銀行在數字化轉型的過程中面臨哪些新的安全挑戰�?近年來����,隨著數字化不斷深入,各大銀行都在加速升級核心系統,以實現服務線上化���,提升作業效率和用戶體驗。然而不可忽視的是,數字化也進一步加大了數據和資金等關鍵要素的風險敞口�����,使得網絡邊界更加模糊��,傳統安全體系捉襟見肘���。如何在復雜的安全環境下守住數字銀行安全底線����,確保信息安全系統“防得住��,防得全”�,正在成為每一家銀行在數字化轉型過程中的重要課題���。
“數字銀行信息系統主要面臨三方面的威脅�����,需要更強大的免疫系統��������!痹11月22日的金融街論壇上��,網商銀行首席信息官高嵩分享了該行在安全領域的觀察����,“一是服務線上化�����、場景化導致銀行信息系統對外暴露的攻擊面大幅增加�����;二是安全威脅等級提升���,金融業務數字化后的攻擊潛在收益增加����,因此攻擊者愿意投入的成本也越大��;三是安全與效率的矛盾更加突出�����,原本的網絡隔離技術和管理制度約束跟不上業務發展速度,使得安全無法落到實處��!
圖說1:網商銀行CIO高嵩
為應對上述安全挑戰�,在本屆金融街論壇上,北京前沿金融監管科技研究院與網商銀行共同牽頭的《數字銀行可信縱深防御白皮書》首次提出了“可信縱深防御”的數字安全理念,并提供了詳細實施路徑。
可信縱深防御體系是一種新的安全防御體系架構�����,以密碼學為基礎�、可信芯片為信任根���、可信軟件基為核心�����,對面向互聯網開放的應用服務�����,確保應用運行所依賴的資源、行為在啟動時和運行中均是可預期且可信的�。其中��,可信計算是一種新計算模式,能夠在實施業務計算的同時進行主動免疫防護�����,使攻擊者無法利用存在的缺陷和漏洞對系統進行非法操作�����;而縱深防御的理念來自于戰爭學���,建立計算部件+防護部件的多重安全體系結構����,并通過可信安全管理中心和多層級安全觸點實現全程管控�,避免單點防御措施失效導致風險事件的發生��,最終達到讓攻擊者“進不去��、拿不到、看不懂、改不了�、癱不成���、賴不掉”的防護效果�����。
白皮書顯示,有別于傳統基于攻擊方法被動優化攔截和阻斷策略的思路����,可信縱深防御系統在面對0Day�����、社會工程學�、軟硬件供應鏈等難以預測的高等級未知威脅時具有顯著優勢�。一方面,其通過白名單化的管控策略���,根據業務的代碼、流量數據���,清晰定義系統運行所依賴的預期內的可信行為,使得意外行為無法發生�;另一方面�����,其可以針對硬件、固件����、系統和應用等不同的防御平面部署多層次的防御體系,加大防御縱深,使攻擊者無法達成攻擊目的或在達成攻擊目的之前就被發現和制止���。
圖說2:數字銀行可信縱深防御體系框架
“以業界難題0Day漏洞防御為例,在線系統中使用的硬件����、操作系統�、軟件��、服務中都潛藏著很多尚未被發現的漏洞���,而在被正式上報前�����,基于這些漏洞的攻擊方法和特征都是不可預測的。但在可信縱深防御體系里,僅允許業務依賴且通過安全評估的行為訪問與執行,對攻擊導致的異常行為就能‘免疫’�����!备哚员硎��,“可信縱深防御能有效識別‘自己’和‘非己‘成分�,破壞與排斥進入信息系統機體的有害行為����,并且不需要通過物理隔離等手段實現,兼顧了效率與安全。”
中國工程院院士沈昌祥認為����,主動免疫可信計算的保障體系是合法合規應對數字銀行面臨的高級和未知威脅的最有效解決方案����。網商銀行可信縱深防御體系是數字銀行場景下對主動免疫可信計算體系很好的落地實踐�����,能夠為金融業及其它行業主動免疫可信計算防御的有效應用帶來借鑒及示范。
隨著數字經濟的不斷發展����,數字銀行的信息安全防護體系的價值愈加重要����,而基礎安全防御體系是保障銀行業客戶信息和資金安全的基礎底座�,也是保證銀行持續穩健經營的安全基石。作為一家完全線上化運營的原生數字銀行��,網商銀行對于可信縱深防御體系的探索�����,可以解決銀行業數字化轉型過程中��,企業級架構復雜度呈爆炸態增長的當下安全團隊與業務團隊強耦合、安全應急響應速度慢�、協調難度大等困難問題��,為未來信息安全防護體系的演進方向提供了一個范例。
(責任編輯:喻容容 )
【免責聲明】本文僅代表第三方觀點�����,不代表和訊網立場。投資者據此操作��,風險請自擔��。
最新評論