构建关键信息基础设施保护立体屏障

洪蕾

从加大力度防范打击电信诈骗到彻查疯狂“羊毛党”，不难看出2016年信息安全热点事件的基本特征：前者面向个人，利用电信业、互联网漏洞，以远程非接触式为特征实施诈骗并变现；后者针对O2O电商或互联网金融平台的促销、返利或奖励活动，使用专业设备及软件，以“钻营”为目的，达成条件并获利。

两类事件对金融机构带来的损失，前者是声誉风险，后者是营销资金。在金融行业，尤其是我国相对封闭的金融IT系统中，这些损失尚可估量，而在新一轮金融全球化进程中，类似发生于2016年由黑客通过SWIFT（环球银行金融电信协会）系统多次“打劫”孟加拉等国央行实施巨额资金转移的事件，则更让金融业者警醒。“在基金行业，我们的威胁情报系统曾发现一种木马病毒——‘基金幽灵，攻击者通过它控制内网服务器去查询基金公司交易系统数据库，读取其委托下单信息。我们将这一情报上报监管部门，并配合执法机关展开抓捕，获得了该恶意软件从主控中心到用户端的样本。后续在更多用户中排查，我们发现有近600台设备感染了这一病毒，而这些设备主要分布于证券基金行业。”北京神州绿盟信息安全科技股份有限公司（以下简称绿盟科技）金融行业技术总监徐特接受记者采访时表示。

“金融业一直是APT攻击重灾区，这类攻击依托恶意程序潜伏于关键主机、服务器中窃取信息资产，往往会对金融机构造成直接或间接的严重危害。这也将是2017年金融IT风险防范工作的主线。”徐特表示。

威胁情报新生态

“要采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏。”在中央网信办近日发布的《国家网络空间安全战略》中也明确强调，要着眼识别、防护、检测、预警、响应、处置等环节，建立实施关键信息基础设施保护制度。

随着金融业务多元化，网络节点连接密度增加，网络结构日趋复杂，传统边界防护方法显然已不再适应新的威胁形势。要做到更有效检测、更快速响应，获取威胁情报的能力成为考验企业防御APT攻击能力的关键。

获取威胁情报在于“知彼”，对传统金融机构而言，首先其信息渠道的畅通度一般会低于安全厂商，其次他们对漏洞修补，特别是临时加固措施较为欠缺。“相比之下，绿盟科技更有优势。”徐特表示，“绿盟科技威胁情报系统（NTI）的独特之处就在于其接入了2000余台部署在企业客户内网客户端的安全监测监控设备，能得到许多一手的企业内网设备告警信息。另外，在金融行业，绿盟科技还为数百个金融行业客户的网站和互联网系统提供7×24小时监测服务。通过服务与上千余家金融客户有业务往来，已为300多个站点提供网络监测服务，绿盟科技积累了可观的行业网络安全数据。”

威胁情报一般来源于四方面：行业联盟的分享或交易、安全防护系统运作过程、研究人员的独立研究以及安全事件的调查取证溯源活动。其中，安全事件调查取证溯源活动是鲜活的、持续贡献并可检验证伪的重要威胁情报来源。“绿盟科技也曾参与金融业相关安全事件的调查取证，这些情报在面向不同用户、不同行业时得以分析、共享，也将成为我们用户对抗攻击、降低风险的有效武器。”

金融业一般都会部署防火墙、入侵检测系统、终端防御系统、身份认证系统等多个安全类软硬件产品，安全产品越来越多，但彼此割裂，绿盟科技也在有意识为用户构建一个更完整、更立体的安全防御体系。

安全服务新升级

我们希望我们的安全解决方案能实现智能、敏捷、可运营。徐特强调：“我们需要一个平台很好地管理既有安全设备，实现智能；也需要更有效地检测、更快速地响应，实现敏捷；同时也希望依托绿盟技术团队和来自合作伙伴、安全响应中心的外部力量，帮助用户实现闭环的安全风险防控。”

风险由资产、威胁、脆弱性三要素构成。其中，对组织而言只有脆弱性是可控的。来自IT系统内部的脆弱性往往表现为安全漏洞。金融行业现在最常见且分布最广的是应用漏洞。

针对漏洞管理，金融机构一般会使用系统漏洞扫描、WEB漏洞扫描、配置核查等设备，有时也会购买渗透测试、代码设计等服务，来进行多渠道的检查和修复。“以前的经验是在新系统上线、新设备上架时，会因为变更去做流程性的检测，一旦发现漏洞就尽快去修复。”徐特表示。

“针对这些来自本地的脆弱性问题，我们可以用平台的方式解决。第一，我们会收集不同来源的漏洞预警信息，包括协助客户建立安全響应中心（SRC）建立与白帽子社区的联系获取外部漏洞信息。第二，我们会参考威胁情报，同时利用内外部专家资源对是否修复漏洞提供决策支持，例如有些高危漏洞短期内没有公开的漏洞工具可利用，风险性就会降低，而对待已经公开利用工具但还未有补丁的漏洞就需要以最快速度处理。第三，基于平台，安全团队对漏洞进行扫描后能把修补工作分配给不同漏洞类型相对应的不同角色，建立一套标准的流程和漏洞管理工具。”

“我们希望构建全面立体的脆弱性管理体系，即依托绿盟科技企业安全管理平台（NESP），借助本地技术力量、云端获取威胁情报的能力及云端专家团队，云地人机一体，使得金融行业的安全运营工作更为标准化、流程化。同时，我们也希望将这套体系向能源、政府、运营商等其他行业领域复制延展，这也是我们的愿景。”徐特总结道。