农村金融机构亟需建设新一代网络安全体系

左英男

(360企业安全集团，北京 100015)

1 农村金融机构网络安全的两大挑战

第一大挑战是IT基础设施技术架构的更新换代。近年来，由于农村金融机构纷纷下大力气发展金融科技，以求银行业务的创新和转型。在业务全面数字化的过程中，不可避免地会出现设备更新换代、暴露更大的攻击面、安全边界变得模糊、传统的安全防护手段失效等问题。

第二大挑战来自于外部攻击的升级。从威胁的视角看，当前，网络攻击的组织愈发周密，攻击手段和方法日趋复杂高级。漏洞产业化、军火民用化正对农村金融机构的网络安全发起新的挑战。同时，随着《网络安全法》的实施，国家在网络安全方面的监督力度不断加强，也给农村金融机构带来了求变的压力。

面对新的网络安全形势，农村金融机构应该有这样基本的认知，即：没有无漏洞的系统，没有攻不破的网络。要求各级农村金融机构树立新时代的网络安全理念，在不断完善被动防御措施的同时，要把网络安全体系建设的重点过渡到以持续检测和快速响应为手段的主动防御措施上。

2 新战场新实践，老战场新战法

农村金融机构的网络安全体系建设应当遵从美国SANS研究所设计的”滑动标尺模型”，如图1所示，从架构安全、被动防御、主动防御、威胁情报和进攻反制五个阶段入手，构建叠加演进的安全能力，有效解决安全问题，完整构建安全能力。

图1 滑动标尺示意图

“滑动标尺模型”可作为衡量金融企业安全能力的有力尺度。基于这个参考模型，360提出“新战场新实践，老战场新战法”的建设思路。

所谓新战场指的是需要保护的IT基础设施的范围在不断扩大，网络安全攻防的战场已经延伸到云计算环境、大数据平台、移动终端、物联网、软件供应链等新的IT基础设施。同时，持续创新的金融业务场景也会产生新的安全需求，需要新的技术方案去解决，比如互联网金融业务中的交易欺诈、爬虫机器人等安全问题。在这些新的攻防战场，应该采用创新的安全技术手段，把安全能力建设的重点放在架构安全和被动防御措施上，以较低的投入，获得较高的安全价值回报。

与此同时，在终端、网络边界、数据中心、应用、数据等传统的攻防战场，随着对手攻击手段的复杂化和水平提升，金融机构也需要采用创新的方法加以应对，着重建设主动防御能力，积极采用威胁情报技术、安全众测服务、实网攻防演练等的手段，通过持续不断地检测和响应，改进防御策略，提升安全运营人员的能力，形成安全运营的闭环，建设针对高级威胁的主动对抗能力。

目前，农信机构终端数量多、分布广，各终端安全防护系统分布式管理，无法做到信息共享，无法统一直观的意识到公司终端安全态势，导致在各系统中，工作量成倍增加。360终端一体化解决方案做到统一管理，包括资产、硬件、补丁管理等，存储个体都在一个服务器端软件统一管理，降低运维成本，提高工作效率。

3 基础安全架构需要与时俱进

在新的业务应用环境下，农村金融机构的基础安全架构需要演进升级。

以360ID智能身份安全解决方案为例，这套解决方案通过360ID软件，把手机终端作为认证器，提供指纹识别、人脸识别、动态口令等多因子认证能力，并且支持推送认证、扫码认证等多种身份认证方式，增强了金融业务身份认证的安全强度，同时在最大程度上保证了用户的使用便捷性。此外，360ID通过一系列的安全机制，确保其自身的安全，最大程度上实现了安全性与便捷性的平衡。

利用360ID身份认证机制，农村金融机构可以建立一站式单点登录解决方案；在云计算和大数据逐渐普及、安全边界逐渐消失的场景下，应该考虑构建基于“零信任模型”的新一代业务应用安全架构。

在新的安全架构下，身份成为新边界，应当根据设备、用户、环境、时间、位置、安全策略等多维数据，持续不断地进行风险测量，动态调整用户的安全等级，构建自适应的动态安全策略，提供业务应用的动态授权访问控制机制，解决金融机构在云计算和大数据应用场景下棘手的身份安全和业务访问控制难题。

4 建立以人为核心的安全运营机制

在360企业安全集团看来，安全的本质是人与人的对抗，人是诸多安全问题的根源，也是解决安全问题的关键，安全运营的各个阶段都离不开人的参与。网络安全体系建设能否发挥最大的作用，最终还是取决于能否建立一整套以人为核心的安全运营机制。

凭借安全专家的专业度，可以把现有的安全平台、设备等工具的效用最大限度地发挥出来，从而真正建立起从网络安全评估、安全规划咨询、渗透测试，到安全回溯一系列闭环的安全服务能力。

安全运营重要性之高，以至于2017年中国互联网安全大会更是把主题定为“人是安全的尺度”。在实际工作中，安全运营需要担负很多责任，包括被授予通报和处罚的权力；此外在安全培训方面，每年花大力气进行安全意识宣贯。通过以上安全的运营理念，再配合安全管理类手段，实现“可见、可控、可分析”的管理目标。

360企业安全集团针对农村金融机构的特征，可以提供银行终端一体化安全管理、银行内网高级威胁监测与追踪溯源、银行营业厅公共无线Wi-Fi安全与营销等一揽子金融解决方案。方案均建立在360企业安全集团多年实践积累的技术和经验之上，可以大幅提升金融机构整体网络安全水平，已经在全国多地落地实施。