隨著信息技術(shù)的快速發(fā)展����,大數(shù)據(jù)�、云計算、人工智能等技術(shù)廣泛應(yīng)用����,網(wǎng)絡(luò)安全進(jìn)入了一個新的時代,在迎來巨大發(fā)展機(jī)遇的同時���,也面臨著嚴(yán)峻的考驗(yàn)�����。網(wǎng)絡(luò)安全是關(guān)系到全面實(shí)現(xiàn)小康社會和國家安全的重大問題���,已上升至國家戰(zhàn)略層面���。
當(dāng)前金融行業(yè)網(wǎng)絡(luò)安全建設(shè)主要聚焦于隊伍、流程建設(shè)��,以及單獨(dú)工具裝備的研發(fā)�����,缺少基于行業(yè)IT特點(diǎn)的防御技術(shù)建設(shè)的體系研究和實(shí)施指引���;同時企業(yè)安全防御能力也缺少客觀�����、統(tǒng)一的衡量和評價標(biāo)準(zhǔn)����,在一定程度上制約了金融行業(yè)網(wǎng)絡(luò)安全能力的提升���。
中國銀行從2017年開始��,歷時兩年跟蹤調(diào)研業(yè)內(nèi)網(wǎng)絡(luò)安全最新進(jìn)展�,對標(biāo)23個國家和地區(qū)的法律法規(guī)、監(jiān)管要求和體系認(rèn)證標(biāo)準(zhǔn)�,跟蹤研究國際主流網(wǎng)絡(luò)安全防御理論和最佳實(shí)踐,調(diào)閱分析了數(shù)百份網(wǎng)絡(luò)安全情報和最新資料��,首次以對抗的視角����,站在企業(yè)整體的高度����,系統(tǒng)性地實(shí)現(xiàn)了網(wǎng)絡(luò)安全防御技術(shù)架構(gòu)頂層設(shè)計,總結(jié)出一套適用于金融行業(yè)的防御技術(shù)架構(gòu)設(shè)計方法論���,并以此指導(dǎo)中國銀行的網(wǎng)絡(luò)安全建設(shè)實(shí)踐�,成效顯著
實(shí)戰(zhàn) | 網(wǎng)絡(luò)安全防御技術(shù)架構(gòu)研究與實(shí)踐
建設(shè)目標(biāo)
中國銀行網(wǎng)絡(luò)安全防御技術(shù)架構(gòu)的建設(shè)目標(biāo)主要包括六個方面���,一是支持集團(tuán)全球化網(wǎng)絡(luò)安全運(yùn)營的防御基礎(chǔ)架構(gòu)���;二是具備全球7×24小時網(wǎng)絡(luò)安全合成對抗作戰(zhàn)的支持能力��;三是具備有效應(yīng)對非政府背景APT攻擊��、精準(zhǔn)式網(wǎng)絡(luò)攻擊的能力�����;四是滿足海內(nèi)外監(jiān)管和體系認(rèn)證要求�,符合國內(nèi)外網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)�;五是具有產(chǎn)業(yè)上下游和企業(yè)內(nèi)外部的情報共享、聯(lián)動協(xié)作能力��;六是支持業(yè)務(wù)數(shù)字化轉(zhuǎn)型�、創(chuàng)新發(fā)展的安全生態(tài)。
研究成果
網(wǎng)絡(luò)安全防御技術(shù)架構(gòu)設(shè)計包括四個階段����。首先,準(zhǔn)備階段需要滿足科學(xué)性要求�����,包括風(fēng)險建模���、新技術(shù)與合規(guī)對標(biāo)分析及對抗關(guān)聯(lián)分析三個步驟����。中國銀行根據(jù)歷年積累的情報資料,整理篩查了200多種針對金融行業(yè)的網(wǎng)絡(luò)攻擊���,根據(jù)網(wǎng)絡(luò)攻擊的技術(shù)特征���,形成了網(wǎng)絡(luò)安全風(fēng)險分析模型。并分析各地監(jiān)管要求�����、技術(shù)標(biāo)準(zhǔn)及技術(shù)發(fā)展趨勢�,建立可落地的防御技術(shù)目錄,包括11大類76子項�����。在此基礎(chǔ)上���,基于攻擊鏈模型,將威脅模型與提取出的防御技術(shù)目錄相關(guān)聯(lián)�,明確在攻擊鏈的偵查、傳輸?shù)雀鱾階段�����,檢測和防護(hù)每一類威脅所需要的技術(shù)手段。
其次�,開發(fā)階段需要滿足系統(tǒng)性要求。防御技術(shù)不是簡單地堆砌就能達(dá)到防御效果���,為實(shí)現(xiàn)防御效果最大化���,在哪些防御區(qū)域或IT領(lǐng)域、哪些關(guān)鍵節(jié)點(diǎn)進(jìn)行防御部署��,均需考慮周詳�。中國銀行通過參考借鑒國內(nèi)外先進(jìn)的網(wǎng)絡(luò)安全框架,引入縱深防御���、主動和自適應(yīng)防御的思想����,建立網(wǎng)絡(luò)安全防御功能景觀模型和二維策略模型���,優(yōu)化了中國銀行網(wǎng)絡(luò)安全防御體系設(shè)計理念�����。在此基礎(chǔ)上��,設(shè)計構(gòu)建了網(wǎng)絡(luò)安全防御技術(shù)頂層設(shè)計框架�����,用于指導(dǎo)中國銀行網(wǎng)絡(luò)安全防御技術(shù)的整體建設(shè)部署�����。
第三��,實(shí)施階段需要滿足自適應(yīng)要求������?蚣芙⒑竺媾R如何建設(shè)和落地實(shí)施的問題,需要首先了解網(wǎng)絡(luò)安全防御現(xiàn)狀和目標(biāo)��,找出差距�。因此�,中國銀行構(gòu)建了網(wǎng)絡(luò)安全防御成熟度簡易度量模型,從安全技術(shù)種類、部署系數(shù)���、加權(quán)分析等角度建立評估公式�����,用于實(shí)際網(wǎng)絡(luò)安全防御狀況評價��。網(wǎng)絡(luò)安全建設(shè)可利用的資源和人力是有限的����,需要科學(xué)地利用資源�����。在綜合考慮監(jiān)管要求���、技術(shù)標(biāo)準(zhǔn)�、威脅影響�、技術(shù)復(fù)雜度等多個維度的基礎(chǔ)上,中國銀行構(gòu)建了實(shí)施路線的評估模型��,為確定防御技術(shù)部署優(yōu)先級和批次劃分提供依據(jù)�。
最后�,治理階段則需要滿足改進(jìn)要求�,隨著IT技術(shù)的發(fā)展和網(wǎng)絡(luò)攻防對抗手段的演進(jìn),持續(xù)開展防御架構(gòu)的優(yōu)化更新����。
創(chuàng)新特點(diǎn)
一是創(chuàng)建了適用于金融領(lǐng)域的網(wǎng)絡(luò)安全風(fēng)險分析模型。通過深入研究針對金融領(lǐng)域的傳統(tǒng)與新興網(wǎng)絡(luò)攻擊特征�,包括資金盜取、業(yè)務(wù)違規(guī)及破壞業(yè)務(wù)連續(xù)性的服務(wù)拒絕����、服務(wù)干擾等行業(yè)特有的攻擊行為,創(chuàng)建了適用于金融領(lǐng)域的網(wǎng)絡(luò)安全威脅分析模型����,解決了銀行業(yè)網(wǎng)絡(luò)安全運(yùn)營中威脅分類判定難題。
二是建立了從管理要求到防御技術(shù)�,從抽象到具體的法規(guī)、標(biāo)準(zhǔn)映射集合�。通過對標(biāo)包括中國在內(nèi)的23個國家和地區(qū)的監(jiān)管法規(guī)、體系認(rèn)證及最佳實(shí)踐�����,結(jié)合技術(shù)發(fā)展趨勢�,建立了可落地的防御技術(shù)目錄,確保防御技術(shù)架構(gòu)設(shè)計和部署滿足集團(tuán)全球化運(yùn)營要求���,同時具有一定前瞻性�,能夠滿足未來3~5年內(nèi)抵御外部網(wǎng)絡(luò)安全威脅的需要����。
三是形成了時間、空間雙維度�,縱深、主動�、自適應(yīng)多視角防御頂層設(shè)計。通過參考借鑒P2DR���、PDRR��、NIST����、自適應(yīng)ASA等國際主流網(wǎng)絡(luò)安全架構(gòu)���,設(shè)計形成統(tǒng)一管理�����、梯次部署的網(wǎng)絡(luò)安全防御技術(shù)架構(gòu)�����。時間維度體現(xiàn)主動和自適應(yīng)防御的思想�,從事前、事中�����、事后開展防御工作���;空間維度體現(xiàn)縱深防御的思想�,從網(wǎng)絡(luò)��、終端�����、系統(tǒng)��、應(yīng)用�����、數(shù)據(jù)、云平臺等各個技術(shù)領(lǐng)域�����,對網(wǎng)絡(luò)安全防御技術(shù)進(jìn)行統(tǒng)一規(guī)劃���,實(shí)現(xiàn)防御水平的整體提升。
四是提出了簡便�����、快速的網(wǎng)絡(luò)安全防御現(xiàn)狀和差距分析方法��。從網(wǎng)絡(luò)攻擊手段�、防御技術(shù)部署、威脅事件全生命周期多視角分析��,綜合考慮安全技術(shù)種類��、部署系數(shù)�����、加權(quán)分析等多個維度��,客觀計算防御能力數(shù)值,形成網(wǎng)絡(luò)安全防御成熟度簡易模型���,為評估中國銀行安全防御部署現(xiàn)狀提供可量化的評價指標(biāo)��。
五是開發(fā)了可量化��、可階段化的網(wǎng)絡(luò)安全防御技術(shù)實(shí)施路線圖�����,滿足資源約束的部署實(shí)施指導(dǎo)�����。通過從監(jiān)管要求���、技術(shù)標(biāo)準(zhǔn)、威脅影響和技術(shù)復(fù)雜度四個維度綜合考量����,構(gòu)建實(shí)施路線評估模型,規(guī)劃可量化���、可階段化的網(wǎng)絡(luò)安全防御技術(shù)實(shí)施路線圖��,為金融企業(yè)在有限資金和人力的情況下�,如何分階段規(guī)劃網(wǎng)絡(luò)安全技術(shù)部署,同時達(dá)到最大防御效果提供解決思路�。
應(yīng)用效果
2018年以來,中國銀行以網(wǎng)絡(luò)安全防御技術(shù)架構(gòu)為指導(dǎo)�����,持續(xù)推進(jìn)新常態(tài)下的網(wǎng)絡(luò)安全建設(shè)�����,在實(shí)踐中驗(yàn)證架構(gòu)設(shè)計的科學(xué)性和有效性��。
體系化建設(shè)方面��,中國銀行按照防御技術(shù)實(shí)施路徑�����,有序推進(jìn)各批次安全技術(shù)的引入和部署�����,整體防御能力指標(biāo)提升2倍���,防御成熟度實(shí)現(xiàn)從可重復(fù)級向已定義級轉(zhuǎn)變�����,具備應(yīng)對常見APT和精準(zhǔn)式網(wǎng)絡(luò)攻擊的能力�。
面對嚴(yán)監(jiān)管要求���,中國銀行以網(wǎng)絡(luò)安全防御技術(shù)架構(gòu)為基礎(chǔ)�,制定了網(wǎng)絡(luò)安全合規(guī)審計白皮書��,將零散的網(wǎng)絡(luò)安全防御建設(shè)任務(wù)體系化�、規(guī)范化,高效滿足全球監(jiān)管和體系認(rèn)證要求�����,審計配合效率提升75%�。
實(shí)戰(zhàn)化演練方面,在歷年各次實(shí)戰(zhàn)演習(xí)中��,中國銀行網(wǎng)絡(luò)安全防御技術(shù)架構(gòu)均經(jīng)受住了高烈度對抗的檢驗(yàn)��。演習(xí)期間成功抵御3000多萬次互聯(lián)網(wǎng)攻擊,監(jiān)控處置外部威脅事件2萬余起�����,組織協(xié)查內(nèi)網(wǎng)疑似威脅事件上百起���,防守過程做到了零扣分���。并通過溯源反制在參賽的防守方隊伍中脫穎而出,有力提升了網(wǎng)絡(luò)安全大規(guī)模集團(tuán)作戰(zhàn)和安全防護(hù)能力�����,在實(shí)戰(zhàn)中驗(yàn)證了技術(shù)架構(gòu)設(shè)計的有效性����。
在應(yīng)對網(wǎng)絡(luò)攻擊常態(tài)化方面����,中國銀行建立了企業(yè)級SOC中心,通過一體化關(guān)聯(lián)分析����,全方位發(fā)現(xiàn)攻擊和威脅。日均自動化監(jiān)控日志超過2億條,網(wǎng)絡(luò)流量數(shù)據(jù)超過4.9億條�����。全年阻斷外部攻擊地址2萬余個�����,來自100多個國家和地區(qū)�,未發(fā)生由于網(wǎng)絡(luò)攻擊導(dǎo)致的安全生產(chǎn)事件。
同時��,中國銀行建立了全集團(tuán)覆蓋��、集中管理��、聯(lián)動處置的威脅處置流程����,自主可控打造了覆蓋總行、全轄36家一級分行��、14家附屬公司及57個國家和地區(qū)分行的態(tài)勢感知系統(tǒng)及威脅管理流程平臺�,支持全球7×24網(wǎng)絡(luò)安全合成對抗作戰(zhàn),并結(jié)合情報開展非政府背景APT及精準(zhǔn)式網(wǎng)絡(luò)攻擊的溯源反制��,真正實(shí)現(xiàn)了事前預(yù)防、事中監(jiān)測處置����、事后分析溯源的安全威脅全生命周期管控。
此外�����,中國銀行與國家信息技術(shù)安全研究中心����、國家互聯(lián)網(wǎng)應(yīng)急中心開展了網(wǎng)絡(luò)安全情報長期合作,研制開發(fā)了網(wǎng)絡(luò)安全情報共享系統(tǒng)�����,匯集多家外部安全廠商的情報資源優(yōu)勢����,整合形成開放共享的行業(yè)情報平臺����,促進(jìn)形成網(wǎng)絡(luò)安全聯(lián)防共治、集體免疫機(jī)制�����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
