文 / 中国银行信息科技运营中心 张强 胡敏 刘翔

建设背景

建设背景

随着信息技术的快速发展,大数据、云计算、人工智能等技术广泛应用,网络安全进入了一个新的时代,在迎来巨大发展机遇的同时,也面临着严峻的考验。网络安全是关系到全面实现小康社会和国家安全的重大问题,已上升至国家战略层面。

当前金融行业网络安全建设主要聚焦于队伍、流程建设,以及单独工具装备的研发,缺少基于行业IT特点的防御技术建设的体系研究和实施指引;同时企业安全防御能力也缺少客观、统一的衡量和评价标准,在一定程度上制约了金融行业网络安全能力的提升。

中国银行从2017年开始,历时两年跟踪调研业内网络安全最新进展,对标23个国家和地区的法律法规、监管要求和体系认证标准,跟踪研究国际主流网络安全防御理论和最佳实践,调阅分析了数百份网络安全情报和最新资料,首次以对抗的视角,站在企业整体的高度,系统性地实现了网络安全防御技术架构顶层设计,总结出一套适用于金融行业的防御技术架构设计方法论,并以此指导中国银行的网络安全建设实践,成效显著(见图1)。

图1 中国银行网络安全防御技术架构研究成果

建设目标

建设目标

中国银行网络安全防御技术架构的建设目标主要包括六个方面,一是支持集团全球化网络安全运营的防御基础架构;二是具备全球7×24小时网络安全合成对抗作战的支持能力;三是具备有效应对非政府背景APT攻击、精准式网络攻击的能力;四是满足海内外监管和体系认证要求,符合国内外网络安全技术标准;五是具有产业上下游和企业内外部的情报共享、联动协作能力;六是支持业务数字化转型、创新发展的安全生态。

研究成果

研究成果

网络安全防御技术架构设计包括四个阶段。首先,准备阶段需要满足科学性要求,包括风险建模、新技术与合规对标分析及对抗关联分析三个步骤。中国银行根据历年积累的情报资料,整理筛查了200多种针对金融行业的网络攻击,根据网络攻击的技术特征,形成了网络安全风险分析模型。并分析各地监管要求、技术标准及技术发展趋势,建立可落地的防御技术目录,包括11大类76子项。在此基础上,基于攻击链模型,将威胁模型与提取出的防御技术目录相关联,明确在攻击链的侦查、传输等各个阶段,检测和防护每一类威胁所需要的技术手段。

其次,开发阶段需要满足系统性要求。防御技术不是简单地堆砌就能达到防御效果,为实现防御效果最大化,在哪些防御区域或IT领域、哪些关键节点进行防御部署,均需考虑周详。中国银行通过参考借鉴国内外先进的网络安全框架,引入纵深防御、主动和自适应防御的思想,建立网络安全防御功能景观模型和二维策略模型,优化了中国银行网络安全防御体系设计理念。在此基础上,设计构建了网络安全防御技术顶层设计框架,用于指导中国银行网络安全防御技术的整体建设部署。

第三,实施阶段需要满足自适应要求。框架建立后面临如何建设和落地实施的问题,需要首先了解网络安全防御现状和目标,找出差距。因此,中国银行构建了网络安全防御成熟度简易度量模型,从安全技术种类、部署系数、加权分析等角度建立评估公式,用于实际网络安全防御状况评价。网络安全建设可利用的资源和人力是有限的,需要科学地利用资源。在综合考虑监管要求、技术标准、威胁影响、技术复杂度等多个维度的基础上,中国银行构建了实施路线的评估模型,为确定防御技术部署优先级和批次划分提供依据。

最后,治理阶段则需要满足改进要求,随着IT技术的发展和网络攻防对抗手段的演进,持续开展防御架构的优化更新。

创新特点

创新特点

一是创建了适用于金融领域的网络安全风险分析模型。通过深入研究针对金融领域的传统与新兴网络攻击特征,包括资金盗取、业务违规及破坏业务连续性的服务拒绝、服务干扰等行业特有的攻击行为,创建了适用于金融领域的网络安全威胁分析模型,解决了银行业网络安全运营中威胁分类判定难题。

二是建立了从管理要求到防御技术,从抽象到具体的法规、标准映射集合。通过对标包括中国在内的23个国家和地区的监管法规、体系认证及最佳实践,结合技术发展趋势,建立了可落地的防御技术目录,确保防御技术架构设计和部署满足集团全球化运营要求,同时具有一定前瞻性,能够满足未来3~5年内抵御外部网络安全威胁的需要。

三是形成了时间、空间双维度,纵深、主动、自适应多视角防御顶层设计。通过参考借鉴P2DR、PDRR、NIST、自适应ASA等国际主流网络安全架构,设计形成统一管理、梯次部署的网络安全防御技术架构。时间维度体现主动和自适应防御的思想,从事前、事中、事后开展防御工作;空间维度体现纵深防御的思想,从网络、终端、系统、应用、数据、云平台等各个技术领域,对网络安全防御技术进行统一规划,实现防御水平的整体提升。

四是提出了简便、快速的网络安全防御现状和差距分析方法。从网络攻击手段、防御技术部署、威胁事件全生命周期多视角分析,综合考虑安全技术种类、部署系数、加权分析等多个维度,客观计算防御能力数值,形成网络安全防御成熟度简易模型,为评估中国银行安全防御部署现状提供可量化的评价指标。

五是开发了可量化、可阶段化的网络安全防御技术实施路线图,满足资源约束的部署实施指导。通过从监管要求、技术标准、威胁影响和技术复杂度四个维度综合考量,构建实施路线评估模型,规划可量化、可阶段化的网络安全防御技术实施路线图,为金融企业在有限资金和人力的情况下,如何分阶段规划网络安全技术部署,同时达到最大防御效果提供解决思路。

应用效果

应用效果

2018年以来,中国银行以网络安全防御技术架构为指导,持续推进新常态下的网络安全建设,在实践中验证架构设计的科学性和有效性。

体系化建设方面,中国银行按照防御技术实施路径,有序推进各批次安全技术的引入和部署,整体防御能力指标提升2倍,防御成熟度实现从可重复级向已定义级转变,具备应对常见APT和精准式网络攻击的能力。

面对严监管要求,中国银行以网络安全防御技术架构为基础,制定了网络安全合规审计白皮书,将零散的网络安全防御建设任务体系化、规范化,高效满足全球监管和体系认证要求,审计配合效率提升75%。

实战化演练方面,在历年各次实战演习中,中国银行网络安全防御技术架构均经受住了高烈度对抗的检验。演习期间成功抵御3000多万次互联网攻击,监控处置外部威胁事件2万余起,组织协查内网疑似威胁事件上百起,防守过程做到了零扣分。并通过溯源反制在参赛的防守方队伍中脱颖而出,有力提升了网络安全大规模集团作战和安全防护能力,在实战中验证了技术架构设计的有效性。

在应对网络攻击常态化方面,中国银行建立了企业级SOC中心,通过一体化关联分析,全方位发现攻击和威胁。日均自动化监控日志超过2亿条,网络流量数据超过4.9亿条。全年阻断外部攻击地址2万余个,来自100多个国家和地区,未发生由于网络攻击导致的安全生产事件。

同时,中国银行建立了全集团覆盖、集中管理、联动处置的威胁处置流程,自主可控打造了覆盖总行、全辖36家一级分行、14家附属公司及57个国家和地区分行的态势感知系统及威胁管理流程平台,支持全球7×24网络安全合成对抗作战,并结合情报开展非政府背景APT及精准式网络攻击的溯源反制,真正实现了事前预防、事中监测处置、事后分析溯源的安全威胁全生命周期管控。

此外,中国银行与国家信息技术安全研究中心、国家互联网应急中心开展了网络安全情报长期合作,研制开发了网络安全情报共享系统,汇集多家外部安全厂商的情报资源优势,整合形成开放共享的行业情报平台,促进形成网络安全联防共治、集体免疫机制。

(栏目编辑:张丽霞)