王心玉 王云峰

近幾年來(lái)，隨著互聯(lián)網(wǎng)金融的興起，銀行機(jī)構(gòu)大力推進(jìn)“線下業(yè)務(wù)線上化、線上業(yè)務(wù)移動(dòng)化”，紛紛運(yùn)用大數(shù)據(jù)、云計(jì)算等相關(guān)新技術(shù)提升科技能力。在此背景下，銀行機(jī)構(gòu)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也出現(xiàn)新的變化，相比國(guó)有大行，中小銀行信息科技力量相對(duì)薄弱一些，安全管理人員數(shù)量和能力也存在一定差距，然而網(wǎng)絡(luò)安全要求卻不能降低。如何踏實(shí)有成效地做好網(wǎng)絡(luò)安全工作、平衡好業(yè)務(wù)發(fā)展與安全風(fēng)險(xiǎn)之間的關(guān)系是中小銀行普遍面臨的一道難題。

江蘇銀行自成立以來(lái)，始終堅(jiān)持在傳承中提升、在創(chuàng)新中發(fā)展、在變革中跨越，致力于打造最具互聯(lián)網(wǎng)大數(shù)據(jù)基因的銀行。推動(dòng)互聯(lián)網(wǎng)金融業(yè)務(wù)快速發(fā)展的同時(shí)，注重抓好網(wǎng)絡(luò)安全建設(shè)與風(fēng)險(xiǎn)防控工作，在這個(gè)過(guò)程中也積累了豐富的實(shí)戰(zhàn)經(jīng)驗(yàn)。具體來(lái)講，江蘇銀行的網(wǎng)絡(luò)安全工作主要圍繞“控得住、看得見(jiàn)、無(wú)感知、自防御”四個(gè)方面開(kāi)展。

努力構(gòu)建“控得住”的安全，提升自主可控能力

在IT架構(gòu)設(shè)計(jì)和系統(tǒng)開(kāi)發(fā)運(yùn)維方面，江蘇銀行堅(jiān)持自主設(shè)計(jì)、適度外包的策略，對(duì)前端、渠道、核心等重要業(yè)務(wù)系統(tǒng)都能做到自行設(shè)計(jì)、開(kāi)發(fā)和維護(hù)，所有系統(tǒng)源碼均由行方管理、編譯、投產(chǎn)，大大降低了外包的依賴，在此過(guò)程中培養(yǎng)了一批架構(gòu)師、設(shè)計(jì)師和資深程序員隊(duì)伍。此外，對(duì)重要外包服務(wù)商還進(jìn)行了分級(jí)分類(lèi)管理，開(kāi)展盡職調(diào)查和現(xiàn)場(chǎng)風(fēng)險(xiǎn)評(píng)估，及時(shí)提示存在的風(fēng)險(xiǎn)并約談外包商進(jìn)行整改，有效降低了外包商風(fēng)險(xiǎn)。在網(wǎng)絡(luò)安全管理方面，江蘇銀行建立了一支由架構(gòu)、安全、網(wǎng)絡(luò)、大數(shù)據(jù)等跨團(tuán)隊(duì)協(xié)同作戰(zhàn)的聯(lián)合安全小組，由軟件開(kāi)發(fā)團(tuán)隊(duì)指定專員作為開(kāi)發(fā)安全員，組建開(kāi)發(fā)安全小組，每周進(jìn)行安全監(jiān)管要求、行業(yè)動(dòng)態(tài)、開(kāi)發(fā)經(jīng)驗(yàn)和應(yīng)用安全要點(diǎn)梳理分析，提高開(kāi)發(fā)安全知識(shí)和能力，同時(shí)進(jìn)一步提升應(yīng)用系統(tǒng)安全規(guī)范性和安全防控水平。完善安全管理和開(kāi)發(fā)基線，自上而下地將安全理念和要素滲透到應(yīng)用系統(tǒng)生命周期的需求、設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、部署和運(yùn)維各個(gè)層面，同時(shí)自下而上對(duì)各層面安全控制進(jìn)行有機(jī)整合，提高系統(tǒng)整體可控性。

持續(xù)推進(jìn)“看得見(jiàn)”的安全，掌握全網(wǎng)風(fēng)險(xiǎn)態(tài)勢(shì)

首先要“看得全”，建立資產(chǎn)自動(dòng)化掃描與安全監(jiān)測(cè)平臺(tái)，全量管控網(wǎng)絡(luò)資產(chǎn)和運(yùn)行狀態(tài)、域名等關(guān)鍵網(wǎng)絡(luò)資源，結(jié)合各應(yīng)用服務(wù)所在的操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)、開(kāi)發(fā)框架等基礎(chǔ)環(huán)境版本和應(yīng)用控制基線，以應(yīng)用系統(tǒng)為單位形成完整的安全檔案，為風(fēng)險(xiǎn)問(wèn)題的分析定位做好全面的基礎(chǔ)信息保障。其次還要“看得透”，實(shí)現(xiàn)安全風(fēng)險(xiǎn)的可視化，通過(guò)建設(shè)集中化的日志分析和全流量威脅感知平臺(tái)，實(shí)時(shí)分析海量安全日志和關(guān)鍵區(qū)域網(wǎng)絡(luò)流量，同時(shí)關(guān)聯(lián)外部威脅情報(bào)，深度挖掘風(fēng)險(xiǎn)事件，及時(shí)發(fā)現(xiàn)訪問(wèn)異常、病毒事件、惡意攻擊、內(nèi)部違規(guī)等行為，結(jié)合業(yè)務(wù)特點(diǎn)形成關(guān)聯(lián)化的風(fēng)險(xiǎn)場(chǎng)景，展示出全局性、綜合化的風(fēng)險(xiǎn)態(tài)勢(shì)。最后還要“看得準(zhǔn)”，通過(guò)大數(shù)據(jù)、人工智能技術(shù)，推動(dòng)銀行風(fēng)險(xiǎn)管理的智能化轉(zhuǎn)型。江蘇銀行自主研發(fā)了“月光寶盒”大數(shù)據(jù)風(fēng)控平臺(tái)，通過(guò)黑名單、反欺詐、評(píng)級(jí)評(píng)分、風(fēng)險(xiǎn)定價(jià)、授信額度測(cè)算、決策審批、智能調(diào)查、風(fēng)險(xiǎn)預(yù)警等流程，運(yùn)用于“e融”系列網(wǎng)貸產(chǎn)品和傳統(tǒng)授信業(yè)務(wù)的貸前、貸中、貸后的全流程管理中，有效提高了風(fēng)險(xiǎn)精細(xì)化管理的有效性和時(shí)效性。

深度定制“無(wú)感知”的安全，助力業(yè)務(wù)安心上線

中小銀行自身資源有限，力求讓安全成為一項(xiàng)“透明化”的標(biāo)準(zhǔn)服務(wù)。對(duì)于應(yīng)用開(kāi)發(fā)人員，只要專注于業(yè)務(wù)功能開(kāi)發(fā)，無(wú)需過(guò)多了解安全模塊內(nèi)部的具體實(shí)現(xiàn)，在架構(gòu)設(shè)計(jì)階段就明確安全需求和目標(biāo)，相應(yīng)地加載WEB應(yīng)用動(dòng)態(tài)防護(hù)、APP安全加固等防護(hù)措施，并結(jié)合應(yīng)用場(chǎng)景提供安全短信接口、防注入過(guò)濾器等成熟組件給應(yīng)用調(diào)用，逐步達(dá)到開(kāi)發(fā)安全的流程標(biāo)準(zhǔn)化、實(shí)現(xiàn)模塊化。對(duì)于測(cè)試人員，可專注于業(yè)務(wù)功能測(cè)試。在不增加測(cè)試工作量的基礎(chǔ)上，通過(guò)搭建交互式的自動(dòng)化安全測(cè)試平臺(tái)，將業(yè)務(wù)功能測(cè)試的流量記錄下來(lái)，實(shí)時(shí)導(dǎo)入到安全測(cè)試平臺(tái)，平臺(tái)自動(dòng)加載安全攻擊知識(shí)庫(kù)，即可獲得測(cè)試結(jié)果。這樣一來(lái)，測(cè)試人員在完成功能測(cè)試的同時(shí)后臺(tái)同時(shí)也完成了安全測(cè)試，并且功能覆蓋全面，減少了中間環(huán)節(jié)，助力業(yè)務(wù)安心上線的同時(shí)大大提升了工作效率。對(duì)于普通客戶，在不影響客戶體驗(yàn)的前提下增強(qiáng)交互的安全性。譬如，我們?cè)谑謾C(jī)客戶端預(yù)置的生物探針、設(shè)備指紋等組件以及后端業(yè)務(wù)反欺詐規(guī)則，客戶在前端使用過(guò)程中完全無(wú)感知，實(shí)際后端已完成了高精度的人機(jī)行為識(shí)別、客戶行為畫(huà)像和業(yè)務(wù)風(fēng)險(xiǎn)控制。

巧妙布設(shè)“自防御”的安全，讓攻擊者“看不懂”

常見(jiàn)的攻擊行為是攻擊者發(fā)起攻擊，找到一個(gè)薄弱點(diǎn)進(jìn)行突破，而防守方只能被動(dòng)防御。為打破這種不對(duì)稱狀態(tài)，我們抓住網(wǎng)絡(luò)攻防中的兩個(gè)關(guān)鍵點(diǎn)，一方面利用欺騙防御手段，在互聯(lián)網(wǎng)上布設(shè)偽裝代理與追蹤溯源系統(tǒng)，在黑客發(fā)起攻擊的必經(jīng)之路上構(gòu)造陷阱和高交互蜜罐，與真實(shí)的業(yè)務(wù)系統(tǒng)綁定并隱藏其中，一旦觸碰，攻擊者的行為必定留痕暴露，從而形成黑客畫(huà)像，以利于追蹤溯源。此舉不僅可以混淆黑客攻擊目標(biāo)，同時(shí)能夠精確感知攻擊的行為，并借助威脅關(guān)聯(lián)分析，準(zhǔn)確定位出哪些是針對(duì)性的攻擊，進(jìn)而與現(xiàn)有防御體系聯(lián)動(dòng)，在其發(fā)起攻擊的初期將其阻斷，讓攻擊者看不懂。上線一年來(lái)，共采集1萬(wàn)余個(gè)攻擊源數(shù)據(jù)，隔離10萬(wàn)余次攻擊，有效提升了互聯(lián)網(wǎng)安全防御水平。另一方面利用動(dòng)態(tài)防護(hù)手段，在應(yīng)用之前部署一道機(jī)器人防火墻，通過(guò)對(duì)交互報(bào)文內(nèi)容持續(xù)動(dòng)態(tài)變化，增加服務(wù)器行為的不可預(yù)測(cè)性，讓攻擊者無(wú)法識(shí)別目標(biāo)進(jìn)行下一步滲透，其制作的腳本程序或自動(dòng)化工具發(fā)起的請(qǐng)求也無(wú)法生效。從實(shí)際運(yùn)行情況來(lái)看，已阻斷的異常流量約占到總訪問(wèn)量的40%以上，該項(xiàng)技術(shù)的使用不僅有效防范了應(yīng)用滲透攻擊、漏洞掃描等行為，也給后臺(tái)應(yīng)用減輕了壓力，節(jié)省了不必要的資源消耗。

以上是江蘇銀行網(wǎng)絡(luò)安全工作的幾點(diǎn)做法和體會(huì)，通過(guò)充分評(píng)估配置的資源條件，優(yōu)化管理模式，在保障業(yè)務(wù)高可用的前提下，安全工作以快速解決問(wèn)題為目標(biāo)，能從原理上防護(hù)的不去維護(hù)復(fù)雜的規(guī)則，能自動(dòng)化解決的堅(jiān)決減少重復(fù)性人力操作，并適當(dāng)跟蹤引入新的安全防護(hù)技術(shù)，甄選優(yōu)秀安全產(chǎn)品和解決方案，聯(lián)動(dòng)現(xiàn)有安防體系，發(fā)揮立竿見(jiàn)影的效果。

金融和科技之間的融合不斷加深，銀行信息與網(wǎng)絡(luò)安全的機(jī)遇和挑戰(zhàn)并存。隨著云計(jì)算、大數(shù)據(jù)、區(qū)塊鏈、人工智能等新技術(shù)的不斷發(fā)展和應(yīng)用，信息與網(wǎng)絡(luò)安全的防護(hù)必將更加科學(xué)、高效和可靠，江蘇銀行將持續(xù)加大金融科技研究和應(yīng)用實(shí)踐，切實(shí)提高技術(shù)的創(chuàng)新能力，打造自身核心競(jìng)爭(zhēng)力，為客戶提供更加便捷、安全、貼心的智能金融服務(wù)。