銀行在數(shù)字化轉型的過程中面臨哪些新的安全挑戰(zhàn)�����?近年來,隨著數(shù)字化不斷深入�,各大銀行都在加速升級核心系統(tǒng),以實現(xiàn)服務線上化���,提升作業(yè)效率和用戶體驗���。然而不可忽視的是,數(shù)字化也進一步加大了數(shù)據(jù)和資金等關鍵要素的風險敞口�����,使得網(wǎng)絡邊界更加模糊��,傳統(tǒng)安全體系捉襟見肘����。如何在復雜的安全環(huán)境下守住數(shù)字銀行安全底線,確保信息安全系統(tǒng)“防得住���,防得全”�����,正在成為每一家銀行在數(shù)字化轉型過程中的重要課題���。
“數(shù)字銀行信息系統(tǒng)主要面臨三方面的威脅���,需要更強大的免疫系統(tǒng)���!痹11月22日的金融街論壇上�����,網(wǎng)商銀行首席信息官高嵩分享了該行在安全領域的觀察�,“一是服務線上化����、場景化導致銀行信息系統(tǒng)對外暴露的攻擊面大幅增加;二是安全威脅等級提升��,金融業(yè)務數(shù)字化后的攻擊潛在收益增加���,因此攻擊者愿意投入的成本也越大;三是安全與效率的矛盾更加突出��,原本的網(wǎng)絡隔離技術和管理制度約束跟不上業(yè)務發(fā)展速度����,使得安全無法落到實處������!
圖說1:網(wǎng)商銀行CIO高嵩
為應對上述安全挑戰(zhàn)�,在本屆金融街論壇上,北京前沿金融監(jiān)管科技研究院與網(wǎng)商銀行共同牽頭的《數(shù)字銀行可信縱深防御白皮書》首次提出了“可信縱深防御”的數(shù)字安全理念�,并提供了詳細實施路徑。
可信縱深防御體系是一種新的安全防御體系架構���,以密碼學為基礎����、可信芯片為信任根���、可信軟件基為核心����,對面向互聯(lián)網(wǎng)開放的應用服務�����,確保應用運行所依賴的資源、行為在啟動時和運行中均是可預期且可信的�。其中,可信計算是一種新計算模式�����,能夠在實施業(yè)務計算的同時進行主動免疫防護�,使攻擊者無法利用存在的缺陷和漏洞對系統(tǒng)進行非法操作;而縱深防御的理念來自于戰(zhàn)爭學��,建立計算部件+防護部件的多重安全體系結構��,并通過可信安全管理中心和多層級安全觸點實現(xiàn)全程管控����,避免單點防御措施失效導致風險事件的發(fā)生,最終達到讓攻擊者“進不去����、拿不到、看不懂���、改不了����、癱不成�、賴不掉”的防護效果。
白皮書顯示�����,有別于傳統(tǒng)基于攻擊方法被動優(yōu)化攔截和阻斷策略的思路�����,可信縱深防御系統(tǒng)在面對0Day��、社會工程學���、軟硬件供應鏈等難以預測的高等級未知威脅時具有顯著優(yōu)勢��。一方面���,其通過白名單化的管控策略,根據(jù)業(yè)務的代碼���、流量數(shù)據(jù)����,清晰定義系統(tǒng)運行所依賴的預期內(nèi)的可信行為,使得意外行為無法發(fā)生��;另一方面��,其可以針對硬件�����、固件��、系統(tǒng)和應用等不同的防御平面部署多層次的防御體系����,加大防御縱深,使攻擊者無法達成攻擊目的或在達成攻擊目的之前就被發(fā)現(xiàn)和制止���。
圖說2:數(shù)字銀行可信縱深防御體系框架
“以業(yè)界難題0Day漏洞防御為例���,在線系統(tǒng)中使用的硬件、操作系統(tǒng)���、軟件���、服務中都潛藏著很多尚未被發(fā)現(xiàn)的漏洞���,而在被正式上報前,基于這些漏洞的攻擊方法和特征都是不可預測的���。但在可信縱深防御體系里,僅允許業(yè)務依賴且通過安全評估的行為訪問與執(zhí)行�����,對攻擊導致的異常行為就能‘免疫’�。”高嵩表示���,“可信縱深防御能有效識別‘自己’和‘非己‘成分���,破壞與排斥進入信息系統(tǒng)機體的有害行為,并且不需要通過物理隔離等手段實現(xiàn)�,兼顧了效率與安全�����!
中國工程院院士沈昌祥認為,主動免疫可信計算的保障體系是合法合規(guī)應對數(shù)字銀行面臨的高級和未知威脅的最有效解決方案�����。網(wǎng)商銀行可信縱深防御體系是數(shù)字銀行場景下對主動免疫可信計算體系很好的落地實踐���,能夠為金融業(yè)及其它行業(yè)主動免疫可信計算防御的有效應用帶來借鑒及示范����。
隨著數(shù)字經(jīng)濟的不斷發(fā)展��,數(shù)字銀行的信息安全防護體系的價值愈加重要���,而基礎安全防御體系是保障銀行業(yè)客戶信息和資金安全的基礎底座����,也是保證銀行持續(xù)穩(wěn)健經(jīng)營的安全基石���。作為一家完全線上化運營的原生數(shù)字銀行����,網(wǎng)商銀行對于可信縱深防御體系的探索��,可以解決銀行業(yè)數(shù)字化轉型過程中,企業(yè)級架構復雜度呈爆炸態(tài)增長的當下安全團隊與業(yè)務團隊強耦合�����、安全應急響應速度慢�、協(xié)調(diào)難度大等困難問題,為未來信息安全防護體系的演進方向提供了一個范例��。
(責任編輯:喻容容 )
【免責聲明】本文僅代表第三方觀點�,不代表和訊網(wǎng)立場�。投資者據(jù)此操作,風險請自擔�����。
最新評論