商業(yè)銀行新一代終端安全防護(hù)體系3.0研究與實(shí)踐

◆張 爽 裴冬冬 楊維漢

(恒豐銀行科技服務(wù)管理部信息安全中心 北京 100033 )

商業(yè)銀行新一代終端安全防護(hù)體系3.0研究與實(shí)踐

◆張 爽 裴冬冬 楊維漢

(恒豐銀行科技服務(wù)管理部信息安全中心 北京 100033 )

講述了商業(yè)銀行終端安全防護(hù)體系演進(jìn)史，針對(duì)新商業(yè)生態(tài)下傳統(tǒng)弱管控防護(hù)體系和強(qiáng)管控防護(hù)體系存在的不足，指出了“輕管控、重檢測(cè)、快響應(yīng)”防護(hù)體系是未來(lái)轉(zhuǎn)型方向。根據(jù)商業(yè)銀行實(shí)際情況，結(jié)合外部監(jiān)管要求，圍繞著云端集中信息治理和終端側(cè)可控渠道防護(hù)，提出了商業(yè)銀行新一代終端安全防護(hù)體系3．0，從終端整合一體化、終端云化、文檔云化、全渠道協(xié)同防護(hù)、智能大數(shù)據(jù)分析等方面重新定義終端安全防護(hù)體系，提升商業(yè)銀行終端安全防護(hù)水平。

泛終端；終端安全；防護(hù)體系3．0；輕管控；重檢測(cè)；快響應(yīng)；整合一體化；終端云化

0 前言

在新的商業(yè)生態(tài)下，開(kāi)發(fā)外包、項(xiàng)目外包、上游供應(yīng)商、下游客戶(hù)等廣泛參與到企業(yè)的日常運(yùn)營(yíng)工作中來(lái)，使得企業(yè)的邊界變得擴(kuò)大模糊。在“互聯(lián)網(wǎng)+”時(shí)代下，BYOD設(shè)備和移動(dòng)終端接入內(nèi)網(wǎng)辦公需求越來(lái)越強(qiáng)烈，然而安全風(fēng)險(xiǎn)也隨之而來(lái)。傳統(tǒng)的基于分散終端和分散信息的防護(hù)方法，已經(jīng)無(wú)法滿(mǎn)足商業(yè)銀行對(duì)終端和信息的集中管理、便利共享、安全可控等需求。同時(shí)，近些年來(lái)，信息安全事件時(shí)常發(fā)生，給金融機(jī)構(gòu)造成了嚴(yán)重的經(jīng)濟(jì)損失和聲譽(yù)風(fēng)險(xiǎn)。例如，2011年4月，韓國(guó)農(nóng)協(xié)銀行計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)故障，有人通過(guò)該行外包團(tuán)隊(duì)一雇員的計(jì)算機(jī)對(duì)銀行核心系統(tǒng)的數(shù)百臺(tái)臺(tái)服務(wù)器下達(dá)了rm.dd命令，造成全國(guó)上千個(gè)分行的服務(wù)中斷，客戶(hù)無(wú)法提款、轉(zhuǎn)賬、使用信用卡和取得貸款。2014年1月，韓國(guó)發(fā)生金融行業(yè)最大規(guī)模信用卡個(gè)人信息泄密事件，涉及約2000萬(wàn)用戶(hù)，共1億多條客戶(hù)信息被泄露。2017年5月，全球爆發(fā)WannaCry（永恒之藍(lán)）病毒，利用Windows漏洞造成至少有150個(gè)國(guó)家受到網(wǎng)絡(luò)攻擊，已經(jīng)影響到金融，能源，醫(yī)療，教育等行業(yè)。越來(lái)越多的信息安全事件表明，內(nèi)網(wǎng)已經(jīng)成為一種主要的信息安全威脅渠道，圍繞內(nèi)網(wǎng)終端的安全防護(hù)越來(lái)越重要。

終端安全防護(hù)體系經(jīng)歷了三個(gè)階段，如圖1所示。

圖1 終端安全防護(hù)體系演進(jìn)史

第一個(gè)階段是弱防護(hù)體系 1.0。該階段主要是實(shí)施簡(jiǎn)單的病毒木馬查殺、操作系統(tǒng)補(bǔ)丁安裝、外設(shè)禁用、MAC地址綁定等安全控制策略，對(duì)終端計(jì)算機(jī)進(jìn)行簡(jiǎn)單防護(hù)，未形成完整的防護(hù)體系，防護(hù)能力薄弱，很容易被內(nèi)外部人員攻擊利用，存在嚴(yán)重的安全問(wèn)題。

第二個(gè)階段是強(qiáng)防護(hù)體系 2.0。該階段形成了完整的防護(hù)體系，包括AD域控、病毒查殺、補(bǔ)丁安裝、外設(shè)控制、涉密掃描、文檔加密、郵件泄露渠道控制、網(wǎng)絡(luò)泄露渠道控制、USB泄露渠道控制、網(wǎng)絡(luò)準(zhǔn)入控制、上網(wǎng)黑白名單等，每個(gè)風(fēng)險(xiǎn)點(diǎn)都進(jìn)行強(qiáng)管控。該體系需要在終端上安裝多款安全軟件，兼容問(wèn)題突出，性能消耗大，影響了員工工作效率，后臺(tái)分級(jí)部署多款安全系統(tǒng)，分行科技人員壓力大，特別是中小銀行，分行科技力量薄弱情況下。

第三個(gè)階段是輕管控體系 3.0。該階段以云化管理為主，主要包括，終端整合一體化、終端云化、文檔云化、全渠道協(xié)同防護(hù)、智能大數(shù)據(jù)分析等。為了解決傳統(tǒng)防護(hù)體系存在的問(wèn)題，滿(mǎn)足商業(yè)銀行信息科技風(fēng)險(xiǎn)管理要求，結(jié)合商業(yè)銀行科技發(fā)展實(shí)際和信息安全管理現(xiàn)狀，將對(duì)商業(yè)銀行新一代終端安全防護(hù)體系3.0進(jìn)行研究和實(shí)踐。

1 術(shù)語(yǔ)定義

（1）泛終端：包括辦公筆記本、辦公臺(tái)式機(jī)、平板終端、移動(dòng)終端、生產(chǎn)運(yùn)維終端、柜面終端、金融交易終端、客服終端、自助設(shè)備、BYOD設(shè)備等。

（2）終端云化：通過(guò)桌面云技術(shù)將終端桌面進(jìn)行軟件定義，聚合放到總行集中部署和統(tǒng)一管理，通過(guò)泛終端進(jìn)行訪問(wèn)，提供快速桌面發(fā)布能力和信息泄露防護(hù)能力。

（3）文檔云化：通過(guò)安全云庫(kù)技術(shù)將終端上和應(yīng)用系統(tǒng)下載的文檔集中到總行存儲(chǔ)，實(shí)現(xiàn)統(tǒng)一管理、便利分享、高效檢索、離線(xiàn)訪問(wèn)等，通過(guò)矩陣權(quán)限控制、權(quán)限申請(qǐng)審批、屏幕水印、不落地存儲(chǔ)等實(shí)現(xiàn)安全可控。

2 防護(hù)體系3.0設(shè)計(jì)

新一代終端安全防護(hù)體系3.0在滿(mǎn)足安全合規(guī)前提下，主要遵循如下三點(diǎn)原則：

一是“集中為主、分散為輔”原則：在滿(mǎn)足商業(yè)銀行信息科技風(fēng)險(xiǎn)管理要求前提下，依據(jù)商業(yè)實(shí)際情況，圍繞著云端集中信息治理和終端側(cè)可控渠道防護(hù)，建立一套一體化的終端及信息安全防護(hù)體系，協(xié)調(diào)整合各種技術(shù)的管理措施，實(shí)現(xiàn)各項(xiàng)信息安全管理目標(biāo)。

二是“輕管控、重檢測(cè)、快響應(yīng)”原則：從弱管控和強(qiáng)管控轉(zhuǎn)換為輕管控，滿(mǎn)足安全管理目標(biāo)的同時(shí)，兼顧使用的方便性、靈活性和工作效率。通過(guò)事前預(yù)先信息保護(hù)、事中實(shí)時(shí)行為檢測(cè)和準(zhǔn)實(shí)時(shí)智能大數(shù)據(jù)分析、事后安全審計(jì)，發(fā)現(xiàn)安全風(fēng)險(xiǎn)，快速響應(yīng)處理。

三是“以人為本、面向服務(wù)”原則：在滿(mǎn)足安全要求前提下，堅(jiān)持以人為本，從管控角度轉(zhuǎn)向面向服務(wù)，讓員工參與到終端安全建設(shè)工作中來(lái)，提升終端可用性，從提升用戶(hù)體驗(yàn)，提高工作效率，解放分行科技?jí)毫?，?jié)省成本和創(chuàng)造效益。

終端安全防護(hù)體系3.0從“基本桌面安全、終端整合式集中云化管理、集中的文檔安全治理、全渠道協(xié)同信息泄露防護(hù)、智能大數(shù)據(jù)模型分析引擎”防護(hù)框架，在滿(mǎn)足安全合規(guī)前提下，開(kāi)展創(chuàng)新優(yōu)化工作。防護(hù)框架如圖2所示。

圖2 終端安全防護(hù)體系3.0框架

2.1 基本桌面安全

基本桌面安全包括網(wǎng)絡(luò)準(zhǔn)入控制、補(bǔ)丁推送、軟件推送、軟件商店、軟件管理、進(jìn)程管理、外設(shè)管理、病毒防護(hù)、賬號(hào)管理、病毒查殺、涉密掃描、文檔加密、VPN訪問(wèn)、外網(wǎng)訪問(wèn)等安全控制策略。目前，國(guó)內(nèi)主流商業(yè)銀行的終端安全防護(hù)體系都實(shí)施了這些安全控制策略，不再詳細(xì)討論。

2.2 終端整合式集中云化管理

終端分散管理難度大，兼容性問(wèn)題突出，應(yīng)用軟件發(fā)布效率低，不能方便地支持泛終端安全接入，不能很好地保護(hù)終端安全，科技運(yùn)維壓力大。將從下面幾個(gè)方面展開(kāi)優(yōu)化：

（1）終端安全軟件整合一體化

在強(qiáng)管控防護(hù)體系下，終端計(jì)算機(jī)上安裝了多款安全軟件，如網(wǎng)絡(luò)準(zhǔn)入控制、補(bǔ)丁分發(fā)、外設(shè)控制、進(jìn)程控制、涉密掃描等，安全軟件之間沖突問(wèn)題嚴(yán)重，終端性能開(kāi)銷(xiāo)大，影響員工的工作效率。通過(guò)將這些安全軟件功能整合，形成一款一體化的安全軟件，解決不同軟件兼容性問(wèn)題，同時(shí)，通過(guò)病毒云查殺機(jī)制，將病毒查殺過(guò)程提交到云端執(zhí)行，降低終端性能消耗。提升用戶(hù)體驗(yàn)，提供工作效率。

（2）終端安全系統(tǒng)集中部署

傳統(tǒng)終端安全系統(tǒng)采用二級(jí)部署方式，總行部署總控節(jié)點(diǎn)服務(wù)器，一級(jí)分行部署分控節(jié)點(diǎn)服務(wù)器，日常系統(tǒng)運(yùn)維工作和版本升級(jí)工作對(duì)分行科技?jí)毫Υ?。通過(guò)將全行終端安全軟件集中連接到總行節(jié)點(diǎn)服務(wù)器，分行不再需要單獨(dú)部署分控節(jié)點(diǎn)服務(wù)器，解放分行科技生產(chǎn)力。通過(guò)帶寬擴(kuò)容、并發(fā)控制、帶寬限速、P2P等優(yōu)化技術(shù)，解決服務(wù)器一級(jí)集中部署后網(wǎng)絡(luò)帶寬增大問(wèn)題。

（3）超融合桌面云技術(shù)

通過(guò)總行部署的超融合桌面云技術(shù)實(shí)現(xiàn)桌面快速交付，保護(hù)開(kāi)發(fā)測(cè)試環(huán)境邊界安全，解決外包人員和BOYD設(shè)備安全接入問(wèn)題，解決應(yīng)用扁平化后分行遠(yuǎn)程運(yùn)維問(wèn)題，解決分行應(yīng)用版本發(fā)布問(wèn)題。采用控制、計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)超融合技術(shù)實(shí)現(xiàn)了桌面云線(xiàn)性擴(kuò)容需求，使用桌面云屏幕水印和錄像技術(shù)實(shí)現(xiàn)追蹤可審計(jì)。桌面云應(yīng)用場(chǎng)景如圖3所示。

圖3 桌面云應(yīng)用場(chǎng)景

3 接入網(wǎng)融合技術(shù)

傳統(tǒng)防護(hù)體系下，辦公接入網(wǎng)、研發(fā)接入網(wǎng)、測(cè)試接入網(wǎng)需要部署多根網(wǎng)線(xiàn)，用戶(hù)體驗(yàn)差，且布線(xiàn)成本高。防護(hù)體系3.0下，終端計(jì)算機(jī)實(shí)行802.1x網(wǎng)絡(luò)準(zhǔn)入控制，準(zhǔn)入前處于訪客接入網(wǎng)，只能訪問(wèn)桌面云，準(zhǔn)入后處于辦公接入網(wǎng)，可以訪問(wèn)桌面云和辦公系統(tǒng)。通過(guò)桌面云訪問(wèn)研發(fā)測(cè)試環(huán)境，只需一根網(wǎng)線(xiàn)滿(mǎn)足辦公和研發(fā)測(cè)試需求，不需要額外部署研發(fā)測(cè)試接入網(wǎng)，不僅節(jié)省了部署網(wǎng)線(xiàn)成本，也提高了用戶(hù)使用便利性。

4 移動(dòng)終端安全接入技術(shù)

基于MAM、MCM和MDM整合技術(shù)，解決移動(dòng)終端接入內(nèi)網(wǎng)辦公需求，實(shí)現(xiàn)信息加密、不落地存儲(chǔ)、遠(yuǎn)程擦除等安全控制。

4.1 集中的文檔安全治理

文檔分散管理難度大，泄露風(fēng)險(xiǎn)越來(lái)越突出，采用集中的文檔安全治理來(lái)解決這些問(wèn)題。建立安全云庫(kù)平臺(tái)，員工將終端上的電子文檔上傳至安全云庫(kù)中，應(yīng)用系統(tǒng)調(diào)用安全云庫(kù) API接口，將應(yīng)用系統(tǒng)下載的電子文檔自動(dòng)保存至安全云庫(kù)中，實(shí)現(xiàn)對(duì)文檔的集中管理。按照“知所必須、最小授權(quán)”原則，通過(guò)矩陣權(quán)限管理、權(quán)限申請(qǐng)審批流程、下載控制、屏幕水印等措施來(lái)確保安全可控。安全云庫(kù)提供便利的文檔分享功能和高效的文檔檢索功能。同時(shí)，安全云庫(kù)提供離線(xiàn)安全空間，實(shí)現(xiàn)文檔集中后離線(xiàn)訪問(wèn)需求。安全云庫(kù)提升了全行文檔集中治理能力。具體流程架構(gòu)如圖4所示。

圖4 集中的文檔安全治理

4.2 全渠道協(xié)同信息泄露防護(hù)

對(duì)電子文檔分類(lèi)定級(jí)。開(kāi)放信息入云庫(kù)渠道，通過(guò)涉密掃描將涉密文檔上傳到安全云庫(kù)中。在安全云庫(kù)中對(duì)文檔進(jìn)行權(quán)限控制，包括查看、編輯、完全控制、打印、復(fù)制、截屏、屏幕水印等權(quán)限，提供文檔權(quán)限申請(qǐng)和審批流程。嚴(yán)控信息出云庫(kù)渠道，只有具有完全控制權(quán)限的人才能將文檔從安全云庫(kù)中下載到本地，無(wú)該權(quán)限則需要走申請(qǐng)和審批流程。實(shí)現(xiàn)移動(dòng)終端信息加密不落地存儲(chǔ)。限制桌面云和郵件泄露邊界控制，對(duì)涉密信息進(jìn)行檢測(cè)，若發(fā)現(xiàn)涉密信息，則進(jìn)行攔截審批。最終實(shí)現(xiàn)各類(lèi)泄露渠道統(tǒng)一，實(shí)現(xiàn)信息集中治理和終端側(cè)可控渠道防護(hù)。如圖5所示。

圖5 全渠道協(xié)同信息泄露防護(hù)

4.3 智能大數(shù)據(jù)模型分析引擎

將各類(lèi)日志數(shù)據(jù)集中至 SOC平臺(tái)，采用大數(shù)據(jù)分析技術(shù)和深度強(qiáng)化學(xué)習(xí)技術(shù)，從多維度分析，建立終端安全態(tài)勢(shì)、人員操作行為、文檔流轉(zhuǎn)路徑等分析模型，實(shí)現(xiàn)追溯審計(jì)，實(shí)時(shí)展現(xiàn)終端安全態(tài)勢(shì)，為終端持續(xù)優(yōu)化提供決策支持。如圖6所示。

圖6 智能大數(shù)據(jù)分析

5 防護(hù)體系3.0應(yīng)用

商業(yè)銀行終端安全防護(hù)體系3.0已經(jīng)在恒豐銀行全行范圍推廣應(yīng)用。終端安全系統(tǒng)服務(wù)器集中部署在總行，終端安全管理軟件、云查殺軟件和安全云庫(kù)各推廣了 10000+臺(tái)終端計(jì)算機(jī)，移動(dòng)終端管理軟件推廣了3000+移動(dòng)終端設(shè)備，為研發(fā)測(cè)試、生產(chǎn)運(yùn)維、分行發(fā)布等場(chǎng)景提供了3000+個(gè)云桌面，提供10+個(gè)智能大數(shù)據(jù)分析模型，整體運(yùn)行穩(wěn)定。商業(yè)銀行終端安全防護(hù)體系3.0有效保護(hù)了恒豐銀行內(nèi)網(wǎng)環(huán)境安全，自投入生產(chǎn)應(yīng)用以來(lái)，終端安全綜合指數(shù)提升了70%以上，全行科技維護(hù)效率提升了50%以上，為恒豐銀行一次性節(jié)省成本 1600+萬(wàn)元，每年周期性收益1000+萬(wàn)元，收益效果明顯。

圖7 終端安全防護(hù)體系3.0應(yīng)用

6 總結(jié)與優(yōu)化

針對(duì)傳統(tǒng)終端安全防護(hù)體系的不足，研究了商業(yè)銀行新一代終端安全防護(hù)體系3.0。新一代終端安全防護(hù)體系3.0采用終端一體化、終端云化、信息云化、全渠道協(xié)同信息泄露防護(hù)、智能大數(shù)據(jù)模型分析等技術(shù)，解決新商業(yè)生態(tài)下和“互聯(lián)網(wǎng)+”時(shí)代下，邊界保護(hù)問(wèn)題和泛終端安全接入問(wèn)題，實(shí)現(xiàn)終端和信息集中治理能力，提升終端安全保護(hù)水平，實(shí)現(xiàn)了各項(xiàng)信息安全管理目標(biāo)的同時(shí)，兼顧使用的方便性、靈活性和工作效率，降低了終端安全防護(hù)TCO成本。新一代終端安全防護(hù)體系3.0在恒豐銀行推廣應(yīng)用后，效果明顯，終端安全綜合指數(shù)提升了70%以上，全行科技維護(hù)效率提升了50%以上，為恒豐銀行一次性節(jié)省成本1600+萬(wàn)元，每年周期性收益 1000+萬(wàn)元。新一代終端安全防護(hù)體系 3.0可以推廣至其他商業(yè)銀行。

[1]張曉丹．銀行文檔信息全生命周期安全管理方法．金融電子化，2014．

[2]Gad J Selig著．中治研（北京）國(guó)際信息技術(shù)研究院譯．實(shí)施IT治理（方法論、模型、全球最佳實(shí)踐）．中國(guó)經(jīng)濟(jì)出版社，2012．

[3]顧炯炯．云計(jì)算架構(gòu)技術(shù)與實(shí)踐（第2版）．清華大學(xué)出版社，2010．

[4]盧海勤．終端安全防護(hù)技術(shù)及體系架構(gòu)部署模式．中國(guó)金融電腦，2012．