左燕:网络安全深度防护体系研究与应用

2023-05-31 0 1,006

左燕:网络安全深度防护体系研究与应用

文 / 中国农行网络控制系统  左燕 秦玮 温景容

随著网络控制技术的加速发展,金融机构为提高顾客新体验和经营方式工作效率,渐渐将各种类型现代的金融销售业务展开网络化,透过各种类型网络应用领域为顾客提供更多无所不在的银行服务工程项目,这在给顾客增添方便快捷的与此同时也导入了大批安全可靠信用风险。为应付各种类型安全可靠严重威胁,农行以“强控制技术,保安全可靠”为最终目标,从积极主动防治、广度检验、两翼防卫三各方面构筑了重要信息安全可靠广度防雷控制技术管理体系,同时实现了从消极防卫到积极主动防治、从现代防雷到广度检验、从边界线防雷到两翼防卫的变革,非常大某种程度地提高了农行总体的安全可靠防雷潜能,为销售业务平衡运转提供更多了安全可靠保证。

左燕:网络安全深度防护体系研究与应用

中国农行网络控制系统总经理  左燕

总体控制技术构架

农行后期已创建服务工程项目域、地下通道域、使用者域三大重要信息安全可靠地区,并从终端产品市场准入和控管、地下通道检验和过滤器、服务工程项目存取控制等各方面积极开展了一连串工作。为应付日渐减少的安全可靠信用风险,重要信息安全可靠广度防雷管理体系工程建设主要就从积极主动防治、广度检验、两翼防卫三各方面构筑,如图1所示。

左燕:网络安全深度防护体系研究与应用

图1  重要信息安全可靠广度防雷管理体系数学模型

在积极主动防治各方面,主要就是积极开展农行恶意软件扫描器控制系统和管理制度工程建设、重要信息金融资产抽样调查及肖像等工程项目工程建设,积极主动辨认出恶意软件并展开复原处理,与此同时透过重要信息金融资产抽样调查及肖像提高安全可靠恶意软件紧急积极响应潜能。

在广度检验各方面,主要就是对网络流量的广度检验、可疑文件的动态分析,提高应付高级攻击和未知严重威胁的检验潜能。

在两翼防卫各方面,主要就是积极开展网络出口网络攻击实时防雷、态势感知及严重威胁情报平台工程建设,提高应用领域层攻击的实时阻断潜能和多维安全可靠综合分析潜能。

关键控制技术特色

1.积极主动防治。“打铁还需自身硬”,金融机构安全可靠管理体系工程建设首先要从自身出发,做好自身的健康检查和防治,提高免疫力,这样才能减少严重威胁来临时造成的伤害,同时实现从容应付。农行重要信息安全可靠广度防雷管理体系中,在积极主动防治各方面,积极开展了农行性恶意软件扫描器和复原工作,覆盖70多万台重要信息金融资产,形成了银行业覆盖范围极广的分布式恶意软件扫描器控制系统,创建了常态化的恶意软件扫描器机制,定期与按需相结合。与此同时制订了农行恶意软件扫描器和处理相关管理制度,理顺职责,对恶意软件展开分类分级和限时复原,创建科学的工作机制,并自研恶意软件管理平台固化排查处理流程,形成管理与控制技术相结合的安全可靠闭环控管,真正同时实现了安全可靠加固效果。

此外息控制系统的操作控制系统、中间服务工程项目层、销售业务应用领域层展开肖像,提取各层次、多维度的安全可靠相关属性特征,对重要信息控制系统形成自肖像和关联肖像,比如控制系统使用的Web组件类型及版本、开启的服务工程项目及端口、访问关系等,做到“摸清家底、认清信用风险”,为后续的恶意软件排查处理提供更多基础。一旦爆发安全可靠恶意软件,可以加速排查和定位受影响的重要信息金融资产,极大某种程度上缩短了信用风险暴露时间,提高恶意软件紧急积极响应水平。与此同时,利用重要信息金融资产标签肖像,可以积极主动积极开展有针对性的恶意软件扫描器和验证,极大地缩减恶意软件扫描器时间,且消除了全量扫描器可能引发的销售业务平衡运转问题,同时实现从消极防卫到积极主动防卫的变革。

2.广度检验。随著近年来越来越多的隐蔽性攻击,金融机构除了对已知特征的攻击展开安全可靠监测和阻断,还应积极探索科学研究对更隐蔽、更复杂的未知攻击展开安全可靠检验。农行在网络攻击广度检验各方面主要就从网络流量的广度检验和石蜊件的动态分析两个维度积极开展科学研究与实践。

基于网络流量的广度检验区别于现代IPS、WAF等基于特征规则匹配的安全可靠检验,主要就思路是透过对网络出口网络流量展开全时间捕获、存储、回溯、挖掘和大数据分析,将流量拆解为元数据,利用元数据创建各种类型微观分析数学模型,如异常HTTP/HTTPS通讯、木马心跳包等,同时实现流量特征基线、隐藏流量挖掘、可疑流量告警、积极主动外联监测等潜能;与此同时透过对原始流量存储,可同时实现对历史攻击行为的溯源分析。

基于石蜊件的动态分析主要就针对文件投递类攻击,透过对网络流量抓取、解析、还原、重组,提取石蜊件,展开静态特征匹配,并自动导入模拟沙箱运转。在沙箱监测可疑文件的运转过程,动态发掘其可疑行为,同时实现对未知病毒木马和恶意文件的广度检验。

与此同时,在整个防雷管理体系中,整合传统边界线防雷、流量回溯广度检验、石蜊件广度检验,形成了多层次的高级攻击广度防雷数学模型,如图2所示。透过重要信息共享、联防联动、关联分析等手段,从多个层次对可能的严重威胁展开广度安全可靠检验,并提供更多可追溯的审计重要信息,同时实现从静态到动态、从已知到未知的转化,提高了我行对未知攻击严重威胁的检验潜能。

左燕:网络安全深度防护体系研究与应用

图2  广度检验总体数学模型

3.两翼防卫。目前重要信息安全可靠严重威胁日渐严峻,攻击方式不断升级,现代的单点防雷手段早已失效,金融机构正在构筑两翼的防卫管理体系。农行在两翼防卫各方面一是不断扩展防雷层次,加强对应用领域层攻击的实时检验和阻断潜能,并针对实战化攻击提高检验的准确性;二是工程建设态势感知平台,导入严重威胁情报等外部资源,并综合利用内部多种日志和流量重要信息,展开关联分析,贯穿整个两翼防卫构架。

根据Gartner统计,目前75%的网络攻击发生在应用领域层。对此,农行不断加强应用领域层攻击防雷潜能,透过部署IPS、WAF等设备,制订有针对性的安全可靠防雷策略,对攻击类型和严重威胁等级展开分类分级,提高检验工作效率和运维工作效率,并及时追踪业界热门恶意软件,迭代优化防雷策略,增强实时检验和阻断潜能。此外,还科学研究实践了基于应用领域层会话的双向检验机制,透过对访问流量、返回流量的双向分析,并结合历史数据,感知恶意软件攻击和控制系统失陷等高危事件,提高安全可靠检验的准确度。

除了加强边界线的安全可靠防雷,农行还构筑了两翼贯穿的态势感知平台,综合利用网络出口、内网分区、终端产品/服务工程项目器等不同位置的安全可靠工具、网络流量、控制系统日志,并导入外部专业的安全可靠严重威胁情报,透过大数据关联分析等控制技术,设计安全可靠场景,配置关联规则,创建检验数学模型,充分利用部署在不同位置、具有不同功能的安全可靠设备日志重要信息展开统一分析,来同时实现贯穿式、集中式的两翼防卫,如图3所示。与此同时,态势感知平台与我行的金融资产数据库和恶意软件管理平台相对接,辨认出问题后可以直接定位受影响的金融资产,并形成恶意软件台账和工单,将问题及时分发到相应的部门,极大地提高了辨认出问题后的处理工作效率,形成闭环流程。此外,还可以和流量回溯分析控制系统对接,辅助展开安全可靠事件的分析定位和调查取证,为问题排查和处理提供更多基础依据。目前平台已接入一万多个日志源,日均处理日志超6亿余条,定义了上百套检验数学模型。

左燕:网络安全深度防护体系研究与应用

图3  态势感知平台构架图

应用领域价值

重要信息安全可靠广度防雷管理体系工程建设是农行整个重要信息安全可靠防雷工作的一个重要里程碑,透过积极主动防治同时实现了恶意软件严重威胁的辨认出早、积极响应快、处理准,提高了恶意软件防治、恶意软件管理以及恶意软件紧急积极响应水平,透过近三年的常态化恶意软件工作,累计恶意软件下降率达到94.3%。透过对流量和文件的广度检验,非常大某种程度地提高了对未知攻击严重威胁的检验潜能,多次辨认出并向安全可靠厂商通报未知攻击,并及时采取措施防止了严重威胁蔓延。透过两翼防卫,有效增强了网络出口应用领域层攻击防卫潜能,提高了抵御多层次信用风险的安全可靠防雷潜能,日均阻断各种类型攻击数十万次,提高了农行重要信息安全可靠总体防雷水平和对销售业务控制系统的安全可靠保证潜能,减少了网络攻击可能增添的经济和声誉损失,为农行销售业务的加速发展提供更多了重要信息安全可靠保证。

与此同时,本工程项目的科学研究实践成果对银行业的重要信息安全可靠防雷工作具有良好的普适性,有利于金融机构在日渐严峻的重要信息安全可靠形势下,利用科技手段提升销售业务的安全可靠性,减少网络攻击造成的经济和声誉损失,为金融销售业务的总体加速发展提供更多重要信息安全可靠保证。

左燕:网络安全深度防护体系研究与应用

参考资料

[1] 陈传鹏:《重要信息安全可靠肖像与智能严重威胁预警》,载《金融电子化》,2019.02

[2] 吕博良:《互联网金融应用领域攻击行为监控管理体系及数学模型科学研究》,载《中国金融电脑》,2018.11

推荐阅读

(点击图片查看精彩内容)

左燕:网络安全深度防护体系研究与应用

左燕:网络安全深度防护体系研究与应用

左燕:网络安全深度防护体系研究与应用

精彩内容回顾

实战 | Radware多维应用领域交付,为数字化银行保驾护航

观点 | 金融行业未来网络工程建设思索

思想汇 | 善弈者谋 胜天半子 :回望千禧年后四大行大集中往事

实战 | 拟态防卫控制技术在金融销售业务领域的应用领域

实战 | 金融科技助力建材供应链金融销售业务健康发展

关于仿冒我刊收费的声明

我刊自创刊以来,从未向投稿人收取过任何费用。任何以刊发文章为名向投稿人收取费用的行为,均属于对投稿人的欺诈行为。

我刊官网地址为 www.fcmag.com.cn。

我刊投稿邮箱为fcmag@fcmag.com.cn。

对于仿冒我刊网站、网页的违法行为,我社将追究其侵权责任,以维护我社和投稿人的合法权益。仿冒网站、网页举报电话:010-88232443

《金融电子化》新媒体部:主任 / 邝源  编辑 / 潘婧 傅甜甜

左燕:网络安全深度防护体系研究与应用

左燕:网络安全深度防护体系研究与应用

相关文章

发表评论
暂无评论
官方客服团队

为您解决烦忧 - 24小时在线 专业服务

BP宝库站

Hi,欢迎来到BP宝库,需要外包可联系qq:2405474279 WordPress、网站、SEO优化、小程序、爬虫、搭建外包服务应有尽有

我知道了