文 /中国民生银行信息科技部李吉慧
当前全球网络与信息安全领域风波不断,全球网络战威胁进一步加剧。银行业具备国家关键信息基础设施单位和国家经济推动器的双重属性,一直以来都是各国网络战和网络经济犯罪分子的重点目标。随着银行业全面数字化转型,金融业务模式、服务渠道和技术基础都发生了深刻变化,网络安全风险与金融安全风险相互交织渗透。为提升网络安全攻防对抗能力,防范系统性金融风险,民生银行积极运用数字化技术手段,从安全顶层架构设计、基础防护体系建设、运营保障能力建设、实战人才培养等多个方面,不断优化自身的网络安全对抗作战体系,全面强化网络安全攻防实战能力,保障金融业务的安全稳定运行,扎实筑牢金融网络安全屏障。
强化安全顶层规划设计
民生银行履行社会责任担当,始终立足时代前沿和战略全局把握安全工作,秉承“安全攻防能力是网络安全核心”的理念,紧跟国家“十四五”规划步伐,与时俱进地谋划金融科技发展蓝图,推进数字化转型战略,将安全建设纳入金融科技发展规划,加速推进全集团一体化网络安全攻防保障能力建设。
在体制机制方面,采取一系列措施优化安全管理架构。党委重视,成立由一把手任组长的网络安全工作领导小组,明确责任;资源聚集,持续增加网络安全投入,大力支持网络安全技术创新和解决方案研究与推广;领导主抓,以解决问题为导向,采用穿透式管理模式进行全行工作部署;考核问责,制定党委网络安全工作考核问责机制,落实安全工作考核评价。
在安全规划方面,以信息科技三年工作规划为契机,从民生银行业务战略、IT战略、政策指引等,参考等保2.0和关基设施安全保护等标准体系框架,梳理出“数字化安全赋能、数字化安全运营、数字基建安全防护”的三层安全架构建设愿景,明确了构建以实战能力为目标的集团一体化安全运营体系建设内容。
在机构岗位方面,设置专门机构明确职责分工。在总行设置网络安全板块,履行国家关键信息基础设施安全防护责任,其中,安全管理处室负责全行整体网络安全的归口管理和体系规划,建立健全网络安全和数据安全管理及技术保障措施;安全应用处室负责推进全行安全应用技术措施研发、集成与运营;安全运营处室负责建立网络安全监控指挥中心,开展7×24小时常态化安全监控和应急响应。
优化基础安全防护体系建设
民生银行基于网络安全纵深防御体系思想,结合业界最佳实践经验,建立了贯穿网络安全、终端安全、系统安全、应用安全的纵深防护体系,形成体系化、专业化、标准化的整体解决方案。
在网络安全方面,合理划分网络安全域,实现网络有效隔离。基于垂直分层、水平分区的原则,将网络环境根据功能属性、安全差异划分为不同功能区域,具有相同安全防护需求的受保护资源集中于一个网络安全区域,明确不同网络安全域之间的访问规则基线、业务交付及信息系统维护应遵从的网络访问规则,有效防范跨区域的横向及纵向攻击,保障各区域之间的边界安全。
在终端安全方面,已建立覆盖全行的终端安全防护体系,以“主动防御”理念为基础,持续加强终端风险全面管控,实现了对终端准入控制、资产盘查、病毒查杀、补丁加固、行为监控以及隔离断网能力。民生银行对入网的各类终端设备强制进行准入安全检查;全面部署统一的桌面管理系统和杀毒软件,建立应用商店推行终端软件标准化管理,未经准入审批的软件严禁入网运行;全面部署终端EDR威胁检测工具,全量采集、分析终端异常行为数据,做到威胁主动发现、及时处置。
在系统安全方面,民生银行已制定全行统一的主机配置安全基线标准,全量部署主机安全加固系统,针对重要业务,基于主机安全系统配置重要主机进程白名单和网络连接基线,防止服务器发生未经过认证或授权的程序运行和访问行为。通过推进虚拟机和容器安全的协同,实现系统虚拟化安全防护,将计算、网络、存储资源进行池化管理,实现操作系统和应用程序空间安全和环境隔离,提供动态化、隔离化的系统安全服务。
在应用安全方面,民生银行全面推进“嵌入式”应用安全防护能力,在网络边界串接部署WAF应用安全防火墙,通过“一站一策”实现应用精准安全防护;在应用服务器探索部署RASP运行时安全防护程序,通过高危函数、敏感操作监控等策略实现应用层威胁监测预警,有效补充传统基于攻击特征的NDR等措施在应对零日漏洞攻击时的安全能力不足。
加强数字化安全运营能力建设
民生银行以实战化思想为核心,以平战结合为目的,围绕体系化、常态化构建网络安全防御能力,将安全产品的堆叠转换为安全能力的输出,充分从攻防实战角度,从监测预警、响应处置、协同联动、追踪溯源等维度构建自身的安全运营防御体系。
在监测预警方面,已建立基于网络安全、终端安全、系统安全、应用安全等多维度的异常监测指标体系和预警机制,针对关键信息技术资源、网络攻击情况开展实时监测,对监测指标的异常波动及时预警。充分运用安全威胁情报,针对安全漏洞、勒索软件、APT组织攻击等情报,建立专业团队开展情报信息分析研判,发掘出可行动性的预警情报,指导安全响应处置等工作。
在响应处置方面,民生银行持续推进安全运营工作自动化转型,将原有以SIEM为单核的安全运营工作模式转化为以SIEM和SOAR双核驱动的自动化安全运营工作模式。SIEM完成攻击告警自动化归并和辅助分析;SOAR完成安全事件自动化响应和处置,释放安全运营工作所需人力资源。民生银行持续优化安全事件处置预案,结合最佳实践,使预案中涉及的场景覆盖范围更加丰富,事件处置动作精准可落地。目前,自动化处置场景已包括了攻击源封禁、失陷终端隔离、失窃账号冻结、未知恶意样本查杀、钓鱼邮件删除等主要风险场景。
在协同联动方面,民生银行已构建贯通行业网络空间力量的“水平”联防联控机制和监管与下属机构的“垂直”协同联动机制。民生银行与国家职能机构、网络运营商、安全厂商建立无缝对接机制,实现了安全封禁、威胁情报共享、攻击流量清洗、钓鱼网站关停、协同演练等能力,并依托行业安全威胁情报,辅助安全决策。此外,民生银行建立了全行网络安全工作应急联络机制,从平台、技术、流程、人员等多个维度落实措施,实现全行安全威胁“快速发现、快速处置”工作目标。
在追踪溯源方面,加强威胁情报应用和攻击溯源技术研究。民生银行成立多个专项技术研究小组,包括蜜罐诱捕、情报溯源、恶意样本逆向分析、攻击指纹分析等,积极参与行业威胁情报课题研究。此外民生银行持续开展业务安全防护,配合公安机关打击地下黑产组织,近三年来识别跟踪涉黑、涉诈黑产攻击团伙几十个,持续压降了我行在同业中的对公、对私涉诈账户数量排名。
实战演练培养红蓝对抗人才
民生银行围绕网络安全技术对抗,在培养实战型人才队伍和实战措施方面不断历练,系统提升攻防两端技术能力。
在攻防实战演练方面,民生银行每年常态化开展多轮次全行级别的“真攻真防”安全演练。在2023年的安全演练中固化了27个应急处置场景,修订了7份应急响应预案。通过常态化的实战演练、标准化的事件分析和应急响应流程,验证针对各种攻击场景下的发现和应急处置能力,形成“肌肉记忆”,从而提升应急团队的快速研判和响应能力。上述工作常态化的有序开展,确保了重要保障时期安全防护工作的有效落地。
在人才队伍培养方面,民生银行持续完善网络安全攻防人才教育训练和人才培养机制。建立网络安全高端人才发现、选拔、使用机制,坚持培养和引进并重,培养攻防兼备的专门队伍;建立战练结合的网络安全教育训练体系,建设网络安全教育训练基地,突出实战实训,加强高端人才培养和能力提升;组织力量,积极参加公安部组织的“网鼎杯”等网络安全比武竞赛,并组织开展行业内网络安全比武竞赛,练战结合,不断发现选拔和培养高端专业人才,壮大队伍,大力提升网络攻防队伍实战能力;积极参与国家网络攻防实战演习,多次获得优异成绩。
在实战装备能力提升方面,民生银行构建了“武器库”以提升攻防实战能力。武器库是攻防队伍的基础装备,也是衡量企业网络安全技术对抗能力的重要基础。同时,民生银行持续开展应用安全和基础组件安全漏洞研究、攻击方法研究等基础安全工作,强化漏洞储备及团队作战能力,加强红蓝队协同联动,从漏洞分析、风险排查、安全加固、应急处置等方面形成合力。攻击与防守能力的相互促进,形成整体安全能力不断提升的良性循环。
结 束 语
网络安全是一个动态发展、持续对抗的过程。习近平总书记强调“没有网络安全就没有国家安全”,新时期网络安全工作使命光荣、责任重大,民生银行将深入学习贯彻党的二十大精神,以三年规划为契机,汲取当前国际冲突下的网络战经验,不断提升安全攻防实战能力,进一步做好极端场景和常规环境下的网络安全保障工作,落实好关键信息基础设施运营者的主体责任,为数字经济高质量发展保驾护航。