3.3.2 金融网络安全体系
说到网络安全,有人马上会说出一堆安全设备和安全防护技术,他们以为使用了这些先进的设备和技术就可以高枕无忧,但这往往是一个误区。我们知道所有的网络攻击都是由人发起的,无论他们基于何种目的。所以在整个信息安全体系中,“人”才是关键。
如图3-6所示,网络安全体系建设可以从安全管理、安全防护和安全运营三个方面进行思考,三者相辅相成,共筑企业安全防护长城。
图3-6 网络安全体系
1. 安全管理
试问,有没有一种一劳永逸的方法可以保证我们网络环境的绝对安全?我们希望有,但很遗憾这是不可能的。所谓永恒不变的是变化,安全态势一直处于持续演进的过程中,须建立PDCA持续改进机制,服务于网络安全管理全生命周期。PDCA是计划(Plan)、执行(Do)、检查(Check)、处理(Act)的循环。在安全管理过程中,需要按照计划、执行、检查、处理四个持续循环的顺序执行各项工作,将成功的部分纳入标准,不成功的部分留到下一循环去解决,以此不断增强信息安全治理水平。安全管理还包括内控合规管理和安全标准管理。
内控合规管理的目标是建立内控合规的长效安全管理机制,对外以符合监管要求为目标,对内实现IT风险可控。内控合规管理包含安全制度管理、安全事件管理、信息科技风险管理和业务连续性管理,目的是为企业指明安全体系建设方向,为企业指引安全事件处置流程,为业务连续性运行提供基础条件。
安全标准管理更多涉及安全操作,包括安全基线管理、研发过程安全管理和监查审计管理,它明确了现阶段安全标准明细、研发过程中安全相关内容和监查审计制度等内容。
2. 安全防护
安全防护主要是通过安全防护技术实现自下而上的各个层级的技术防护,涉及物理层安全、系统层安全、数据层安全、网络层安全、接入层安全、应用层安全和业务层安全,具体措施如下。
(1)物理层安全
严控IDC及办公环境进出规则,保障物理设备及数据存储介质安全。
(2)系统层安全
通过病毒防护对所有主机的防病毒软件进行集中监控、管理,可进行批量病毒扫描、查杀和升级;通过页面防篡改对面向互联网访问系统及前置代理部署防篡改系统,非授权无法进行文件更新、系统发布;通过系统安全基线落实操作系统安全基本要求;通过定期漏洞扫描发现操作系统及部署应用漏洞;通过日志审计对操作系统日常操作做记录、审计,评估高危风险操作合理性。
(3)数据层安全
通过数据库审计系统进行数据库操作细颗粒度合规管理、攻击检测、攻击阻断,全面消除数据被窃取、篡改、删除等安全隐患;通过签名验签服务保证通信双方可信;通过加密机实现可靠的密钥管理及数据加解密服务;通过水印技术防止敏感信息以拍照、截屏方式泄露。
(4)网络层安全
▪ 网络访问控制。通过划分安全域,严格执行安全域间访问控制,区域之间采用硬件防火墙进行访问隔离,防火墙配置为默认拒绝所有访问策略,以白名单形式仅对经过审批的明细策略开通跨区域互访;通过终端绑定硬件特征码保证访问唯一性;通过访问授权保证所有访问均有安全认证和授权,并保障生产操作有审批、操作过程可审计。
▪ 防护系统部署。部署漏洞扫描入侵检测系统,实施监控全网网络风险,发现问题能够及时告警。部署WAF设备、入侵防御系统和防拒绝服务攻击系统,实时检测攻击的发生并主动防御。
▪ 防火墙隔离。通过硬件防火墙限制域间非授权访问,通过软件防火墙限制系统间非授权访问。集成在SDN网络技术中的虚拟防火墙,不局限于网络源和目标的IP地址、端口、协议进行安全控制。区别于传统硬件防火墙,虚拟防火墙以单台服务器为防护对象,可以构建水平扩展的分布式虚拟防火墙,提供细颗粒度的访问控制,在系统间进行二次隔离。同时可以基于同构的虚拟防火墙实现自动化、程序化快速部署安全策略。
▪ 传输安全。访问数据全部通过SSL加密,应用系统可实现进一步用户鉴权。
(5)接入层安全
进行访问接入方身份认证,以IP白名单、专线、VPN方式明确访问银行应用系统的个人、机构身份。
(6)应用层安全
通过配置中间件安全基线保障中间件基本安全;通过三方组件检测保障使用的三方组件可被信任;通过移动端应用加固,消除移动端应用存在的风险及漏洞,使移动端应用具有防逆向破解、防篡改攻击、防数据窃取的能力。
(7)业务层安全
通过防撞库的人机识别、页面混淆技术防止撞库攻击;通过API网关防护技术进行ACL控制、Key认证和CC限速等防护;通过反爬虫技术规避无效访问。
3. 安全运营
安全运营是指从安全运维、安全监测、安全服务方面“三管齐下”,建立完善的安全运营体系。安全运维主要面向日常运维操作,包括安全问题处理、安全资产管理和安全验证工作。安全监测是实时检测和了解现网安全状况,通过全流量监控、日志审计监测、态势感知监测等平台,对安全状况做到心里有数,在第一时间获取安全问题告警。安全服务主要是合理地使用第三方安全技术支持能力,借助安全咨询公司的能力构建企业自身安全防护体系,并通过定期或不定期发起模拟攻击,发现隐患、解决隐患,逐步完善安全保障体系。要确保全行信息系统内外部不发生安全事件,即使在发生安全事件时也能够快速感知、快速处理,减少安全事件带来的资金及声誉影响。