• 快捷搜索
  • 全站搜索

信息安全需要构建纵深的防护体系

2017-05-02 17:56:06作者:中国民生银行信息科技部总经理牛新庄编辑:金融咨询网
金融创新工作一直走在国内前列的民生银行,全力践行普惠金融发展理念,不断创新,并取得了积极成效。在北京展览馆报告厅举办的第十七届中国金融发展论坛上,中国民生银行信息科技部总经理牛新庄出席本次会议并发表讲话。

牛新庄表示,目前网络安全形势复杂,网络攻击出现新常态,广大金融机构面临的安全威胁日益严重。民生银行在信息安全领域做了大量工作并积极探索。安全是城墙之外的事情,需要建立一个纵深的防护体系,需要方方面面的协同。以下是牛新庄总经理演讲实录:

图片3.jpg

        各位领导、各位同仁,很荣幸代表民生银行就信息安全主题给各位做一个交流和共享。我的主题分为三部分,包括整个互联网信息的安全形势、当前银行业面临的安全威胁以及民生银行在信息安全方面所做的一些工作。 

        前不久G20刚刚结束,在整个G20会议召开期间,国内的金融IT系统遭受到来自于境外有目的、有组织的一些威胁和攻击。可以说没有网络安全,就没有国家安全。当前网络安全面临很多复杂的形势,包括经济犯罪的威胁,呈现出利益驱使高、受害主体广、攻击方式多、社会危害大几个特点。另外黑客组织的威胁日益突出,据数据统计,中国可能有8亿台移动设备,随着这些设备的使用,我们遭受的黑客组织有目的的威胁,现在已经形成了一个地下的黑色产业链。这些攻击目标明确,攻击次数频繁,而且有组织、配合缜密,行踪隐秘,危害极大。此外技术创新引发了新的威胁。我们可以看到近五年来整个技术的变革,导致整个商业模式的变化,在这个过程中,云计算、移动互联网、物联网、大数据、机器人、人工智能,整个技术的发展导致安全维护与应用推广的速度不匹配。 

        目前网络攻击新常态呈现出八大趋势,即攻击对象从传统IT向核心业务系统转变,攻击目标从打哪指哪向指哪打哪转变,攻击手段从纯技术入侵向高级组织攻击转变,攻击路线从定向入侵向旁路入侵转变,攻击途径延伸到无线网络和移动终端,攻击意图从短期获利向长期经营转变,攻击收益从系统控制向数据获取和盈利转变,攻击源从单枪匹马向有组织转变。

        针对互联网安全新形势,我下面讲一下民生银行面临的信息安全威胁与风险,也可以说是国内银行面临的普遍情况。我们可以看到,今年以来,整个银行外部的安全形势日趋复杂和严峻,从今年2月份以来整个国际形势上来看,从孟加拉央行、阿联酋投资银行,再到泰国银行都遭受了不同程度的攻击。APT攻击、多态变形的恶意软件攻击、0Day攻击等多种手段层出不穷,这一年多来,从民生银行内部的安全系统监测来说,这个趋势呈逐渐攀升的状态。所以可以这样说,随着技术的发展,银行和金融系统面临的安全威胁和攻击非常严重和复杂。 

        而且银行面临的挑战是互联网金融应用不断拓展,外部银行关联系统防护参差不齐,安全防护短板仍然存在,随着互联网放大效应银行安全事件的影响,声誉风险无限放大。新技术、新架构带来新的风险。安全有的时候不是一个点,是整个面,这个面不是说我做好银行内部的风控,做好整个的IT治理就可以了,是受到一种新技术,受到来自于整个外界的安全威胁,如果我们把银行IT系统比做一个城市,安全威胁更多来自于城墙之外,而我们的开发和运维更多来自于城墙之内。在互联网环境下,信息泄露和滥用问题日益严重,大数据依托海量数据集中,一旦泄露,其危害不堪设想。近年来,金融业的数据泄露事件触目惊心,影响甚广,一旦被不法分子利用,产生的身份冒充、钓鱼诈骗等违法事件极其难防。而且同时信用滥用的现象非常普遍,包括现在的电信欺诈等等。 

        刚才跟大家交流了一下对于金融行业来说,我们面临的宏观的、行业的安全形势和发展态势。民生银行非常重视信息安全工作,下面给大家分享一下我们在信息安全方面所做的一些探索。民生银行基本做到检测全覆盖,我们高度重视数据保护,高度重视安全合规,搭建了全行的安全体系。民生银行信息安全的总体框架包括安全愿景、安全架构、安全运营、安全开发、网络安全、渗透测试、制度合规和创新预研这八方面,做了大量的工作。下面我分别给大家做一下汇报。

        安全愿景方面,我们是希望能够实现行业领先、国内一流、立足民生、面向集团的目标。具体来说,包括引入前沿的先进的技术,建立专业化信息安全平台,完善安全制度和规范,提升信息安全技术支撑能力,完善信息安全响应机制。所有这些都离不开一个高素质的团队,所以目前民生银行高薪聘请了一支安全队伍,打造一支能打硬仗的安全队伍。

        这张图是安全架构,比较偏技术,我简单介绍一下。最下面是基础安全防护体系,包括网络安全、终端安全、应用安全、系统安全以及应用安全服务;往上是安全处置中心,包括漏洞预警、情报中心、威胁态势感知系统、应急响应、合规检查;再往上是安全检测,包括实时流量监控、日志采集、流量检测、恶意地址、安全预警、渗透测试、漏洞验证、攻防演练。最上面是统一的服务接入层,包括认证接口、密码服务接口、数据安全接口、统一采集口以及安全可视化接口。 

        在安全运营方面,我们搭建以数据为基础,充分整合安全和行为相关的数据资源,以运营团队为核心提升我们的数据分析能力,以安全场景为驱动深入挖掘数据潜在的安全风险,以平台为支撑,构建整个安全的大数据体系。我们希望通过广泛的数据源采集,再加上深层次的大数据金融分析能力,来形成一些对信息安全的洞察。通过对日志、情报、流量的采集和分析,我们可以支持各种形式的数据源,具备一种日志、安全事件与网络活动收集、正规化安全等报警能力。这是我们内部搭建的一套系统,我们以安全场景为驱动,深入挖掘潜在的安全风险,比如说攻击是什么,攻击是否成功,我们在哪里发现了他们,涉及多少目标系统,事件的关联性,以及证据在哪里等等。

        在安全开发方面,安全问题其实贯穿了整个软件开发的生命周期。通常我们是在事后发现出了安全问题,但是安全问题应该存在于从源头到终端全过程,所以说过去我们的安全团队在开发的时候,通常上线以后再测试发现有漏洞,其实这些都已经是事后了,然后再去修改,就会非常低效。现在我们把安全团队嵌入到整个开发过程中,也就是说在上游希望这个安全团队的嵌入,能够解决80%的问题,对于非常高级的、有难度的问题,通过安全专家来发现这剩余的20%的安全问题。在需求与设计阶段、开发与测试节、部署与响应阶段,以及流程优化及其他阶段,经2015年整个银行业的漏洞分析发现问题发展严重,从开发角度来看,一些信息泄露类、未授权访问类、跨站脚本类、重方攻击类工作,主要体现在越权防范、跨站防范等方面。去年我们发现以后,把整个安全团队嵌入到开发过程中,实现全流程的端到端安全防护。 

        同时我们加强对操作风险的管理,希望这些终端管理的目标是可管理、可审计、安全可控;我们完善各类终端的安全标准和制度,健全管理工具,重点是做好终端层的数据防泄密工作。我们往往会发现,今天我们做了一个业务创新,明天在别的银行就可以看到这份文件。从2015年2月份以来,我们对终端的操作管控严格,封闭了所有入口,包括邮件、USB口等等,尽量减少这种情况的发生。 

        还有一个是渗透测试,我们的目标是面向全行业务系统,从攻击者的角度,运用接近实战的技术手段进行渗透测试,这就需要我们内部有目的地做这些工作,做模拟演练。我们建立银行业一流的专业渗透测试队伍,实现对全行应用系统安全漏洞的统一发现、统一管理、统一修复,实现安全漏洞挖掘、方向智能可控。我们还搭建了一个漏洞管理系统、漏洞预警系统以及可视化漏洞分析系统、漏洞扫描系统、网络安全威胁处置系统,目前来说我们整个安全团队有40多人,这两年来我们不断引进人才,希望通过对一些高级人才的引进,搭建两支队伍相互攻防,更好地发现一些问题,未雨绸缪,防患于未然。有的时候在业务发展过程中出现一些大的安全事件,导致监管层的不信任,对我们的业务影响非常大,所以我们必须要有这样一套渗透测试的队伍,来解决这些问题。 

        制度和合规方面,我行已逐步完成信息安全体系规划建设工作,内容涵盖信息安全的总体策略、信息安全的组织管理、应用系统开发和测试运行、信息系统安全管理培训等等。从银监会、信息监管部门的IT治理角度来说,我行的安全、风控体系在2014年通过了ISO27001和CMM认证,我们希望参考业界的信息安全管理体系,以及我们自身的安全管理体系,依据信息安全监管的要求和实践,来建立、健全整个信息安全保障体系。

        创新预研方面,基于大数据,我们搭建了一套安全情报处理系统,探索建立以情报平台为核心的威胁情报处置中心,目标是构建协同防御的大脑,在传统防护体系的基础上,建立基于情报的大数据分析平台,以此为基础来实现基于大数据的智能化情报体系,围绕业务面临的安全威胁,提供安全处置和保障业务服务。这张图是整个框架,在这个框架里面可以看到民生银行针对安全情报威胁的一些愿景,在这个愿景里边我们分为几个阶段来实现,因为时间有限我就不展开讲了。

        大家都知道,基于现在的安全体系,很多安全问题可能很难解决,有很多底层的问题,不是我们这个层面能够解决的,所以必须要有更高的技术来做。在前两个月,我们国家也发射了第一颗基于量子通信的卫星,我们民生银行也进行了参与,增强系统安全性,建立纵深防护体系。 

        这里我想做一个总结,全面感知是基础,异常行为是线索,分析能力是关键,响应处置是根本。安全防护工作任重道远,我相信各个银行的科技部都面临这样一个问题,因为安全是一个最底层,今天很多的安全问题不是光靠你一个单位所能解决的,更多的是城墙之外的事情。在这一块我们也分享一些经验,民生银行积极地跟国内外的同业做一些交流,跟国家信息安全测评中心、跟总参三部、公安部,以及国内一些知名的安全公司展开长期的合作。安全是城墙之外的事情,它不是一个点,它是需要由一个点连成一条线、一个面,建立一个纵深的防护体系。很多安全问题不是在银行这一端,大家都知道近年来有很多第三方支付的平台,我们也经常登录各个网站,录入一些信息,有的时候你都不知道各种信息的泄露发生在什么地方。所以它是整个国家层面的纵深的防御体系,在这个过程中,各个同业横向、纵向的沟通非常重要,需要方方面面的协同。所以安全工作应该说随着技术的进步任重道远,今天由于时间有限,很多方面就不展开,我们也希望同业之间多多交流,也欢迎同业到我们民生银行来做交流,谢谢大家!

(文章来源:新金融世界杂志) 

扫码即可手机
阅读转发此文

本文评论

相关文章