昆仑银行信息科技部质量控制中心主任 陈峰

关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。昆仑银行针对关键信息基础设施构建了一套“四梁八柱”的整体安全防护体系,其中,“四梁”主要包括安全管理体系、安全服务体系、安全技术体系和安全运营体系;“八柱”主要指基础设施安全防护的八大专业防护能力:物理安全、网络与通信安全、系统与云安全、终端安全、应用安全、数据安全、安全态势感知平台、开发测试安全等能力。

党中央、国务院高度重视关键信息基础设施安全保护工作,2021年9月1日起开始施行的《关键信息基础设施安全保护条例》(以下简称《条例》),明确了关键信息基础设施的定义、范围、保护措施及各方责任,从国家层面建立了专门的保护制度,提出了对关键信息基础设施建设与安全保护的要求,同时对运营者责任义务提出了具体的要求。《条例》的出台有利于进一步健全关键信息基础设施安全保护法律制度体系,促进各行业关键基础设施的健康良性发展。

金融是国家重要的核心竞争力,金融安全是国家安全的重要组成部分,金融是实体经济的血脉,为实体经济服务是金融的天职,也是《条例》中重要的保护对象之一。保障银行系统关键信息基础设施建设安全是银行从业人员义不容辞的责任和义务。本文站在中小城商行的角度,分享昆仑银行在关键基础设施建设及安全防护方面的一些经验,供同行参考借鉴。

一、昆仑银行关键基础设施建设六大核心原则

1.战略规划与顶层设计结合

昆仑银行始终坚定战略定力,明晰自身定位,围绕全行的总体发展战略和目标,以客户为中心,以业务发展和经营管理为驱动力,结合市场需求及自身禀赋重塑业务价值链,谋求差异化、特色化发展。

基础设施建设也要从战略高度进行全局谋划,根据业务的发展方向和发展路径,加强基础设施与战略规划、业务经营与发展相一致的基础架构设计与总体规划,既保证传统业务的稳态架构,又保证互联网创新型业务的敏态需求,按优先级、分阶段制定基础设施建设的时间表和路线图。

2.安全稳定与业务发展协同

昆仑银行牢牢树立安全发展理念,以安全保发展,完善风险应急处置机制,提高抵御风险的能力。基础架构设计需要考虑多层冗余,以满足业务系统不间断稳定运行以及业务连续性的需求。优先选用成熟的、经过实践证明成功的产品与技术,避免使用不成熟的、未经验证的技术产品和部署模型,同时需要避免对单一技术和厂商的过度依赖。

当前,银行处于全面数字化转型时期,银行在组织、文化、业务、技术等方面正在发生翻天覆地的变化,基础架构的设计与建设也要以数字化转型为契机,与业务紧密结合协同,相互支持、相互促进,以高质量的基础架构支撑业务发展,以业务新生态促进基础设施升级,实现两者的同步跃升。

3.快速响应与弹性应变相驱动

在银行业务生态迅猛发展的新常态、应用系统快速实现的新要求、营销业务潮涨汐落的新情况下,IT基础设施需要动态敏捷地满足各类业务与应用系统的需求,IT基础架构必须要具有灵活性与高弹性,具备快速部署、弹性伸缩、敏捷调整的能力。

4.高可用性与可扩展性协同

基础架构采用冗余、集群、分布式等技术,避免单点故障,支持7×24小时服务;优先保障关键业务功能和业务流程对资源的需求;通过容灾方案支持合理的业务连续性需求,建立本地高可用、同城灾备、异地灾备三级完整的高可用容灾体系架构,缩短业务故障带来的业务中断时间,具备抵御非群体性系统性故障与区域性灾害的能力。

基础设施应具备良好的可扩展能力,支持纵向与横向扩展,以适应业务的突发式涨跌需求,及营销类业务增减对基础资源的要求。通过标准化、层次化、模块化、兼容性等方面的设计可保障基础架构良好的可扩展性。

5.标准化与规范化并行

所有基础架构设计基于一个整体,生产环境、同城灾备、异地灾备等设计相互统一,相互关联。针对机房、网络、操作系统、存储、数据库、中间件、虚拟化、备份、监控、开发测试及运维管理设计科学合理的技术规范,并针对不同业务场景、应用种类设置不同的标准,实现物理层面与逻辑层面的协调统一。

6.安全可控与开源并重

在基础设施建设上,昆仑银行致力于使用满足安全可控要求的产品,提高安全可控信息技术使用率和重要信息系统可控率。

在确保安全成熟的前提下,逐步推行开源软件的使用范围。开源软件具有免费、开放、可定制、受整个社区监督等优势,利用成熟的开源代码开发产品原型,可以让产品快速低成本上线。但开源软件同时也是风险的来源,企业需要利用一系列的安全管控措施来确保开源软件的安全使用。

二、关键基础设施建设五大新技术助力业务高速发展

1.基于“昆仑云”打造云数据中心基础设施供给能力

云计算让金融业从IT基础建设和数据中心等非核心业务中释放出来,使其以更低的成本和更灵活的方式获取存储、计算和服务资源,使金融机构能够更专注于客户、金融产品和服务。

昆仑银行经过数十年的信息化建设,拥有复杂的IT基础设施,包括X86服务器、小型机、SAN存储、NAS存储、网络、虚拟化等基础设施。昆仑银行通过建设生产、灾备、开发测试、办公“四朵云”来统一管理IT基础设施,实现内部系统的打通和数据的整合,通过基础设施虚拟化资源池实现更高可扩展性和平台韧性,降低了IT成本,加速了应用上线时间,让业务与应用系统获得敏捷化、高弹性、低成本的基础设施服务。

2.实现第三代核心系统分布式架构转型

随着分布式计算、分布式数据库、分布式中间件、分布式存储、云原生技术的逐渐成熟,分布式架构取代集中式架构,或与集中式架构并行已成为可能,分布式技术既可以使企业以敏捷化、高弹性、低成本、更灵活的方式获取基础设施资源,使系统资源云化,又能够使企业具备理论上无限扩容的能力。

从2019年到2021年7月,昆仑银行已经完成核心系统从集中式架构向分布式架构转型,在使用相对低成本PC服务器取代传统小型机的同时,大幅提升核心系统性能容量,灵活支持高并发易扩展的特性,也使系统具备了互联网业务特性,以及蓝绿发布、灰度引流自动化实现秒级业务监控的能力。

昆仑银行还基于分布式和云原生技术构建了业务中台、数据中台、大数据平台等技术平台,为全行的业务发展和数字化转型提供坚实的基础设施底座。

3.5G与量子技术推动智能网点及新型网络传输技术应用

5G网络的峰值理论传输速度可达每秒数十GB,比4G网络的传输速度快数百倍。5G具有高带宽、高可靠低时延、单位面积海量连接三大应用场景特点,可以使人与物、物与物始终保持网络连接,使人类社会真正进入万物互联的时代。对于金融业来说,5G的应用大大优化了原有金融服务模式及体验,对金融服务的产品形态、服务模式、销售渠道产生了深刻的影响。

基于上述特点,5G技术适用于超高清视频、AR/VR等大流量移动宽带业务,以及广泛连接的物联网业务,同时支持单位面积内大数量设备终端接入网络的业务场景。昆仑银行基于5G技术完成了智能网点的全面改造与升级试点,升级后的网点能够开展实时超高清视频及影像业务、大数量实时传输业务,同时还开通了面向低高柜的实时交易业务。昆仑银行还将5G技术与量子通信加密技术进行结合,确保网络传输的高安全性和高机密性,保证了业务开展的合规性与安全性。

4.大数据服务业务能力持续增强

将大数据技术应用于金融业不仅是技术发展的需要,也是金融业提高自身盈利能力的需要,在当前以客户为中心、以市场为导向的激烈竞争的时代,要想提高核心竞争能力、防范业务风险、提高业务分析数据的时效性及准确性,就必须利用大数据技术手段来进行辅助管理。

昆仑银行大数据平台工作重点在数据应用场景建设、提升数据的服务能力和模型整合能力等方面,同时正在完善外部数据和历史数据内容,以提升数据的整体服务能力。在应用上建设实时数据应用、客户画像、数据实验室,在实时应用领域,实现公安部账户实时明细查询;在客户画像应用领域,在零售客户条线提供客户画像数据,进行精准营销;通过客户端埋点,进行用户行为分析,积累用户行为数据,并通过本行已有数据和外部数据结合进行行为分析,为获客或提升客户活跃度提供数据支撑。

5.人工智能持续提升获客与风控能力

人工智能对于银行降本增效、风险防控、提升整体服务水平具有重要意义,已成为银行的重要应用领域。人工智能在金融业的应用主要有智能客服、智能风控、智能支付、智慧网点、智能投顾、智能营销、智能投研等场景。

昆仑银行已经建立生物识别、图像识别、智能语音等智能体系。在金融交易与风险管理方面,人工智能有效利用大数据进行筛选分析,帮助银行更高效地进行决策分析。此外,昆仑银行还从行内的大数据平台中获取关键信息进行挖掘分析,对客户群体进行筛选和欺诈风险鉴别。智能营销系统帮助银行精准获客,降低营销成本,提高风险识别、预警、防范及风险定价能力,降低风险甄别成本。目前,昆仑银行已经实现对网贷等业务提供强有力的风控支持。

三、“四梁八柱”构建关键基础设施安全防护体系

关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。昆仑银行针对关键信息基础设施构建了一套“四梁八柱”的整体安全防护体系(如图1所示)。

图1 昆仑银行“四梁八柱”安全防护体系

1.“四梁”:四大防护能力体系

昆仑银行基础设施安全防护能力体系的“四梁”主要包括安全管理体系、安全服务体系、安全技术体系和安全运营体系。

安全管理体系主要是在信息科技风险管理的框架下,完善信息安全制度、统一安全技术实现标准、细化安全团队职责,持续加强安全治理以完善整体安全体系。从管理制度完备以及人员对于制度遵从性角度考虑,安全管理体系既要包括规章制度、管理标准的制定,同时也要包含管理内容的执行、考核、优化及改进等闭环式管理内容。按照PDCA不断改进和不断优化的原则,昆仑银行已发布18项信息安全管理制度,覆盖信息安全组织、人员安全、物理安全、网络安全、终端安全、信息安全事件、等级保护、开发安全、安全合规检查等各领域。

安全服务体系包括各种安全策略、技术规范与标准等的制定、执行及审计,同时还包含安全评估、攻防对抗、事件分析与处置、等级保护、渗透测试等安全服务内容,是信息安全的最核心的部分,也是整个信息安全建设的依据。安全策略体系从管理层面上不仅要包含行内要求内容,而且需要包括国家、监管部门、行业、上级管理单位等要求内容。从技术层面要包含需求、规划设计、开发测试、运维、基础设施等IT信息系统全生命周期的安全防护内容。昆仑银行的信息安全策略主要由五个方面组成,包括基础设施安全基线、基础设施安全规范、应用开发安全技术规范、安全评估技术策略、外部攻击应急规范等。

安全技术体系能够灵活应对技术发展,快速响应产品创新,持续保障业务安全,实现信息安全智能化、可量化的管控目标,同时确保设施与外界交互的安全性,并通过内外部威胁情报、安全能力的共享和互助,形成完整高效的信息安全新生态体系。完备的安全技术体系主要包括网络、系统、应用、数据、终端、分析检测等。

安全运营体系主要是对人员、组织和流程的管理,包括信息安全相关的监控、分析、预警、处置、回溯、改进等,是实现信息安全的落实手段。通过建立安全架构、开发、评估与检查、新技术安全管控全流程全领域的信息安全管理机制,实现事前、事中、事后三段式的防护机制,达到可持续优化的信息科技风险认知和防控能力;构建具备主动监测、智能分析、精准响应和防御协同的信息安全运营体系,将人员、流程和技术有机结合起来,实现自适应安全运营。

2.“八柱”:八大专业防护能力

“八柱”也就是针对基础设施安全防护的八大专业防护能力,主要体现在以下几个方面。

物理安全

物理安全是指对机房空间及物理设备进行安全保护,主要包括物理访问控制、资产巡检、门禁授权、环境监控、资产物理安全、防雷击、防水火、防静电等。网络与通信安全主要包括访问控制、入侵检测、通信加密、IPS/IDS、防火墙、无线安全、VPN安全、上网行为、异常流量、网络分区、网络隔离、域间防护、流量回溯与分析、DNS安全防护等。

系统与云安全

系统与云安全包括基础软件虚拟化安全、主机安全、数据库安全、中间件安全、安全基线、补丁管理、漏洞管理、访问控制、账号安全、权限控制、外联管控、系统隔离、弱口令、加密、主机入侵与防护、恶意代码防范、数据库审计等。

终端安全

终端安全包括网络准入、终端安全基线、防病毒、移动介质管理、非法外联防护、文档加密、终端DLP、身份认证、双因素、特权账号、堡垒主机、安全客户端、特权策略、例外策略、安全监控、移动终端安全防护、新型终端安全防护等。

应用安全

应用安全包括应用系统的身份认证、访问控制、Web安全、安全基线、应用漏洞、安全加固等。

数据安全

数据安全包括数据识别、认证授权、访问控制、数据脱敏、加密传输、存储、数据识别与监测、数据防泄露、数据销毁、跨网交换数据、内网交换、移动端管理、数据备份等。

安全态势感知平台

安全态势感知平台是安全防护的中枢“大脑”,从资产梳理和风险暴露面梳理开始,构建基于全景视角的网络空间资产,通过资产信息及信息之间的关联关系,能够展示全网软硬件信息之间的资产神经网络视图;然后基于安全信息要素采集技术及大数据分析技术建立安全态势平台的安全日志采集、分析与加工体系;最后通过内部的安全策略库、安全态势地图以及引入的外部安全情报数据综合对比分析,实时地将内外信息进行综合汇总、加工并传到“大脑”,让“大脑”能够实时掌控全网的信息安全概况与趋势,对全网的健康状况作出准确的判断,为下一步行动策略提供准确无误的依据。

开发测试安全

开发测试安全包括开发语言安全、代码审计、需求分析、安全功能设计、代码检查、安全测试、安全框架、API接口安全、开发安全基线、App安全、交易安全、服务安全、登录认证等。

关键信息基础设施是金融机构网络安全的重中之重,保障关键信息基础设施安全,对于维护国家网络空间主权和国家安全、保障经济社会健康发展、保障实体经济的血脉畅通、维护公共利益和公民合法权益具有重大意义。昆仑银行通过关键基础设施建设的六大核心原则和“四梁八柱”构建安全防护体系的一些实践经验,可供中小城商行借鉴。

本文刊于《中国金融电脑》2021年第12期

声明:本文来自中国金融电脑,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。