2018年11月3日下午,由中国新一代IT产业推进联盟指导,CIO时代学院、《金融电子化》杂志社联合主办,CIO时代APP承办的“第14期金融CIO论坛”于北京成功举行,20多位知名专家与金融信息化负责人齐聚一堂,就本次论坛主题“金融网络安全与数据保护”展开了深入的交流与探讨。中国工商银行总行信息科技部副总经理张艳发表了题为《商业银行信息安全攻防体系研究与实践》的主题演讲。以下为演讲实录:

张艳,中国工商银行总行信息科技部副总经理

大家好!在金融CIO论坛目前为止做了三次安全主题分享,前面两次主题内容一是信息安全体系整个的层次架构和体系;二是人工智能在信息安全的一些作用和威胁情报相,就是大数据在信息安全当中的应用。今天是第三次主题是攻防体系的建设。

近年商业银行对信息安全可谓高度重视,每年都在花费巨资不断引入新产品持续垒高我们的安全城墙并且派重兵把守,虽然系统的安全性在各大企业中已属较高水平,可是在攻击者眼中这道马奇诺防线却并非牢不可破。全球swift系列攻击事件表明,外部黑客早已经将魔爪伸入到了银行的核心系统。而且商业银行自身安全人员的风险意识虽强,但对自家防御体系过于自信,对黑客攻击了解不足。从银行内部来讲,银行包括金融机构往往是防多、攻少,但是现在形势发生了很大变化。第一,银行只防不攻的话,肯定是防不好的。因为不知道黑客会怎么样来攻击,所以防守就会有一定的漏洞。第二,现在攻防结合非常紧密,各种入侵工具和反入侵手段相辅相成。所以只有防守意识没有进攻意识往往是非常被动的。所以在这种情况之下,我们做了商业银行的安全攻防体系研究和一些实践,跟大家分享。

课题背景

从外部来看,当前金融行业是外部黑客攻击的重要目标。近年来全球SWIFT系列攻击事件,WannaCry勒索病毒事件,以及著名黑客组织“匿名者”向包括中国人民银行和我行在内的全球140家金融机构发起第5轮宣战等,虽未造成实际影响,但都表明着金融机构面临的外部威胁日益严峻。

从内部来看,当前金融行业线上线下融合非常的紧密,在互联网金融的兴起之下,越来越多的业务都到了线上。网络边界模糊,整个安全防护的复杂度加大。同时新技术业务的引进增多,相对来说,安全防护难度加大。还有安全人员的能力不足,全员意识不强,无法有效应对内外部安全攻击。

从体系上来看,各家金融机构还是以防御为目标的安全体系,缺少攻防兼顾全面的安全体系系统。

研究背景

根据以上情况我们认为,也认真研究了美国的系统网络安全的协会SANS提出的著名的“网络安全能力的滑动尺标的模型”。我们看到这个模型最初的安全能力就是基础安全的防御。如现在很多厂商在做,也有很多著名的防火墙,IPS入侵检测、防病毒、打补丁、补丁分发等等,这是我们一开始用的工具,在业界俗称“三大板”。后面就是向积极的被动防御的方面转变,就是发现问题之后怎么样能够积极应对,主要还是侧重于应用黑客攻击事件。第三个进度就是积极的防御。主动监测、主动分析、主动响应。第四个阶段就是威胁感知的智能防御,包括建立威胁情报库、建立态势感知平台。这是个方向,因为习总书记也曾谈到安全非常重要。再一方面就是要对安全尽快建立安全感知的系统。最后我们看到的就是攻防兼顾能力相涨,要有一个进攻反制的体系。现在这个绝大多数金融机构都没做。

从金融机构划分来讲,小的金融机构大多数是做一些基础防护和被动防御。现在几大银行,包括光大、民生等银行是在第三、第四阶段,就是怎么做积极的防御和做态势感知和威胁情报的一些分析。真正要做到第五个阶段,攻防兼顾,这个还有一定的难度。

研究思路

研究的总体思路,从边界防御向全面防御;从基础设施建设向能力建设;从传统工具的防护向安全智能的防御;从外部引入一些技术到自主培养一些人员和能力;从保护企业自身安全到和各个相关的外部机构共建共享。这个是当前信息安全的一些发展趋势。研究的目标是针对商业银行在信息安全体系建设上的不足,在借鉴现有成熟理论框架基础上,响应以攻防能力建设为导向的安全发展态势,实现“攻防兼顾,能力相长”的目标。其研究路径是基于“攻防兼顾,能力相长”的目标,以能力建设为导向,在商业银行现有较为成熟的防御体系的基础上,建设一个攻击和防御兼顾的体系,以抵挡商业银行面临的外部攻击和内外部威胁。

攻击和防御兼顾的体系框架

防御体系。首先要有一个安全运营的平台,所有的平台系统现在都叫态势感知平台。它的模型是基于最基础的PPDR的模型建立的,从防护、监测、响应、恢复这四个过程当中。一个是数据采集平台,一个是模型训练平台。通过数据采集和模型训练,能够达到及时的事前及时的预警,事中及时的响应,事后做大数据分析,这是我们当前从防守方面做的平台。这个角色我们认为是红军角色,它采用的技术都是防御技术,用的防御产品。

比较弱的是攻击能力相关的系统。体现在不管是从工具、人员、体制,都没有一套好的做法和想法。所以也建立一个模型,叫做探测,然后攻击,DA,这个是评估,这边是I,就是改进,是这样一个模型。我们希望通过这个模型叫DAAI,通过这个模型能把安全的攻击体系建立起来。这个模型当中包括有武器管理支撑的平台,对所有的攻击技术进行管理,能力管理的一个平台,还有靶场管理的支撑平台。大家更关注的是有边的体系怎么建设。

左边基本是商业银行现有的业界公认的防御体系由美国国防部的PPDR的模型来进行防护、监测、响应恢复。以前我们左边的防御更多的是用防火墙、IPS,包括现在用的WAF防火墙、各种IDS漏洞扫描等等。现在又加个拟态防御,这是我们行跟邬院士在做拟态防御系统,在工行也是做成功的。上面用的是数据采集和模型序列平台,建立一个安全运营的平台,这是整个防御体系。

攻击体系。基于“攻防兼顾,能力相长”的理念,总体来讲是按照一个体系、三个支撑平台和两个管理机制来进行建设。一个体系就是从攻击角度来讲,黑客攻击首先会在网络当中进行检测,检测完就实施攻击。DA就是实施攻击。攻击完了以后就评估攻击效果然后再改进。所以叫DAAI模型。我们引进了攻击体系的规划研究,旨在建立起攻击体系和防御体系的平衡,将传统的被动式防御体系转变为主动防御和被动防御相结合的新型攻防体系。我们建设的攻击体系主要包含靶场管理支撑平台、武器管理支撑平台、能力管理支撑平台,旨在全面地增强商业银行攻防团队的攻击能力,并通过探测扫描、漏洞挖掘、仿真靶场攻击等途径,发现银行信息安全防御体系存在的薄弱环节和安全短板,并及时地修补漏洞、进行安全加固等。该体系的驱动力既有来自整个闭环攻击体系的内生动力,也有来自防御体系的外在动力。

靶场应用实例

靶场管理支撑平台。这三个平台中,靶场建设是基础、武器管控是前提、人员能力是核心。首先我们为什么要建靶场。大家都知道朱日和,它是我们多兵种合同训练基地,这是我们国家为了在不造成实际的人民财产损失的前提下,模拟实战,而建立的仿真靶场。我们建靶场的目的也一样,我们也希望在不影响生产稳定的前提下,引入各方力量,例行地在受控的仿真环境中,充分实战演练,真正提升实战能力,事实上美国早在10年前就启用网络曼哈顿计划,建立了一个网络仿真靶场,我们也是要借鉴美国军方的一些先进做法,建立一个金融领域的朱日和。我们现在也想建立这么一个靶场,这个靶场就是对所有银行的金融的相关的系统,我们全部部署一套模拟环境,然后攻击和防守都可以在这上面做。这里面包括最主要的是立体仿真,就是所有的仿真安全防护,包括仿真数据、硬件,各种服务器、网络设备,仿真的各种应用,手机银行、poss、Swift等等,还有各种仿真系统,IBS、WAF、IDS,防守的人可以在这个平台上看看,做漏洞,做防守。我们的靶场核心功能包括立体仿真、过程监控、研判裁决、数据接口等模块。其中立体仿真是依托工商银行现有较为全面的业务体系和较为完善的测试环境,搭建一个从安全防护、应用系统、硬件设备、系统数据,甚至连背景流量都和生产高度一致的这样一个仿真环境。过程监控模块通过综合展示、热点聚焦、过程回放等实现演练过程全程监控。研判裁决模块从业务、数据、系统等不同层面的受损程度来综合评估演练的效果。数据接口模块则包括向人工智能模型输出海量样板数据,通过能力汲取快速掌握别人的攻击技巧等等。

以手机银行为例做一个攻防演练,首先是明确任务,然后利用靶场的调度管理机制,准备手机银行的立体仿真环境。接着就是利用靶场的用户管理功能来授权、分配用户,不仅是行内的安全人员,还邀请三个安全公司进行测试攻击,组织开展模拟测试,以及漏洞分析,最后结束任务,恢复系统,总结行为,并且调用数据接口,为后续的数据分析做准备。

武器管理支撑平台

武器管理支撑平台。靶场只是我们的练兵的场所,但黑客之所以成为威胁,还在于他们手里特殊的工具,也就是武器。武器管理的支撑很重要,但是武器也要做管理,所以我们这个平台主要是做武器的管理支撑平台。如武器怎么引入,我们通过多种渠道收集武器,为确保武器的先进性,我们要密切关注国际着名黑客组织的最新动态,一些通用的武器,针对银行业务的定制武器做分类。是第三方买入还是行内自编的,或者直接用国际上著名的一些工具软件,这些都是武器的引入。武器管理很重要的一个方面是妥善管控,因此我们在纳入武器库前开展了针对性的风险测评工作,确保武器贴近业务,对于这个武器我们要做测试,它的破坏程度、渗透类型等,对应它的权限最后给出一个定级。最后在武器的领用方面,我们进行了严格的权限控制及追踪审计,并限制了一些高风险武器在敏感业务场景和敏感时段的使用,这是武器管理的支撑的平台。

能力管理支撑平台

能力管理支撑平台,就是培养人才的。有了靶场,也有了武器,这还不够,最终的目的是提升攻防能力,而且这个能力提升过程要有序、可控,因此还要建立一个能力管理支撑平台,包括培训、考试、实践、评估等模块。我们发现信息安全顶级的人才特别难找。如在今年的“护网”行动当中,包括网鼎杯的竞赛当中,包括人民银行和公安部、银监会一起组织的金融业的竞赛,最缺的就是人员。人员的培养,我们也建立一套人员培养的机制,包括培训模式、考试模式、实战模式和评估模式等等,对人员的能力和整个的红蓝方的努力做很多的培养。

人员管理机制

为了更加有效、可控地提升攻防能力,我们不仅要有良好的技术支撑平台,我们还要有完善的安全管理机制,因此我们也是结合攻防技术的特点,针对性地制定了配套的人员管理机制和外部交流机制。人员管理包括两方面:一是技能把关,就是怎么样能够他进入体系前,我们要做专业匹配度的审核、专业知识的考核。在体系当中会有很多竞争淘汰激励机制来给他做提升。最后如果要离开的时候也会给他做一些评定方向,还有控制,如脱密处理、权限回收、离岗审计等。

外部合作机制

最后在外部合作机制方面,我们坚持“请进来与走出去”并举的思想,通对抗演练、专业研讨、课题共建、标准建设、友谊比赛等多种形式,强化能力的引入与融合。在多个层次开展与金融行业的合作,实现共享、共建。如在标准方面我们牵头做了银行业的信息安全的标准的培训。还有就是对新技术研究方面跟很多公司积极开展合作,还有参加各种内外部的攻防比赛,积极开展和同业的交流。总之,通过攻防兼顾的方式培养很有效果。

实践效果

行业层面,通过本课题,我们推动攻防领域一些金融行业标准的建立,并形成“攻防兼顾,能力相长”的体系框架,为解决全行业的共同难点提供了可行性路径。各个地方有很多的大赛。还有今年特别是我们在公安部组织的“护网2018”活动中,我们行是五家重点的攻击对象,这五家重点攻击对象,40多支队伍全都能攻,其他的攻击对象,每个攻击都是十几家攻击,我们是40多家全部同时攻击,我们排名在整体排名第三,国电是第一,阿里第二, 50多家受攻击的企业。但是我们在五家重点攻击对象中排名第一。40多个战队全部攻击,我们排名第一。

我们也形成了一些标准,并且输出给行业。我们还提供了可推广、可落地的攻防兼顾的体系框架,供同业参考,能够大量减少全行业对攻防体系的投入,并有效提升整体的信息安全体系。谢谢大家!

声明:本文来自CIO时代网,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。