刘世哲：中小银行网络安全防护体系建设

  随着金融科技的加快速度进行发展，中小银行面临的安全威胁日渐增长。为有效应对客户信息泄露、金融诈骗和网络攻击等安全风险，保护客户信息和维护系统稳定运行，中小银行要一直提升安全识别能力、安全防护能力、安全检验测试能力、安全响应能力等，建立完整网络安全防护体系，提高安全运营能力。

  一是数据泄露风险。数据中心存储了大量敏感客户信息和财务数据，一旦数据被黑客入侵或其他方式泄露，将导致机构自身和客户隐私受损、财务损失、声誉受损等问题。

  二是网络攻击风险。数据中心可能面临很多类型的网络攻击，包括DDoS攻击、恶意软件、钓鱼攻击等。这些攻击非常有可能导致系统瘫痪、服务不可用、信息泄露、资金损失等难以处理的后果。近年来“高隐蔽性、高持续性、高新技术性”的APT攻击是中小银行面临外部威胁中最难应对的攻击手段。随着APT组织的国际化、链条化、逐利化，大量黑客组织集团化运作,甚至有国家力量背书。同时互联网金融业务蒸蒸日上和数据中心安全边界的不断延展，也在客观上暴露了更多的互联网攻击面。

  三是内部管理风险。中小银行因内部员工的不当操作、安全意识不足、密码泄露等行为导致的内部系统遭到攻击等安全事件频发，内部安全管理重要性日益凸显。

  四是终端安全风险。传统网络边界已经消失，终端设备的日益多样化，业务上云带来多样性的数据流动，而终端作为日常业务和数据的载体，成为整个网络信息系统安全的薄弱环节。

  一是客户信任和声誉保护。银行处理大量客户敏感信息，客户信任是其经营发展的基础。建立完整的网络安全防护体系可以轻松又有效保护客户数据的安全，避免数据泄露和安全事件对客户信任和声誉造成损害。

  二是满足合规要求。银行受到严格的法律和法规监管，包括《网络安全法》、《数据安全法》、《信息安全等级保护管理办法》等。因此就需要建立全方位的网络安全防护体系，在满足合规要求的同时，承担起保护客户隐私和数据安全的责任。

  三是防范金融犯罪和欺诈活动。银行是金融犯罪和欺诈活动的主要目标之一。建立网络安全防护体系可以有效预防黑客攻击、钓鱼诈骗、内部盗窃等安全威胁，保障银行和客户的资金和财产安全。

  四是业务连续性风险控制。银行的业务对网络系统和数据的稳定性、完整性有极高要求。建立网络安全防护体系能大大的提升网络系统的鲁棒性，保障业务的连续性，并及时探测、响应、应对潜在的安全风险，大大降低损失和风险。

  人、流程和技术是中小银行网络安全防护体系中的三个关键要素，它们相互关联并共同作用于整个体系。要建立有效平衡协调人员、流程和技术之间相互关系的体系，人员从事安全工作，流程使工作更有效率，技术帮助人员达成目标，也有助于流程的自动化。因此，中小银行能够最终靠平衡并优化三者的关系来实现组织效率的提升。

  人员是网络安全防护体系中的核心要素，包括管理人员、员工和用户。管理人员制定安全政策、流程和指导方针，并确保其执行，同时负责资源分配、风险管理和决策过程；员工需要接受安全培训，了解安全政策和流程，并将其落实到日常工作中，要具备辨识安全威胁和报告安全事件的能力；用户要具备基本的网络安全意识，包括保护个人账户、密码和社交工具安全等。

  流程是银行在网络安全防护体系中所采取的一系列规范和程序，以确保安全目标的达成。制定和实施明确的安全策略和政策，并将其与自身战略目标相结合；定时进行风险评估，识别和评估潜在的安全风险，并制定相应的风险管理计划；建立有效的身份验证和访问控制机制，确保只有经授权的人员能够访问敏感信息和系统资源；建立实时的安全监控系统，及时检测和响应安全事件，并采取适当的措施减轻损失；建立应急响应计划，包括合理的事件管理流程和措施，以保障安全事件的及时处理和恢复；确保遵守相关法规、政策和标准，包括数据保护、隐私保护和反洗钱等方面的合规性要求。

  技术是银行在网络安全防护体系中所使用的各种硬件、软件和网络设备，以加强安全防护、降低风险。网络安全设备，如防火墙、入侵检测和防御系统（IDS/IPS）、防病毒软件等用于监测和阻止网络攻击；数据加密、动态Token和身份验证等用于加密敏感数据和保护用户身份，如SSL/TLS协议、双因素认证等；主机安全防护、态势感知等用于危险识别和主动防护；安全审计和日志管理用于监控和记录系统和用户活动，以支持安全审计和事件调查；安全漏洞管理用于更新和定时进行系统漏洞扫描和修补，及时来更新软件和系统的安全补丁。

  中小银行网络安全防护体系建设，需要重构安全防护体系，对原子化的安全产品做重组，打造多样化、常态化、高效化的安全防护能力。通过对防护对象进行主动风险感知、全面立体防护、持续威胁检测、实时响应处置的闭环保护，最终形成一个完整的一体化安全事件响应体系，协同安全管理中心，实现风险安全管理闭环。

  安全识别要依赖安全原子能力中的资产发现识别、漏洞扫描和深度流量威胁检测等方式实现多维安全识别能力。根据安全管理中心下发的安全识别策略，通过安全识别能力管理、数据分析、规则管理、安全原子能力管理实现自动化编排和协同联动，再将策略执行结果反馈给安全管理中心。安全识别要结合安全大数据、人工智能技术，从资产方面出发，着重关注资产管理，提供基线核查配置，并从多种角度和维度分析攻击，具备全局化安全态势感知能力，智能感知攻击中的安全事件，为信息系统安全识别和管理提供数据支撑。

  通过对各种安全原子能力的封装和编排，为云、网、边、端等实体防护对象提供安全防护能力，缩小网络攻击面，提升攻击门槛，实现数据中心堡垒化，降低安全事件的影响。安全组件接收安全管理中心下发的安全防护策略，通过安全防护能力管理、数据分析、规则管理、安全原子功能管理实现自动化编排和协同联动。针对IT资产及相关业务系统特点，分配高性能的计算资源及安全运行环境，部署边界防火墙、入侵防御、防毒墙、WAF、终端防护等安全防护模块，实现多元化的安全防护能力和技术方法，全方位保障主机系统层、网络层、应用层、管理层和运行终端的安全，为IT资产提供全生命周期的安全防护。

  通过对各种安全原子能力的封装和编排，为云、网、边、端等实体防护对象提供安全检验测试能力，快速发现已知和未知的安全威胁。安全检测服务可以依据安全管理中心下发的安全防护策略，通过安全检验测试能力管理、数据分析、规则管理、安全基础资源管理实现自动化编排和协同联动。安全检测提供多种类型的安全组件，实现安全检测类基础资源身份识别，获取安全检测资源唯一标识和通用属性，对已经开通注册的安全检测资源进行初始化配置和运作时的状态监控，监控安全检测组件的资源占用情况，提供组件扩容接口和操作页面。安全检测服务能够给大家提供各方面多维度的安全检验测试能力，涵盖全流量监测、未知威胁检测、恶意代码检测等，最大限度检测防范安全异常事件，保护银行IT资产与数据的安全。

  安全响应要包含安全事件抑制、安全事件取证、攻击溯源、攻击诱捕、攻击反制和响应恢复等安全响应能力。通过对全网安全事件的应急处置响应，进行专业的取证，对受到侵害的系统迅速恢复并自动统计分析生成处置报告，对网络攻击事件进行溯源、取证、后门清除并快速进行系统恢复。根据安全管理中心下发的安全防护策略，通过安全响应能力管理、数据分析、规则管理、安全基础资源管理实现自动化编排和协同联动。安全响应能力建设使有关部门高效开展对网络攻击事件进行溯源、取证，具备工具调用、一体化智能报表生成、应急处置报告一键导出等能力，使得网络安全攻击事件的响应工作规范化、系统化、专业化。在满足对网络安全事件应急处置要求的同时，简化安全事件响应流程，节省人力成本，实现及时响应、快速处置。

  安全管理中心是安全的大脑，站在全局角度，充分挖掘安全数据之间的关联性、清洗大量的误报信息、摒弃繁琐的跨平台管理，对引起网络态势变化的安全要素进行获取、分析、显示，结合安全趋势的顺延性进行预测，进而采取决策与行动指向。在具备“外部感知、内部监管、安全可视”的态势感知能力的同时，从多个角度支持安全运营工作：实现安全数据集中管理和分析，消灭安全信息孤岛；建立资产安全信息库，及时掌握资产安全态势；建设内部威胁情报库、提升安全运营能力；打造安全告警的快速定位响应能力，实现安全告警的可视、可管、可溯；实现异常行为的主动发现、防御能力；实现不断扩充的安全威胁监测、分析能力；对已知及未知威胁进行关联分析、挖掘钻取。通过安全管理中心的建设，在发生安全事件时，能够迅速、有序地响应、隔离和恢复操作，减少损失。

  基于安全管理中心的大数据、人工智能、机器学习等先进的技术，通过数据采集、分析，从客户身份特征、行为特征、资金交易特征等方面梳理可疑要点，形成相应的监测规则及模型，并构建完善的模型管理流程，有效监测电信网络诈骗行为。同时在客户交易过程中，通过界面提醒、防诈短信通知、电话验证等方式及时核实交易目的或开展干预。通过客户重新识别核查等方式，及时防范账户被冒用盗用的风险。对于异常账户，及时采取限制业务、限制渠道、限制交易金额等风控措施遏制风险。

  “人”在安全体系建设中是最薄弱的环节，中小银行要为员工提供安全意识和最佳实践的培训和教育。培训内容涵盖密码安全、社会工程学攻击识别、钓鱼邮件辨识、电信诈骗识别等，以提升员工对安全责任的认识和意识。

  虽然中小银行的在网络安全防护方面投入的资源相对有限，但通过以上措施的实施，能够最大限度提升数据中心和信息系统的安全性，并保护客户和自身的敏感信息。同时，随技术的持续不断的发展和威胁的不断演变，中小银行要持续关注和改进其安全防护体系，以应对新的安全挑战。

  广泛的地理政治学风险将继续影响全球，导致中小银行面临严峻的供应链风险。供应链安全风险不单单是IT安全风险，而是涵盖硬件和软件采购、业务连续性等多领域的安全挑战，银行应采用自主可控的安全手段应对。

  未来，任何访问零信任架构资源的请求都有必要进行风险计算。风险计算必须考虑设备位置、用户行为、设备指纹信息、威胁情报、时间以及所请求应用程序的数据敏感性等各种各样的因素。只有当计算出的风险小于扩展访问权限的价值时，用户才能被授予访问权限。

  API和应用程序部署的持续增长及多样性为恶意行为者创造了广泛的攻击面。因此，必须将API和应用程序的安全开发和部署视为业务关键。在不影响业务处理效率的情况下有效地做到这一点，一定要使用DevSecOps技术，将安全管理融入到应用程序交付全流程中。基础设施安全与应用程序和数据安全紧密关联，攻击者利用关键组件的弱点来获取对源代码、敏感数据和应用程序组件的访问权限等情况将爆发式增长。未来，将慢慢的变多地将安全、DevOps实践与整体DevSecOps方法结合起来，安全性必须成为信息系统全生命周期中每个阶段都不可或缺的一部分。

  随着高级攻击不断涌现，勒索软件正在成为不可避免的威胁。勒索软件使用的技术越来越复杂，中小银行要及时作出调整安全防护策略，必须结合多种检测和预防控制、可靠的备份及恢复流程、基础安全技术和流程计划实现对复杂勒索软件的有效防御。返回搜狐，查看更加多