中小银行网络安全的四个防御探索与实践
随着我国信息化的快速发展,我国银行业快速向线上化、移动化方向转型,信息化程度已成为银行业竞争的重要指标。商业银行大力建设手机银行、网上银行、直销银行等系统,将其作为业务延伸的重要渠道,信息化有力地支撑了银行业务的快速发展,特别是云计算、大数据、人工智能、区块链等一系列技术先后取得重大突破,并逐步应用到各种金融业务场景中,极大地促进了金融创新,但也带来新的网络安全问题。
分布式拒绝服务攻击(即:DDoS攻击)、高级可持续威胁攻击(即:APT攻击)、社会工程学、撞库攻击等手法不断推陈出新,金融行业成为网络攻击的重灾区。据最新发布的《全球关键信息基础设施网络安全状态分析报告》显示,33.1%的网络攻击事件发生在金融领域,是占比最高的领域。商业银行必须建设符合自身实际的网络安全防御体系,通过技术、管理等方面,全方位应对包括外部威胁和内部漏洞等各类网络安全风险。
福建省农村信用社联合社(以下简称“福建农信”)自年成立以来,承担着对福建省内67家农信社(农商行)“管理,指导,协调,服务”的职责,在信息系统建设方面统筹推进,积极开拓,取得了巨大进步,带领全省农信成为福建农村金融服务的主力军。但由于历史的原因,福建农信在信息化进程及网络安全保护水平上和国内大型商业银行仍存在一定差距。分析近年来在网络安全建设方面的薄弱环节,结合福建农信在网络安全方面探索实践经验,本文提出了从纵深防御、收敛防御、重点防御、主动防御等四个方面进行网络安全防御建设思路,构建具有农信特色的多层次网络安全防御体系。
一福建农信网络安全痛点分析
近年来随着福建农信各项业务的快速发展,福建农信也在不断加大对信息科技建设的投入,提升对网络安全的管控力度,并专门成立了网络安全管理专职部门,为“科技引领业务”保驾护航。但是由于在网络安全建设方面积累时间短,人才短缺等问题,网络安全保护还存在依靠“堆产品、垒高墙”现象,网络安全防御缺乏体系化。
(一)管理制度规范制定容易落地难
目前,福建农信开展了ISO信息安全管理体系建设,按照公安机关要求开展等级保护等工作,以提升网络安全管理水平。但实践中存在ISO认证容易落地难,等级保护工作基本达标,但短板不少,核心问题是缺乏可以落地的技术手段。
(二)专职团队人少事杂综合素质欠缺
省联社及行社专职从事网络安全工作的员工数量有限,且部分员工的专业知识储备不足。随着网络安全形势的日趋严峻,网络安全已经上升为国家战略,网络安全人员缺口越来越大。另一方面,“合规”是网络安全工作的基本要求,但不少机构的网络安全部门还承担着大量合规管理的职能,对内需要对接风险管理、内部审计部门,对外需要配合银保监、公安、国安等监管部门的各类检查。网络安全专业知识储备不够、素质参差不齐、工作内容庞杂,一定程度上给网络安全相关规范要求的落实贯彻增加了难度。
(三)技术防御手段和理念亟待加强
技术防御手段网络安全通过“老三样”加强对网络层面的安全,即通过防火墙对服务端口进行屏蔽,通过旁路部署IDS(即:入侵检测系统)对网络流量进行分析,通过部署防病毒软件实现病毒防护。这些措施都侧重于不断的“堆产品、垒高墙”,面对层出不穷的网络攻击,无法有效地进行实时检测和阻断,特别是针对应用层的渗透和攻击,更无法知晓整网信息安全态势,不能形成立体的、有效的防护。
(四)综合网络安全管理门户建设不足
网络安全工作涉及的点多面广,通过手工管理各类安全问题和漏洞,无法形成闭环,效率不高,更无法通过各类安全问题洞察全局风险,采取应急措施和有效应对策略,解决网络系统运营中存在的问题。在建立健全信息安全体系的时候,还是需要重视对统一的网络安全管理门户的建立,加强对网络安全的统一管理。
二福建农信网络安全防御体系构建
针对网络安全建设方面的痛点,福建农信从纵深防御、收敛防御、重点防御、主动防御四个方面发力,构建多层次的网络安全防御体系。首先,构建信息安全管理体系,打造纵深防御层。以ISO、等级保护安全点为基础,形成完备可执行的网络安全制度建设,以网络安全评测审计为手段,以网络安全指标度量为依据,实现网络安全建设PDCA良性循环,构筑一个涵盖开发运维等安全领域的纵深信息安全管理体系,建设一个可落地管理体系的综合网络安全管理平台。其次,构建收敛的防御层,集中管控互联网出入口、信息资产暴露面收敛防御面,减少被攻击的边界范围。再次,集中力量重点防御常见薄弱点,区分防御的轻重缓急,因材施策,避免“眉毛胡子一把抓”,形成高风险高防御的重点防御层。最后,打造主动防御层,通过定期红蓝对抗、欺骗防御等方式主动出击,以攻为守,稳步提高网络安全防御水平。通过四个方面统筹推进,逐步形成一个多层网络安全防御体系(如图1)。
图1:福建农信网络安全防御体系架构图
(一)纵深防御,构筑安全管理体系
1、统筹各类安全要求,固化安全
转载请注明:http://www.abuoumao.com/hykh/4173.html
