網(wǎng)商銀行：數(shù)字銀行可信縱深防御白皮書

首席顧問顧問委員會編寫指導(dǎo)委員會編制工作組特別鳴謝本白皮書由北京前沿金融監(jiān)管科技研究院、浙江網(wǎng)商銀行股份有沈昌祥中國工程院院士隨著國家數(shù)字化轉(zhuǎn)型發(fā)展戰(zhàn)略和要求的提出，銀行業(yè)作為國家數(shù)字化轉(zhuǎn)型的重要組成部分，其金融應(yīng)用及服務(wù)呈現(xiàn)線上化、數(shù)字化、實時化的發(fā)展趨勢和特點，信息系統(tǒng)和服務(wù)更加開放，數(shù)字資產(chǎn)更加在線和密集，網(wǎng)絡(luò)邊界更加模糊。在這種發(fā)展趨勢下，銀行機構(gòu)面臨的安全態(tài)勢也愈發(fā)嚴峻，但傳統(tǒng)的“封堵查殺”（即殺病毒、防火墻、入侵檢測“老三樣”）在新的IT架構(gòu)下難以應(yīng)對安全威脅，尤其是0Day、社會工程學(xué)、軟硬件供應(yīng)鏈等高級和未知威脅，嚴重威脅著用戶的個人隱私和數(shù)字財產(chǎn)的安全。為了有效應(yīng)對企業(yè)信息系統(tǒng)、業(yè)務(wù)服務(wù)面臨的安全威脅，安全可信成為國家法律、戰(zhàn)略和制度要求：《中華人民共和國網(wǎng)絡(luò)安全法》第十六條中要求“推廣安全可信的產(chǎn)品和服務(wù)”，2016年12月發(fā)布的《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》中“（七）夯實網(wǎng)絡(luò)安全基礎(chǔ)”中要求“加快安全可信產(chǎn)品推廣應(yīng)用”，2021年9月1日實施的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》第十九條中要求“優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”。如何合法合規(guī)的應(yīng)對數(shù)字銀行面臨的高級和未知威脅，主動免疫可信計算的保障體系是最有效的解決方案。主動免疫可信計算是一種新的計算模式，實施計算運算的同時并行進行免疫的安全防護，能及時準確識別身份和狀態(tài)度量及加密存儲，從而使攻擊者無法利用存在缺陷和漏洞對系統(tǒng)進行非法操作，達到預(yù)期的計算目標(biāo)；二是建立計算部件+防護部件“二重”體系結(jié)構(gòu)；三是建立可信安全管理中心支持下的主動免疫三重防護框架。加上可信動態(tài)訪問控制，全程管控，技管并重，最終達到讓攻擊者“進不去、拿不到、看不懂、改不了、癱不成、賴不掉”的防護效果。網(wǎng)商銀行可信縱深防御體系是對主動免疫可信計算在數(shù)字銀行場景很好的落地實踐。所建設(shè)的防御體系以硬件可信芯片為信任根、可信軟件基為核心、密碼學(xué)為基礎(chǔ)，通過檢測、度量、證明和管控等方法，構(gòu)建貫穿硬件、固件、系統(tǒng)軟件和應(yīng)用軟件的完整信任鏈，為信息系統(tǒng)的安全運行和數(shù)據(jù)的使用計算提供可靠的安全可信底座；在安全可信底座之上，嚴格按策略控制開放的系統(tǒng)服務(wù)，僅允許業(yè)務(wù)依賴且通過安全評估的行為可訪問或可執(zhí)行，并在數(shù)字資產(chǎn)面臨威脅路徑上構(gòu)建多層可信防護屏障，形成安全可信縱深防御能力。所建設(shè)的防御體系能夠有效識別“自己”和“非己”成分，破壞與排斥進入信息系統(tǒng)機體的有害“物質(zhì)”，為提供互聯(lián)網(wǎng)服務(wù)的信息系統(tǒng)加持了“免疫能力”，以應(yīng)對0Day漏洞、社會工程學(xué)、軟硬件供應(yīng)鏈等網(wǎng)絡(luò)安全威脅。期待其成為數(shù)字銀行主動免疫可信計算防御體系的實踐標(biāo)本，為金融業(yè)及其它行業(yè)以主動免疫可信計算防御的有效實踐帶來借鑒及示范。高峰中國銀行業(yè)協(xié)會首席信息官（CIO）當(dāng)今，銀行業(yè)數(shù)字化轉(zhuǎn)型在向縱深推進，數(shù)字化產(chǎn)品與服務(wù)給銀行業(yè)帶來高效、便捷金融產(chǎn)品的同時，也給銀行業(yè)數(shù)字安全防護帶來了全新的挑戰(zhàn)。銀保監(jiān)會發(fā)布的《關(guān)于銀行業(yè)保險業(yè)數(shù)字化轉(zhuǎn)型的指導(dǎo)意見》強調(diào)數(shù)字化轉(zhuǎn)型風(fēng)險防范，強化網(wǎng)絡(luò)安全防護，完善縱深防御體系，做好網(wǎng)絡(luò)安全邊界延展的安全控制。為應(yīng)對越來越嚴峻的網(wǎng)絡(luò)安全攻擊，如何在復(fù)雜的安全環(huán)境下守住數(shù)字銀行安全底線，為銀行業(yè)數(shù)字化轉(zhuǎn)型戰(zhàn)略的順利實施提供可靠的安全保障，是數(shù)字銀行需要重點研究和解決的問題。網(wǎng)商銀行的實踐表明可信縱深防御體系是一個行之有效的新興安全防護體系，可信縱深防御作為新一代的基礎(chǔ)安全防御體系，是保障銀行業(yè)客戶信息和資金安全的基礎(chǔ)底座，也是保證銀行持續(xù)穩(wěn)健經(jīng)營的安全基石?！稊?shù)字銀行可信縱深防御白皮書》提出了數(shù)字銀行可信縱深防御體系的安全理念與技術(shù)方案。設(shè)計符合銀行業(yè)要求的安全防護體系，可實現(xiàn)事前高效規(guī)避風(fēng)險事件發(fā)生的目標(biāo)，并兼顧數(shù)字銀行效率和體驗要求?？v深防御的理念來自于戰(zhàn)爭學(xué)的概念，該理念在信息安全領(lǐng)域也得到了廣泛的使用和推廣。數(shù)字銀行可信防護體系為了避免單點防御措施失效導(dǎo)致風(fēng)險事件的發(fā)生，對開放至互聯(lián)網(wǎng)的應(yīng)用服務(wù)，采用縱深防御的理念進行可信防御體系的建設(shè)?？尚庞嬎悖═rustedComputing，TC）三項技術(shù)能力密鑰安全保護、遠程證明、信任鏈構(gòu)建至關(guān)重要，充分使用安全平行切面體系的架構(gòu)建立事前應(yīng)對高級和未知威脅的防護體系，提升安全加固的效率及風(fēng)險識別的精準度，借鑒零信任的架構(gòu)理念設(shè)計實現(xiàn)網(wǎng)絡(luò)層的可信防御體系。建設(shè)路徑自下而上傳遞信任鏈（基礎(chǔ)設(shè)施可信->應(yīng)用可信->網(wǎng)絡(luò)可信->移動端及終端可信可有效應(yīng)對入侵導(dǎo)致的數(shù)據(jù)泄露或者資金被盜威脅，對數(shù)字銀行攻防對抗實踐和高效安全加固有著重要指導(dǎo)意義。為達成事前高效規(guī)避高級和未知威脅的目標(biāo)，兼顧數(shù)字銀行效率與體驗要求，需要基于數(shù)字銀行業(yè)務(wù)特性及風(fēng)險場景，結(jié)合可信計算、安全平行切面等新興安全體系思想，架構(gòu)設(shè)計面向數(shù)字銀行的可信縱深防御體系。在可信縱深防御體系的建設(shè)當(dāng)中，做到以滿足監(jiān)管合規(guī)要求為底線，同時可以高效應(yīng)對面臨的高級和未知威脅，又可以將可信防御體系的建設(shè)成本和管控效率控制在合理的范圍，不會因為防御體系建設(shè)過重帶來過多成本、性能和效率的損耗。綜合評估來建設(shè)可信級防御體系的深度，在威脅有效應(yīng)對和數(shù)字銀行的合規(guī)要求、安全成本投入、管控效率上達到最佳平衡。未來，數(shù)字銀行的信息安全防護體系的價值愈加重要，在銀行業(yè)面對的網(wǎng)絡(luò)安全、數(shù)據(jù)安全、隱私保護等威脅和挑戰(zhàn)時，必須要通過全棧式、全方位、無死角的安全防護體系才能解決問題。何寶宏中國信息通信研究院云計算與大數(shù)據(jù)研究所所長黨的二十大要求加快發(fā)展數(shù)字經(jīng)濟，打造具有國際競爭力的數(shù)字產(chǎn)業(yè)集群。數(shù)據(jù)在成為重要生產(chǎn)要素的同時，也成為百行千業(yè)的核心資產(chǎn)。近年來，隨著銀行業(yè)數(shù)字化轉(zhuǎn)型的深入推進，銀行應(yīng)用系統(tǒng)更趨復(fù)雜，銀行傳統(tǒng)網(wǎng)絡(luò)邊界更加模糊，內(nèi)外部威脅更加高級未知，保護核心數(shù)據(jù)資產(chǎn)面臨巨大挑戰(zhàn)。為應(yīng)對潛在風(fēng)險，監(jiān)管層要求銀行業(yè)“完善縱深防御體系”。網(wǎng)商銀行立足自身數(shù)字銀行的客觀條件，基于事前防范未知威脅的實際需求，首創(chuàng)“可信縱深防御體系”，將可信防御理念與縱深防御理念相結(jié)合，針對數(shù)字銀行的應(yīng)用服務(wù)，構(gòu)建金融級的事前縱深防護體系?！翱尚趴v深防御體系”以密碼學(xué)為基礎(chǔ)、可信芯片為信任根、可信軟件基為核心，確保業(yè)務(wù)應(yīng)用服務(wù)運行所依賴的資源、行為在啟動時和運行態(tài)均是可預(yù)期且可信的，阻止非預(yù)期的訪問和運行行為，針對硬件、固件、系統(tǒng)和應(yīng)用等不同的防御平面部署多層次的防御體系，應(yīng)對0Day漏洞攻擊、APT攻擊、軟硬件供應(yīng)鏈攻擊等高級威脅。作為防守方的數(shù)字銀行，無法準確預(yù)測攻擊者會在何時何地以何種方式進攻應(yīng)用系統(tǒng)?！翱尚趴v深防御體系”區(qū)別于傳統(tǒng)被動基于攻擊者常用攻擊方法不斷優(yōu)化攔截和阻斷策略的思路。一方面，執(zhí)行可信理念。立足于數(shù)字銀行業(yè)務(wù)特性，建立白名單化的管控策略，根據(jù)業(yè)務(wù)的代碼、流量數(shù)據(jù)，清晰定義刻畫系統(tǒng)運行所依賴的預(yù)期內(nèi)的可信行為。另一方面，貫徹縱深防御理念。單點防御措施可能被繞過或運行異常而導(dǎo)致防御失效，基于防御體系的穩(wěn)定性和可用性，需要在不同的防御平面部署多層的可信防御措施有效應(yīng)對安全威脅，降低單點防御的不穩(wěn)定性，使攻擊者無法達成進攻目的或在達成進攻之前就被發(fā)現(xiàn)和制止。數(shù)字銀行“可信縱深防御體系”從業(yè)務(wù)特性出發(fā)，在終端層、網(wǎng)絡(luò)層、應(yīng)用層和基礎(chǔ)設(shè)施層等適配可信策略控制點，建立覆蓋各層的可信管控策略，并將信任關(guān)系逐級規(guī)約到不可篡改的硬件可信芯片。數(shù)字銀行“可信縱深防御體系”以硬件和操作系統(tǒng)的可信為基礎(chǔ)，逐層擴展到虛擬機、容器、應(yīng)用、網(wǎng)絡(luò)等層面，每一層面的信任關(guān)系都可以傳遞至下一層，形成完備的信任鏈，最終達成可信縱深防御的效果。其中，硬件可信芯片是“可信縱深防御體系”信任的根基，可信策略控制點是“可信縱深防御體系”的骨架，可信策略中心是“可信縱深防御體系”的免疫系統(tǒng)，可信管控中心是“可信縱深防御體系”的大腦中樞，自下而上的信任鏈、安全保障及穩(wěn)定性保障是“可信縱深防御體系”建設(shè)的基石。數(shù)字經(jīng)濟的發(fā)展離不開安全的護航。2021年我國數(shù)字經(jīng)濟規(guī)模45.5萬億元，占GDP比重為40%，預(yù)計未來一段時間，該規(guī)模將持續(xù)穩(wěn)健增長。數(shù)字銀行“可信縱深防御體系”是銀行業(yè)數(shù)字化轉(zhuǎn)型過程中對安全保障進行的有益探索，是新一代信息技術(shù)在掌握安全主動權(quán)的生動實踐，相信數(shù)字銀行“可信縱深防御體系”對構(gòu)建防御生態(tài)、保障行業(yè)數(shù)字化轉(zhuǎn)型、呵護數(shù)字經(jīng)濟安全發(fā)展等方面的重要作用將越發(fā)凸顯。據(jù)、區(qū)塊鏈等新興數(shù)字技術(shù)，以移動APP、小程序等為載體，在互聯(lián)網(wǎng)環(huán)境下，編制工作組希望通過白皮書的方式將網(wǎng)商銀行可信縱深防御的最佳實踐共1數(shù)字銀行可信縱深防御體系背景概述 11.1銀行業(yè)數(shù)字化轉(zhuǎn)型新要求新安全挑戰(zhàn) 11.1.1國內(nèi)外銀行業(yè)數(shù)字化轉(zhuǎn)型政策與趨勢 11.1.2銀行業(yè)數(shù)字化轉(zhuǎn)型新安全挑戰(zhàn) 21.2國內(nèi)外新興安全技術(shù)方案簡介 41.2.1可信計算 41.2.2安全平行切面 51.2.3零信任 51.3可信縱深防御概念 61.3.1可信防御理念 71.3.2縱深防御理念 72數(shù)字銀行可信縱深防御體系架構(gòu)設(shè)計 92.1設(shè)計目標(biāo) 92.2體系架構(gòu) 93數(shù)字銀行可信縱深防御體系建設(shè)方案 133.1建設(shè)原則 3.1.1安全可信 3.1.2多層覆蓋 3.1.3自身安全保障 143.1.4穩(wěn)定性保障 3.2建設(shè)基線 3.3關(guān)鍵能力建設(shè) 173.3.1基礎(chǔ)設(shè)施可信 173.3.2應(yīng)用可信 3.3.3網(wǎng)絡(luò)可信 3.3.4端安全可信 3.3.5信任鏈構(gòu)建 303.3.6可信策略 323.4技術(shù)保障 393.4.1安全性保障 393.4.2穩(wěn)定性保障 403.5實戰(zhàn)牽引 423.5.1威脅路徑圖建設(shè) 423.5.2紅藍演練機制建設(shè) 443.5.3實戰(zhàn)攻防檢驗 453.6體系演進 454數(shù)字銀行可信縱深防御體系實踐應(yīng)用 474.10DAY漏洞防御 474.2釣魚攻擊防御 494.3軟件供應(yīng)鏈風(fēng)險應(yīng)對 524.4高效安全加固實踐 545總結(jié)與展望 55參考文獻 5611數(shù)字銀行可信縱深防御體系背景概述體驗、業(yè)務(wù)拓展渠道等諸多方面明確了數(shù)字化轉(zhuǎn)型動優(yōu)先（MobileFirst）”戰(zhàn)略，2017年又進一步提出以“簡單化、數(shù)字化、銀行等國際投行也都是在2014年左右開啟數(shù)字化轉(zhuǎn)型項意見》）、《金融科技發(fā)展規(guī)劃（2022—2025年）》（以下簡稱《規(guī)劃》）。基于數(shù)字化轉(zhuǎn)型的新政策新發(fā)展要求，銀行業(yè)金融應(yīng)用及服務(wù)將呈現(xiàn)線上2交易多次臨時中斷。2019年2月馬耳他歷史最悠久的金融服務(wù)商瓦萊塔銀行被了所有現(xiàn)代化交易渠道，不僅銀行網(wǎng)站脫機，ATM/分支機構(gòu)/手機銀行一系列電32019年7月，世界第五大信用卡簽發(fā)方的第一資本銀行數(shù)據(jù)庫遭受黑客攻擊，約數(shù)字銀行需要更加注重效率和體驗的提升。數(shù)字銀行在業(yè)務(wù)策略上需要小步4因此，如何在日益嚴峻、復(fù)雜的網(wǎng)絡(luò)安全環(huán)境下守住數(shù)字銀行安全底硬件安全模塊支持下的可信計算平臺，以提高系密鑰及簽注私鑰永遠密封在芯片，且只允許在芯片內(nèi)其中平臺身份證明是指用平臺身份私鑰完成內(nèi)部PCR中保存的完整性擴展值的過平臺身份公鑰來驗證平臺的遠程證明的簽名，從5合使用來保證發(fā)出的信息只能被發(fā)出證明要求的程安全治理高效和安全布防靈活的核心優(yōu)勢。6資源。軟件定義邊界技術(shù)旨在利用基于身份的訪問控制以及完備的權(quán)限認證機的行為可以執(zhí)行即主動免疫，而且可信防御能夠?qū)崿F(xiàn)對所有威脅路徑的多層覆蓋，大幅降低風(fēng)險事件發(fā)生的概率。與此同時，它建立了完備的信任鏈，將信防御體系，以有效地應(yīng)對0Day攻擊、社會工程學(xué)攻擊、7發(fā)起攻擊是無法預(yù)測的，但是數(shù)字銀行信息系統(tǒng)的運行狀態(tài)是可以基于網(wǎng)絡(luò)流時針對被攔截的訪問行為將會記錄行為日志，做到數(shù)字銀行信息系統(tǒng)運行環(huán)境、依賴的資源和行為均是經(jīng)過安全評估無風(fēng)險8對開放至互聯(lián)網(wǎng)的應(yīng)用系統(tǒng)，為了有效應(yīng)對入侵導(dǎo)致的數(shù)據(jù)泄露或資金被盜威問者身份和權(quán)限的可信管控能力，做到訪問來源IP、請求的域名、請求的接口在基礎(chǔ)設(shè)施層，基于硬件可信芯片對設(shè)備BIOS、BMC、板卡固件、OSLoader、OS內(nèi)核進行可信管控，保證其啟動及運行的可信。同時基于硬件可信芯片的可信存儲和密碼技術(shù)建立了從BIOS->板卡固件->OSLoader-威脅狀況、業(yè)務(wù)特性、IT架構(gòu)、建設(shè)成本、管控效率等因素綜合評估判斷，在92數(shù)字銀行可信縱深防御體系架構(gòu)設(shè)計圖1數(shù)字銀行可信縱深防御體系全局架構(gòu)基于硬件可信芯片和密碼學(xué)方法對物理機的啟動參數(shù)和啟動程序進行可信系統(tǒng)OS等均是安全可信的。同時基于硬件可信芯片構(gòu)建信任鏈基于數(shù)字銀行IT架構(gòu)分析、選型或者設(shè)計可信策略控制點，實現(xiàn)對于風(fēng)險面提供的原生安全控制點能力，以實現(xiàn)安全管控與業(yè)務(wù)應(yīng)用的既融合又解耦，并實現(xiàn)跨維的檢測、響應(yīng)與防護；同時安全能力可編程、可擴展，與業(yè)務(wù)各自面的可信策略控制點，并配置符合可信防御強度要DetectionandResponse,EDR）能力作為可信策略控制點，針對用戶的日常操和執(zhí)行的，以有效抵御惡意軟件的加載和運行及木馬、病毒的Self-protection,RASP）及安全容器系統(tǒng)切面為可信策略控制點，對容器、應(yīng)保障體系可以降低可信防御能力和策略在落地過程中穩(wěn)定性風(fēng)險事件發(fā)生的概3數(shù)字銀行可信縱深防御體系建設(shè)方案圖2構(gòu)建數(shù)字銀行可信縱深防御體系3.1.1安全可信在數(shù)字銀行安全防御體系的建設(shè)當(dāng)中高級和未知威脅的應(yīng)對是面臨的難點3.1.2多層覆蓋同層面覆蓋可信防護能力和管控策略；針對威脅路徑較短的信息系統(tǒng)和數(shù)字資3.1.3自身安全保障3.1.4穩(wěn)定性保障能力，結(jié)合各個場景的安全可信要求建設(shè)可表數(shù)字銀行可信縱深防御體系場景定義分層子分類可信定義防護場景基礎(chǔ)設(shè)施可信硬件可信針對硬件加載時的硬件類型、版本、固件內(nèi)容、配置等進行可信驗證，確保系統(tǒng)運行前依賴的硬件是符合預(yù)期的。目的是抵御硬件供應(yīng)鏈風(fēng)險：若硬件在生產(chǎn)和采購過程中被替換或植入后門，需要在啟動時檢測并阻止硬件使用。OS啟動時可信針對OS引導(dǎo)、啟動的每個環(huán)節(jié)進行可信驗證和管控，確保OS啟動的過程是符合預(yù)期的。目的是抵御來自攻擊者入侵后植入的可駐留的OS級別的后門和Rootkit的風(fēng)險。以及攻擊者控制了OS供應(yīng)鏈，并植入后門的風(fēng)險。OS運行時可信針對OS運行狀態(tài)持續(xù)進行可信驗證和管控，確保運行中OS是不被篡改的。目的是抵御OS級別的Rootkit。虛擬機可信針對虛擬機Hypervisor持續(xù)進行可信驗證和管控，確保虛擬化機制狀態(tài)是符合預(yù)期的；同時也需要驗證和管控通過虛擬機啟動的OS，確保是符合預(yù)期的，實現(xiàn)虛擬化場景的安全可信。目的是抵御在虛擬化場景中，攻擊者通過在虛擬機Hypervisor層或者虛擬機OS中植入惡意代碼的攻擊行為。應(yīng)用可信容器可信針對容器Driver持續(xù)進行可信驗證和管控，確保容器底層機制的運行狀態(tài)是符合預(yù)期的；同時進一步驗證，確保容器鏡像符合預(yù)期，禁止加載不安全的鏡像。目的是抵御在容器化場景中，容器鏡像存在軟件供應(yīng)鏈的攻擊威脅。應(yīng)用啟動可信針對主機、容器中啟動的應(yīng)用程序進行可信驗證和管控，確保啟動的應(yīng)用代碼和配置是符合預(yù)期的。目的是抵御攻擊者入侵到主機、容器后，嘗試執(zhí)行自己的木馬程序以進一步攻擊或者留后門的攻擊行為。運行時可信針對主機、容器當(dāng)中運行的應(yīng)用進程持續(xù)進行可信驗證和管控，以判斷程序運行空間的代碼是否被篡改、程序行為是否符合預(yù)期。目的是抵御攻擊者入侵到主機、容器中的某個應(yīng)用，在應(yīng)用進程代碼執(zhí)行空間中插入自己的惡意代碼的行為。網(wǎng)絡(luò)可信訪問者身份可信訪問者定義為業(yè)務(wù)場景當(dāng)中請求的發(fā)起方，此處包括人員、終端、應(yīng)用、WEB、RPC、DB服務(wù)等。針對網(wǎng)絡(luò)服務(wù)的訪問者進行授權(quán)，并持續(xù)的對授予的身份可信驗證和管控，以判斷訪問者身份是否符合預(yù)期的。目的是抵御攻擊者通過0Day漏洞或APT攻擊獲得一定權(quán)限，進一步攻擊辦公網(wǎng)、生產(chǎn)網(wǎng)內(nèi)開放的服務(wù)，利用其中的漏洞入侵竊取數(shù)據(jù)。訪問者狀態(tài)可信針對訪問者所處的運行環(huán)境和運行狀態(tài)持續(xù)進行可信驗證和管控，以確保發(fā)起訪問者的運行環(huán)境、運行狀態(tài)和身份是可信的，而非攻擊者偽造的。目的是抵御攻擊者利用已經(jīng)入侵的應(yīng)用服務(wù)器或利用其身份發(fā)起攻擊來擴大攻擊面的風(fēng)險。信息傳輸可信針對訪問者信息傳輸?shù)逆溌愤M行加密，建立安全的信息傳輸通道，以確保發(fā)起訪問者的身份及傳輸?shù)男畔⑹强尚诺?，沒有被攻擊者篡改的。目的是抵御攻擊者利用已經(jīng)入侵的應(yīng)用服務(wù)器劫持傳輸鏈路當(dāng)中的敏感信息來獲取敏感數(shù)據(jù)或敏感配置。移動端及終端可信終端進程可信針對訪問者使用的終端使用的應(yīng)用和進程行為建立白名單的管控策略，以確保發(fā)起者的終端運行時的應(yīng)用進程是可信的，非攻擊者的惡意應(yīng)用程序。目的是抵御攻擊者利用已經(jīng)入侵的終端運行惡意的病毒、木馬軟件。終端網(wǎng)絡(luò)可信針對訪問者使用的終端的網(wǎng)絡(luò)行為建立白名單的管控策略，以確保發(fā)起者的終端網(wǎng)絡(luò)行為是可信的，非攻擊者的惡意后門和惡意數(shù)據(jù)、文件的外發(fā)行為。目的是抵御攻擊者利用已經(jīng)入侵的終端建立持久化的后門或者進行敏感數(shù)據(jù)和文件的外發(fā)。小程序加載可信針對訪問者使用的小程序應(yīng)用加載前進行簽名驗證，只有滿足驗簽通過的小程序才會被APP加載。同時會驗證小程序啟動參數(shù)，對不滿足預(yù)期的啟動參數(shù)，不允許小程序加載目的是抵御攻擊者利用惡意小程序或利用小程序漏洞獲取非法權(quán)限進而導(dǎo)致用戶敏感信息泄露。小程序運行時可信針對訪問者使用的小程序運行過程中運行模式，調(diào)用的Jsapi，運行的插件、使用的標(biāo)簽等進行運行時白名單校驗，對于不滿足預(yù)期的內(nèi)容不允許小程序使用。目的是抵御攻擊者利用小程序運行時依賴的組件、接口漏洞獲取非法權(quán)限進而導(dǎo)致用戶敏感信息泄露3.3.1基礎(chǔ)設(shè)施可信信管控體系，消除傳統(tǒng)對于BIOS、內(nèi)核等基礎(chǔ)設(shè)施軟硬件和組件的隱式信任，圖3基礎(chǔ)設(shè)施可信能力架構(gòu)圖3.3.2應(yīng)用可信容器鏡像可信圖4容器鏡像可信架構(gòu)圖容器鏡像可信整體技術(shù)方案分為容器鏡像安全檢測及容器鏡像可信準入兩大.容器鏡像安全檢測路徑圖5容器鏡像安全檢測圖解a)可信研發(fā)平臺完成鏡像構(gòu)建及簽名后將b)可信研發(fā)平臺將鏡像名稱、存儲位置、簽名信息錄.容器鏡像可信準入路徑圖6容器鏡像可信準入圖解h)容器調(diào)度平臺根據(jù)準入插件評估的結(jié)果執(zhí)行后續(xù)操作，決策通過則獲取等組件。容器鏡像準入插件會繼承在Kubernetes集群中。同時由于需容器鏡像可信能力基礎(chǔ)規(guī)則的升級需要定期從內(nèi)外部漏洞數(shù)據(jù)庫采集漏洞容器應(yīng)用可信圖7容器應(yīng)用可信系統(tǒng)架構(gòu)圖攔截、追溯和審計，具體實施上可以基于gViso.網(wǎng)絡(luò)可信：支持對系統(tǒng)監(jiān)聽端口及網(wǎng)絡(luò)請求的可信管控。.容器應(yīng)用可信系統(tǒng)策略配置需要支持細化到應(yīng)用和鏡像維度。.告警日志需支持截斷，避免告警大量輸出對系統(tǒng)造成性能影響。.策略配置下發(fā)需要支持可灰度、可監(jiān)控、可回滾的能力。.熔斷的差異化配置機制，線下禁止觸發(fā)熔斷，線上需支持熔斷。應(yīng)用運行時可信圖8應(yīng)用運行時可信系統(tǒng)架構(gòu)圖.注入安全檢查邏輯：通過字節(jié)碼修改技術(shù)，Hook應(yīng)用網(wǎng)絡(luò)訪問，文件訪地應(yīng)用可信端口用來接收應(yīng)用策略。守護進程實時從服務(wù)端拉取應(yīng)用策3.3.3網(wǎng)絡(luò)可信網(wǎng)絡(luò)身份行為可信圖9統(tǒng)一訪問代理網(wǎng)關(guān)可信功能架構(gòu)圖網(wǎng)絡(luò)身份行為可信方案的關(guān)鍵點是需要在網(wǎng)絡(luò)交互合適的位置構(gòu)建網(wǎng)絡(luò)層數(shù)字銀行分發(fā)的辦公終端需要默認安裝終端安全管控組件，當(dāng)員工使用該辦公終端訪問辦公系統(tǒng)時，統(tǒng)一訪問代理層的可信網(wǎng)關(guān)會采集終端設(shè)備相關(guān)信息，通過校驗設(shè)備信息與使用的賬號信息，確保使用的終端是可信的。如果校驗發(fā)現(xiàn)來源的設(shè)備是可信的則放行訪問請求。如發(fā)現(xiàn)來源的設(shè)備是非可信的，則直接攔截或需要完成多因子認證后并校驗通過后才允許本次的訪問行為。多因子認證需要優(yōu)先選擇具有可變更屬性的認證技術(shù)，如二次密碼、動態(tài)令牌等，確保應(yīng)用系統(tǒng)訪問者的身份是可.運行時和管理時行為可信：統(tǒng)一訪問代理網(wǎng)關(guān)承載了開放應(yīng)用服務(wù)的全量實時請求，是實現(xiàn)網(wǎng)絡(luò)行為可信能力建設(shè)的關(guān)鍵點。因此，在統(tǒng)一訪問代理網(wǎng)關(guān)處需要按照不同的業(yè)務(wù)類型進行拆分，并針對性地建立多業(yè)務(wù)場景的可信管控策略，如針對于開放至互聯(lián)網(wǎng)的服務(wù)，需要根據(jù)來自互聯(lián)網(wǎng)的訪問請求嚴格地校驗來源的IP、用戶的身份和權(quán)限期的，以有效規(guī)避越權(quán)類的安全風(fēng)險；針對開放至辦公網(wǎng)的數(shù)據(jù)、資金類后臺，嚴格地校驗來源的終端、員工身份、員工權(quán)限和員工的行為是符合預(yù)期的，才能允許后臺功能的操作，以有效地規(guī)避員工違規(guī)操作等風(fēng)險事件的發(fā)生；針對于生產(chǎn)網(wǎng)內(nèi)部應(yīng)用接口之間的調(diào)用，需要對于來訪的應(yīng)用、主機、接口和服務(wù)進行校驗，確保是符合預(yù)期的應(yīng)用服務(wù)之間的調(diào)用，以有效地規(guī)避生產(chǎn)網(wǎng)內(nèi)部接口的濫用風(fēng)險。通過如上所述方.開啟安全管控模塊：針對數(shù)字銀行所建立的統(tǒng)一代理網(wǎng)關(guān)層，根據(jù)管控.配置基礎(chǔ)語義策略：在統(tǒng)一訪問代理層通過編寫語義代碼實現(xiàn)對流量中的事件屬性和行為內(nèi)容進行數(shù)據(jù)內(nèi)視和可信管控，并基于判斷結(jié)果對內(nèi).配置可信管控策略：每一條語義知識作為一個特征，通過規(guī)則邏輯設(shè)置網(wǎng)絡(luò)出向交互可信圖10網(wǎng)絡(luò)出向交互可信架構(gòu)圖.流量劫持：所建立的出口流量網(wǎng)關(guān)能力可支持對應(yīng)用的識別、灰度引流及流量代理功能，通過流量代理管控集群進行.TLS證書植入：在應(yīng)用運行時場景中存在應(yīng)用系統(tǒng)與外部域名進行TLS握手的需求，如HTTPS協(xié)議的交互首先需要通過流量代理管控集群與外聯(lián)外部域名進行TLS握手，此時會有域名校驗不通過問題。此處需要結(jié)合數(shù)字銀行內(nèi)部CA頒發(fā)的證書及管控模塊或組件中植入CA根證書，確.出口流量網(wǎng)關(guān)的接入：數(shù)字銀行需根據(jù)自身IT架構(gòu)建立出口流量網(wǎng)關(guān)的流量網(wǎng)關(guān)的能力建立域名、API路徑和詳細參數(shù)精細化的可信管控能力。3.3.4端安全可信移動端安全可信據(jù)下發(fā)的配置動態(tài)注冊/注銷切點，最終實現(xiàn)對于線上APP服務(wù)的快速管控、防圖11移動端安全可信iOS端架構(gòu)圖.端動態(tài)切面技術(shù)原理：利用Objective-C編程和原方法簽名相同的方法的函數(shù)指針作為殼。處理消息時，能夠在這個.動態(tài)構(gòu)造管控函數(shù)：運行時執(zhí)行到原函數(shù)時，實質(zhì)上執(zhí)行的是構(gòu)造的新函數(shù)，會執(zhí)行到自定義的函數(shù)里（這個函數(shù)的參數(shù)格式是固定的），這里可以獲得所有參數(shù)的地址和返回值以及自定義數(shù)據(jù)。最后通過ffi_call函數(shù)來調(diào)用其他函數(shù)，這個.靈活的安全配置：該方案不會侵入APP構(gòu)建流程。僅需集成Pod即可，終端安全可信圖12終端安全可信架構(gòu)圖終端可信管控能力的落地，需要基于建立的終端EDR等.終端設(shè)備可信：前文提到的統(tǒng)一代理網(wǎng)關(guān)層網(wǎng)關(guān)會與終端進行聯(lián)動，對發(fā)起請求的設(shè)備進行可信管控。員工辦公終端默認安裝終端安全管控模塊或組件，該模塊或者組件會收集當(dāng)前終端的唯一標(biāo)識、登錄賬戶名、IP等信息，將編碼后的設(shè)備信息通過接口傳遞給接入層網(wǎng)關(guān)，接入層通過校驗設(shè)備信息與賬號信息以及其他指紋等信息，確定終端設(shè)備是否可信，如發(fā)現(xiàn)是可信設(shè)備，則允許訪問。如發(fā)現(xiàn)非可信設(shè)備，則會觸發(fā)接銷毀等行為進行監(jiān)控，通過將檢測和響應(yīng)的深度協(xié)同，實現(xiàn)事前的進程可信管控。終端安全管控模塊或組件會注冊驅(qū)動，且驅(qū)動會在系統(tǒng)啟動早期階段啟動并對后續(xù)啟動的進程進行管控。通過文件監(jiān)控和過濾，校驗啟動文件的文件名、文件哈希值、簽名，輔助檢查常用啟動路徑、進程樹等信息，判斷進程是否可信。如在著名的Putty軟件供應(yīng)鏈攻擊事代碼后，會執(zhí)行被植入的病毒文件。進程可信.終端網(wǎng)絡(luò)行為可信：為了防止攻擊者利用可信進程發(fā)起攻擊，需要對終端的網(wǎng)絡(luò)行為進行可信管控。網(wǎng)絡(luò)行為在流量方面，主要有兩個協(xié)議。一是TCP協(xié)議的流量，即五元組信息；二是DNS流量，即域名解析。通.終端設(shè)備可信：統(tǒng)一代理網(wǎng)關(guān)層默認調(diào)度終端安全管控模塊或組件開放的接口，在接入層對可信設(shè)備進行驗證。因此，終端設(shè)備可信的覆蓋率.終端進程可信：通過收集和統(tǒng)計終端上的進程及進程樹信息，統(tǒng)計出初始的可信進程集。以此初始可信集作為基準上線進程可信白名單策略，并為被攔截的進程預(yù)留申請通道。如因特殊工作場景原因，需要在終端上使用新的軟件，在經(jīng)過安全評估之后，可將相關(guān)的進程加入至可信白名單當(dāng)中。對于研發(fā)日常工作所必須使用或依賴的系統(tǒng)進程，如.終端網(wǎng)絡(luò)行為可信：通過收集數(shù)字銀行所屬的公網(wǎng)資產(chǎn)、辦公網(wǎng)系統(tǒng)資此初始可信集作為基準上線網(wǎng)絡(luò)可信白名單策略，并為被攔截的域名、3.3.5信任鏈構(gòu)建圖13基于硬件可信芯片的信任鏈傳遞在系統(tǒng)加電啟動時，定制研發(fā)的安全芯片優(yōu)先于CPU啟動，實現(xiàn)對BIOS的平臺控制模塊（TrustedPlatformControlModule，TPCM），其包含了平臺安全處理器（PlatformSecurityProcessor，PSP由TPCM實現(xiàn)對系統(tǒng)OS件的邏輯和可信策略基線對OSLoader進行可信度驗證，驗證通過的邏輯和策略對操作系統(tǒng)進行可信驗證，驗證通過后，可加載啟動操作的邏輯和策略對應(yīng)用程序進行可信驗證，驗證通過后，可加載執(zhí)行應(yīng)用程序，系統(tǒng)啟動完成，由此進入一個可信的啟動環(huán)境。在云架構(gòu)及云原生架構(gòu)模式下，依托于云架構(gòu)的優(yōu)勢應(yīng)用層及網(wǎng)絡(luò)層的管控能力主要基于軟件形態(tài)開發(fā)實現(xiàn)。因此，對于應(yīng)用程序的信任鏈傳遞機制在方案上e)針對內(nèi)嵌至應(yīng)用程序的安全組件或者模塊，在功能設(shè)計上需設(shè)計實現(xiàn)組件或者模塊的守護程序來對內(nèi)嵌至應(yīng)用的組件或模塊進行可信驗證，驗通過如上流程建立完備的信任鏈來保障全量可信策略控制點自身的安全可信，為數(shù)字銀行的信息系統(tǒng)和數(shù)字資產(chǎn)的可3.3.6可信策略可信策略能力設(shè)計數(shù)字銀行建立的可信防御策略需要與數(shù)字銀行的業(yè)務(wù)特性和形態(tài)進行有機策略可以有效應(yīng)對面臨的高級和未知威脅，同時.身份認證及身份標(biāo)識缺陷:包括服務(wù)調(diào)用方的身份和服務(wù)被調(diào)用方的身由發(fā)起方控制在網(wǎng)絡(luò)協(xié)議里面的明文身份，可被重置的密碼找回問題，以使用任意方法等。需要注意的是不同協(xié)議的方法字段所在的位置不一.其他類型攻擊:如DOS及中間人攻擊等。針對以上安全缺陷風(fēng)險，結(jié)合數(shù)字銀行業(yè)務(wù)現(xiàn)狀分析出業(yè)務(wù)可接受的預(yù)期行粒度、域名粒度、API及路徑級別和參數(shù)級別。粒度上遵從先粗后細的原則，先做到區(qū)域級別的隔離：公網(wǎng)->辦公網(wǎng)->測試網(wǎng)->DMZ->生產(chǎn)網(wǎng)，再做到應(yīng)用級別的微隔離。四層服務(wù)默認攔截后成本較高，難以進行高頻次持續(xù)性認證，所以通常使用Cookie等手段保企業(yè)內(nèi)部進行多次內(nèi)部系統(tǒng)調(diào)用，理想情況是每次請求都能帶上用戶身限控制（Role-BasedAccessControl，RBAC），權(quán)限控制需遵從最小化o權(quán)限及時回收，當(dāng)無業(yè)務(wù)權(quán)限使用需求時，需要及時回收權(quán)限。應(yīng)用系統(tǒng)行為可信需要重點關(guān)注潛在可引起風(fēng)險的行為，覆蓋范圍需要足夠行為。以攻擊工程中的進程和端口啟動、動態(tài)鏈接庫根據(jù)應(yīng)用系統(tǒng)的運行狀態(tài)和行為，可分析出應(yīng)用系統(tǒng)面臨的關(guān)鍵風(fēng)險如下:.系統(tǒng)調(diào)用未受管控:由于Linux提供的系統(tǒng)調(diào)用syscall眾多，若接的南向網(wǎng)絡(luò)攻擊、硬件隱通道攻擊等威脅。通過不受管控的syscall通過對如上風(fēng)險行為進行分析，可以針對性的研制如下可信規(guī)則策略進行風(fēng)險應(yīng)對:或者在可控的環(huán)境執(zhí)行如容器內(nèi)核層執(zhí)行，例如gVisor。除了syscall比寫的內(nèi)容更需要控制，讀內(nèi)容包括敏感數(shù)據(jù)及配置類信息，典型如加載的二三方包。還有一種文件是配置文件，比如sshd的配置文件/etc/ssh/sshd_config，其中若打開了PasswordAuthentication.端口注冊可信:端口注冊只允許系統(tǒng)注冊安全的端口，比如常見的22、.身份可信及環(huán)境可信:對于身份需要使用可信的方式進行身份認證，如sshd則一般使用證書；同時需要確保系統(tǒng)啟動執(zhí)行的環(huán)境是可信的，比用hash進行替代。涉及的組件包括以下幾類:.硬件相關(guān):CPU、內(nèi)存、主板、顯卡、固件；.操作系統(tǒng):BIOS、GRUB、內(nèi)核；.系統(tǒng)組件:可執(zhí)行文件、RPM文件、Java二三方Jar包、Nodejs二三方.虛擬化組件:容器虛擬化相關(guān)組件如Runc、Containerd，半虛擬化技術(shù)可信策略模型設(shè)計配置和觀察模式同時需要支持全局及規(guī)則粒度的配置。前期使用全局配置，根據(jù)精細化管控的程度逐步過渡到精細數(shù)字銀行業(yè)務(wù)應(yīng)用完成可信能力及策略的集成后，需要保證業(yè)務(wù)安全水位和圖14網(wǎng)絡(luò)可信策略生成舉例圖15可信策略生成穩(wěn)定性保障3.4.1安全性保障數(shù)字銀行可信產(chǎn)品在設(shè)計和落地過程當(dāng)中需要充分利用密碼技術(shù)，保障設(shè)計數(shù)字銀行可信產(chǎn)品安全攻防建設(shè)，針對建設(shè)和引入的可信產(chǎn)品在上線前需經(jīng)品存在的漏洞和短板，確保每個可信產(chǎn)品在安全性和健壯性上都具備較高的水.可信產(chǎn)品能力和策略已知繞過手法的評估：針對已知安全產(chǎn)品，如EDR、蓋可信產(chǎn)品的API、控制臺等，以保證可信產(chǎn)品自身的安全性。攻擊威脅上，需要緊跟可信縱深防御體系中可信產(chǎn)品相關(guān)的前沿技術(shù)態(tài)可信策略的安全攻防需要對已建立的可信防御策略體系在極端苛刻條件下進3.4.2穩(wěn)定性保障.可監(jiān)控:保證各項穩(wěn)定性指標(biāo)可以實時監(jiān)控及告警，基礎(chǔ)指標(biāo)推薦包括CPU、內(nèi)存、負載、IO、網(wǎng)絡(luò)性能等；業(yè)務(wù)指標(biāo)，接口請求成功率、接口.可灰度:可信策略覆蓋要有合理的灰度策略。.可回滾:可信策略在變更過程之后可以隨時回滾。.可應(yīng)急：建立可快速應(yīng)急的一鍵應(yīng)急能力。.評估變更風(fēng)險等級:在變更前需確定變更涉及的各個資產(chǎn)的變更風(fēng)險等級，根據(jù)線上環(huán)境/線下環(huán)境、承載的業(yè)務(wù)等級以及是否涉及敏感資金和.不同批次狀態(tài)的變更間隔足夠長:不同批次的變更及不同狀態(tài)的變更之圖16數(shù)字銀行可信縱深防御體系實戰(zhàn)牽引針對數(shù)字銀行已建設(shè)的可信縱深防御體系，需要通過實戰(zhàn)的方式檢驗防御體牽引環(huán)節(jié)，整體框架可以參照圖16，主要包含紅藍演練機制建設(shè)、威脅路徑圖3.5.1威脅路徑圖建設(shè)威脅路徑圖是對數(shù)字銀行應(yīng)用系統(tǒng)攻防態(tài)勢的一個抽象概念，因攻擊路徑交標(biāo)。節(jié)點之間的連線代表攻擊場景，攻擊場景內(nèi)會在一個有向圖中，只需要確定所有的點，點與點之間的連線就可以通過遍歷在漏洞，交互關(guān)系包括直接的網(wǎng)絡(luò)交互，間接借助物理介質(zhì)進行交互等）作為攻擊起始位置和攻擊目標(biāo)就可以通過遍歷算法計算出所有可能的攻擊路徑。圖17威脅路徑圖抽象圖通過上述得到的威脅路徑圖內(nèi)只包含了基礎(chǔ)的資產(chǎn)和攻擊場景信息，還需要圖18攻擊方法部分截圖威脅路徑圖中的攻擊場景內(nèi)細化了該場景內(nèi)可以使用的所有攻擊方法。同時的替換方案如信息投遞方式可以是微信投遞、QQ投遞、釘釘投遞等，投