业内新闻

中小银行网络安全的“四个防御”探索与实践

编辑/作者:安安 2020-07-30 我要评论

随着我国信息化的快速发展,我国银行业快速向线上化、移动化方向转型,信息化程度已成为银行业竞争的重要指标。 商业银行大力建设手机银行、网上银行、直销银行...

  随着我国信息化的快速发展,我国银行业快速向线上化、移动化方向转型,信息化程度已成为银行业竞争的重要指标。 商业银行大力建设手机银行、网上银行、直销银行等系统,将其作为业务延伸的重要渠道,信息化有力地支撑了银行业务的快速发展,特别是云计算、大数据、人工智能、区块链等一系列技术先后取得重大突破,并逐步应用到各种金融业务场景中,极大地促进了金融创新,但也带来新的网络安全问题。

 

  分布式拒绝服务攻击(即:DDoS攻击)、高级可持续威胁攻击(即:APT攻击)、社会工程学、撞库攻击等手法不断推陈出新,金融行业成为网络攻击的重灾区。 据最新发布的《全球关键信息基础设施网络安全状态分析报告》显示,33.1%的网络攻击事件发生在金融领域,是占比最高的领域。商业银行必须建设符合自身实际的网络安全防御体系,通过技术、管理等方面,全方位应对包括外部威胁和内部漏洞等各类网络安全风险。

 

  福建省农村信用社联合社(以下简称“福建农信”)自2005年成立以来,承担着对福建省内67家农信社(农商行)“管理,指导,协调,服务”的职责,在信息系统建设方面统筹推进,积极开拓,取得了巨大进步,带领全省农信成为福建农村金融服务的主力军。 但由于历史的原因,福建农信在信息化进程及网络安全保护水平上和国内大型商业银行仍存在一定差距。分析近年来在网络安全建设方面的薄弱环节,结合福建农信在网络安全方面探索实践经验,本文提出了从纵深防御、收敛防御、重点防御、主动防御等四个方面进行网络安全防御建设思路,构建具有农信特色的多层次网络安全防御体系。

 

  

 

  福建农信网络安全痛点分析

 

  近年来随着福建农信各项业务的快速发展,福建农信也在不断加大对信息科技建设的投入,提升对网络安全的管控力度,并专门成立了网络安全管理专职部门,为“科技引领业务”保驾护航。但是由于在网络安全建设方面积累时间短,人才短缺等问题,网络安全保护还存在依靠“堆产品、垒高墙”现象,网络安全防御缺乏体系化。

 

  (一)管理制度规范制定容易落地难

 

  目前,福建农信开展了ISO27001信息安全管理体系建设,按照公安机关要求开展等级保护等工作,以提升网络安全管理水平。但实践中存在ISO27001认证容易落地难,等级保护工作基本达标,但短板不少,核心问题是缺乏可以落地的技术手段。

 

  (二)专职团队人少事杂综合素质欠缺

 

  省联社及行社专职从事网络安全工作的员工数量有限,且部分员工的专业知识储备不足。随着网络安全形势的日趋严峻,网络安全已经上升为国家战略,网络安全人员缺口越来越大。另一方面,“合规”是网络安全工作的基本要求,但不少机构的网络安全部门还承担着大量合规管理的职能,对内需要对接风险管理、内部审计部门,对外需要配合银保监、公安、国安等监管部门的各类检查。网络安全专业知识储备不够、素质参差不齐、工作内容庞杂,一定程度上给网络安全相关规范要求的落实贯彻增加了难度。

 

  (三)技术防御手段和理念亟待加强

 

  技术防御手段网络安全通过“老三样”加强对网络层面的安全,即通过防火墙对服务端口进行屏蔽,通过旁路部署IDS(即:入侵检测系统)对网络流量进行分析,通过部署防病毒软件实现病毒防护。这些措施都侧重于不断的“堆产品、垒高墙”,面对层出不穷的网络攻击,无法有效地进行实时检测和阻断,特别是针对应用层的渗透和攻击,更无法知晓整网信息安全态势,不能形成立体的、有效的防护。

 

  (四)综合网络安全管理门户建设不足

 

  网络安全工作涉及的点多面广,通过手工管理各类安全问题和漏洞,无法形成闭环,效率不高,更无法通过各类安全问题洞察全局风险,采取应急措施和有效应对策略,解决网络系统运营中存在的问题。在建立健全信息安全体系的时候,还是需要重视对统一的网络安全管理门户的建立,加强对网络安全的统一管理。

 

  

 

  福建农信网络安全防御体系构建

 

  针对网络安全建设方面的痛点,福建农信从纵深防御、收敛防御、重点防御、主动防御四个方面发力,构建多层次的网络安全防御体系。首先,构建信息安全管理体系,打造纵深防御层。以ISO27001、等级保护安全点为基础,形成完备可执行的网络安全制度建设,以网络安全评测审计为手段,以网络安全指标度量为依据,实现网络安全建设PDCA良性循环,构筑一个涵盖开发运维等安全领域的纵深信息安全管理体系,建设一个可落地管理体系的综合网络安全管理平台。其次,构建收敛的防御层,集中管控互联网出入口、信息资产暴露面收敛防御面,减少被攻击的边界范围。再次,集中力量重点防御常见薄弱点,区分防御的轻重缓急,因材施策,避免“眉毛胡子一把抓”,形成高风险高防御的重点防御层。最后,打造主动防御层,通过定期红蓝对抗、欺骗防御等方式主动出击,以攻为守,稳步提高网络安全防御水平。通过四个方面统筹推进,逐步形成一个多层网络安全防御体系(如图1)。

 

  图1:福建农信网络安全防御体系架构图

  (一) 纵深防御,构筑安全管理体系

 

  1、统筹各类安全要求,固化安全关注内容

 

  福建农信信息安全管理体系综合了监管部门、风险审计部门、各行社及ISO27001、等级保护等多方面网络安全要求,以ISO27001体系和等级保护要求为基础,综合监管、风险审计及行社实际,梳理网络安全关注点。以ISO27001安全域为基础,梳理合并旧制度、制定新制度,统一管理网络安全制度,将梳理出的网络安全点全部融入各类网络安全制度中,形成了省联社网络安全制度四级文件。

 

  2、融入当前运转流程,减少体系执行阻力

 

  网络安全防御若新建流程,定会增加全体员工的负担,久之必无法有效执行。福建农信将其充分融入已有的CMMI3、ISO20000流程和员工日常工作,避免“两张皮”。参考安全开发生命周期概念,将网络安全点融入到各阶段中,并通过研发体系的质量保证工作,实现安全工作和研发流程的无缝对接,如需求分析阶段进行安全需求识别、构建开发阶段进行安全编码审计、投产阶段进行网络安全评估等。结合ISO20000运维体系的实际情况,在ISO20000流程中加入物理安全管控点、网络安全管控点、系统安全管控点、应用安全管控点、数据安全管控点等,实现了运维流程安全点把控。

 

  3、依托审计度量制度,促进防御体系闭环

 

  无法执行的制度等于没有制度,无法度量的制度是没有生命力的制度。福建农信依据年度网络安全工作计划,实施省联社网络安全点评测审计和行社网络安全点评测审计,以评促改。省联社网络安全点测评审计包括研发体系流程中的需求安全评估、代码漏洞扫描、投产安全评估等,包括运维体系流程中的主机安全评估、试运行期安全评估等例行安全测评,也包含无线WiFi检查、端口开放检查、互联网使用情况等专项检查。以安全点评测、检查结果为基础,参考ISO27004标准要求,结合自身实际逐步构建了网络安全度量体系,选取关键网络安全点进行度量,度量工作通过计划加检查、纠正预防措施验证、审计监控回顾、信息安全事故统计等定性与定量结合的方式实现,按照度量结果查找根因,改进网络安全控制措施,推动网络安全制度的优化,度量结果最终促进在防御体系的改进。通过计划、实施、总结、改进的方式实现了网络安全防护体系的良性循环。

 

  (二)收敛防御,收紧把牢安全出入口

 

  收敛直接暴露给攻击者的攻击面,减少攻击概率,守住安全出入口。福建农信通过互联网资产定期核查、互联网出入口集中管控、终端边界集中管控、无线WiFi及LED大屏集中管控、第三方接入集中管控等方式收敛防御范围。定期收集全网域名资产,从官网入手获取福建农信所属的顶级域名,对顶级域名进行子域名挖掘,然后对对应的资产进行端口和服务探测。定期收集历史DNS解析记录,搜索曾经被记录的属于福建农信资产的数据。监测敏感泄露信息,包括公开社工库泄露信息收集,代码托管网站泄露信息收集等。通过集中管控互联网出入口,避免多口出入,将各行社接入互联网的需求纳入省联社管控之下,减少遭受网络攻击的路径。加强对终端的集中管控,部署专业的终端管控软件,实现对U盘等移动存储介质接入的统一审核,严格杜绝终端同时接入不同网络的情况。加强对WiFi、LED大屏的管理,杜绝私自部署网络,全部WiFi均需要进行审批,并强化WiFi网络密码管理。各个LED大屏均落实到人,LED内容发布需要严格审核。严格审核第三方接入的安全性,避免第三方接入风险。

 

  (三)重点防御,高度关注薄弱环节

 

  在纵深防御和收敛防御面的基础上,福建农信从实际出发,总结出一些常见但又影响较大的网络安全点进行重点防御,集中“优势兵力”重点防御常见薄弱点,主要包括弱口令攻击、邮件服务器攻击、主机漏洞攻击、社会工程攻击等。此类风险点常见多发且危害较大的,需要重点关注。通过技术和管理双管齐下,并执行“三分技术七分管理”的理念。制定高强度密码策略,加大信息安全培训,并引导员工设置“复杂、好记”的口令,比如一首古诗的首字母加个人容易记忆部分,在满足口令强度的同时,降低了因员工抵触而产生的阻力。同时定期进行弱口令检查,制定各类账号的口令强度规范,并使用自动化工具对常见应用进行弱口令探测等。部署基于主机型入侵检测系统HIDS,实现对关键主机的精准防御,作为入侵防御的最后一道防线,对主机进行探针式的扫描,建立自内而外的白盒视角,精准发现弱密码账户等漏洞,实时检查主机系统的账号、服务、端口,定期形成主机安全风险报告。针对社会工程攻击,制定了“十二不准”工作要求,从办公室物理安全、U盘管控、终端使用、互联网访问等方面做出明确规定,并定期检查,不断宣贯,严格落实。

 

  (四)主动防御,以攻为守保安全

 

  一手抓主动防御技术,一手抓攻防团队。 通过主动防御技术扰乱攻击者视角,混淆攻击者的视听,以假乱真,让攻击者无法分辨被攻击系统的真伪,进而大量消耗攻击者的精力和时间,从心理上磨灭攻击者的意志,让其主动放弃攻击目标;通过攻防团队,锻炼信息安全防守团队,挖掘真实漏洞,主动发现问题。部署基于攻击欺骗的蜜罐系统,通过在黑客必经之路上构造陷阱,混淆其攻击目标,精确感知黑客攻击的行为,将攻击火力引入隔离的蜜罐系统,从而保护真实的资产。

 

  通过蜜罐系统记录攻击行为,获取攻击者的网络身份信息、指纹信息,对攻击者及攻击行为进行取证和溯源,及时阻断攻击。在福建农信系统内,参考大行做法,组建一支攻防队伍,通过内部攻防双方的自我搏击,形成安全防御能力螺旋式提升的内生动力,逐步摆脱依赖监管通报等被动式防御模式,实现以攻促防、攻防相长。团队成员来自省联社和行社的一线技术人才,他们既熟悉银行业务又精通攻防技术。他们有承担防守重任的“红军”、模拟实际黑客的“蓝军”,也有负责演习导调、全程指导活动总结的“紫军”。他们日常肩负网络安全运维,通过定期的内部红蓝紫对抗演练、CTF比赛和专项培训,稳步提升福建农信的信息安全防护水平。

 

  

 

  福建农信网络安全防御体系落地

 

  在逐步构建、完善网络安全防御体系的同时,福建农信从多方面强化体系落地,一是通过网络安全综合管理平台落地规章制度和安全事务管理,实现安全管理工作电子化、流程化;二是通过三层的网络安全组织将安全工作融入员工日常工作中去,解决单靠网络安全人员单打独斗的状态;三是通过部署欺骗防御系统、态势感知平台、全流量监测系统等逐步提升网络安全感知能力和防御能力;并将网络安全宣传贯穿网络安全的全流程,通过定期安全意识宣贯培训,及时固化安全成果。

 

  1、网络安全综合管理平台落地安全管理

 

  针对网络安全管理落地难的痛点,福建农信研发了网络安全综合管理平台,该平台包括安全漏洞管理、安全事件管理、安全事务管理、安全审计管理、安全监管管理、威胁情报管理、系统资产管理等功能,实现了网络安全管理的集中化、自动化、智能化。通过平台将各类监管要求进行统一管理,大幅提高了网络安全管理效率,也有效解决了网络安全人员疲于应对监管的困境,实现网络安全防御体系的真落地(平台的整体架构图如图2所示)。

 

  2、网络安全组织保障安全事务处置

  网络安全组织由决策层、管理层、执行层组成(如图3所示)。决策层审核、批准网络安全总体战略及规划;管理层主要由科技部领导及安全经理组成,部署网络安全专项审计和安全业务审计、监督工作,审查、监控并处理各类网络安全事件,执行网络安全管理内部审核与评审管理等;执行层由安全科及各科室、各行社信息安全员组成,负责网络安全工作的实施、落实、协调等工作。通过建立分工明确的安全组织,推动全员参与网络安全,一定程度上解决了网络安全人员匮乏问题,推动安全事务有序处置。

 

  图3:网络安全组织架构

  3 、安全宣传培训固化信息安全成果

 

  员工信息安全意识的高低,是网络防护水平的直接体现。信息安全意识的提升,又进一步提升网络安全防护的成效。福建农信充分认识到信息安全意识宣传的重要性,设置专人专岗针对不同层级、不同信息安全要求,开展网络安全培训教育。针对高管层,重点加强安全理念、形势、共识方面的教育培训,引导领导层对网络安全形势的持续重视与关注;针对开发运维人员,开展安全开发基线培训、运维安全专题培训,提高其安全意识和安全技能。通过宣贯网络安全规章制度,定期组织各类网络安全培训、网络安全活动周、安全知识竞赛、线上网络安全意识测评等活动,及时将网络安全防御成果固化,增强全员的信息安全意识。

 

  四

 

  结论

 

  当前商业银行面临着前所未有的网络安全形势,银行如果发生网络安全事件则可能直接影响公众利益、社会稳定,甚至影响国家经济的稳定运行。本文通过分析福建农信在网络安全建设中遇到的问题,结合自身实际,提出了一种网络安全防御体系建设方案,通过纵深防御、收敛防御、重点防御、主动防御的理念,一定程度上解决了福建农信在网络安全防控方面的一些痛点,为金融机构网络安全建设工作提供思路。

文章来源:新金融世界

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。4、对于网友投稿的文章请仔细核对其真实性,如遇要求汇款转账情况,请格外谨慎。

相关文章
  • 北京网络安全大会(BCS 2020)将于8月7日线上线下

    北京网络安全大会(BCS 2020)将于8月7日线上线下

  • 中小银行网络安全的“四个防御”探索与实践

    中小银行网络安全的“四个防御”探索与实践

  • 5G让网络安全行业成为“风口的风口”,网安行业

    5G让网络安全行业成为“风口的风口”,网安行业

  • 创下时长、规模等多个纪录 北京网络安全大会

    创下时长、规模等多个纪录 北京网络安全大会