持续加强网络安全治理 构建安全保障技术体系

◆唐 彬



持续加强网络安全治理 构建安全保障技术体系

◆唐 彬

(中国人民银行金融信息中心)

随着互联网的发展，国家高度重视网络安全和信息化工作，网络空间已经成为继陆海空天之后的第五大主权领域空间。习近平总书记多次讲到了网络安全和信息化的问题，并明确指出，金融等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标。

人民银行在党中央和国务院领导下，依法承担“制定和执行货币政策、维护金融稳定、提供金融服务”的职责，其中国库信息处理系统、中央银行会计核算数据集中系统、货币发行系统、账户系统等关系国计民生的重要业务系统和网络是其履职的重要保障。人民银行网络基础设施处于银行业的中枢地位，同时金融服务的范围不断拓展到财政、税务、海关、公安、高法、社保等重要领域，已成为至关重要的金融信息化高速公路。SWIFT（国际电讯组织）资金盗取，俄罗斯央行失窃事件警钟长鸣，在网络攻击和渗透的频度和强度大幅提高的现状下，人民银行网络安全直接关系中央银行履职和金融市场稳定。

为此，人民银行近五年来持续加强网络安全保障体系建设和队伍建设，在预警、防护、检测、响应、恢复、优化等各阶段持续完善，保障业务连续性，健全网络安全防护检测能力和协同响应体系，守住未发生重大网络安全事件底线，安全保障能力在历次网络攻防演练及多次重大安全事件应急响应和处置中得到检验。

一、顶层设计，规划先行

2014年，国家提出加强网络空间安全总体战略，人民银行基于网络安全工作现状，切实分析网络安全工作面临的形势和存在的问题，以问题为导向，以攻防为重点，依托工作实际，编制了《人民银行网络安全规划》（以下简称《规划》），从健全组织体系、推进自主可控、完善管理体系、优化技术体系、夯实运维保障、推进业务连续性管理、创新安全服务、防范外围风险、加强标准化和研究宣传等方面明确了未来网络安全工作的主要任务、重点工程和实施的保障措施。在2017年《网络安全法》正式实施后，以及《国家关键基础设施保护条例》、《网络安全等级保护条例》征求意见过程中，也根据上位法和条例进行调整。

在行领导重视和各部门配合下，《规划》执行顺利，一系列安全建设项目按序按需顺利实施，安全防护、安全监测、响应处置、网络攻防等能力得到了全面提升。

二、持续优化，确保合规

规划落地后，持续优化是保证规定动作不走样、风险隐患看得见的关键，需要从两方面落实。

一是扎实开展等保检查，确保整体合规。人民银行统筹网络安全合规性和风险性，开展重要信息系统安全检查和等级保护测评工作，促进提高人民银行重要信息系统安全防护能力和水平。同时，跟踪历年安全检查和等保测评工作问题整改情况，形成问题清单，推动整改使得问题收敛，达到以查促改的目的，全面提高安全防护能力，铸牢网络安全第一道防线。

二是通过重要时期保障工作，实现单点突破。为加强重要时期网络安全保障，全面排查重要信息系统存在的突出问题和安全隐患，人民银行以风险为导向、基于技术手段（包括渗透测试和安全工具检测），从系统应用软件安全漏洞、系统安全配置和系统应用安全等层次发现重要信息系统存在的问题，重点开展高风险网络区域和新上线系统的渗透测试工作，以战代练，以查促改，结合外部形势做好内部检查和改进工作。

三、补齐短板，自主可控

“加快推进国产自主可控替代计划，构建安全可控的信息技术体系”是国家战略，避免核心技术受制于人，安全基础设施的全面国产化也是金融行业面临的共性问题。为此，人民银行开展多种尝试和实施。

首先，研制建设“基于自主可控的终端安全主动防御技术及应用”项目，实现了终端安全的全面自主可控，在全行12万终端，上千台服务器全面部署，全面替换了国外品牌的终端安全防护系统，扭转这一领域依赖国外厂商的被动局面。系统建成后在2017年“512勒索病毒”等重大安全事件的预防、处置中得到检验。

其次，完善PKI/CA体系、支持国产密码算法、全国数据集中的电子认证系统，支持发放RSA1024、RSA2048和国密SM2三种算法数字证书，支持业务系统实现身份认证、签名验签、数字信封、传输加密等应用场景，为业务系统提供抗抵赖、数据完整性和保密性等安全基础服务。

四、纵深防御，持续检测

“419讲话”指出，维护网络安全，首先要知道风险在哪里，是什么样的风险，什么时候发生风险，正所谓“聪者听于无声，明者见于未形”，而对于风险的探测，要做到关口前移。为此，人民银行从攻击者视角出发，建设了纵深弹性自适应防御体系以及持续监测体系，两套体系互相比对，构建零信任模型，互相促进并且发展。

纵深弹性自适应防御体系参照了业内成熟的“河防”和“塔防”思路，结合攻击链模型优化防御体系，根据钻石模型开展攻击者分析。通过安全域划分，协议栈收敛限定攻击路径，在重点防御路径上依照OSI模型对不同协议层开展攻击阻拦和降级，依照风险接受度及人财物圈定适度安全。同时，在安全运营中辅助开展毒性测试以增强组织防御的强韧性以至于自适应升级，保证安全生态体系保持自适应进化。

持续监测体系包括覆盖全部攻击路径的实时监测，对各主要网络节点的流量日志、终端日志、主机日志、应用日志等进行统一采集、存储，从各网络协议栈和应用技术栈进行关联分析，有效发现各类威胁和攻击。在不断完善和丰富基础数据的同时，保障告警准确度，聚焦高风险和实质威胁事件。提升检测分析效率，实时监测安全态势、展现即时态势。原始日志保留时间不短于六个月，有力支撑攻击回溯分析。

在纵深防护体系和监测体系的互相印证下，实现了监督和改进，监测促进防护加强，防护加强后降低监测误报率，两个体系均实现进化，完成数据中心网络安全防护一盘棋。技术手段包括通过安全隔离，基于安全域划分，实现基于链路层的网络安全隔离，按“原子化”原则细致管理访问控制策略；完善防护措施，基于协议栈和技术栈，在攻击路径各个节点预置“埋点”，形成整体防护、实时阻断；丰富技术手段，从防御、阻断、降级、欺骗等方面形成多维防御和技术异构，不断优化防御策略细粒度，在保障业务平稳运行的同时完成有效防护。

五、安全运营，快速响应

安全运维是保障安全和业务活下去，而安全运营的期望是对安全保障业务活得好。

安全运营工作包括基于自适应安全架构，加强持续监测和分析。在预防（感知）方面，持续开展对关键基础设施、新技术、关键产品、核心算法的网络安全风险评估。防护方面，优化策略集、产品集和服务集，做好加固、隔离和攻击转移，加强信息系统生命周期安全管控。检测方面，建立覆盖各IT栈层的监控体系，整合内外部威胁数据，提升安全威胁感知能力。响应方面，从“应急响应”转变为“持续响应”，构建监控分析和响应处置体系，主动监控和持续分析攻击痕迹，建立事件持续响应处理机制。

通过安全运营，对上向行内及信息安全主管单位汇报，对内向业务部门沟通，对外协调专业队伍及厂商力量，形成合力，构建网络安全应急响应协同机制，显著提升了安全运营水平；有效串联预警、防御、监测、响应、恢复、持续优化等安全运营各环节，成功处置了“心脏滴血”、“Struts 2”、“永恒之蓝”等重大安全事件，通过安全运营，保障安全水平持续提升。

六、凝聚共识，行业协作

银行业信息安全，加强合作，守望相助。依托银行业数据中心联席会议平台和协同运维机制，促进同业交流和信息共享，充分发挥联合优势，凝聚共识、互相借鉴，共同打造安全可靠的银行业IT基础服务。面对金融机构网络日趋开放、互联的特点，运用互联网思维解决新时期网络安全问题。单个金融机构在网络带宽、服务器处理能力、安全人员等方面有局限性，需要统筹谋划、聚合多方面力量，探索构建集中、共享使用的网络防护平台和威胁情报共享平台，探索建立银行业专家库，探索在重大安全事件分析研判处置中的互助机制。

当今世界，信息化发展很快，不进则退，慢进亦退。下一步，随着“数字央行”战略的推进，云计算、大数据、移动化等新兴技术的应用，必须有相应的安全保障技术体系与业务发展相适应。人民银行正积极开展研究，规划设计下一代网络安全保障技术体系，以数据安全为核心，构建基于“零信任”和“微隔离”架构的动态、纵深防御体系，建设安全态势感知平台，打造以数据驱动的智能化安全运营体系，真正实现主动防御。力争用4-5年，努力构建起“可知可信、可管可控、智能防护”的下一代人民银行网络安全保障技术体系。