制策略。并根据外部风险源的输入和信任评分的变化动态调整,通过以“人”为视角的安全分析转变,结合信任体系动态鉴权机制,无边界动态访问控制是零信任架构的战略指挥核心,访问主体的鉴权依赖动态信任评估结果,且信任评估是持续的,伴随整个访问过程,一旦发生行为异常或环境异常,动态鉴权将自动调整访问权限,保证业务最小化权限访问。以人的身份为鉴权,避免了以物为鉴权的责任不清问题,确保人到应用再到访问目标的合法性,确保访问者行为合法合规,规避网络安全风险。
3.坚持数字信任架构底线,打造信任体系下的数据应用。截至2021年末,全省农村商业银行系统共有60家基层法人单位,数字应用喷发的当下,如何规避“柜台泄密”“接口滥用”等问题出现,江苏省联社做了长足思考。问题的出现需要分析具体的场景,当前金融云承载着大量农商行业务系统,面对网络安全风险,不断开展安全运营、安全渗透、安全众测、攻防演练工作,收效明显。场景一:各家农商行不断开展营业网点的安全意识培训工作,但在数据安全层面的感知力和把控力均存在很大提升空间。2021年4月8日正式施行的《金融数据安全数据生命周期安全规范JR T 0223-2021》标准提出,要构建全生命周期数据安全管控体系,其中最为薄弱环节即为前台,前台业务涉及的安全风险是全省农商行均面临的挑战。利用零信任中应用代理网关中的桌面水印技术,结合数据分类分级,对敏感数据动态脱敏操作,可有效降低前台业务过程中的数据泄露风险。场景二:数字协同的当下,接口的应用遍地可见,当前江苏省联社对外提供大量的API接口,数据交互复杂,安全隐患较大。在数据对外提供的同时,基于分类分级结果和零信任API接口网关,对数据安全使用和交互进行安全管控,已然成为刚需,调用频次和敏感数据识别监控,将能够有效应对接口层面的安全要求。场景三,金融云承载农商行众多业务和接口,数据资产归属各农商行,不仅需要考虑云上各农商行的零信任建设工作如何开展,还需要考虑安全的责任无法替代等问题。省联社建设集约化的能力是应尽的责任,提供更加全面的指导思想和方案是应尽的义务,农商行利用集约化的云上零信任体系可以自行设置权限和访问通道,形成责权意识的转变。通过对零信任安全技术的不断探索,势必在数据应用安全带来更加晴朗的“蓝天”。
4.坚守国密最后一道防线,构建信任体系下的国密通道。伴随《密码法》的正式颁布,传统非对称TLS加密模式下的业务访问和请求已无法满足国密SM4要求。江苏省联社面对14个重要业务系统的改造又涉及60家农商行实际业务归属,推动压力较大,一方面合规“利剑”悬于头顶,另一方面改造成本无法估量。零信任体系在国产化终端访问环境状态下,不仅构建了以用户为核心的鉴权能力,还在应用代理和API代理层面实现国密SM4算法的专有通道,便于快速满足国产化访问端对应用系统加密访问的实际需求。构建“一杆子”工程,快速实现应用系统国密化改造工作,简化应用改造流程,细化业务系统访问通道的信任体系建设,缩减国密改造项目整体投入成本。
5.紧扣终端入网安全建设,构建终端统一安全管控中心。省联社辖内农商行终端种类多、分布广,精细化管理难度大,存在设备仿冒、被劫持、勒索等安全隐患。同时营业网点金融类终端形式多样,终端资产“杂乱无序”且无法自动发现识别,“管理难、运维难、监控难、处置难”。自2021年4月以来,省联社开展全终端安全入网项目建设工作,目前在辖内农商行各营业网点部署终端管控设备,搭建了两级管理平台。现已监控到全省12万多台终端资产,涉及的金融机具有一体式STM、存取款机、多媒体查询机、硬币兑换机、清分机、点钞机、叫号机、打印等20多种设备,形成了全省终端资产的台账信息。将无代理识别、资产仿冒用、行为基线防护、终端行为建模等先进终端安全管理技术集成一体,实现了各农商行对本行的终端资产入网审批、运行状态监控、安全事件的发现与处置的闭环管理。省联社通过大屏展示模块,更直观监控全省终端的运行状态,分析、统计攻击类型、攻击严重性,形成日、周、月的报表统计。通过该项目实施,实现了省联社、农商行上下联动处置终端威胁的机制,提升了全省终端安全防护水平。当前省联社在终端执行层面构建了“零信任”体系,可信终端环境下的安全“零信任”如何与终端行为的“零信任”相互融合、相互作用、相互协同是未来值得探索的方向。随着系统持续运行,通过机器学习不断丰富终端行为策略,增加行为基线的弹性,完善终端数据的可视化展示,更加深入了解终端安全状态;其次,依托省联社一级管理平台采集的全省终端运行情况,进行大数据分析,尝试挖掘全省终端安全运行态势,实现威胁预警、建立更加有效联动处置机制,最终为可信终端业务安全执行过程提供动态鉴权访问,从而为全体系化可信终端安全提供有力的安全管控措施和手段,将有利于多维度提升全省终端安全防护水平。
奋斗路正长,顶层推动铺未来
推动信息技术应用创新布局的金融终端零信任鉴权管控,是江苏省联社未来在可信执行环境不断探索的发展方向,从业务安全稳定出发,围绕保障合规底线不触碰,业务访问稳定不影响,终端数据交互不泄密,用户请求行为可鉴权的建设目标坚持不懈。结合江苏省联社金融云实际业务需求,满足不同农商行租户的业务信任集约化体系建设亦十分重要,信任体系建设场景多,贴合应用和数据执行会更加复杂,适配度要求更高,我相信随着国家金融数字化战略不断布局,技术突破和创新将给江苏联社带来新的解决方案和感知。
(栏目编辑:韩维蜜)
往期精选:
(点击查看精彩内容)
● 观点 | 区块链在跨境金融领域的研究和探索——中国银行关于跨境金融区块链平台应用及展望
● 观点 | 增强业务融合,提升价值创造,深入推进金融安防数字化转型
● 观点 | 构建智慧安防体系,服务金融高效发展——中国农业银行打造企业级智慧安全管理平台
新媒体中心:主任 / 邝源 编辑 / 傅甜甜 张珺 邰思琪