◆唐 彬

?

持續(xù)加強網(wǎng)絡(luò)安全治理 構(gòu)建安全保障技術(shù)體系

◆唐 彬

(中國人民銀行金融信息中心)

隨著互聯(lián)網(wǎng)的發(fā)展，國家高度重視網(wǎng)絡(luò)安全和信息化工作，網(wǎng)絡(luò)空間已經(jīng)成為繼陸?？仗熘蟮牡谖宕笾鳈?quán)領(lǐng)域空間。習(xí)近平總書記多次講到了網(wǎng)絡(luò)安全和信息化的問題，并明確指出，金融等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟社會運行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重，也是可能遭到重點攻擊的目標(biāo)。

人民銀行在黨中央和國務(wù)院領(lǐng)導(dǎo)下，依法承擔(dān)“制定和執(zhí)行貨幣政策、維護金融穩(wěn)定、提供金融服務(wù)”的職責(zé)，其中國庫信息處理系統(tǒng)、中央銀行會計核算數(shù)據(jù)集中系統(tǒng)、貨幣發(fā)行系統(tǒng)、賬戶系統(tǒng)等關(guān)系國計民生的重要業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)是其履職的重要保障。人民銀行網(wǎng)絡(luò)基礎(chǔ)設(shè)施處于銀行業(yè)的中樞地位，同時金融服務(wù)的范圍不斷拓展到財政、稅務(wù)、海關(guān)、公安、高法、社保等重要領(lǐng)域，已成為至關(guān)重要的金融信息化高速公路。SWIFT（國際電訊組織）資金盜取，俄羅斯央行失竊事件警鐘長鳴，在網(wǎng)絡(luò)攻擊和滲透的頻度和強度大幅提高的現(xiàn)狀下，人民銀行網(wǎng)絡(luò)安全直接關(guān)系中央銀行履職和金融市場穩(wěn)定。

為此，人民銀行近五年來持續(xù)加強網(wǎng)絡(luò)安全保障體系建設(shè)和隊伍建設(shè)，在預(yù)警、防護、檢測、響應(yīng)、恢復(fù)、優(yōu)化等各階段持續(xù)完善，保障業(yè)務(wù)連續(xù)性，健全網(wǎng)絡(luò)安全防護檢測能力和協(xié)同響應(yīng)體系，守住未發(fā)生重大網(wǎng)絡(luò)安全事件底線，安全保障能力在歷次網(wǎng)絡(luò)攻防演練及多次重大安全事件應(yīng)急響應(yīng)和處置中得到檢驗。

一、頂層設(shè)計，規(guī)劃先行

2014年，國家提出加強網(wǎng)絡(luò)空間安全總體戰(zhàn)略，人民銀行基于網(wǎng)絡(luò)安全工作現(xiàn)狀，切實分析網(wǎng)絡(luò)安全工作面臨的形勢和存在的問題，以問題為導(dǎo)向，以攻防為重點，依托工作實際，編制了《人民銀行網(wǎng)絡(luò)安全規(guī)劃》（以下簡稱《規(guī)劃》），從健全組織體系、推進自主可控、完善管理體系、優(yōu)化技術(shù)體系、夯實運維保障、推進業(yè)務(wù)連續(xù)性管理、創(chuàng)新安全服務(wù)、防范外圍風(fēng)險、加強標(biāo)準(zhǔn)化和研究宣傳等方面明確了未來網(wǎng)絡(luò)安全工作的主要任務(wù)、重點工程和實施的保障措施。在2017年《網(wǎng)絡(luò)安全法》正式實施后，以及《國家關(guān)鍵基礎(chǔ)設(shè)施保護條例》、《網(wǎng)絡(luò)安全等級保護條例》征求意見過程中，也根據(jù)上位法和條例進行調(diào)整。

在行領(lǐng)導(dǎo)重視和各部門配合下，《規(guī)劃》執(zhí)行順利，一系列安全建設(shè)項目按序按需順利實施，安全防護、安全監(jiān)測、響應(yīng)處置、網(wǎng)絡(luò)攻防等能力得到了全面提升。

二、持續(xù)優(yōu)化，確保合規(guī)

規(guī)劃落地后，持續(xù)優(yōu)化是保證規(guī)定動作不走樣、風(fēng)險隱患看得見的關(guān)鍵，需要從兩方面落實。

一是扎實開展等保檢查，確保整體合規(guī)。人民銀行統(tǒng)籌網(wǎng)絡(luò)安全合規(guī)性和風(fēng)險性，開展重要信息系統(tǒng)安全檢查和等級保護測評工作，促進提高人民銀行重要信息系統(tǒng)安全防護能力和水平。同時，跟蹤歷年安全檢查和等保測評工作問題整改情況，形成問題清單，推動整改使得問題收斂，達到以查促改的目的，全面提高安全防護能力，鑄牢網(wǎng)絡(luò)安全第一道防線。

二是通過重要時期保障工作，實現(xiàn)單點突破。為加強重要時期網(wǎng)絡(luò)安全保障，全面排查重要信息系統(tǒng)存在的突出問題和安全隱患，人民銀行以風(fēng)險為導(dǎo)向、基于技術(shù)手段（包括滲透測試和安全工具檢測），從系統(tǒng)應(yīng)用軟件安全漏洞、系統(tǒng)安全配置和系統(tǒng)應(yīng)用安全等層次發(fā)現(xiàn)重要信息系統(tǒng)存在的問題，重點開展高風(fēng)險網(wǎng)絡(luò)區(qū)域和新上線系統(tǒng)的滲透測試工作，以戰(zhàn)代練，以查促改，結(jié)合外部形勢做好內(nèi)部檢查和改進工作。

三、補齊短板，自主可控

“加快推進國產(chǎn)自主可控替代計劃，構(gòu)建安全可控的信息技術(shù)體系”是國家戰(zhàn)略，避免核心技術(shù)受制于人，安全基礎(chǔ)設(shè)施的全面國產(chǎn)化也是金融行業(yè)面臨的共性問題。為此，人民銀行開展多種嘗試和實施。

首先，研制建設(shè)“基于自主可控的終端安全主動防御技術(shù)及應(yīng)用”項目，實現(xiàn)了終端安全的全面自主可控，在全行12萬終端，上千臺服務(wù)器全面部署，全面替換了國外品牌的終端安全防護系統(tǒng)，扭轉(zhuǎn)這一領(lǐng)域依賴國外廠商的被動局面。系統(tǒng)建成后在2017年“512勒索病毒”等重大安全事件的預(yù)防、處置中得到檢驗。

其次，完善PKI/CA體系、支持國產(chǎn)密碼算法、全國數(shù)據(jù)集中的電子認(rèn)證系統(tǒng)，支持發(fā)放RSA1024、RSA2048和國密SM2三種算法數(shù)字證書，支持業(yè)務(wù)系統(tǒng)實現(xiàn)身份認(rèn)證、簽名驗簽、數(shù)字信封、傳輸加密等應(yīng)用場景，為業(yè)務(wù)系統(tǒng)提供抗抵賴、數(shù)據(jù)完整性和保密性等安全基礎(chǔ)服務(wù)。

四、縱深防御，持續(xù)檢測

“419講話”指出，維護網(wǎng)絡(luò)安全，首先要知道風(fēng)險在哪里，是什么樣的風(fēng)險，什么時候發(fā)生風(fēng)險，正所謂“聰者聽于無聲，明者見于未形”，而對于風(fēng)險的探測，要做到關(guān)口前移。為此，人民銀行從攻擊者視角出發(fā)，建設(shè)了縱深彈性自適應(yīng)防御體系以及持續(xù)監(jiān)測體系，兩套體系互相比對，構(gòu)建零信任模型，互相促進并且發(fā)展。

縱深彈性自適應(yīng)防御體系參照了業(yè)內(nèi)成熟的“河防”和“塔防”思路，結(jié)合攻擊鏈模型優(yōu)化防御體系，根據(jù)鉆石模型開展攻擊者分析。通過安全域劃分，協(xié)議棧收斂限定攻擊路徑，在重點防御路徑上依照OSI模型對不同協(xié)議層開展攻擊阻攔和降級，依照風(fēng)險接受度及人財物圈定適度安全。同時，在安全運營中輔助開展毒性測試以增強組織防御的強韌性以至于自適應(yīng)升級，保證安全生態(tài)體系保持自適應(yīng)進化。

持續(xù)監(jiān)測體系包括覆蓋全部攻擊路徑的實時監(jiān)測，對各主要網(wǎng)絡(luò)節(jié)點的流量日志、終端日志、主機日志、應(yīng)用日志等進行統(tǒng)一采集、存儲，從各網(wǎng)絡(luò)協(xié)議棧和應(yīng)用技術(shù)棧進行關(guān)聯(lián)分析，有效發(fā)現(xiàn)各類威脅和攻擊。在不斷完善和豐富基礎(chǔ)數(shù)據(jù)的同時，保障告警準(zhǔn)確度，聚焦高風(fēng)險和實質(zhì)威脅事件。提升檢測分析效率，實時監(jiān)測安全態(tài)勢、展現(xiàn)即時態(tài)勢。原始日志保留時間不短于六個月，有力支撐攻擊回溯分析。

在縱深防護體系和監(jiān)測體系的互相印證下，實現(xiàn)了監(jiān)督和改進，監(jiān)測促進防護加強，防護加強后降低監(jiān)測誤報率，兩個體系均實現(xiàn)進化，完成數(shù)據(jù)中心網(wǎng)絡(luò)安全防護一盤棋。技術(shù)手段包括通過安全隔離，基于安全域劃分，實現(xiàn)基于鏈路層的網(wǎng)絡(luò)安全隔離，按“原子化”原則細致管理訪問控制策略；完善防護措施，基于協(xié)議棧和技術(shù)棧，在攻擊路徑各個節(jié)點預(yù)置“埋點”，形成整體防護、實時阻斷；豐富技術(shù)手段，從防御、阻斷、降級、欺騙等方面形成多維防御和技術(shù)異構(gòu)，不斷優(yōu)化防御策略細粒度，在保障業(yè)務(wù)平穩(wěn)運行的同時完成有效防護。

五、安全運營，快速響應(yīng)

安全運維是保障安全和業(yè)務(wù)活下去，而安全運營的期望是對安全保障業(yè)務(wù)活得好。

安全運營工作包括基于自適應(yīng)安全架構(gòu)，加強持續(xù)監(jiān)測和分析。在預(yù)防（感知）方面，持續(xù)開展對關(guān)鍵基礎(chǔ)設(shè)施、新技術(shù)、關(guān)鍵產(chǎn)品、核心算法的網(wǎng)絡(luò)安全風(fēng)險評估。防護方面，優(yōu)化策略集、產(chǎn)品集和服務(wù)集，做好加固、隔離和攻擊轉(zhuǎn)移，加強信息系統(tǒng)生命周期安全管控。檢測方面，建立覆蓋各IT棧層的監(jiān)控體系，整合內(nèi)外部威脅數(shù)據(jù)，提升安全威脅感知能力。響應(yīng)方面，從“應(yīng)急響應(yīng)”轉(zhuǎn)變?yōu)椤俺掷m(xù)響應(yīng)”，構(gòu)建監(jiān)控分析和響應(yīng)處置體系，主動監(jiān)控和持續(xù)分析攻擊痕跡，建立事件持續(xù)響應(yīng)處理機制。

通過安全運營，對上向行內(nèi)及信息安全主管單位匯報，對內(nèi)向業(yè)務(wù)部門溝通，對外協(xié)調(diào)專業(yè)隊伍及廠商力量，形成合力，構(gòu)建網(wǎng)絡(luò)安全應(yīng)急響應(yīng)協(xié)同機制，顯著提升了安全運營水平；有效串聯(lián)預(yù)警、防御、監(jiān)測、響應(yīng)、恢復(fù)、持續(xù)優(yōu)化等安全運營各環(huán)節(jié)，成功處置了“心臟滴血”、“Struts 2”、“永恒之藍”等重大安全事件，通過安全運營，保障安全水平持續(xù)提升。

六、凝聚共識，行業(yè)協(xié)作

銀行業(yè)信息安全，加強合作，守望相助。依托銀行業(yè)數(shù)據(jù)中心聯(lián)席會議平臺和協(xié)同運維機制，促進同業(yè)交流和信息共享，充分發(fā)揮聯(lián)合優(yōu)勢，凝聚共識、互相借鑒，共同打造安全可靠的銀行業(yè)IT基礎(chǔ)服務(wù)。面對金融機構(gòu)網(wǎng)絡(luò)日趨開放、互聯(lián)的特點，運用互聯(lián)網(wǎng)思維解決新時期網(wǎng)絡(luò)安全問題。單個金融機構(gòu)在網(wǎng)絡(luò)帶寬、服務(wù)器處理能力、安全人員等方面有局限性，需要統(tǒng)籌謀劃、聚合多方面力量，探索構(gòu)建集中、共享使用的網(wǎng)絡(luò)防護平臺和威脅情報共享平臺，探索建立銀行業(yè)專家?guī)?，探索在重大安全事件分析研判處置中的互助機制。

當(dāng)今世界，信息化發(fā)展很快，不進則退，慢進亦退。下一步，隨著“數(shù)字央行”戰(zhàn)略的推進，云計算、大數(shù)據(jù)、移動化等新興技術(shù)的應(yīng)用，必須有相應(yīng)的安全保障技術(shù)體系與業(yè)務(wù)發(fā)展相適應(yīng)。人民銀行正積極開展研究，規(guī)劃設(shè)計下一代網(wǎng)絡(luò)安全保障技術(shù)體系，以數(shù)據(jù)安全為核心，構(gòu)建基于“零信任”和“微隔離”架構(gòu)的動態(tài)、縱深防御體系，建設(shè)安全態(tài)勢感知平臺，打造以數(shù)據(jù)驅(qū)動的智能化安全運營體系，真正實現(xiàn)主動防御。力爭用4-5年，努力構(gòu)建起“可知可信、可管可控、智能防護”的下一代人民銀行網(wǎng)絡(luò)安全保障技術(shù)體系。