商业银行如何解决智能化网络攻击，保护用户资金安全？

发布时间：2022-09-01 09:49:23 【来源：金融电子化】

　　近年来在互联网金融迅速发展的大背景下，针对金融业务的攻击已经从传统手段逐渐演变为高隐蔽性、高复杂性的智能化网络攻击，然而现有的入侵监测及安全防护手段由于数据来源单一、检测样本局限、处置机制不完善等诸多条件限制，无法有效应对各类攻击，更无法满足日益增长的安全需求。同时，随着互联网金融生态的大力推行，各家金融机构实现了业务互通、技术互通、场景互通，单个金融系统的安全问题影响往往由点带面，对相关联系统产生影响。因此传统各自为战的安全防护模式已不再适用。

　　金融交易的特点是业务复杂、数据多样、信息敏感，且涉及用户资金安全，因此已成为各类网络攻击的主要目标。同时，金融业务存在一定共性，攻击者往往会使用相同攻击手段通过APP、小程序等应用，发起对不同金融系统的攻击。能否及时识别到此类攻击，能否实现实时攻击信息及防护策略的共享，能否通过应用侧、网络侧、服务侧实现共同防御，能否构建统一化的风险应急处置机制，成为摆在我们眼前的难题。因此，构建金融系统安全纵深防御体系势在必行。

中国银行软件中心（西安）副总经理李瑞生

　　探索与实践

　　1.数据共享是基础。由于数据是承载线上金融交易的载体，恶意攻击载荷（payload）也往往以数据的方式注入到系统中，所以数据是实现攻击防范与溯源的基础。

　　（1）数据共享合规化。金融数据具备特殊性，大多交易都包含用户个人信息、交易金额、行为信息等，涉及客户隐私数据保密性，因此需要在满足法律合规的要求下，在保障信息机密性的前提下，通过对原始数据预处理的方式，设定合理合规的共享范围，实现数据共享。

　　（2）数据场景平台化。不同系统间承载着不同的业务交易，不同业务交易涉及不同内部系统。需要将不同系统的业务流量进行整合，才能实现基于场景的金融业务数据识别。通过业务数据抓取、筛选、分析来提供强大的数据支撑，首先需要具备能够从海量网络数据中筛选出金融业务数据的能力，其次按照各系统间不同的业务场景（如：在线开户、转账汇款、缴费充值、投资理财等）将流量数据进行分类，不同系统中不同业务场景聚集存储在不同的数据集群中，集群间通过联邦的方式管理，构建融合的金融业务数据平台（见图）。

图数据场景平台化

　　2.业务场景是重点。不同于传统攻击手段，针对金融业务系统的新型攻击多为业务逻辑层的攻击，此类攻击手段往往隐蔽成正常业务流量，因此没有明显的数据特征，金融机构无法通过传统的大数据匹配发现。针对这种现象，面向业务场景的攻击监测手段将能够更有效实现安全保护。应当以“场景+定义攻击”为核心驱动，基于终端系统、数据资源、应用服务、主机系统、网络平台、物理环境等数据来源分析，以用户实际需求为出发点，从综合安全、业务安全、数据安全等多个维度为用户提供全面的金融业务安全态势感知。建立基于单个业务场景的逻辑攻击模型，将业务交易完成所需的条件进行统一化监测，映射到对应的安全预警级别，通过业务逻辑与安全防护之间的强绑定，实现金融业务逻辑攻击的有效防护。

　　3.纵深防御是关键。纵深防御——通过设置多层重叠的安全防护系统而构成多道防线，使得即使某一防线失效也能够被其他防线弥补或纠正，即通过增加系统的防御屏障防范安全攻击。

　　多阶段、多节点的共同防御策略是应对当下新型网络攻击的基础。建立涵盖前台、中台、后台、应用、网络、系统、接口服务等多环节防御层级，通过全流程介入、全角色参与、全工具支撑的方式，实现安全防御的多层次融入。例如：通过APP安全壳实现应用侧安全防护，以解决恶意跳转、页面广告植入、第三方用户信息泄露等应用侧问题；通过基于场景的态势感知，以解决针对金融业务场景的逻辑攻击侧问题；通过网络层多级应急监测预警处置，以解决基于网络侧的各类攻击。

　　通过将安全能力进行“原子化”，对现有安全机制不断地进行排列组合，将安全能力赋能到金融系统纵深防御各个层级，以应对各类多样化的攻击，为金融系统提供全技术架构覆盖的安全能力，从而形成共同防御的闭环，从技术战略上夯实金融系统抵御安全风险整体能力的基础。

　　4.合理处置是目标。强有力的安全防护手段必须配套灵活可控的处置机制。金融业务的攻击手段通常具有强隐蔽、多阶段的特点，真正的攻击者和误操作的用户难以区分，导致攻击处置力度将难以把控。过量的防御可能导致正常用户被阻断，从而影响正常用户业务办理与用户体验；过轻的防御可能无法有效阻止真正的攻击者。因此在用户体验与安全需求并存的当下，构建力度精准的应急处置措施尤为重要。

　　监管要求落地更关键，参考《银行、证券跨行业信息系统突发事件应急处置工作指引》（银监发〔2008〕50号）、《银行业重要信息系统突发事件应急管理规范》（银监办发〔2008〕53号）等监管要求，通过数据量化，将威胁、脆弱性、影响范围、重要程度各项风险指标进行综合考虑，结合金融业务系统各个安全层级的标准化应急响应机制，建立风险计算及处置模型，实现金融业务场景下安全攻击的快速、准确应对。

　　5.组织实践是根本。随着中国银行企业级架构建设工程的推进，中国银行软件中心建设了一套围绕数据共享平台化、安全攻击场景化、防御能力原子化、应急响应标准化“四位一体”的纵深防御体系，涵盖OWASP top10、证书防护、人脸识别、木马防范、恶意广告植入、恶意页面跳转、0day漏洞防御等多类攻击场景，已作为入侵防范的安全主题能力纳入企业级架构1.2批次建设。

　　同时，组织实践离不开人才的支撑，人是安全的核心。强化组织队伍建设，强抓工程领域安全介入力度，从软件开发源头消灭风险，建立涵盖了14个工程技术领域的安全人才评价与培养体系。所有安全岗位人员必须持证上岗，安全持证人员以年均150%的速度稳步增长。

　　展望

　　随着信息技术的迭代更新，商业银行面对的安全形势也将愈加复杂，这就意味着安全防护手段不会是单一的模式。金融从业者需要打破各自为战的固有思维，以金融业务场景为核心驱动，推动资源共享、业务跨系统融合，通过覆盖全面的金融业务交易，实现同步监测、同步预警、同步处置，打造企业级安全防御共同体，以纵深防御思想为基础，打破不同系统间的壁垒与隔阂，以金融业务场景为触点，构建商业银行信息安全防御新模式。

　　（栏目编辑：张丽霞）

上一篇：国产手机再度拿下一国！4家中国企业抢占菲律宾市场
下一篇：最后一页