農村金融機構亟需建設新一代網絡安全體系

左英男

(360企業安全集團，北京 100015)

1 農村金融機構網絡安全的兩大挑戰

第一大挑戰是IT基礎設施技術架構的更新換代。近年來，由于農村金融機構紛紛下大力氣發展金融科技，以求銀行業務的創新和轉型。在業務全面數字化的過程中，不可避免地會出現設備更新換代、暴露更大的攻擊面、安全邊界變得模糊、傳統的安全防護手段失效等問題。

第二大挑戰來自于外部攻擊的升級。從威脅的視角看，當前，網絡攻擊的組織愈發周密，攻擊手段和方法日趨復雜高級。漏洞產業化、軍火民用化正對農村金融機構的網絡安全發起新的挑戰。同時，隨著《網絡安全法》的實施，國家在網絡安全方面的監督力度不斷加強，也給農村金融機構帶來了求變的壓力。

面對新的網絡安全形勢，農村金融機構應該有這樣基本的認知，即：沒有無漏洞的系統，沒有攻不破的網絡。要求各級農村金融機構樹立新時代的網絡安全理念，在不斷完善被動防御措施的同時，要把網絡安全體系建設的重點過渡到以持續檢測和快速響應為手段的主動防御措施上。

2 新戰場新實踐，老戰場新戰法

農村金融機構的網絡安全體系建設應當遵從美國SANS研究所設計的”滑動標尺模型”，如圖1所示，從架構安全、被動防御、主動防御、威脅情報和進攻反制五個階段入手，構建疊加演進的安全能力，有效解決安全問題，完整構建安全能力。

圖1 滑動標尺示意圖

“滑動標尺模型”可作為衡量金融企業安全能力的有力尺度。基于這個參考模型，360提出“新戰場新實踐，老戰場新戰法”的建設思路。

所謂新戰場指的是需要保護的IT基礎設施的范圍在不斷擴大，網絡安全攻防的戰場已經延伸到云計算環境、大數據平臺、移動終端、物聯網、軟件供應鏈等新的IT基礎設施。同時，持續創新的金融業務場景也會產生新的安全需求，需要新的技術方案去解決，比如互聯網金融業務中的交易欺詐、爬蟲機器人等安全問題。在這些新的攻防戰場，應該采用創新的安全技術手段，把安全能力建設的重點放在架構安全和被動防御措施上，以較低的投入，獲得較高的安全價值回報。

與此同時，在終端、網絡邊界、數據中心、應用、數據等傳統的攻防戰場，隨著對手攻擊手段的復雜化和水平提升，金融機構也需要采用創新的方法加以應對，著重建設主動防御能力，積極采用威脅情報技術、安全眾測服務、實網攻防演練等的手段，通過持續不斷地檢測和響應，改進防御策略，提升安全運營人員的能力，形成安全運營的閉環，建設針對高級威脅的主動對抗能力。

目前，農信機構終端數量多、分布廣，各終端安全防護系統分布式管理，無法做到信息共享，無法統一直觀的意識到公司終端安全態勢，導致在各系統中，工作量成倍增加。360終端一體化解決方案做到統一管理，包括資產、硬件、補丁管理等，存儲個體都在一個服務器端軟件統一管理，降低運維成本，提高工作效率。

3 基礎安全架構需要與時俱進

在新的業務應用環境下，農村金融機構的基礎安全架構需要演進升級。

以360ID智能身份安全解決方案為例，這套解決方案通過360ID軟件，把手機終端作為認證器，提供指紋識別、人臉識別、動態口令等多因子認證能力，并且支持推送認證、掃碼認證等多種身份認證方式，增強了金融業務身份認證的安全強度，同時在最大程度上保證了用戶的使用便捷性。此外，360ID通過一系列的安全機制，確保其自身的安全，最大程度上實現了安全性與便捷性的平衡。

利用360ID身份認證機制，農村金融機構可以建立一站式單點登錄解決方案；在云計算和大數據逐漸普及、安全邊界逐漸消失的場景下，應該考慮構建基于“零信任模型”的新一代業務應用安全架構。

在新的安全架構下，身份成為新邊界，應當根據設備、用戶、環境、時間、位置、安全策略等多維數據，持續不斷地進行風險測量，動態調整用戶的安全等級，構建自適應的動態安全策略，提供業務應用的動態授權訪問控制機制，解決金融機構在云計算和大數據應用場景下棘手的身份安全和業務訪問控制難題。

4 建立以人為核心的安全運營機制

在360企業安全集團看來，安全的本質是人與人的對抗，人是諸多安全問題的根源，也是解決安全問題的關鍵，安全運營的各個階段都離不開人的參與。網絡安全體系建設能否發揮最大的作用，最終還是取決于能否建立一整套以人為核心的安全運營機制。

憑借安全專家的專業度，可以把現有的安全平臺、設備等工具的效用最大限度地發揮出來，從而真正建立起從網絡安全評估、安全規劃咨詢、滲透測試，到安全回溯一系列閉環的安全服務能力。

安全運營重要性之高，以至于2017年中國互聯網安全大會更是把主題定為“人是安全的尺度”。在實際工作中，安全運營需要擔負很多責任，包括被授予通報和處罰的權力；此外在安全培訓方面，每年花大力氣進行安全意識宣貫。通過以上安全的運營理念，再配合安全管理類手段，實現“可見、可控、可分析”的管理目標。

360企業安全集團針對農村金融機構的特征，可以提供銀行終端一體化安全管理、銀行內網高級威脅監測與追蹤溯源、銀行營業廳公共無線Wi-Fi安全與營銷等一攬子金融解決方案。方案均建立在360企業安全集團多年實踐積累的技術和經驗之上，可以大幅提升金融機構整體網絡安全水平，已經在全國多地落地實施。