轻轻的我走了,正如我轻轻的来;我轻轻的招手,作别数据的苦海。
那主机的一隅,是梦寐以求的温床;备份里的数据,在我的心头荡漾。
寻找?撑一支长篙,向网络更深处漫溯;满载一路奔波,在满天的绊脚石里哪敢放歌~
悄悄是别离的笙箫;爬虫也为我沉默,沉默才是今晚的悲歌。
悄悄的我走了,正如我悄悄的来;我挥一挥衣袖,带不走一片云彩~日后我再来。
——黑产“语录集”(要真有的话)
在网络安全的对垒中,黑产们如今也是苦不堪言,但仍旧有一批又一批的“黑手”深入各行各业的腹地,使出浑身解数,即便深入云端的数据,他们也企图带走一片“云彩”,编织出一个多彩的梦。
在金融领域,这样的“云彩”更值钱。随着互联网产业的全面发展,推动了金融行业的变革,这一变革带动了产业升级的同时也带来诸多新的信息安全问题,这给黑产们创造了新的滋长空间。
信息安全隐患可以让一家银行顷刻之间倾覆,这并不是危言耸听,实际上各大金融机构每天都在面临漏洞、劫持等问题。
从国家层面来看,金融安全事关国家安全, 如何确保各处产线数据的安全,成为金融领域的重大问题。为了深入了解金融信息安全现状,中国邮政储蓄银行深圳湾支行行长李昭为我们分享金融行业基础安全遇到的突出问题及如何构筑安全的底层“代码”。
▲中国邮政储蓄银行深圳湾支行行长李昭
认知问题引发的金融安全矛盾
产业互联网迅猛崛起,金融行业成为其中发展最快的领域之一,伴随而来的问题也将越发严重。在李昭看来,金融行业基础安全中着实存在很多突出的问题,大致可以归纳为认知、技术和保障机制三个层面。
在三个方面中“认知”是金融行业基础安全中存在的基本问题。“国内大多数金融机构对网络信息安全的意识都很薄弱,最常见的就是大家认为,技术岗位人员负责信息安全,业务人员只负责使用,没有从整体上意识到信息安全的重要性,导致了认知差距,大家对信息安全的理解层次不一样。”
由于不同岗位人员对于网络安全的认识水平不一致,反应出来就是“矛”和“盾”的关系。其引发的问题存在于各层面之间——总行和支行之间,以及支行与支行之间的矛盾,时常导致冲突,最终酿成安全大错。
“大家的认知水平不在同一个层面,比如业务侧的工作人员希望一个月或者两个月上线安全系统,而安全侧的人员则认为不可行,因为系统本身存在很多漏洞,匆忙上线将导致很多安全问题。一个机构内还会有产品设计团队、开发团队,甚至到支行操作层面,这一系列的环节中安全问题很多。”
由协作问题导致的安全事故时常发生,这往往不会是高级安全隐患。因为大家都很注重“大头”,却反而忽略了低级错误同样可以导致严重后果。于是,其暴露出的短板就为黑产‘薅羊毛’铸造了问题的源头。
除了认知和意识薄弱外,金融行业对于安全技术环节的把控也相对薄弱,而技术是信息安全中的核心问题。技术人员对于安全、漏洞、架构、实现安全设计等概念的意识并不是很强,开发时间较短,经验不足。导致设计出来的系统本身存在就存在安全隐患,需要二次修补后,进行渗透、漏洞扫描等,拖延了整个应用上线的时间。
此外,在开发时对于功能和安全的权衡中,往往会侧重于前者。李昭分析,产业升级前没有那么多并行业务的情况下,这种考量是可行的;而产业升级后,就要求产品在开始系统设计时就把安全保障嵌入其中,但是这一点在金融行业还是欠缺的。
此外,安全保障机制不健全也是金融行业基础安全中的一大盲点。“很多机构重视信息安全的投入,而忽视管理运维的投入,前期投入大量人力、物力、财力去保障信息安全,却缺乏日常运营和后续管理的能力。” 这是银行信息安全中的一大现状。
在李昭看来,这些基础问题存在的关键在于“人员思想不统一”,导致相关制度执行不到位,这需要行业内所有人的共同努力,加强安全教育、提升安全意识,加强内部协作,将安全意识固化到日常的运营和管理中。
构建AR模型深入云安全防护
随着金融行业的安全问题日益突出,用户对服务的要求也越来越高,尤其是在5G到来的情况下,很多机构都在做升级,将自身的业务系统放在云端,做标准化的推广,因而网络信息安全更加重要。
“在搭载云端服务器应用的时候,从最开始的线上互联网营销服务,到后面的AR小程序,我们发现这些‘羊毛党’真是无孔不入,也导致我们出现了很多坏账情况,这应该是很多银行出现的普遍现象。”
在金融行业基础安全中存在的漏洞给黑产们提供了滋长的空间,在李昭看来,网络信息安全的防护要考虑到方方面面,尤其是在云端的安全防护,要注重构建安全的底层代码。
在主机方面,要注重基础化服务,对黑客的入侵检测,包括一些木马、高危漏洞都是非常重要的部分,绝大部分的安全问题都由漏洞产生,银行不可能天天去扫漏洞,但是云端可以做到每天扫描,及时发现“薅羊毛”的问题。
在数据库安全审计方面,以堡垒机为例,涵盖了银行的线上服务和线下物理机服务,通过专家服务,按季度定期开展对抗演练,将AR基于每种业务的深层次理解加入到Web应用防火墙的AR规则里面去。
李昭举了一个例子,“面对黑客无休止的攻击行为,我们将业务部门的特征值输出到AR模型库,并输出一套假值。当黑产企图进行攻击时,模型库就会输出虚假数据,也就是给他的是马甲,而真正的数据还是停留在内部,这种伪装办法是为保护数据资产定制的特殊防御机制。”
事实上,这种防护的核心在于制定适当的AR策略,在理解自身系统的情况下,从底层入手,构建AR规则和AR模型,深度模拟、布局可能出现的安全场景。
基于“技术+业务”的安全尝试
除了云端的安全防护,移动端的安全隐患也不容忽视。
尤其在移动收单中,都是通过网络支付的业务,每天都使用线下条码支付业务,而这个业务本身依托于网络,存在安全隐患。那么,当有商户用手机来扫支付应用时,黑客是否也能通过网络访问服务器做一些操作呢?
李昭表示,“基于对业务的理解,事实上的商户都是本地化管理。”
也就是说,在北京的商户,只允许北京的IP来访问,而国内其他城市,以及国外的IP就可以全部封禁。这需要银行对所有商户进行定期巡检,实行“互联网封禁”,所以说POS机直接拿到银行所在地之外是用不了的。
随着5G的出现,李昭指出,在种方式可以更加精细化,以北京为例,可以细化到西城区的某个街道,目前4G可以定位到基站,一个地方的POS机只有在本地区可以用,大大增强了网络的安全性。
“互联网封禁”还可以实现对线上大部分的流量进行部署,由此打破了高峰时段的10万次,下降至了近1千次,因而有效将一些非法的访问绝之门外。
李昭称,这是一种基于“技术+业务”的安全防护模式,是对金融领域内信息安全的一种新的尝试,这种尝试意味着金融领域更加注重业务与技术的联结,也表明网络安全技术在基于业务的落地,金融行业正在打通安全的底层“代码”,缓解日益凸显的基础安全问题。
金融安全的发展,基于安全人员对金融行业技术和业务防护模式的深刻理解之上。唯有围绕金融行业的诸多业务场景,制定可控的安全策略,突破只做安全防护套路的传统理念才能获得突破性进展。
但就目前金融行业发展的现状来看,金融领域从业者对技术和业务的深度理解仍有很大程度的欠缺,尤其对于基层工作人员来讲,很难从宏观和微观两方面有全面而深入的理解金融安全的重要性,因而解决网络信息安全的问题不仅存在于技术层面,更重要的是逐步提升人员的信息安全认知水平,才能逐步摆脱金融安全“矛”和“盾”的对立关系。
宅客频道注:引用了中国邮政储蓄银行深圳湾支行行长李昭在第五届互联网安全领袖峰会(简称CSS2019)上的发言,该公司与腾讯安全团队在进行储蓄银行安全系统的全面升级中有合作。