12月22日,第十二届中国IDCC产业年度大典·金融科技高峰论坛暨《管理体系在银行业数据中心的创新与实践》首发仪式在国家会议中心举行。
2017年被誉为金融科技元年,区块链、人工智能、大数据、云计算对银行业的影响正在不断深入,这其中面临更严峻的网络安全、监管、容灾等问题。针对这一现状,中国银行总行、IBM、中国信息通信研究院、平安科技、中国银行数据中心(上海)、腾讯、中国信息安全认证中心、中国电信、中国银行江苏省分行等数位企业高层就金融科技当下趋势及问题进行演讲。
中国银行数据中心(上海) 信息安全技术团队主管张强,做题为《网络安全形势及对策》
张强:大家下午好,我是来自于中国银行,所以我下午讲的这部分内容,主要都是站在一个纯甲方的角度,从银行的角度来看我们怎么样应对网络安全的状况。前面没有加银行业或者是中国银行,其实就是标题上面简单的描述一下,大概这样的一个理念。两部分。
第一部分安全形势,其实不用我去详细的介绍,因为每一个人,大家都很清楚,而且这个标题其实就是一个套路,因为我在中国银行的数据中心负责安全这一块。我也经常接触很多乙方的厂商来跟我交流、沟通说,基本的套路就是两点,第一点,先分析一下现在的网络安全形势,第二点,重点是在第二点,我有什么产品,你看看我们这个产品你买了,你们就安全了。基本上都是这个套路。
但是,我想说我从一个甲方的角度来看,其实也面临着同样的问题,面临着这样的安全的形势下,我到底怎么样来做才能够确保我的安全或者我的构想是不是全面了?这个也是我们作为甲方来说,我们想突破乙方给我们设的一个套路,我们怎么样站在一个上帝视角,我自己作为甲方,我站在上帝视角从我自己来看我自己应该要做哪些安全的东西,而是今天这个厂商跟我说,你看我们新出了一个新的产品,挺好的。应对一个什么非常好,你买了就可以安全,明天另外一个厂商来说,我也有一个很好的东西,我们听了看了觉得确实都是挺好的,但是这些东西他怎么样去组合,我怎么样,什么时间该做什么样的事儿,这个是需要我们作为甲方来说,自己要有自己的一套体系和理念。今天主要是两个方面。
安全形势这块这里也不去说了,因为这个大家都知道,现在的网络。尤其对于银行业来说金融行业来说,为什么呢?我在中国银行待了20多年了,以前的银行的信息系统它的用户就是自己的内部员工,而现在大家可以看到,银行的交易量来说80%多,90%几的交易量都是来自于电子交易,来自于网上或者手机,这些用户不仅仅是内部的员工,而是面临着你是全世界所有的各个地方的人,有好人也有坏人。所以你的信息系统的安全性带来很大的影响。
对于金融业的攻击是随着金融业向互联网化的发展,其实跟社会进步是一样的,对于罪犯来说,钱在哪儿,可能他的关注点或者焦点,或者犯罪可能发生的地方就在哪儿,以前对银行来说钱都在网点,在柜台,在营业部门。就对于物理的安全的防护就会很重要,现在越来越多的银行的钱其实是存在数据中心的,是存在计算机里的。这些对于攻击者,对于罪犯来说,它就会转向通过网络的攻击。因为银行的安全状况其实是随着整个社会的从实体向互联网的转变,其实也是同样有一个这样的转变。
在形势里边,因为涉及到我们内部的信息,这里就把有些数字隐掉了,我们初步隐去统计了一下,因为我们这几年每年都会大概的统计一下,我们在去年,到目前为止,我们拦截的外部的攻击一万多起,针对我们像银行,我们有网银,有手机银行,有微信银行还有各种各样其他的互联网的应用,现在也非常的多。
针对我们的这些应用的攻击有一万多次。当然对于我们发现的攻击怎么办?其实我们现在的办法还是比较简单粗暴的,我发现有人攻击我了,首先判断地址从哪儿来的,直接把这个地址从我们的防火墙上列入黑名单,这样的话这个人就没法攻击了,当然隔断时间如果他没有攻击的话我们把这个地址重新放开。今年以来在防火墙上一共阻断了三千多个对我们造成攻击的IP地址。
当然我们除了外部的攻击以外,内部也有一些,因为我们全行大概有70多万台终端,有几万台的服务器,这些终端和服务器,内部几十万的员工也可能发生各种各样内部攻击的威胁事件,也有两千多起,也能够发现很多,当然有很多,大部分都是由于感染了病毒,或者木马等等导致的。
另外我们到目前为止在中国银行,我们对我们自己的系统进行安全的检测,自己目前发现了一千多个漏洞,当然这些漏洞目前全部修复,我们自己把自己的漏洞发现,然后去修复它,这是大概的一个形势。
后面大概主要还是讲一下我们的应对,从整体的应对来说,因为今天,后面还有一个环节,管理体系在金融行业的应用。其实,对于网络安全来说,它也存在这样一整套的安全的管理体系,当然这种管理体系,我相信后面讲的这些领导和专家更加专业,我就不详细去赘述了。包括组织、制度、人、制度,还有技术、运行,归到底其实就是PPT,流程,人员和技术。因为我本身是做网络安全技术这一块,所以我略过前面的组织和制度,后面重点讲技术。
网络安全的技术怎么样落地和实施。 从技术的角度来说,首先是我们的出发点,我们考虑整个网络安全的出发点是什么?我们第一个出发点,网络安全问题,是怎么产生的?其实最基本的产生,就是两个来源,一个是外因,外因就是有人,他来攻击我,这个攻击我的人,不管是内部人员还是外部人员,他有外因,原来攻击,有人盯上我了,他要从我身上获取利益。这是外因。
第二个内因,内因是我自身的系统存在的可能会被他利用的漏洞,这是内因加外因一个攻击才会发生。如果他攻击我,我没有漏洞,别人也没办法攻击。所以我们在考虑整个的网络安全的整个出发点,就是从一个内因和外因两个角度进行出发。
这两个角度,我们会对它进行相应的分析,攻击有哪些,我们的漏洞有哪些,刚才讲形势的时候大家可以看到我们内部关注的形势主要是两个,一个是外部对我的攻击的行为我有没有发现。第二个,我自身系统当中存在的漏洞,我有没有提前找出来,并且把它修补好,这是我们做所有的网络安全的一个基本的出发点。当然它并不仅仅那么简单。我们基本的出发点,从技术角度,刚才大家可以看到我们整体的体系,包含了管理体系和我们的技术体系,管理体系包括了组织架构,人员、制度以及相应的运维。
技术体系,我今天主要讲的是我们的技术体系,刚才说到我们基本出发点一个从外因,有没有攻击,我们有没有攻击的角度,第二内因,我们自身漏洞角度,我们分成三个大的方面。
一个,我们预防性的,我首先去有一些防御的体系,首先我要布好我的防御的整个一套体系,别人攻击我就不是那么容易,就像我们自己家里面也好,企业里面也好,我们在研楼或者盖园区第一步先盖一个围墙,把周边防御好,我们要建这样的一套纵深防御体系,第二步,别人还是会来攻击我,这个时候我怎么办呢?我就需要及时的发现,我不仅要阻止他,如果他真要来攻击我,我还要发现他,所以我们有威胁的管理,威胁就是攻击的行为我们及时的发现。第三我们怎么及时发现我们系统当中存在的漏洞,并且及时修复好,这样避免别人攻击我,这是从刚才我们的一个出发点,我们怎么样形成网络攻击,从内因和外因,外部的威胁和内部的漏洞,我们怎么样从威胁和漏洞的角度,怎么样从三个方面去构建我们的技术的防御体系。
刚刚说我们的管理体系,我只讲技术体系,在技术体系里边,我只讲我们的防御体系,为什么呢?因为这个也涉及到,我相信如果在座的不管做甲方还是做乙方的,其实都很关心的一点是什么呢?对于甲方来说,他到底要采购什么东西?甲方肯定会关心,乙方也很关心,你要采购什么东西,你应该要采购什么东西。
其实在整个的技术里边,其实就是我的防御的这套体系,它是需要买东西的,我是需要买,不管是防火墙也好还是IBS也好,还是其他的防御设备也好都是需要买东西的。为什么我们会想到要做这套体系呢?实际上我做网络安全也做了很多年,每年我们都要报预算,明年我们要买一些什么样的安全产品,领导总会问我一个问题,第一你为什么要买这个东西,当然这个我可以说,第二你买了以后部署了我们就安全了吗?第三,什么时候是个头啊?什么时候布完了,你今天要买这个,明天要买那个,有没有一个总体的想法,总共我就要买这些东西,有一个架构,我今年要买这些东西,而且是根据我的实际情况建立一个优先级,我今年确确实实需要有这方面的东西,明年确确实实需要有另外一套的东西,我有一整套的思路在那里,而是说我今年想到买什么我就去买什么。
我今天讲我们最后去做的一个纵深防御的这样一套防御的技术体系,当然这套技术体系,最后它是落实到一系列的安全的产品当中,也就是说它是指导我们后面,我们如果去部署和实施一些产品的时候,我们一些总体的方向。
我们要建立这样的一个再细化的框架来说,我们一个基本的思路是这样的。首先,我们的总体的目标,我们要能够满足我们抵御内外部的威胁和攻击的需要。
第二对于银行来说是一个相对来说强监管的企业。对于银行来说需要满足很多内外部的一些标准,国内国际的标准,还有一些监管的要求。我们的这样一套体系能不能满足它?
第三,还要能够和未来的一些架构转型能够接轨,当然这个是后面要说的。
所以,我们总体的思路是分了几个大的步骤。第一个步骤,我们要知道我们现在面临的安全威胁到底是什么?网络安全形势,我相信在座的人都知道网络安全,而且也都知道攻击,但是在座的人,有多少人能够知道一共有多少种攻击吗?对于黑客来说,对于不怀好意的人来说,一共有多少种攻击,你能够说出来有多少种吗?因为每一种不同的攻击你所采取的手段和应对的措施都可能是不一样的。第一步要建模找到我们可能会面临的攻击的行为和技术。
第二步,我们要去满足这种标准、体系、监管的要求,所以我们会对一些国际标准和监管要求进行对标。
第三步,后续有一些新的技术的趋势,我们要进行分析。
第四步,我们的架构,我们怎么样去构建它。
最后形成我们的总体的这样一套技术框架。我们看第一个问题,威胁,刚才我们提到,我们都知道网络安全有很多的攻击,到底它有哪些种攻击,它是怎么来的?当然这个只是我们一个总体的展示,我们一共搜集、汇总、分析了现在在互联网上可能的攻击种类有200多种,202种网络攻击手段。我们把这200多种攻击手段进行归类和汇总,找出可能对银行有影响的攻击,我们找出来有41种攻击,这41种攻击把它分成9个大类,就是我们威胁的建模。这样的话我知道将来我这套体系建完以后,我能够应对哪些攻击,在什么层面上,我能够应对哪些攻击,这是我们第一步要去做的位阶模型。当然这只是一个展示,因为我们每一个里边每一种攻击它是怎么产生的,有什么样的防御措施,在什么地方部署我们都有相应的分析。
第二个,对标,对标的目的有两个,第一,我要能够确保我们建立这样一套体系以后,我能够满足监管和标准的要求。第一个,它是双向的,第一监管和标准对我有什么要求,这是第一个我要去做。第二我做完以后我的这套体系,能够满足监管和标准的要求。对于中行来说,中行在世界上四五十个国家都有相应的分支机构。所以对于中行来说,它面对的是全世界的监管的要求,不光是中国的银监会和人民银行的要求。所以,我们对于包括中国在内的23个国家和地区的监管,它的监管机构,对于银行的在网络安全上的要求做了相应的分析和梳理,当然这是在中行总体的合规架构下面我们专门梳理出来一套针对于网络安全方面的要求。
这些网络安全方面的要求,海内外的监管对于网络安全方面的要求,通过我们把这些要求转换成一些安全的技术,这些要求里边涉及到哪些安全的技术,从这里边一共找出来有40项安全技术,在这些标准和这些监管的要求里边有40项跟网络安全有关的技术的要求。这是监管的要求。
第二方面对于银行来说,标准,对于中行来说我们的数据中心幼通过ISO27000,有通过SO20000,它和安全关系不是特别大,跟安全比较有关系的ISO001都是和安全有关的,我们这套体系做完以后,也需要能够满足这些认证和标准的要求。所以我们也对ISO27000,在国内没有看到包括乙方也好,包括甲方也好,没有说我把27000做一下分析,里边哪些地方涉及到需要有一些安全的技术,通过技术手段解决。这里只讲技术,不讲管理体系和制度流程。有哪些点,哪些控制措施涉及到安全的技术,我们把ISO27001分析它涉及到哪些安全的技术。
第三个标准对于银行来说,满足现在中国的等保,等保的标准,我相信咱们在座的在国内目前我也没有看到,有人说我们把等保里边,等保里边有管理要求,有技术要求。但是有没有人把它里边的技术要求所有的涉及到的具体的技术措施,把它理出来,每一条基础措施对应的是哪一条的管理要求,哪一条的措施,把它一条一条找出来。我们实际上把等保的1.0,原来的信息安全等保,包括现在正在征求意见的等保2.0,《网络安全法》正式实施以后国家发布的网络安全等保2.0里面,我们把里边的条款找出来,把里面的技术一个一个找出来,这里不详细列出来了。
还有一个,我们参考的一个标准是CSA,是美国的一个互联网安全中心CIS,发布了这样一套标准,叫关键安全控制,它把所有安全技术的一些控制措施分成了20个大的控制域,一共是190多个控制点,我们为什么会找到这样一个标准呢?因为中行在美国是有一个很大的分行,纽约分行,非常大。所以它受美国的监管的要求是非常严的,而美国的相当于中国的银监会,他叫OCC,他对于我们纽约分行做检查的时候对安全上的要求,采用的CSA这个标准。当然用CSA标准,他自己设计了一个工具,叫CAT,叫做金融网络安全评估工具,把这个标准转换成评估工具,所以我们觉得他这个标准在网络安全上面也是非常重要的一个。所以我们也会把他相应的安全技术措施提取出来。
所以我们根据前面的这块,一共归类整理出来50多项安全技术要求。
另外根据新的技术发展,在监管和标准里还没有提到的,还没有强制要求的,我们能够提升的一些新兴的网络安全的技术,我们也做了一些分析和归类,把它分析出来,一共是22项。最后一共找出来70多项涉及到的网络安全的技术的措施,把它找出来,当然这70多项的技术措施怎么样把它组合起来,怎么样整体应用起来?所以我们也去找这种标准和框架,从我们现在能够找到的标准和框架现在很多,我们找了比较有名,比较经典的框架,第一个叫PDRR的模型,叫防护、检测、恢复和响应,它是这样的一套模型,把整个安全的过程,分成四个大的过程。
另外一个比较有名的框架是美国国家标准技术研究所,他发布美国关键技术设施网络安全的框架,这个框架把整个安全分成了5个大的部分,包括识别、防护、防护、检测、和恢复,分成五个大的部分。
前两年,Gartner发表了自适应的安全框架,叫ASA,把安全分成了四个大的方面,包括预测、防护、检测、响应,当然每个方面里面还有具体的技术措施。
还有一个之前比较有名的叫P2DR,策略、防护、检测和响应。我们可以看到,这些所有的模型,我们去找了很多的模型,包括中国,看中国国家网络安全整体战略里面也是大概这样一个步骤,它的总体的思路是什么呢?都是尽量做好事前的预防和预测,做事中的检测,做事后的响应。基本的逻辑和原理都是这样的。总体的目标是提升我的系统的防护时间,我让我的系统尽量牢固,当然没有完全不可能被攻破的系统,只有时间长短的问题。所以我们的目标就是尽量的去提高它的攻击的时间。
第二,我要去减少我的响应,检测和响应的时间,这样的话,达到一个攻守之间的平衡。这个是我们的一个总体原则。
所以最后,我们把两个东西组合起来,前面说的70多项的安全技术,相当于我们的材料,原材料。这些框架就相当于我们的菜谱,我们怎么样用这个菜谱把我们的原材料组织起来,所以,我们一个总体的原则是,对于我们中行来说我们要建立的一个技术框架,我们两个原则,第一个叫做主动防御,第二个叫做纵深防御,这两个防御之间很多人都听过这样的一个名词,这两个名词之间是一个什么关系呢?其实简单的理解来说,纵深防御就相当于是一个空间,因为对于数据中心的信息系统来说,我们是有不同层次的,有网络层,有终端层有系统层,有应用层,有不同层次,我在不同层次上采用不同样的防御措施。
第二个主动防御,我们也可以把它看成是一个时间上的防御,这是从时间的维度来看一个攻击的行为。我们总体的框架大概就是这样。涉及到我们中国银行内部的,我们有一个完整的框架,这里就不展示了,因为这个也是涉及到中行内部的信息,我们主要讲一些我们的原则和想法。从时间和空间两个维度,从主动和纵深两个角度去构建我们的整个安全技术的完整的框架。当然我们后面,这个框架做完以后我们还有相应的路线图,我们会对于每一个技术做相应的评估,做路线图,今年做什么,明年做什么,会做好我们相应的计划。这样的话,从三到五年以后,能够完整的去构建我们整个中国银行的数据中心的完整的安全技术框架,谢谢大家!