零信任框架护航银行移动业务发展与数据安全

文 / 中国民生银行信息科技部 袁丽欧 叶少斌

在银行数字化转型和金融科技3.0背景下，银行大量采用移动终端进行展业和办公活动，开放性的服务界面扩大了网络暴露面。在如今愈演愈烈的内外部威胁态势下，新的风险势必导致企业信息资产风险持续加剧。另外，随着我国密集颁布各项网络安全法律法规，监管力度愈来愈强，持续收紧的行业监管也是银行安全从业人员必须面对的安全课题，银行领域的移动安全体系建设面临诸多不容忽视的挑战。

新业务新形势下面临的新挑战

1.数据价值决定风险指数。银行企业内部数据价值被低估。传统移动安全往往关注金融活动领域，但从数据价值衡量，企业经营数据和批量的客户隐私数据更具吸引力。这些数据在复杂的人员、设备、系统之间频繁流动起来，原本只能存放于内网终端和数据中心的数据不得不面临在员工的个人终端留存，业务数据和个人数据甚至混在一起，业务数据的机密性难以保障，数据泄露和滥用风险大幅增加。

近年来外部攻击呈现集团化、规模化和链条化趋势。由于移动终端、操作系统和接入网络固有的开放性，渗透攻击的案例举不胜举。当然，我们还得关注内部威胁。内部人员有意无意的数据窃取和泄露也屡见不鲜，由于移动应用的便捷性，内部人员更容易利用系统身份和权限管控上的漏洞，通过“合法权限”对数据进行滥用和窃取。

2.安全监管环境持续紧缩。银行作为金融服务者,向客户提供金融服务的同时，亦承担着保护客户信息安全的义务和责任。目前银行内部客户信息保护机制尚不完善,在客户信息保护方面存在明显的操作风险。近几年，国家和四部委先后颁布《中华人民共和国个人信息保护法》《App违法违规收集使用个人信息行为认定方法》《信息安全技术个人信息安全规范》等多个涉及个人信息安全的法律法规。同时，金融领域也加大了移动应用和个人隐私数据等方面的监管与治理工作，陆续出台《移动金融客户端应用软件安全管理规范》《个人金融信息保护技术规范》《网上银行系统信息安全通用规范》等。

3.降本增效引发的新风险。企业移动化使得业务效率显著提升，降本增效成为首要课题，配发终端模式的高昂成本问题凸显。在“全民”营销的环境下，使用客户经理自带设备的BYOD模式为“降本”提供最经济的解决方案。

BYOD模式使金融行业的内部业务数据被转储在个人移动设备上，成为可被传播、利用以及共享的电子信息，员工个人数据和企业数据不分离，企业数据加密不完善，部分数据存在明文存储现象，个人设备中又安装众多存在未知风险的应用，大多数企业移动应用通过单点登录“一次授权，长期使用”。

稳步实施“五个可信，一个持续”

零信任架构本是“舶来品”，先进的管理思维进行本土化落地需要在安全管理意识上从“以网络为中心”转变为“以数据为中心”。打破传统的边界防护理念，联动众多“孤岛式”安全能力，让安全渗透业务过程，成为零信任体系建设的三个重要的课题。民生银行在零信任架构实践中找准切入点，从企业级移动安全领域入手，沿着“设备—应用—数据”的逐级管理目标稳步前行，建成以企业级安全工作空间（SWORK）为支撑的技术平台，同步建立健全“设备”“应用”“用户”3个维度的管理制度以及流程。建设路线如图所示。

图  民生银行零信任体系建设路线图

第一阶段：身份可信，设备可信。重点建设身份认证、数据安全、安全传输、应用抗攻击等“点状”防护能力，形成面向全集团的统一身份认证和移动终端管控（MDM）能力，同时将部分操作、管理权限下发到分支机构，形成“服务集中，分级管理”的特色机制。

第二阶段：应用可信，环境可信。构建企业级安全工作空间平台（SWORK），通过客户端代理模式对业务应用进程实现“零集成”安全赋能，将可信设备标识、安全传输、安全存储、环境感知等安全底座能力通过可信发布流程无感知嵌入业务应用。

第三阶段：业务可信。持续补充SWORK平台能力，在网络层铺设安全代理网关，收口业务服务，基于访问数字身份、访问内容长度、访问服务频度等上下文信息进行校验，同时对全流量进行加密，实现应用数据传输层面的透明安全赋能。

第四阶段：持续评估。在SWORK平台扩展可信访问控制台，构建移动安全“大脑”，综合多数据源对应用访问信息进行持续可信评估，联动终端威胁感知和身份认证等基础设施实现业务风险实时处置，将安全能力聚合到业务流程的内生安全机制。

零信任体系促进业务高质量发展

民生银行从“管控”和“服务”的双视角出发构建零信任体系，围绕安全合规和服务一线两个中心目标全面助力移动运营BYOD模式的大力发展，实现让业务“降本”，让合规“增效”。

在安全管控方面，建设集中、规范化的企业级可信应用市场，统筹移动终端和应用的生命周期管理，形成面向业务、开发和安全的运营操作界面和管理视图，落实设备管理、应用管理、权限管理、内容管理和隐私管理五层管理框架，践行了移动安全管理方法论。

在业务价值方面，降低新增配发设备比例，让客户经理可以在不改变使用习惯的情况下通过BYOD模式开展经营活动，切实有效地保护了业务开展过程中客户敏感数据的合规管理；降低安全能力建设成本，业务应用运行在SWORK客户端代理构建的可信环境中，为移动展业应用提供安全存储、安全传输等基础安全服务，同时通过安全相机、安全相册等业务套件提供证照拍摄、定制水印、数据应用级隔离、数据定时销毁等场景化的安全能力，让业务开发“零集成”，让业务使用者在可信的环境下开展移动运营工作。

在扶持创新方面，SWORK通过“试验田”模式，为可接触到生产数据的创新应用提供可控、真实的运行环境，结合数据沙箱、访问控制、权限管理和行为审计等手段，在确保数据安全的基础上为应用营造一个合规展示的平台，助力业务应用创新发展。

零信任架构面向新挑战的展望

如今不仅是移动时代，更是融合时代，单一场景下使用单一的互联网终端已经无法满足业务形态的快速演化，用户更倾向于自由地交替使用不同终端来满足差异化的业务需求。融合已经成为了时代特征，各种互联网硬件终端、操作系统、软件应用和使用场景呈现出一体化的趋势，其相互之间的界限逐步消失。基于ARM和X86架构的CPU已突破手机终端被应用于笔记本平台，鸿蒙操作系统提出分布式理念让移动应用一键实现跨终端、跨平台发布，多端协作和客户体验开始进入新的纪元。“设备无关”的数据和操作共享提供了便捷的操作体验，同时也放大了系统环境之间的安全能力差距，将零信任架构的管理能力扩展至桌面终端甚至边缘设备是分布式安全时代的新课题。

构建零信任体系的核心是数据安全，技术支撑和管理体系建设应该是动态的、可持续的，安全应内生于业务，根据业务发展的动向不断创新，快速迭代。万变不离其宗，在新的安全形势下秉持零信任的理念，坚持以“身份”为基石，以“数据”为核心，对业务安全访问进行持续信任评估和动态访问控制，不断充实数据源，持续训练“零信任大脑”，必将从容应对互联网的新时代。

声明：本文来自金融电子化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。