持續加強網絡安全治理 構建安全保障技術體系

◆唐 彬

?

持續加強網絡安全治理 構建安全保障技術體系

◆唐 彬

(中國人民銀行金融信息中心)

隨著互聯網的發展，國家高度重視網絡安全和信息化工作，網絡空間已經成為繼陸?？仗熘蟮牡谖宕笾鳈囝I域空間。習近平總書記多次講到了網絡安全和信息化的問題，并明確指出，金融等領域的關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重，也是可能遭到重點攻擊的目標。

人民銀行在黨中央和國務院領導下，依法承擔“制定和執行貨幣政策、維護金融穩定、提供金融服務”的職責，其中國庫信息處理系統、中央銀行會計核算數據集中系統、貨幣發行系統、賬戶系統等關系國計民生的重要業務系統和網絡是其履職的重要保障。人民銀行網絡基礎設施處于銀行業的中樞地位，同時金融服務的范圍不斷拓展到財政、稅務、海關、公安、高法、社保等重要領域，已成為至關重要的金融信息化高速公路。SWIFT（國際電訊組織）資金盜取，俄羅斯央行失竊事件警鐘長鳴，在網絡攻擊和滲透的頻度和強度大幅提高的現狀下，人民銀行網絡安全直接關系中央銀行履職和金融市場穩定。

為此，人民銀行近五年來持續加強網絡安全保障體系建設和隊伍建設，在預警、防護、檢測、響應、恢復、優化等各階段持續完善，保障業務連續性，健全網絡安全防護檢測能力和協同響應體系，守住未發生重大網絡安全事件底線，安全保障能力在歷次網絡攻防演練及多次重大安全事件應急響應和處置中得到檢驗。

一、頂層設計，規劃先行

2014年，國家提出加強網絡空間安全總體戰略，人民銀行基于網絡安全工作現狀，切實分析網絡安全工作面臨的形勢和存在的問題，以問題為導向，以攻防為重點，依托工作實際，編制了《人民銀行網絡安全規劃》（以下簡稱《規劃》），從健全組織體系、推進自主可控、完善管理體系、優化技術體系、夯實運維保障、推進業務連續性管理、創新安全服務、防范外圍風險、加強標準化和研究宣傳等方面明確了未來網絡安全工作的主要任務、重點工程和實施的保障措施。在2017年《網絡安全法》正式實施后，以及《國家關鍵基礎設施保護條例》、《網絡安全等級保護條例》征求意見過程中，也根據上位法和條例進行調整。

在行領導重視和各部門配合下，《規劃》執行順利，一系列安全建設項目按序按需順利實施，安全防護、安全監測、響應處置、網絡攻防等能力得到了全面提升。

二、持續優化，確保合規

規劃落地后，持續優化是保證規定動作不走樣、風險隱患看得見的關鍵，需要從兩方面落實。

一是扎實開展等保檢查，確保整體合規。人民銀行統籌網絡安全合規性和風險性，開展重要信息系統安全檢查和等級保護測評工作，促進提高人民銀行重要信息系統安全防護能力和水平。同時，跟蹤歷年安全檢查和等保測評工作問題整改情況，形成問題清單，推動整改使得問題收斂，達到以查促改的目的，全面提高安全防護能力，鑄牢網絡安全第一道防線。

二是通過重要時期保障工作，實現單點突破。為加強重要時期網絡安全保障，全面排查重要信息系統存在的突出問題和安全隱患，人民銀行以風險為導向、基于技術手段（包括滲透測試和安全工具檢測），從系統應用軟件安全漏洞、系統安全配置和系統應用安全等層次發現重要信息系統存在的問題，重點開展高風險網絡區域和新上線系統的滲透測試工作，以戰代練，以查促改，結合外部形勢做好內部檢查和改進工作。

三、補齊短板，自主可控

“加快推進國產自主可控替代計劃，構建安全可控的信息技術體系”是國家戰略，避免核心技術受制于人，安全基礎設施的全面國產化也是金融行業面臨的共性問題。為此，人民銀行開展多種嘗試和實施。

首先，研制建設“基于自主可控的終端安全主動防御技術及應用”項目，實現了終端安全的全面自主可控，在全行12萬終端，上千臺服務器全面部署，全面替換了國外品牌的終端安全防護系統，扭轉這一領域依賴國外廠商的被動局面。系統建成后在2017年“512勒索病毒”等重大安全事件的預防、處置中得到檢驗。

其次，完善PKI/CA體系、支持國產密碼算法、全國數據集中的電子認證系統，支持發放RSA1024、RSA2048和國密SM2三種算法數字證書，支持業務系統實現身份認證、簽名驗簽、數字信封、傳輸加密等應用場景，為業務系統提供抗抵賴、數據完整性和保密性等安全基礎服務。

四、縱深防御，持續檢測

“419講話”指出，維護網絡安全，首先要知道風險在哪里，是什么樣的風險，什么時候發生風險，正所謂“聰者聽于無聲，明者見于未形”，而對于風險的探測，要做到關口前移。為此，人民銀行從攻擊者視角出發，建設了縱深彈性自適應防御體系以及持續監測體系，兩套體系互相比對，構建零信任模型，互相促進并且發展。

縱深彈性自適應防御體系參照了業內成熟的“河防”和“塔防”思路，結合攻擊鏈模型優化防御體系，根據鉆石模型開展攻擊者分析。通過安全域劃分，協議棧收斂限定攻擊路徑，在重點防御路徑上依照OSI模型對不同協議層開展攻擊阻攔和降級，依照風險接受度及人財物圈定適度安全。同時，在安全運營中輔助開展毒性測試以增強組織防御的強韌性以至于自適應升級，保證安全生態體系保持自適應進化。

持續監測體系包括覆蓋全部攻擊路徑的實時監測，對各主要網絡節點的流量日志、終端日志、主機日志、應用日志等進行統一采集、存儲，從各網絡協議棧和應用技術棧進行關聯分析，有效發現各類威脅和攻擊。在不斷完善和豐富基礎數據的同時，保障告警準確度，聚焦高風險和實質威脅事件。提升檢測分析效率，實時監測安全態勢、展現即時態勢。原始日志保留時間不短于六個月，有力支撐攻擊回溯分析。

在縱深防護體系和監測體系的互相印證下，實現了監督和改進，監測促進防護加強，防護加強后降低監測誤報率，兩個體系均實現進化，完成數據中心網絡安全防護一盤棋。技術手段包括通過安全隔離，基于安全域劃分，實現基于鏈路層的網絡安全隔離，按“原子化”原則細致管理訪問控制策略；完善防護措施，基于協議棧和技術棧，在攻擊路徑各個節點預置“埋點”，形成整體防護、實時阻斷；豐富技術手段，從防御、阻斷、降級、欺騙等方面形成多維防御和技術異構，不斷優化防御策略細粒度，在保障業務平穩運行的同時完成有效防護。

五、安全運營，快速響應

安全運維是保障安全和業務活下去，而安全運營的期望是對安全保障業務活得好。

安全運營工作包括基于自適應安全架構，加強持續監測和分析。在預防（感知）方面，持續開展對關鍵基礎設施、新技術、關鍵產品、核心算法的網絡安全風險評估。防護方面，優化策略集、產品集和服務集，做好加固、隔離和攻擊轉移，加強信息系統生命周期安全管控。檢測方面，建立覆蓋各IT棧層的監控體系，整合內外部威脅數據，提升安全威脅感知能力。響應方面，從“應急響應”轉變為“持續響應”，構建監控分析和響應處置體系，主動監控和持續分析攻擊痕跡，建立事件持續響應處理機制。

通過安全運營，對上向行內及信息安全主管單位匯報，對內向業務部門溝通，對外協調專業隊伍及廠商力量，形成合力，構建網絡安全應急響應協同機制，顯著提升了安全運營水平；有效串聯預警、防御、監測、響應、恢復、持續優化等安全運營各環節，成功處置了“心臟滴血”、“Struts 2”、“永恒之藍”等重大安全事件，通過安全運營，保障安全水平持續提升。

六、凝聚共識，行業協作

銀行業信息安全，加強合作，守望相助。依托銀行業數據中心聯席會議平臺和協同運維機制，促進同業交流和信息共享，充分發揮聯合優勢，凝聚共識、互相借鑒，共同打造安全可靠的銀行業IT基礎服務。面對金融機構網絡日趨開放、互聯的特點，運用互聯網思維解決新時期網絡安全問題。單個金融機構在網絡帶寬、服務器處理能力、安全人員等方面有局限性，需要統籌謀劃、聚合多方面力量，探索構建集中、共享使用的網絡防護平臺和威脅情報共享平臺，探索建立銀行業專家庫，探索在重大安全事件分析研判處置中的互助機制。

當今世界，信息化發展很快，不進則退，慢進亦退。下一步，隨著“數字央行”戰略的推進，云計算、大數據、移動化等新興技術的應用，必須有相應的安全保障技術體系與業務發展相適應。人民銀行正積極開展研究，規劃設計下一代網絡安全保障技術體系，以數據安全為核心，構建基于“零信任”和“微隔離”架構的動態、縱深防御體系，建設安全態勢感知平臺，打造以數據驅動的智能化安全運營體系，真正實現主動防御。力爭用4-5年，努力構建起“可知可信、可管可控、智能防護”的下一代人民銀行網絡安全保障技術體系。