屈盛知

隨著我國信息化的快速發(fā)展，我國銀行業(yè)快速向線上化、移動化方向轉型，信息化程度已成為銀行業(yè)競爭的重要指標。商業(yè)銀行大力建設手機銀行、網(wǎng)上銀行、直銷銀行等系統(tǒng)，將其作為業(yè)務延伸的重要渠道，信息化有力地支撐了銀行業(yè)務的快速發(fā)展，特別是云計算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等一系列技術先后取得重大突破，并逐步應用到各種金融業(yè)務場景中，極大地促進了金融創(chuàng)新，但也帶來新的網(wǎng)絡安全問題。分布式拒絕服務攻擊（即：DDoS攻擊）、高級可持續(xù)威脅攻擊（即：APT攻擊）、社會工程學、撞庫攻擊等手法不斷推陳出新，金融行業(yè)成為網(wǎng)絡攻擊的重災區(qū)。據(jù)最新發(fā)布的《全球關鍵信息基礎設施網(wǎng)絡安全狀態(tài)分析報告》顯示，33.1%的網(wǎng)絡攻擊事件發(fā)生在金融領域，是占比最高的領域。商業(yè)銀行必須建設符合自身實際的網(wǎng)絡安全防御體系，通過技術、管理等方面，全方位應對包括外部威脅和內(nèi)部漏洞等各類網(wǎng)絡安全風險。

福建省農(nóng)村信用社聯(lián)合社（以下簡稱“福建農(nóng)信”）自2005年成立以來，承擔著對福建省內(nèi)67家農(nóng)信社（農(nóng)商行）“管理，指導，協(xié)調(diào)，服務”的職責，在信息系統(tǒng)建設方面統(tǒng)籌推進，積極開拓，取得了巨大進步，帶領全省農(nóng)信成為福建農(nóng)村金融服務的主力軍。 但由于歷史的原因，福建農(nóng)信在信息化進程及網(wǎng)絡安全保護水平上與國內(nèi)大型商業(yè)銀行相比仍存在一定差距。分析近年來在網(wǎng)絡安全建設方面的薄弱環(huán)節(jié)，結合福建農(nóng)信在網(wǎng)絡安全方面探索實踐經(jīng)驗，本文提出了從縱深防御、收斂防御、重點防御、主動防御等四個方面進行網(wǎng)絡安全防御的建設思路，以構建具有農(nóng)信特色的多層次網(wǎng)絡安全防御體系。

福建農(nóng)信網(wǎng)絡安全痛點分析

近年來隨著福建農(nóng)信各項業(yè)務的快速發(fā)展，福建農(nóng)信也在不斷加大對信息科技建設的投入，提升對網(wǎng)絡安全的管控力度，并專門成立了網(wǎng)絡安全管理專職部門，為“科技引領業(yè)務”保駕護航。但是由于在網(wǎng)絡安全建設方面積累時間短，人才短缺等問題，網(wǎng)絡安全保護還存在依靠“堆產(chǎn)品、壘高墻”現(xiàn)象，網(wǎng)絡安全防御缺乏體系化。

（一）管理制度規(guī)范制定容易落地難

目前，福建農(nóng)信開展了ISO27001信息安全管理體系建設，按照公安機關要求開展等級保護等工作，以提升網(wǎng)絡安全管理水平。但實踐中存在ISO27001認證容易落地難，等級保護工作基本達標，但短板不少，核心問題是缺乏可以落地的技術手段。

（二）專職團隊人少事雜綜合素質(zhì)欠缺

省聯(lián)社及行社專職從事網(wǎng)絡安全工作的員工數(shù)量有限，且部分員工的專業(yè)知識儲備不足。隨著網(wǎng)絡安全形勢的日趨嚴峻，網(wǎng)絡安全已經(jīng)上升為國家戰(zhàn)略，網(wǎng)絡安全人員缺口越來越大。另一方面，“合規(guī)”是網(wǎng)絡安全工作的基本要求，但不少機構的網(wǎng)絡安全部門還承擔著大量合規(guī)管理的職能，對內(nèi)需要對接風險管理、內(nèi)部審計部門，對外需要配合銀保監(jiān)、公安、國安等監(jiān)管部門的各類檢查。網(wǎng)絡安全專業(yè)知識儲備不夠、素質(zhì)參差不齊、工作內(nèi)容龐雜，一定程度上給網(wǎng)絡安全相關規(guī)范要求的落實貫徹增加了難度。

（三）技術防御手段和理念亟待加強

技術防御手段網(wǎng)絡安全通過“老三樣”加強對網(wǎng)絡層面的安全，即通過防火墻對服務端口進行屏蔽，通過旁路部署IDS（即入侵檢測系統(tǒng)）對網(wǎng)絡流量進行分析，通過部署防病毒軟件實現(xiàn)病毒防護。這些措施都側重于不斷的“堆產(chǎn)品、壘高墻”，面對層出不窮的網(wǎng)絡攻擊，無法有效進行實時檢測和阻斷，特別是針對應用層的滲透和攻擊，更無法知曉整網(wǎng)信息安全態(tài)勢，不能形成立體的、有效的防護。

（四）綜合網(wǎng)絡安全管理門戶建設不足

網(wǎng)絡安全工作涉及的點多面廣，通過手工管理各類安全問題和漏洞，無法形成閉環(huán)，效率不高，更無法通過各類安全問題洞察全局風險，采取應急措施和有效應對策略，解決網(wǎng)絡系統(tǒng)運營中存在的問題。在建立健全信息安全體系的時候，還是需要重視對統(tǒng)一的網(wǎng)絡安全管理門戶的建立，加強對網(wǎng)絡安全的統(tǒng)一管理。

福建農(nóng)信網(wǎng)絡安全防御體系構建

針對網(wǎng)絡安全建設方面的痛點，福建農(nóng)信從縱深防御、收斂防御、重點防御、主動防御四個方面發(fā)力，構建多層次的網(wǎng)絡安全防御體系。首先，構建信息安全管理體系，打造縱深防御層。以ISO27001、等級保護安全點為基礎，形成完備可執(zhí)行的網(wǎng)絡安全制度建設，以網(wǎng)絡安全評測審計為手段，以網(wǎng)絡安全指標度量為依據(jù)，實現(xiàn)網(wǎng)絡安全建設PDCA良性循環(huán)，構筑一個涵蓋開發(fā)運維等安全領域的縱深信息安全管理體系，建設一個可落地管理體系的綜合網(wǎng)絡安全管理平臺。其次，構建收斂的防御層，集中管控互聯(lián)網(wǎng)出入口、信息資產(chǎn)暴露面收斂防御面，減少被攻擊的邊界范圍。再次，集中力量重點防御常見薄弱點，區(qū)分防御的輕重緩急，因材施策，避免“眉毛胡子一把抓”，形成高風險高防御的重點防御層。最后，打造主動防御層，通過定期紅藍對抗、欺騙防御等方式主動出擊，以攻為守，穩(wěn)步提高網(wǎng)絡安全防御水平。通過四個方面統(tǒng)籌推進，逐步形成一個多層網(wǎng)絡安全防御體系（如圖1）。

（一）縱深防御，構筑安全管理體系

1.統(tǒng)籌各類安全要求，固化安全關注內(nèi)容

福建農(nóng)信信息安全管理體系綜合了監(jiān)管部門、風險審計部門、各行社及ISO27001、等級保護等多方面網(wǎng)絡安全要求，以ISO27001體系和等級保護要求為基礎，綜合監(jiān)管、風險審計及行社實際，梳理網(wǎng)絡安全關注點。以ISO27001安全域為基礎，梳理合并舊制度、制定新制度，統(tǒng)一管理網(wǎng)絡安全制度，將梳理出的網(wǎng)絡安全點全部融入各類網(wǎng)絡安全制度中，形成了省聯(lián)社網(wǎng)絡安全制度四級文件。

2.融入當前運轉流程，減少體系執(zhí)行阻力

網(wǎng)絡安全防御若新建流程，定會增加全體員工的負擔，久之必無法有效執(zhí)行。福建農(nóng)信將其充分融入已有的CMMI3、ISO20000流程和員工日常工作，避免“兩張皮”。參考安全開發(fā)生命周期概念，將網(wǎng)絡安全點融入到各階段中，并通過研發(fā)體系的質(zhì)量保證工作，實現(xiàn)安全工作和研發(fā)流程的無縫對接，如需求分析階段進行安全需求識別，構建開發(fā)階段進行安全編碼審計，投產(chǎn)階段進行網(wǎng)絡安全評估等。結合ISO20000運維體系的實際情況，在ISO20000流程中加入物理安全管控點、網(wǎng)絡安全管控點、系統(tǒng)安全管控點、應用安全管控點、數(shù)據(jù)安全管控點等，實現(xiàn)了運維流程安全點把控。

3.依托審計度量制度，促進防御體系閉環(huán)

無法執(zhí)行的制度等于沒有制度，無法度量的制度是沒有生命力的制度。福建農(nóng)信依據(jù)年度網(wǎng)絡安全工作計劃，實施省聯(lián)社網(wǎng)絡安全點評測審計和行社網(wǎng)絡安全點評測審計，以評促改。省聯(lián)社網(wǎng)絡安全點測評審計包括研發(fā)體系流程中的需求安全評估、代碼漏洞掃描、投產(chǎn)安全評估等，包括運維體系流程中的主機安全評估、試運行期安全評估等例行安全測評，也包含無線Wi-Fi檢查、端口開放檢查、互聯(lián)網(wǎng)使用情況等專項檢查。以安全點評測、檢查結果為基礎，參考ISO27004標準要求，結合自身實際逐步構建了網(wǎng)絡安全度量體系，選取關鍵網(wǎng)絡安全點進行度量，度量工作通過計劃加檢查、糾正預防措施驗證、審計監(jiān)控回顧、信息安全事故統(tǒng)計等定性與定量結合的方式實現(xiàn)，按照度量結果查找根因，改進網(wǎng)絡安全控制措施，推動網(wǎng)絡安全制度的優(yōu)化，度量結果最終促進在防御體系的改進。通過計劃、實施、總結、改進的方式實現(xiàn)了網(wǎng)絡安全防護體系的良性循環(huán)。

（二）收斂防御，收緊把牢安全出入口

收斂直接暴露給攻擊者的攻擊面，減少攻擊概率，守住安全出入口。福建農(nóng)信通過互聯(lián)網(wǎng)資產(chǎn)定期核查、互聯(lián)網(wǎng)出入口集中管控、終端邊界集中管控、無線Wi-Fi及LED大屏集中管控、第三方接入集中管控等方式收斂防御范圍。定期收集全網(wǎng)域名資產(chǎn)，從官網(wǎng)入手獲取福建農(nóng)信所屬的頂級域名，對頂級域名進行子域名挖掘，然后對對應的資產(chǎn)進行端口和服務探測。定期收集歷史DNS解析記錄，搜索曾經(jīng)被記錄的屬于福建農(nóng)信資產(chǎn)的數(shù)據(jù)。監(jiān)測敏感泄露信息，包括公開社工庫泄露信息收集，代碼托管網(wǎng)站泄露信息收集等。通過集中管控互聯(lián)網(wǎng)出入口，避免多口出入，將各行社接入互聯(lián)網(wǎng)的需求納入省聯(lián)社管控之下，減少遭受網(wǎng)絡攻擊的路徑。加強對終端的集中管控，部署專業(yè)的終端管控軟件，實現(xiàn)對U盤等移動存儲介質(zhì)接入的統(tǒng)一審核，嚴格杜絕終端同時接入不同網(wǎng)絡的情況。加強對Wi-Fi、LED大屏的管理，杜絕私自部署網(wǎng)絡，全部Wi-Fi均需要進行審批，并強化Wi-Fi網(wǎng)絡密碼管理。各個LED大屏均落實到人，LED內(nèi)容發(fā)布需要嚴格審核。嚴格審核第三方接入的安全性，避免第三方接入風險。

（三）重點防御，高度關注薄弱環(huán)節(jié)

在縱深防御和收斂防御面的基礎上，福建農(nóng)信從實際出發(fā)，總結出一些常見但又影響較大的網(wǎng)絡安全點進行重點防御，集中“優(yōu)勢兵力”重點防御常見薄弱點，主要包括弱口令攻擊、郵件服務器攻擊、主機漏洞攻擊、社會工程攻擊等。此類風險點常見多發(fā)且危害較大的，需要重點關注。通過技術和管理雙管齊下，并執(zhí)行“三分技術七分管理”的理念。制定高強度密碼策略，加大信息安全培訓，并引導員工設置“復雜、好記”的口令，比如一首古詩的首字母加個人容易記憶部分，在滿足口令強度的同時，降低了因員工抵觸而產(chǎn)生的阻力。同時定期進行弱口令檢查，制定各類賬號的口令強度規(guī)范，并使用自動化工具對常見應用進行弱口令探測等。部署基于主機型入侵檢測系統(tǒng)HIDS，實現(xiàn)對關鍵主機的精準防御，作為入侵防御的最后一道防線，對主機進行探針式的掃描，建立自內(nèi)而外的白盒視角，精準發(fā)現(xiàn)弱密碼賬戶等漏洞，實時檢查主機系統(tǒng)的賬號、服務、端口，定期形成主機安全風險報告。針對社會工程攻擊，制定了“十二不準”工作要求，從辦公室物理安全、U盤管控、終端使用、互聯(lián)網(wǎng)訪問等方面做出明確規(guī)定，并定期檢查，不斷宣貫，嚴格落實。

（四）主動防御，以攻為守保安全

一手抓主動防御技術，一手抓攻防團隊。通過主動防御技術擾亂攻擊者視角，混淆攻擊者的視聽，以假亂真，讓攻擊者無法分辨被攻擊系統(tǒng)的真?zhèn)?，進而大量消耗攻擊者的精力和時間，從心理上磨滅攻擊者的意志，讓其主動放棄攻擊目標；通過攻防團隊，鍛煉信息安全防守團隊，挖掘真實漏洞，主動發(fā)現(xiàn)問題。部署基于攻擊欺騙的蜜罐系統(tǒng)，通過在黑客必經(jīng)之路上構造陷阱，混淆其攻擊目標，精確感知黑客攻擊的行為，將攻擊火力引入隔離的蜜罐系統(tǒng)，從而保護真實的資產(chǎn)。通過蜜罐系統(tǒng)記錄攻擊行為，獲取攻擊者的網(wǎng)絡身份信息、指紋信息，對攻擊者及攻擊行為進行取證和溯源，及時阻斷攻擊。在福建農(nóng)信系統(tǒng)內(nèi)，參考大行做法，組建一支攻防隊伍，通過內(nèi)部攻防雙方的自我搏擊，形成安全防御能力螺旋式提升的內(nèi)生動力，逐步擺脫依賴監(jiān)管通報等被動式防御模式，實現(xiàn)以攻促防、攻防相長。團隊成員來自省聯(lián)社和行社的一線技術人才，他們既熟悉銀行業(yè)務又精通攻防技術。他們有承擔防守重任的“紅軍”、模擬實際黑客的“藍軍”，也有負責演習導調(diào)、全程指導活動總結的“紫軍”。他們?nèi)粘＜缲摼W(wǎng)絡安全運維，通過定期的內(nèi)部紅藍紫對抗演練、CTF比賽和專項培訓，穩(wěn)步提升福建農(nóng)信的信息安全防護水平。

福建農(nóng)信網(wǎng)絡安全防御體系落地

在逐步構建、完善網(wǎng)絡安全防御體系的同時，福建農(nóng)信從多方面強化體系落地，一是通過網(wǎng)絡安全綜合管理平臺落地規(guī)章制度和安全事務管理，實現(xiàn)安全管理工作電子化、流程化；二是通過三層的網(wǎng)絡安全組織將安全工作融入員工日常工作中去，解決單靠網(wǎng)絡安全人員單打獨斗的狀態(tài)；三是通過部署欺騙防御系統(tǒng)、態(tài)勢感知平臺、全流量監(jiān)測系統(tǒng)等逐步提升網(wǎng)絡安全感知能力和防御能力。并將網(wǎng)絡安全宣傳貫穿網(wǎng)絡安全的全流程，通過定期安全意識宣貫培訓，及時固化安全成果。

1.網(wǎng)絡安全綜合管理平臺落地安全管理

針對網(wǎng)絡安全管理落地難的痛點，福建農(nóng)信研發(fā)了網(wǎng)絡安全綜合管理平臺，該平臺包括安全漏洞管理、安全事件管理、安全事務管理、安全審計管理、安全監(jiān)管管理、威脅情報管理、系統(tǒng)資產(chǎn)管理等功能，實現(xiàn)了網(wǎng)絡安全管理的集中化、自動化、智能化。通過平臺將各類監(jiān)管要求進行統(tǒng)一管理，大幅提高了網(wǎng)絡安全管理效率，也有效解決了網(wǎng)絡安全人員疲于應對監(jiān)管的困境，實現(xiàn)網(wǎng)絡安全防御體系的真落地。

2.網(wǎng)絡安全組織保障安全事務處置

網(wǎng)絡安全組織由決策層、管理層、執(zhí)行層組成（如圖3所示）。決策層審核、批準網(wǎng)絡安全總體戰(zhàn)略及規(guī)劃；管理層主要由科技部領導及安全經(jīng)理組成，部署網(wǎng)絡安全專項審計和安全業(yè)務審計、監(jiān)督工作，審查、監(jiān)控并處理各類網(wǎng)絡安全事件，執(zhí)行網(wǎng)絡安全管理內(nèi)部審核與評審管理等；執(zhí)行層由安全科及各科室、各行社信息安全員組成，負責網(wǎng)絡安全工作的實施、落實、協(xié)調(diào)等工作。通過建立分工明確的安全組織，推動全員參與網(wǎng)絡安全，一定程度上解決了網(wǎng)絡安全人員匱乏問題，推動安全事務有序處置。

3.安全宣傳培訓固化信息安全成果

員工信息安全意識的高低，是網(wǎng)絡防護水平的直接體現(xiàn)。信息安全意識的提升，又進一步提升網(wǎng)絡安全防護的成效。福建農(nóng)信充分認識到信息安全意識宣傳的重要性，設置專人專崗針對不同層級、不同信息安全要求，開展網(wǎng)絡安全培訓教育。針對高管層，重點加強安全理念、形勢、共識方面的教育培訓，引導領導層對網(wǎng)絡安全形勢的持續(xù)重視與關注；針對開發(fā)運維人員，開展安全開發(fā)基線培訓、運維安全專題培訓，提高其安全意識和安全技能。通過宣貫網(wǎng)絡安全規(guī)章制度，定期組織各類網(wǎng)絡安全培訓、網(wǎng)絡安全活動周、安全知識競賽、線上網(wǎng)絡安全意識測評等活動，及時將網(wǎng)絡安全防御成果固化，增強全員的信息安全意識。

結論

當前商業(yè)銀行面臨著前所未有的網(wǎng)絡安全形勢，銀行如果發(fā)生網(wǎng)絡安全事件則可能直接影響公眾利益、社會穩(wěn)定，甚至影響國家經(jīng)濟的穩(wěn)定運行。本文通過分析福建農(nóng)信在網(wǎng)絡安全建設中遇到的問題，結合自身實際，提出了一種網(wǎng)絡安全防御體系建設方案，通過縱深防御、收斂防御、重點防御、主動防御的理念，一定程度上解決了福建農(nóng)信在網(wǎng)絡安全防控方面的一些痛點，為金融機構的網(wǎng)絡安全建設工作提供了思路。