吕晓强:银行业网络安全探讨及趋势分析

2017-07-27 中国发展网

中国发展网 7月27日 第25届金融展于7月27日至7月30日在北京展览馆与大家再次相见。本届金融展将以“创新驱动 稳健转型 共享金融”为主题,集中展示各类金融机构、金融科技企业的创新发展成果,以及面向企业、“三农”、百姓等推出的普惠金融新服务和金融IT新技术,通过多种形式、多个层次的分享互动,进一步促进金融行业内外的交流与合作,为我国金融业的稳定和可持续发展作出贡献。

中国民生银行信息科技部总经理助理吕晓强出席并发表主旨演讲,以下为演讲全文:

image001

吕晓强:非常感谢组委会给我这次机会,跟大家分享一下关于银行业信息安全探索以及趋势。刚才听了武总演讲非常有启发,我想对于服务厂商来说,可能听的应该是欢心鼓舞,因为这个空间很大,对我们本身在银行业从业的人来讲压力非常大。看到刚才讲的一些数据,我们跟全球先进的美国市场还是有很大的差距,所以我们还有很多工作要去做。

今天讲的内容主要是有关银行业信息安全的探索以及趋势的分析,我主要分三个部分阐述这个问题,一个就是银行业面临的威胁,第二个是信息安全工作的探索以及对策和建议。银行业刚才讲了它是一个跟金融,跟利益直接挂钩的行业,所以说现在随着互联网技术的应用,银行业的产业越来越多的放在了互联网,现在我们全球的网络像生活必需品一样无所不在。

目前我们的对手也发生了一个巨大的变化,黑客变成了以前完全是炫技的一种行为,变成了完全利益驱动的行为。我们对手发生了全面的变化,现在网上都出现了黑客服务模式,很多攻击手段根本不需要自己了解,有一帮人帮你来开发,所以我们面对的对手发生了巨大的变化。

第二个就是他们使用的手段也在不断的发生变化,包括刚才讲的SWIFT黑客事件,ATM攻击,包括大规模勒索软件出现,还有DDoS攻击,俄罗斯央行黑客攻击。这个就是我们现在面临的现实的现状。还有一个是面临外部政策供给,我们自身的能力是怎么样的?我们可能是我们的技术设施并不是完全可靠,也不是玩可控,大家可以看到最近我们感受到的2014年的心脏出血的攻击行为,以及Structs 2雷动,也包括反序列化漏洞。2014年高危漏洞有4000多。

银行业在互联网上日益增多的时候他本身的能力并没有跟上发展的要求。同时随着网络变成生活的必需品,我们所有的工作一天24小时特别想在工作上进行演进,看到大家在工作上讲的只要一个手机就可以把相关的工作都解决了,所以目前相当于我们24小时暴露在互联网的攻击下。

同时为了满足24小时的服务,银行除了原来传统网点的柜台,ATM,现在加上手机银行、微信银行、网银移动,各种新渠道,银行现在是24小时在网上提供各种各样的服务,我们的对手手段也在不断加强,整体来讲我们的风险在不断的加强。

同时我们除了要防范攻击之外,实际上本身很大一部分要防范数据的丢失,就是泄密的东西,随着国际网络安全法,我们要在银行业充分的防范此类事件的发生,一个就是有意无意的丢失,第二要防范有组织的窃取。还有一个就是一些新技术的使用,互联互通,大数据,包括我们现在在讲的跨界融合的问题,银行业可能方方面面的和行业合作,这样就带来数字流转、交换的东西,这些都给我们带来很多技术的挑战。

面对这些问题我们应该怎么去应对?我作为一个行业的工作者,在一些实际工作中的探索和大家分享一下,首先我觉得我们全面的建立一个安全的防御体系,我们本身要达到一个高效成本的安全防护能力。这句话什么意思呢?我们本身防护能力有效,刚才讲的IDC的分享投入不够,可能要加强投入,但也不是无限制了投入这个东西,必须是有财务成本约束,这个情况下我们要达到三种能力,一个是全面安全感知的能力,有效安全防护能力,有效应急响应能力,我们能感知到外部威胁是什么。

同时我们要有安全防护能力,这个是基石,如果天天知道我被打,我没有有效的保护,等于说你是一个在互联网上裸奔的。但是不能说我有防护能力之后就能确保我不被攻击,所以我一定要有有效问题的促使能力,有的问题相应能力。我们怎么来保证这些东西?我们可能是安全的IT化,这个什么意思呢?就是有一套完备的管理体系,管理体系怎么落地,单位可能面临比较大的问题,我可能什么制度都非常健全,但是它落地的情况并不是很好,所以我觉得我们要以高度自动化为指引,确定执行的效果。

同时采用技术感知一些安全防护的能力,实现精准实施全场景的保护措施,同时自身建立一个管理闭环环境,这个各个行业差距不太一样,我们信息安全团队相对是独立的,它怎么样跟周边的各个体系、业务、开发、测试、运营发生整体的整体性的环境封闭的管理,这是我们在研究的东西。原来是相对封闭的在运转,很多促使的效果并不是特别好,现在我们想把它做成一个完整的闭环的东西。

这上面要实现的基础就是我们要全覆盖的体系,这次讲课的网络和应用类型,包括终端、网络、核心网这些东西本身是一个相对传统的防护的体系,我们的安全风险全覆盖,包括系统风险、应用风险、业务风险,这就是我们整体的设计。

我们的工作风向是要做到信息安全的“可见、可管、可控”,可见就是在网络上的行为是可以看见,并不是像现在很多行为分析我们并不知道,同时我们要做到可管,可管理。同时也可以控制它的行为,所以说我们在信息安全工作方向上要做到这样可管和可控。

根据银行业在十三五发展重点任务就是银行业将贯彻落实国家与信息安全政策,把信息安全工作提到到战略性的高度统筹考虑,着力健全安全管理体系,加强信息安全技术防护,提供基础信息的保护水平,确保风险可控,我们会围绕着网络安全法在数据保护、系统安全开发、长效安全策略的一些防护上向欧盟。

下面我们讲一下我们民生银行想做的一些事情的考虑,这也是做的一个比较好的行业,整体通过系统的定级、整体目标的分解以及跟国家的各类要求整合之后建立一个等级化的安全体系,融入到我们体系建设的运行中,作为民生银行来讲,在工作基础上要做扎实,把等保的工作列入到我们前面讲的管理IT化的体系里去,这样是我的工作自然的在我整体的工作中的流转而不是美元的策略和工作。这是等保所有的包括就已经落地了,而不是为了每年等保的检查而做的工作。

第二个就是基于大数据的网络安全态势分析,这个主要是认为目前已经过了以人管人、制度管人的阶段,到了主动管理以数据驱动做这个工作,这个就是我们希望把通过数据的采集、分析来把做到可视化、可测量、自动化、可检测,通过数据的分析来感知我们安全的情况。

这块是我们希望通过前面数据的分析采集,以及结合传统的防护体系,建立一个整体的信息安全感知的体系,就是大脑中枢,我们有一个大脑能把所有相关的防护体系和机遇数据的感知体系,以及我们现在在落实的数据的分析体系把它整体的串起来,这个基础上我们有一个分析的中枢做一个整体的指挥调度,让这个体系作为一个完整的整体运转。

这块内容主要想讲的是现在各个行业都在做客户反欺诈体系,但是很大的一部分是在把信息安全的内容加进来做的并不是太多,业务部门并没有很多的信息安全去联动,去判断这些薅羊毛的方式,有些数据从我的数据能帮助业务做判断体系,我的信息安全的内容怎么来帮助建立更加完整有效的全行的反欺诈的监控体系。

这块就是敏感信息安全保护,这块是针对我们行来讲是非常重要的一块工作,可能有些行已经做的非常前列。这块工作也在大力推进,我觉得大部分行可能比较费劲的一块工作,所以我们现在想做的首先是把数据的标准化,工作做出来,然后在这个基础上我们把数据脱敏统统做出来。

这块工作实际上我们已经基本上完成80%多了,所以现在从我们的角度来讲,行里所有数据的流转都是可以被跟踪和审计的,你任何的数据要进出我们的控制范围都是被审计的,当然我们现在还差最后一步是在没有实时的阻断上,这样对相对的业务进行沟通,可能会带来大量的效率问题和大量投诉,所以我们现在也在积极的推进这个工作。

这块是安全运营的协同防护,怎么样让信息安全作为一个整体的体系运转起来,而不是孤立的存在一个体系之外的工作内容,所以现在就是我们再把信息安全的发现和落地、整改,和安全的开发,跟我的运维,作为一个有机的运营的部分,在这儿也强调一下,实际上信息安全是整体运营的一个环节。

最后我们希望能达到一个姿势性安全防护体系,这样我们能做到预测,主动风险分析,预测攻击,能够阻断这些攻击,同时对我们发生的事件能够进行检测,确认风险,尤其是这个排序。最后是响应,就是针对入侵等各方面进行一个响应工作。

第三部分就是讲一下对策和建议。建议一是深入贯彻落实《网络安全法》,加强网络安全各项制度的建设。《网络安全法》今年颁布了,也是作为银行最高的指导的法;第二个就是做好网络安全各项却侧部署的落实,强化组织领导,这个必须扎扎实实落实,刚才为什么要提所谓的管理IT化?这个就是把工作扎实的手段,同时要做好维护网络安全主题。

第二个就是要强化网络安全顶层设计,提高网络安全战略能力,这个还是一个基础性的工作,同时要完善各个行的网络安全管理措施,第三个健全持续优化改进的网络安全管理机制,四大信息安全投入,持续推动信息安全人才队伍建设。这块是刚刚讲的要大力去加强,实际上各个行现在全球的投入加大还是非常快,但是队伍的建设还是非常吃力,所以这块我们各个行应该也是在全力的建设,但是对于一些小行来讲,让它大力投入真的非常的吃力,所以我觉得大家也可以想想怎么样去把这个工作做好五世。

第五个是定期开展信息安全监督检查,推动全行业的信息安全风险评估工作,逐步形成常态华的安全检查和评估机制。这个是说说容易做起来难,尤其是把结果落实到日常的工作当中。

建议三就是推进网络安全综合防御技术体系建设,第一个是全面梳理现有安全防御技术,这个刚才也讲了,我们的整体硬件投入非常多,但是在整体防御体系的建设、规划上还是非常大的欠缺;第二是对于互联网介入区域要重点巩固并加强防御措施,建立严密的外网安全防护系统;第三是提升网络安全威胁的检测、分析和预警能力,这个是对动态安全的一些发现和检测的能力;第四个是提升漏洞发现,定位和处置效率;

这个每次我们都会提,因为银行业很多都是共性的问题,怎么样把资源整合起来,对没有能力或能够不足的银行进行支撑,第三个是国家开展行业分析共享,推动银行业态势感知的能力。谢谢大家。

李曙光:感谢吕晓强先生的精采演讲,近年来,大数据日益政委国家基础性战略资源、数据能够真实的反应运营状态,通过数据分析的结果驱动运营方式,帮助企业凭借数据、敏感性和逻辑分析能力指导业务实践,下面让我们以热烈的掌声欢迎北京神州绿盟信息安全科技股份有限公司高级副总裁叶晓虎先生发表演讲,他演讲的地亩是情报与数据分析驱动的协同运营,掌声有请!