近年来,光大银行紧密围绕“123+N”数字银行发展体系,坚持“稳中求进、变中求机,进中求新”的总体工作要求,严守信息系统安全运营底线,有序推进信息科技数字化转型工作,以科技重点项目建设为抓手,推进移动化、开放化、生态化服务能力建设,打造数字化名品,赋能业务转型发展,为打造一流财富管理银行提供强有力支撑。 中国光大银行信息科技部副总经理 彭晓中国光大银行信息科技部
牟健君 洪超
当前,随着数字化转型的不断深入,关键信息基础设施已被视为国家的重要战略资源,面临着复杂多变的网络安全形势和外部环境。首先,国际政治形势风云变幻,新技术新应用发展迅猛,网络安全面临严峻挑战,我国关键信息基础设施面临的安全风险和隐患愈加突
出;其次,我国疫情防控形势向好并趋于常态化,但全
中国光大银行信息科技部副总经理 彭晓
球其他国家和地区的疫情防控形势依然严峻,经济恢复仍然任重道远,各类外部黑客组织活动频繁。金融行业是我国关键信息基础设施保护的重点行业,维护金融数据的完整性、保密性和可用性是金融行业的工作重点。加强金融关键信息基础设施安全保护已成为新形势下切实维护国家网络安全的迫切需要。
一、围绕数字发展体系,推进关键信息基础设施建设
近年来,光大银行紧密围绕“123+N”数字银行发展体系,坚持“稳中求进、变中求机,进中求新”的总体工作要求,严守信息系统安全运营底线,有序推进信息科技数字化转型工作,以科技重点项目建设为抓手,推进移动化、开放化、生态化服务能力建设,打造数字化名品,赋能业务转型发展,为打造一流财富管理银行
提供强有力支撑。
1.夯实基础,打造绿节能新型数据中心
光大银行以安全运营为主线,致力于打造高可用、高可靠、绿节能的新型数据中心。在机房基础设施建设方面,严格按照国标A 级机房标准及银保监会监管指引要求设计建设,通过双变电站独立供电
、应急柴油发电机组、UPS 不间断电源系统2N 容错、冷机及精密空
单相计数器调“N+X”冗余等供电及制冷措施,实现IT设备供电与制冷效率的高可靠性;在数据中心节能降耗方面,探索并推出包括冷通道封闭、AI制冷、喷淋液冷在内的“三位一体”的低碳数据中心解决方案,精准解决数据中心运营中的节能降耗痛点,不断夯实低碳绿节能的数字化“底座”。
2.业务支撑,建设多地多活核心承载网络
随着信息技术的发展,为更好地支撑光大银行业务发展战略,满足应用、计算、存储等资源大幅增长带来的数据中心基础设施扩展需求,结合应用架构分布式演进趋势,光大银行研究设计了面向多地、多活、多中心的核心承载网架构,支撑同城双活数据中心向同城多数据中心、多地多数据中心发展。
光大银行核心承载网定位为跨中心、跨地域的三层互联网络,采用业界广泛使用的“核心-汇聚-接入”分层分级的架构设计,为多地多数据中心全局资源利用率的提升提供高效、高可用的网络连接,提升业务容灾能力,实现了网络节点灵活扩展、业务流量动态感知、网络资源精细化管理的目标。 3.业务上云,构建金融科技创新服务平台
光大云平台历经多年持续建设,建成了覆盖全行的私有云平台,建立了贯穿基础设施、技术中台、业务平台多层次的安沃云工程体系。截至2021年10月末,光大银行应用系统上云率达到85%以上。
为进一步增强金融科技应用能力,光大银行自2020年起开展光大云平台3.0建设,该平台基于“双栈并举、一云多芯”安全可控的技术架构,打造安全可控的云技术生态。通过重构基础IaaS底层技术,引入分布式存储、对象存储、制品库等核心技术,基于原生Kubernetes集架构提供云原生应用的资源交付能力,增强平台纳管能力,提供公共服务能力,助力业务高质量发展。
4.智能管控,建设总分行新一代SDN网络
为持续优化网络部署架构,降低运维复杂度,光大银行在总行办公服务域、互联网服务域、网络大数据区域等积极开展数据中心SDN网络架构改造工作,整体遵循“分层—池化—资源”部署原则,将传统网络区域划分为安全资源池区和多个服务器资源池区,实现了安全资源统一和服务器资源隔离,在资源池内采用“租户隔离+微隔离”技术实现细粒度安全防护隔离,实现服务器间安全管控隔离。
为满足面向全行提供服务的分行广域网流量管理需求,光大银行建设了广域网智能SDN系统,整合了“管、控、析”一体化的广域网架构方案,实现对39家一级分行近百台路由器设备的统一调度管控,结合智能网管与流量分析平台,实现网络与业务可视化、网络细粒度检测与自动调度、自动化配置下发等功能;在线路管理方面,通过建立全局视角调度能力,全网部署SR-TE 隧道,实现线路资源高效复用,大幅降低了成本,提升了网络支撑能力和服务交付效率。
5.分布式转型,提升自主研发能力
为了加快实施分布式架构转型,光大银行在2020年发布了“北极星计划”,打造了一系列具有光大银行自主知识产权的分布式平台、DevOps平台,提升关键产品平台自主研发能力。“北极星计划”开展以来,在数据库领域,突破了数据库传统架构的处理瓶颈,正式发布了具有自主知识产权的“安沃分布式数据库系统(EverDB)”。截至目前,EverDB已在云缴费客户端、统一支付平台等多个业务系统投产上线,进一步支持光大云缴费、阳光理财、支付等重点业务的发展。
6.应用物联网,实现监管控防一体化
为实现数据中心物理访问安全管理,光大银行综合应用多种物联网技术,部署综合智能安全管控平台,目前已完成门禁、安防摄像头、访客机、人员定位系统、各类RFID标签、电子陪同仪等关键底层系统的接入和管理,实现了与行内流程审批系统、统一监控等流程的打通,并已将其全面部署应用在生产、灾备和开发测试机房内,建立物联网技术应用的统一框架,实现对人员、设备、作业信息的统一采集、分析和控制,推动数据中心的安全管控从“人防”向“技防”演进。
7.安全可控,推进信息科技创新发展
近年来,光大银行在基础设施创新方面积极落实人民银行相关工作要求,结合全行创新工作部署,按照“分批试点、规模应用、入围选型、逐步推广”的策略,安全有序推进网络及服务器基础设施的安全可控改造工作。
在网络信创改造方面,光大银行已实现总行香山、酒仙桥数据中心光传输领域信创100%覆盖率,同时分领域分阶段开展交换机、路由器、防火墙、负载均衡等网络设备的信创试点和规模化推广;在服务器信创改造方面,光大银行已对OA、邮件等多个系统完成创新型服务器的替换,同时为加强信创产品多样化发展及满足不同场景使用需求,引入创新型平台服务器设备,促进信创设备覆盖率逐步提升。
二、搭建安全防护框架,提升内生安全能力
近年来,新型基础设施、新一代核心承载网络、SDN软件定义网络、云平台、分布式架构及大数据分析等新技术新应用不断得到推广应用,在提升业务体验的同时也带来了新的安全风险。作为关键信息基础设施的运营者,光大银行构建了完备的安全防护框架,遵循安全防护措施与关键信息基础设施“同步规划、同步建设、同步使用”的原则,使安全成为信息化业务的内在属性,实现安全体系对信息化系统的全覆盖。
滤波装置
1.加强安全治理顶层设计,明确信息安全责任
一是在总行层面成立金融科技战略与信息安全管理委员会,负责全行网络与信息安全工作的最高决策。委员会的主要工作包括研究、决策网络与信息安全工作重大事项,协调推进全行安全工作的管理与发展。二是构筑信息安全治理的“三道防线”。信息科技部为第一道防线和全行网络与信息安全工作
牵头部门,负责制定和维护全行信息安全管理政策、策略和制度,开展信息安全管理、运营、技术管控及日常安全检查、评估和安全培训等工作;各级风险管理部门作为第二道防线,负责制定、监督和指导信息安全治理工作;总行审计部及五大审计中心负责对第一道和第二道防线的工作开展日常审计。三是主动落实高层网络安全责任。信息安全管理策略明确了信息安全第一责任人,信息安全工作得到了全行管理层的大力支持。
2.加大安全投入力度,提升安全组织能力挂马检测
在安全组织建设方面,经过数年的建设与完善,光大银行信息科技部已形成“1+4”的安全管理队伍架构,“1”代表1个处室,在信息科技部设置安全管理处,负责统筹全行的安全建设并开展安全运营工作;“4”代表4个专业团队,为加强安全相关领域的能力建设,分别在信息科技部的系统运维中心、软件开发中心、数据服务中心建立运维安全团队、开发安全团队、互联网测试团队、数据安全团队,承担各自所在垂直领域的安全工作。光大银行信息科技部持续加强人员投入和安全队伍建设,目前安全人员数量已占部门总人数的5%以上。
3.加强分支机构安全管理,构建量化评价考核体系
一是构建分行安全多维指标评价体系,推动分行安全整体水平的提升。信息安全多维评价指数作为光大银行安全度量评价模型中分行信息安全管理的抓手,度量和反映一段时间内分行信息安全综合健康
qam调制器程度及变化趋势,指标从安全检查和安全运营两个角度进行评价:安全检查为周期性工具自动化检查或现场检查所发现问题的多维度评价;安全运营为总行日常运维及运营监控、攻防测试、众测、渗透测试等手段所发现的问题的统一评价。二是在全行范围内发布《中国光大银行子公司网络安全管理实施细则》,对光大银行直接拥有控制权的公司以及间接拥有控制权但明确由本行直接管理的公司的网络安全工作进行指导与管理。
4.持续完善纵深防御体系,提升检测和防护能力
一是持续提升边界防护能力。光大银行在互联网、第三方接入等边界区域提升检测能力,通过抗DDoS、下一代防火墙、IDS、全流量检测、网络蜜罐、应用防火墙WAF、邮件网关、防病毒网关、移动App安全加固等工具及手段构建多源攻击检测和防护体系,持续提升检测和防护覆盖度、精确度及自动化封禁能力,并积
极推进网页防篡改、设备指纹、UEBA、可信技术、旁路封禁、动态防御技术的测试和试用。
二是构建更为强健的内网防御体系。通过网络安全区域隔离实现各个网络域的安全访问控制及生产网、测试网和互联网“三网”分离,通过网络全流量安全分析实现未知威胁检测和已知威胁精准识别,通过划分内网红线区域实施高敏感区域监控告警,部署内网蜜罐检测内部异常访问和横向移动行为,在服务器层面部署主机安全监测系统,实时监测主机入侵威胁,并通过漏洞扫描和基线扫描进行系统
和配置漏洞的检查,在终端层面部署防病毒、桌面管理、防泄密等客户端,保障终端安全。
高纯三氧化钼三是加强云安全防护能力建设。基于光大银行成熟的安全防护措施,结合云原生安全技术,聚焦云内安全,以“一个中心、三重防护”为安全技术体系设计框架,构建全栈云平台“纵深防御、异构互补”的安全防护能力。针对上云应用系统,按“应用”进行安全隔离, 划分纯虚拟机类应用系统、纯容器类应用系统和算力混合类应用系统,采用VPC、Namespace、Network Policy和安全组等技术手段进行细粒度隔离。针对云平台服务,提供多层次的纵深金融云安全防护能力,包括虚拟网络安全、虚拟化平台安全、云主机安全、应用安全以及管理服务安全等,构建检测、保护、分析、响应的综合云安全防御能力。
5.开展常态化安全运营,驱动安全保障提质增效
一是为提升信息安全运营能力,建设了信息安全运营指挥中心,配备信息安全运营全息视图大屏以及配套视频、电话、会议室、休息室等,开展全天候安全威胁监测和运营处置,实现及时预警、瞬时响应处置,保障业务和系统安全,实时展示全行安全态势状况。目前,信息安全运营指挥中心已进入常态化运行阶段,并组建基于安全威胁检测分析响应的7×24小时监控和处置队伍,从被动防御发展为主动实时响应。建立电子化安全威胁闭环处置流程,提升威胁响应效率。晴天小秘书
二是积极围绕“三库一中心”开展态势感知平台建设,深度运用安全数据湖及大数据技术对安全场景所
需的海量数据进行处理。2021年上半年,光大银行安全数据湖数据总量超过1.2PB,平台实时计算能力达到PB级,高频场景应用数据实时查询速度可达毫秒级,海量告警快速聚合压缩比率达0.15‰,助力抓取真实攻击,快速定位漏洞关联资产,实现系统漏洞预警自动排查,利用智能模型挖掘撞库、隐秘隧道等一般检测设备较难捕获的攻击行为。
三是通过安全数据赋能业务安全保障,进一步增强网络和应用的安全健壮性。2021年上半年,通过安全数据整理形成光大银行自有安全威胁情报库,为云缴费、手机银行、阳光惠生活等App提供安全情报服务,协助提升对黑灰产的识别和阻断能力,累计生成威胁情报数据量近40亿条,为业务场景提供情报数据,发现具有黑产特征的交易近1万笔,主动挫败10余起真实的有规模的网络攻击。
6.以攻促防,常态化开展实战安全攻防演练
光大银行持续开展正向纵深防护建设、反向主动验证的常态化攻防实战体系建设,建立符合自身特点、具有攻防兼备能力的信息安全运营体系。
一是秉持“以攻促防,攻防兼备”的理念,综合运用自有攻击力量、外部攻击资源,利用攻击渗透手段,通过互联网、专线、第三方、办公等多个维度,开展高频、常态化、实战化的攻防演练,持续发现安全防护弱点,不断提升威胁感知和实战防控能力,降低风险暴露几率。
二是针对暴露在互联网的资产,通过红队视角对实战演习中易被利用的漏洞和风险开展自动化评估和演练,持续监测资产暴露风险,提高风险和威胁识别能力。
三是建立日常演练和验证机制,以ATT&CK攻击框架为指导,建立场景化的监测防护有效性验证工作框架,利用自动化手段开展安全策略有效性验证,梳理纵深防御中的安全防护策略和检查策略,开展静态、动态策略相结合的有效性验证,通过分析和优化检测、防护
设备规则的有效性,建立策略运营新闭环,持续推进安全运营策略的优化和完善。
四是依托实战化、常态化攻防演习,丰富各类安全应急预案,优化应急处置流程和手段,开展各类桌面沙盘应急演练,有效提升了各团队协作及防守能力。
五是运用实战化方法,持续检验系统和人员的安全免疫度。通过定期发送攻击测试数据包、钓鱼邮件,检验总行、分行以及各机构的监测效果和人员的应急响应速度,实战化检验整体安全效果,提升人员网络安全意识,保障战时的安全状态和效果。
7.加强安全左移,推动安全内生在各领域生根发芽
一是启动开发安全体系建设项目,完成开发安全体系建设中主要流程和关键安全开发活动的设计,建成覆盖业务场景的安全知识库,并在IAM、手机银行、云缴费等系统中开展试点。
二是加强安全测试能力建设,通过提前发现和修复漏洞避免系统“带病”上线,大幅提升生产环境的安全水平;引入和自研近十个自动化检测工具,通过黑白盒结合的方式提高测试质量。
三是通过安全威胁“五问机制”,推动安全事件内生性整改。2021年初,光大银行成立了专项工作小组,从监控检测、处置拦截、测试检出、规范落实、平台支持五个维度持续对典型安全威胁事件和导致事件的薄弱环节进行分析和改进。
8.加快安全人才培养速度,建立阶梯式的培训体系
一是构建通用和专业相结合的综合培训体系,满足各领域人员安全管理、安全运营、安全技术和实战攻防能力提升需求。培训体系分为资质认证、导师带新、外部专家讲座、事件触发培训、安全专业文摘五个部分。目前,光大银行持有CISP证书的员工已超过110名,多名员工获得“CFSP优秀学员”称号,培训体系在推进新员工知识体系的学习和积累方面起到了积极作用。
二是创立安全精英训练营,通过“集中培训+现场比赛”的模式促进能力提升。从2019年起,光大银行信息科技部连续三年主办“安全精英训练营”,其中2019年和2020年举办内部红蓝对抗大赛,2020年和2021年举办安全建模劳动竞赛。红蓝对抗比赛围绕真实靶场比拼、攻防对抗赛,选拔攻防人才,并组织开展年度优秀案例分享活动。
9.打造信息安全文化,持续提升全员安全意识
在信息安全防护体系中,每位员工都有可能成为安全风险突破口。因此,光大银行积极打造全行信息安全文化。
一是充分运用各种媒介推广形式增加安全意识宣贯曝光度,实现包括管理层、科技人员、业务人员、客户在内的多层次覆盖,坚持打造以安全人员为起点,传递至全行员工,最终在各网点传导至客户的安全知识宣传路径,并积极参加国家网络安全宣传周活动。
二是创新宣传形式,运用新颖的宣传方式吸引受众。原创安全漫画角安小白,通过“安小白系列漫谈”成长篇、进阶篇、揭秘篇、员工信息安全行为准则十条、安全漫画小视频等灵活多样的形式将枯燥的知识有趣化,把无聊的说教幽默化,降低学习成本,引发员工和客户的兴趣。
三是运用各种形式考查安全意识宣贯效果。通过每年一次的全行级信息安全意识培训考试,对全员信息安全意识改进情况进行摸底,同时运用定向与不定向钓鱼演习、分支行物理渗透等方式,对内部人员进行成果检验,并将检验结果进行全行通报。
2021年是“十四五”开局之年,也是关键信息基础设施安全建设规划的关键一年。立足新时期,面向新要求,金融企业应当严格按照《关键信息基础设施安全保护条例》相关要求切实履行主体责任,建立健全内部网络安全制度体系,加强以能力为导向的安全防护体系建设,护航业务持续健康发展。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议