安全技术防护体系创新研究与实践

1、电子银行系统攻防技术体系创新研究与实践【摘 要】随着互联网金融的快速发展，网络攻击和木马病毒事件层出不穷，网络信息安全形式日益严峻。为了保护业务系统安全，防火墙、IDS、IPS、防病毒系统、身份认证系统、数据加密系统、安全审计系统等安全产品得到了广泛应用。虽然这些安全产品能够在特定方面发挥一定的作用，但各自为政且功能单一，彼此之间没有有效的统一管理和联动防护机制，不能互相支持、协同工作，从而使各个安全产品的应用效能无法得到充分的发挥。目前，互联网金融业务对信息系统的高度依赖，使得保障电子银行系统的安全显得尤其重要。本文在基于互联网金融模式的电子银行系统安全攻防技术的分析研究基础上，设计出一套以

2、威胁感知、智能防护、自适应应急处置为核心模块的智能化攻防技术创新体系。【关键词】互联网金融；威胁感知；智能防护；自适应应急处置Research and Practice on Innovation System of Electronic Banking System Security Defense【Abstract】With the rapid development of Internet finance, network attacks and Trojan virus events emerge in an endless stream, the form of network in

3、formation security increasingly serious. In order to protect the security of business systems, security products such as firewall, IDS, IPS, anti-virus system, identity authentication system, data encryption system and security auditing system are widely used. Although these security products can pl

4、ay a certain role in specific aspects, but their own political and functional, there is no effective unified management and linkage between the protection mechanism, can not support each other, work together, so that the performance of various security products can not be fully The play. At present,

5、 the Internet financial business on the information system is highly dependent, making the protection of electronic banking system security is particularly important.Based on the analysis and research on the security and attack and defense technology of electronic banking system based on Internet fi

6、nancial model, this paper designs a set of intelligent attack and defense technology innovation system with threat perception, intelligent protection and adaptive emergency disposal as the core module.【Keywords】Internet Finance；Threat perception；Intelligent protection；Adaptive emergency response一、概述

7、近年来，互联网金融模式下的电子银行以其方便、快捷的特性在全球得到了迅速发展。商业银行建立了集网上银行、手机银行、电视银行、电话银行、支付平台、自助终端、POS等多渠道于一体的电子银行服务体系。电子银行业务的出现彻底打破了服务时间和空间上的约束，使银行无处不在，特别是金融服务柜面替代率的迅速提升，电子银行服务逐渐变成柜面服务不可替代的交易手段。然而，技术革新在为银行带来巨大效益的同时，也带来了新的安全风险。在大数据、云计算、虚拟化、物联网等各种新兴应用的掩护下，安全威胁的感知和捕获变得越来越困难，传统安全防护体系已经力不从心，开始出现越来越多的防护缺失。要想安全，必须创新！为了有效防范和化解风险

8、，保证电子银行系统平稳运行和业务持续开展，亟需建立一套电子银行系统安全技术防护创新体系，以增强信息系统安全风险防范能力，并在商业银行进行试点示范及应用推广。二、研究的方法及内容（一）主要研究技术1.数据动态可视化技术丰富多样的数据可视化效果。包括：表格、树型表格、指示灯、2D图表(饼图、柱图、曲线图等)、3D图表(饼图、柱图、曲线图等)、雷达图、拓扑图、热度图、地图、烛线图、视网膜图、幻灯片、相框等等。不同的分析结果配以不同的可视化方式，更有效的传递了数据的价值。提供多样化的展现形式，直观的展现出相关分析结果。Ø 多样的布局定义Ø 灵活的仪表定义Ø 仪表可动态拖拽

9、布局Ø 仪表种类丰富：表格、树型表格、指示灯、2D图表(饼图、柱图、曲线图等)、3D图表(饼图、柱图、曲线图等)、雷达图、拓扑图、热度图、地图、星空图、烛线图、视网膜、幻灯片、相框等等。如下图：图1-安全态势图僵尸网络分布图多维的安全事件模型2.威胁感知技术按照事件的攻击链划分，结合安全人员对规则告警的日志分析，利用智能化的威胁感知分析模块从大数据分析的角度分阶段的(扫描探测、渗透攻击、入侵提权、安装工具和恶意行为五个阶段)给用户呈现出攻击的整个过程，从而识别出已知攻击威胁、0day未知攻击威胁、APT攻击威胁、网站安全威胁（挂马、篡改、敏感内容、WEB漏洞、DNS劫持、钓鱼攻击等）

10、等。3.大数据技术提供一套完整的数据管理系统框架，从“数据汇入、数据存储、数据分析、数据展示”全过程对数据进行管理。通过各种采集方式将不同异构源的数据集中汇入，将预处理后的数据进行分布式存储，基于数据特性建模并引用分析规则进行数据的挖掘分析，通过多类型方式按需实现界面可视化展示及交互应用。图2-大数据管理流程4.虚拟化技术通过软件定义的方式，实现所有资源的池化。利用各类虚拟化技术，将底层硬件抽象，对底层硬件故障进行屏蔽，统一调度计算、存储、网络、安全资源池。利用服务器虚拟化内核，实现了CPU、内存、I/O的虚拟化 ，通过共享文件系统保证云主机的迁移、HA、动态资源调度（DRS）和动态资源扩展（

11、DRX）。而分布式交换机预置的VxLAN技术可以实现多应用的虚拟网络隔离，分布式防火墙可以根据云主机的虚拟网卡提供四层的安全策略。最后，采用分布式存储技术，充分利用服务器内置硬盘资源，构建出完整的存储资源池，多副本（2-3份）技术、热备盘技术等保证了存储数据的高可靠，本地I/O技术、全局条带化技术等提升了存储系统的服务效率。图3-虚拟化逻辑架构5.私有云技术私有云可由企业自己的 IT 机构，也可由云提供商进行构建，可以安装、配置和运营基础设施，以支持一个企业数据中心内的专用云。主要包括私有云平台、私有云服务、私有云管理三个部分：私有云平台向用户提供各类私有云计算服务、资源和管理系统。私有云服务

12、提供了以资源和计算能力为主的云服务，包括硬件虚拟化、集中管理、弹性资源调度等。私有云管理平台负责私有云计算各种服务的运营，并对各类资源进行集中管理。6.沙盒隔离技术沙盒是在受限的安全环境中运行应用程序的一种做法，这种做法是要限制授予应用程序的代码访问权限。有时沙盒也叫沙箱，英文Sandbox。在计算机领域指一种虚拟技术，且多用于计算机安全技术。其原理是通过重定向技术，把程序生成和修改的文件定向到自身文件夹中。当某个程序试图发挥作用时，安全软件可以先让它在沙盒中运行，如果含有恶意行为，则禁止程序的进一步执行，而这不会对系统造成任何危害，可有效防范0day未知攻击威胁。（二）研究方法1.攻防体系模

13、型电子银行系统攻防技术创新体系是基于PRMAD攻防体系模型进行建立，形成以Predict（预测）-Reinforce（加固）-Monitor（监测）-Analysis（分析）-Dispose（处置）五个部分为主体的防护环，按照事前预测加固、事中监测分析、事后协同处置的原则，有效防范网络层、系统层、应用层、数据层等方面攻击威胁。攻防体系模型如下：图4-攻防体系模型2.攻防模型架构根据PRMAD攻防体系模型，形成以威胁感知、纵深防御、智能分析、联动处置的多层攻防架构，主要体现在以下三个方面，一是威胁感知。通过感知网络、系统、应用、数据等层面的攻击威胁，借助智能安全检测平台、网络安全监测系统、公有云

14、漏洞发布平台等，提前进行预判检测（主动检测和被动检测），有效识别出远程攻击威胁；二是智能防护。针对感知到的威胁进行全方位智能化的安全防护和配置加固，防止网络攻击、内部嗅探、权限提升及预留后门木马等内外部攻击行为；三是分析处置。建立自动化智能化的动态可视化监测分析系统，对网络、系统、应用、数据各层面进行全方位的监控分析，一旦出现重大攻击威胁事件，造成服务瘫痪或重要业务数据破坏，可及时通过自适应应急处置平台启动智能应急恢复；通过P（预测）-R（加固）-M（监测）-A（分析）-D（处置），可以有效防范信息安全技术风险。攻防模型架构如下：图5-攻防模型架构3.设计目标基于PRMAD攻防体系模型，有效结

15、合大数据分析、云计算、虚拟化、可视化、沙盒隔离等新型技术手段，充分利用现阶段信息安全行业技术手段，设计出一套以威胁感知、智能防护、自适应应急处置为核心模块的智能化攻防技术创新体系。4.设计思路本次攻防技术创新体系设计主要包括威胁感知、智能防护、应急处置、控制核心四个部分，其中威胁感知部分是利用虚拟化部署私有云的方式，实现本地化威胁感知，并通过采集接口实时收集内部交易风险监测系统、智能安全检测平台、环境监测系统、运维监测系统和外部钓鱼监测系统、仿冒APP监测系统、网络安全监测系统、公有云漏洞发布平台等监测到的威胁预警信息，集中呈现在动态可视化监测分析系统进行智能分析；智能防护部分是通过动态可视化

16、监测分析系统发送预警信息到安全中心，安全中心通过智能化安全防护平台或CMDB系统，联动安全防护产品及相关设备，实现及时阻断防护和安全配置加固，如遇未知攻击威胁且智能化安全防护平台阻断不了的，安全中心将搜索公有云漏洞发布平台或通过外呼指令到云端专家团队获取安全专家在线支持，提供解决建议；应急处置部分主要是电子银行系统在遇到重大损害或智能防护失效，由安全中心发应急处置指令到自适应应急处置平台，首先自动调取事件知识库，实现知识库事件应急匹配，启动自动化关联应急处置，如未匹配，将由安全中心通过指令外呼专家团队协助，如事件得不到有效解决，将由自适应应急处置平台启动灾难应急恢复；控制核心部分即安全中心，相

17、当于整个体系的大脑核心，可通过自动化或人工辅助下发指令，也可实现各个平台系统的安全管理，主要有监控管理、配置管理、策略管理、应急管理、知识库管理等功能，并预留各种管理接口，随着信息安全行业水平的不断提高而不断补充完善。图6-攻防体系总体设计图（三）攻防体系实践1.控制核心控制核心即安全中心相当于威胁感知、智能防护、应急处置等所有平台系统的核心，是攻防技术创新体系的大脑，实现集中监控、智能加固防护、自适应应急处置、专家支持等功能，可执行自动化控制和运行管理。通过动态可视化监测分析系统发送的预警信息，利用自动化技术手段，对已知可识别的攻击威胁，联动CMDB系统和安全防护产品，实现自动化安全配置加固

18、和安全产品联动防护；针对未知攻击威胁，可通过云端专家团队支持系统和自适应应急处置平台予以解决处置。图7-Security Center平台总体架构2.私有云威胁感知通过收集私有云威胁感知平台感知到的攻击威胁信息，该平台主要实现对系统日志（设备、系统、应用、数据）、安全事件（基于攻击特征、基于违规操作行为、基于非可信区域访问、设备故障等）等方面的自动化采集分析和动态可视化呈现。利用虚拟化、私有云、威胁感知、大数据、云计算、动态可视化等技术手段，通过采集接口，将交易风险监测系统、智能安全检测平台、环境监测系统、运维监测系统、钓鱼监测系统、仿冒APP监测系统、网络安全监测系统以及公有云漏洞发布平台获

19、取的攻击威胁信息，集中地动态可视化的分析呈现出来，进行研判，精准定位，并发送预警至安全中心，支持电话、短信、微信、邮件等告警功能，接受安全中心的监控管理。图8-威胁感知平台总体架构3.智能化安全防护根据动态可视化监测分析系统发送的攻击威胁预警信息，通过安全中心自动化控制，自适应关联安全防护产品组件，实现对环境基础设备设施、网络系统、主机服务器、操作系统、数据库、业务系统、中间件、应用软件等攻击威胁的联动防护，针对未知攻击威胁，可自动化联动沙盒虚拟化隔离防护系统、未知攻击威胁防护系统，实施快速有效的智能化安全防护。针对威胁感知预警指令，通过安全防护引擎，与自适应规则库进行匹配，根据物理层、网络层

20、、系统层、应用层、数据层的攻击威胁分类，关联相应安全防护产品，实施智能化安全防护。4.自适应应急处置接收安全中心下发的应急处置指令，并自动化联动控制网络切换、应用切换、系统切换、数据库切换、双机切换、服务启停、自动扩容、虚拟化资源动态调整和双活数据中心切换等技术手段，可调用事件知识库系统的应急模板，自适应联动相关设备、系统，进行智能化联动应急处置；如未匹配事件知识库规则，也可通过云端专家团队支持系统提供支持。根据事件知识库系统的应急处置模板，主要实现对基础环境设备设施、网络系统、主机服务器、操作系统、数据库、中间件、业务应用系统、加密平台、安全产品等应急处置，支持自动化控制，实现监测预警与知识

21、库事件匹配，自适应各类设备设施应急处置联动，也可通过安全中心，外呼云端专家团队提供支持。图9-智能防护及应急处置平台总体架构5.虚拟化部署私有云本次攻防技术创新体系充分利用虚拟化和云计算技术的有效结合，基于虚拟的服务器、网络、存储、内存等资源，集中管理和弹性资源调度，实现虚拟化部署私有云，提升资源的高可用性。构建一个私有云运算平台首先是基础架构，最重要的关键是虚拟化的导入，在完成虚拟化之后，整合既有主机、存储、网络资源，提升资源使用率，并迅速部署系统、应用程序。设计私有云的四个基本模块：资源池、弹性资源调整、管理自动化和自我服务。图10-云平台总体架构三、社会经济效益分析项目建设完成后，不仅可

22、以提高安全技术防护水平，全面降低信息安全风险。同时可以在广大客户中树立良好的安全形象，促进了电子银行业务的发展，具有良好的社会经济效益。Ø 提升信息系统的安全防护能力本项目的建设，将从单一产品防护的传统安全防护体系转变为以统一管理、威胁感知、智能防护、自适应应急处置的新型攻防技术体系，极大提高了电子银行系统的安全防护能力。Ø 在信息化建设中节约大量的建设资金建设电子银行系统安全攻防技术创新体系，采用虚拟化主机替代实体物理主机，避免了每个平台系统建设都需要购买昂贵的设备，节省了大量宝贵的建设资金，并符合国家绿色环保的政策，有效节省了能源消耗。Ø 培养一批信息安全专业人才本项目的建设，通过项目实施过程中的传、帮、带，可培养一大批专业的信息安全管理和技术人才，从根本