获奖单位:齐鲁银行
荣获奖项:信息安全创新优秀案例奖
一、项目方案
1.项目背景
当前,金融数字化浪潮方兴未艾,银行的数字化转型已经超越了信息的数字化或工作流程的数字化,着力于实现“业务的数字化”、“数据变现”等,使银行在一个新型的数字化商业环境中发展出新的业务和新的核心竞争力。在这样的背景下,银行业务系统越来越开放、终端类型越来越多、办公位置与业务开展越来越广。
尤其是在“后疫情时代”,银行传统的安全边界正在逐渐瓦解,基于传统边界的网络安全架构和解决方案难以适应现代银行的网络安全需要,业务系统的安全及业务系统承载的数据安全面临巨大的挑战。因此,银行在构建新的业务系统时,要比以往任何时候都更加重视数据的安全问题。
尤其是在疫情情况下,为响应政府要求,员工无法及时到岗已成常态,然而行内业务却需要持续推进,如何保持业务连续性也是我行考虑的重点问题。在此背景下,建立一套行之有效的底层基础建设与相配套的管理体系是极其必要的。如何通过软硬配套,保障数据安全更是重中之重:机密不离行,数据不落地,以提前应对于后疫情时代可能会带来的业务风险,保障数据安全性的情况下拓展业务。
不仅如此,在云化、信创趋势的背景下,终端虚拟化系统越来越多,我行也在多个场景使用终端云化技术,传统的网络边界变得越来越模糊,某些业务不可避免的被暴露在互联网上。而有组织的、以数据及业务为攻击目标的高级持续攻击(APT)能在此暴露中找到各种漏洞,突破银行的网络边界。银行内部的非授权访问、内部员工违规行为、有意的数据窃取等内部威胁愈演愈烈,来自内外部风险变得日益突出。
2.项目目标
我行在实现业务系统稳定、安全、有效运行的同时,要确保我行的业务系统安全和数据安全,确保移动办公、远程开发和运维背景下的数据安全建设,希望通过基于零信任的数字化安全办公空间系统迫切达成如下目标:
(1)满足合规要求,如数据安全法、个人信息保护法以及银行业政策标准等要求;
(2)通过安全技术手段降低行内业务系统的对外暴露面,降低APT攻击风险;实现对行内业务系统的数据隔离和保护,降低数据泄露风险;
(3)通过覆盖“入行—行内—出行”的数据全生命周期的安全保护与管理,来支撑疫情背景下我行基于远程访问开发平台的系统建设,保障业务开发的持续稳定运行;
(4)通过SPA、微隔离等技术手段,防范危险行径的扩散,保障离行远程办公的数据安全。同时结合云桌面特性,在远程办公中利用OCR、UEBA等深度学习技术分析,实现发生网络泄露事件时做到快速溯源,避免同类事件再次发生。
二、创新点
基于零信任的数字化安全办公空间通过对零信任中包括SDP,微隔离和IAM等技术的运用,结合桌面虚拟化技术、深度学习技术等,实现整体项目的“可成长”、“易落地”、“安全体系化”和“桌面云化”等创新结合。将访问流量“身份化”,在网络访问安全、业务数据安全及访问行为安全等方面,通过对不同业务数据、不同人员身份、不同访问环境的敏感级别的定级和管控,有效收缩业务系统对外发布的网络暴露面,减少被攻击的突破口,降低网络安全和业务数据泄露风险。
三、技术实现特点
核心零信任产品组件为零信任平台,由微隔离、客户端、安全大脑、安全代理网关、控制中心、桌面虚拟化系统六大部分组成,其中控制中心和安全代理网关参照SDP架构,进行控制面和数据面的分离,且架构也支持无客户端纯浏览器接入的场景。
同时,零信任平台支持微隔离,分离个人空间与工作空间,实现终端数据防泄密。通过对接终端虚拟化的流量接入,利用虚拟化技术实现数据“看得见,摸不着,带不走”的理念,对接核心办公承载平台,同时终端虚拟化也承载着我行信创技术探索的职能,在自身实现全信创的前提下也实现了“一云多芯”的信创业务开发平台建设。
基于零信任理念的SDP整体架构,同时结合数据防泄漏的终端虚拟化技术、身份认证的统一身份认证技术、终端访问行为审计UEBA技术、安全态势感知的行为分析技术,按照根据访问数据的敏感程度,通过分级管理、用户动态权限、依据数据流的数据全生命周期管理原则,实现基于零信任SDP的数字化安全工作空间。
在整个系统访问过程及数据访问的全生命周期中,主要从安全性建设和易用性建设等方面,考虑以下重点技术:
一是身份安全。在数据入行之前,基于移动办公、远程开发和运维等访问需求,进行行内员工的身份鉴别。我行基于零信任安全架构将数据访问“流量身份化”,实现先认证、再连接的“动态自适应访问控制”机制,保护业务系统的安全,为数据入行做好前期准备。
二是接入安全。在数据入行环节,零信任可信访问网关架设在用户与业务系统之间,为业务系统提供统一访问入口,在移动办公、远程开发和运维中,能够有效收缩业务系统对外发布的网络暴露面,减少被攻击的突破口,降低网络安全风险;同时使用国密算法SM2-SM4进行数据通道的安全加密,确保传输通道信息的机密性,同时也满足国密改造的合规要求。
三是访问安全。在访问请求入行后,零信任可信访问系统以人为主体、资源为客体管理访问授权,并建立对应用权限申请、审批和授权的流程化管理,实现对用户统一的权限控制和管理。从管理和业务系统出发,提供多种灵活的授权方式,如可以基于组织架构、用户角色等多种方式管理访问权限。针对我行的主要使用场景,所有web需求访问可通过web代理的方式实现,在突发临时远程运维时,可使用远程桌面代理方式进行;在远程办公场景下,虚拟浏览器可提供访问内部业务系统的能力;在内网开发场景下,系统提供虚拟桌面实现“数据不落地”的能力;在远程开发场景下,终端云化技术只对外展示指定应用,提供虚拟应用访问能力。
四是数据安全。在数据入行后,在PC端、移动终端采用微隔离技术和云桌面技术实现数据安全功能,实现隐私数据不落地,访问设备会被进行安全基线核查,核查其是否安装规定的安全准入软件以及其所处的网络环境是否安全,针对核查结果制定不同的数据访问策略,分配不同密级的数据访问权限,同时可以实时识别员工对数据的处理方式,如若执行高危风险操作,可将对其分配的数据访问权限进行收回,来确保数据的安全。如若数据落入非法用户手中,可对出行数据进行追踪溯源,构筑事前事中事后的数据保护策略,以确保数据的全生命周期安全。
五是终端安全。在数据入行后,我行对整个终端系统进行云化处理,基于超融合架构构建的终端云化开发平台拥有主机入侵检测、脆弱性扫描、外设管控等功能,以实现终端数据的有效保护。同时,对于在终端云化开发平台中流转的数据,实行硬件级别加密,保证了数据不落地,加密算法与内置存储硬件特征码的唯一信息绑定。即使将云终端的内置存储放在其他任何机器上,其存储的信息也无法被识别和访问。此设计能够有效的防止数据被篡改,保证本地系统的终端安全。
六是策略动态化灰度技术。在业务系统前部署SDP框架下的可信访问网关,通过可信访问网关的动态访问策略来强制执行我行设定的安全基线,作为信息化安全管理的最后一道防线,可以用于防止开发人员或外包人员直连生产数据库,防止将RDP等高危协议暴露到互联网/危险环境,对高危行为、风险行为、高危环境、风险环境进行防护。
七是接入效率优化。针对B/S架构可以通过免客户端登录,用户直接访问业务系统时进行零信任的多源评估(身份、环境、行为等);针对C/S架构仅需首次安装可信访问客户端,实现两步接入(身份认证、访问业务系统),无需进行额外培训便可轻松上手,同时可设置客户端永久在线及开机自启动,用户后续访问时仅做身份核查即可。
八是使用体验保障。建设的开发平台,我行员工使用时如面临单机资源不足可执行自助扩容申请。同时,也提供了单用户虚拟机导航条自助恢复快照功能,如我行员工误操作导致系统蓝屏、无法开机、数据丢失或者其他异常情况时,可以在客户端的导航条上恢复历史快照,使虚拟机快速恢复到某个历史节点。
零信任平台也支持对外开放API接口,将外部的第三方组件如终端检测与响应、态势感知、统一身份认证平台等集成到零信任架构来,并且控制中心和代理网关可上报数据至安全大脑,而零信任安全大脑将分析处置结果向控制中心形成风险通报,通过以上方式形成以零信任为中心的统一安全防护体系。
四、项目过程管理
此项目实施主要分为零信任平台上线、泉信动态码对接、零信任UEM功能系统上线三个阶段,并根据试点行上线运行的情况,为推广实施提出了优化需求。
零信任平台上线阶段时间为2022年1月,完成了零信任平台软硬件及网络环境部署,实现了云桌面的远程办公及远程运维功能;
泉信动态码对接阶段起始时间为2022年1月至2022年2月,完成零信任平台与行内认证平台的对接,增强辅助认证的安全性;
零信任UEM功能上线时间为2022年2月11日,完成UME功能模块部署、调试及上线。
五、运营情况
1.远程开发/运维场景
对于日常场景下,无法及时到达现场的开发、测试、三方/厂商/行方的开发、测试和运维人员,做紧急开发、排障、变更和调试工作,分给需求部门对应的虚拟桌面,通过零信任接入访问。研发侧的开发和测试人员通过桌面云访问开发测试系统,运维人员通过桌面云,访问堡垒机,做相应的应急处理。所有虚拟机与账户绑定,桌面云开启录屏和审计功能,通过分布式防火墙和边界防火墙严格限制虚拟机和用户的访问权限,并及时回收相应权限和虚拟机。
因疫情等突发因素,无法及时到达现场的开发、测试、三方/厂商/行方的开发、测试和运维人员,做突发疫情等情况下的日常开发、排障、变更和调试工作,使用方法如日常场景。所有虚拟机与账户绑定,通过分布式防火墙和边界防火墙严格限制网络访问权限;并且在疫情因素等使用期间,严格管理零信任对外资源发布时间,下班期间按照紧急办法处理。
2.远程办公低敏场景
因疫情等突发因素,为保障各部门的正常运行和业务开展,经风险管理部审核通过的部门,可提交远程办公访问申请,远程访问分为低敏业务和中敏业务,分别对应远程办公A和远程办公B,高敏业务原则上不允许通过远程访问。
低敏业务对应远程办公A方案,在互联网上通过零信任隐藏业务系统,员工通过安装专属客户端接入,屏蔽非法访问。一、手机端app通过联盟MDM访问,通过VPN和应用封装技术保障安全,在手机端进行审批,工单等简单的处理工作;二、对于必须使用pc端访问的应用,通过行内零信任客户端的UEM沙箱,在个人桌面上生成安全工作空间,开启屏幕水印,工作空间内文件落地加密、隔离、限制外发、剪切板拷贝等;开启虚拟专线功能,员工连接零信任期间,禁止访问互联网,限制仅能访问行内应用,网络也跟互联网隔离。
3.远程办公中敏场景
中敏业务对应远程办公B方案,在互联网上通过零信任发布桌面云资源。员工通过安装专属零信任客户端接入,屏蔽非法访问。在员工使用中,桌面云和零信任原生对接:提供零信任与云桌面控制中心联动,解决桌面云安全访问问题,零信任下使用云桌面控制中心二次登录问题;同时零信任提供用户接入加密及网络隐身的安全功能,桌面云提供完整的数据不落地的安全性。在云桌面通过vdc的分布式防火墙做到东西向云桌面之间流量的隔离,云桌面访问生产业务,边界防火墙隔离南北向的异常流量保障整个业务之间访问的安全可靠。
六、项目成效
1.经济效益
数据安全建设间接辅助效益主要是保障我行内部业务持续、安全、稳定运转,由业务产生效益,安全作为辅助保障。数据已成为驱动业务、经济发展的核心要素,数据作为驱动业务进步的“发动机”,保障其安全是我行应重点关注的。数据安全以数据为核心,通过对业务或场景梳理,建设贴身的、动态的、可持续性的数据安全体系(技术、管理、运维),保障业务相对安全稳定运行,保障我行发展战略更好落地。通过对业务及战略的有效支撑,从而实现我行业务线可持续、稳定的产生价值。同时有了数据安全保驾护航,减少因数据破坏造成的经济损害,提升我行数字竞争力和拓展数字经济空间潜力。
2.技术效益
我行通过建设数据安全体系,加强了业务保护能力、加大了数据防护范围、加深了数据保障能力,对我行原有以网络为中心的安全体系进行扩充完善,弥补传统防护技术短板,提升我行整体(可视、可控、可管)应对能力。新技术的应用是为了更好支持业务不断发展,在应用过程中,如何解决新技术产生的新风险则尤为重要,通过新技术的探索、建设和使用,提高了我行员工的技术水平,以数据为核心的安全体系建设,在业务技术与数据之间建立“护城河”,有效解决新技术风险对数据的破坏行为,也提升我行对业务的持续保障和管控能力。
3.社会效益
我行通过建设数据安全体系,保障了我行客户的数据安全,大大减少了我行客户数据的泄露风险,为社会稳定与公共网络空间安全贡献了我行的一部分力量。同时我行对数据安全建设探索的经验在行业内可复制性较强,对于行业内的安全体系建设探索提出了一个可行方向,也完成了一次较为成功的实践。
七、经验总结
通过数字化安全办公空间的建设,在“后疫情”时代下,确保我行的业务系统安全和数据安全,确保移动办公、远程开发和运维场景下的数据安全建设,在网络访问安全、业务数据安全及访问行为安全等方面,通过对不同业务数据、不同人员身份、不同访问环境的敏感级别的定级和管控,有效收缩业务系统对外发布的网络暴露面,减少被攻击的突破口,降低网络安全和业务数据泄露风险。
通过此项目的建设和经验积累,给予中小规模金融银行单位,在远程安全访问,网络安全边界模糊化后,如何保障业务安全的经验和方向。建立一套行之有效的底层基础建设与相配套的管理体系是极其必要的,通过软硬配套,保障数据安全。保证机密不离行,数据不落地,以提前应对于后疫情时代可能会带来的业务风险,保障数据安全性的情况下拓展业务能力。
更多金融科技案例和金融数据智能优秀解决方案,请登录数字金融创新知识服务平台-金科创新社官网案例库、选型库查看。