随着金融行业“十二五”建设的完毕,中国人民银行于2017年6月发布了《中国金融业信息技术“十三五“发展规划》(以下简称“十三五”规划)。“十三五”规划与《中国金融业信息化“十二五“发展规划》(以下简称“十二五”规划)相比,我们可以看到监管机构针对网络安全领域的要求发生了显著变化。
在“十二五”规划中,我们理解监管机构主要强调了三点:一是提高金融机构业务连续性保障能力;二是提高信息安全管理水平,三是提升信息安全防护水平。而在“十三五”规划中,可以看到以下三方面变化:一是提出“坚持安全与发展并重”的原则;二是确定了包括健全和提高网络安全管理机制、新技术应用风险防控能力、安全生产和网络安全防护能力的网络安全保障体系发展目标;三是明确了提高安全生产能力、安全管理水平和全面推进落实网络安全法的重点任务。
结合“十三五”规划的要求,以及绿盟科技多年服务金融行业的经验,本文从六个方面阐述对当前及未来金融行业信息安全要点的理解。
“十二五”期间中央网络安全和信息化领导小组的成立,意味着网络安全已经上升到中国的国家安全战略。习近平主席提出了“没有网络安全就没有国家安全”的国家战略安全观。我国金融监管机构在网络安全方面的工作思路一直以来都保持与国家安全战略的一致性。2012年,中国人民银行发布了《金融行业信息系统信息安全等级保护实施指引》(银发 163文件)等三项行业标准,这一重要制度安排明确了金融行业信息安全等级保护的执行机制。《中华人民共和国网络安全法》的正式颁布明确了关键信息基础设施实行网络安全等级保护,从法律层面正式确认了等级保护的强制性。针对关键信息基础设施的安全防护和检查,各监管机构相应发布管理文件,如银监会发布的银监办发【2016】107号文和银监办发【2017】57号文,证券会制订了《证券基金经营机构信息技术管理办法》(征求意见稿)。
综上可见,金融机构在开展自身网络安全建设过程中,需要参照并遵循国家安全战略的发展方向、满足国家法律与监管要求。着重考虑作为关键信息基础设施的金融机构信息系统在知识产权、技术能力、发展主动权、供应链等方面的自主可控。
满足监管合规要求并不足以完全应对安全威胁
监管和业务双方是相生互助的关系。金融业务在不断改变模式,持续引进新技术、新应用的同时,对监管也提出了新的安全要求。这种管控反过来又将金融业务的发展牵引到规范、安全的方向。
对于金融机构而言,监管机构的合规要求是达标的安全基线,是普适要求,并不能完全满足真实环境中的网络安全保障需求。在此方面,云计算安全是一个典型实例,前文提到的《金融行业信息系统信息安全等级保护实施指引》中没有涉及该部分内容,而云计算在金融行业已经是普遍存在的业务部署和使用场景,针对金融云应用中更需关注的信息资产安全与隐私保护、可信服务、虚拟化安全等,金融机构有必要在合规要求未覆盖的领域,对云计算应用展开安全评估与安全建设。
又如金融行业中普遍使用防火墙、IDS等网络安全系统,如果仅从合规角度看,部署这些系统的确表明机构已满足了监管要求,但这些系统在缺乏集中管控和关联分析手段的情况下,管理人员较难从海量日志信息中发现真正有用的攻击信息,同时也无法实现攻击链的整体评估,安全防护仅限于单个设备的管理与维护,不能从更高视角看待机构整体的安全性。因此,通过建立合规要求之外的先进手段,如安全态势感知、安全大数据智能分析平台等,可以更好地帮助企业实现具备宏观和微观视角的网络安全管控。
“互联网+”金融发展带来持续安全挑战
在持续强化网上银行、手机银行、直销银行、网上消费\信贷等线上业务能力的同时,机构的业务系统发生了诸多变化。例如系统开发普遍采用敏捷开发方式力求产品的快速上线与版本功能的灵活更迭,整体架构逐渐向“胖前置、瘦核心”转变并更多地采用开放式架构,这些变化导致金融机构在互联网环境下面临更多威胁。金融机构需要关注业务系统在市场快速响应与安全建设保障之间的冲突性,尽量减少因新业务或新功能可能带来的业务安全风险和用户个人隐私泄露。
因此,需严格遵从《中华人民共和国网络安全法》三同步建设的要求,在业务系统的规划设计、系统开发、评估上线及使用运维等所有环节对网络安全展开整体设计、建设与维护。
新技术发展及应用提出了更高的安全保障要求
人工智能、区块链由于技术实现的难度,还处于研究摸索及小规模应用阶段,而移动互联、云计算和大数据技术的应用已经非常广泛。这三项技术对金融机构的网络安全保障提出了更高的现实要求。以云计算为例,大中型金融机构已开始建立私有云,小型机构则大量使用行业云。对于大中型机构而言,需要考虑私有云自身虚拟系统平台的安全性、考虑在云计算环境中东西向和南北向的安全隔离防护控制建设并定期开展安全评估与测评。小型机构则需要考虑云服务商的服务能力和安全防护能力,确保租户安全。
大数据应用在带来业务价值的同时,也为不法行为带来了更多便利,集中的数据平台使得攻击者目标更为明确,而数据挖掘分析结果则大大提升了获取信息情报的价值。因此,在大数据应用分析过程中更需重视对数据中心及数据的保护,避免信息丢失、泄露与滥用。
安全管控步入能力提升阶段
就技术而言,金融机构信息系统在“十二五”期间已部署使用了包括防病毒、防火墙、WAF、IDS、抗拒绝服务攻击、安全审计、桌面终端防护等安全系统,具备较强的网络基础防护能力。但今年爆发的Wannacry勒索蠕虫揭示了两个值得关注的问题:一是利用新暴露的漏洞进行网络攻击,可轻易穿透传统安全防护机制;二是很多机构的漏洞安全仍未实现闭环管理。这两个问题表明了机构基础防护能力仍旧有限,难以应对更为复杂、先进的攻击威胁,同时管理机制和实现手段仍有待提升。
因此,进一步全面提升安全管控能力是下一阶段安全建设与提升的必由之路。我们认为未来机构的安全建设可关注以下八个方面的安全能力提升。包括业务行为及数据异常监测能力、网络行为及数据异常监测能力、未知威胁检测防护能力、漏洞闭环管理能力、安全态势感知能力、安全大数据分析能力、业务连续性能力、安全响应及处置能力。
传统威胁不容忽视
在关注新增威胁的同时,传统安全威胁依旧不能忽视。DDOS攻击以及内部人员威胁是在“十三五”期间需要持续关注和防护的两大传统威胁。研究数据表明,金融行业有36%的机构遭遇过DDOS攻击,行业重灾区是第三方支付机构,占比67%。近年来,DDOS勒索攻击呈现上升态势。2017年下半年,境外不法机构多次以发起DDOS攻击为由恶意勒索国内金融机构,多家监管机构相继发布安全预警通告。随着金融机构防护手段的不断完善,网络攻击犯罪行为已呈下降之势,更多的金融犯罪是通过非法获取公民个人信息进行,其中内外勾结成为信息泄露的方式之一。
此外,第三方支付、P2P信贷、互联网投融资等非银机构,由于人员流动频繁、网络安全投入保障不到位,更易发生内部信息泄露问题。
针对以上情况,在抗DDOS攻击方面,机构需要进一步建立云、地、端三级防护的联动方式和手段,并加强和CERT等机构的沟通联系。在内部人员防控方面,机构则需加强内部安全培训,提升人员法律意识,并进一步完善业务操作监测与审计方式。
数字化要一盘棋更要各自为战
