《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 數(shù)字銀行高級未知威脅加劇 需要更強大的免疫系統(tǒng)

數(shù)字銀行高級未知威脅加劇 需要更強大的免疫系統(tǒng)

2022-12-21
來源:安全419
關(guān)鍵詞: 數(shù)字銀行

  近年來,,隨著數(shù)字化不斷深入,,各大銀行都在加速升級核心系統(tǒng),,以實現(xiàn)服務(wù)線上化,,提升作業(yè)效率和用戶體驗。然而不可忽視的是,,數(shù)字化也進一步加大了數(shù)據(jù)和資金等關(guān)鍵要素的風險敞口,,使得網(wǎng)絡(luò)邊界更加模糊,傳統(tǒng)安全體系捉襟見肘,。如何在復(fù)雜的安全環(huán)境下守住數(shù)字銀行安全底線,,確保信息安全系統(tǒng)“防得住,,防得全”,,正在成為每一家銀行在數(shù)字化轉(zhuǎn)型過程中的重要課題。

  網(wǎng)商銀行近日發(fā)布一份《數(shù)字銀行可信縱深防御白皮書》,,系統(tǒng)闡述了數(shù)字銀行信息系統(tǒng)主要面臨的網(wǎng)絡(luò)威脅,,并首次提出“可信縱深防御”的數(shù)字安全理念以及詳細實施路徑。

  《白皮書》指出,,數(shù)字化轉(zhuǎn)型是當下金融行業(yè)的主要趨勢和發(fā)展方向,。在銀行業(yè),數(shù)字化轉(zhuǎn)型意味著:金融服務(wù)線上化,、服務(wù)場景與形態(tài)多樣化,、開放互通幅度加大、數(shù)據(jù)密集度增加,、效率與體驗得到升級,。然而不可忽視的是,數(shù)字化在帶來效率顯著提升的同時,,也必然帶來信息安全方面的挑戰(zhàn),,主要包含以下三個方面:

  1 風險敞口與影響面擴大,安全事件概率增加,。金融服務(wù)線上化,、場景化、復(fù)雜化導致銀行信息系統(tǒng)對外暴露的攻擊面必然大幅度增加,,將會有越來越多的漏洞被黑客發(fā)現(xiàn)和利用,,攻擊成功的概率也將會提升。

  2 安全威脅等級將會提升,。由于金融業(yè)務(wù)和資金有關(guān),,越來越多的金融服務(wù)數(shù)字化以后,,攻擊成功的潛在收益會增加。攻擊者也更愿意投入更大的攻擊成本,,所以數(shù)字化轉(zhuǎn)型中面臨的安全威脅等級提高,。

  3 安全與效率的矛盾將會更加突出。數(shù)字化轉(zhuǎn)型帶來了金融機構(gòu)服務(wù)形態(tài)和技術(shù)形態(tài)的變化,,原本依靠網(wǎng)絡(luò)隔離技術(shù)和管理制度約束的機制不一定能繼續(xù)適應(yīng),,很可能無法滿足業(yè)務(wù)發(fā)展的效率訴求和服務(wù)體驗需求。因此,,如何在應(yīng)對高等級安全威脅的同時還能兼顧效率和服務(wù)體驗,,也是金融業(yè)務(wù)數(shù)字化轉(zhuǎn)型中一個不可忽視的挑戰(zhàn)。

  安全業(yè)界對此提出了一些新的思路與探索,,包括可信計算,、安全平行切面以及零信任?!栋灼诽岢龅目尚趴v深防御體系是一種新的安全防御體系架構(gòu),,以密碼學為基礎(chǔ)、可信芯片為信任根,、可信軟件基為核心,,對面向互聯(lián)網(wǎng)開放的應(yīng)用服務(wù),確保應(yīng)用運行所依賴的資源,、行為在啟動時和運行中均是可預(yù)期且可信的,。

  其中,可信計算是一種新計算模式,,能夠在實施業(yè)務(wù)計算的同時進行主動免疫防護,,使攻擊者無法利用存在的缺陷和漏洞對系統(tǒng)進行非法操作;而縱深防御的理念來自于戰(zhàn)爭學,,建立計算部件+防護部件的多重安全體系結(jié)構(gòu),,并通過可信安全管理中心和多層級安全觸點實現(xiàn)全程管控,避免單點防御措施失效導致風險事件的發(fā)生,,最終達到讓攻擊者“進不去,、拿不到、看不懂,、改不了,、癱不成、賴不掉”的防護效果,。

  可信縱深防御體系整體架構(gòu)包括四個核心部分:

  基于硬件可信芯片構(gòu)建信任根

  基于硬件可信芯片和密碼學方法對物理機的啟動參數(shù)和啟動程序進行可信管控,,同時提供靜態(tài)的和動態(tài)的信任鏈的校驗機制,確保硬件芯片、啟動參數(shù),、系統(tǒng) OS 等均是安全可信的,。同時基于硬件可信芯片構(gòu)建信任鏈以將信任關(guān)系從基礎(chǔ)設(shè)施層逐層傳遞至應(yīng)用層和網(wǎng)絡(luò)層,最終形成完備的信任鏈,,以支持對數(shù)字銀行信息系統(tǒng)和數(shù)字資產(chǎn)的可信管控和管控,。

  基于安全切面構(gòu)建可信策略控制點

  基于數(shù)字銀行 IT 架構(gòu)分析、選型或者設(shè)計可信策略控制點,,實現(xiàn)對于風險場景的數(shù)據(jù)內(nèi)視和可信管控,。在可信策略控制點的部署上,充分利用安全平行切面提供的原生安全控制點能力,,以實現(xiàn)安全管控與業(yè)務(wù)應(yīng)用的既融合又解耦,,即安全能夠深入業(yè)務(wù)邏輯,不再是外掛式安全,;業(yè)務(wù)上線即帶有默認安全能力,,并實現(xiàn)跨維的檢測、響應(yīng)與防護,;同時安全能力可編程,、可擴展,與業(yè)務(wù)各自獨立演進,。

  基于信任鏈保障可信防御產(chǎn)品或能力的安全可信

  可信策略控制點是數(shù)字銀行實施可信管控依賴的關(guān)鍵能力,,如何保障可信策略控制點的安全性至關(guān)重要,。如果實施可信管控依賴的能力自身是不安全的,,對于業(yè)務(wù)信息系統(tǒng)的可信管控將無法保障,同時這些能力本身也可能會引入新的安全風險,。因此,,在可信策略控制點的建設(shè)中需要充分利用硬件可信芯片提供的可信存儲和密碼技術(shù),構(gòu)建完備的信任鏈,,將整個信任機制由硬件可信芯片逐層傳遞至基礎(chǔ)設(shè)施層,、應(yīng)用層和網(wǎng)絡(luò)層等各個層面的可信策略控制點,保障可信策略控制點的安全性,,為數(shù)字銀行業(yè)務(wù)的信息系統(tǒng)和數(shù)字資產(chǎn)的可信管控提供基礎(chǔ)能力支撐,。

  基于可信管控中心實施可信管控

  可信管控中心是可信縱深防御體系的大腦中樞,負責可信策略的生成,、配置下發(fā),、事件上報和行為審計等工作,同時為整個可信縱深防御體系的運行提供安全性和穩(wěn)定性的保障能力,??尚殴芸刂行挠煽尚挪呗怨芸亍⒖尚挪呗钥坍嫛踩U?、穩(wěn)定性保障等系統(tǒng)或模塊組成,。

  綜上所述,可信縱深防御體系整體架構(gòu)以硬件可信芯片為信任根,,以可信策略控制點為可信軟件基,,基于基礎(chǔ)設(shè)施層、應(yīng)用層,、網(wǎng)絡(luò)層及移動端和終端層各層面建立的可信策略控制點,,進行多層縱深可信防護策略的設(shè)計并落地,覆蓋業(yè)務(wù)應(yīng)用,、信息系統(tǒng)和服務(wù)全鏈路,,形成完備的可信縱深防御體系,有效應(yīng)對數(shù)字銀行面臨的高級和未知威脅,。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]