银行信息安全技术发展调研
银行信息安全技术发展调研
1.银行业信息安全技术现状
近年来银行业信息化建设发展势头极其迅猛,信息技术已经渗透到银行业务以及管理的全过程,成为了银行赖以生存和发展的核心因素。但是,与信息化建设相伴而生的信息安全问题也变得越来越突出,银行业的信息安全正日益受到社会的关注。
目前,银行业使用的信息安全技术主要包括:物理安全、网络安全、主机安全、应用安全、密码和身份鉴别、数据安全、安全评测、安全运营、灾难备份与恢复等方面。
物理安全
物理安全技术主要包括:物理位置的选择、物理访问的控制、防盗窃和防破坏、防雷击、防火、防水和防潮、电力供应、电磁防护等。
网络安全
网络安全技术主要包括:DMZ区、防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)、虚拟专用网络技术(VPN)、DDOS防御技术。
主机安全
主机安全技术主要包括:系统访问控制、操作系统安全加固、数据库安全配置、防病毒技术、PC终端安全、智能终端安全等。
应用安全
应用安全技术主要包括:HTTPS协议、WEB应用安全加固、移动应用(APP)安全加固、应用架构安全、应用软件安全开发、WEB应用防火墙(WAF)等。
密码和身份鉴别
密码和身份鉴别技术主要包括:密码技术、公钥基础设施(PKI)、国密算法、数字签名、生物鉴别技术、动态口令、多因素认证等。
数据安全
数据安全技术主要包括:数据加密技术、数据存储安全技术、数据防泄密技术(DLP)等。
安全评测
安全评测技术主要包括:漏洞扫描、配置核查、渗透测试等。
安全运营
安全运营技术主要包括:攻击检测、应急响应、攻击溯源、态势感知、安管平台SIEM/SOC、主动防御、威胁情报等。
灾难备份与恢复
灾难备份与恢复技术主要包括:数据存储技术、数据备份技术、同城双活、异地双活等。
2.银行业信息安全技术未来发展方向
随着攻击手法的不断升级,国家自主可控的战略要求以及网络安全法的颁布,传统的防护手段无法有效应对新的安全形势,未来银行业信息安全技术应从以下几个方面入手:
大数据安全分析
传统的安全分析方法大都采用基于规则和特征的分析引擎,必须要有规则库和特征库才能工作,而规则和特征只能对已知的攻击和威胁进行描述,无法识别未知的攻击,或者是尚未被描述成规则的攻击和威胁。面对未知攻击和复杂攻击如APT等,需要更有效的分析方法和技术。
借助大数据安全分析技术,能够更好地解决海量安全要素信息的采集、存储的问题,借助基于大数据分析技术的机器学习和数据挖据算法,能够更加智能地洞悉信息与网络安全的态势,更加主动、弹性地去应对新型复杂的威胁和未知多变的风险。
不仅如此,大数据安全分析的发展还将改变传统的网络安全防护架构、安全分析体系,并深刻变革现有的网络安全业务模式。包括SIEM、日志分析、欺诈检测、威胁情报在内的多种服务都在积极拥抱大数据安全分析技术。大数据安全分析已成为安全业务模式变革的催化剂。
云安全
云安全(Cloud Security)是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全。
银行可以充分利用该技术及时获取互联网中木马、恶意程序的最新信息,并向用户分发解决方案。
无线安全
近年来,随着无线网络技术的成熟,越来越多的人们通过无线设备连接到互联网。最早Wi-Fi只用于对IEEE802.11b系列的产品进行认证的描述,全称为Wireless-Fidelity,但现在正在逐步扩展到802.11系列的各类标准,用户也开始使用Wi-Fi或者WIFI指代所有的无线网产品标准, 当前无线网的用户对于随时随地访问自己关心的网络数据要求越来越高,为此,各类场所对无线网的部署也日益流行。布置方有家庭、企业还有运营商,但是无论何种规模的无线网络,都面临着各种各样的安全隐患和威胁。
由于无线网一般是有线网的延伸部分,一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。而多数部署的无线网都在防火墙之后,这样无线网的安全隐患就会成为整个安全系统的漏洞,只要攻破无线网络,就会使整个网络暴露在非法用户面前。
随着移动办公的推进,无线安全的研究落实工作已刻不容缓。
物联网安全
物联网时代,黑客的可攻击面愈加广泛,安全问题愈发凸显,传统安全解决方案已经无法进行有效覆盖解决物联网的安全需要。
银行业在物联网防护上需要考虑以“端-管-云”为主的防御思路,物联网终端安全要化境入微,物联网通讯安全需多重隔离,物联网云平台安全在传统云平台安全方案基础上还需加入移动安全维度,实现物联融合的未来安全云平台。全方位、多角度的防御策略,才能将整体力量最大化,从而形成对恶意攻击的有效防护。
人工智能
人工智能在网络安全和防御中的重要性已经被各国政府高度重视,奥巴马政府在2016年10月11日发布了一份题为《人工智能未来》的新闻稿,随附一份《国家人工智能(A.I)研究与开发战略计划》长篇报告。同一天,第三份报告,《为人工智能的未来做好准备》被白宫放出。
在不久的未来,黑客将使用开源的AI和机器学习工具来找寻零日漏洞攻击公司企业,而银行业也同样需要借助人工智能技术的力量来打击网络犯罪,人工智能将成为网络空间安全的全新战场。为了应对挑战,网络安全公司逐渐开始使用人工智能等新技术,优化安全防护体系,开创全新的防护时代。
数据保护
黑客攻击、网络病毒与木马入侵等,很容易造成银行业敏感数据的泄露。同时来自内部的计算机客户端未授权访问、破坏数据完整性、缺乏完整的安全策略、缺乏监控和防范技术手段等,也可能造成关键数据泄密等严重的后果。
如果对整个银行内部员工缺乏集中有效的管理手段,就无法对其进行有效的统计和在线监控,无法有效地防止内部信息的泄露问题,可能通过非法网络访问、非法拷贝等方式窃取机密资料而造成重大损失。银行需要建立全IT架构数据安全统一平台,实现敏感数据从产生、存储、使用、流转、追踪到销毁的整个生命周期安全,保障互联网+银行的流转数据风险管控。
移动应用安全
随着移动通讯网络环境的不断完善以及智能手机的进一步普及,移动互联网应用向用户各类生活需求深入渗透,促进手机上网使用率增长。与此同时,少数 APP 也被不法分子利用,传播暴力恐怖、淫秽色情及谣言等违法违规信息,有的还存在窃取隐私、恶意扣费、诱骗欺诈等损害用户合法权益的行为。安全问题突出的 APP 会窃取用户信息、破坏用户数据、擅自使用付费业务、影响移动终端运行、恶意推送广告等突出安全问题,直接关系着我们的切身利益,甚至会威胁到个人的隐私信息安全。移动应用的“脆弱性”日益彰显,资费消耗、恶意扣费、个人隐私泄露等安全问题频繁发生。
对银行业来说,为强化移动银行的安全环境,可以通过开展多样化的安全检测来实现风险防控,保障客户利益。例如,可以对移动银行应用进行安全评估,发现其安全隐 患,通过升级来弥补漏洞;对移动银行应用进行安全加固,防止二次打包、在应用中植入 恶意代码等恶意行为;开展对移动银行应用的 24 小时监控,一旦发现漏洞攻击或二次打 包等情况,及时进行上报;建设风控体系,及时发现异常支付,并采取应对策略等。
威胁情报
威胁情报就是能帮助企业识别安全威胁并做出明智决定的知识。我们从安全服务厂商、防病毒厂商和安全组织等那里得到的安全预警通告、漏洞通告、威胁通告等等都属于典型的安全威胁情报。
如今已经是动态安全时代,传统设备和方案都是静态的,很难对抗持续变化和升级的攻击手段。威胁情报正好是以动态的手段来对抗攻击者。在整个防御过程中,威胁情报会不断地被收集、丰富、分析、再收集形成一个闭环。所以随着新型威胁的不断增长,网络安全的防御技术也不断进步,也出现了新的安全威胁情报,例如僵尸网络地址情报(Zeus/SpyEye Tracker)、0day漏洞信息、恶意URL地址情报,等等,这些情报对于防守方进行防御十分有帮助。
全加密网络环境下的身份认证
随着技术的发展,内部网络实际上跟互联网一样危险,原因有两点:
1)一旦内网边界被突破,攻击者就很容易访问到企业内部应用。
2)现在的企业越来越多采用移动和云技术,边界保护变得越来越难。
今后的企业安全趋势将不外区分内外网,而是用一致的手段去对待。这种访问模式要求客户端是受控的设备,并且需要用户证书来访问。访问有通过认证服务器、访问代理以及单点登录等手段,由访问控制引擎统一管理,不同用户、不同资源有不同的访问权限控制,对于用户所处位置则没有要求。在这种模式下,信任关系从网络层面迁移到了设备层面。员工只能通过公司提供和管理的设备访问企业应用。对用户或设备的访问级别也可以随时改变。比方说,如果某用户的操作系统未更新的话信任级别可能就会下降。同样的,不同型号的手机的受信任级别也会不一样。而如果员工突然在此前没见过的位置访问企业应用的,可能会拒绝他访问某些资源。