中國銀聯助理總裁 戚躍民
銀聯學習國內外先進技術及管理手段,參考業內最佳實踐,結合自主研發的多項創新成果,目前已形成了一個以“三化、六防”為核心的、多維度的縱深防禦技術體系,覆蓋系統安全、網絡安全、應用安全、數據安全、輿情與漏洞管理、日誌分析、賬號管理、安全合規審計等多方面。
網絡安全形勢提出的新要求
隨著互聯網加快深入到經濟社會的各個領域,網絡安全形勢日益嚴峻。根據CNCERT統計的數據,目前公佈的信息系統相關漏洞數量已經超過萬級。而根據對這些漏洞影響對象的統計,應用程序的漏洞佔到了60%。這些風險主要發生在我們系統的應用層面,因此,代碼安全、組件安全是現在安全保障工作的核心。
習總書記419講話、217講話中都要求我們全天候全方位感知網絡安全態勢,《網絡安全法》和《關鍵信息基礎設施保護條例》也要求進行“監測預警”。目前業務信息系統愈發複雜化,安全防護手段趨於碎片化,安全對抗形式日益組織化;而老的問題沒有解決,新的問題層出不窮。那麼如何構建自適應的、彈性的新型安全防護體系;如何將分散的、多樣化的安全機制整合起來,形成協同安全;如何針對安全風險進行持續不間斷的監測、預警、響應和處置;如何有效的利用安全智能和安全情報;如何將技術與管理有機結合,實現持續改善的安全管理體系,這些都是我們正在面對的問題。
銀聯“三化、六防”的工作實踐
當今互聯網與整個社會融為一體,任何形式的網絡攻擊都有可能直接影響到現實生活,而網絡攻擊數量也持續攀升:木馬殭屍網絡、釣魚網站等傳統網絡安全威脅有增無減,DDOS攻擊、APT攻擊等新型網絡攻擊愈演愈烈,特別是模擬正常業務訪問的CC攻擊讓業務開展與攻擊防禦難於平衡。
中國銀聯一直以來都高度重視信息安全工作,從產品設計、研發和運維各個生命週期都針對性的建立了相應的安全機制,並自主開發了安全可控的技術產品,目前已形成了一個以“三化、六防”為核心的、多維度的縱深防禦技術體系,覆蓋系統安全、網絡安全、應用安全、數據安全、輿情與漏洞管理、日誌分析、賬號管理、安全合規審計等多方面。
銀聯的“三化、六防”實踐以習總書記的“四個堅持”為理論指導,“三化”指實戰化——通過紅藍對抗演練,提升實戰化安全運營能力;常態化——攻擊常態化,防守常態化,攻防演練常態化;體系化——包括多維度的安全運維體系和多維度的應用安全管理體系。“六防”指縱深防禦——基於“縱深防禦”的安全防護;動態防禦——動態的漏洞輿情跟蹤機制與動態的安全漏洞的快速應對機制;主動防禦——主動的後門攻擊的場景發現平臺和主動的內網全流量安全監控平臺;整體防控——各部門整體防控,補齊短板;精準防禦——安全大數據的分析與挖掘;聯防聯控——建立銀行卡產業信息安全生態圈。
持續完善的信息安全管理體系
銀聯於2012年以ISO27001國際信息安全標準體系為基礎框架,融合國家安全法律法規、央行安全監管要求、公安部等級保護要求等多標準,建立了信息安全管理體系,按照PDCA閉環管控機制,循環改進、持續完善,連續7年以0不符合項通過中國信息安全認證中心的體系審核認證。
近年來銀聯互聯網業務迅速發展,互聯網系統建設也進入了新的階段。面向持卡人、商戶、機構提供服務並開放在互聯網的網站數量越來越多、訪問量越來越大,來自互聯網渠道的交易也在屢創新高。互聯網的開放性、交互性和分散性特徵滿足了持卡人、商戶、機構在靈活、便利和快速等方面的需求,但是正是由於互聯網的這些特徵,其所面臨的網絡安全問題也更加突出。銀聯內部也投入大量技術力量和人力從研發、測試、運營過程中確保安全工作落實到位,做好應用安全的閉環處置。
多維度運維安全與縱深防禦
隨著銀聯私有云的全面建設,原有的可信邊界日益削弱、被攻擊面也在增多,過去的單層防禦已經難以維繼,而多維度縱深防禦體系能大大增強信息安全的防護能力。所以,銀聯採用國內外先進技術手段,結合自主研發的多項創新成果,聯合上游運營商、CDN服務商,打造了基於“縱深防禦”理念的邊界及服務器端防護,覆蓋系統安全、網絡安全、應用安全、數據安全、輿情與漏洞管理、日誌分析、賬號管理、安全合規審計等多方面,能夠做到多點聯動防禦,協同作戰,互補不足,帶來更好的安全防禦效果。
1.根據攻擊場景的不同實施防禦的UPDefense
在做好傳統網絡威脅防禦的基礎上,針對應用層DDOS攻擊場景(通常稱為CC攻擊),銀聯通過自研發應用層DDOS攻擊防禦系統UPDefense。該防禦系統可以根據攻擊場景的不同實施防禦:一是通過人機識別、代理服務器、網絡安全系統、CDN開放接口等進行探測、防禦、壓制,並將相關信息發送至態勢感知平臺,通知安全人員介入事件處理流程。二是檢測系統通過動態學習確定閾值,實時計算當前訪問請求實際值是否超過動態閾值,根據結果判定是否發生CC攻擊。三是人機識別通過驗證機制或其他不斷演進的干擾因素探測,判斷CC攻擊來源。
2.服務器端點安全防護系統UPShield
為解決服務器安全管理集中化及自動化的需求痛點,銀聯自主研發了服務器端點安全防護系統UPShield。充分適應信息系統自身環境的特點和安全防護需求,實現了以服務器為顆粒度的安全監控和防護手段,涵蓋審計合規、異常檢測、事件響應等功能點。多角度提高了銀聯服務器端的安全防護水平及服務器安全管理成熟度。
主動的內網全流量安全監控平臺
在網絡流量層面,銀聯開發出一套NSM系統,使用開源底層框架和組件,建設了一套全流量分析的安全平臺,通過匯聚分析內網、DMZ的網絡流量,使用機器學習、攻擊場景分析、威脅狩獵、資產測繪等多種方法和思路實現正在實施的攻擊成功的安全事件。
制定動態的漏洞輿情跟蹤與快速應對機制
由於互聯網突發安全漏洞披露日趨頻繁,依靠安全防禦系統廠商的響應速度已顯得力不從心。為此,銀聯基於威脅情報自研發輿情漏洞跟蹤系統,第一時間獲得漏洞情報,並通過自研“虛擬補丁”,使得安全防禦設備具備防禦突發高危漏洞攻擊行為的能力,為開發環節的版本升級贏得時間。例如在應對今年Struts2報出的4個高危漏洞時,均在漏洞利用程序公佈前及時完成虛擬補丁的自研和推送,相比原廠商官方發佈大大降低了銀聯生產系統受到影響的可能性。
總結
目前銀聯構建的安全管理體系已經持續運行多年,在安全制度建設、安全開發、安全測試、安全運營等方面都開展了具體工作,但是仍然有多方面客觀因素導致無法避免安全風險的產生。因此,銀聯也在不斷學習探索新信息安全領域的工作模式。
一是為儘可能及時地應對安全風險,銀聯正在著手建立安全應急響應中心,用於直接接收來自外部的安全漏洞信息並進行分析、評估,隨後進行快速響應和處置。目前安全應急響應中心正在建設中,也歡迎業界同仁溝通指導。
二是通過對安全大數據的分析和挖掘,能夠發現隱蔽的安全威脅,目前中國銀聯正開展安全大數據和人工智能在信息安全領域的應用,希望新技術能提升銀聯安全防護能力。
三是面對嚴峻的信息安全威脅形勢,建立信息安全生態圈對於安全產業鏈的各方都具有積極意義。銀聯目前也在積極嘗試建立銀行卡產業信息安全生態圈,與產業各方聯動,實現良性互動、資源互補。
閱讀更多 金融電子化 的文章
