商業銀行信息系統安全建設新挑戰 - 網安 - 專業的網絡安全產業、社區、知識平臺

背景介紹

隨著業務電子化、服務線上化的不斷推進，商業銀行信息系統安全建設已取得長足的進步，但目前新態勢對其安全運行提出新的挑戰，主要體現在以下方面：一是從資產管理角度來看，各大型商業銀行IT資產規模普遍數以萬計，自有業務還在高速增長；部分銀行實行提供基礎設施、賦能合作伙伴、構建金融生態圈的金融科技戰略，內外資產邊界不再涇渭分明，上述態勢加劇了IT資產治理的復雜性。二是從系統構建角度來看，隨著金融創新的蓬勃發展，為快速滿足客戶日新月異的需求，各商業銀行普遍實行雙模IT的發展戰略，但敏態IT對銀行的信息安全建設提出了新挑戰。三是從開源軟件管控角度來看，商業銀行普遍引入了開源軟件提升研發效率，加快信息系統的構建，但近年來知名開源軟件高危漏洞頻出，商業銀行需要形成系統化的管控方法，趨利避害。四是從網絡安全監控體系來看，DDoS攻擊的強度、復雜程度及向量不斷增加，各類安全事件處置的時間窗口不斷縮短，對安全運營能力提出新要求。五是從流程管理角度看，商業銀行普遍有安全管控體系，但需要構建對應的IT系統對其形成良好支撐，避免運動式、離線式的安全管理。六是從監管層面來看，《中華人民共和國網絡安全法》《中華人民共和國數據安全法》等法律先后頒布、等保2.0標準開始實施，對商業銀行合規提出了新要求。

為應對上述新形式的變化，商業銀行需要構建以資產治理為核心、以流程管控為支撐、以業務合規為指引，覆蓋開源軟件管控、敏態安全保證和運行安全監控的安全運營體系，如圖1所示。流程管控需要補齊短板，將現有離線或半離線的安全管控流程進行線上化、閉環化遷移；業務合規需要落實專職人員加強各類安全相關法律法規及標準的解讀，覆蓋業務系統設計、構建、運行全生命周期。

圖1 安全運營體系建設

安全視角資產建設

1.基于安全運營視角存在的不足。商業銀行普遍基于配置管理數據庫（CMDB）系統對組織的IT資產進行數字化管理。但是從安全運營的視角審視存在諸多不足，體現在如下方面。

（1）視角差異：CMDB通常以資源的視角構建，服務于基礎設施，但是安全運營更注重從應用系統的視角看資產。導致CMDB數據從安全運營人員視角來看割裂化、參照性差。

（2）覆蓋不足：數據資產實現了對通用類型的服務器、虛擬機等設備的覆蓋，但未覆蓋路由交換、存儲等專用設備。隨著以無人銀行為代表的萬物互聯技術的發展，物聯網設備在銀行得到廣泛應用。目前各類專用設備和物聯網設備相關漏洞的不斷披露，對此類資產的收錄亟待實現。

（3）關聯缺失：雖然有統一的CMDB管理數據資產，但實際應用中資產管理呈現部門化特征，各部門對同一資產有不同角度的解讀，數據孤立、關聯困難，資產價值的發揮存在較大局限性，難以滿足縱深防御體系對資產的需求。

（4）同步滯后：CMDB主要服務于ITSM流程，ISTM本身是一種離線式服務過程，導致CMDB數據實時性不高，與組織資產實際存在一定背離，部分組織更呈現“重前置審批、輕變動管控”的問題。

2.構建支撐安全運營的CMDB。針對上述問題商業銀行需要在資產治理進行以下提升，構建支撐安全運營的CMDB，如圖2所示。

圖2 安全視角的CMDB建設

（1）構建資產的多角度視圖，實現以應用系統層為核心的，寬維度、多層次的資產呈現，滿足各業務部門對資產的不同需求。需要在資產管理設計階段做好資產建模，理清層次間的派生關系，避免“斷鏈”，實現資產庫對安全運營的有效支撐。

（2）實現資產的流程嵌入，使資產管理成為變更申請的必要組成部分，實現資產管控與流程管控的同步，實時反映資產現狀。流程設計上要對ITIL和敏捷開發模式雙支持。

（3）推進資產的自動化采集，可采用資產掃描和主機Agent部署等多種方式提升資產采集的自動化水平，使資產采集實現通用設備和專用設備的全覆蓋；構建內網之間、內外網間資產的關聯關系，實現基于數據流向的全程資產測繪，滿足縱深防御的新需求。

（4）提升資產的數據質量，將變更流程導致的資產變動、資產采集探測的資產現狀，與資產庫數據進行比對、多角度校驗和必要的人工審核，實現資產庫對運營現狀的精準反應。

（5）重視組織架構對資產的支撐，構建資產與組織機構、與機構人員的對應關系，實現資產歸屬的精準化，提升商業銀行應對各類網絡安全事件的響應速度。

開源軟件管控

開源軟件以其開放、共享、靈活的特性在商業銀行得到廣泛應用，以Spring、Hadoop、Tensorflow為代表的項目已形成了良好生態圈，成為商業銀行微服務、大數據及人工智能的默認框架。

1.開源軟件存在的風險問題。開源軟件風險問題需日益重視，主要體現在以下方面。

（1）選型缺乏管控：部分銀行的開源軟件的引入呈弱管控的狀態，軟件及其版本的選擇權下放至開發人員。部分開源軟件如Struct2、Mongdb等頻發嚴重漏洞，據相關組織自2014年以來統計數據，NPM和MavenCentral數據庫中的漏洞數量分別增長了954%和346%。開源軟件不當引入會對銀行系統的安全運行造成嚴重威脅。

（2）引入來源多樣：商業銀行企業內部針對開源軟件的沒有構建完善的介質庫，開發人員的軟件下載渠道各異，缺乏安全掃描，直接部署于生產環境，導致引入病毒木馬的風險。

（3）更新維護延遲：商業銀行對披露的開源漏洞，受制于缺少漏洞情報庫、資產治理水平以及管理因素，沒有或很少及時采取緩解及解決措施，導致1Day漏洞存在成功利用的風險。

（4）證書風險：目前證書主要有GPL、Apache、BSD等類型，部分證書存在“強傳染性”，有法律及企業聲譽風險，需進行深入分析。

2.構建漏洞管理平臺，加強開源軟件管控。為應對上述風險問題，商業銀行需構建漏洞管理平臺，加強對開源軟件管控。

（1）一個對接：即與資產庫進行對接，全局性的掌握組織各IT系統開源軟件的使用現狀。

（2）二個建設：即進行威脅情報庫和介質庫的建設。威脅情報庫的建設就是每日跟蹤CNVD各大安全公司應急響應中心的公開情報，形成企業級威脅情報庫；介質庫的建設就是搭建Maven、Npm等私有服務器，項目組的開發庫依賴，均指向該服務器，杜絕私自引入，實現既能保證引入軟件安全性，又能便捷支持項目開發。

（3）三個流程：即引入評審流程、資產匹配流程和評估整改流程。引入評估流程是對開源軟件的引入，需要綜合社區成熟度、github等平臺的folk數目、歷年披露的高危漏洞和修復及時性、證書傳染性等綜合評價，確定開源軟件是否可引入。隨后與官方網站同步并經木馬查殺后，方可進入介質庫。資產匹配流程是實現資產庫與情報庫信息自動化匹配，實現資產脆弱性的T+0發現機制。評估整改流程是若資產匹配流程命中，需有線上化流程支撐關聯研判、緩解措施部署和版本升級，維護應用系統的安全性，并同步更新介質庫該軟件底線版本。

（4）四個能力：即實現資產匹配自動化、威脅情報集中化、整改流程線上化、風險整改閉環化。

敏態安全保證

敏捷開發以其快速迭代、快速滿足用戶響應為特點，可有效支持商業銀行零售業務的開展，使用日益廣泛。商業銀行敏捷工作的開展主要存在兩方面問題，部分商業銀未將安全嵌入敏捷中，呈現DevOpsSec，安全管控滯后。部分銀行，尤其是存在多個開發中心的大型銀行，尚未建立起全行統一的安全流水線，安全工具并未基于企業實際進行定制，導致軟件安全評價不一、準出不一。為更好地在敏捷開發過程中落實安全，各銀行需要安全前移、標準統一，如圖3所示。

圖3 敏捷態安全保證

安全前移：即將安全活動前移至系統需求分析階段，覆蓋從需求分析至生產運行的全生命周期。商業銀行需定期組織對敏捷團隊的開發人員和運維人員的培訓工作；將安全需求、設計、編碼、測試及部署的各類工具嵌入到持續集成流水線中，實現工具化、自助化和自動化。

標準統一：即構建全行統一的安全流水線，避免工具鏈重復性建設，形成制度、評價、準出統一，構建組織統一的敏捷視圖。需要注意的是工具鏈的檢測規則需按組織實際進行“本土化”改造，提升檢測效率；組織高層需要給安全團隊賦予足夠的話語權，保證標準統一工作落地。

近年來，流水線上各階段常用的工具JIRA、Gitlab等均有高危漏洞披露，安全人員需要定期進行檢測更新，避免高價值目標失陷。此外，根據PaloAltoNetworks披露的數據，目前有30%的docker鏡像存在漏洞，其中26.2%的漏洞由命令執行、路徑穿越等高危漏洞組成，安全人員需定期進行鏡像安全掃描、修補漏洞就及鏡像替換工作，保證運行安全。

安全監控體系提升

目前，安全防控已經從傳統的邊界防御向縱深防御轉變，強調多級防御、及時檢測和阻斷。各商業銀行普遍部署有防火墻、IPS、Waf等防護設備，構建了安全設備防御鏈。但網絡攻防一直是此消彼長的過程，一面是黑客攻擊武器的智能化，對攻擊事件的發現和處置提出了更高要求；一面是各類新型安全防護產品不斷推出，SOAR技術也日益發展。商業銀行應從以下方面加強建設。

一是加強對DDOS重視。Akamai觀測發現僅在2021年一季度，超過50Gbps的攻擊比2019年全年還多，預計未來TB級別的流量攻擊亦不鮮見。商業銀行作為高價值組織更易受到DDos的威脅，企業自身一方面要留存一定的帶寬，另外需要做好與IDC服務器及云服務商的聯動，以應對大和超大規模的DDOS攻擊。

二是加強流量監控能力。在串聯防護能力建設方面，可引入RASP和DBF，完善防御鏈。RASP將自身注入到應用程序中，與應用程序融為一體，實時監測、阻斷攻擊，使程序自身擁有自保護能力。DBF實現數據庫的訪問行為控制、危險操作阻斷、可疑行為審計。通過部署觀察者模式的WAF、APT檢測產品及流量回溯設備，搭建旁路防御體系。

三是推進安全運營智能化。根據思科相關報告顯示，43%的中國企業認為公司存在“網絡安全疲勞”現象，遠高于30%的全球平均水平，大量的安全告警和其中虛假警報是引發“網絡安全疲勞”的原因之一，安全設備的堆疊又是導致安全告警增加的重要原因。SOAR的建設亟待進行。通過SOAR的構建，可以實現多安全設備告警進行歸類和關聯分析，提高告警準確性、可將重復工作編排成劇本實現自動化處置，減少對專業人員的依賴。

未來展望

隨著網絡攻擊日益專業化、工具化、智能化，規則靜態化、重南北流量的縱深防御體系將被以證書和認證為核心的零信任網絡取代，商業銀行可在VPN等遠程辦公領域開展零信任的試點應用。應用加密、協議加密廣泛應用，將弱化現有基于網絡流量的安全設備檢測能力，并對其性能和高可用提出新要求，商業銀行需引入動態驗證、動態混淆等防護新技術，彌補防御體系的不足。網絡攻擊日益迅速、精準，將進一步縮短應急響應和處置的時間窗口，商業銀行需不斷提升SOAR的自動化處置能力。網絡攻擊目的從炫技向獲取經濟利益轉變，商業銀行需加強對業務邏輯漏洞重視，需加強網絡安全設備與風控系統聯動，安全運維人員與應用開發者的聯動，做到及早發現、及早處置。