来源:鑫智奖·2024第五届金融机构数智化转型优秀案例评选
获奖单位:珠海华润银行
荣获奖项:信息安全优秀案例奖
一、项目背景及目标
1.项目建设背景
党的二十大报告指出,国家安全是民族复兴的根基,要加快实现高水平科技自立自强。当今世界大国战略竞争日趋激烈,中美科技博弈持续加剧。2023年11月,中央金融工作会议提出“要加快建设金融强国”,要求做好科技金融、绿色金融、普惠金融、养老金融、数字金融五篇大文章,对金融服务实体经济质效提出了更高的要求,金融数字基础设施自主可控也成为当前的重大命题及挑战。国资委基于国家安全形势、自主可控及金融数字化转型要求,提出了打造央企信创金融基础设施的战略构想,并安排华润集团、中国电子下属的华润银行、中电金信、奇安信等公司联合推动建设;人民银行也将华润银行选入金融行业信创第三批试点单位。
华润银行作为一家扎根于粤港澳湾区核心区域的商业银行,专注产融结合、融融结合,坚定“致力打造以科技驱动的特色产业银行,构建金融基础设施信创平台”的战略定位,2023年开始根据国资委总体部署,基于华润银行金融业务场景,联合中国电子集团旗下的中电金信、奇安信等企业,采用全栈信创基础软硬件、云计算和分布式等技术,共同建设信创金融交易云,并基于典型产融、零售金融业务场景进行验证,打造央企金融信创标杆示范,夯实金融安全的数字化创新底座,为国家信创战略落地及产业链健康发展贡献央企力量。初阶目标是立足华润银行,借助中国电子的核心技术和产品,解决自身自主可控、数字化转型赋能业务发展的问题。高阶目标是打磨一套可复制推广的整体解决方案,逐步向其他央企金融机构复制推广,赋能国内金融机构数字化转型,助力保障国家金融基础设施安全可靠。
伴随着信创金融交易云平台的建设,现有传统安全体系无法完全适配云安全架构,对网络安全能力提出了更高要求。首先,深度云化技术会带来新的安全挑战,云原生架构的安全风险包含容器、镜像及镜像仓库、网络、编排系统等云原生基础设施自身的安全风险,以及上层应用云原生化改造后新增和扩大的安全风险,如大量的微服务和API使用带来的安全风险,其次信创生态的漏洞检测能力相对较弱以及修复机制不完善。综上,作为国内领先的全栈信创金融交易云平台,云上将会部署大量金融交易类系统,云平台及云上金融交易类系统的安全防护难度呈几何级提高,安全性至关重要。
华润银行按照“同步规划、同步建设、同步运营”原则,研究分析信创底座的全栈信创云架构及潜在安全威胁,基于华润金融场景,以“业务-安全平衡”和“投资-产出平衡”为原则开展安全研究和落地执行,构建适配国内领先、行业可推广的全栈信创云原生安全技术及运营方案,并在华润银行部署实施,有效提升信创金融交易云平台的安全防护能力。
2.项目建设目标
结合当前网络安全技术体系现状及主要痛点,本项目采用全栈信创软硬件产品,从以下三个目标构建基于信创云原生架构的网络安全防护体系。
1)构建云上安全合规体系,夯实云安全能力建设底线
云平台和云上业务系统均需要通过定级和等保测评,云平台不得低于其承载的等级保护对象的安全保护的最高等级。
2)构建云上安全攻防及纵深防护能力,防范外部攻击
针对云上基础设施构建配套的安全漏洞检测机制及修复机制,构建云上纵深安全防护体系,助力保障银行数据及资金安全。
3)构建云上云下一体化的安全运营体系
已在传统稳态架构下构建网络安全防护和运营体系,随着云上安全防护及运营体系的建设,需同步推动建设云上云下一体化的安全运营机制。
二、创新点
本项目以中国电子绿色先进计算体系为基础,重构金融级网络安全防御体系,构建金融级网络安全能力,完善面向实战的安全运营体系,从安全技术、安全产品和安全服务全方位保障金融业务安全,具体创新点如下:
1.全栈信创架构:中小银行首例云原生安全防护体系从底层基础软硬件到上层安全系统都是采用信创架构。
2.落实安全等保合规要求:金融交易云已上线新供应链金融平台、新手机银行等4个系统,并按照等保三级标准推动本项目的建设,并实际落地。
3.实现安全能力服务化及一体化:通过将安全产品资源池化,支持多资源池弹性部署,从而解决快速构建安全合规能力,和多云多区域接入的需求,实现快速交付;通过云安全管理平台对安全服务进行统一管理。
4.初步构建一体化的应用安全建设能力:通过安全左移,将安全管控要求融入开发测试全流程,建设智能化研发安全管理平台,统筹对接各个安全环节和安全产品。
5.增强云原生安全防护能力:通过容器安全产品实现容器镜像安全、安全配置核查、运行时防护等容器安全服务,实现容器从构建、部署到运行时的全生命周期安全风险管控,完善容器安全防护体系,充分保障云上容器服务安全可靠运行,同时实现容器间东西向流量的采集和转发。
6.推动解决行业共性难题:实现云内东西向流量的采集与分析,能从云主机安全客户端、容器安全客户端接收流量,并转发给安全资源池内外的分析设备。解决云原生环境流量不可视、无法采集分析等行业共性难题。
7.构建云上云下一体化的安全运营能力:通过收集日志、威胁流量等相关信息,利用关联分析、机器学习、威胁情报等技术,持续监测网络安全态势,实现从“被动防御”向“主动防御”的进阶,为安全管理者提供风险评估和应急响应的决策支撑,为安全运营人员提供威胁发现、调查分析及响应处置支持。
三、项目技术方案
1.华润银行信创金融交易云安全体系实施思路
对华润银行现有网络安全体系相关能力进行充分利旧和升级,在此基础上全面选用具有自主知识产权的国产化安全硬件产品,以及自主研发的国产化安全软件,通过应用层深度融合、基础资源层有机结合,推动构建云上的安全技术防护体系,实现两地三中心的安全管理和运营。其中:
1)应用层深度融合:对目前已有安全技术平台进行充分评估,尽量复用已有安全平台能力,并结合金融交易云的特点新增部分安全能力。
2)基础资源有机结合:实现云安全资源一体化管理及运营,为云平台底层资源提供良好的安全保障,并将云上安全告警数据统一集中至我行现有的智慧安全运营平台SSTP,实现一体化管理。
在保障金融交易云安全的前提下,提升资源利用率和管理效率,同时利用新建的安全能力,增强数据中心整体安全防护水平。
1)安全合规:保障金融交易云基础安全、云内应用安全,加强多云安全管控,提升安全管理效率,满足法律法规和监管合规要求。
2)资源利旧:利旧或沿用部分传统安全系统、设备,不重复建设,减少重复投资。
3)增强安全:利用新建的云内安全能力,增强云外传统环境安全防护能力,提升整体数据中心安全管理水平和技术水平。
2.信创金融交易云安全能力建设方案
通过关注云平台底层架构和资源的技术风险、加强云上应用开发安全能力和安全运营能力建设。如图所示,按照可利旧能力、新建设能力、升级现有能力三个维度推动网络安全能力建设,构建事前预防、事中处置、事后溯源的安全防护体系,满足行内数据中心未来两地三中心规划,建设覆盖两地三中心的安全运营中心,满足业务安全需求和合规需求。
3.信创金融交易云安全技术实现方案
根据云原生安全能力建设方案,引入相关安全产品构建云上的基础资源安全、应用开发和安全运营能力,建设覆盖两地三中心的安全运营中心,满足业务安全需求和合规需求。以“安全左移、全面防护、统一运营”为实施思路,通过引进云安全管理平台产品与全栈信创云整体对接,实现对各类安全组件的统一纳管。同时,结合云安全运营中心、容器安全产品和研发安全管控平台的建设,形成覆盖云资源和云上应用的立体安全架构。
其中:
1)云应用安全:通过引进云上的数据库审计、网页防篡改系统优化原有功能,提升现有数据安全及运行安全管理能力;通过新增研发安全管理平台补足应用开发安全检测能力。
2)云基础资源安全:通过引入云边界硬件防火墙、容器安全防护平台、主机安全防护平台提升云基础资源的安全管理能力。
3)云上安全运营:通过新增引进云安全运营平台、日志安全审计平台,完善云上的威胁流量感知、安全态势感知、日志审计等安全防护及运营管理能力,并通过与智慧运营平台SSTP对接,构建一体化安全运营能力。
4.信创金融交易云安全产品选型
华润银行按照自主可控原则,全面选用国产化软硬件安全产品全面设计和适配,涉及到的安全产品完全符合国产化替代要求,硬件全面使用具有自主知识产权的国产化硬件产品,软件完全使用自主研发的国产化软件产品,满足信创要求。
5.信创金融交易云安全技术部署方案
在信创金融交易云安全技术部署方案上,我们充分考虑了系统的可扩展性和灵活性,采用了容器化部署、微服务架构等先进技术手段,实现了系统的快速部署和高效管理。同时,我们还注重与现有系统的兼容性和集成性,确保系统的平滑过渡和稳定运行。具体而言,华润银行信创金融交易云上的安全能力由云安全管理平台+云安全资源池组成,采用独立硬件集群(3台)保持高可用。通过引入新的安全平台,满足对云基础环境、云上应用运行和数据的安全保护,同时将安全左移,从开发源头对安全进行设计和管控,提高安全效率。
在各云环境部署云安全管理平台,实现对云内安全资源(包含日志分析、数据库审计、网页防篡改、主机安全、容器安全、态势感知探针及分析等10类安全组件)的部署和管理通过各类Agent、探针收集东西/南北向流量、日志等信息进行分析,并将分析结果汇总至现有智慧运营平台SSTP,进行关联分析和展示,满足等保合规要求并提升安全运营能力。
四、项目过程管理
1.项目启动及规划阶段:2023年4月3日-2023年5月9日,初步环境调研;项目实施工作见面会;深化项目实施方案;编制项目实施计划;实施方案评审。
2.项目部署实施阶段:2023年5月9日-2023年9月24日,设备到货验收;CSMP云安全管理平台实施;各云安全组件部署;CSC安全运营平台实施实施;CSC安全运营平台对接CMDB;安全分析流量接入;主机及容器安全Agent推广安装。
3.项目试运行调优阶段:2023年9月24日-2023年10月24日,安全组件防护策略调优;态势感知告警策略调优;各安全组件版本迭代及规则库升级。
4.项目常态化运营阶段:2023年10月24日-至今,开展常态化安全运营。
五、运营情况
1.项目运行状态
一方面以安全运营中心为抓手,执行安全运行工作流程,进一步加强珠海华润银行的网络安全防护能力;另一方面进行专项网络安全攻防演习,验证并加强运行安全管理与防护能力。
2.常态化运营情况
自本项目于2023年完成部署启用后,纳入整体网络安全运营管理,经分析研判后处置外部攻击源IP近百余个,为云上应用提供有效防护。此外,日常安全运营中,重点开展以下方面工作,进一步加强网络安全防护能力:
1)资产梳理和排查工作
由珠海华润银行网络安全团队牵头建立灰资产持续性运营机制,持续对资产进行动态管理,行内各级单位配合梳理网络边界及内网资产,重点清查网络边界、无主资产、漏管资产,对未认领的资产进行关停处置。
根据系统重要性、安全防护现状、网络连接情况等多种因素,确定重点防护范围,持续组织信息系统的域名、端口、IP及内网业务系统、主机资产、网络资产、网络边界、核心系统等信息登记和收集工作,进一步明确信息系统网络安全责任人,落实信息系统安全责任。
2)告警规则优化
告警规则持续构建和优化,根据云安全运营中心安全告警数量、质量情况,筛查告警规则的有效性、及时进行优化处理,打造符合珠海华润银行安全运营规则。
3)安全漏洞/安全风险排查和整改
定期进行漏洞扫描和风险排查,对扫描结果进行分类和优先级评定,根据漏洞的严重程度、影响范围和可能性进行排序,确定哪些漏洞需要首先解决。针对漏洞扫描和风险评估结果,制定整改计划,明确每个漏洞的修复方案、责任人,实施漏洞修复措施和风险缓解措施,包括云上安全设备加固,修补漏洞、配置安全控制、更新软件版本等。
4)安全监测、分析处置
珠海华润银行明确安全运行岗位及相关职责,建立运行管理制度及运行机制,为安全运行工作流畅执行提供了有力保障,实现“全面”、“高效”安全监测预警-安全告警分析-威胁闭环处置流程。
5)安全监控及预警
威胁情报是安全运营的基础条件,主要聚焦于收集、分析和利用与威胁相关的数据和信息,以便组织能够及时识别和应对潜在的安全威胁。珠海华润银行建立多样化的威胁情报收集渠道,包括但不限于订阅威胁情报订阅服务等,以获取关于已知威胁、新威胁和攻击技术的信息;并定期执行情报库更新。可以更有效地应对不断演变的安全威胁,保护其信息资产和业务运作的安全。
6)专项网络安全攻防演习
为保障全栈信创云基础环境中的网络、计算、存储等设施、PAAS平台以及后续上线的各类系统的安全运行,进一步提高全栈信创云的安全防护水平,降低在后续运营的过程中以及各类攻防演练中出现被攻击或数据泄露的风险,邀请专业机构测评人员,依照网络安全相关法律法规及检测相关方法和标准,检测全栈信创云及其云上运行的系统存在的安全隐患。
攻防演练期间,运用各云上安全防护工具监测研判成功锁定各攻击IP,对攻击行为进行逐一确认和排查,第一时间定位风险源,确认并封堵攻击途径。共计发现并处置各类安全漏洞400余项,其中IaaS层240个、PaaS层64个、工具链24个、云上系统2个、手机银行65个,核心系统8个、应用系统13个。有效验证了整体安全建设成效并针对性完成加固。
7)互联网系统上云安全支撑
结合信息系统建设规划,本项目已于2023年底有效支撑新一代手机银行部署上线工作,并进入试运行阶段。通过调用本项目各项安全检测能力,上线前采取渗透测试、合规检测、漏洞扫描、组件安全扫描、代码安全扫描等措施共计发现并处置危急漏洞74个、高危漏洞352个、中危漏洞9个、低危漏洞13个,为互联网系统上云安全提供安全技术支撑。
六、项目成效
全栈信创云安全建设项目的实施对社会和经济产生了深远的影响,为金融行业的稳定运行和可持续发展提供了坚实的基础。
1.打造安全可靠金融应用系统
全栈信创云安全建设项目为整个社会提供了更加安全可靠的金融服务。通过引入先进的安全技术和防护机制,成功降低了金融交易过程中的风险和漏洞。用户可以更加放心地进行各类金融交易,不仅提高了金融体系的稳定性,也增强了公众对金融系统的信任感。这种信任感的提升,有助于社会形成更加良好的金融氛围,推动金融行业更好地为社会服务。
2.构建安全健康金融市场环境
全栈信创云安全建设项目对经济效益的贡献不可忽视。由于金融行业的特殊性,安全问题的存在可能导致严重的经济损失。该项目的实施有效地减少了金融诈骗、黑客攻击等风险,保障了金融系统的正常运行。这种稳定性直接促进了金融市场的健康发展,提高了金融机构的经济效益。金融从业者可以更加专注于业务发展,而非被安全问题所困扰,进一步推动了金融行业的创新和竞争力。
3.推动网络安全行业发展
全栈信创云安全建设项目还在就业方面带来了积极的影响。项目的实施需要大量的专业人才,涉及网络安全、信息技术等多个领域。这不仅为现有从业者提供了更多的发展机会,也为相关专业领域的人才培养提供了新的需求。项目推动了产业结构的升级,促使了相关行业的人才培训,为整个社会提供了更多的就业机会。
七、经验总结
本项目的成功实施不仅仅是一个局限性的成果,更是具有广泛推广性的典范,其各方面特性总结如下:
1.本项目在示范意义上发挥积极作用
通过本项目的成功实施,为华润银行信创金融云平台数字化基础底座中安全防护部分的规划、设计与推广打下坚实基础,确保上云应用安全稳定运行,为该底座后期在央企及更大范围的大规模推广应用树立示范样例。而在该底座推广应用过程中,各应用单位可基于其已在金融行业先行验证的成果与思路,按需拓展与调整适合本行业特性与需要的安全技术,为不同行业、企业IT基础架构由传统稳态架构转型保驾护航。
2.本项目在推进安全行业规范化实践方面发挥积极作用
本项目基础设施在规划与设计初期,已充分调研、测试并最终确定全栈软硬件方案,最终完成全栈信创云平台及云原生安全防护平台的搭建与部署应用。但多厂商、多产品的组合存在应用与推广范围小、对象行业安全合规管控要求不高等因素,前期各厂商仍以稳定运行作为首要目标,未将安全风险检测与修复管理工作纳入重点工作领域,相关检测技术与机制有待进一步提升与优化。本项目的顺利推进,有利于推动安全行业相关厂商高度重视新技术、组件的安全能力建设,也将推进建立相关技术规范与标准,确保在自主可控转型过程中各项供应链安全管控水平得到保持乃至提升。
3.本项目具备广泛推广的可行性
本项目通过全栈信创的部署应用,为全栈信创云平台提供安全防护能力,根据云平台上云应用规模差异、流量特性、技术栈多样性,弹性提供了多种流量聚合接入与分发、安全事件聚合分析等安全能力,具备较高的灵活性和可适应性。这使得本项目在不同基础设施组合场景中均可顺利推广,满足各种需求。项目的可行性保障了推广过程的顺利进行,使更多的行业能够受益于先进的安全技术和管理经验。
更多金融科技案例和金融数据智能优秀解决方案,请在数字金融创新知识服务平台-金科创新社案例库、选型库查看。
热门跟贴