商業銀行新一代終端安全防護體系3.0研究與實踐

◆張 爽 裴冬冬 楊維漢

(恒豐銀行科技服務管理部信息安全中心 北京 100033 )

商業銀行新一代終端安全防護體系3.0研究與實踐

◆張 爽 裴冬冬 楊維漢

(恒豐銀行科技服務管理部信息安全中心 北京 100033 )

講述了商業銀行終端安全防護體系演進史，針對新商業生態下傳統弱管控防護體系和強管控防護體系存在的不足，指出了“輕管控、重檢測、快響應”防護體系是未來轉型方向。根據商業銀行實際情況，結合外部監管要求，圍繞著云端集中信息治理和終端側可控渠道防護，提出了商業銀行新一代終端安全防護體系3．0，從終端整合一體化、終端云化、文檔云化、全渠道協同防護、智能大數據分析等方面重新定義終端安全防護體系，提升商業銀行終端安全防護水平。

泛終端；終端安全；防護體系3．0；輕管控；重檢測；快響應；整合一體化；終端云化

0 前言

在新的商業生態下，開發外包、項目外包、上游供應商、下游客戶等廣泛參與到企業的日常運營工作中來，使得企業的邊界變得擴大模糊。在“互聯網+”時代下，BYOD設備和移動終端接入內網辦公需求越來越強烈，然而安全風險也隨之而來。傳統的基于分散終端和分散信息的防護方法，已經無法滿足商業銀行對終端和信息的集中管理、便利共享、安全可控等需求。同時，近些年來，信息安全事件時常發生，給金融機構造成了嚴重的經濟損失和聲譽風險。例如，2011年4月，韓國農協銀行計算機網絡出現故障，有人通過該行外包團隊一雇員的計算機對銀行核心系統的數百臺臺服務器下達了rm.dd命令，造成全國上千個分行的服務中斷，客戶無法提款、轉賬、使用信用卡和取得貸款。2014年1月，韓國發生金融行業最大規模信用卡個人信息泄密事件，涉及約2000萬用戶，共1億多條客戶信息被泄露。2017年5月，全球爆發WannaCry（永恒之藍）病毒，利用Windows漏洞造成至少有150個國家受到網絡攻擊，已經影響到金融，能源，醫療，教育等行業。越來越多的信息安全事件表明，內網已經成為一種主要的信息安全威脅渠道，圍繞內網終端的安全防護越來越重要。

終端安全防護體系經歷了三個階段，如圖1所示。

圖1 終端安全防護體系演進史

第一個階段是弱防護體系 1.0。該階段主要是實施簡單的病毒木馬查殺、操作系統補丁安裝、外設禁用、MAC地址綁定等安全控制策略，對終端計算機進行簡單防護，未形成完整的防護體系，防護能力薄弱，很容易被內外部人員攻擊利用，存在嚴重的安全問題。

第二個階段是強防護體系 2.0。該階段形成了完整的防護體系，包括AD域控、病毒查殺、補丁安裝、外設控制、涉密掃描、文檔加密、郵件泄露渠道控制、網絡泄露渠道控制、USB泄露渠道控制、網絡準入控制、上網黑白名單等，每個風險點都進行強管控。該體系需要在終端上安裝多款安全軟件，兼容問題突出，性能消耗大，影響了員工工作效率，后臺分級部署多款安全系統，分行科技人員壓力大，特別是中小銀行，分行科技力量薄弱情況下。

第三個階段是輕管控體系 3.0。該階段以云化管理為主，主要包括，終端整合一體化、終端云化、文檔云化、全渠道協同防護、智能大數據分析等。為了解決傳統防護體系存在的問題，滿足商業銀行信息科技風險管理要求，結合商業銀行科技發展實際和信息安全管理現狀，將對商業銀行新一代終端安全防護體系3.0進行研究和實踐。

1 術語定義

（1）泛終端：包括辦公筆記本、辦公臺式機、平板終端、移動終端、生產運維終端、柜面終端、金融交易終端、客服終端、自助設備、BYOD設備等。

（2）終端云化：通過桌面云技術將終端桌面進行軟件定義，聚合放到總行集中部署和統一管理，通過泛終端進行訪問，提供快速桌面發布能力和信息泄露防護能力。

（3）文檔云化：通過安全云庫技術將終端上和應用系統下載的文檔集中到總行存儲，實現統一管理、便利分享、高效檢索、離線訪問等，通過矩陣權限控制、權限申請審批、屏幕水印、不落地存儲等實現安全可控。

2 防護體系3.0設計

新一代終端安全防護體系3.0在滿足安全合規前提下，主要遵循如下三點原則：

一是“集中為主、分散為輔”原則：在滿足商業銀行信息科技風險管理要求前提下，依據商業實際情況，圍繞著云端集中信息治理和終端側可控渠道防護，建立一套一體化的終端及信息安全防護體系，協調整合各種技術的管理措施，實現各項信息安全管理目標。

二是“輕管控、重檢測、快響應”原則：從弱管控和強管控轉換為輕管控，滿足安全管理目標的同時，兼顧使用的方便性、靈活性和工作效率。通過事前預先信息保護、事中實時行為檢測和準實時智能大數據分析、事后安全審計，發現安全風險，快速響應處理。

三是“以人為本、面向服務”原則：在滿足安全要求前提下，堅持以人為本，從管控角度轉向面向服務，讓員工參與到終端安全建設工作中來，提升終端可用性，從提升用戶體驗，提高工作效率，解放分行科技壓力，節省成本和創造效益。

終端安全防護體系3.0從“基本桌面安全、終端整合式集中云化管理、集中的文檔安全治理、全渠道協同信息泄露防護、智能大數據模型分析引擎”防護框架，在滿足安全合規前提下，開展創新優化工作。防護框架如圖2所示。

圖2 終端安全防護體系3.0框架

2.1 基本桌面安全

基本桌面安全包括網絡準入控制、補丁推送、軟件推送、軟件商店、軟件管理、進程管理、外設管理、病毒防護、賬號管理、病毒查殺、涉密掃描、文檔加密、VPN訪問、外網訪問等安全控制策略。目前，國內主流商業銀行的終端安全防護體系都實施了這些安全控制策略，不再詳細討論。

2.2 終端整合式集中云化管理

終端分散管理難度大，兼容性問題突出，應用軟件發布效率低，不能方便地支持泛終端安全接入，不能很好地保護終端安全，科技運維壓力大。將從下面幾個方面展開優化：

（1）終端安全軟件整合一體化

在強管控防護體系下，終端計算機上安裝了多款安全軟件，如網絡準入控制、補丁分發、外設控制、進程控制、涉密掃描等，安全軟件之間沖突問題嚴重，終端性能開銷大，影響員工的工作效率。通過將這些安全軟件功能整合，形成一款一體化的安全軟件，解決不同軟件兼容性問題，同時，通過病毒云查殺機制，將病毒查殺過程提交到云端執行，降低終端性能消耗。提升用戶體驗，提供工作效率。

（2）終端安全系統集中部署

傳統終端安全系統采用二級部署方式，總行部署總控節點服務器，一級分行部署分控節點服務器，日常系統運維工作和版本升級工作對分行科技壓力大。通過將全行終端安全軟件集中連接到總行節點服務器，分行不再需要單獨部署分控節點服務器，解放分行科技生產力。通過帶寬擴容、并發控制、帶寬限速、P2P等優化技術，解決服務器一級集中部署后網絡帶寬增大問題。

（3）超融合桌面云技術

通過總行部署的超融合桌面云技術實現桌面快速交付，保護開發測試環境邊界安全，解決外包人員和BOYD設備安全接入問題，解決應用扁平化后分行遠程運維問題，解決分行應用版本發布問題。采用控制、計算、存儲、網絡超融合技術實現了桌面云線性擴容需求，使用桌面云屏幕水印和錄像技術實現追蹤可審計。桌面云應用場景如圖3所示。

圖3 桌面云應用場景

3 接入網融合技術

傳統防護體系下，辦公接入網、研發接入網、測試接入網需要部署多根網線，用戶體驗差，且布線成本高。防護體系3.0下，終端計算機實行802.1x網絡準入控制，準入前處于訪客接入網，只能訪問桌面云，準入后處于辦公接入網，可以訪問桌面云和辦公系統。通過桌面云訪問研發測試環境，只需一根網線滿足辦公和研發測試需求，不需要額外部署研發測試接入網，不僅節省了部署網線成本，也提高了用戶使用便利性。

4 移動終端安全接入技術

基于MAM、MCM和MDM整合技術，解決移動終端接入內網辦公需求，實現信息加密、不落地存儲、遠程擦除等安全控制。

4.1 集中的文檔安全治理

文檔分散管理難度大，泄露風險越來越突出，采用集中的文檔安全治理來解決這些問題。建立安全云庫平臺，員工將終端上的電子文檔上傳至安全云庫中，應用系統調用安全云庫 API接口，將應用系統下載的電子文檔自動保存至安全云庫中，實現對文檔的集中管理。按照“知所必須、最小授權”原則，通過矩陣權限管理、權限申請審批流程、下載控制、屏幕水印等措施來確保安全可控。安全云庫提供便利的文檔分享功能和高效的文檔檢索功能。同時，安全云庫提供離線安全空間，實現文檔集中后離線訪問需求。安全云庫提升了全行文檔集中治理能力。具體流程架構如圖4所示。

圖4 集中的文檔安全治理

4.2 全渠道協同信息泄露防護

對電子文檔分類定級。開放信息入云庫渠道，通過涉密掃描將涉密文檔上傳到安全云庫中。在安全云庫中對文檔進行權限控制，包括查看、編輯、完全控制、打印、復制、截屏、屏幕水印等權限，提供文檔權限申請和審批流程。嚴控信息出云庫渠道，只有具有完全控制權限的人才能將文檔從安全云庫中下載到本地，無該權限則需要走申請和審批流程。實現移動終端信息加密不落地存儲。限制桌面云和郵件泄露邊界控制，對涉密信息進行檢測，若發現涉密信息，則進行攔截審批。最終實現各類泄露渠道統一，實現信息集中治理和終端側可控渠道防護。如圖5所示。

圖5 全渠道協同信息泄露防護

4.3 智能大數據模型分析引擎

將各類日志數據集中至 SOC平臺，采用大數據分析技術和深度強化學習技術，從多維度分析，建立終端安全態勢、人員操作行為、文檔流轉路徑等分析模型，實現追溯審計，實時展現終端安全態勢，為終端持續優化提供決策支持。如圖6所示。

圖6 智能大數據分析

5 防護體系3.0應用

商業銀行終端安全防護體系3.0已經在恒豐銀行全行范圍推廣應用。終端安全系統服務器集中部署在總行，終端安全管理軟件、云查殺軟件和安全云庫各推廣了 10000+臺終端計算機，移動終端管理軟件推廣了3000+移動終端設備，為研發測試、生產運維、分行發布等場景提供了3000+個云桌面，提供10+個智能大數據分析模型，整體運行穩定。商業銀行終端安全防護體系3.0有效保護了恒豐銀行內網環境安全，自投入生產應用以來，終端安全綜合指數提升了70%以上，全行科技維護效率提升了50%以上，為恒豐銀行一次性節省成本 1600+萬元，每年周期性收益1000+萬元，收益效果明顯。

圖7 終端安全防護體系3.0應用

6 總結與優化

針對傳統終端安全防護體系的不足，研究了商業銀行新一代終端安全防護體系3.0。新一代終端安全防護體系3.0采用終端一體化、終端云化、信息云化、全渠道協同信息泄露防護、智能大數據模型分析等技術，解決新商業生態下和“互聯網+”時代下，邊界保護問題和泛終端安全接入問題，實現終端和信息集中治理能力，提升終端安全保護水平，實現了各項信息安全管理目標的同時，兼顧使用的方便性、靈活性和工作效率，降低了終端安全防護TCO成本。新一代終端安全防護體系3.0在恒豐銀行推廣應用后，效果明顯，終端安全綜合指數提升了70%以上，全行科技維護效率提升了50%以上，為恒豐銀行一次性節省成本1600+萬元，每年周期性收益 1000+萬元。新一代終端安全防護體系 3.0可以推廣至其他商業銀行。

[1]張曉丹．銀行文檔信息全生命周期安全管理方法．金融電子化，2014．

[2]Gad J Selig著．中治研（北京）國際信息技術研究院譯．實施IT治理（方法論、模型、全球最佳實踐）．中國經濟出版社，2012．

[3]顧炯炯．云計算架構技術與實踐（第2版）．清華大學出版社，2010．

[4]盧海勤．終端安全防護技術及體系架構部署模式．中國金融電腦，2012．