◆張 爽 裴冬冬 楊維漢

(恒豐銀行科技服務(wù)管理部信息安全中心 北京 100033 )

商業(yè)銀行新一代終端安全防護體系3.0研究與實踐

◆張 爽 裴冬冬 楊維漢

(恒豐銀行科技服務(wù)管理部信息安全中心 北京 100033 )

講述了商業(yè)銀行終端安全防護體系演進史，針對新商業(yè)生態(tài)下傳統(tǒng)弱管控防護體系和強管控防護體系存在的不足，指出了“輕管控、重檢測、快響應(yīng)”防護體系是未來轉(zhuǎn)型方向。根據(jù)商業(yè)銀行實際情況，結(jié)合外部監(jiān)管要求，圍繞著云端集中信息治理和終端側(cè)可控渠道防護，提出了商業(yè)銀行新一代終端安全防護體系3．0，從終端整合一體化、終端云化、文檔云化、全渠道協(xié)同防護、智能大數(shù)據(jù)分析等方面重新定義終端安全防護體系，提升商業(yè)銀行終端安全防護水平。

泛終端；終端安全；防護體系3．0；輕管控；重檢測；快響應(yīng)；整合一體化；終端云化

0 前言

在新的商業(yè)生態(tài)下，開發(fā)外包、項目外包、上游供應(yīng)商、下游客戶等廣泛參與到企業(yè)的日常運營工作中來，使得企業(yè)的邊界變得擴大模糊。在“互聯(lián)網(wǎng)+”時代下，BYOD設(shè)備和移動終端接入內(nèi)網(wǎng)辦公需求越來越強烈，然而安全風(fēng)險也隨之而來。傳統(tǒng)的基于分散終端和分散信息的防護方法，已經(jīng)無法滿足商業(yè)銀行對終端和信息的集中管理、便利共享、安全可控等需求。同時，近些年來，信息安全事件時常發(fā)生，給金融機構(gòu)造成了嚴(yán)重的經(jīng)濟損失和聲譽風(fēng)險。例如，2011年4月，韓國農(nóng)協(xié)銀行計算機網(wǎng)絡(luò)出現(xiàn)故障，有人通過該行外包團隊一雇員的計算機對銀行核心系統(tǒng)的數(shù)百臺臺服務(wù)器下達了rm.dd命令，造成全國上千個分行的服務(wù)中斷，客戶無法提款、轉(zhuǎn)賬、使用信用卡和取得貸款。2014年1月，韓國發(fā)生金融行業(yè)最大規(guī)模信用卡個人信息泄密事件，涉及約2000萬用戶，共1億多條客戶信息被泄露。2017年5月，全球爆發(fā)WannaCry（永恒之藍）病毒，利用Windows漏洞造成至少有150個國家受到網(wǎng)絡(luò)攻擊，已經(jīng)影響到金融，能源，醫(yī)療，教育等行業(yè)。越來越多的信息安全事件表明，內(nèi)網(wǎng)已經(jīng)成為一種主要的信息安全威脅渠道，圍繞內(nèi)網(wǎng)終端的安全防護越來越重要。

終端安全防護體系經(jīng)歷了三個階段，如圖1所示。

圖1 終端安全防護體系演進史

第一個階段是弱防護體系 1.0。該階段主要是實施簡單的病毒木馬查殺、操作系統(tǒng)補丁安裝、外設(shè)禁用、MAC地址綁定等安全控制策略，對終端計算機進行簡單防護，未形成完整的防護體系，防護能力薄弱，很容易被內(nèi)外部人員攻擊利用，存在嚴(yán)重的安全問題。

第二個階段是強防護體系 2.0。該階段形成了完整的防護體系，包括AD域控、病毒查殺、補丁安裝、外設(shè)控制、涉密掃描、文檔加密、郵件泄露渠道控制、網(wǎng)絡(luò)泄露渠道控制、USB泄露渠道控制、網(wǎng)絡(luò)準(zhǔn)入控制、上網(wǎng)黑白名單等，每個風(fēng)險點都進行強管控。該體系需要在終端上安裝多款安全軟件，兼容問題突出，性能消耗大，影響了員工工作效率，后臺分級部署多款安全系統(tǒng)，分行科技人員壓力大，特別是中小銀行，分行科技力量薄弱情況下。

第三個階段是輕管控體系 3.0。該階段以云化管理為主，主要包括，終端整合一體化、終端云化、文檔云化、全渠道協(xié)同防護、智能大數(shù)據(jù)分析等。為了解決傳統(tǒng)防護體系存在的問題，滿足商業(yè)銀行信息科技風(fēng)險管理要求，結(jié)合商業(yè)銀行科技發(fā)展實際和信息安全管理現(xiàn)狀，將對商業(yè)銀行新一代終端安全防護體系3.0進行研究和實踐。

1 術(shù)語定義

（1）泛終端：包括辦公筆記本、辦公臺式機、平板終端、移動終端、生產(chǎn)運維終端、柜面終端、金融交易終端、客服終端、自助設(shè)備、BYOD設(shè)備等。

（2）終端云化：通過桌面云技術(shù)將終端桌面進行軟件定義，聚合放到總行集中部署和統(tǒng)一管理，通過泛終端進行訪問，提供快速桌面發(fā)布能力和信息泄露防護能力。

（3）文檔云化：通過安全云庫技術(shù)將終端上和應(yīng)用系統(tǒng)下載的文檔集中到總行存儲，實現(xiàn)統(tǒng)一管理、便利分享、高效檢索、離線訪問等，通過矩陣權(quán)限控制、權(quán)限申請審批、屏幕水印、不落地存儲等實現(xiàn)安全可控。

2 防護體系3.0設(shè)計

新一代終端安全防護體系3.0在滿足安全合規(guī)前提下，主要遵循如下三點原則：

一是“集中為主、分散為輔”原則：在滿足商業(yè)銀行信息科技風(fēng)險管理要求前提下，依據(jù)商業(yè)實際情況，圍繞著云端集中信息治理和終端側(cè)可控渠道防護，建立一套一體化的終端及信息安全防護體系，協(xié)調(diào)整合各種技術(shù)的管理措施，實現(xiàn)各項信息安全管理目標(biāo)。

二是“輕管控、重檢測、快響應(yīng)”原則：從弱管控和強管控轉(zhuǎn)換為輕管控，滿足安全管理目標(biāo)的同時，兼顧使用的方便性、靈活性和工作效率。通過事前預(yù)先信息保護、事中實時行為檢測和準(zhǔn)實時智能大數(shù)據(jù)分析、事后安全審計，發(fā)現(xiàn)安全風(fēng)險，快速響應(yīng)處理。

三是“以人為本、面向服務(wù)”原則：在滿足安全要求前提下，堅持以人為本，從管控角度轉(zhuǎn)向面向服務(wù)，讓員工參與到終端安全建設(shè)工作中來，提升終端可用性，從提升用戶體驗，提高工作效率，解放分行科技壓力，節(jié)省成本和創(chuàng)造效益。

終端安全防護體系3.0從“基本桌面安全、終端整合式集中云化管理、集中的文檔安全治理、全渠道協(xié)同信息泄露防護、智能大數(shù)據(jù)模型分析引擎”防護框架，在滿足安全合規(guī)前提下，開展創(chuàng)新優(yōu)化工作。防護框架如圖2所示。

圖2 終端安全防護體系3.0框架

2.1 基本桌面安全

基本桌面安全包括網(wǎng)絡(luò)準(zhǔn)入控制、補丁推送、軟件推送、軟件商店、軟件管理、進程管理、外設(shè)管理、病毒防護、賬號管理、病毒查殺、涉密掃描、文檔加密、VPN訪問、外網(wǎng)訪問等安全控制策略。目前，國內(nèi)主流商業(yè)銀行的終端安全防護體系都實施了這些安全控制策略，不再詳細討論。

2.2 終端整合式集中云化管理

終端分散管理難度大，兼容性問題突出，應(yīng)用軟件發(fā)布效率低，不能方便地支持泛終端安全接入，不能很好地保護終端安全，科技運維壓力大。將從下面幾個方面展開優(yōu)化：

（1）終端安全軟件整合一體化

在強管控防護體系下，終端計算機上安裝了多款安全軟件，如網(wǎng)絡(luò)準(zhǔn)入控制、補丁分發(fā)、外設(shè)控制、進程控制、涉密掃描等，安全軟件之間沖突問題嚴(yán)重，終端性能開銷大，影響員工的工作效率。通過將這些安全軟件功能整合，形成一款一體化的安全軟件，解決不同軟件兼容性問題，同時，通過病毒云查殺機制，將病毒查殺過程提交到云端執(zhí)行，降低終端性能消耗。提升用戶體驗，提供工作效率。

（2）終端安全系統(tǒng)集中部署

傳統(tǒng)終端安全系統(tǒng)采用二級部署方式，總行部署總控節(jié)點服務(wù)器，一級分行部署分控節(jié)點服務(wù)器，日常系統(tǒng)運維工作和版本升級工作對分行科技壓力大。通過將全行終端安全軟件集中連接到總行節(jié)點服務(wù)器，分行不再需要單獨部署分控節(jié)點服務(wù)器，解放分行科技生產(chǎn)力。通過帶寬擴容、并發(fā)控制、帶寬限速、P2P等優(yōu)化技術(shù)，解決服務(wù)器一級集中部署后網(wǎng)絡(luò)帶寬增大問題。

（3）超融合桌面云技術(shù)

通過總行部署的超融合桌面云技術(shù)實現(xiàn)桌面快速交付，保護開發(fā)測試環(huán)境邊界安全，解決外包人員和BOYD設(shè)備安全接入問題，解決應(yīng)用扁平化后分行遠程運維問題，解決分行應(yīng)用版本發(fā)布問題。采用控制、計算、存儲、網(wǎng)絡(luò)超融合技術(shù)實現(xiàn)了桌面云線性擴容需求，使用桌面云屏幕水印和錄像技術(shù)實現(xiàn)追蹤可審計。桌面云應(yīng)用場景如圖3所示。

圖3 桌面云應(yīng)用場景

3 接入網(wǎng)融合技術(shù)

傳統(tǒng)防護體系下，辦公接入網(wǎng)、研發(fā)接入網(wǎng)、測試接入網(wǎng)需要部署多根網(wǎng)線，用戶體驗差，且布線成本高。防護體系3.0下，終端計算機實行802.1x網(wǎng)絡(luò)準(zhǔn)入控制，準(zhǔn)入前處于訪客接入網(wǎng)，只能訪問桌面云，準(zhǔn)入后處于辦公接入網(wǎng)，可以訪問桌面云和辦公系統(tǒng)。通過桌面云訪問研發(fā)測試環(huán)境，只需一根網(wǎng)線滿足辦公和研發(fā)測試需求，不需要額外部署研發(fā)測試接入網(wǎng)，不僅節(jié)省了部署網(wǎng)線成本，也提高了用戶使用便利性。

4 移動終端安全接入技術(shù)

基于MAM、MCM和MDM整合技術(shù)，解決移動終端接入內(nèi)網(wǎng)辦公需求，實現(xiàn)信息加密、不落地存儲、遠程擦除等安全控制。

4.1 集中的文檔安全治理

文檔分散管理難度大，泄露風(fēng)險越來越突出，采用集中的文檔安全治理來解決這些問題。建立安全云庫平臺，員工將終端上的電子文檔上傳至安全云庫中，應(yīng)用系統(tǒng)調(diào)用安全云庫 API接口，將應(yīng)用系統(tǒng)下載的電子文檔自動保存至安全云庫中，實現(xiàn)對文檔的集中管理。按照“知所必須、最小授權(quán)”原則，通過矩陣權(quán)限管理、權(quán)限申請審批流程、下載控制、屏幕水印等措施來確保安全可控。安全云庫提供便利的文檔分享功能和高效的文檔檢索功能。同時，安全云庫提供離線安全空間，實現(xiàn)文檔集中后離線訪問需求。安全云庫提升了全行文檔集中治理能力。具體流程架構(gòu)如圖4所示。

圖4 集中的文檔安全治理

4.2 全渠道協(xié)同信息泄露防護

對電子文檔分類定級。開放信息入云庫渠道，通過涉密掃描將涉密文檔上傳到安全云庫中。在安全云庫中對文檔進行權(quán)限控制，包括查看、編輯、完全控制、打印、復(fù)制、截屏、屏幕水印等權(quán)限，提供文檔權(quán)限申請和審批流程。嚴(yán)控信息出云庫渠道，只有具有完全控制權(quán)限的人才能將文檔從安全云庫中下載到本地，無該權(quán)限則需要走申請和審批流程。實現(xiàn)移動終端信息加密不落地存儲。限制桌面云和郵件泄露邊界控制，對涉密信息進行檢測，若發(fā)現(xiàn)涉密信息，則進行攔截審批。最終實現(xiàn)各類泄露渠道統(tǒng)一，實現(xiàn)信息集中治理和終端側(cè)可控渠道防護。如圖5所示。

圖5 全渠道協(xié)同信息泄露防護

4.3 智能大數(shù)據(jù)模型分析引擎

將各類日志數(shù)據(jù)集中至 SOC平臺，采用大數(shù)據(jù)分析技術(shù)和深度強化學(xué)習(xí)技術(shù)，從多維度分析，建立終端安全態(tài)勢、人員操作行為、文檔流轉(zhuǎn)路徑等分析模型，實現(xiàn)追溯審計，實時展現(xiàn)終端安全態(tài)勢，為終端持續(xù)優(yōu)化提供決策支持。如圖6所示。

圖6 智能大數(shù)據(jù)分析

5 防護體系3.0應(yīng)用

商業(yè)銀行終端安全防護體系3.0已經(jīng)在恒豐銀行全行范圍推廣應(yīng)用。終端安全系統(tǒng)服務(wù)器集中部署在總行，終端安全管理軟件、云查殺軟件和安全云庫各推廣了 10000+臺終端計算機，移動終端管理軟件推廣了3000+移動終端設(shè)備，為研發(fā)測試、生產(chǎn)運維、分行發(fā)布等場景提供了3000+個云桌面，提供10+個智能大數(shù)據(jù)分析模型，整體運行穩(wěn)定。商業(yè)銀行終端安全防護體系3.0有效保護了恒豐銀行內(nèi)網(wǎng)環(huán)境安全，自投入生產(chǎn)應(yīng)用以來，終端安全綜合指數(shù)提升了70%以上，全行科技維護效率提升了50%以上，為恒豐銀行一次性節(jié)省成本 1600+萬元，每年周期性收益1000+萬元，收益效果明顯。

圖7 終端安全防護體系3.0應(yīng)用

6 總結(jié)與優(yōu)化

針對傳統(tǒng)終端安全防護體系的不足，研究了商業(yè)銀行新一代終端安全防護體系3.0。新一代終端安全防護體系3.0采用終端一體化、終端云化、信息云化、全渠道協(xié)同信息泄露防護、智能大數(shù)據(jù)模型分析等技術(shù)，解決新商業(yè)生態(tài)下和“互聯(lián)網(wǎng)+”時代下，邊界保護問題和泛終端安全接入問題，實現(xiàn)終端和信息集中治理能力，提升終端安全保護水平，實現(xiàn)了各項信息安全管理目標(biāo)的同時，兼顧使用的方便性、靈活性和工作效率，降低了終端安全防護TCO成本。新一代終端安全防護體系3.0在恒豐銀行推廣應(yīng)用后，效果明顯，終端安全綜合指數(shù)提升了70%以上，全行科技維護效率提升了50%以上，為恒豐銀行一次性節(jié)省成本1600+萬元，每年周期性收益 1000+萬元。新一代終端安全防護體系 3.0可以推廣至其他商業(yè)銀行。

[1]張曉丹．銀行文檔信息全生命周期安全管理方法．金融電子化，2014．

[2]Gad J Selig著．中治研（北京）國際信息技術(shù)研究院譯．實施IT治理（方法論、模型、全球最佳實踐）．中國經(jīng)濟出版社，2012．

[3]顧炯炯．云計算架構(gòu)技術(shù)與實踐（第2版）．清華大學(xué)出版社，2010．

[4]盧海勤．終端安全防護技術(shù)及體系架構(gòu)部署模式．中國金融電腦，2012．