中小銀行網絡安全的“四個防御”探索與實踐

屈盛知

隨著我國信息化的快速發展，我國銀行業快速向線上化、移動化方向轉型，信息化程度已成為銀行業競爭的重要指標。商業銀行大力建設手機銀行、網上銀行、直銷銀行等系統，將其作為業務延伸的重要渠道，信息化有力地支撐了銀行業務的快速發展，特別是云計算、大數據、人工智能、區塊鏈等一系列技術先后取得重大突破，并逐步應用到各種金融業務場景中，極大地促進了金融創新，但也帶來新的網絡安全問題。分布式拒絕服務攻擊（即：DDoS攻擊）、高級可持續威脅攻擊（即：APT攻擊）、社會工程學、撞庫攻擊等手法不斷推陳出新，金融行業成為網絡攻擊的重災區。據最新發布的《全球關鍵信息基礎設施網絡安全狀態分析報告》顯示，33.1%的網絡攻擊事件發生在金融領域，是占比最高的領域。商業銀行必須建設符合自身實際的網絡安全防御體系，通過技術、管理等方面，全方位應對包括外部威脅和內部漏洞等各類網絡安全風險。

福建省農村信用社聯合社（以下簡稱“福建農信”）自2005年成立以來，承擔著對福建省內67家農信社（農商行）“管理，指導，協調，服務”的職責，在信息系統建設方面統籌推進，積極開拓，取得了巨大進步，帶領全省農信成為福建農村金融服務的主力軍。 但由于歷史的原因，福建農信在信息化進程及網絡安全保護水平上與國內大型商業銀行相比仍存在一定差距。分析近年來在網絡安全建設方面的薄弱環節，結合福建農信在網絡安全方面探索實踐經驗，本文提出了從縱深防御、收斂防御、重點防御、主動防御等四個方面進行網絡安全防御的建設思路，以構建具有農信特色的多層次網絡安全防御體系。

福建農信網絡安全痛點分析

近年來隨著福建農信各項業務的快速發展，福建農信也在不斷加大對信息科技建設的投入，提升對網絡安全的管控力度，并專門成立了網絡安全管理專職部門，為“科技引領業務”保駕護航。但是由于在網絡安全建設方面積累時間短，人才短缺等問題，網絡安全保護還存在依靠“堆產品、壘高墻”現象，網絡安全防御缺乏體系化。

（一）管理制度規范制定容易落地難

目前，福建農信開展了ISO27001信息安全管理體系建設，按照公安機關要求開展等級保護等工作，以提升網絡安全管理水平。但實踐中存在ISO27001認證容易落地難，等級保護工作基本達標，但短板不少，核心問題是缺乏可以落地的技術手段。

（二）專職團隊人少事雜綜合素質欠缺

省聯社及行社專職從事網絡安全工作的員工數量有限，且部分員工的專業知識儲備不足。隨著網絡安全形勢的日趨嚴峻，網絡安全已經上升為國家戰略，網絡安全人員缺口越來越大。另一方面，“合規”是網絡安全工作的基本要求，但不少機構的網絡安全部門還承擔著大量合規管理的職能，對內需要對接風險管理、內部審計部門，對外需要配合銀保監、公安、國安等監管部門的各類檢查。網絡安全專業知識儲備不夠、素質參差不齊、工作內容龐雜，一定程度上給網絡安全相關規范要求的落實貫徹增加了難度。

（三）技術防御手段和理念亟待加強

技術防御手段網絡安全通過“老三樣”加強對網絡層面的安全，即通過防火墻對服務端口進行屏蔽，通過旁路部署IDS（即入侵檢測系統）對網絡流量進行分析，通過部署防病毒軟件實現病毒防護。這些措施都側重于不斷的“堆產品、壘高墻”，面對層出不窮的網絡攻擊，無法有效進行實時檢測和阻斷，特別是針對應用層的滲透和攻擊，更無法知曉整網信息安全態勢，不能形成立體的、有效的防護。

（四）綜合網絡安全管理門戶建設不足

網絡安全工作涉及的點多面廣，通過手工管理各類安全問題和漏洞，無法形成閉環，效率不高，更無法通過各類安全問題洞察全局風險，采取應急措施和有效應對策略，解決網絡系統運營中存在的問題。在建立健全信息安全體系的時候，還是需要重視對統一的網絡安全管理門戶的建立，加強對網絡安全的統一管理。

福建農信網絡安全防御體系構建

針對網絡安全建設方面的痛點，福建農信從縱深防御、收斂防御、重點防御、主動防御四個方面發力，構建多層次的網絡安全防御體系。首先，構建信息安全管理體系，打造縱深防御層。以ISO27001、等級保護安全點為基礎，形成完備可執行的網絡安全制度建設，以網絡安全評測審計為手段，以網絡安全指標度量為依據，實現網絡安全建設PDCA良性循環，構筑一個涵蓋開發運維等安全領域的縱深信息安全管理體系，建設一個可落地管理體系的綜合網絡安全管理平臺。其次，構建收斂的防御層，集中管控互聯網出入口、信息資產暴露面收斂防御面，減少被攻擊的邊界范圍。再次，集中力量重點防御常見薄弱點，區分防御的輕重緩急，因材施策，避免“眉毛胡子一把抓”，形成高風險高防御的重點防御層。最后，打造主動防御層，通過定期紅藍對抗、欺騙防御等方式主動出擊，以攻為守，穩步提高網絡安全防御水平。通過四個方面統籌推進，逐步形成一個多層網絡安全防御體系（如圖1）。

（一）縱深防御，構筑安全管理體系

1.統籌各類安全要求，固化安全關注內容

福建農信信息安全管理體系綜合了監管部門、風險審計部門、各行社及ISO27001、等級保護等多方面網絡安全要求，以ISO27001體系和等級保護要求為基礎，綜合監管、風險審計及行社實際，梳理網絡安全關注點。以ISO27001安全域為基礎，梳理合并舊制度、制定新制度，統一管理網絡安全制度，將梳理出的網絡安全點全部融入各類網絡安全制度中，形成了省聯社網絡安全制度四級文件。

2.融入當前運轉流程，減少體系執行阻力

網絡安全防御若新建流程，定會增加全體員工的負擔，久之必無法有效執行。福建農信將其充分融入已有的CMMI3、ISO20000流程和員工日常工作，避免“兩張皮”。參考安全開發生命周期概念，將網絡安全點融入到各階段中，并通過研發體系的質量保證工作，實現安全工作和研發流程的無縫對接，如需求分析階段進行安全需求識別，構建開發階段進行安全編碼審計，投產階段進行網絡安全評估等。結合ISO20000運維體系的實際情況，在ISO20000流程中加入物理安全管控點、網絡安全管控點、系統安全管控點、應用安全管控點、數據安全管控點等，實現了運維流程安全點把控。

3.依托審計度量制度，促進防御體系閉環

無法執行的制度等于沒有制度，無法度量的制度是沒有生命力的制度。福建農信依據年度網絡安全工作計劃，實施省聯社網絡安全點評測審計和行社網絡安全點評測審計，以評促改。省聯社網絡安全點測評審計包括研發體系流程中的需求安全評估、代碼漏洞掃描、投產安全評估等，包括運維體系流程中的主機安全評估、試運行期安全評估等例行安全測評，也包含無線Wi-Fi檢查、端口開放檢查、互聯網使用情況等專項檢查。以安全點評測、檢查結果為基礎，參考ISO27004標準要求，結合自身實際逐步構建了網絡安全度量體系，選取關鍵網絡安全點進行度量，度量工作通過計劃加檢查、糾正預防措施驗證、審計監控回顧、信息安全事故統計等定性與定量結合的方式實現，按照度量結果查找根因，改進網絡安全控制措施，推動網絡安全制度的優化，度量結果最終促進在防御體系的改進。通過計劃、實施、總結、改進的方式實現了網絡安全防護體系的良性循環。

（二）收斂防御，收緊把牢安全出入口

收斂直接暴露給攻擊者的攻擊面，減少攻擊概率，守住安全出入口。福建農信通過互聯網資產定期核查、互聯網出入口集中管控、終端邊界集中管控、無線Wi-Fi及LED大屏集中管控、第三方接入集中管控等方式收斂防御范圍。定期收集全網域名資產，從官網入手獲取福建農信所屬的頂級域名，對頂級域名進行子域名挖掘，然后對對應的資產進行端口和服務探測。定期收集歷史DNS解析記錄，搜索曾經被記錄的屬于福建農信資產的數據。監測敏感泄露信息，包括公開社工庫泄露信息收集，代碼托管網站泄露信息收集等。通過集中管控互聯網出入口，避免多口出入，將各行社接入互聯網的需求納入省聯社管控之下，減少遭受網絡攻擊的路徑。加強對終端的集中管控，部署專業的終端管控軟件，實現對U盤等移動存儲介質接入的統一審核，嚴格杜絕終端同時接入不同網絡的情況。加強對Wi-Fi、LED大屏的管理，杜絕私自部署網絡，全部Wi-Fi均需要進行審批，并強化Wi-Fi網絡密碼管理。各個LED大屏均落實到人，LED內容發布需要嚴格審核。嚴格審核第三方接入的安全性，避免第三方接入風險。

（三）重點防御，高度關注薄弱環節

在縱深防御和收斂防御面的基礎上，福建農信從實際出發，總結出一些常見但又影響較大的網絡安全點進行重點防御，集中“優勢兵力”重點防御常見薄弱點，主要包括弱口令攻擊、郵件服務器攻擊、主機漏洞攻擊、社會工程攻擊等。此類風險點常見多發且危害較大的，需要重點關注。通過技術和管理雙管齊下，并執行“三分技術七分管理”的理念。制定高強度密碼策略，加大信息安全培訓，并引導員工設置“復雜、好記”的口令，比如一首古詩的首字母加個人容易記憶部分，在滿足口令強度的同時，降低了因員工抵觸而產生的阻力。同時定期進行弱口令檢查，制定各類賬號的口令強度規范，并使用自動化工具對常見應用進行弱口令探測等。部署基于主機型入侵檢測系統HIDS，實現對關鍵主機的精準防御，作為入侵防御的最后一道防線，對主機進行探針式的掃描，建立自內而外的白盒視角，精準發現弱密碼賬戶等漏洞，實時檢查主機系統的賬號、服務、端口，定期形成主機安全風險報告。針對社會工程攻擊，制定了“十二不準”工作要求，從辦公室物理安全、U盤管控、終端使用、互聯網訪問等方面做出明確規定，并定期檢查，不斷宣貫，嚴格落實。

（四）主動防御，以攻為守保安全

一手抓主動防御技術，一手抓攻防團隊。通過主動防御技術擾亂攻擊者視角，混淆攻擊者的視聽，以假亂真，讓攻擊者無法分辨被攻擊系統的真偽，進而大量消耗攻擊者的精力和時間，從心理上磨滅攻擊者的意志，讓其主動放棄攻擊目標；通過攻防團隊，鍛煉信息安全防守團隊，挖掘真實漏洞，主動發現問題。部署基于攻擊欺騙的蜜罐系統，通過在黑客必經之路上構造陷阱，混淆其攻擊目標，精確感知黑客攻擊的行為，將攻擊火力引入隔離的蜜罐系統，從而保護真實的資產。通過蜜罐系統記錄攻擊行為，獲取攻擊者的網絡身份信息、指紋信息，對攻擊者及攻擊行為進行取證和溯源，及時阻斷攻擊。在福建農信系統內，參考大行做法，組建一支攻防隊伍，通過內部攻防雙方的自我搏擊，形成安全防御能力螺旋式提升的內生動力，逐步擺脫依賴監管通報等被動式防御模式，實現以攻促防、攻防相長。團隊成員來自省聯社和行社的一線技術人才，他們既熟悉銀行業務又精通攻防技術。他們有承擔防守重任的“紅軍”、模擬實際黑客的“藍軍”，也有負責演習導調、全程指導活動總結的“紫軍”。他們日常肩負網絡安全運維，通過定期的內部紅藍紫對抗演練、CTF比賽和專項培訓，穩步提升福建農信的信息安全防護水平。

福建農信網絡安全防御體系落地

在逐步構建、完善網絡安全防御體系的同時，福建農信從多方面強化體系落地，一是通過網絡安全綜合管理平臺落地規章制度和安全事務管理，實現安全管理工作電子化、流程化；二是通過三層的網絡安全組織將安全工作融入員工日常工作中去，解決單靠網絡安全人員單打獨斗的狀態；三是通過部署欺騙防御系統、態勢感知平臺、全流量監測系統等逐步提升網絡安全感知能力和防御能力。并將網絡安全宣傳貫穿網絡安全的全流程，通過定期安全意識宣貫培訓，及時固化安全成果。

1.網絡安全綜合管理平臺落地安全管理

針對網絡安全管理落地難的痛點，福建農信研發了網絡安全綜合管理平臺，該平臺包括安全漏洞管理、安全事件管理、安全事務管理、安全審計管理、安全監管管理、威脅情報管理、系統資產管理等功能，實現了網絡安全管理的集中化、自動化、智能化。通過平臺將各類監管要求進行統一管理，大幅提高了網絡安全管理效率，也有效解決了網絡安全人員疲于應對監管的困境，實現網絡安全防御體系的真落地。

2.網絡安全組織保障安全事務處置

網絡安全組織由決策層、管理層、執行層組成（如圖3所示）。決策層審核、批準網絡安全總體戰略及規劃；管理層主要由科技部領導及安全經理組成，部署網絡安全專項審計和安全業務審計、監督工作，審查、監控并處理各類網絡安全事件，執行網絡安全管理內部審核與評審管理等；執行層由安全科及各科室、各行社信息安全員組成，負責網絡安全工作的實施、落實、協調等工作。通過建立分工明確的安全組織，推動全員參與網絡安全，一定程度上解決了網絡安全人員匱乏問題，推動安全事務有序處置。

3.安全宣傳培訓固化信息安全成果

員工信息安全意識的高低，是網絡防護水平的直接體現。信息安全意識的提升，又進一步提升網絡安全防護的成效。福建農信充分認識到信息安全意識宣傳的重要性，設置專人專崗針對不同層級、不同信息安全要求，開展網絡安全培訓教育。針對高管層，重點加強安全理念、形勢、共識方面的教育培訓，引導領導層對網絡安全形勢的持續重視與關注；針對開發運維人員，開展安全開發基線培訓、運維安全專題培訓，提高其安全意識和安全技能。通過宣貫網絡安全規章制度，定期組織各類網絡安全培訓、網絡安全活動周、安全知識競賽、線上網絡安全意識測評等活動，及時將網絡安全防御成果固化，增強全員的信息安全意識。

結論

當前商業銀行面臨著前所未有的網絡安全形勢，銀行如果發生網絡安全事件則可能直接影響公眾利益、社會穩定，甚至影響國家經濟的穩定運行。本文通過分析福建農信在網絡安全建設中遇到的問題，結合自身實際，提出了一種網絡安全防御體系建設方案，通過縱深防御、收斂防御、重點防御、主動防御的理念，一定程度上解決了福建農信在網絡安全防控方面的一些痛點，為金融機構的網絡安全建設工作提供了思路。