◆唐 彬

?

持續(xù)加強(qiáng)網(wǎng)絡(luò)安全治理 構(gòu)建安全保障技術(shù)體系

◆唐 彬

(中國人民銀行金融信息中心)

隨著互聯(lián)網(wǎng)的發(fā)展，國家高度重視網(wǎng)絡(luò)安全和信息化工作，網(wǎng)絡(luò)空間已經(jīng)成為繼陸?？仗熘蟮牡谖宕笾鳈?quán)領(lǐng)域空間。習(xí)近平總書記多次講到了網(wǎng)絡(luò)安全和信息化的問題，并明確指出，金融等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重，也是可能遭到重點(diǎn)攻擊的目標(biāo)。

人民銀行在黨中央和國務(wù)院領(lǐng)導(dǎo)下，依法承擔(dān)“制定和執(zhí)行貨幣政策、維護(hù)金融穩(wěn)定、提供金融服務(wù)”的職責(zé)，其中國庫信息處理系統(tǒng)、中央銀行會(huì)計(jì)核算數(shù)據(jù)集中系統(tǒng)、貨幣發(fā)行系統(tǒng)、賬戶系統(tǒng)等關(guān)系國計(jì)民生的重要業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)是其履職的重要保障。人民銀行網(wǎng)絡(luò)基礎(chǔ)設(shè)施處于銀行業(yè)的中樞地位，同時(shí)金融服務(wù)的范圍不斷拓展到財(cái)政、稅務(wù)、海關(guān)、公安、高法、社保等重要領(lǐng)域，已成為至關(guān)重要的金融信息化高速公路。SWIFT（國際電訊組織）資金盜取，俄羅斯央行失竊事件警鐘長鳴，在網(wǎng)絡(luò)攻擊和滲透的頻度和強(qiáng)度大幅提高的現(xiàn)狀下，人民銀行網(wǎng)絡(luò)安全直接關(guān)系中央銀行履職和金融市場(chǎng)穩(wěn)定。

為此，人民銀行近五年來持續(xù)加強(qiáng)網(wǎng)絡(luò)安全保障體系建設(shè)和隊(duì)伍建設(shè)，在預(yù)警、防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)、優(yōu)化等各階段持續(xù)完善，保障業(yè)務(wù)連續(xù)性，健全網(wǎng)絡(luò)安全防護(hù)檢測(cè)能力和協(xié)同響應(yīng)體系，守住未發(fā)生重大網(wǎng)絡(luò)安全事件底線，安全保障能力在歷次網(wǎng)絡(luò)攻防演練及多次重大安全事件應(yīng)急響應(yīng)和處置中得到檢驗(yàn)。

一、頂層設(shè)計(jì)，規(guī)劃先行

2014年，國家提出加強(qiáng)網(wǎng)絡(luò)空間安全總體戰(zhàn)略，人民銀行基于網(wǎng)絡(luò)安全工作現(xiàn)狀，切實(shí)分析網(wǎng)絡(luò)安全工作面臨的形勢(shì)和存在的問題，以問題為導(dǎo)向，以攻防為重點(diǎn)，依托工作實(shí)際，編制了《人民銀行網(wǎng)絡(luò)安全規(guī)劃》（以下簡稱《規(guī)劃》），從健全組織體系、推進(jìn)自主可控、完善管理體系、優(yōu)化技術(shù)體系、夯實(shí)運(yùn)維保障、推進(jìn)業(yè)務(wù)連續(xù)性管理、創(chuàng)新安全服務(wù)、防范外圍風(fēng)險(xiǎn)、加強(qiáng)標(biāo)準(zhǔn)化和研究宣傳等方面明確了未來網(wǎng)絡(luò)安全工作的主要任務(wù)、重點(diǎn)工程和實(shí)施的保障措施。在2017年《網(wǎng)絡(luò)安全法》正式實(shí)施后，以及《國家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)條例》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》征求意見過程中，也根據(jù)上位法和條例進(jìn)行調(diào)整。

在行領(lǐng)導(dǎo)重視和各部門配合下，《規(guī)劃》執(zhí)行順利，一系列安全建設(shè)項(xiàng)目按序按需順利實(shí)施，安全防護(hù)、安全監(jiān)測(cè)、響應(yīng)處置、網(wǎng)絡(luò)攻防等能力得到了全面提升。

二、持續(xù)優(yōu)化，確保合規(guī)

規(guī)劃落地后，持續(xù)優(yōu)化是保證規(guī)定動(dòng)作不走樣、風(fēng)險(xiǎn)隱患看得見的關(guān)鍵，需要從兩方面落實(shí)。

一是扎實(shí)開展等保檢查，確保整體合規(guī)。人民銀行統(tǒng)籌網(wǎng)絡(luò)安全合規(guī)性和風(fēng)險(xiǎn)性，開展重要信息系統(tǒng)安全檢查和等級(jí)保護(hù)測(cè)評(píng)工作，促進(jìn)提高人民銀行重要信息系統(tǒng)安全防護(hù)能力和水平。同時(shí)，跟蹤歷年安全檢查和等保測(cè)評(píng)工作問題整改情況，形成問題清單，推動(dòng)整改使得問題收斂，達(dá)到以查促改的目的，全面提高安全防護(hù)能力，鑄牢網(wǎng)絡(luò)安全第一道防線。

二是通過重要時(shí)期保障工作，實(shí)現(xiàn)單點(diǎn)突破。為加強(qiáng)重要時(shí)期網(wǎng)絡(luò)安全保障，全面排查重要信息系統(tǒng)存在的突出問題和安全隱患，人民銀行以風(fēng)險(xiǎn)為導(dǎo)向、基于技術(shù)手段（包括滲透測(cè)試和安全工具檢測(cè)），從系統(tǒng)應(yīng)用軟件安全漏洞、系統(tǒng)安全配置和系統(tǒng)應(yīng)用安全等層次發(fā)現(xiàn)重要信息系統(tǒng)存在的問題，重點(diǎn)開展高風(fēng)險(xiǎn)網(wǎng)絡(luò)區(qū)域和新上線系統(tǒng)的滲透測(cè)試工作，以戰(zhàn)代練，以查促改，結(jié)合外部形勢(shì)做好內(nèi)部檢查和改進(jìn)工作。

三、補(bǔ)齊短板，自主可控

“加快推進(jìn)國產(chǎn)自主可控替代計(jì)劃，構(gòu)建安全可控的信息技術(shù)體系”是國家戰(zhàn)略，避免核心技術(shù)受制于人，安全基礎(chǔ)設(shè)施的全面國產(chǎn)化也是金融行業(yè)面臨的共性問題。為此，人民銀行開展多種嘗試和實(shí)施。

首先，研制建設(shè)“基于自主可控的終端安全主動(dòng)防御技術(shù)及應(yīng)用”項(xiàng)目，實(shí)現(xiàn)了終端安全的全面自主可控，在全行12萬終端，上千臺(tái)服務(wù)器全面部署，全面替換了國外品牌的終端安全防護(hù)系統(tǒng)，扭轉(zhuǎn)這一領(lǐng)域依賴國外廠商的被動(dòng)局面。系統(tǒng)建成后在2017年“512勒索病毒”等重大安全事件的預(yù)防、處置中得到檢驗(yàn)。

其次，完善PKI/CA體系、支持國產(chǎn)密碼算法、全國數(shù)據(jù)集中的電子認(rèn)證系統(tǒng)，支持發(fā)放RSA1024、RSA2048和國密SM2三種算法數(shù)字證書，支持業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)身份認(rèn)證、簽名驗(yàn)簽、數(shù)字信封、傳輸加密等應(yīng)用場(chǎng)景，為業(yè)務(wù)系統(tǒng)提供抗抵賴、數(shù)據(jù)完整性和保密性等安全基礎(chǔ)服務(wù)。

四、縱深防御，持續(xù)檢測(cè)

“419講話”指出，維護(hù)網(wǎng)絡(luò)安全，首先要知道風(fēng)險(xiǎn)在哪里，是什么樣的風(fēng)險(xiǎn)，什么時(shí)候發(fā)生風(fēng)險(xiǎn)，正所謂“聰者聽于無聲，明者見于未形”，而對(duì)于風(fēng)險(xiǎn)的探測(cè)，要做到關(guān)口前移。為此，人民銀行從攻擊者視角出發(fā)，建設(shè)了縱深彈性自適應(yīng)防御體系以及持續(xù)監(jiān)測(cè)體系，兩套體系互相比對(duì)，構(gòu)建零信任模型，互相促進(jìn)并且發(fā)展。

縱深彈性自適應(yīng)防御體系參照了業(yè)內(nèi)成熟的“河防”和“塔防”思路，結(jié)合攻擊鏈模型優(yōu)化防御體系，根據(jù)鉆石模型開展攻擊者分析。通過安全域劃分，協(xié)議棧收斂限定攻擊路徑，在重點(diǎn)防御路徑上依照OSI模型對(duì)不同協(xié)議層開展攻擊阻攔和降級(jí)，依照風(fēng)險(xiǎn)接受度及人財(cái)物圈定適度安全。同時(shí)，在安全運(yùn)營中輔助開展毒性測(cè)試以增強(qiáng)組織防御的強(qiáng)韌性以至于自適應(yīng)升級(jí)，保證安全生態(tài)體系保持自適應(yīng)進(jìn)化。

持續(xù)監(jiān)測(cè)體系包括覆蓋全部攻擊路徑的實(shí)時(shí)監(jiān)測(cè)，對(duì)各主要網(wǎng)絡(luò)節(jié)點(diǎn)的流量日志、終端日志、主機(jī)日志、應(yīng)用日志等進(jìn)行統(tǒng)一采集、存儲(chǔ)，從各網(wǎng)絡(luò)協(xié)議棧和應(yīng)用技術(shù)棧進(jìn)行關(guān)聯(lián)分析，有效發(fā)現(xiàn)各類威脅和攻擊。在不斷完善和豐富基礎(chǔ)數(shù)據(jù)的同時(shí)，保障告警準(zhǔn)確度，聚焦高風(fēng)險(xiǎn)和實(shí)質(zhì)威脅事件。提升檢測(cè)分析效率，實(shí)時(shí)監(jiān)測(cè)安全態(tài)勢(shì)、展現(xiàn)即時(shí)態(tài)勢(shì)。原始日志保留時(shí)間不短于六個(gè)月，有力支撐攻擊回溯分析。

在縱深防護(hù)體系和監(jiān)測(cè)體系的互相印證下，實(shí)現(xiàn)了監(jiān)督和改進(jìn)，監(jiān)測(cè)促進(jìn)防護(hù)加強(qiáng)，防護(hù)加強(qiáng)后降低監(jiān)測(cè)誤報(bào)率，兩個(gè)體系均實(shí)現(xiàn)進(jìn)化，完成數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)一盤棋。技術(shù)手段包括通過安全隔離，基于安全域劃分，實(shí)現(xiàn)基于鏈路層的網(wǎng)絡(luò)安全隔離，按“原子化”原則細(xì)致管理訪問控制策略；完善防護(hù)措施，基于協(xié)議棧和技術(shù)棧，在攻擊路徑各個(gè)節(jié)點(diǎn)預(yù)置“埋點(diǎn)”，形成整體防護(hù)、實(shí)時(shí)阻斷；豐富技術(shù)手段，從防御、阻斷、降級(jí)、欺騙等方面形成多維防御和技術(shù)異構(gòu)，不斷優(yōu)化防御策略細(xì)粒度，在保障業(yè)務(wù)平穩(wěn)運(yùn)行的同時(shí)完成有效防護(hù)。

五、安全運(yùn)營，快速響應(yīng)

安全運(yùn)維是保障安全和業(yè)務(wù)活下去，而安全運(yùn)營的期望是對(duì)安全保障業(yè)務(wù)活得好。

安全運(yùn)營工作包括基于自適應(yīng)安全架構(gòu)，加強(qiáng)持續(xù)監(jiān)測(cè)和分析。在預(yù)防（感知）方面，持續(xù)開展對(duì)關(guān)鍵基礎(chǔ)設(shè)施、新技術(shù)、關(guān)鍵產(chǎn)品、核心算法的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估。防護(hù)方面，優(yōu)化策略集、產(chǎn)品集和服務(wù)集，做好加固、隔離和攻擊轉(zhuǎn)移，加強(qiáng)信息系統(tǒng)生命周期安全管控。檢測(cè)方面，建立覆蓋各IT棧層的監(jiān)控體系，整合內(nèi)外部威脅數(shù)據(jù)，提升安全威脅感知能力。響應(yīng)方面，從“應(yīng)急響應(yīng)”轉(zhuǎn)變?yōu)椤俺掷m(xù)響應(yīng)”，構(gòu)建監(jiān)控分析和響應(yīng)處置體系，主動(dòng)監(jiān)控和持續(xù)分析攻擊痕跡，建立事件持續(xù)響應(yīng)處理機(jī)制。

通過安全運(yùn)營，對(duì)上向行內(nèi)及信息安全主管單位匯報(bào)，對(duì)內(nèi)向業(yè)務(wù)部門溝通，對(duì)外協(xié)調(diào)專業(yè)隊(duì)伍及廠商力量，形成合力，構(gòu)建網(wǎng)絡(luò)安全應(yīng)急響應(yīng)協(xié)同機(jī)制，顯著提升了安全運(yùn)營水平；有效串聯(lián)預(yù)警、防御、監(jiān)測(cè)、響應(yīng)、恢復(fù)、持續(xù)優(yōu)化等安全運(yùn)營各環(huán)節(jié)，成功處置了“心臟滴血”、“Struts 2”、“永恒之藍(lán)”等重大安全事件，通過安全運(yùn)營，保障安全水平持續(xù)提升。

六、凝聚共識(shí)，行業(yè)協(xié)作

銀行業(yè)信息安全，加強(qiáng)合作，守望相助。依托銀行業(yè)數(shù)據(jù)中心聯(lián)席會(huì)議平臺(tái)和協(xié)同運(yùn)維機(jī)制，促進(jìn)同業(yè)交流和信息共享，充分發(fā)揮聯(lián)合優(yōu)勢(shì)，凝聚共識(shí)、互相借鑒，共同打造安全可靠的銀行業(yè)IT基礎(chǔ)服務(wù)。面對(duì)金融機(jī)構(gòu)網(wǎng)絡(luò)日趨開放、互聯(lián)的特點(diǎn)，運(yùn)用互聯(lián)網(wǎng)思維解決新時(shí)期網(wǎng)絡(luò)安全問題。單個(gè)金融機(jī)構(gòu)在網(wǎng)絡(luò)帶寬、服務(wù)器處理能力、安全人員等方面有局限性，需要統(tǒng)籌謀劃、聚合多方面力量，探索構(gòu)建集中、共享使用的網(wǎng)絡(luò)防護(hù)平臺(tái)和威脅情報(bào)共享平臺(tái)，探索建立銀行業(yè)專家?guī)?，探索在重大安全事件分析研判處置中的互助機(jī)制。

當(dāng)今世界，信息化發(fā)展很快，不進(jìn)則退，慢進(jìn)亦退。下一步，隨著“數(shù)字央行”戰(zhàn)略的推進(jìn)，云計(jì)算、大數(shù)據(jù)、移動(dòng)化等新興技術(shù)的應(yīng)用，必須有相應(yīng)的安全保障技術(shù)體系與業(yè)務(wù)發(fā)展相適應(yīng)。人民銀行正積極開展研究，規(guī)劃設(shè)計(jì)下一代網(wǎng)絡(luò)安全保障技術(shù)體系，以數(shù)據(jù)安全為核心，構(gòu)建基于“零信任”和“微隔離”架構(gòu)的動(dòng)態(tài)、縱深防御體系，建設(shè)安全態(tài)勢(shì)感知平臺(tái)，打造以數(shù)據(jù)驅(qū)動(dòng)的智能化安全運(yùn)營體系，真正實(shí)現(xiàn)主動(dòng)防御。力爭用4-5年，努力構(gòu)建起“可知可信、可管可控、智能防護(hù)”的下一代人民銀行網(wǎng)絡(luò)安全保障技術(shù)體系。