各行业用户对信息系统的依赖程度越来越高,建立持续、稳定、安全的网络是保障用户业务发展的前提。当《网络安全法》的正式发布,各行业更加认识到网络及信息安全的重要性,当前众多银行系统均已部署防火墙、加密、身份认证、访问控制,备份等保护手段来保护信息系统的安全。
与此同时,安全问题日益严重,病毒、木马、黑客攻击、网络钓鱼、DDOS 等安全威胁层出不穷,而且技术越来越复杂,病毒、木马及黑客技术等融合造成了网络安全的巨大危机。为此,需要通过建立职位体验式实践的软环境,使实验室成为"安全技术高手"培养的前沿阵地,进而全方位提升技术人员的攻防技能并能够真正的实现由安全运维向安全运营转化。
构建信息安全实验室目的是能够使银行信息安全技术人员能够自行构建环境完成实验,其次可以对外购设备、系统进行验证性安全测试,再次可以利用竞技、实训平台完成攻防演练及攻防知识的学习。
文章目录
一、实验室定位
本着全面培养安全从业人员的创新精神与实践技能、综合分析问题和解决问题的能力的宗旨,将实验环境打造成工作职位理解和工作能力提升的平台,通过搭建具体环境及引入行业应用平台(攻防学习平台、攻防竞技平台)的实验组件构建符合实际业务应用的网络信息系统,并且建立职位体验式实践的软环境,以培养银行信息安全从业人员的实践能力、创新能力为宗旨,以提升攻防技能为核心,以实验资源开放共享为基础,以完善的实验平台为保障,全面发挥实验室平台的可学习性。
二、实验室建设需求
2.1 新购设备防护效果验证
面对市场各类参差不齐的安全产品其实际防护效果如何,需要有专门的实验平台提供对第三方厂商提供的安全产品进行功能及性能的全方位测试,通过全面的测试验证,能够使银行技术人员能够彻底了解新购或即将新购的安全产品真正防护效果,为后续的安全建设提供有力的安全支撑。
2.2安全防护体系需求
经过前期的信息安全发展与建设,大部分银行已建立了完善的信息安全体系,但在大的安全体系之下,仍然存在一些可提升点。为此需要建立专用的安全攻防实验室实现运维环境相结合的信息安全竞技及学习平台。
2.3 网络攻防演练需求
目前众多银行没有专门用于日常教学实训及攻防演练的环境,若需要临时进行攻防演练活动时,才进行演练环境的搭建。但由于演练的目地与人员能力不同,使得演练环境变得非专业(缺少专业人员建设与管理)与不健全(不贴近金融行业真实环境),使得实验室的建设效果达不到最佳的演练效果,影响攻防演练及攻防技能学习的效率与成效。且重复的演练投入可能出现设备与人员重复投入的现象,造成资源的重复投入。
当前攻防演练还处于人工阶段,由人工使用攻防工具一步一步的对演练目标进行渗透测试,对目标进行攻击。后期在由人工对攻防过程进行归纳整理,总结演练经验与报告。没有专业的、自动化的渗透测试平台来实现攻击渗透过程,效率相对低下,自动化程度不高。缺少一个自动化的可视化的专业化的平台。
2.4 提升运维人员安全技能的需求
当前大多培训多是意识层面来提高人员对信息安全的理念认识对自身的攻防水平的提升并没有卓有成效的提高,无法做到针对性的提高人员的安全技能能力与动手能力,无法做到理论与实践相结合,缺少与实际环境相结全的信息安全学习与竞技平台。
三、实验室环境构建
3.1 平台结构搭建
信息安全实验室平台网络拓扑构建方式,如下:
3.2 平台区域划分说明
- 技术研究/攻防实验及比武区
技术研究/攻防实验及比武区由服务器、攻防竞技平台、攻防学习平台以及应用服务系统测试区组成,主要用来提供应用环境搭建以及供内部进行攻防比赛、攻防学习使用。
对新购的应用服务器系统可部署在应用服务系统测试区进行功能验证以及熟悉系统配置方法。
- 旁路设备测试区
旁路设备测试区用于部署旁路设备(IDS、漏洞扫描系统等),一方面可以在攻防学习、攻防比赛过程中使用,也可用于新购旁路设备的功能以及检测效果验证。
- 互联网接入区
互联网接入区为整个实验室网络总出口,当需要从Internet进行渗透测试或进行远程操作需利用该出口进行。
- 技术演练区
技术演练区分为演练区1和演练区2,演练区1和演练区2一方面可用于进行攻防对抗另外还可用于技术学习。同时演练区1和演练区2还可以利用技术研究/攻防实验及比武区的信息安全竞技系统进行进行单兵挑战及网络混战,以真正检验安全运维技术人员真实的技术实力。
- 运维管理区
运维管理区主要用于该网络中各网络设备、安全设备及应用系统的日志收集、策略调整、知识库管理以及各系统的集中管控。
3.3 信息安全实验室功能
3.3.1基础功能
信息安全实验室基础功能主要由银行信息安全运维人员或由第三方专业安全厂商提供 "个性化"实验环境的构建。
同时,利用技术研究/攻防实验及比武区的信息安全实训系统开展信息安全意识、密码学与应用、信息系统安全、网络安全、数字内容安全、软件安全、信息安全工程、手机安全、协议分析与开发、数据库、程序设计、网站开发、操作系统应用、网络基础、路由交换等信息安全学习课程。基础功能具体描述如下。
3.3.1.1提供安全测试环境
为业务系统提供安全方面的测试;为安全评估及加固服务提供技术环境测试;为信息安全设备入网提供专业性能和指标能力测试,以此形银行本身的技术支撑平台。
3.3.1.2专业技术人员培训
银行信息安全岗位人员进行相关安全培训和实际操作试验环境,同时也作为和外部安全机构和组织的技术交流窗口。
3.3.1.3 新技术研究
为公司专职信息安全人员提供平台,进行信息安全前沿技术、SDN、各种攻防技术、业务系统和网元安全基线研究。
同时利用平台进行对新安全技术及新威胁场景进行研究,并根据具体场景实现虚拟化技术进行深入分析,为后续安全防护提供有针对性的防护建议。
3.3.2专项竞技功能
攻防竞技功能主要利用技术研究/攻防实验及比武区的信息安全竞技系统实现,专业技能的培养,需要对纷繁复杂的知识体系进行细分,将网络攻防技术中常用到的技术进行分类,或者按照黑客攻击的步骤,将这些技术分类细化,具体描述如下。
3.3.2.1攻防技能实训
信息安全竞技平台提供信息安全攻防技能实训功能,指导安全技术人员学习信息安全攻击技能与安全防护技能。攻防技能实训功能中包含密码学与应用、信息系统安全、网络安全、数字内容安全、软件安?div style="border-bottom:1px solid #aaa;margin-bottom:25px">浅析商业银行数据安全保护体系建设思路 阅读原文»
近年来,随着商业银行信息化的发展,信息系统越来越多的使用于日常工作,成为不可或缺的工具和手段。银行通过信息化大大提高其生产效率,从传统的柜面银行与24小时自助银行,再到手机银行,微信银行。银行的业务受理无论在空间和时间上都得到了极大的拓展,依赖于信息系统的发展而运行发展并壮大;
但是当银行正在利用信息化技术高效率的进行跨地域、跨国家的信息交流时,海量的如客户资料、营销方案、财务报表、研发数据等关乎企业核心竞争力的机密数据也随之被传输。信息技术本身的双刃剑特性也在组织网络中不断显现:强大的开放性和互通性催生了商业泄密、网络间谍等众多灰色名词,"力拓案"、"维基泄密"等事件让信息安全事件迅速升温,信息防泄密成为商业银行越来越关注的焦点。
本文结合目前数据保护技术现状及绿盟科技数据保护建设经验,对商业银行数据保护建设思路进行梳理
文章目录
一、商业银行数据保护的困境
1.1 数据存在形式多、访问人员多、存储分散、易传播
在商业银行内部,有海量电子数据,纸质数据,且一直处于动态增长状态,如用户基本信息,账户信息;应用系统源码,需求说明,设计说明文档:系统的用户名和密码;系统交付及规划资料:网络拓扑图、IP地址清单;安全设备的告警和自动生成的报告、日志;甚至于一些管理决策支撑信息:如银行经营状况分析报表、某分行业务经营报告、风险管理报告;市场推广活动情况、后督工作记录、拆借操作记录、贷款审批与发放记录、客户征信、董事会、股东会议等会议纪要等等。
这些数据大部分数据被分散存储在全行办公人员PC电脑中,移动存储介质中或个人邮箱中。这种分散的数据存储方式给商业银行数据保护工作带来很大的困扰,同时,人员办公又存在地域上的不集中,一旦发生数据泄露,会很快在全省及至全国范围内扩散。再者,每个机构对员工日常要求和管理的标准高低不一,人员安全意识不均衡,进一步增加了数据保护的难度。
1.2 数据泄露途径多
从数据存储侧泄露来看,这些数据被存放于办公PC,个人笔记本,个人邮箱,移动办公设备以及移动存储设备中。尤其是可移动办公设备和移动存储设备,容易因丢失或失窃发生数据泄露。
从数据泄露手段角度看,互联网邮箱,公有云网盘,WEB类应用都会成为用户存储和传播企业数据的工具。如某银行为了防止内部数据外泄,将所有办公终端U口全部进行了禁用。但其有一个办公业务应用,是内外网互通的,允许用户上传文档。为了便于日常文件传输,很多用户将大量的数据上传到了此平台。结果,这台应用服务器被攻击,上面存储的大量敏感数据被下载。
从数据泄露人员来看,商业银行内部办公人员,外部黑客,第三方外包人员以及合作单位或设备维护人员都有可能造成数据泄露。
1.3 数据价值定义不明确,保护工作重点不突出
在有些商业银行没有明确的数据价值定义标准,或者数据价值宣传教育不到位,致使工作人员对手里掌握和拥有的数据不能进行很好的估值,自然而然,对其泄露后产生的后果也就无从评估了。2016年,沈阳某银行在其装修期间将客户资料当废品进行处理,就是一期对客户资料价值错误评估的典型案例。设想,如果该行有明确的数据价值定义和评估标准,而工作人员对此标准又很熟悉,那么在对此类资料进行处理时,就有了处理的标准,而不是随心而为。
数据价值定义不明确的另外一个弊端就是数据保护人员的工作重心不突出,采用大而全的数据安全保护策略,不但自己的工作量大,成效低,不好开展,业务人员或其他部门人员的工作效率也因此而降低,数据保护工作得不到其他部门的认可,推进十分缓慢,甚至终止。
二、数据保护建设步骤
2.1 建立信息安全防护基础
商业银行数据保护建设是信息安全防护中的一部分。因此,在进行数据安全防护建设过程中,需要商业银行有良好的信息安全防护基础,例如机房物理安全,各安全域之间的访问控制,人员安全等。并已经建立完整的信息安全组织,和信息安全策略方针。目前来讲,国内大部分商业银行之部分建立已经基本完成,也就是说,大部分商业银行已经具备建立数据安全防护体系的基础条件。
2.2建立数据安全防护体系
数据安全防护体系的建设是商业银行数据安全保护的必经之路,整体规划,分步建设,有助于商业银行在逐步提高数据安全保护水平的同时避免资源的浪费,降低数据保护成本和工作难度。一般包括数据保护组织的建立,数据分类分级,数据保护控制策略制定,数据保护技术手段选取,数据全生命周期管理,以及审计与持续改进等内容。
2.3对信息流进行风险管理
在商业银行数据安全防护体系建设完成后,为了更加精细的控制企业数据的流转并防止泄露,一般会建立以业务流为中心的敏感数据动态流转风险管理,进一步防止敏感数据外泄。其内容包括敏感数据分布状况调研;明确业务系统使用管理人员;确定数据流转和处理方式;并借助第三方安全机构进行数据流转各环节的风险评估,发现薄弱环节,进行加固和修复,长期持续改进等内容。
三、数据安全防护体系建设思路
3.1 完善数据保护组织架构
近年来,伴随着商业竞争的加剧,数据保护工作已经越来越得到企业的重视。随之在市场上已经产生了数据间谍这类职业,他们受雇于某个企业,对其竞争对手的数据进行针对性的窃取。在很多企业也产生了专门的部门或职位来进行单位数据保护工作,可以预见,在不久的将来,这一职位或部门将出现在越来越多的企业中。
数据保护工作涉及到商业银行各个部门及所有业务系统和全行工作人员,因此,数据保护组织的建立过程中应该充分考虑到数据保护工作的系统性,建立完备的组织架构。一般分为决策组织,管理组织,执行组织和审计组织。
决策组织职责主要有根据公司发展战略,结合企业信息安全策略方针,制定符合企业业务发展的数据保护战略方针;并授权指派管理组织开展数据保护工作;对管理组织的工作进行指导和定期检查;对审计组织反馈的问题进行督导问责和解决。
管理组织职责主要有根据企业数据保护战略方针完善企业数据保护管理制度,规划数据保护建设项目;并向决策组织定期汇报数据保护管理工作情况;对执行组织数据保护工作进行检查和指导;配合审计组织的监督和检查。
执行组织负责具体的数据保护技术工作的实施和执行;并定期向管理组织汇报,接受和配合审计组织监督和检查。
审计组织职责主要是对管理组织和执行组织日常数据保护工作进行监督和检查,并将检查结果反馈给决策组织,跟踪审计问题的解决情况等。
各组织间的关系如下图所示:
没有评论:
发表评论