左英男

(360企業(yè)安全集團(tuán)，北京 100015)

1 農(nóng)村金融機(jī)構(gòu)網(wǎng)絡(luò)安全的兩大挑戰(zhàn)

第一大挑戰(zhàn)是IT基礎(chǔ)設(shè)施技術(shù)架構(gòu)的更新?lián)Q代。近年來，由于農(nóng)村金融機(jī)構(gòu)紛紛下大力氣發(fā)展金融科技，以求銀行業(yè)務(wù)的創(chuàng)新和轉(zhuǎn)型。在業(yè)務(wù)全面數(shù)字化的過程中，不可避免地會(huì)出現(xiàn)設(shè)備更新?lián)Q代、暴露更大的攻擊面、安全邊界變得模糊、傳統(tǒng)的安全防護(hù)手段失效等問題。

第二大挑戰(zhàn)來自于外部攻擊的升級(jí)。從威脅的視角看，當(dāng)前，網(wǎng)絡(luò)攻擊的組織愈發(fā)周密，攻擊手段和方法日趨復(fù)雜高級(jí)。漏洞產(chǎn)業(yè)化、軍火民用化正對(duì)農(nóng)村金融機(jī)構(gòu)的網(wǎng)絡(luò)安全發(fā)起新的挑戰(zhàn)。同時(shí)，隨著《網(wǎng)絡(luò)安全法》的實(shí)施，國(guó)家在網(wǎng)絡(luò)安全方面的監(jiān)督力度不斷加強(qiáng)，也給農(nóng)村金融機(jī)構(gòu)帶來了求變的壓力。

面對(duì)新的網(wǎng)絡(luò)安全形勢(shì)，農(nóng)村金融機(jī)構(gòu)應(yīng)該有這樣基本的認(rèn)知，即：沒有無漏洞的系統(tǒng)，沒有攻不破的網(wǎng)絡(luò)。要求各級(jí)農(nóng)村金融機(jī)構(gòu)樹立新時(shí)代的網(wǎng)絡(luò)安全理念，在不斷完善被動(dòng)防御措施的同時(shí)，要把網(wǎng)絡(luò)安全體系建設(shè)的重點(diǎn)過渡到以持續(xù)檢測(cè)和快速響應(yīng)為手段的主動(dòng)防御措施上。

2 新戰(zhàn)場(chǎng)新實(shí)踐，老戰(zhàn)場(chǎng)新戰(zhàn)法

農(nóng)村金融機(jī)構(gòu)的網(wǎng)絡(luò)安全體系建設(shè)應(yīng)當(dāng)遵從美國(guó)SANS研究所設(shè)計(jì)的”滑動(dòng)標(biāo)尺模型”，如圖1所示，從架構(gòu)安全、被動(dòng)防御、主動(dòng)防御、威脅情報(bào)和進(jìn)攻反制五個(gè)階段入手，構(gòu)建疊加演進(jìn)的安全能力，有效解決安全問題，完整構(gòu)建安全能力。

圖1 滑動(dòng)標(biāo)尺示意圖

“滑動(dòng)標(biāo)尺模型”可作為衡量金融企業(yè)安全能力的有力尺度?；谶@個(gè)參考模型，360提出“新戰(zhàn)場(chǎng)新實(shí)踐，老戰(zhàn)場(chǎng)新戰(zhàn)法”的建設(shè)思路。

所謂新戰(zhàn)場(chǎng)指的是需要保護(hù)的IT基礎(chǔ)設(shè)施的范圍在不斷擴(kuò)大，網(wǎng)絡(luò)安全攻防的戰(zhàn)場(chǎng)已經(jīng)延伸到云計(jì)算環(huán)境、大數(shù)據(jù)平臺(tái)、移動(dòng)終端、物聯(lián)網(wǎng)、軟件供應(yīng)鏈等新的IT基礎(chǔ)設(shè)施。同時(shí)，持續(xù)創(chuàng)新的金融業(yè)務(wù)場(chǎng)景也會(huì)產(chǎn)生新的安全需求，需要新的技術(shù)方案去解決，比如互聯(lián)網(wǎng)金融業(yè)務(wù)中的交易欺詐、爬蟲機(jī)器人等安全問題。在這些新的攻防戰(zhàn)場(chǎng)，應(yīng)該采用創(chuàng)新的安全技術(shù)手段，把安全能力建設(shè)的重點(diǎn)放在架構(gòu)安全和被動(dòng)防御措施上，以較低的投入，獲得較高的安全價(jià)值回報(bào)。

與此同時(shí)，在終端、網(wǎng)絡(luò)邊界、數(shù)據(jù)中心、應(yīng)用、數(shù)據(jù)等傳統(tǒng)的攻防戰(zhàn)場(chǎng)，隨著對(duì)手攻擊手段的復(fù)雜化和水平提升，金融機(jī)構(gòu)也需要采用創(chuàng)新的方法加以應(yīng)對(duì)，著重建設(shè)主動(dòng)防御能力，積極采用威脅情報(bào)技術(shù)、安全眾測(cè)服務(wù)、實(shí)網(wǎng)攻防演練等的手段，通過持續(xù)不斷地檢測(cè)和響應(yīng)，改進(jìn)防御策略，提升安全運(yùn)營(yíng)人員的能力，形成安全運(yùn)營(yíng)的閉環(huán)，建設(shè)針對(duì)高級(jí)威脅的主動(dòng)對(duì)抗能力。

目前，農(nóng)信機(jī)構(gòu)終端數(shù)量多、分布廣，各終端安全防護(hù)系統(tǒng)分布式管理，無法做到信息共享，無法統(tǒng)一直觀的意識(shí)到公司終端安全態(tài)勢(shì)，導(dǎo)致在各系統(tǒng)中，工作量成倍增加。360終端一體化解決方案做到統(tǒng)一管理，包括資產(chǎn)、硬件、補(bǔ)丁管理等，存儲(chǔ)個(gè)體都在一個(gè)服務(wù)器端軟件統(tǒng)一管理，降低運(yùn)維成本，提高工作效率。

3 基礎(chǔ)安全架構(gòu)需要與時(shí)俱進(jìn)

在新的業(yè)務(wù)應(yīng)用環(huán)境下，農(nóng)村金融機(jī)構(gòu)的基礎(chǔ)安全架構(gòu)需要演進(jìn)升級(jí)。

以360ID智能身份安全解決方案為例，這套解決方案通過360ID軟件，把手機(jī)終端作為認(rèn)證器，提供指紋識(shí)別、人臉識(shí)別、動(dòng)態(tài)口令等多因子認(rèn)證能力，并且支持推送認(rèn)證、掃碼認(rèn)證等多種身份認(rèn)證方式，增強(qiáng)了金融業(yè)務(wù)身份認(rèn)證的安全強(qiáng)度，同時(shí)在最大程度上保證了用戶的使用便捷性。此外，360ID通過一系列的安全機(jī)制，確保其自身的安全，最大程度上實(shí)現(xiàn)了安全性與便捷性的平衡。

利用360ID身份認(rèn)證機(jī)制，農(nóng)村金融機(jī)構(gòu)可以建立一站式單點(diǎn)登錄解決方案；在云計(jì)算和大數(shù)據(jù)逐漸普及、安全邊界逐漸消失的場(chǎng)景下，應(yīng)該考慮構(gòu)建基于“零信任模型”的新一代業(yè)務(wù)應(yīng)用安全架構(gòu)。

在新的安全架構(gòu)下，身份成為新邊界，應(yīng)當(dāng)根據(jù)設(shè)備、用戶、環(huán)境、時(shí)間、位置、安全策略等多維數(shù)據(jù)，持續(xù)不斷地進(jìn)行風(fēng)險(xiǎn)測(cè)量，動(dòng)態(tài)調(diào)整用戶的安全等級(jí)，構(gòu)建自適應(yīng)的動(dòng)態(tài)安全策略，提供業(yè)務(wù)應(yīng)用的動(dòng)態(tài)授權(quán)訪問控制機(jī)制，解決金融機(jī)構(gòu)在云計(jì)算和大數(shù)據(jù)應(yīng)用場(chǎng)景下棘手的身份安全和業(yè)務(wù)訪問控制難題。

4 建立以人為核心的安全運(yùn)營(yíng)機(jī)制

在360企業(yè)安全集團(tuán)看來，安全的本質(zhì)是人與人的對(duì)抗，人是諸多安全問題的根源，也是解決安全問題的關(guān)鍵，安全運(yùn)營(yíng)的各個(gè)階段都離不開人的參與。網(wǎng)絡(luò)安全體系建設(shè)能否發(fā)揮最大的作用，最終還是取決于能否建立一整套以人為核心的安全運(yùn)營(yíng)機(jī)制。

憑借安全專家的專業(yè)度，可以把現(xiàn)有的安全平臺(tái)、設(shè)備等工具的效用最大限度地發(fā)揮出來，從而真正建立起從網(wǎng)絡(luò)安全評(píng)估、安全規(guī)劃咨詢、滲透測(cè)試，到安全回溯一系列閉環(huán)的安全服務(wù)能力。

安全運(yùn)營(yíng)重要性之高，以至于2017年中國(guó)互聯(lián)網(wǎng)安全大會(huì)更是把主題定為“人是安全的尺度”。在實(shí)際工作中，安全運(yùn)營(yíng)需要擔(dān)負(fù)很多責(zé)任，包括被授予通報(bào)和處罰的權(quán)力；此外在安全培訓(xùn)方面，每年花大力氣進(jìn)行安全意識(shí)宣貫。通過以上安全的運(yùn)營(yíng)理念，再配合安全管理類手段，實(shí)現(xiàn)“可見、可控、可分析”的管理目標(biāo)。

360企業(yè)安全集團(tuán)針對(duì)農(nóng)村金融機(jī)構(gòu)的特征，可以提供銀行終端一體化安全管理、銀行內(nèi)網(wǎng)高級(jí)威脅監(jiān)測(cè)與追蹤溯源、銀行營(yíng)業(yè)廳公共無線Wi-Fi安全與營(yíng)銷等一攬子金融解決方案。方案均建立在360企業(yè)安全集團(tuán)多年實(shí)踐積累的技術(shù)和經(jīng)驗(yàn)之上，可以大幅提升金融機(jī)構(gòu)整體網(wǎng)絡(luò)安全水平，已經(jīng)在全國(guó)多地落地實(shí)施。