随着数字经济的快速发展,我国银行业务服务模式与技术架构发生了深刻变革。尤其在数字化转型背景下,网络安全作为保障银行业务稳定连续运行的基础,正面临更大的挑战。
银行网络安全体系与银行技术、业务架构密切相关,先后经历了分散外挂防护、集中边界防护、纵深防护等阶段。随着银行数字化转型工作的深入推进,银行网络安全体系持续升级,并逐步向全面防护、攻防能力相长的新体系演进。
近年来,随着国际局势的复杂化,全球网络安全威胁持续升级,银行业金融机构作为金融领域的关键基础设施运营单位,面临更加严峻的形势:全球供应链攻击规模和影响不断升级;网络入侵事件与日俱增,高级可持续性攻击(APT攻击)呈多发态势;安全漏洞层出不穷,高危漏洞比例大幅增加,0 day漏洞风险防不胜防;信息安全整体形势严峻,客户信息安全与隐私保护面临新挑战。
当前,国家持续提高对网络安全工作的重视程度,陆续出台相关法律法规,以《中华人民共和国网络安全法》为基础的网络安全法律体系逐步形成,网络安全治理体系逐步完备,网络安全成为总体国家安全观的有机组成部分。2022年9月,《中华人民共和国网络安全法》拟修改并向社会公开征求意见,以加强对关基运营者违法行为的处罚力度。《关键信息基础设施安全保护条例》明确了关键信息基础设施保护流程,并要求关键信息基础设施运营者加强攻防实战能力建设。
同时,监管部门加强对网络安全的监管。公安部、人民银行、银保监会等监管部门相继出台一系列网络安全监管制度,并加大监管问责力度,多家银行因违反相关条例被监管部门给予警告、罚款、责令整改等处罚。监管部门、各级政府部门纷纷组织开展攻防比赛、专项演练等专项工作,敦促各关键信息基础设施运营单位快速提升攻防实战能力,监管重心逐渐由合规要求向能力提升转变。
人工智能、物联网等新技术不断发展,与交易结算、资金融通、风险管控等银行业务深度融合,跨境交易高频发生,任一环节出现问题都可能对业务连续性造成影响。
云计算、大数据等技术的发展在为数字化转型赋能的同时,也带来了云安全、大数据安全等一系列新型安全问题,产生数据泄露风险。
当前,人工智能、区块链、量子计算等新技术不断发展,银行不断加强对新技术的应用,研究建设数字安全平台,夯实银行业数字化安全基座。
银行网络安全工作面临严峻的内外部挑战,网络安全技术、产品快速发展,银行需要以体系化、全局化的视角统筹审视网络安全各项工作的内容和布局。
20世纪80年代以来,在信息技术的带动下,商业银行业务接连实现电子化、网络化、数字化的多次飞跃,信息技术已经成为商业银行创新的核心驱动力。网络安全与信息化同步发展,银行网络安全体系与信息技术体系相关联,网络安全工作随信息技术的演进经历了多个阶段,银行网络安全的防护目标、防护模型、关键技术在每个阶段都存在显著区别,各阶段银行网络安全体系的特征如下。
1980年以后,银行信息系统进入电子化时代。银行资金流动日益频繁,我国各大银行相继引入了大型主机系统替代人力工作,在网点建立柜面业务处理系统,在后台建立联网系统,基本实现了银行内、网点间的业务联网处理。此时我国的互联网普及率较低,大多数银行的信息系统封闭于局域网中。
在此阶段,银行网络安全体系采用分散外挂防护架构。银行信息系统主要面临技术缺陷、人为破坏、人工误操作等安全威胁,因此安全防护工作多采用分散外挂防护。银行网络安全工作的开展主要依据国家及主管部门发布的安全监管制度如《中华人民共和国计算机信息系统安全保护条例》,安全工作主要围绕物理安全、终端安全、主机系统安全等领域开展,保护专用系统和软件的安全。此时银行网络安全工作处于起步阶段,代表技术有防病毒、加密技术等。
2000年以后,银行信息系统进入网络化时代。随着商业银行业务的不断扩展和对信息系统依赖性的不断加大,我国商业银行纷纷将分散的计算中心集中到大型数据中心,实现了信息系统和数据的高度集中。工商银行率先完成数据大集中,之后,全国大小银行陆续完成信息系统从“各分行分散”向“全国性集中”的革新。
在此阶段,银行网络安全体系采用集中边界防护架构。银行信息系统的高度集中也导致了风险的高度集中,银行信息系统规模日益增大,运行环境愈发复杂,仅靠过去针对性解决的方法已无法系统性地解决复杂的网络安全问题,所以银行网络安全体系演进为集中边界防护,即围绕数据中心进行的网络边界防护。此时各大银行开始运用体系化思维解决网络安全问题,参考了国内外一系列安全标准及模型,如信息安全等级保护相关政策法规、ISO27000信息安全管理体系标准等,不断提升信息安全管理的规范化水平。在此阶段,银行网络安全体系已相对成熟,代表性的安全技术有访问控制、防火墙、入侵检测技术等。
2014年以来,银行信息系统进入信息化、数字化时代。银行的产品、营销、运营等逐渐发生深刻改变,信息系统应用规模不断扩大,银行产品迭代不断加速。各大银行纷纷引入云计算、虚拟化、人工智能等新技术来处理越来越多、越来越繁杂的数据,信息系统逐渐由单一集中模式向分布式、集中式并存的双核架构转型。
在此阶段,银行网络安全体系采用纵深防护架构。随着信息系统走向开放,新技术深刻改变了银行的服务形式及产品形态,同时也带来了新的安全风险,因此银行网络安全架构逐渐向纵深防护演变,强调内外兼顾的综合防护。各银行依据国家及相关部门发布的《网络安全等级保护条例》与《国家关键信息基础设施安全保护条例》(以下简称“关基保护条例”)等相关法规标准,推动构建网络安全纵深防护体系。网络安全的目标由单一保护网络向保护数据转变,通过纵深防护,达到内外兼防的目的。在此阶段,银行网络安全需要同时兼顾攻防,代表技术有ATT&CK威胁建模、网络攻击溯源技术等。
目前,银行业正处于数字化转型关键阶段,银行业务模式向数字化运营转型升级,对银行网络安全体系提出了更高的要求,银行网络安全体系逐渐由合规管理向主动防御、智能防御等能力建设阶段转变。
在新的形势下,银行网络安全体系升级转型的需求愈发迫切,从当前发展情况来看,银行网络安全体系升级主要有三个方向。
升级安全防护技术是银行网络安全体系升级中“技术”层面的尝试。通过提升各项防护技术效能,应用以数据为驱动的安全新技术,构建数字化转型安全底座。
大数据与人工智能技术赋能金融反欺诈,以数据为驱动建立智能化的风险预测防控模型,构建以数据为核心的反欺诈体系,能够提升银行服务能力和风险管控水平。隐私保护技术在日常业务开展中保护客户合法权益,保障业务安全,促进数据合规、高效流通。区块链技术实现交易防篡改和可追溯,在重构信用机制、保护个人隐私以及共享行业信息方面发挥重要作用,可有效提升银行间合作效率。
引入新的安全防护模型是银行网络安全体系升级中“模型”层面的尝试。通过将安全防护基本理念、实施策略进行重构升级,实现既有安全技术防护效能的提升,其中零信任模型是当前最热门的模型。
零信任的核心思想是“从不信任,始终验证”。零信任打破了传统网络安全中“网络边界”的概念,网络安全体系从以网络为中心向以身份为中心转变,对用户、设备进行全面动态的访问控制。
近年来,零信任应用日渐广泛,产业发展初具规模,已有银行开展零信任架构研究试点。2019年以来,微软、谷歌、思科等全球科技巨头率先进行零信任架构落地实践,国内安全厂商纷纷推出各场景的零信任解决方案。目前,远程办公、远程分支机构接入、远程运维等场景备受各行业关注,工商银行等大型商业银行均开展了远程办公场景下零信任试点。
摒弃静态防护,引入攻防博弈理念,是银行网络安全体系升级中“理念”层面的尝试。通过重新定义安全的状态,实现网络安全向以能力建设为导向的智能防御及进攻反制阶段演进,“攻防相长”理念是该方向的积极尝试。
国家网络安全监管要求日益严格,《关键信息基础设施安全保护条例》对关键信息基础设施运营单位提出了“溯源反制”等攻击能力方面的要求。因此,我国银行业逐渐将攻防能力建设纳入整体安全规划,网络安全理念由基础建设导向朝能力建设导向转变。
工商银行在行业率先推出“攻防兼备、能力相长”的新一代安全攻防体系,成立了安全攻防实验室,研究网络安全攻防技术,开展攻防实战;此外,提出金融攻防靶场的建设思路,整合开展了攻防能力培训、攻防技术研究、攻防对抗实施等多项“以攻促防”工作。
#四、银行网络安全工作展望
数字化转型时代,银行业金融机构应紧跟网络安全体系发展趋势,持续提升网络安全防护实效,以应对复杂的安全形势。
针对数字化相关新技术应用可能带来的一系列风险,各银行业金融机构应全面梳理业务系统和数据资产,规范新技术使用场景,加强新技术安全底座构建工作;同时,落实网络安全相关法律法规及监管要求,保障数字化新技术的安全落地应用。
在数字化转型的背景下,银行业务与信息安全息息相关,零信任“始终验证”的思想可以满足银行业务更安全、更高效的需求。各银行业金融机构应积极部署零信任安全架构,重新构建银行系统安全边界,推进网络安全体系转型升级,推动金融业安全、高质量发展。
传统静态、单点防护方式已不能满足银行当前的安全需求,各银行业金融机构应树立动态、综合的安全防护理念,实时感知安全态势,并着力推进自身安全能力的数字化转型,通过攻击验证防护实效,以数据驱动提升自身动态防护水平,从而有效应对复杂、严峻的网络安全挑战。