金融网络安全建设更难了?看一线从业者的“实战”经验分享丨2023 INSEC WORLD

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
数据安全中心,免费版
简介: 网络安全实战化趋势下,金融业更“卷”了

科技云报道原创。

随着十四五时代的大幕缓缓拉开,国内金融安全建设之路进入下半场。

一方面,金融科技大量采用新技术实现业务创新的同时,也给网络安全带来了更多隐性风险。

另一方面,金融行业数字化转型的进一步普及,大量个人隐私及资产信息等重要数据呈指数级上升,金融业务的复杂性使得数据安全保护体系的建设难度不断加大。

在国内外网络安全形势不断演变的当下,金融行业作为传统的重监管机构,面临着比以往更艰巨的风险和挑战。

随着“实战化”网络安全建设时代的到来,金融机构应如何持续完善网络安全体系化建设,筑牢金融网络安全屏障?

image.png

3月23日,在2023 INSEC WORLD世界信息安全大会的“金融科技安全”分论坛上,来自浙商银行、东吴证券、民生银行、中银证券、观成科技等多位金融科技一线从业者,从不同角度分享了金融安全建设的实践和经验,上演了一场精彩纷呈的金融安全“华山论剑”。

金融数据安全,构建多跨协同数据安全保障总体体系

如今数据已成为重要的生产要素,发展数字经济已上升到国家战略层面,今年的两会政府工作报告指出,2023年大力发展数字经济。

但数字经济的不断提升,离不开数据安全的保障。近年来,金融业数据安全大事件不断发生,数据安全的违规及事件成本越来越高。

我国进一步加强了对金融业的监管,陆续出台的《金融数据安全 数据安全分级指南》、《金融数据安全 数据生命周期安全规范》、《银行保险机构数据安全办法》等行标行规,及人民银行印发《金融科技发展规划(2022-2025年)》,一次次在行业顶层设计中重申了数据安全的重要性,迅速拉升了整个行业对数据安全的重视程度。

尽管金融数据安全的强监管时代到来,但不可否认的是,金融业数据安全保障体系建设仍存在诸多痛点。

在浙商银行总行信息科技风险检控官骆鉴看来,最大的痛点在于,金融业数据量极其庞大、数据泄露渠道多、内部员工案情多、数据供应链较长、数据资产流动性强。虽然数据作为生产要素有巨大潜能,但同时也难以管理,因此安全保障与数据使用存在天然矛盾。此外,尽管监管制度已出台,但相应的措施和技术手段还未跟上。

image.png

浙商银行总行信息科技风险检控官 骆鉴

对此,骆鉴介绍了浙商银行在数据安全管理方面的建设思路和实践。他表示,核心在于“构建多跨协同数据安全保障总体体系”,包括管理体系、技术体系、风险体系三个部分。

首先,管理体系主要是组织架构、管理规范、流程机制。

数据安全保障管理体系不是另起炉灶,而是对已有的网络安全基础上进行整合,联通业务部门形成多块协同的安全保障体系。

在网络安全责任制的基础上进行分级分层管理,制度规范上形成政策、规定、指南的完整体系,人才梯队方面以数据安全总体目标需求为导向,通过多种手段不断完善人才梯队。

其次,机制体系包括大数据、AI、加密、安全技术和产品。

这个体系也不是另起炉灶,而是在现有的安全产品上进行融合,通过多跨协同、多平台联通,推进五个方面的能力建设如:核心泄密场景全覆盖的防护能力;敏感数据流动的实时监测发现能力;终端、网络等多层级数据采集分析能力;安全风险实时响应能力;安全策略统一落地能力。

最后,运营体系,需确保数据采集、传输、存储、使用、删除、销毁等全过程数据安全。

在管理体系指引、技术体系支撑下,结合应用场景,将数据安全保障与生产业务有机融合,完成跨业务条线的运营协同,降低泄露风险、资金安全风险,保障金融数据安全。

其中,检查评估环节,围绕数据资产、安全漏洞、应急能力等要素,通过评估、演练、对抗等多种运营动作,筑牢数据安全保障的基础;

持续运营环节,从事前风险防范,到事中监测预警,到事后应急处置,构建全流程的数据安全运营体系与防护体系。

除此之外,据骆鉴介绍,目前浙商银行还在探索数据安全共享之路,通过多方安全计算技术,实现应用合作方私有数据的联合计算、建模,让数据聚起来、动起来、用起来、活起来,让数据共享更安全。

金融业务安全源于全流程的安全运营能力

纵观金融业的数字化进程,以银行为例,近年来经历了网点信息化、网上银行、手机银行,再到今天的智能银行,未来还可能向开放银行发展。

目前,绝大多数银行处于智能银行发展阶段,即利用大数据、人工智能等技术向客户提供个性化、差异化的服务。

随之而来,银行业务面临的风险场景也呈现多样性变化,暴露出的被攻击面、被攻击点亦呈爆发式增长。

特别是疫情以来,各类涉赌涉诈欺诈团伙也在加速线上化转移,并利用AI技术等不断升级与银行风控体系的对抗,高科技涉赌涉诈、洗钱案例持续呈现出高发态势。

对于金融机构而言,当前的业务欺诈和数据泄露风险是持续加剧的。

那么,金融机构该如何在保障安全合规的前提下,去提升用户的体验和业务赋能?

对此,中国民生银行安全经理魏巍博士分享了民生银行在数字化转型背景下的业务安全能力建设实践。

image.png

中国民生银行安全经理 魏巍博士

魏巍表示,整体思路是建立全流程的业务安全防御能力,包含事前、事中、事后。

事前要和业务的立项和需求进行同步规划和同步设计,在这个过程中要求评估和一起制定场景化的安全策略,以及整个技术方案的安全评估,保证业务逻辑层上的安全,然后是开发层面的安全。

事中要实现实时检测和快速处置,整个安全认证策略和安全认证工具的应用和落地,其次是风险策略模型的识别及响应。

事后则是基于离线挖掘模型识别黑产团伙,进行提前的防控,其次对于情报进行监测和使用,可以联动到事前形成闭环的运营。

目前,民生银行业务安全建设的成效主要体现在两个方面:

一是交易安全,提升保护客户交易的能力,以及提升客户体验。

基于130个风险防控策略,为手机银行、网上银行、开放银行等等线上线下渠道100个高风险交易场景提供实时防护服务,通过自动拦截,增强认证等进行交互式的保护措施来保护客户的交易安全。

二是对黑产的挖掘及反制。通过建立网络黑灰产业务主动监测机制,同时针对挖掘的黑产团伙采取拦截、管控、反制等手段,提升防范风险的能力。

基于这几年的业务安全防御能力建设实践,魏巍表示有三个观点可以分享:

第一,银行的数字化转型本质是在于平台、数据和业务生态的开放和融合,不断去创新提升金融服务能力。

在这个过程中,银行的业务是持续开放的,数据资产是持续扩张的,攻防对抗不断升级,安全防御需求不断增长。

第二,在这种趋势下,银行业务是银行信息系统建设和数据资产流动的根本需求来源,是网络黑产攻击的主要目标,是银行安全防护及服务的中心对象。

业务安全防御能力须是银行信息安全防御体系中的必备一环。

第三,建立全模式、全流程业务安全解决方案是业务安全防御能力建设的基石,而可持续高效的一体化闭环运营能力是业务安全防御成好坏的关键因素。

攻防视角下金融安全的蓝军建设

网络安全的攻与防,本质是场博弈,俗话说“未知攻,焉知防”。近年来,为了评估企业的安全性,发现组织内部的风险点在信息安全领域,“红蓝对抗”攻防实战演练越来越多。

与传统渗透测试相比,红蓝对抗中的蓝军演练更接近真实的攻击,一般包含在线业务、企业人员、合作方、供应商、办公环境、物理楼宇、数据中心等等多样化的攻击形式。

其中,蓝军旨在实现全场景、多层次的攻击模拟,来衡量企业人员、网络、应用、物理安全控制和防护体系在面对真实攻击时的防御水平,另外一个重要的意义在于拓宽防守方的视野,攻守相长。

对此,中银证券科技风险与安全负责人蒋琼从蓝军视角,分享了证券行业蓝军建设的实践和经验。

image.png

中银证券科技风险与安全负责人 蒋琼

蒋琼表示,即使在安全人员数量有限的情况下,企业也有必要进行内部蓝军建设,主要目标是在轻量化、可持续的过程中去主动发现企业内部的安全风险。

轻量化,指的是整体投入有限,毕竟任何攻击都是有成本的,企业需要在考虑资源禀赋的情况下选择最佳实践。

同时,轻量化也是一种可持续化的保障,随着金融科技的可持续投入,安全运营体系也能够体现出可持续性。

关于如何建设企业蓝军,蒋琼表示有四个原则:

一是操作可审计,数据不泄露。一个好的平台对做好整体安全运营非常有效,包括模拟攻击工具、攻击操作审计、检查回溯等。

二是高度重视蓝军建设。蓝军必须得到企业内部的高度重视,有时甚至授权比安全组还要高。

由于要在整个企业内部不断发现风险,需要具备独立性,因此信任很重要。

三是人才队伍建设。人性是很多地方的突破口,一定要招募在各自领域的精干人才,保证在组织里能够在各个领域进行配合。

四是复盘机制。当安全事件发生时,内部能够有沙盘去做攻防推演,去形成一种惯例,对事件进行复盘和响应,并且能够做到攻防上的灵活切换。

蒋琼认为,安全工作的目标是“润物细无声”,无论企业安全建设是大SOC还是小SOC,一定要像军队一样有分工、有协同,并且不断通过外化的吸收,去沉淀自身的战斗力。

实战化、可信化趋势下,金融安全建设需多维度发展

在当天的“金融科技安全”分论坛上,还有其他演讲嘉宾分别从安全检测、可信安全等视角,分享了对金融安全建设的经验。

北京观成科技有限公司副总经理刘晨曦表示,如今网络威胁已全面转向加密化,金融作为拥抱新技术比较靠前的行业,面临更多网络层面的攻击。

image.png

北京观成科技有限公司副总经理 刘晨曦

攻击者一般会经历初始信息收集、初始打点、横向移动、命中目标等几个阶段,在这些阶段中都会产生不同的加密流量。

针对加密流量带来的挑战和威胁,刘晨曦认为应采用包含AI在内的综合决策体系去做检测。

首先,通过收集恶意软件使用的加密流量数据,从其中的协议、证书等内容出发,拆解出多维度的相关异常特征。

其次,训练机器学习模型,用多个模型组合来进行相关威胁判断。

第三,由于安全威胁的特殊性,机器学习往往也存在一定局限,所以需综合观测其行为、指纹、特征等要素,进行综合决策。

东吴证券信息安全管理团队负责人徐俊超表示,网络安全技术只有自主可控才能安全可信,自主可控不仅是国家的战略,同时也是当今形势下推动国家经济发展的一个新动能。

image.png

东吴证券信息安全管理团队负责人 徐俊超

为了保障网络安全技术本身的安全可信,建设可信防护体系核心能力至关重要。

对此,东吴证券在可信防护领域全面进行了安全创新体系建设,实现基于主机的可信防护,面对未知威胁的有效抵御,如同人体自身免疫系统一般实现攻击、入侵行为的自主对抗。

首先是安全体系架构创新,构建了多免疫可信计算环境,对应用程序提供主动免疫、安全可信的保障,主动拦截系统操作运行要素,根据预定的策略规则进行可信判定,及时发现并且禁止不符合预期的行为,保证全程安全稳定运行。

第二是可信计算密码技术创新,采用算法全面替代当前持续免疫系统使用的加密算法,保证了安全可信和自主可控。

第三是可信网络连接创新。在集中管理的网络安全环境中,采用三圆三层可信连接架构,有效防范内外合谋攻击。

结语

数字经济为金融业带来发展机遇的同时,也对金融安全带来了巨大挑战。

在国家加强金融安全建设的趋势下,金融机构的网络安全建设正一步步向着“重实战”的方向走去。

在2023 INSEC WORLD“金融科技安全”论坛的这场观点碰撞和交锋中,相信能给金融科技从业者们带去一份思考和感悟。

【关于科技云报道】

专注于原创的企业级内容行家——科技云报道。成立于2015年,是前沿企业级IT领域Top10媒体。获工信部权威认可,可信云、全球云计算大会官方指定传播媒体之一。深入原创报道云计算、大数据、人工智能、区块链等领域。

相关文章
|
2月前
|
机器学习/深度学习 PyTorch 算法框架/工具
目标检测实战(一):CIFAR10结合神经网络加载、训练、测试完整步骤
这篇文章介绍了如何使用PyTorch框架,结合CIFAR-10数据集,通过定义神经网络、损失函数和优化器,进行模型的训练和测试。
114 2
目标检测实战(一):CIFAR10结合神经网络加载、训练、测试完整步骤
|
27天前
|
数据采集 存储 JSON
Python网络爬虫:Scrapy框架的实战应用与技巧分享
【10月更文挑战第27天】本文介绍了Python网络爬虫Scrapy框架的实战应用与技巧。首先讲解了如何创建Scrapy项目、定义爬虫、处理JSON响应、设置User-Agent和代理,以及存储爬取的数据。通过具体示例,帮助读者掌握Scrapy的核心功能和使用方法,提升数据采集效率。
77 6
|
2月前
|
机器学习/深度学习 数据可视化 测试技术
YOLO11实战:新颖的多尺度卷积注意力(MSCA)加在网络不同位置的涨点情况 | 创新点如何在自己数据集上高效涨点,解决不涨点掉点等问题
本文探讨了创新点在自定义数据集上表现不稳定的问题,分析了不同数据集和网络位置对创新效果的影响。通过在YOLO11的不同位置引入MSCAAttention模块,展示了三种不同的改进方案及其效果。实验结果显示,改进方案在mAP50指标上分别提升了至0.788、0.792和0.775。建议多尝试不同配置,找到最适合特定数据集的解决方案。
424 0
|
18天前
|
网络协议 数据挖掘 5G
适用于金融和交易应用的低延迟网络:技术、架构与应用
适用于金融和交易应用的低延迟网络:技术、架构与应用
44 5
|
28天前
|
数据采集 前端开发 中间件
Python网络爬虫:Scrapy框架的实战应用与技巧分享
【10月更文挑战第26天】Python是一种强大的编程语言,在数据抓取和网络爬虫领域应用广泛。Scrapy作为高效灵活的爬虫框架,为开发者提供了强大的工具集。本文通过实战案例,详细解析Scrapy框架的应用与技巧,并附上示例代码。文章介绍了Scrapy的基本概念、创建项目、编写简单爬虫、高级特性和技巧等内容。
57 4
|
28天前
|
网络协议 物联网 API
Python网络编程:Twisted框架的异步IO处理与实战
【10月更文挑战第26天】Python 是一门功能强大且易于学习的编程语言,Twisted 框架以其事件驱动和异步IO处理能力,在网络编程领域独树一帜。本文深入探讨 Twisted 的异步IO机制,并通过实战示例展示其强大功能。示例包括创建简单HTTP服务器,展示如何高效处理大量并发连接。
44 1
|
29天前
|
网络协议 安全 NoSQL
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-2):scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练、就怕你学成黑客啦!
scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-2):scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练、就怕你学成黑客啦!
|
29天前
|
网络协议 安全 算法
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
实战:WireShark 抓包及快速定位数据包技巧、使用 WireShark 对常用协议抓包并分析原理 、WireShark 抓包解决服务器被黑上不了网等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
|
27天前
|
网络协议 调度 开发者
Python网络编程:Twisted框架的异步IO处理与实战
【10月更文挑战第27天】本文介绍了Python网络编程中的Twisted框架,重点讲解了其异步IO处理机制。通过反应器模式,Twisted能够在单线程中高效处理多个网络连接。文章提供了两个实战示例:一个简单的Echo服务器和一个HTTP服务器,展示了Twisted的强大功能和灵活性。
36 0
|
29天前
|
网络协议 安全 算法
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9-2):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
实战:WireShark 抓包及快速定位数据包技巧、使用 WireShark 对常用协议抓包并分析原理 、WireShark 抓包解决服务器被黑上不了网等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!