可信纵深防御白皮书首次发布,网商银行高嵩:数字化银行需要更强大的“免疫系
银行在数字化转型过程中面临哪些新的安全挑战最近几年来,伴随着数字化的深入,各大银行正在加快核心系统的升级,以实现在线服务,提高运营效率和用户体验但不容忽视的是,数字化进一步加大了数据,资金等关键要素的风险暴露,使得网络边界更加模糊,传统安全体系捉襟见肘如何在复杂的安全环境下守住数字银行安全底线,确保信息安全体系可防御,全防御,正成为每家银行在数字化转型过程中的重要课题
"数字银行信息系统主要面临三种威胁,需要更强的免疫系统."在11月22日的金融街论坛上,网商银行首席信息官高松分享了该行在安全领域的观察一是线上服务和场景导致银行信息系统对外暴露的攻击面大幅增加,二是安全威胁级别提高,金融业务数字化后的攻击潜在收益增加,因此攻击者愿意投入的成本也更大,第三,安全与效率的矛盾更加突出原有的网络隔离技术和管理制度约束跟不上业务发展的速度,使得安全无法实施
针对上述安全挑战,在本次金融街论坛上,由北京前沿金融监管科技研究院和网商银行联合牵头的《数字银行深度可信防御白皮书》首次提出了深度可信防御的数字安全概念,并提供了详细的实现路径。
可信深度防御系统是一种新的安全防御体系架构,它以密码学为基础,以可信芯片为信任根,以可信软件为核心它服务于面向互联网的开放应用,确保应用所依赖的资源和行为在启动和运行时是可预测和可信任的其中,可信计算是一种新的计算模式,可以在实现商业计算的同时进行主动免疫保护,使攻击者无法利用已有的缺陷和漏洞非法操作系统
白皮书显示,不同于传统基于攻击方式被动优化拦截和阻断策略的思路,可信深度防御系统在面对0Day,社会工程,软硬件供应链等不可预测的高级未知威胁时,优势明显一方面,通过白名单控制策略,根据业务代码和流量数据,明确定义系统所依赖的预期可信行为,使意外行为无法发生,另一方面,可以针对硬件,固件,系统,应用等不同的防御平面部署多层次的防御体系,增加防御深度,使攻击者无法达到攻击目的或者在达到攻击目的之前被发现并阻止
图2:数字银行可信深度防御系统框架
以行业问题0Day漏洞防御为例在线系统中使用的硬件,操作系统,软件和服务中潜伏着许多未被发现的漏洞在没有被正式报道之前,基于这些漏洞的攻击方式和特征是不可预测的而在可信深度防御系统中,只有依赖业务并通过安全评估的行为才能被访问和执行,攻击导致的异常行为才能被‘免疫’高松说,可信深度防御可以有效识别‘自我’和‘非我’成分,摧毁和排除进入信息系统体的有害行为,不需要通过物理隔离等手段实现,兼顾效率和安全
中国工程院院士沈昌祥认为,主动免疫可信计算的保障体系是合法合法应对数字银行面临的高级未知威胁的最有效解决方案网商可信深度防御系统是主动免疫可信计算系统在数字银行场景下的良好实践,可以为主动免疫可信计算防御在金融行业和其他行业的有效应用提供借鉴和示范
伴随着数字经济的不断发展,数字银行信息安全防护体系的价值越来越重要,基础安全防护体系是确保银行客户信息和资金安全的基础,也是确保银行持续稳健经营的安全基石作为一家完全在线运营的原生数字银行,电商银行对可信纵深防御体系的探索,可以解决银行业数字化转型过程中安全团队与业务团队强耦合,安全应急响应慢,协同困难等难题,为未来信息安全防护体系的演进方向提供了范例