第十七届中国金融发展论坛9月8日-9日在京召开。中国民生银行信息科技部总经理牛新庄在会上表示,中国有8亿台移动设备,这些设备正遭受黑客组织有目的的威胁,现在已经形成一个地下的黑色产业链,这些攻击目标明确,攻击频繁,而且有组织、配合缜密,行踪隐藏,危害巨大。
以下附发言全文:
牛新庄:各位领导、各位同仁,很荣幸代表民生银行就信息安全主题给各位做一个交流和共享。我的主题分为几个部分,包括整个互联网信息的安全形式、当前面临的威胁以及民生银行在信息安全方面所做的一些工作。
前不久G20刚刚结束,在整个G20会议召开期间,其实我们国内的金融IT系统遭受到来自于境外有目的、有组织的一些威胁和攻击,所以应该来说,没有网络安全,就没有国家安全。当前网络安全面临很多复杂的形势,这些形势包括经济犯罪的威胁,这里面有利益驱使高、受害主体广、攻击方式多、社会危害大几个特点。
我们还受制于来自互联网的威胁,大家都知道随着技术的发展,据数据统计,中国可能有8亿台移动设备,随着这些设备的使用,我们遭受的黑客组织有目的的威胁,现在已经形成了一个地下的黑色产业链。而且这些攻击目标明确,攻击频繁,而且有组织、配合缜密,行踪隐藏,危害巨大。
第三个威胁是技术创新所带来的威胁,我们可以看到近五年来整个技术的变革,导致整个商业模式的变化,在这个过程中,云计算、移动互联网、物联网、大数据、机器人、人工智能,整个技术的发展导致安全与应用推广的速度不匹配。
针对这些外界威胁,我下面讲一下民生银行面临的信息安全威胁与风险。我们可以看到,今年以来,整个银行外部的安全形势日趋复杂和严峻,从今年2月份以来,整个国际形势上来看,从孟加拉央行、阿联酋投资银行,再到泰国,银行都遭受了不同程度的攻击。从国内来看,我们民生银行内部遭受到了近千万次攻击,新增木马病毒1.2亿个,垃圾信息约100亿条。
同时,攻击方式发生了重大转变,从传统的攻击向社会网络、APT攻击、多态变形的恶意软件,这一年多来,从民生银行内部的安全系统监测来说,这个趋势呈逐渐攀升的状态。所以可以这样说,随着技术的发展,银行和金融系统面临的安全威胁和攻击非常严重和复杂。
而且银行面临的挑战是互联网金融应用不断拓展,外部银行关联系统防护参差不齐,安全防护短板仍然存在,随着互联网放大效应银行安全事件的影响,声誉风险无限放大。这些新技术带来的风险,就是对银行来说可能有几个方面,第一个,银行的主要矛盾是开发,遭受来自于各个业务部门的压力,整个的运维更多的是内部的压力,安全运维、生产运维,更多的是操作、变更导致的风险,各种软硬件的故障、缺陷导致的,但大家会发现这些更多是内部的。
但是安全不一样,安全有的时候不是一个点,是整个面,这个面不是说我做好银行内部的风控,做好整个的IT治理就可以了。安全是受到一种新技术,受到来自于整个外界的安全威胁,如果我们把银行IT系统比做一个城市,安全威胁更多来自于城墙之外,而我们的开发和运维更多来自于城墙之内。
而且在互联网环境下,信息泄露和滥用问题日益严重,大数据依托海量数据集中,一旦泄露,其危害不堪设想。近年来,金融业的数据泄露事件触目惊心,影响甚广,一旦被不法分子利用,产生的身份冒充、钓鱼诈骗等违法事件极其难防。而且同时信用滥用的现象非常普遍,包括现在的电信欺诈等等。
刚才跟大家交流了一下对于金融行业来说,我们面临的一些从大的安全形式,以及到具体的国内技术上的趋势,民生银行非常重视信息安全工作,下面给大家汇报一下我们在信息安全方面所做的一些探索。我们基本上是监测全覆盖网络攻击,我们的数据保护,我们非常重视安全合规,在2016年8月底,我们实现了全国1000多个网点全实时的监控;第二个是网络攻击,2016年截止到现在,民生银行共接收到240万余次攻击;第三个是数据保护,我们搭建了全行的、全体系的,对全国所有的分支行进行全面的数据管控;第四个是漏洞检测,截止到2016年6月底,共发现5836个安全漏洞,其中高、中危漏洞数量占69.14%。
民生银行信息安全的总体框架是,我们的愿景是希望达成共识的数据目标和业务价值愿景,我们在制度合规、安全运营、网络开发、渗透测试方面做了大量的工作,下面我分别给大家做一下汇报。我们是希望能够做到一个行业领先、国内一流、立足民生、面向集团的目标,具体来说,我们做了一下几个方面。
第一,我们引入了一些前沿的先进的技术,建立了专业化的信息安全平台,完善了安全制度和规范,提升了信息安全技术的支撑能力,完善了信息安全的响应机制。所有这些都离不开一个技术,所以目前民生银行高薪聘请了一支安全队伍,打造一支能打硬仗的安全队伍。
我们可以看到在整个过程中间,我们分为几套体系,最下面是基础安全防护体系,包括网络安全、终端安全、应用安全、系统安全以及应用安全服务;往上是安全处置中心,包括漏洞预警、情报中心、威胁态势感知系统、应急响应、合规检查;再往上是安全检测,包括实时流量监控、日志采集、流量检测、恶意地址、安全预警、渗透测试、漏洞验证、攻防演练。最上面统一的服务接入层,包括认证接口、密码服务接口、数据安全接口、统一采集口以及安全可视化接口。同时我们有一个团队,不停地对我们的新技术做一些探索和研究。
在安全运营方面,我们是希望搭建以数据为基础,充分整合安全和行为相关的数据资源,以运营团队为核心提升我们的数据分析能力,以安全场景为驱动深入挖掘数据潜在的安全风险,以平台为支撑,构建整个安全的大数据体系。
我们希望通过广泛的数据源的采集,再加上深层次的大数据的金融分析能力,来形成一些对信息安全的洞察。我们在安全方面搭建了大数据平台,在这个大数据平台里面,通过对日志、情报、流量的采集和分析,我们可以支持各种形式的数据源,具备一种日志、安全事件与网络活动收集、正规化安全等报警能力。同时我们还和国外的情报服务集成,下一步将与国内的一些安全公司合作,加强情报的使用。
这是我们内部搭建的一套系统,是我们以安全场景为驱动,深入挖掘存在的一些安全风险,攻击是什么?攻击成功了吗?我们在哪儿发现他们?涉及多少目标系统,事件的关联性,以及证据在哪里。
安全其实是贯穿整个软件开发的生命周期,通常安全出了问题以后,我们是在事后发现,但是安全其实应该从源头到终端全过程,所以说过去我们的安全团队在开发的时候,通常上线以后再测试发现有漏洞,其实这些都已经是事后了,然后再去修改,就会非常低效。现在我们把安全团队嵌入到整个的开发中,也就是说在上游希望这个安全团队的嵌入,能够解决80%的问题,对于非常高级的、有难度的问题,再通过安全专家来发现剩余20%的安全问题。
我们在需求与设计阶段、开发与测试节、部署与响应阶段,以及流程优化及其他阶段,2015年我们整个银行业的漏洞分析发现问题发展严重,与安全开发的一些信息泄露类、未授权访问类、跨站脚本类、重方攻击类,从开发角度来看,主要体现为越权防范、跨站防范等方面的工作。我们去年发现以后,把整个安全团队嵌入到开发过程中,实现全流程的端到端。
同时我们加强对操作风险的管理,希望这些终端管理的目标是可管理、可审计、安全可控;我们完善各类终端的安全标准和制度,健全管理工具,重点是做好终端层的数据防泄密工作。过去在我们民生银行经常会发现,因为民生银行在中国金融业一直是创新的黑马,业务上有很多创新,我们往往会发现,今天我们做了一个业务创新,明天在别的银行就可以看到这份文件。我们从2015年2月份以来,对终端的操作管控非常严格,封闭了所有入口,包括邮件、USB口等等。
还有一个是渗透测试,我们的目标是面向全行业务系统,从攻击者的角度,及接近实战的技术手段进行渗透测试,这就需要我们内部有目的地做这些工作,做模拟演练。我们希望建立银行业第一支专业渗透测试队伍,实现对全行应用系统安全漏洞的统一发现、统一管理、统一修复,实现安全漏洞挖掘、方向的智能可控。
我们搭建了一个漏洞管理系统、漏洞预警系统以及可视化漏洞分析系统、漏洞扫描系统、网络安全威胁处置系统,目前来说我们整个安全团队有40多人,这两年来我们对人才的引进,我们希望通过对一些高级人才的引进,搭建两支队伍相互攻防,能更好地发现一些问题,未雨绸缪,防患于未然。在业务不断发展的过程中,如何做到业务安全,有的时候在业务发展过程中出现一些大的事件,所出现的监管的不信任,对我们的业务影响非常大,所以我们必须要有这样一套渗透测试的队伍,这样一个系统,来解决这些问题。
制度和合规方面,我行已逐步完成信息安全体系规划建设工作,内容涵盖信息安全的总体策略、信息安全的组织管理、应用系统开发和测试运行、信息系统安全管理培训等等。从银监会、信息监管部门的IT治理的角度来说,我们整个安全、风控,在2014年通过了ISO27001和CMM认证,我们希望参考业界的信息安全的管理体系,以及我们自身的安全管理体系,依据信息安全监管的要求和实践,来建立健全整个信息安全保障体系。
同时基于我们的创新,基于大数据,我们搭建了一套安全情报处理系统,我们的目标是建立以情报平台为核心威胁情报处置中心,目标是构建协同防御的大脑,在传统防护体系的基础上,建立基于情报的大数据分析平台。由此为基础来实现大数据的智能化情报体系,围绕业务面临的安全威胁,提供安全处置和保障业务服务。
这是我们整个的框架,在这个框架里面我们可以看到我们民生银行在安全情报威胁衷心的一些愿景,在这个愿景里边我们分为几个阶段来实现,因为时间有限我就不展开讲了。这个平台有防止木马的、有防止恶意网站的,这个平台目前已经上线。
大家都知道,基于现在的安全体系下面,可能很多安全问题很难解决,就像我们的手机银行、APP,大家会发现在安卓的系统上运行的时候,有很多底层的问题,不是我们这个层面能够解决的,所以必须要有更高的技术来做。在前两个月,我们国家也发射了第一颗基于量子通信的卫星,我们民生银行也进行了参与,增强系统安全性,建立纵深防护体系。
最后我想做一个总结,我们希望全面感知是基础,异常行为是线索,分析能力是关键,响应处置是根本。安全这条路还很长,我相信各个银行的科技部都面临这样一个问题,因为安全是一个最底层,今天很多的安全问题不是光靠你一个单位所能解决的,更多的是城墙之外的事情。在这一块我们也分享一些经验,我们民生银行除了我们自己,也积极地跟国内外的同业做一些交流,我们跟国家信息安全测评中心、跟总参三部、公安部,以及国内一些知名的安全公司展开长期的合作。
安全是城墙之外的事情,它不是一个点,它是需要由一个点连成一条线、一个面,建立一个纵深的防护体系。很多安全问题不是在银行这一端,大家都知道近年来有很多第三方支付的平台,我们也经常登录各个网站,录入一些信息,有的时候你都不知道你的安全,你的各种信息的泄露是发生在什么地方。所以它是整个国家层面的纵深的防御体系,在这个过程中,各个同业横向和纵向的沟通非常重要,目前我们民生银行正在做一个概念叫做安全账户,因为我们今天发现我们一个银行有很多账户,你会发现你这个账户可能会安全很多,有的是跟微信关联,有的是跟第三方支付平台关联。但是不管怎么说,最终你的数据要从银行账户出来。
我们希望安全账户有一个最高的优先级,可以把前面的认证覆盖掉,或者说我们设置一个纵深,比如在2000块钱以下就走常规验证;当超过这个限额以后,我们就会给你发一个短信通知,让你去验证一下。这个工作也很复杂,需要方方面面的协同。所以安全的一些工作应该说随着技术的进步任重道远,今天由于时间有限,很多方面就不展开,我们也希望同业之间多多交流,也欢迎同业到我们民生银行来做交流,谢谢大家!
本文转自d1net(转载)
