工商银行：拟态防御技术在金融业务领域的应用

文 / 中国工商银行软件开发中心系统一部总经理  刘映镇

近些年来，全球网络安全形势依然严峻，网络攻击数量持续上升，数据泄露等安全事件频发。工商银行基于主流信息安全技术与最佳实践经验，建立了全面、可靠的企业级安全防御体系与安全服务平台，为客户信息安全与业务稳定运行保驾护航。而基于未知漏洞后门等产生的不确定威胁是当前网络空间最为棘手的安全问题,也是包括工行在内的各家金融机构共同面临的挑战。为了进一步加固安全防御体系，工行与相关科研单位开展技术合作，就拟态防御技术进行研究，并在工行互联网入口进行试点，以应对未知的安全威胁。

拟态防御技术

1.拟态防御技术理论。当前网络空间防御体系是在预先感知威胁特征，掌握攻击来源、攻击特征、攻击途径、攻击行为等信息的基础上，有针对性开展的精确防御。漏洞后门等“内生安全问题”在理论和工程层面都不可能彻底消除，其存在具有必然性，呈现具有偶然性，威胁具有不确定性。迄今为止，传统的网络安全思维模式和技术路线很少能跳出“尽力而为、问题归零”的惯性思维，挖漏洞、打补丁、封门补漏、查毒杀马乃至设蜜罐、布沙箱，层层叠叠的附加式防护措施，包括内置层次化的检测构造方式，在引入安全功能的同时不可避免地会引入新的内生安全隐患，无法从根本上解决内生安全问题。拟态防御是邬江兴院士提出的一种内生安全防御方法，其利用系统构造自身的“内源性安全效应”，形成“内生的安全体制机制”，能够有效规避或化解由内生安全问题引发的安全风险。

2.拟态防御技术原理。网络空间拟态防御理论，为应对网络空间不同领域、应用层次上基于未知漏洞、后门、病毒或木马等未知威胁，提供了具有创新、普适意义的防御理论和方法，为国家自主可控战略开辟了一条新的发展途径。拟态防御核心技术原理（见图1），围绕一个或者多个处理环节，建设多个功能一致、技术异构的执行体，通过对异构执行体的动态调度使用，构建异构冗余的服务环境。每个交易请求都通过动态选择的多个异构体来共同处理，先天性地避免了针对某一特定漏洞的攻击，实现主动防御的目标。

图1  拟态防御核心技术原理

金融行业信息系统安全防护现状及挑战

1.金融行业信息系统安全防护现状。众所周知，金融业所掌握的信息往往会涉及社会各个方面的经济利益，小到个人的存款余额、联系方式，大到企业、政府的财务信息，都属于重要信息。为保护客户和银行的利益不受非法侵犯、有效防范经济案件的发生、维护整个金融机构软硬件系统业务平台的稳定、安全运行。目前金融机构如工商银行主要通过以下几个层面来持续保障各类重要信息的安全：一是明确安全策略、健全安全制度规范。针对信息系统制订了整体安全策略，建立了一套覆盖研发、测试、生产等场景，从机房、服务器、网络到终端设备的安全技术规范和管理制度，并不断修订和完善。二是建立完备的安全运行流程、持续提升安全运营管理水平。针对信息系统建立了较为完备的安全运行流程和管理要求，各类流程具备合理的分级分权管理和权限控制，并严格执行。同时建立了完备的风控体系，以推动运营管理流程优化，提升安全运营水平，满足安全管理要求。三是引入先进的安全技术，构建全面的安全防御技术架构。建立企业级安全服务平台，结合业界对标情况推动安全服务解耦，重构加密服务、电子文件安全、客户安全认证等安全服务平台，建成桌面云等安全服务平台，并持续优化反欺诈、代码安全检测、防病毒、WAF等安全服务平台，实现安全服务平台的集中管理及横向共享能力。各应用系统调用安全平台的API服务，提升安全服务的灵活性及研发效率，形成企业级的安全服务能力。实现新技术安全防护，对IT架构转型过程引入的云平台、大数据平台、分布式架构、区块链平台、物联网等新技术上线引入的各类软硬件新产品，实施严格的用户及权限控制、安全配置及漏洞扫描，并实施安全审计及监控，规避安全防护短板。组建安全攻防团队，开展全集团范围的内部红蓝对抗演练。一方面提升工行在面对外部攻击的应急处理能力。另一方面通过演练发现各应用系统软硬件的漏洞，及时做好应急措施及补丁的修复，确保我行应用系统安全。

2.金融行业信息安全面临的挑战和对策。由于金融行业的特殊性，金融机构信息系统一直是网络犯罪的主要目标。形形色色的网络攻击者在黑色产业巨大利益的驱使下，不断丰富其攻击目标和攻击手段，以提升自身的攻击变现能力。金融行业每年受到的安全攻击数量呈指数级增长，攻击手段、技术方法不断进化，进一步加大了识别与防范的难度，同时也对金融机构信息系统安全提出了严峻的挑战。为了进一步加固金融行业安全防御体系，工行积极探索信息安全新技术，除了持续加强现有基于已知安全风险的防御体系外，还在网络边界、互联网服务入口等关键部位试点引入主动的拟态防御技术。一方面利用主动防御技术提供不依赖情报获取、而依靠自主威胁感知防御威胁入侵的能力，与现有的精确防御相结合，形成主被动防御一体化的安全防御体系；另一方面利用主动防御识别收集威胁特征，用于辅助分析安全攻击、系统加固等工作。

工行拟态防御技术实践

1.积极研究安全防御新技术，明确试点应用场景。拟态防御理论正式发布后，在邬江兴院士团队的指导下，2017年，工行与相关科研单位开展技术合作，就拟态防御技术进行研究，并积极推动试点。最终确定在互联网应用容易遭受攻击的Web服务以及网络数据解析这两个技术领域开展拟态防御实践探索，并选择互联网金融应用工银e生活和DNS域名解析系统进行试点。

2.促进拟态技术与金融应用融合，构建拟态金融行业示范部署方案。结合工银e生活、应用监控平台，构建拟态Web部署整体方案（见图2）。由多套不同操作系统、中间件软件组成异构体集群，某个异构体集群操作系统、中间件的漏洞，无法在其他异构体集群中执行生效。业务请求通过防火墙、入侵检测、WAF等传统安全防御设备，由负载均衡将请求转发至拟态Web设备，通过拟态Web设备将请求复制多份（大于等于3的奇数）后转发至后端异构体集群，各异构体集群分别处理请求并将响应结果返回给拟态Web设备。拟态Web设备根据表决算法对结果进行表决，最终将表决结果返回给前端用户。如发现疑似攻击行为，将检测结果上送事件至应用监控平台。通过与工行各应用系统的融合，有效提升Web应用系统安全防御外部攻击能力和水平。

图2  拟态Web设备部署方案

结合工行域名缓存服务器、集中网管平台，构建工行拟态DNS部署方案（见图3）。由多套不同操作系统、域名解析软件组成异构体集群，某个异构体集群中操作系统、域名解析软件的漏洞，无法在其他异构体集群中执行生效。业务功能发出的域名解析请求，首先到达缓存服务器，如解析的域名在缓存中存在，则直接返回IP地址，减轻对后端服务器访问压力。如不存在，拟态分发裁决器会将请求域名复制成多份（大于等于3的奇数）分发给拟态异构执行体集群。拟态分发裁决器根据裁决策略对多个异构执行体解析的域名结果进行统一裁决，并将裁决后的结果反馈给用户。通过引入拟态技术，为互联网金融应用及域名解析系统带来了试探性攻击结果不确定的特性，能够有效地应对和抵御基于目标对象漏洞后门、病毒木马等的已知风险与不确定威胁，对于拟态界内各种已知和未知安全威胁具有普遍而显著的防范和抵御功效。

图3  拟态DNS设备部署方案

工行拟态防御实践意义

1.推动安全防御体系创新。引入拟态安全防御技术，结合传统安全防御体系建设成果，构成主被动防御相融合的新型防御体系，提升安全防御措施效能。主动防御——从“被动感知的安全防御”转变为“主动设障的精准防御”。利用拟态防御系统的异构分发表决机制，主动阻断安全威胁，实现不依赖先验知识的安全防御。动态防御——从“静态结构”转变为“动态体系”，基于异构执行体的灵活调度、流量分发、协同表决机制，实现系统动态防御处理，提高对外部攻击行为的防范能力。自我进化——从“事后定位加固”转变为“事中定位处置”，基于不同执行体处理结果的比对表决，快速定位处置异常执行体，提升系统自身安全性和健壮性。构建有效的开源软件安全防御体系，拟态防御可更好地管控单个产品漏洞的安全风险，为银行加大开源软件使用、促进业务技术创新、提升信息系统安全可靠水平提供了更好安全保障。

2.提升工商银行信息系统的安全性。拟态Web设备与拟态DNS设备是工商银行的重要服务节点。通过引入拟态防御技术，在传统防御体系上进一步增强了对未知漏洞和后门的防御能力，更加强化工商银行系统应对外部攻击的能力，减少外部攻击造成的经济损失和声誉损失。

3.助推开源软件使用和安全可靠水平提升。在加大开源软件使用，加快系统IT架构转型的过程中，如何做好配好安全防护是业界面临的共同挑战。通过引入拟态安全防御技术，可有效防御针对特定开源软件的攻击行为，构建更加有效的安全防御体系。

4.助推我国安全防御技术的研究创新。拟态防御是我国自主创新的新型安全防御技术。工行参与联合研究，率先在金融服务领域进行实践应用，有力促进了拟态防御技术的持续发展，更是产学研协同推进前沿基础技术创新的典范，起到了良好的社会示范效应。

本次在金融行业的成功试点，有效提升了工行应用防范未知漏洞的能力，提高了工行在安全领域的核心竞争力，提升了工行安全管控水平和风险管理水平，使科技系统能更好的服务于国家“一带一路”战略的实施，具有重要的促进作用。以拟态防御为代表的内生安全防御技术，在网络空间首次提供了对未知威胁的感知、学习和防御能力，能够颠覆“软硬件代码漏洞后门攻击时代”的防御理念，具有不可或缺的现实意义和广泛的战略影响。

声明：本文来自金融电子化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。