十三五金融網(wǎng)絡安全建設要點

1、 “十三五”金融網(wǎng)絡安全建設要點隨著金融行業(yè)“十二五”建設的完畢，中國人民銀行于2017年6月發(fā)布了中國金融業(yè)信息技術“十三五“發(fā)展規(guī)劃（以下簡稱“十三五”規(guī)劃）?！笆濉币?guī)劃與中國金融業(yè)信息化“十二五“發(fā)展規(guī)劃（以下簡稱“十二五”規(guī)劃）相比，我們可以看到監(jiān)管機構(gòu)針對網(wǎng)絡安全領域的要求發(fā)生了顯著變化。在“十二五”規(guī)劃中，我們理解監(jiān)管機構(gòu)主要強調(diào)了三點：一是提高金融機構(gòu)業(yè)務連續(xù)性保障能力；二是提高信息安全管理水平，三是提升信息安全防護水平。而在“十三五”規(guī)劃中，可以看到以下三方面變化：一是提出“堅持安全與發(fā)展并重”的原則；二是確定了包括健全和提高網(wǎng)絡安全管理機制、新技術應用風險防控能力、安全生

2、產(chǎn)和網(wǎng)絡安全防護能力的網(wǎng)絡安全保障體系發(fā)展目標；三是明確了提高安全生產(chǎn)能力、安全管理水平和全面推進落實網(wǎng)絡安全法的重點任務。結(jié)合“十三五”規(guī)劃的要求，以及綠盟科技多年服務金融行業(yè)的經(jīng)驗，本文從六個方面闡述對當前及未來金融行業(yè)信息安全要點的理解。金融機構(gòu)網(wǎng)絡安全與國家安全戰(zhàn)略發(fā)展的一致性“十二五”期間中央網(wǎng)絡安全和信息化領導小組的成立，意味著網(wǎng)絡安全已經(jīng)上升到中國的國家安全戰(zhàn)略。習近平主席提出了“沒有網(wǎng)絡安全就沒有國家安全”的國家戰(zhàn)略安全觀。我國金融監(jiān)管機構(gòu)在網(wǎng)絡安全方面的工作思路一直以來都保持與國家安全戰(zhàn)略的一致性。2012年，中國人民銀行發(fā)布了金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引（銀發(fā)

3、163文件）等三項行業(yè)標準，這一重要制度安排明確了金融行業(yè)信息安全等級保護的執(zhí)行機制。中華人民共和國網(wǎng)絡安全法的正式頒布明確了關鍵信息基礎設施實行網(wǎng)絡安全等級保護，從法律層面正式確認了等級保護的強制性。針對關鍵信息基礎設施的安全防護和檢查，各監(jiān)管機構(gòu)相應發(fā)布管理文件，如銀監(jiān)會發(fā)布的銀監(jiān)辦發(fā)【2016】107號文和銀監(jiān)辦發(fā)【2017】57號文，證券會制訂了證券基金經(jīng)營機構(gòu)信息技術管理辦法（征求意見稿）。綜上可見，金融機構(gòu)在開展自身網(wǎng)絡安全建設過程中，需要參照并遵循國家安全戰(zhàn)略的發(fā)展方向、滿足國家法律與監(jiān)管要求。著重考慮作為關鍵信息基礎設施的金融機構(gòu)信息系統(tǒng)在知識產(chǎn)權(quán)、技術能力、發(fā)展主動權(quán)、供應鏈

4、等方面的自主可控。滿足監(jiān)管合規(guī)要求并不足以完全應對安全威脅監(jiān)管和業(yè)務雙方是相生互助的關系。金融業(yè)務在不斷改變模式，持續(xù)引進新技術、新應用的同時，對監(jiān)管也提出了新的安全要求。這種管控反過來又將金融業(yè)務的發(fā)展牽引到規(guī)范、安全的方向。對于金融機構(gòu)而言，監(jiān)管機構(gòu)的合規(guī)要求是達標的安全基線，是普適要求，并不能完全滿足真實環(huán)境中的網(wǎng)絡安全保障需求。在此方面，云計算安全是一個典型實例，前文提到的金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引中沒有涉及該部分內(nèi)容，而云計算在金融行業(yè)已經(jīng)是普遍存在的業(yè)務部署和使用場景，針對金融云應用中更需關注的信息資產(chǎn)安全與隱私保護、可信服務、虛擬化安全等，金融機構(gòu)有必要在合規(guī)要求未

5、覆蓋的領域，對云計算應用展開安全評估與安全建設。又如金融行業(yè)中普遍使用防火墻、IDS等網(wǎng)絡安全系統(tǒng)，如果僅從合規(guī)角度看，部署這些系統(tǒng)的確表明機構(gòu)已滿足了監(jiān)管要求，但這些系統(tǒng)在缺乏集中管控和關聯(lián)分析手段的情況下，管理人員較難從海量日志信息中發(fā)現(xiàn)真正有用的攻擊信息，同時也無法實現(xiàn)攻擊鏈的整體評估，安全防護僅限于單個設備的管理與維護，不能從更高視角看待機構(gòu)整體的安全性。因此，通過建立合規(guī)要求之外的先進手段，如安全態(tài)勢感知、安全大數(shù)據(jù)智能分析平臺等，可以更好地幫助企業(yè)實現(xiàn)具備宏觀和微觀視角的網(wǎng)絡安全管控。 “互聯(lián)網(wǎng)+”金融發(fā)展帶來持續(xù)安全挑戰(zhàn)在持續(xù)強化網(wǎng)上銀行、手機銀行、直銷銀行、網(wǎng)上消費信貸等線上業(yè)

6、務能力的同時，機構(gòu)的業(yè)務系統(tǒng)發(fā)生了諸多變化。例如系統(tǒng)開發(fā)普遍采用敏捷開發(fā)方式力求產(chǎn)品的快速上線與版本功能的靈活更迭，整體架構(gòu)逐漸向“胖前置、瘦核心”轉(zhuǎn)變并更多地采用開放式架構(gòu)，這些變化導致金融機構(gòu)在互聯(lián)網(wǎng)環(huán)境下面臨更多威脅。金融機構(gòu)需要關注業(yè)務系統(tǒng)在市場快速響應與安全建設保障之間的沖突性，盡量減少因新業(yè)務或新功能可能帶來的業(yè)務安全風險和用戶個人隱私泄露。因此，需嚴格遵從中華人民共和國網(wǎng)絡安全法三同步建設的要求，在業(yè)務系統(tǒng)的規(guī)劃設計、系統(tǒng)開發(fā)、評估上線及使用運維等所有環(huán)節(jié)對網(wǎng)絡安全展開整體設計、建設與維護。新技術發(fā)展及應用提出了更高的安全保障要求人工智能、區(qū)塊鏈由于技術實現(xiàn)的難度，還處于研究摸索

7、及小規(guī)模應用階段，而移動互聯(lián)、云計算和大數(shù)據(jù)技術的應用已經(jīng)非常廣泛。這三項技術對金融機構(gòu)的網(wǎng)絡安全保障提出了更高的現(xiàn)實要求。以云計算為例，大中型金融機構(gòu)已開始建立私有云，小型機構(gòu)則大量使用行業(yè)云。對于大中型機構(gòu)而言，需要考慮私有云自身虛擬系統(tǒng)平臺的安全性、考慮在云計算環(huán)境中東西向和南北向的安全隔離防護控制建設并定期開展安全評估與測評。小型機構(gòu)則需要考慮云服務商的服務能力和安全防護能力，確保租戶安全。大數(shù)據(jù)應用在帶來業(yè)務價值的同時，也為不法行為帶來了更多便利，集中的數(shù)據(jù)平臺使得攻擊者目標更為明確，而數(shù)據(jù)挖掘分析結(jié)果則大大提升了獲取信息情報的價值。因此，在大數(shù)據(jù)應用分析過程中更需重視對數(shù)據(jù)中心及數(shù)

8、據(jù)的保護，避免信息丟失、泄露與濫用。安全管控步入能力提升階段就技術而言，金融機構(gòu)信息系統(tǒng)在“十二五”期間已部署使用了包括防病毒、防火墻、WAF、IDS、抗拒絕服務攻擊、安全審計、桌面終端防護等安全系統(tǒng)，具備較強的網(wǎng)絡基礎防護能力。但今年爆發(fā)的Wannacry勒索蠕蟲揭示了兩個值得關注的問題：一是利用新暴露的漏洞進行網(wǎng)絡攻擊，可輕易穿透傳統(tǒng)安全防護機制；二是很多機構(gòu)的漏洞安全仍未實現(xiàn)閉環(huán)管理。這兩個問題表明了機構(gòu)基礎防護能力仍舊有限，難以應對更為復雜、先進的攻擊威脅，同時管理機制和實現(xiàn)手段仍有待提升。因此，進一步全面提升安全管控能力是下一階段安全建設與提升的必由之路。我們認為未來機構(gòu)的安全建設可

9、關注以下八個方面的安全能力提升。包括業(yè)務行為及數(shù)據(jù)異常監(jiān)測能力、網(wǎng)絡行為及數(shù)據(jù)異常監(jiān)測能力、未知威脅檢測防護能力、漏洞閉環(huán)管理能力、安全態(tài)勢感知能力、安全大數(shù)據(jù)分析能力、業(yè)務連續(xù)性能力、安全響應及處置能力。傳統(tǒng)威脅不容忽視在關注新增威脅的同時，傳統(tǒng)安全威脅依舊不能忽視。DDOS攻擊以及內(nèi)部人員威脅是在“十三五”期間需要持續(xù)關注和防護的兩大傳統(tǒng)威脅。研究數(shù)據(jù)表明，金融行業(yè)有36%的機構(gòu)遭遇過DDOS攻擊，行業(yè)重災區(qū)是第三方支付機構(gòu)，占比67%。近年來，DDOS勒索攻擊呈現(xiàn)上升態(tài)勢。2017年下半年，境外不法機構(gòu)多次以發(fā)起DDOS攻擊為由惡意勒索國內(nèi)金融機構(gòu)，多家監(jiān)管機構(gòu)相繼發(fā)布安全預警通告。隨著金融機構(gòu)防護手段的不斷完善，網(wǎng)絡攻擊犯罪行為已呈下降之勢，更多的金融犯罪是通過非法獲取公民個人信息進行，其中內(nèi)外勾結(jié)成為信息泄露的方式之一。此外，第三方支付、P2P信貸、互聯(lián)網(wǎng)投融資等非銀機構(gòu)，由于人員流動頻繁、網(wǎng)絡安全投入保障不到位，更易發(fā)生內(nèi)部信息泄露問題。針對以上情況，在抗DDOS攻擊方面，機構(gòu)需要進一步建立云、地、端三級防護的聯(lián)動方式和手段，并加強和CERT等機構(gòu)的