作者:北京农商银行信息科技部副总经理 周邦烈

        北京农商银行信息科技部 鞠奎波

北京农商银行作为北京市属国有金融企业,秉持“稳健可持续全面发展”的经营理念,坚持以科技创新为支撑和引领,建立起涵盖零售、公司、涉农条线的业务产品体系,打造全方位、多层次的服务渠道。为首都客户提供优质、高效的金融服务。

一、北京农商银行信息安全体系建设历程

随着经营规模、资产质量、信息科技运用水平等不断扩大、提升和深入推进,信息安全管理的重要性日益显现。为切实提高北京农商银行安全管理和风险防控能力,迫切需要构建体系化、持续改进的信息安全防护保障体系。

北京农商银行已完成的信息安全体系建设主要分为以下两个阶段:

一是安全体系基础建设阶段。北京农商银行于2011年开展了首次信息安全规划建设,规划框架由信息安全管理、信息安全技术和信息安全运维三个方面构成。规划对北京农商银行信息安全建设做了大量指导工作,在网络基础安全方面通过划分安全域、部署边界防火墙、入侵检测、NAT地址转换及访问控制列表等手段进行网络安全防护;在全行办公PC安装了端点控制软件、网络防病毒系统,进行终端安全防护;引入堡垒机,进行服务器端安全防护。上述措施确保了北京农商银行信息安全建设基本满足国家及银行业监管相关要求,整体安全状况得到明显改善。

二是安全体系优化提高阶段。北京农商银行于2016年开展了信息安全建设第二次规划工作。这次规划完成了信息安全规划及未来3年实施路线图的制定,完善了由技术防护体系、安全管理体系及过程安全控制体系组成的信息安全保障防护体系,其目的旨在夯实北京农商银行信息安全技术和管理基础,全面提升信息安全防护能力、监控预警能力、应急响应能力。

随着外部信息安全形势的发展、云计算及大数据等新技术的推广应用以及北京农商银行自身信息科技的发展变化,信息安全技术部分内容急需调整优化。北京农商银行在2018年和2019年上半年进行了两次规划修订工作,分别形成了《2018年~2019年信息安全建设方案》《2019年~2020年信息安全建设思路》,有效指导信息安全建设工作,信息安全体系建设进入优化提高阶段。

二、信息安全体系建设中的几点实践经验

经过几年的持续建设和完善,北京农商银行信息安全体系建设取得了显著成绩,为业务稳定发展提供了安全保障。总结信息安全体系建设工作,主要有以下几点经验。

1.统一信息安全认识,实现信息安全管理全覆盖

针对不同层次、不同信息安全要求,北京农商银行积极开展信息安全培训教育,提升全行信息安全意识及专业技能,达到全行针对信息安全工作认识与分工的高度统一。如:针对北京农商银行管理层,重点加强信息安全理念、形势、共识方面的教育培训,确保领导层面对信息安全的持续重视与关注;针对所有的开发人员和应用运维人员,开展应用系统渗透测试,发现问题并组织专题培训,以提高开发人员安全意识和安全技能。

同时,加强对信息安全专业人员的技能、全行职员信息安全思想意识等方面的培训,并建立完整的考评体系,促使相关各类人员不断提升业务能力和素质,确保工作安全、高效、顺利开展,形成北京农商银行信息安全齐抓共管的全面管理局面。

2.构建全方位网络基础防护体系,实现网络纵深防御

网络安全需要多方面协同配合方能实现,其安全措施包括通信安全、边界安全和运营安全。

通信安全包括网络结构安全、数据传输安全、业务流量管理及设备安全防护。通信安全涉及的内容有:规范网络行为的路径,杜绝内部网络用户私自联到外部网络的行为;对于敏感性和机密性数据,如涉及银行资金业务的信息,通过部署VPN确保该类信息在网络传输过程中的安全性;对于银行的重要业务系统,如个人网上银行系统、手机银行和移动支付等,实现终端用户密码输入后立即加密,敏感信息在网络上保持端到端加密,保证敏感数据的机密性。

网络的边界安全包括:各业务区之间的边界安全、业务区与办公区的边界安全、总行与营业网点的边界安全以及北京农商银行与外部合作单位之间的边界安全。边界安全涉及的内容有:访问控制、非法外联管控、可信接入及入侵防范等内容。目前,在北京农商银行互联网生产区域部署异构防火墙、DDoS系统、IDS系统、IPS系统,并采购运营商DDoS流量清洗服务,对网络攻击进行防护。

运营安全包括网络防御特征库的及时升级、网络攻击实时检测、网络状态定期巡查、安全联动策略配置、网络安全事件即时响应和网络攻击溯源分析等。北京农商银行主要网络、安全设备均采取了限制远程登录地址、建立强壮口令机制等设备自身防范措施,并启用了系统级安全审计功能。行内部署网管系统及日志收集系统,对网络设备和安全设备运行状况、网络流量等进行监控及记录。

实施带外管理,建立单独的带外管理区和管理设备,弥补带内管理太过依赖网络本身的不足,提供“双保险”管理措施。

网络安全管理是一个动态的过程,需要不断地优化安全防护策略、不断地提高网络安全对抗能力,并通过落实综合动态网络安全防护策略,为业务交付提供可靠网络运行环境。

3.加强终端安全管理,防止数据泄露

通过技术手段管控北京农商银行业务终端敏感数据泄露途径,围绕数据生命管理周期,对数据的存储、传输、应用等环节进行有效控制,逐步完善数据安全管控措施,确保敏感数据的安全,防止数据泄露事件发生。具体措施包括:加强终端的外设(U盘、刻录、打印等)、终端应用(即时聊天等)、终端外联(WLAN、蓝牙、红外等)等数据流通途径的控制,对终端和终端的所属人进行有效管控,降低数据泄露风险。验证终端外发文件使用者身份和使用范围,确保外发文件不为非授权用户非法使用;对外发文件的使用进行相应的权限授权控制,如打印、编辑、复制等,杜绝授权用户在使用过程中有意或无意泄露内容。柜面终端使用定制版本WPS,屏蔽打印功能,防止利用柜面终端打印非授权敏感信息。

4.强化服务器安全管控,确保主机运行安全

服务器操作系统安装防病毒等恶意代码防护软件,打开实时安全防护功能,并确保代码库更新至最新状态。定期对服务器操作系统中的脆弱点进行加固,如:修复系统配置不当之处(诸如用户口令复杂度不达标、开放多余服务端口等),及时安装操作系统最新补丁。对重要操作系统资源(内存、服务和文件等)的操作主体进行身份鉴别、权限访问控制和操作行为审计。使用堡垒机,实现运维人员登录服务器操作系统的身份识别、操作权限控制,并对操作过程进行详细记录。

5.积极开展应用系统安全防护,确保系统运行安全

为保证系统运行安全质量,在投产前的测试阶段开展静态安全测试和互联网系统动态安全测试服务以最大程度提前发现系统漏洞并在投产前及时修复。

系统上线后,每年开展渗透测试、等保测评、漏洞扫描、外部咨询等工作,评测重要信息系统和互联网渠道的信息安全水平,及时发现并解决相关安全问题。2018下半年开始以众测的方式开展应用系统渗透测试工作,以加大发现系统漏洞的力度,确保系统安全运行。

三、挑战及应对措施

当前,北京农商银行信息体系建设已经形成了一套基础防护体系,但日益严峻的安全形势、频发的应用层漏洞和业务逻辑漏洞,加大了资金损失、数据泄露的风险。传统的安全技术手段难以防护多数应用层和业务逻辑层漏洞,故网络安全需要在多个层次、综合采用多种技术手段进行立体性的防护。

1.开展应用安全治理

外部调查资料显示,过去一年银行机构遭遇的安全问题主要集中在web应用安全、移动应用安全以及业务安全领域。这意味着,应用安全依然是金融安全工作近年来最值得关注的重点。应用安全治理从软件全流程的视角出发,强调尽早解决安全问题,可以帮助降低整体开发成本,同时在修复手段的选择上也具有更大的灵活性。应用安全治理的目标,一是在现有软件开发日常管理流程基础上,建立安全需求评审、安全设计评审、安全测试评审管理体系和制度,二是建立安全威胁库、安全需求模板、安全设计模板、安全测试库,安全开发组件库。

应用安全治理工作不能一蹴而就,而要经历一个持续改进的过程,要将安全需求、安全设计、安全编码、安全测试导入项目开发全流程过程中,从全局统筹,以安全赋能业务开发与实现。

2.实施数据安全治理

中国银保监会2018年发布的《银行业金融机构数据治理指引》指出,“银行业金融机构应当建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私,划分数据安全等级,明确访问和拷贝等权限,监控访问和拷贝等行为,完善数据安全技术,定期审计数据安全”。Gartner认为数据安全治理不仅仅是一套用工具组合的产品级解决方案,而是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识,确保采取合理适当的措施,以最有效的方式保护信息资源。

开展数据安全治理首先要全面评估银行在数据安全方面所做的工作,找出风险点和管理不足,通过补齐制度规定,采购工具产品加以改进。数据安全治理的基础是对银行资产数据进行分类分级。根据实际业务类型、数据类型将现有数据进行自动或手动的分类管理;根据现有实际业务,结合需求部门形成贴合银行实际需求的数据分级表格,并根据数据分级结果进行不同级别的安全管理。敏感数据标识是数据安全治理的重点。梳理现有业务系统中涉及数据分级中的高敏感数据,并进行敏感业务排序。在需求阶段就标识出高敏感数据,在开发实现上,按照敏感要求进行功能管控,在上线运行后,对敏感数据使用进行监控。掌握敏感数据流向,实现数据在流动过程中的安全管理。

3.构建主动防御的安全体系

银行机构现有的基础安全防护措施,对于越来越多的APT攻击束手无策。APT很多攻击行为都会利用0day漏洞进行网络渗透和攻击,且具有持续性及隐蔽性,该持续性体现在攻击者不断尝试各种攻击手段,以及在渗透到网络内部后长期蛰伏,不断收集各种信息,直到收集到重要情报。

银行机构应构建主动防御的安全管控体系,及时发现及时处置各类安全威胁。主动安全防护体系建设包括建立威胁情报资源库,采集全网流量,建立文件沙箱和蜜罐,对攻击行为进行溯源分析,实现以下目标:一是对攻击状态进行研判,准确判断攻击事件是否成功;二是对攻击事件属性进行研判,判断攻击者目的和背景以及攻击者组织规模等;三是能通过分析时间线的方式,展示攻击事件全过程,展示内容至少包含攻击发起时间、攻击结束时间、攻击IP、攻击者操作系统、攻击持续时间、攻击次数、攻击手法、攻击资产、攻击状态、攻击影响、安全处置建议等。

下一步,北京农商银行将进一步夯实信息安全基础体系建设,确保银行内部经营信息和个人客户敏感信息不非法外泄。同时,积极学习同业先进经验,着力探索主动安全防护措施,推动被动防护向主动防御持续演进,确保信息系统安全、稳定运行,支持全行各项业务快速发展。

声明:本文来自中国金融电脑,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。