- 數(shù)字銀行安全體系構(gòu)建
- 網(wǎng)商銀行信息安全部
- 2879字
- 2024-01-31 17:51:47
前言
為什么寫這本書
近幾年各行各業(yè)的數(shù)字化轉(zhuǎn)型進程持續(xù)推進,行業(yè)場景與覆蓋范圍越來越廣,節(jié)奏越來越快,影響越來越大。2021年12月國務(wù)院公開發(fā)布《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》,定義了“數(shù)字經(jīng)濟是繼農(nóng)業(yè)經(jīng)濟、工業(yè)經(jīng)濟之后的主要經(jīng)濟形態(tài),是以數(shù)據(jù)資源為關(guān)鍵要素,以現(xiàn)代信息網(wǎng)絡(luò)為主要載體,以信息通信技術(shù)融合應(yīng)用、全要素數(shù)字化轉(zhuǎn)型為重要推動力,促進公平與效率更加統(tǒng)一的新經(jīng)濟形態(tài)”,指出“數(shù)字經(jīng)濟發(fā)展速度之快、輻射范圍之廣、影響程度之深前所未有,正推動生產(chǎn)方式、生活方式和治理方式深刻變革,成為重組全球要素資源、重塑全球經(jīng)濟結(jié)構(gòu)、改變?nèi)蚋偁幐窬值年P(guān)鍵力量”。
2022年1月,中國人民銀行和中國銀保監(jiān)會分別向金融機構(gòu)印發(fā)《金融科技發(fā)展規(guī)劃(2022—2025年)》(簡稱《規(guī)劃》)和《關(guān)于銀行業(yè)保險業(yè)數(shù)字化轉(zhuǎn)型的指導意見》(簡稱《指導意見》)。《規(guī)劃》明確了金融行業(yè)數(shù)字化轉(zhuǎn)型的總體思路、發(fā)展目標、重點任務(wù)和實施保障措施。而《指導意見》進一步明確發(fā)展路線圖,要求到2025年銀行業(yè)、保險業(yè)數(shù)字化轉(zhuǎn)型須取得明顯成效,“金融服務(wù)質(zhì)量和效率顯著提高,數(shù)字化經(jīng)營管理體系基本建成,數(shù)據(jù)治理更加健全,科技能力大幅提升,網(wǎng)絡(luò)安全、數(shù)據(jù)安全和風險管理水平全面提升”。
銀行業(yè)數(shù)字化轉(zhuǎn)型的安全挑戰(zhàn)
銀行業(yè)數(shù)字化轉(zhuǎn)型將帶來如下改變。①服務(wù)線上化,越來越多的金融服務(wù)將會通過互聯(lián)網(wǎng)在線提供。②線上服務(wù)復雜度增加,服務(wù)的類型與場景將會變得更加豐富與復雜。服務(wù)形態(tài)也會存在多種形式,包括Web服務(wù)、移動App、小程序、IoT設(shè)備等。在線服務(wù)采用的技術(shù)也會多種多樣,如云計算、云原生、智能算法、機器學習、知識圖譜、區(qū)塊鏈等。③數(shù)據(jù)驅(qū)動業(yè)務(wù)經(jīng)營管理,數(shù)據(jù)應(yīng)用的范圍不斷擴大,基于數(shù)據(jù)分析可實現(xiàn)高效的業(yè)務(wù)經(jīng)營與決策。④開放與融合,服務(wù)提供者將會越來越深入地相互開放、相互融合、相互依賴。⑤更高的服務(wù)效率與更便捷的體驗,可以說服務(wù)的效率提升和便捷性是數(shù)字化轉(zhuǎn)型的關(guān)鍵目標。
銀行業(yè)數(shù)字化轉(zhuǎn)型又會帶來哪些安全挑戰(zhàn)呢?一方面,安全威脅等級將會提升。服務(wù)線上化和場景復雜化導致銀行信息系統(tǒng)對外暴露的風險敞口和攻擊面必然大幅度增加,會有越來越多的漏洞被黑客發(fā)現(xiàn)和利用,攻擊成功的概率也將會提升。由于銀行業(yè)務(wù)基本都與資金有關(guān),越來越多的金融服務(wù)數(shù)字化以后,黑客攻擊成功后的潛在收益會大幅度增加。黑客投入更大攻擊成本進行攻擊的動機也會隨之提升,所以銀行業(yè)數(shù)字化轉(zhuǎn)型中面臨的安全威脅等級必然提高。另一方面,安全與效率的矛盾將會更加突出,也更難兼顧。數(shù)字化轉(zhuǎn)型的一個關(guān)鍵目標就是提升效率,并提供體驗更好、更便利的服務(wù)。由于服務(wù)形態(tài)和技術(shù)形態(tài)的變化,有些安全技術(shù)措施和機制可能已經(jīng)不再適用,有些安全方案無法滿足業(yè)務(wù)發(fā)展的效率訴求和服務(wù)體驗需求,影響了數(shù)字化轉(zhuǎn)型目標的達成。因此,在應(yīng)對高等級安全威脅的同時還能兼顧效率和服務(wù)體驗,是銀行業(yè)數(shù)字化轉(zhuǎn)型過程中一個不可忽視的挑戰(zhàn)。
網(wǎng)商銀行的實踐經(jīng)驗分享
網(wǎng)商銀行自成立之初就是一家數(shù)字銀行,沒有實體網(wǎng)點,所有服務(wù)均通過網(wǎng)絡(luò)提供,向數(shù)以千萬計的小微客戶提供了高效、便捷的銀行服務(wù)。作為一家銀行,網(wǎng)商銀行對網(wǎng)絡(luò)信息安全的要求是極高的。如何在保障業(yè)務(wù)高效開展的同時滿足嚴格的安全標準,是網(wǎng)商銀行信息安全團隊自建立以來不斷用探索和實踐回答的問題。相信隨著銀行業(yè)數(shù)字化轉(zhuǎn)型的深入,越來越多的銀行從業(yè)者都將面臨安全方面的問題和挑戰(zhàn)。因此,我們將多年的安全實踐經(jīng)驗進行了體系化的總結(jié)并分享,以期對銀行業(yè)數(shù)字化轉(zhuǎn)型的安全保障有所助力,也希望能收獲同行的建議和指導。這就是我們寫作本書的初衷。
本書主要內(nèi)容
本書內(nèi)容來源于網(wǎng)商銀行在網(wǎng)絡(luò)信息安全方面的一線實戰(zhàn)經(jīng)驗,主要介紹一家數(shù)字銀行是如何進行網(wǎng)絡(luò)信息安全體系建設(shè)的。本書覆蓋的安全子領(lǐng)域包括基礎(chǔ)設(shè)施安全、業(yè)務(wù)應(yīng)用安全、數(shù)據(jù)安全、威脅感知與響應(yīng)、紅藍演練等,內(nèi)容總體分為六部分。
● 第一部分介紹數(shù)字銀行安全體系,講述了數(shù)字銀行安全體系的概況和如何設(shè)計數(shù)字銀行安全架構(gòu)。在閱讀第二部分到第六部分之前,建議先閱讀該部分,以便更好地理解后續(xù)內(nèi)容。
● 第二部分介紹默認安全機制,講述了如何高效控制所有已知類型的安全風險。
● 第三部分介紹可信縱深防御,講述了如何應(yīng)對未知類型的安全風險和高級威脅。
● 第四部分介紹威脅感知與響應(yīng),講述了對于可能存在的威脅如何有效感知和處置。
● 第五部分介紹實戰(zhàn)檢驗,講述了如何通過實戰(zhàn)攻防演習的方式檢驗安全體系的有效性和安全水位。
● 第六部分介紹安全數(shù)智化,講述了如何通過數(shù)字化、自動化、智能化實現(xiàn)安全工作的高效開展。
讀者對象
本書面向的讀者主要包括信息安全從業(yè)者、企業(yè)技術(shù)負責人、基礎(chǔ)技術(shù)架構(gòu)師,以及其他想了解數(shù)字銀行安全體系建設(shè)的相關(guān)從業(yè)人員。雖然不同行業(yè)信息安全的風險偏好和要求有一定差異,但長遠來看企業(yè)信息安全的要求都會越來越高,如何兼顧高等級安全與高業(yè)務(wù)效率將是大多數(shù)企業(yè)會面臨的問題。因此,無論是否從事銀行業(yè),本書中介紹的經(jīng)驗和方法都可以為信息安全從業(yè)者提供一定的參考。技術(shù)負責人、基礎(chǔ)技術(shù)架構(gòu)師也可以通過本書了解安全作為一項屬性如何與自己所負責的技術(shù)體系和架構(gòu)相結(jié)合。
作者簡介
網(wǎng)商銀行信息安全部負責網(wǎng)商銀行的信息安全工作,涵蓋數(shù)據(jù)安全、應(yīng)用安全、基礎(chǔ)設(shè)施安全、威脅感知與響應(yīng)、紅藍演練、安全智能化等方向人員。團隊成員均是各領(lǐng)域的安全專家,在紅藍攻防、威脅情報、可信計算、隱私計算等領(lǐng)域有較多研究,致力于通過創(chuàng)新安全技術(shù)守護用戶的數(shù)據(jù)和資金安全。網(wǎng)商銀行的未來愿景是成為全球最安全可信的數(shù)字銀行,并不斷探索數(shù)字銀行安全的最佳實踐,助力銀行業(yè)數(shù)字化轉(zhuǎn)型。
致謝
本書從最初的想法到最終編寫成書一共花了兩年多的時間,由網(wǎng)商銀行信息安全團隊的骨干共同編寫而成,因此要特別感謝所有參與寫作的團隊小伙伴,他們?yōu)榇送度肓舜罅康臅r間與精力,將網(wǎng)商銀行安全實踐經(jīng)驗變成文字和書稿與讀者分享。
感謝網(wǎng)商銀行CIO高嵩、行長馮亮、副行長江浩、董事長金曉龍等管理層對安全團隊的工作以及本書寫作的支持,感謝信息科技部馬曉航、蔣維杰、王澤睿等架構(gòu)師對本書寫作的支持,同時感謝HR、合規(guī)、品牌等團隊在書籍校對和修訂過程中的幫助。
感謝螞蟻安全、阿里云安全以及阿里集團安全等團隊,他們在網(wǎng)商銀行安全體系建立過程中給予了我們在安全產(chǎn)品技術(shù)和經(jīng)驗方面的幫助。加入網(wǎng)商銀行之前,我自身也在螞蟻安全團隊工作了9年時間,過去的實踐經(jīng)驗積累對于網(wǎng)商銀行安全體系構(gòu)建有很大的幫助,因此也感謝過往團隊和歷任主管方海峰、王宇、李婷婷、余鋒、唐家才、韋韜、高嵩的幫助與指導。
網(wǎng)商銀行安全體系建設(shè)也受益于與銀行業(yè)安全團隊(工商銀行、建設(shè)銀行、農(nóng)業(yè)銀行、微眾銀行、民生銀行、平安銀行、招商銀行、浙商銀行、寧波銀行等)以及安全領(lǐng)域?qū)<业膶W習交流,感謝行業(yè)專家對本書相關(guān)工作的指導。
感謝本書編輯佘潔老師與其他編輯老師們,在本書編寫過程中他們給予了作者很多專業(yè)指導。
我們將本書的寫作看作一次對工作重新思考與審視的契機,對我們未來改進工作方法有一定幫助,有幸在這個過程中與大家相互學習、共同進步,希望我們的總結(jié)與分享最終能對行業(yè)有所幫助。
張園超(張歐)
- DevSecOps敏捷安全
- 計算機病毒原理與防范(第2版)
- Applied Network Security
- CTF競賽權(quán)威指南(Pwn篇)
- 云原生安全與DevOps保障
- 學電腦安全與病毒防范
- 數(shù)據(jù)安全架構(gòu)設(shè)計與實戰(zhàn)
- 網(wǎng)絡(luò)空間安全導論
- Web安全攻防從入門到精通
- 云計算安全:關(guān)鍵技術(shù)、原理及應(yīng)用
- Instant OSSEC Host-based Intrusion Detection System
- 密碼朋克:自由與互聯(lián)網(wǎng)的未來
- BeagleBone for Secret Agents
- 網(wǎng)絡(luò)空間安全實踐能力分級培養(yǎng)(I)
- 大數(shù)據(jù)安全治理與防范:反欺詐體系建設(shè)