提高金融网络安全可控能力的操作策略与实施路径

专题库
王永红 来源:中国电子银行网 2016-01-15 08:55:16 网络安全 王永红

核心提示经多年努力,以国家网络安全保障设施为基础、以金融网络安全谨慎监管框架为指引、以金融机构技术防护为主体的金融网络安全保障体系已基本建立,维护了金融网络安全大局。

  文‖中国人民银行科技司司长 王永红

中国人民银行科技司司长 王永红
中国人民银行科技司司长 王永红

  经多年努力,以国家网络安全保障设施为基础、以金融网络安全谨慎监管框架为指引、以金融机构技术防护为主体的金融网络安全保障体系已基本建立,维护了金融网络安全大局。但和平时期的网络安全局面不代表御敌于网络边界之外的真实安全。在贯彻落实总体国家安全观、提高金融网络安全可控能力过程中,我们认为应用行业的技术创新能力、网络攻防能力虽然有限,但不能无所作为,应该从需求导向、用户拉动的角度,推广使用安全可控产品,降低对少数厂家、少数产品的依赖度,在促进信息产业发展、提高国家网络安全可控能力的基础上提高金融网络安全保障水平。

  提高安全可控能力是建设网络强国的核心

  1.立足于国家网络安全看待行业网络安全

  维护网络空间主权成为国家安全战略的核心。网络舆论、网络攻击在多个国家的暴力恐怖活动、颜色革命中充当了颠覆工具。2015 年3 月17 日,美国众议院国土安全委员会主席麦考尔公开承认美国曾对朝鲜发动了网络攻击。中国网络空间战略研究所所长秦安认为,美国已经完成发动网络战争的准备,具备了“兵不血刃”的远程打击能力。皮之不存,毛将焉附。没有国家安全,也就不存在行业安全和用户安全。网络安全隐患具有长期隐蔽性、爆发突然性。技术厂家设置产品后门,初衷可能是保护知识产权、提供运维便利,但同样可用于窃取数据和发动猝不及防的网络攻击。随着网络应用不断深入,因网络安全导致电网停电、交通瘫痪、金融紊乱等群体性事件的风险正在上升。传统的信息安全要求实际是面向和平环境建立技术风险治理框架和纵深防御体系,现在的网络安全要求则强调具备在特殊时期防御外部网络攻击、快速恢复正常秩序的能力。

  2. 大力降低网络安全潜在威胁

  减少产品后门威胁。技术产品后门是仅供设置者使用的隐藏功能或渠道,难于发现和封堵,相当于设置者(攻击方)潜伏在对方网络空间的“第五纵队”,也是动摇国家关键信息基础设施的“蚁穴”。2014 年10 月16 日,美国联邦调查局局长詹姆斯·科米(James Comey)公开表示,1994 年《通讯协助法律执行法案》要求电信公司在设备中安装监听后门,新一代通讯公司也应该开放手机加密后门,让美国政府可以监听信息。

  降低单一供应链威胁。这是改变我国面临的安全风险的重要环节。由于对外依存度高,一旦某些国家切断信息产业供应链,终止设备和零配件供应、技术支持服务,将严重威胁应用行业乃至国家安全。2014 年,欧美国家借“乌克兰事件”制裁俄罗斯就是前车之鉴。2015 年4 月9 日,美国商务部发出公告,决定禁止英特尔公司向我国出售“至强”(XEON)芯片,以阻止天河二号系统的计算能力从50 PFLOPS(千万亿次/ 秒)升级到100 PFLOPS。

  3. 发挥应用行业的需求导向、用户拉动作用

  网络安全可控能力与信息产业发展水平相适应。网络大国是数量型要求,核心内容是应用发展水平,主要指标是网络覆盖面、网民数量和网络应用渗透率。网络强国是质量型要求,核心内容是安全可控能力,主要指标是规则制定能力、安全保障能力、网络攻击手段。显然,网络安全可控能力源于人才队伍和产品,信息产业维系、聚集并促进人才队伍和产品的持续发展,是网络安全可控能力可持续发展的基础。

  促进创新驱动发展战略。在国际上普遍认可的创新型国家中,科技创新对经济发展的贡献率在70% 以上,研发投入超过国民生产总值GDP 的2%,技术对外依存度低于20%。我国要在2020 年进入创新型国家行列,就必须打破国外技术和产品的垄断优势,为国内信息产品提供应用场景,为信息产业发展腾出市场空间,应用行业作为用户成为实施创新驱动发展战略不可或缺的角色。

  建立健全提高网络安全可控能力的操作策略

  站在行业应用、基层实施的角度,需要建立一个正向激励机制,将落实提高网络安全可控能力这一国家战略的要求,转化为行业、机构发展的内生性动力。信息产业的管理端(政府部门)有必要对需求端(应用行业)、供给端(厂家及其代理商)提出明确要求,推动建立一个安全可控的产业生态圈。

  1.将国家战略部署转化为机构发展职责

  提出部门规章。将国家意志、人民意愿转化为法律法规,有利于形成各行业、各机构的行为规范。在立法进程不可控的情况下,可以围绕加强国家关键信息基础设施保护推出部门规章,处理好安全可控与自主可控、国产化与对外开放之间的关系,有利于减少国际的贸易纠纷及“网络安全噪音”。

  把提高安全可控能力列入行业发展策略。提高网络安全可控能力,意味着在一定时期内增加投入、转变技术路线、延缓发展步伐,“安全与发展”在操作层从来都是一对矛盾,科技谈安全、领导要发展的“两张皮”现象并不鲜见。只有从机构年度考核指标、监管指标入手,形成从股东、管理层向科技部门的压力传递链条,才能形成整个机构的“安全发展动力”。

  对使用安全可控产品造成的安全生产事件提高容忍度。客观上说,主管部门、监管部门对安全生产的高度重视是成熟但不一定安全可控产品广泛占领市场的推手。国家有关部门能够明确对使用安全可控产品出现生产事件降低甚至豁免处罚,将大大有助于消除应用行业的畏惧心态,才有可能从技术指标、应用案例等方面降低安全可控产品的准入门槛。

  2. 在操作层实施创新驱动发展战略

  引导代理商推广安全可控产品。非安全可控产品代理商和安全可控产品厂家“同室操戈”,显然不利于信息产业发展。有关部门应立足于创新驱动发展战略,引导厂家积极、主动推广安全可控的产品,并且减少“安全可控产品嵌入非安全可控产品”的现象,在供给侧形成“安全发展合力”。

  建立健全国家检测认证体系。结合国家建立网络安全审查制度,依托专业检测机构、国家重点实验室、国家工程实验室、网络安全队伍建立国家检测认证体系,完善国家设备认证、授权管理和安全审计等网络信任服务手段,发布具有可比性的产品检测指标,公布安全可控产品分类清单,大大提高安全可控产品的识别度,铺平安全可控产品的推广之路。

  明确数据大集中水平较低的行业作为当前推广重点。产品进步、产业发展始终需要一个循序渐进的过程,已实现数据大集中的应用行业对产品功能和性能、配套产品适配性都有较高要求,在这些行业推广使用安全可控产品表面来看似占领了应用制高点,但实则加大了厂家研发和运营成本,并不利于其良性发展。

  研究和制定整体实施框架

  金融业推进数据大集中,出现了适应高并发交易和海量数据处理的“主机技术体系”,包括以高端服务器和高端存储为代表的硬件产品,以数据库、中间件为代表的基础软件,以及用于灾备的数据同步产品。主机技术体系的各个组成部分高度适配、耦合,在相当长一段时间内,很难于使用体系外的部分或全部产品构建一个同类的技术体系。

  我国信息产业仍处于追赶阶段,提高网络安全可控能力并非是一个简单的“设备替代”工程,需要统筹规划、周密设计、长期推动,稳妥有序开展应用技术体系优化升级,并在实施过程中加强技术风险管理和技术队伍建设,防范出现衍生的技术风险。

  1.确定综合性工作目标

  2014 年以来,我国的金融经济环境面临一系列变化和挑战:一是经济发展处于“三期叠加”(经济增长速度换挡期、结构调整阵痛期、前期刺激政策消化期)阶段,二是中央深化改革领导小组围绕“让市场在金融资源配置中起决定性作用”推进系列市场化改革,三是移动互联网、云计算、大数据、物联网等新技术推广应用,上述变化和挑战在金融信息化领域表现为预算紧缩、需求变化和技术转型,金融机构普遍面临发展压力,“安全发展”不同于“发展优先”,在操作层面将会遇到很大阻力。

  制定短中期发展目标。全面梳理应用技术体系组成部分,分类研究,围绕信息化预算、技术和产品成熟度、系统建设或升级等维度,平衡、权衡安全和发展两方面的要求,研究制定2~3 年、“十三五”期间的工作目标,并取得管理层、董事会的支持,为网络安全保障水平的可持续性提高打下基础。

  突出清单和比例两个控制手段。安全可控产品逐渐走向成熟,应用技术体系的优化升级是一项长期复杂的工程,制定并定期修改产品清单(目录),以及确定安全可控应用比例(产品占比和投资占比),加强问题导向,有利于明确安全可控的发展方向和控制工作进度。

  2. 加强安全设计

  农业银行副行长林晓轩曾明确表示,使用安全可控产品不等同于提高安全可控能力,应用行业强化并实施安全设计,提高对技术架构的整体把握能力最为重要。通过梳理应用技术体系各组成部分及相互之间的耦合关系,结合安全可控产业、产品的发展情况,按照如下原则确定应用技术体系的优化升级方案。

  “三个注重”原则。注重使用异构产品布局提高抑制后门威胁的能力,注重提高“五防”(防攻击、防病毒、防篡改、防瘫痪、防窃密)能力,注重提高遭遇大规模、有组织攻击时的应急处置能力。

  “三道防线”原则。使用安全可控网络产品和安全类系统,加固网络边界。建设新一代运维监控系统,提高网络和系统的安全态势感知能力。使用安全可控密码算法,防止遭受网络攻击后爆发大规模的数据泄漏。

  实践证明,不遵循上述原则和不经历大量的测评整改,仅仅换设备、换技术、换系统,很难达到提高安全可控能力的预期目标。

  3. 确定技术转型策略

  将提高网络安全可控能力的目标,与金融业降低信息化建设成本(系统拥有总成本TOC)、提高安全生产要求、推广使用新技术等要求结合起来,技术转型是金融信息化的必由之路。

  以分布式技术架构作为发展方向。分布式技术领域的商业软件和技术服务较少,需要通过“分库分区”等技术手段提高事务(数据)的一致性,以及研究小型化、标准化的交易处理节点,金融机构根据自身的技术实力,根据系统建设难度,选择一步到位使用PC 服务器集群,或者是“高端服务器(主机)—小型机集群—PC 服务器集群”的渐进式发展路径。

  选择非交易类、非核心类系统作为突破口。管理类、监控类、数据分析类系统,并发访问量和数据一致性要求低于联机交易系统(OLTP),将其技术架构从集中式转为分布式的技术难度低很多,同时有利于锻炼技术队伍、优化基础软件性能。在联机交易系统方面,多数金融机构则选择交易查询系统、电商交易系统作为突破口。

  分类施策稳步推进

  设备替代、专项治理和系统再造,是应用行业提高网络安全可控能力的实施路径。

  1. 优先实施设备替代

  按照“存量自然淘汰,增量直接使用”的原则,逐年有序使用安全可控产品替代进入更新周期或国家有关部门发现技术后门的现有产品。其中,部分比较成熟的安全可控产品能够和现有产品兼容使用,可在建设灾备、实施双机热备、购置备机时引入。下文列出一些业界认为已经成熟、比较成熟的安全可控产品。

  (1)网络设备,按照分支机构网络、开发测试网络、灾备网络、生产网络的顺序逐步替代。

  (2)安全类设备,包括防火墙、防病毒(防毒墙)、邮件网关、入侵检测、抗拒绝服务攻击、审计等软硬件,注意确认其中是否使用安全可控数据库。

  (3)周边设备,包括各种终端型、自助型设备,尤其要重视密码设备(加密机、签名验签服务器、动态令牌、U 盾等)和金融IC 卡卡片。

  (4)PC 服务器、中低端存储设备、小型机。

  (5)软件产品,包括办公软件、中间件、负载均衡软件等。

  (6)维保服务,通过细分产品种类引入竞争服务商,大幅度降低维保价格。

  持续开展设备替代要采取“清单管控”的做法,根据同业案例或组织测试的数据,按照已经成熟、比较成熟、尚未成熟的规则,动态修订安全可控产品清单,大力推广已经成熟的产品,扩大比较成熟产品的使用范围,针对尚未成熟产品开展试点。

  2. 积极开展专项治理

  开展专项治理提高技术合规性,以增强应用技术体系抵御网络攻击的能力。

  优化运维监控系统。运维监控能力是网络安全可控能力的组成之一,运维监控系统可发展成为网络安全风险管理平台。一是运维监控要实现全覆盖,范围包括生产、灾备、开发、测试系统和网络,内容包括设备监控、应用监控。二是实现多种日志分析手段,具备安全态势感知能力。

  推广使用安全可控密码算法。在电子认证、网上银行、金融IC 卡、移动支付、网上证券、网上保险等重点领域,在身份识别、加密传输、加密存储等重点环节,推广使用安全可控密码算法,大力提高应用安全水平。

  规范接收授时信号。数据中心的时钟同步服务器,从北斗卫星定位系统、中国国家授时中心而不是全球卫星定位系统GPS 接收授时信号,避免因服务器时间错误导致系统运行紊乱。

  规范外包技术服务。使用外包服务是金融机构的普遍现象,明确“服务外包责任不外包”的基本原则,加强外包服务的风险管理,降低操作性风险和数据泄露风险。

  定期开展信息安全等级保护测评。根据《关于大力推进信息化发展和切实保障信息安全的若干意见》的精神,信息安全等级保护制度已成为我国网络安全保障的基本制度之一。金融业根据《计算机信息系统安全保护等级划分准则》(GB17859 - 1999)为基础的系列国家标准(包括GB/T 20269-2006、20270-2006、20271-2006 和22239-2008),普遍开展等级保护测评。

  建立网络安全保护网。金融业与国家级、行业级的技术支持单位建立密切的合作关系,充分利用国家、社会技术资源抵御大规模、有组织的网络攻击。

  3. 稳妥推进技术转型

  通过技术转型,可以显著降低对少数厂家、少数产品的依赖性,是提高网络安全可控能力的关键对策。

  开展试点解决关键性技术难题。农业银行科技与信息产品管理局总工程师叶又升和数人科技创始人王璞都曾提出,分布式技术架构最大的特点就是具备横向扩展能力,廉价服务器集群协同完成高并发访问或者海量数据处理,由软件实现硬件容错。不过,技术架构由集中式转向分布式是一次“蝶变”,在软件结构、数据结构、交易流程、数据存储、应急处置等方面都会出现众多变化,需要针对其中的关键性技术问题研究解决方案,并验证、优化其可用于高并发交易和海量数据处理。如前所述,可以选择非交易类、非核心类系统作为突破口。

  从主机向开放技术平台下移交易。为提高系统健壮性,一些机构曾经将尽可能多的交易处理环节上移到主机(含高端服务器),现在则将报文解析、安全检查、日志记录生成等操作下移到开放技术平台( 例如前置系统、中间业务平台),逐渐把主机转变为一个相对单纯的账户管理系统,形成“小核心,大外围”的格局。另一种做法,则是把整体交易数中占比达到60%~75% 的查询类交易(包括查询交易及交易处理的“衍生”查询交易)从主机转移到开放技术平台,后者通过数据库连接池访问主机数据库。

  上述做法可以形容为“数据集中,处理分散”,不对应用软件结构、数据结构做颠覆性修改,但达到了明显降低主机技术体系扩容需求的目标,甚至在相当长一段时间内不需要对主机技术体系进行扩容。

  建设新一代分布式核心业务系统。杜绝外部攻击、自然灾害以及操作性失误导致的安全生产事件完全不可能,应用行业提高业务连续性的对策是建设“两地三中心”技术体系,按照“优先恢复系统对外服务”的原则实现数据中心之间的快速切换,但这种主从机构或部分“双活”的技术体系投资大、利用率低,而且始终存在故障隔离、应急切换的“时间差”。分布式核心业务系统在若干数据中心内部署多个同时活动的交易处理节点,分别处理不同区域或不同种类的交易,数据中心具备相互“接管”交易处理的能力,从而把故障隔离、应急切换转变为日常交易处理流程的分支,具备应对安全生产事件的主动防御能力。

  建设分布式核心业务系统,可以形容为需要“数据分散,处理分散”,根据交易、数据特点采取“分区分库”模式重新设计数据存储结构,统筹考虑在若干个数据中心中构建多个交易处理节点,重新设计批处理流程,形成一个数据中心集群,实现了,比较彻底摆脱主机技术体系。

  2013 年6 月爆发的“斯诺登事件”,以及2014 年2 月27 日召开中央网络安全和信息化领导小组第一次会议,标志着我国对网络空间的认识和治理进入一个新阶段。有关部门加强协同、应用行业深度参与、信息产业奋起直追,才能持续提高网络安全可控能力,奠定网络强国的基础。(原载《金融电子化》)

责任编辑:王超

为你推荐

    暂无相关推荐
    合作媒体

    中国网络电视经济台 | 和讯银行 | 新浪理财 | 凤凰理财 | 腾讯网 | MSN理财 | 第一理财网 | 网易科技 | 中华财会网 | 电商中心 | 第一财经网 | 北京商报网 | 和讯科技 | 财新网 | 中国网理财 | 计世网 | 金融界银行 | 光明网经济 | 东方财富网 | 经济观察网 | 中国经营网 | 赛迪网 | 钱讯网 | 新华信息化 | 中关村商城 | 同花顺金融服务网 | CIO时代网 | 环球网财经 | 投资时报 | 钛媒体 | 中国金融新闻网 | 新华网财经 | 人民网金融频道 | 中文互联网数据研究资讯中心 | 中金在线 | 光芒网 | 大公财经 | 外汇 | 品途网

    微信

    QQ

    微博