金融網(wǎng)絡(luò)安全建設(shè)更難了？看一線從業(yè)者的“實(shí)戰(zhàn)”經(jīng)驗(yàn)分享丨2023 INSEC WORLD

科技云報(bào)道原創(chuàng)。

隨著十四五時(shí)代的大幕緩緩拉開，國(guó)內(nèi)金融安全建設(shè)之路進(jìn)入下半場(chǎng)。

一方面，金融科技大量采用新技術(shù)實(shí)現(xiàn)業(yè)務(wù)創(chuàng)新的同時(shí)，也給網(wǎng)絡(luò)安全帶來了更多隱性風(fēng)險(xiǎn)。

另一方面，金融行業(yè)數(shù)字化轉(zhuǎn)型的進(jìn)一步普及，大量個(gè)人隱私及資產(chǎn)信息等重要數(shù)據(jù)呈指數(shù)級(jí)上升，金融業(yè)務(wù)的復(fù)雜性使得數(shù)據(jù)安全保護(hù)體系的建設(shè)難度不斷加大。

在國(guó)內(nèi)外網(wǎng)絡(luò)安全形勢(shì)不斷演變的當(dāng)下，金融行業(yè)作為傳統(tǒng)的重監(jiān)管機(jī)構(gòu)，面臨著比以往更艱巨的風(fēng)險(xiǎn)和挑戰(zhàn)。

隨著“實(shí)戰(zhàn)化”網(wǎng)絡(luò)安全建設(shè)時(shí)代的到來，金融機(jī)構(gòu)應(yīng)如何持續(xù)完善網(wǎng)絡(luò)安全體系化建設(shè)，筑牢金融網(wǎng)絡(luò)安全屏障？

3月23日，在2023 INSEC WORLD世界信息安全大會(huì)的“金融科技安全”分論壇上，來自浙商銀行、東吳證券、民生銀行、中銀證券、觀成科技等多位金融科技一線從業(yè)者，從不同角度分享了金融安全建設(shè)的實(shí)踐和經(jīng)驗(yàn)，上演了一場(chǎng)精彩紛呈的金融安全“華山論劍”。

金融數(shù)據(jù)安全，構(gòu)建多跨協(xié)同數(shù)據(jù)安全保障總體體系

如今數(shù)據(jù)已成為重要的生產(chǎn)要素，發(fā)展數(shù)字經(jīng)濟(jì)已上升到國(guó)家戰(zhàn)略層面，今年的兩會(huì)政府工作報(bào)告指出，2023年大力發(fā)展數(shù)字經(jīng)濟(jì)。

但數(shù)字經(jīng)濟(jì)的不斷提升，離不開數(shù)據(jù)安全的保障。近年來，金融業(yè)數(shù)據(jù)安全大事件不斷發(fā)生，數(shù)據(jù)安全的違規(guī)及事件成本越來越高。

我國(guó)進(jìn)一步加強(qiáng)了對(duì)金融業(yè)的監(jiān)管，陸續(xù)出臺(tái)的《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級(jí)指南》、《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》、《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全辦法》等行標(biāo)行規(guī)，及人民銀行印發(fā)《金融科技發(fā)展規(guī)劃(2022-2025年)》，一次次在行業(yè)頂層設(shè)計(jì)中重申了數(shù)據(jù)安全的重要性，迅速拉升了整個(gè)行業(yè)對(duì)數(shù)據(jù)安全的重視程度。

盡管金融數(shù)據(jù)安全的強(qiáng)監(jiān)管時(shí)代到來，但不可否認(rèn)的是，金融業(yè)數(shù)據(jù)安全保障體系建設(shè)仍存在諸多痛點(diǎn)。

在浙商銀行總行信息科技風(fēng)險(xiǎn)檢控官駱鑒看來，最大的痛點(diǎn)在于，金融業(yè)數(shù)據(jù)量極其龐大、數(shù)據(jù)泄露渠道多、內(nèi)部員工案情多、數(shù)據(jù)供應(yīng)鏈較長(zhǎng)、數(shù)據(jù)資產(chǎn)流動(dòng)性強(qiáng)。雖然數(shù)據(jù)作為生產(chǎn)要素有巨大潛能，但同時(shí)也難以管理，因此安全保障與數(shù)據(jù)使用存在天然矛盾。此外，盡管監(jiān)管制度已出臺(tái)，但相應(yīng)的措施和技術(shù)手段還未跟上。

浙商銀行總行信息科技風(fēng)險(xiǎn)檢控官 駱鑒

對(duì)此，駱鑒介紹了浙商銀行在數(shù)據(jù)安全管理方面的建設(shè)思路和實(shí)踐。他表示，核心在于“構(gòu)建多跨協(xié)同數(shù)據(jù)安全保障總體體系”，包括管理體系、技術(shù)體系、風(fēng)險(xiǎn)體系三個(gè)部分。

首先，管理體系主要是組織架構(gòu)、管理規(guī)范、流程機(jī)制。

數(shù)據(jù)安全保障管理體系不是另起爐灶，而是對(duì)已有的網(wǎng)絡(luò)安全基礎(chǔ)上進(jìn)行整合，聯(lián)通業(yè)務(wù)部門形成多塊協(xié)同的安全保障體系。

在網(wǎng)絡(luò)安全責(zé)任制的基礎(chǔ)上進(jìn)行分級(jí)分層管理，制度規(guī)范上形成政策、規(guī)定、指南的完整體系，人才梯隊(duì)方面以數(shù)據(jù)安全總體目標(biāo)需求為導(dǎo)向，通過多種手段不斷完善人才梯隊(duì)。

其次，機(jī)制體系包括大數(shù)據(jù)、AI、加密、安全技術(shù)和產(chǎn)品。

這個(gè)體系也不是另起爐灶，而是在現(xiàn)有的安全產(chǎn)品上進(jìn)行融合，通過多跨協(xié)同、多平臺(tái)聯(lián)通，推進(jìn)五個(gè)方面的能力建設(shè)如：核心泄密場(chǎng)景全覆蓋的防護(hù)能力；敏感數(shù)據(jù)流動(dòng)的實(shí)時(shí)監(jiān)測(cè)發(fā)現(xiàn)能力；終端、網(wǎng)絡(luò)等多層級(jí)數(shù)據(jù)采集分析能力；安全風(fēng)險(xiǎn)實(shí)時(shí)響應(yīng)能力；安全策略統(tǒng)一落地能力。

最后，運(yùn)營(yíng)體系，需確保數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用、刪除、銷毀等全過程數(shù)據(jù)安全。

在管理體系指引、技術(shù)體系支撐下，結(jié)合應(yīng)用場(chǎng)景，將數(shù)據(jù)安全保障與生產(chǎn)業(yè)務(wù)有機(jī)融合，完成跨業(yè)務(wù)條線的運(yùn)營(yíng)協(xié)同，降低泄露風(fēng)險(xiǎn)、資金安全風(fēng)險(xiǎn)，保障金融數(shù)據(jù)安全。

其中，檢查評(píng)估環(huán)節(jié)，圍繞數(shù)據(jù)資產(chǎn)、安全漏洞、應(yīng)急能力等要素，通過評(píng)估、演練、對(duì)抗等多種運(yùn)營(yíng)動(dòng)作，筑牢數(shù)據(jù)安全保障的基礎(chǔ)；

持續(xù)運(yùn)營(yíng)環(huán)節(jié)，從事前風(fēng)險(xiǎn)防范，到事中監(jiān)測(cè)預(yù)警，到事后應(yīng)急處置，構(gòu)建全流程的數(shù)據(jù)安全運(yùn)營(yíng)體系與防護(hù)體系。

除此之外，據(jù)駱鑒介紹，目前浙商銀行還在探索數(shù)據(jù)安全共享之路，通過多方安全計(jì)算技術(shù)，實(shí)現(xiàn)應(yīng)用合作方私有數(shù)據(jù)的聯(lián)合計(jì)算、建模，讓數(shù)據(jù)聚起來、動(dòng)起來、用起來、活起來，讓數(shù)據(jù)共享更安全。

金融業(yè)務(wù)安全源于全流程的安全運(yùn)營(yíng)能力

縱觀金融業(yè)的數(shù)字化進(jìn)程，以銀行為例，近年來經(jīng)歷了網(wǎng)點(diǎn)信息化、網(wǎng)上銀行、手機(jī)銀行，再到今天的智能銀行，未來還可能向開放銀行發(fā)展。

目前，絕大多數(shù)銀行處于智能銀行發(fā)展階段，即利用大數(shù)據(jù)、人工智能等技術(shù)向客戶提供個(gè)性化、差異化的服務(wù)。

隨之而來，銀行業(yè)務(wù)面臨的風(fēng)險(xiǎn)場(chǎng)景也呈現(xiàn)多樣性變化，暴露出的被攻擊面、被攻擊點(diǎn)亦呈爆發(fā)式增長(zhǎng)。

特別是疫情以來，各類涉賭涉詐欺詐團(tuán)伙也在加速線上化轉(zhuǎn)移，并利用AI技術(shù)等不斷升級(jí)與銀行風(fēng)控體系的對(duì)抗，高科技涉賭涉詐、洗錢案例持續(xù)呈現(xiàn)出高發(fā)態(tài)勢(shì)。

對(duì)于金融機(jī)構(gòu)而言，當(dāng)前的業(yè)務(wù)欺詐和數(shù)據(jù)泄露風(fēng)險(xiǎn)是持續(xù)加劇的。

那么，金融機(jī)構(gòu)該如何在保障安全合規(guī)的前提下，去提升用戶的體驗(yàn)和業(yè)務(wù)賦能？

對(duì)此，中國(guó)民生銀行安全經(jīng)理魏巍博士分享了民生銀行在數(shù)字化轉(zhuǎn)型背景下的業(yè)務(wù)安全能力建設(shè)實(shí)踐。

中國(guó)民生銀行安全經(jīng)理 魏巍博士

魏巍表示，整體思路是建立全流程的業(yè)務(wù)安全防御能力，包含事前、事中、事后。

事前要和業(yè)務(wù)的立項(xiàng)和需求進(jìn)行同步規(guī)劃和同步設(shè)計(jì)，在這個(gè)過程中要求評(píng)估和一起制定場(chǎng)景化的安全策略，以及整個(gè)技術(shù)方案的安全評(píng)估，保證業(yè)務(wù)邏輯層上的安全，然后是開發(fā)層面的安全。

事中要實(shí)現(xiàn)實(shí)時(shí)檢測(cè)和快速處置，整個(gè)安全認(rèn)證策略和安全認(rèn)證工具的應(yīng)用和落地，其次是風(fēng)險(xiǎn)策略模型的識(shí)別及響應(yīng)。

事后則是基于離線挖掘模型識(shí)別黑產(chǎn)團(tuán)伙，進(jìn)行提前的防控，其次對(duì)于情報(bào)進(jìn)行監(jiān)測(cè)和使用，可以聯(lián)動(dòng)到事前形成閉環(huán)的運(yùn)營(yíng)。

目前，民生銀行業(yè)務(wù)安全建設(shè)的成效主要體現(xiàn)在兩個(gè)方面：

一是交易安全，提升保護(hù)客戶交易的能力，以及提升客戶體驗(yàn)。

基于130個(gè)風(fēng)險(xiǎn)防控策略，為手機(jī)銀行、網(wǎng)上銀行、開放銀行等等線上線下渠道100個(gè)高風(fēng)險(xiǎn)交易場(chǎng)景提供實(shí)時(shí)防護(hù)服務(wù)，通過自動(dòng)攔截，增強(qiáng)認(rèn)證等進(jìn)行交互式的保護(hù)措施來保護(hù)客戶的交易安全。

二是對(duì)黑產(chǎn)的挖掘及反制。通過建立網(wǎng)絡(luò)黑灰產(chǎn)業(yè)務(wù)主動(dòng)監(jiān)測(cè)機(jī)制，同時(shí)針對(duì)挖掘的黑產(chǎn)團(tuán)伙采取攔截、管控、反制等手段，提升防范風(fēng)險(xiǎn)的能力。

基于這幾年的業(yè)務(wù)安全防御能力建設(shè)實(shí)踐，魏巍表示有三個(gè)觀點(diǎn)可以分享：

第一，銀行的數(shù)字化轉(zhuǎn)型本質(zhì)是在于平臺(tái)、數(shù)據(jù)和業(yè)務(wù)生態(tài)的開放和融合，不斷去創(chuàng)新提升金融服務(wù)能力。

在這個(gè)過程中，銀行的業(yè)務(wù)是持續(xù)開放的，數(shù)據(jù)資產(chǎn)是持續(xù)擴(kuò)張的，攻防對(duì)抗不斷升級(jí)，安全防御需求不斷增長(zhǎng)。

第二，在這種趨勢(shì)下，銀行業(yè)務(wù)是銀行信息系統(tǒng)建設(shè)和數(shù)據(jù)資產(chǎn)流動(dòng)的根本需求來源，是網(wǎng)絡(luò)黑產(chǎn)攻擊的主要目標(biāo)，是銀行安全防護(hù)及服務(wù)的中心對(duì)象。

業(yè)務(wù)安全防御能力須是銀行信息安全防御體系中的必備一環(huán)。

第三，建立全模式、全流程業(yè)務(wù)安全解決方案是業(yè)務(wù)安全防御能力建設(shè)的基石，而可持續(xù)高效的一體化閉環(huán)運(yùn)營(yíng)能力是業(yè)務(wù)安全防御成好壞的關(guān)鍵因素。

攻防視角下金融安全的藍(lán)軍建設(shè)

網(wǎng)絡(luò)安全的攻與防，本質(zhì)是場(chǎng)博弈，俗話說“未知攻，焉知防”。近年來，為了評(píng)估企業(yè)的安全性，發(fā)現(xiàn)組織內(nèi)部的風(fēng)險(xiǎn)點(diǎn)在信息安全領(lǐng)域，“紅藍(lán)對(duì)抗”攻防實(shí)戰(zhàn)演練越來越多。

與傳統(tǒng)滲透測(cè)試相比，紅藍(lán)對(duì)抗中的藍(lán)軍演練更接近真實(shí)的攻擊，一般包含在線業(yè)務(wù)、企業(yè)人員、合作方、供應(yīng)商、辦公環(huán)境、物理樓宇、數(shù)據(jù)中心等等多樣化的攻擊形式。

其中，藍(lán)軍旨在實(shí)現(xiàn)全場(chǎng)景、多層次的攻擊模擬，來衡量企業(yè)人員、網(wǎng)絡(luò)、應(yīng)用、物理安全控制和防護(hù)體系在面對(duì)真實(shí)攻擊時(shí)的防御水平，另外一個(gè)重要的意義在于拓寬防守方的視野，攻守相長(zhǎng)。

對(duì)此，中銀證券科技風(fēng)險(xiǎn)與安全負(fù)責(zé)人蔣瓊從藍(lán)軍視角，分享了證券行業(yè)藍(lán)軍建設(shè)的實(shí)踐和經(jīng)驗(yàn)。

中銀證券科技風(fēng)險(xiǎn)與安全負(fù)責(zé)人 蔣瓊

蔣瓊表示，即使在安全人員數(shù)量有限的情況下，企業(yè)也有必要進(jìn)行內(nèi)部藍(lán)軍建設(shè)，主要目標(biāo)是在輕量化、可持續(xù)的過程中去主動(dòng)發(fā)現(xiàn)企業(yè)內(nèi)部的安全風(fēng)險(xiǎn)。

輕量化，指的是整體投入有限，畢竟任何攻擊都是有成本的，企業(yè)需要在考慮資源稟賦的情況下選擇最佳實(shí)踐。

同時(shí)，輕量化也是一種可持續(xù)化的保障，隨著金融科技的可持續(xù)投入，安全運(yùn)營(yíng)體系也能夠體現(xiàn)出可持續(xù)性。

關(guān)于如何建設(shè)企業(yè)藍(lán)軍，蔣瓊表示有四個(gè)原則：

一是操作可審計(jì)，數(shù)據(jù)不泄露。一個(gè)好的平臺(tái)對(duì)做好整體安全運(yùn)營(yíng)非常有效，包括模擬攻擊工具、攻擊操作審計(jì)、檢查回溯等。

二是高度重視藍(lán)軍建設(shè)。藍(lán)軍必須得到企業(yè)內(nèi)部的高度重視，有時(shí)甚至授權(quán)比安全組還要高。

由于要在整個(gè)企業(yè)內(nèi)部不斷發(fā)現(xiàn)風(fēng)險(xiǎn)，需要具備獨(dú)立性，因此信任很重要。

三是人才隊(duì)伍建設(shè)。人性是很多地方的突破口，一定要招募在各自領(lǐng)域的精干人才，保證在組織里能夠在各個(gè)領(lǐng)域進(jìn)行配合。

四是復(fù)盤機(jī)制。當(dāng)安全事件發(fā)生時(shí)，內(nèi)部能夠有沙盤去做攻防推演，去形成一種慣例，對(duì)事件進(jìn)行復(fù)盤和響應(yīng)，并且能夠做到攻防上的靈活切換。

蔣瓊認(rèn)為，安全工作的目標(biāo)是“潤(rùn)物細(xì)無聲”，無論企業(yè)安全建設(shè)是大SOC還是小SOC，一定要像軍隊(duì)一樣有分工、有協(xié)同，并且不斷通過外化的吸收，去沉淀自身的戰(zhàn)斗力。

實(shí)戰(zhàn)化、可信化趨勢(shì)下，金融安全建設(shè)需多維度發(fā)展

在當(dāng)天的“金融科技安全”分論壇上，還有其他演講嘉賓分別從安全檢測(cè)、可信安全等視角，分享了對(duì)金融安全建設(shè)的經(jīng)驗(yàn)。

北京觀成科技有限公司副總經(jīng)理劉晨曦表示，如今網(wǎng)絡(luò)威脅已全面轉(zhuǎn)向加密化，金融作為擁抱新技術(shù)比較靠前的行業(yè)，面臨更多網(wǎng)絡(luò)層面的攻擊。

北京觀成科技有限公司副總經(jīng)理 劉晨曦

攻擊者一般會(huì)經(jīng)歷初始信息收集、初始打點(diǎn)、橫向移動(dòng)、命中目標(biāo)等幾個(gè)階段，在這些階段中都會(huì)產(chǎn)生不同的加密流量。

針對(duì)加密流量帶來的挑戰(zhàn)和威脅，劉晨曦認(rèn)為應(yīng)采用包含AI在內(nèi)的綜合決策體系去做檢測(cè)。

首先，通過收集惡意軟件使用的加密流量數(shù)據(jù)，從其中的協(xié)議、證書等內(nèi)容出發(fā)，拆解出多維度的相關(guān)異常特征。

其次，訓(xùn)練機(jī)器學(xué)習(xí)模型，用多個(gè)模型組合來進(jìn)行相關(guān)威脅判斷。

第三，由于安全威脅的特殊性，機(jī)器學(xué)習(xí)往往也存在一定局限，所以需綜合觀測(cè)其行為、指紋、特征等要素，進(jìn)行綜合決策。

東吳證券信息安全管理團(tuán)隊(duì)負(fù)責(zé)人徐俊超表示，網(wǎng)絡(luò)安全技術(shù)只有自主可控才能安全可信，自主可控不僅是國(guó)家的戰(zhàn)略，同時(shí)也是當(dāng)今形勢(shì)下推動(dòng)國(guó)家經(jīng)濟(jì)發(fā)展的一個(gè)新動(dòng)能。

東吳證券信息安全管理團(tuán)隊(duì)負(fù)責(zé)人 徐俊超

為了保障網(wǎng)絡(luò)安全技術(shù)本身的安全可信，建設(shè)可信防護(hù)體系核心能力至關(guān)重要。

對(duì)此，東吳證券在可信防護(hù)領(lǐng)域全面進(jìn)行了安全創(chuàng)新體系建設(shè)，實(shí)現(xiàn)基于主機(jī)的可信防護(hù)，面對(duì)未知威脅的有效抵御，如同人體自身免疫系統(tǒng)一般實(shí)現(xiàn)攻擊、入侵行為的自主對(duì)抗。

首先是安全體系架構(gòu)創(chuàng)新，構(gòu)建了多免疫可信計(jì)算環(huán)境，對(duì)應(yīng)用程序提供主動(dòng)免疫、安全可信的保障，主動(dòng)攔截系統(tǒng)操作運(yùn)行要素，根據(jù)預(yù)定的策略規(guī)則進(jìn)行可信判定，及時(shí)發(fā)現(xiàn)并且禁止不符合預(yù)期的行為，保證全程安全穩(wěn)定運(yùn)行。

第二是可信計(jì)算密碼技術(shù)創(chuàng)新，采用算法全面替代當(dāng)前持續(xù)免疫系統(tǒng)使用的加密算法，保證了安全可信和自主可控。

第三是可信網(wǎng)絡(luò)連接創(chuàng)新。在集中管理的網(wǎng)絡(luò)安全環(huán)境中，采用三圓三層可信連接架構(gòu)，有效防范內(nèi)外合謀攻擊。

結(jié)語

數(shù)字經(jīng)濟(jì)為金融業(yè)帶來發(fā)展機(jī)遇的同時(shí)，也對(duì)金融安全帶來了巨大挑戰(zhàn)。

在國(guó)家加強(qiáng)金融安全建設(shè)的趨勢(shì)下，金融機(jī)構(gòu)的網(wǎng)絡(luò)安全建設(shè)正一步步向著“重實(shí)戰(zhàn)”的方向走去。

在2023 INSEC WORLD“金融科技安全”論壇的這場(chǎng)觀點(diǎn)碰撞和交鋒中，相信能給金融科技從業(yè)者們帶去一份思考和感悟。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。