牛新庄：民生银行在信息安全方面的探索与实践

以下内容来自第十七届中国金融发展论坛 中国民生银行信息科技部总经理牛新庄的演讲

各位领导、各位同仁，很荣幸代表民生银行就信息安全主题给各位做一个交流和共享。我的主题分为三部分，包括整个互联网信息的安全形式、当前银行业面临的威胁以及民生银行在信息安全方面所做的一些工作。

前不久G20刚刚结束，在整个G20会议召开期间，国内的金融IT系统遭受到来自于境外有目的、有组织的一些威胁和攻击。可以说没有网络安全，就没有国家安全。当前网络安全面临很多复杂的形势，包括经济犯罪的威胁，呈现出利益驱使高、受害主体广、攻击方式多、社会危害大几个特点。另外黑客组织的威胁日益突出，据数据统计，中国可能有8亿台移动设备，随着这些设备的使用，我们遭受的黑客组织有目的的威胁，现在已经形成了一个地下的黑色产业链。而且这些攻击目标明确，攻击频繁，而且有组织、配合缜密，行踪隐藏，危害巨大。此外技术创新引发了新的威胁。我们可以看到近五年来整个技术的变革，导致整个商业模式的变化，在这个过程中，云计算、移动互联网、物联网、大数据、机器人、人工智能，整个技术的发展导致安全与应用推广的速度不匹配。 

目前网络攻击新常态呈现出八大趋势，即攻击对象从传统IT向核心业务系统转变，攻击目标从打哪指哪向指哪打哪转变，攻击手段从纯技术入侵向高级组织攻击转变，攻击路线从定向入侵向旁路入侵转变，攻击途径延伸到无线网络和移动终端，攻击意图从短期获利向长期经营转变，攻击收益从系统控制向数据获取和盈利转变，攻击源从单枪匹马向有组织转变。

针对互联网安全新形势，我下面讲一下民生银行面临的信息安全威胁与风险，也可以说是国内银行面临的普遍情况。我们可以看到，今年以来，整个银行外部的安全形势日趋复杂和严峻，从今年2月份以来，整个国际形势上来看，从孟加拉央行、阿联酋投资银行，再到泰国，银行都遭受了不同程度的攻击。APT攻击、多态变形的恶意软件攻击、0Day攻击等多种手段层出不穷，这一年多来，从民生银行内部的安全系统监测来说，这个趋势呈逐渐攀升的状态。所以可以这样说，随着技术的发展，银行和金融系统面临的安全威胁和攻击非常严重和复杂。 

而且银行面临的挑战是互联网金融应用不断拓展，外部银行关联系统防护参差不齐，安全防护短板仍然存在，随着互联网放大效应银行安全事件的影响，声誉风险无限放大。新技术、新架构带来新的风险。安全有的时候不是一个点，是整个面，这个面不是说我做好银行内部的风控，做好整个的IT治理就可以了。安全是受到一种新技术，受到来自于整个外界的安全威胁，如果我们把银行IT系统比做一个城市，安全威胁更多来自于城墙之外，而我们的开发和运维更多来自于城墙之内。在互联网环境下，信息泄露和滥用问题日益严重，大数据依托海量数据集中，一旦泄露，其危害不堪设想。近年来，金融业的数据泄露事件触目惊心，影响甚广，一旦被不法分子利用，产生的身份冒充、钓鱼诈骗等违法事件极其难防。而且同时信用滥用的现象非常普遍，包括现在的电信欺诈等等。 

刚才跟大家交流了一下对于金融行业来说，我们面临的宏观的、行业的安全形式和发展态势。民生银行非常重视信息安全工作，下面给大家分享一下我们在信息安全方面所做的一些探索。民生银行基本做到检测全覆盖，我们高度重视数据保护，高度重视安全合规，搭建了全行的的安全体系。民生银行信息安全的总体框架包括安全愿景、安全架构、安全运营、安全开发、网络安全、渗透测试、制度合规和创新预研这八方面，做了大量的工作。下面我分别给大家做一下汇报。

安全愿景方面，我们是希望能够做到一个行业领先、国内一流、立足民生、面向集团的目标。具体来说，包括引入前沿的先进的技术，建立了专业化的信息安全平台，完善了安全制度和规范，提升了信息安全技术的支撑能力，完善了信息安全的响应机制。所有这些都离不开一个高素质的团队，所以目前民生银行高薪聘请了一支安全队伍，打造一支能打硬仗的安全队伍。

这张图是安全架构，比较偏技术，我简单介绍一下。最下面是基础安全防护体系，包括网络安全、终端安全、应用安全、系统安全以及应用安全服务；往上是安全处置中心，包括漏洞预警、情报中心、威胁态势感知系统、应急响应、合规检查；再往上是安全检测，包括实时流量监控、日志采集、流量检测、恶意地址、安全预警、渗透测试、漏洞验证、攻防演练。最上面统一的服务接入层，包括认证接口、密码服务接口、数据安全接口、统一采集口以及安全可视化接口。 

在安全运营方面，我们搭建以数据为基础，充分整合安全和行为相关的数据资源，以运营团队为核心提升我们的数据分析能力，以安全场景为驱动深入挖掘数据潜在的安全风险，以平台为支撑，构建整个安全的大数据体系。我们希望通过广泛的数据源的采集，再加上深层次的大数据的金融分析能力，来形成一些对信息安全的洞察。通过对日志、情报、流量的采集和分析，我们可以支持各种形式的数据源，具备一种日志、安全事件与网络活动收集、正规化安全等报警能力。这是我们内部搭建的一套系统，我们以安全场景为驱动，深入挖掘存在的一些安全风险，比如说攻击是什么？攻击成功了吗？我们在哪儿发现他们？涉及多少目标系统，事件的关联性，以及证据在哪里。

在安全开发方面，安全其实是贯穿整个软件开发的生命周期，通常安全出了问题以后，我们是在事后发现，但是安全其实应该从源头到终端全过程，所以说过去我们的安全团队在开发的时候，通常上线以后再测试发现有漏洞，其实这些都已经是事后了，然后再去修改，就会非常低效。现在我们把安全团队嵌入到整个的开发中，也就是说在上游希望这个安全团队的嵌入，能够解决80%的问题，对于非常高级的、有难度的问题，再通过安全专家来发现剩余20%的安全问题。我们在需求与设计阶段、开发与测试节、部署与响应阶段，以及流程优化及其他阶段，2015年我们整个银行业的漏洞分析发现问题发展严重，与安全开发的一些信息泄露类、未授权访问类、跨站脚本类、重方攻击类，从开发角度来看，主要体现为越权防范、跨站防范等方面的工作。我们去年发现以后，把整个安全团队嵌入到开发过程中，实现全流程的端到端。 

同时我们加强对操作风险的管理，希望这些终端管理的目标是可管理、可审计、安全可控；我们完善各类终端的安全标准和制度，健全管理工具，重点是做好终端层的数据防泄密工作。我们往往会发现，今天我们做了一个业务创新，明天在别的银行就可以看到这份文件。从2015年2月份以来，我们对终端的操作管控严格，封闭了所有入口，包括邮件、USB口等等，尽量减少这种情况的发生。 

还有一个是渗透测试，我们的目标是面向全行业务系统，从攻击者的角度，及接近实战的技术手段进行渗透测试，这就需要我们内部有目的地做这些工作，做模拟演练。我们建立银行业一流的专业渗透测试队伍，实现对全行应用系统安全漏洞的统一发现、统一管理、统一修复，实现安全漏洞挖掘、方向的智能可控。我们还搭建了一个漏洞管理系统、漏洞预警系统以及可视化漏洞分析系统、漏洞扫描系统、网络安全威胁处置系统，目前来说我们整个安全团队有40多人，这两年来我们对人才的引进，我们希望通过对一些高级人才的引进，搭建两支队伍相互攻防，能更好地发现一些问题，未雨绸缪，防患于未然。在业务不断发展的过程中，如何做到业务安全，有的时候在业务发展过程中出现一些大的事件，所出现的监管的不信任，对我们的业务影响非常大，所以我们必须要有这样一套渗透测试的队伍，来解决这些问题。 

制度和合规方面，我行已逐步完成信息安全体系规划建设工作，内容涵盖信息安全的总体策略、信息安全的组织管理、应用系统开发和测试运行、信息系统安全管理培训等等。从银监会、信息监管部门的IT治理的角度来说，我们整个安全、风控，在2014年通过了ISO27001和CMM认证，我们希望参考业界的信息安全的管理体系，以及我们自身的安全管理体系，依据信息安全监管的要求和实践，来建立健全整个信息安全保障体系。

创新预研方面，基于大数据，我们搭建了一套安全情报处理系统，探索建立以情报平台为核心威胁情报处置中心，目标是构建协同防御的大脑，在传统防护体系的基础上，建立基于情报的大数据分析平台。由此为基础来实现大数据的智能化情报体系，围绕业务面临的安全威胁，提供安全处置和保障业务服务。这张图是我们整个的框架，在这个框架里面我们可以看到我们民生银行在安全情报威胁衷心的一些愿景，在这个愿景里边我们分为几个阶段来实现，因为时间有限我就不展开讲了。

大家都知道，基于现在的安全体系下面，可能很多安全问题很难解决，有很多底层的问题，不是我们这个层面能够解决的，所以必须要有更高的技术来做。在前两个月，我们国家也发射了第一颗基于量子通信的卫星，我们民生银行也进行了参与，增强系统安全性，建立纵深防护体系。 

这里我想做一个总结，我们希望全面感知是基础，异常行为是线索，分析能力是关键，响应处置是根本。安全这条路还很长，我相信各个银行的科技部都面临这样一个问题，因为安全是一个最底层，今天很多的安全问题不是光靠你一个单位所能解决的，更多的是城墙之外的事情。

在这一块我们也分享一些经验，我们民生银行除了我们自己，也积极地跟国内外的同业做一些交流，我们跟国家信息安全测评中心、跟总参三部、公安部，以及国内一些知名的安全公司展开长期的合作。安全是城墙之外的事情，它不是一个点，它是需要由一个点连成一条线、一个面，建立一个纵深的防护体系。

很多安全问题不是在银行这一端，大家都知道近年来有很多第三方支付的平台，我们也经常登录各个网站，录入一些信息，有的时候你都不知道你的安全，你的各种信息的泄露是发生在什么地方。所以它是整个国家层面的纵深的防御体系，在这个过程中，各个同业横向和纵向的沟通非常重要，需要方方面面的协同。所以安全的一些工作应该说随着技术的进步任重道远，今天由于时间有限，很多方面就不展开，我们也希望同业之间多多交流，也欢迎同业到我们民生银行来做交流，谢谢大家！

转自微信公众号金融电子化