金融科技新形势下中小银行网络安全工作思考与实践
2019-09-10王心玉王云峰
王心玉 王云峰
近几年来,随着互联网金融的兴起,银行机构大力推进“线下业务线上化、线上业务移动化”,纷纷运用大数据、云计算等相关新技术提升科技能力。在此背景下,银行机构面临的网络安全风险也出现新的变化,相比国有大行,中小银行信息科技力量相对薄弱一些,安全管理人员数量和能力也存在一定差距,然而网络安全要求却不能降低。如何踏实有成效地做好网络安全工作、平衡好业务发展与安全风险之间的关系是中小银行普遍面临的一道难题。
江苏银行自成立以来,始终坚持在传承中提升、在创新中发展、在变革中跨越,致力于打造最具互联网大数据基因的银行。推动互联网金融业务快速发展的同时,注重抓好网络安全建设与风险防控工作,在这个过程中也积累了丰富的实战经验。具体来讲,江苏银行的网络安全工作主要围绕“控得住、看得见、无感知、自防御”四个方面开展。
努力构建“控得住”的安全,提升自主可控能力
在IT架构设计和系统开发运维方面,江苏银行坚持自主设计、适度外包的策略,对前端、渠道、核心等重要业务系统都能做到自行设计、开发和维护,所有系统源码均由行方管理、编译、投产,大大降低了外包的依赖,在此过程中培养了一批架构师、设计师和资深程序员队伍。此外,对重要外包服务商还进行了分级分类管理,开展尽职调查和现场风险评估,及时提示存在的风险并约谈外包商进行整改,有效降低了外包商风险。在网络安全管理方面,江苏银行建立了一支由架构、安全、网络、大数据等跨团队协同作战的联合安全小组,由软件开发团队指定专员作为开发安全员,组建开发安全小组,每周进行安全监管要求、行业动态、开发经验和应用安全要点梳理分析,提高开发安全知识和能力,同时进一步提升应用系统安全规范性和安全防控水平。完善安全管理和开发基线,自上而下地将安全理念和要素渗透到应用系统生命周期的需求、设计、开发、测试、部署和运维各个层面,同时自下而上对各层面安全控制进行有机整合,提高系统整体可控性。
持续推进“看得见”的安全,掌握全网风险态势
首先要“看得全”,建立资产自动化扫描与安全监测平台,全量管控网络资产和运行状态、域名等关键网络资源,结合各应用服务所在的操作系统、中间件、数据库、开发框架等基础环境版本和应用控制基线,以应用系统为单位形成完整的安全档案,为风险问题的分析定位做好全面的基础信息保障。其次还要“看得透”,实现安全风险的可视化,通过建设集中化的日志分析和全流量威胁感知平台,实时分析海量安全日志和关键区域网络流量,同时关联外部威胁情报,深度挖掘风险事件,及时发现访问异常、病毒事件、恶意攻击、内部违规等行为,结合业务特点形成关联化的风险场景,展示出全局性、综合化的风险态势。最后还要“看得准”,通过大数据、人工智能技术,推动银行风险管理的智能化转型。江苏银行自主研发了“月光宝盒”大数据风控平台,通过黑名单、反欺诈、评级评分、风险定价、授信额度测算、决策审批、智能调查、风险预警等流程,运用于“e融”系列网贷产品和传统授信业务的贷前、贷中、贷后的全流程管理中,有效提高了风险精细化管理的有效性和时效性。
深度定制“无感知”的安全,助力业务安心上线
中小银行自身资源有限,力求让安全成为一项“透明化”的标准服务。对于应用开发人员,只要专注于业务功能开发,无需过多了解安全模块内部的具体实现,在架构设计阶段就明确安全需求和目标,相应地加载WEB应用动态防护、APP安全加固等防护措施,并结合应用场景提供安全短信接口、防注入过滤器等成熟组件给应用调用,逐步达到开发安全的流程标准化、实现模块化。对于测试人员,可专注于业务功能测试。在不增加测试工作量的基础上,通过搭建交互式的自动化安全测试平台,将业务功能测试的流量记录下来,实时导入到安全测试平台,平台自动加载安全攻击知识库,即可获得测试结果。这样一来,测试人员在完成功能测试的同时后台同时也完成了安全测试,并且功能覆盖全面,减少了中间环节,助力业务安心上线的同时大大提升了工作效率。对于普通客户,在不影响客户体验的前提下增强交互的安全性。譬如,我们在手机客户端预置的生物探针、设备指纹等组件以及后端业务反欺诈规则,客户在前端使用过程中完全无感知,实际后端已完成了高精度的人机行为识别、客户行为画像和业务风险控制。
巧妙布设“自防御”的安全,让攻击者“看不懂”
常见的攻击行为是攻击者发起攻击,找到一个薄弱点进行突破,而防守方只能被动防御。为打破这种不对称状态,我们抓住网络攻防中的两个关键点,一方面利用欺骗防御手段,在互联网上布设伪装代理与追踪溯源系统,在黑客发起攻击的必经之路上构造陷阱和高交互蜜罐,与真实的业务系统绑定并隐藏其中,一旦触碰,攻击者的行为必定留痕暴露,从而形成黑客画像,以利于追踪溯源。此举不仅可以混淆黑客攻击目标,同时能够精确感知攻击的行为,并借助威胁关联分析,准确定位出哪些是针对性的攻击,进而与现有防御体系联动,在其发起攻击的初期将其阻断,让攻击者看不懂。上线一年来,共采集1万余个攻击源数据,隔离10万余次攻击,有效提升了互联网安全防御水平。另一方面利用动态防护手段,在应用之前部署一道机器人防火墙,通过对交互报文内容持续动态变化,增加服务器行为的不可预测性,让攻击者无法识别目标进行下一步渗透,其制作的脚本程序或自动化工具发起的请求也无法生效。从实际运行情况来看,已阻断的异常流量约占到总访问量的40%以上,该项技术的使用不仅有效防范了应用渗透攻击、漏洞扫描等行为,也给后台应用减轻了压力,节省了不必要的资源消耗。
以上是江苏银行网络安全工作的几点做法和体会,通过充分评估配置的资源条件,优化管理模式,在保障业务高可用的前提下,安全工作以快速解決问题为目标,能从原理上防护的不去维护复杂的规则,能自动化解决的坚决减少重复性人力操作,并适当跟踪引入新的安全防护技术,甄选优秀安全产品和解决方案,联动现有安防体系,发挥立竿见影的效果。
金融和科技之间的融合不断加深,银行信息与网络安全的机遇和挑战并存。随着云计算、大数据、区块链、人工智能等新技术的不断发展和应用,信息与网络安全的防护必将更加科学、高效和可靠,江苏银行将持续加大金融科技研究和应用实践,切实提高技术的创新能力,打造自身核心竞争力,为客户提供更加便捷、安全、贴心的智能金融服务。