实战 | 商业银行安全纵深防御体系探索与实践
欢迎金融科技工作者积极投稿!
投稿邮箱:newmedia@fcmag.com.cn
——金融电子化
近年来在互联网金融迅速发展的大背景下,针对金融业务的攻击已经从传统手段逐渐演变为高隐蔽性、高复杂性的智能化网络攻击,然而现有的入侵监测及安全防护手段由于数据来源单一、检测样本局限、处置机制不完善等诸多条件限制,无法有效应对各类攻击,更无法满足日益增长的安全需求。同时,随着互联网金融生态的大力推行,各家金融机构实现了业务互通、技术互通、场景互通,单个金融系统的安全问题影响往往由点带面,对相关联系统产生影响。因此传统各自为战的安全防护模式已不再适用。
金融交易的特点是业务复杂、数据多样、信息敏感,且涉及用户资金安全,因此已成为各类网络攻击的主要目标。同时,金融业务存在一定共性,攻击者往往会使用相同攻击手段通过APP、小程序等应用,发起对不同金融系统的攻击。能否及时识别到此类攻击,能否实现实时攻击信息及防护策略的共享,能否通过应用侧、网络侧、服务侧实现共同防御,能否构建统一化的风险应急处置机制,成为摆在我们眼前的难题。因此,构建金融系统安全纵深防御体系势在必行。
中国银行软件中心(西安)副总经理 李瑞生
探索与实践
1.数据共享是基础。由于数据是承载线上金融交易的载体,恶意攻击载荷(payload)也往往以数据的方式注入到系统中,所以数据是实现攻击防范与溯源的基础。
(1)数据共享合规化。金融数据具备特殊性,大多交易都包含用户个人信息、交易金额、行为信息等,涉及客户隐私数据保密性,因此需要在满足法律合规的要求下,在保障信息机密性的前提下,通过对原始数据预处理的方式,设定合理合规的共享范围,实现数据共享。
(2)数据场景平台化。不同系统间承载着不同的业务交易,不同业务交易涉及不同内部系统。需要将不同系统的业务流量进行整合,才能实现基于场景的金融业务数据识别。通过业务数据抓取、筛选、分析来提供强大的数据支撑,首先需要具备能够从海量网络数据中筛选出金融业务数据的能力,其次按照各系统间不同的业务场景(如:在线开户、转账汇款、缴费充值、投资理财等)将流量数据进行分类,不同系统中不同业务场景聚集存储在不同的数据集群中,集群间通过联邦的方式管理,构建融合的金融业务数据平台(见图)。
图 数据场景平台化
2.业务场景是重点。不同于传统攻击手段,针对金融业务系统的新型攻击多为业务逻辑层的攻击,此类攻击手段往往隐蔽成正常业务流量,因此没有明显的数据特征,金融机构无法通过传统的大数据匹配发现。针对这种现象,面向业务场景的攻击监测手段将能够更有效实现安全保护。应当以“场景+定义攻击”为核心驱动,基于终端系统、数据资源、应用服务、主机系统、网络平台、物理环境等数据来源分析,以用户实际需求为出发点,从综合安全、业务安全、数据安全等多个维度为用户提供全面的金融业务安全态势感知。建立基于单个业务场景的逻辑攻击模型,将业务交易完成所需的条件进行统一化监测,映射到对应的安全预警级别,通过业务逻辑与安全防护之间的强绑定,实现金融业务逻辑攻击的有效防护。
3.纵深防御是关键。纵深防御——通过设置多层重叠的安全防护系统而构成多道防线,使得即使某一防线失效也能够被其他防线弥补或纠正,即通过增加系统的防御屏障防范安全攻击。
多阶段、多节点的共同防御策略是应对当下新型网络攻击的基础。建立涵盖前台、中台、后台、应用、网络、系统、接口服务等多环节防御层级,通过全流程介入、全角色参与、全工具支撑的方式,实现安全防御的多层次融入。例如:通过APP安全壳实现应用侧安全防护,以解决恶意跳转、页面广告植入、第三方用户信息泄露等应用侧问题;通过基于场景的态势感知,以解决针对金融业务场景的逻辑攻击侧问题;通过网络层多级应急监测预警处置,以解决基于网络侧的各类攻击。
通过将安全能力进行“原子化”,对现有安全机制不断地进行排列组合,将安全能力赋能到金融系统纵深防御各个层级,以应对各类多样化的攻击,为金融系统提供全技术架构覆盖的安全能力,从而形成共同防御的闭环,从技术战略上夯实金融系统抵御安全风险整体能力的基础。
4.合理处置是目标。强有力的安全防护手段必须配套灵活可控的处置机制。金融业务的攻击手段通常具有强隐蔽、多阶段的特点,真正的攻击者和误操作的用户难以区分,导致攻击处置力度将难以把控。过量的防御可能导致正常用户被阻断,从而影响正常用户业务办理与用户体验;过轻的防御可能无法有效阻止真正的攻击者。因此在用户体验与安全需求并存的当下,构建力度精准的应急处置措施尤为重要。
监管要求落地更关键,参考《银行、证券跨行业信息系统突发事件应急处置工作指引》(银监发〔2008〕50号)、《银行业重要信息系统突发事件应急管理规范》(银监办发〔2008〕53号)等监管要求,通过数据量化,将威胁、脆弱性、影响范围、重要程度各项风险指标进行综合考虑,结合金融业务系统各个安全层级的标准化应急响应机制,建立风险计算及处置模型,实现金融业务场景下安全攻击的快速、准确应对。
5.组织实践是根本。随着中国银行企业级架构建设工程的推进,中国银行软件中心建设了一套围绕数据共享平台化、安全攻击场景化、防御能力原子化、应急响应标准化“四位一体”的纵深防御体系,涵盖OWASP top10、证书防护、人脸识别、木马防范、恶意广告植入、恶意页面跳转、0day漏洞防御等多类攻击场景,已作为入侵防范的安全主题能力纳入企业级架构1.2批次建设。
同时,组织实践离不开人才的支撑,人是安全的核心。强化组织队伍建设,强抓工程领域安全介入力度,从软件开发源头消灭风险,建立涵盖了14个工程技术领域的安全人才评价与培养体系。所有安全岗位人员必须持证上岗,安全持证人员以年均150%的速度稳步增长。
展望
随着信息技术的迭代更新,商业银行面对的安全形势也将愈加复杂,这就意味着安全防护手段不会是单一的模式。金融从业者需要打破各自为战的固有思维,以金融业务场景为核心驱动,推动资源共享、业务跨系统融合,通过覆盖全面的金融业务交易,实现同步监测、同步预警、同步处置,打造企业级安全防御共同体,以纵深防御思想为基础,打破不同系统间的壁垒与隔阂,以金融业务场景为触点,构建商业银行信息安全防御新模式。
(栏目编辑:张丽霞)
往期精选:
(点击查看精彩内容)
新媒体中心:主任 / 邝源 编辑 / 傅甜甜 张珺 邰思琪