随着十四五时代的大幕缓缓拉开,国内金融安全建设之路进入下半场。
一方面,金融科技大量采用新技术实现业务创新的同时,也给网络安全带来了更多隐性风险。
另一方面,金融行业数字化转型的进一步普及,大量个人隐私及资产信息等重要数据呈指数级上升,金融业务的复杂性使得数据安全保护体系的建设难度不断加大。
在国内外网络安全形势不断演变的当下,金融行业作为传统的重监管机构,面临着比以往更艰巨的风险和挑战。随着“实战化”网络安全建设时代的到来,金融机构应如何持续完善网络安全体系化建设,筑牢金融网络安全屏障?
3月23日,在2023INSEC WORLD世界信息安全大会的“金融科技安全”分论坛上,来自浙商银行、东吴证券、民生银行、中银证券、观成科技等多位金融科技一线从业者,从不同角度分享了金融安全建设的实践和经验,上演了一场精彩纷呈的金融安全“华山论剑”。
金融数据安全构建多跨协同数据安全保障总体体系
如今数据已成为重要的生产要素,发展数字经济已上升到国家战略层面,今年的两会政府工作报告指出,2023年大力发展数字经济。
但数字经济的不断提升,离不开数据安全的保障。近年来,金融业数据安全大事件不断发生,数据安全的违规及事件成本越来越高。
我国进一步加强了对金融业的监管,陆续出台的《金融数据安全 数据安全分级指南》、《金融数据安全 数据生命周期安全规范》、《银行保险机构数据安全办法》等行标行规,及人民银行印发《金融科技发展规划(2022-2025年)》,一次次在行业顶层设计中重申了数据安全的重要性,迅速拉升了整个行业对数据安全的重视程度。
尽管金融数据安全的强监管时代到来,但不可否认的是,金融业数据安全保障体系建设仍存在诸多痛点。
在浙商银行总行信息科技风险检控官骆鉴看来,最大的痛点在于,金融业数据量极其庞大、数据泄露渠道多、内部员工案情多、数据供应链较长、数据资产流动性强。虽然数据作为生产要素有巨大潜能,但同时也难以管理,因此安全保障与数据使用存在天然矛盾。此外,尽管监管制度已出台,但相应的措施和技术手段还未跟上。
浙商银行总行信息科技风险检控官 骆鉴
对此,骆鉴介绍了浙商银行在数据安全管理方面的建设思路和实践。他表示,核心在于“构建多跨协同数据安全保障总体体系”,包括管理体系、技术体系、风险体系三个部分。
首先,管理体系主要是组织架构、管理规范、流程机制。
数据安全保障管理体系不是另起炉灶,而是对已有的网络安全基础上进行整合,联通业务部门形成多块协同的安全保障体系。
在网络安全责任制的基础上进行分级分层管理,制度规范上形成政策、规定、指南的完整体系,人才梯队方面以数据安全总体目标需求为导向,通过多种手段不断完善人才梯队。
其次,机制体系包括大数据、AI、加密、安全技术和产品。
这个体系也不是另起炉灶,而是在现有的安全产品上进行融合,通过多跨协同、多平台联通,推进五个方面的能力建设如:核心泄密场景全覆盖的防护能力;敏感数据流动的实时监测发现能力;终端、网络等多层级数据采集分析能力;安全风险实时响应能力;安全策略统一落地能力。
最后,运营体系,需确保数据采集、传输、存储、使用、删除、销毁等全过程数据安全。
在管理体系指引、技术体系支撑下,结合应用场景,将数据安全保障与生产业务有机融合,完成跨业务条线的运营协同,降低泄露风险、资金安全风险,保障金融数据安全。
其中,检查评估环节,围绕数据资产、安全漏洞、应急能力等要素,通过评估、演练、对抗等多种运营动作,筑牢数据安全保障的基础;
持续运营环节,从事前风险防范,到事中监测预警,到事后应急处置,构建全流程的数据安全运营体系与防护体系。
除此之外,据骆鉴介绍,目前浙商银行还在探索数据安全共享之路,通过多方安全计算技术,实现应用合作方私有数据的联合计算、建模,让数据聚起来、动起来、用起来、活起来,让数据共享更安全。
金融业务安全源于全流程的安全运营能力
纵观金融业的数字化进程,以银行为例,近年来经历了网点信息化、网上银行、手机银行,再到今天的智能银行,未来还可能向开放银行发展。目前,绝大多数银行处于智能银行发展阶段,即利用大数据、人工智能等技术向客户提供个性化、差异化的服务。
随之而来,银行业务面临的风险场景也呈现多样性变化,暴露出的被攻击面、被攻击点亦呈爆发式增长。
特别是疫情以来,各类涉赌涉诈欺诈团伙也在加速线上化转移,并利用AI技术等不断升级与银行风控体系的对抗,高科技涉赌涉诈、洗钱案例持续呈现出高发态势。
对于金融机构而言,当前的业务欺诈和数据泄露风险是持续加剧的。那么,金融机构该如何在保障安全合规的前提下,去提升用户的体验和业务赋能?
对此,中国民生银行安全经理魏巍博士分享了民生银行在数字化转型背景下的业务安全能力建设实践。
中国民生银行安全经理 魏巍博士魏巍表示,整体思路是建立全流程的业务安全防御能力,包含事前、事中、事后。
事前要和业务的立项和需求进行同步规划和同步设计,在这个过程中要求评估和一起制定场景化的安全策略,以及整个技术方案的安全评估,保证业务逻辑层上的安全,然后是开发层面的安全。
事中要实现实时检测和快速处置,整个安全认证策略和安全认证工具的应用和落地,其次是风险策略模型的识别及响应。
事后则是基于离线挖掘模型识别黑产团伙,进行提前的防控,其次对于情报进行监测和使用,可以联动到事前形成闭环的运营。
目前,民生银行业务安全建设的成效主要体现在两个方面:
一是交易安全,提升保护客户交易的能力,以及提升客户体验。
基于130个风险防控策略,为手机银行、网上银行、开放银行等等线上线下渠道100个高风险交易场景提供实时防护服务,通过自动拦截,增强认证等进行交互式的保护措施来保护客户的交易安全。
二是对黑产的挖掘及反制。通过建立网络黑灰产业务主动监测机制,同时针对挖掘的黑产团伙采取拦截、管控、反制等手段,提升防范风险的能力。
基于这几年的业务安全防御能力建设实践,魏巍表示有三个观点可以分享:
第一,银行的数字化转型本质是在于平台、数据和业务生态的开放和融合,不断去创新提升金融服务能力。在这个过程中,银行的业务是持续开放的,数据资产是持续扩张的,攻防对抗不断升级,安全防御需求不断增长。
第二,在这种趋势下,银行业务是银行信息系统建设和数据资产流动的根本需求来源,是网络黑产攻击的主要目标,是银行安全防护及服务的中心对象。
业务安全防御能力须是银行信息安全防御体系中的必备一环。
第三,建立全模式、全流程业务安全解决方案是业务安全防御能力建设的基石,而可持续高效的一体化闭环运营能力是业务安全防御成好坏的关键因素。
攻防视角下金融安全的蓝军建设
网络安全的攻与防,本质是场博弈,俗话说“未知攻,焉知防”。近年来,为了评估企业的安全性,发现组织内部的风险点在信息安全领域,“红蓝对抗”攻防实战演练越来越多。
与传统渗透测试相比,红蓝对抗中的蓝军演练更接近真实的攻击,一般包含在线业务、企业人员、合作方、供应商、办公环境、物理楼宇、数据中心等等多样化的攻击形式。
其中,蓝军旨在实现全场景、多层次的攻击模拟,来衡量企业人员、网络、应用、物理安全控制和防护体系在面对真实攻击时的防御水平,另外一个重要的意义在于拓宽防守方的视野,攻守相长。
对此,中银证券科技风险与安全负责人蒋琼从蓝军视角,分享了证券行业蓝军建设的实践和经验。
中银证券科技风险与安全负责人 蒋琼蒋琼表示,即使在安全人员数量有限的情况下,企业也有必要进行内部蓝军建设,主要目标是在轻量化、可持续的过程中去主动发现企业内部的安全风险。
轻量化,指的是整体投入有限,毕竟任何攻击都是有成本的,企业需要在考虑资源禀赋的情况下选择最佳实践。同时,轻量化也是一种可持续化的保障,随着金融科技的可持续投入,安全运营体系也能够体现出可持续性。
关于如何建设企业蓝军,蒋琼表示有四个原则:
一是操作可审计,数据不泄露。一个好的平台对做好整体安全运营非常有效,包括模拟攻击工具、攻击操作审计、检查回溯等。
二是高度重视蓝军建设。蓝军必须得到企业内部的高度重视,有时甚至授权比安全组还要高。
由于要在整个企业内部不断发现风险,需要具备独立性,因此信任很重要。
三是人才队伍建设。人性是很多地方的突破口,一定要招募在各自领域的精干人才,保证在组织里能够在各个领域进行配合。
四是复盘机制。当安全事件发生时,内部能够有沙盘去做攻防推演,去形成一种惯例,对事件进行复盘和响应,并且能够做到攻防上的灵活切换。
蒋琼认为,安全工作的目标是“润物细无声”,无论企业安全建设是大SOC还是小SOC,一定要像军队一样有分工、有协同,并且不断通过外化的吸收,去沉淀自身的战斗力。
实战化、可信化趋势下金融安全建设需多维度发展
在当天的“金融科技安全”分论坛上,还有其他演讲嘉宾分别从安全检测、可信安全等视角,分享了对金融安全建设的经验。
北京观成科技有限公司副总经理刘晨曦表示,如今网络威胁已全面转向加密化,金融作为拥抱新技术比较靠前的行业,面临更多网络层面的攻击。
北京观成科技有限公司副总经理 刘晨曦攻击者一般会经历初始信息收集、初始打点、横向移动、命中目标等几个阶段,在这些阶段中都会产生不同的加密流量。
针对加密流量带来的挑战和威胁,刘晨曦认为应采用包含AI在内的综合决策体系去做检测。
首先,通过收集恶意软件使用的加密流量数据,从其中的协议、证书等内容出发,拆解出多维度的相关异常特征。其次,训练机器学习模型,用多个模型组合来进行相关威胁判断。第三,由于安全威胁的特殊性,机器学习往往也存在一定局限,所以需综合观测其行为、指纹、特征等要素,进行综合决策。
东吴证券信息安全管理团队负责人徐俊超表示,网络安全技术只有自主可控才能安全可信,自主可控不仅是国家的战略,同时也是当今形势下推动国家经济发展的一个新动能。
东吴证券信息安全管理团队负责人 徐俊超为了保障网络安全技术本身的安全可信,建设可信防护体系核心能力至关重要。
对此,东吴证券在可信防护领域全面进行了安全创新体系建设,实现基于主机的可信防护,面对未知威胁的有效抵御,如同人体自身免疫系统一般实现攻击、入侵行为的自主对抗。
首先是安全体系架构创新,构建了多免疫可信计算环境,对应用程序提供主动免疫、安全可信的保障,主动拦截系统操作运行要素,根据预定的策略规则进行可信判定,及时发现并且禁止不符合预期的行为,保证全程安全稳定运行。
第二是可信计算密码技术创新,采用算法全面替代当前持续免疫系统使用的加密算法,保证了安全可信和自主可控。
第三是可信网络连接创新。在集中管理的网络安全环境中,采用三圆三层可信连接架构,有效防范内外合谋攻击。
结语
数字经济为金融业带来发展机遇的同时,也对金融安全带来了巨大挑战。
在国家加强金融安全建设的趋势下,金融机构的网络安全建设正一步步向着“重实战”的方向走去。在2023 INSEC WORLD“金融科技安全”论坛的这场观点碰撞和交锋中,相信能给金融科技从业者们带去一份思考和感悟。
【科技云报道原创】
转载请注明“科技云报道”并附本文链接
