银行网络安全实战对抗体系建设实践

文章目录

  • 前言
  • 一、传统攻防演练面临的瓶颈与挑战
    • (一)银行成熟的网络安全防护体系
      • 1、缺少金融特色的演练场景设计
      • 2、资产测绘手段与防护体系不适配
      • 3、效果评价体系缺少演练过程维度相关指标
  • 二、实战对抗体系建设的创新实践
    • (一)建立启发式资产测绘平台,实现全途径全资产测绘
    • (二)设计立体化全覆盖场景,为同业在金融特色业务网络安全方面提供范例
    • (三)攻击一体化和整体布防,在攻防两端分别实现攻击武器统一管控和全集团的联防联控
    • (四)建立集团“安全大脑”,统一指挥调度
    • (五)全流程监控审计,保障攻击全程可知可控
    • (六)结构化指标体系,精准评价攻防演练过程效果
  • 三、实战对抗体系的成果与价值
  • 四、发展与展望


前言

党的十八大以来,将网络安全提升到前所未有的新高度,银行牢牢把握国家网络安全战略目标,已加强自身建设,建立了较为完善的安全防护体系。同时随着国际网络安全攻防对抗升级,银行转变思路、主动作为,从被动防守向主动防御、动态防御转型,聚焦传统攻防演练的不足,结合金融行业特点,迭代优化沉淀经验,自主形成了网络安全实战对抗体系。
在这里插入图片描述


一、传统攻防演练面临的瓶颈与挑战

近年来,网络安全攻防演练已经成为发现安全短板、提升网络安全整体防护能力的通用方法和有效手段。业界成熟的攻防演练模式,攻防双方多采用“背靠背”自由攻防的模式,适用于多机构横向比拼竞技的场景。但对于单一机构以发现自身防御短板为目的的演练效果欠佳,在覆盖面、精准度、有效性方面存在一定的不足。

(一)银行成熟的网络安全防护体系

银行经过多年信息化建设,信息资产规模庞大,线上渠道用户数量众多,信息系统承载大量业务流量,核心系统交易峰值超十亿笔。为了实现对信息资产的有效安全保障,已经建立了较为成熟的网络安全防护体系,从主动防御向以“对抗能力建设”为特点的动态防御提升转变这一关键阶段。

银行在治理思路上遇到了与同业类似的瓶颈与挑战,即传统攻防演练方式难以满足对自身深层次问题发现的诉求。主要表现在以下几个方面。

1、缺少金融特色的演练场景设计

从演练攻击方设计的技术方案来看,由于投入成本、信息缺失、思维惯性等因素影响,国内外攻防演练通常以攻击视角,基于通用攻击场景开展,往往缺少针对金融行业架构特点和业务特色的场景,演练结果与预期效果往往存在一定差距。

2、资产测绘手段与防护体系不适配

国内外主要采用主动探测与被动探测相结合、分布式多点探测的方式,对于已建立健全防护体系的大型企业来说,当存在反爬虫限制、路径复杂的信息资产时,现有技术手段仍然存在资产发现不全面的问题。

3、效果评价体系缺少演练过程维度相关指标

通用模式中对演练发现的风险能够完成修复,并实现从发现到处置的闭环管理,但仍属于单点的、离散的事件驱动方式,基于过程驱动、数据驱动的模式仍未形成,难以实现过程化、数据化的精准评价。

为此,银行迫切需要更为先进的治理思路和检验模式,通过采用有针对性的攻防演练设计,更加全面、深层次地发现潜在风险,推动网络安全防护体系更为精准有效提升。

二、实战对抗体系建设的创新实践

银行围绕上述目标,设计了一套覆盖攻防对抗全生命周期的立体化全场景网络安全实战对抗体系,采用“战前划定战场范围,选择对抗关键要点,统一武器和整体布防,战时指挥调度,全程审计监控,战后精准评价”的总体设计思路,从资产测绘、场景设计、武器库与布防、指挥调度、审计监控、评价指标等六个方面设计构建了网络安全实战对抗体系的整体架构。

(一)建立启发式资产测绘平台,实现全途径全资产测绘

引入基于无头浏览器的动态爬虫技术、启发式路径发现引擎、智能表单填充引擎和图形验证码自动识别引擎,解决了网站登录访问、反爬虫等保护限制。从网页、APP、微信全访问途径开展了主动资产测绘,并结合代理网关和生产流量开展被动测绘,最后以多维立体可视化的形式,为攻防对抗提供全场景数据支撑。

(二)设计立体化全覆盖场景,为同业在金融特色业务网络安全方面提供范例

银行在演练场景的体系完备性、覆盖范围、攻击深度、趋势响应等方面进行深入探索,总结了7个大类39个通用攻击场景,并在此基础上拓宽思路,设计了包括业务合作供应链、线上业务风险、金融云平台及云上资产、办公类社工钓鱼、零日漏洞和银行网点近源等六个金融业务特色攻击场景,覆盖更全、手段更多、强度更高。

(三)攻击一体化和整体布防,在攻防两端分别实现攻击武器统一管控和全集团的联防联控

在攻击一体化方面,以战法研究为驱动,基于搜集平台、攻击平台、控制平台和保障平台,构建了集“侦、打、控、保、指”一体的支撑保障平台。标准化建设覆盖信息搜集、攻击打点、持续化控制和后渗透阶段的14类222项攻击武器,并统一入库管理。在整体布防方面,通过部署旁路阻断设备,基于十万余条策略规则,实现会话级精准阻断,将阻断效率控制在0.1秒级别,告警自动化处置率达到99.9%;在全域部署服务器安全防护工具,监测和阻断服务器的可疑风险行为;开展常态化网络攻击溯源反制,向20余家金融机构共享威胁信息和风险提示。

(四)建立集团“安全大脑”,统一指挥调度

银行在企业架构层面成立独立的“网络安全运营中心”,作为全集团安全的指挥调度中枢,是网络安全一体化运营和网络安全攻防能力建设的“安全大脑”,肩负“集团指挥、应急处置、监控分析、资产管理、漏洞治理、信息交互”六方面职能。

1、承担集团指挥中枢,建立7×24小时集团安全监控机制、高效信息交互流程和全集团事件联动机制。
2、承担监控分析中心职能。自研告警策略集、分支机构特色业务告警规则集。
3、作为安全资产中心,将安全资产与CMDB关联,与外部三大漏洞库关联。
4、作为脆弱性管理中心,实现外部漏洞预警与内部安全资产中心的自动化关联匹配通报预警。
5、作为信息交互中心,建立集团级联络机制,从交互平台、工单流转、值班处置三个层面确保告警信息传达及时和准确。
6、作为应急处置中心,定义场景化预案,实现安全事件的自动化编排响应,缩短响应和处置时间,节省人力投入,减少人为操作风险。

(五)全流程监控审计,保障攻击全程可知可控

搭建攻防演练监控审计平台,实现对攻防演练攻击人员的认证、授权、审计的有效管理。

1、基于攻击目标、访问时间、平台用户等多维度配置策略,实现细粒度强管控访问控制。
2、全流程监控记录,利用流量解析、流量记录等技术方式,对攻击行为数据进行“集中存储、精准区分”,支持攻击人员和行为的准确定位。
3、攻击行为审计分析,对记录的全过程流量数据统计分析、Web数据包分析,实现对常见应用攻击的有效检测与识别。

(六)结构化指标体系,精准评价攻防演练过程效果

通过可量化的指标体系,对多次实战演练效果进行对比,在安全运营和安全管理能力方面,对企业级安全运营中心(SOC平台)发现能力、应急响应与处置能力、人员安全意识等方面进行分析,对全集团各单位提出针对性指导建议及排查整改方向。

目前银行攻防体系已经在安全运营和安全管理能力方面设置36个指标,能力提升幅度约36%,在SDL安全开发能力方面设置7个评价指标,能力提升幅度约24%,在对抗场景覆盖能力方面设置22个评价指标,能力提升幅度约31.5%。

三、实战对抗体系的成果与价值

网络安全实战对抗体系实现了在银行全集团范围的应用与推广,通过多次迭代优化,日臻完备,有效推动了银行网络安全防护能力精准提升。基于对抗体系构建了实战化治理模式,自主挖掘高威胁、高价值信息安全风险,及时补全系统短板,防止了因网络攻击可能造成的业务中断、客户信息泄露、资金损失等安全事件发生,避免了潜在的经济和法律风险,有效保护客户的金融资产安全,提升了客户的信任与认可,助力打造银行有责任、有担当的品牌形象。

在树立良好口碑的同时,本体系的建设也起到了先进的行业示范作用。一方面攻防体系中包含的指挥调度机制、攻击演练场景、标准评价体系,为行业内安全防护体系建设和安全治理提供了参考借鉴。另一方面,攻防体系实践为金融行业新技术、新领域的新问题探索出了治理思路与方法。例如基于演练发现的多起业务合作供应链安全风险,验证了数字化转型以来互联网线上业务发展可能带来的安全隐患,及时发现并弥补管理盲区,为同业提供了供应链安全治理的示范性经验。

四、发展与展望

维护国家金融网络安全稳定任重道远,作为系统重要性银行,银行始终服务国家网络安全战略,持续检验和提升网络安全防护能力。在当前已建立的攻防体系的基础上,未来,将持续推动攻防体系的价值提升与转化。

1、平战结合强化安全运营,将攻防演练构建的全集团协同防御能力,逐步转化为常态化网络安全运营能力。
2、探索建设自动化的安全检查工具。基于启发式资产发现技术、全流程攻击数据等进行能力整合集成,自主打造平台级的自动化安全检查工具。
3、深化数据价值为安全治理赋能。将演练孵化出的量化指标体系、沉淀的资产数据,与科技治理进行有机结合,支撑银行信息科技高质量精细化发展。


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/323571.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【RTOS】快速体验FreeRTOS所有常用API(4)队列

目录 四、队列2.1 概念2.2 创建队列2.3 写队列2.4 读队列2.5 队列集(可跳过) 四、队列 该部分在上份代码基础上修改得来,代码下载链接: https://wwzr.lanzout.com/iBNAS1l75bvc 密码:7xy2 该代码尽量做到最简,不添加多…

解决Qt的release构建下无法进入断点调试的问题

在工作的时候遇到了第三方库只提供release版本的库的情况,我需要在这基础上封装一层自家库,在调试的时候遇到如下问题,但是在Qt环境下,release的库只能在进行release构建和调试。 卡在了一直进不了断点的情况。提示内容如下&#…

【IPC通信--共享内存】

进程间通信目的 数据传输:一个进程需要将它的数据发送给另一个进程 资源共享:多个进程之间共享同样的资源。 通知事件:一个进程需要向另一个或一组进程发送消息,通知它(它们)发生了某种事件(如…

Linux操作系统——文件详解

1.文件理解预备知识 首先,当我们在磁盘创建一个空文件时,这个文件会不会占据磁盘空间呢? 答案是当然会占据磁盘空间了,因为文件是空的,仅仅指的是它的内容是空的,但是该文件要有对应的文件名,…

【数据库和表的管理】

数据库和表的管理 一、实验目的 了解MySQL数据库的逻辑结构和物理结构的特点。学会使用SQL语句创建、选择、删除数据库。学会使用SQL语句创建、修改、删除表。学会使用SQL语句对表进行插入、修改和删除数据操作。了解MySQL的常用数据类型。 二、实验内容SQL语句创建、选择、删…

玩转硬件之MP3的破解

MP3播放器是一种能播放音乐文件的播放器,主要由存储器(存储卡)、显示器(LCD显示屏)、中央处理器MCU(微控制器)或解码DSP(数字信号处理器) 等组成。 其中微控制器是播放器…

k8s存储卷之动态

动态pv需要两个组件 1、卷插件,k8s本身支持的动态pv创建不包含NFS,需要声明和安装一个外部插件 Provisioner 存储分配器,动态创建pv,然后根据pvc的请求自动绑定和使用 2、StorageClass,用来定义pv的属性&#xff0c…

金蝶云星空单据转换插件-选单

文章目录 金蝶云星空单据转换插件-选单 金蝶云星空单据转换插件-选单 选单使用标识报错 应该使用实体属性

LeetCode 每日一题 Day 44 || 哑节点去重

82. 删除排序链表中的重复元素 II 给定一个已排序的链表的头 head , 删除原始链表中所有重复数字的节点,只留下不同的数字 。返回 已排序的链表 。 示例 1: 输入:head [1,2,3,3,4,4,5] 输出:[1,2,5] 示例 2&#x…

内存泄漏问题

内存泄漏是一种常见的问题,它可能导致系统内存不断增加,最终耗尽可用内存。解决内存泄漏问题通常需要进行调试和分析。下面是一些可能有助于解决内存泄漏问题的步骤: 1. 监控内存使用情况: a. 使用 malloc 记录日志:…

MyBatisPlus学习笔记二

接上:MyBatisPlus学习笔记一: MyBatisPlus学习笔记一-CSDN博客 1、条件构造器 MyBatisPlus支持各种复杂的where条件,可以满足日常开发的所有需求。 1.1、集成体系 1.2、实例 查询 lambda查询 更新 1.3、总结 2、自定义sql 我们可以利用MyB…

Rust-NLL(Non-Lexical-Lifetime)

Rust防范“内存不安全”代码的原则极其清晰明了。 如果你对同一块内存存在多个引用,就不要试图对这块内存做修改;如果你需要对一块内存做修改,就不要同时保留多个引用。 只要保证了这个原则,我们就可以保证内存安全。 它在实践…

入门Docker1: 容器技术的基础

目录 服务器选型 虚拟机 基于主机(物理机或虚机)的多服务实例 基于容器的服务实例 Docker Docker三要素 Docker安装 Docker基本使用 基本操作 仓库镜像 容器 服务器选型 在选择服务器操作系统时, Windows 附带了许多您需要付费的功能。 Linux 是开放源代…

光K8S的目录结构就够你学一天!

Kubernetes Project Layout设计 Kubernetes项目由Go语言编写。Go语言官方对项目的结构设计没有强制要求,早期的Go语言开发者都喜欢将包文件代码放置在项目的src/目录下,如nsqio开源项目,开发者喜欢将入口文件放入apps/目录。不同开发者的喜好…

使用WAF防御网络上的隐蔽威胁之CSRF攻击

在网络安全领域,除了常见的XSS(跨站脚本)攻击外,CSRF(跨站请求伪造)攻击也是一种常见且危险的威胁。这种攻击利用用户已经验证的身份在没有用户知情的情况下,执行非授权的操作。了解CSRF攻击的机…

运筹说 第45期丨多目标规划发展及其提出者—— Abraham Charnes和William W. Cooper

经过前面的学习,相信大家已经对运筹学的运输问题有了更加全面的了解,接下来小编将带你学习新一章的内容, 先来看看多目标规划的发展简史,然后再带你领略该理论两位提出者的传奇一生! 01目标规划发展简史 Vilfredo Pa…

Vue2.组件通信

样式冲突 写在组件中的样式默认会全局生效。容易造成多个组件之间的样式冲突问题。 可以给组件加上scoped属性,让样式只作用于当前组件。 原理: 给当前组件模板的所有元素,加上一个自定义属性data-v-hash值,用以区分不同的组件。…

【Axure高保真原型】移入放大对应区域的饼图

今天和大家分享移入放大对应扇形区域的饼图的原型模板,鼠标移入时,对应扇形区域的会放大,并且的项目和数据弹窗,弹窗可以跟随鼠标移动。这个原型是用Axure原生元件制作的,所以不需要联网或者调用外部图表……具体效果可…

一篇教你生成密钥给自己打的exe添加密钥

一篇教你生成密钥给自己打的exe添加密钥 我这里是自己写了一个python 打包exe,说总是给我报毒什么的 文章目录 一篇教你生成密钥给自己打的exe添加密钥前言一、使用java jdk 自带的keytool?二、进行转换2.把证书密钥写入到你的exe 总结 前言 生成密钥并为自定义 .…