长安银行总行信息科技部总经理 高永平

随着金融科技的发展，科技驱动的各类金融创新不断涌现，银行传统金融业务与新兴互联网技术正在密切融合，这种融合促进了银行金融模式创新和服务渠道转型，但同时也带来了日益严峻的信息安全威胁挑战。大型银行凭借其雄厚的科技投入，使信息安全建设水平走在了前列，相比之下，中小银行信息化建设严重滞后于业务发展的需要，信息安全管理也存在较多隐患。

中小银行信息安全的困难与挑战

首先，科技人才不足，过于依赖外包服务商。中小银行科技人才不足，技术实力欠缺，无法快速掌握核心技术，特别是在信息安全领域，面对突发信息安全事件无法及时处置。中小银行自有科技力量薄弱，导致核心业务维护依赖外包服务商。与此同时，中小银行往往也缺乏外包风险管控，在不同程度上存在因外包人员违规操作而引发的风险。

其次，线上业务信息安全问题突出，但防护能力薄弱。中小银行线上业务的更新迭代速度与大型银行基本持平，但是消除缺陷的能力相差较大。中小银行线上业务的大幅增多，也意味着安全漏洞随之增多。另一方面，在互联网金融业务时代，黑客不再受到时空限制，使中小银行面临更多形式的攻击，信息安全处境更加严峻。

第三，防御体系耦合度低，无法有效预警新型攻击。从已经披露的高持续威胁攻击（APT）案例看，银行业已经成为最主要的攻击目标之一。与此同时APT引发的安全事件在银行业也呈上升趋势。但是，多数中小银行防御体系更注重单点防御，设备间没有任何关联信息，无法从更高层次预警新型和“零日”漏洞攻击，更难以掌握整体态势。

第四，信息安全体系不健全，特别是业务连续性及资产管理方面。中小银行信息化起步较晚，只注重提高信息化程度，而忽略信息安全体系的全面建设。中小银行信息安全体系建设计划及实施策略在质量和内容方面都达不到行业通用标准，特别是在业务连续性和资产管理方面。

中小银行信息安全对策建议

1.加强科技人才队伍建设，强化外包管控能力

一是推动中长期人才职业技能培养，提高科技人员素质，提升自身科技人才队伍建设水平。二是从市场、技术、交易、战略等维度，把好准入关、保密关、预防关和产品检测关，进一步化解IT外包风险。三是明确激励机制的导向性，激励员工快速掌握核心技术，降低对外包商的依赖。

2.将风险关口前移，严格落实“三同步原则”

一是在设计阶段，引入缩小攻击面措施，将安全要素贯穿到信息系统全生命周期，严格按照“三同步”原则推动业务上线。二是落实线上业务系统定期评估、变更评估和业务风控体系评估制度，确保风险实时可控。

3.强调攻防对等理念，做好预警体系

从攻防“对等”角度出发，强化“知己”能力建设，形成全视角预警体系。体系打破信息孤岛，引入外部情报，利用大数据技术和关联分析技术进行预警，最大程度防止降维打击。

4.落实安全责任制，分阶段构建信息安全体系

一是加强组织安全体系建设，落实安全运行责任制，最大程度降低运行风险。二是在坚守安全底线的前提下，力求安全规划与战略及业务发展相适应，逐步推进安全体系建设，夯实各阶段安全基石。

中小银行在推进信息安全对策落地的同时，确保将预警体系建设作为信息安全的最低保障。2018年3月，长安银行完成了信息安全威胁管理与预警平台（简称“平台”）建设，使我行由被动防御体系发展为主动预警体系。随着预警体系不断完善，平台能够防范已知威胁，面对未知威胁，亦能从容调度，做到精准防御，为信息系统平稳运行提供了坚实保障。

信息安全威胁预警体系实践

长安银行作为中小银行的一员，积极探索适合中小银行的信息安全威胁预警体系及平台化建设。现从平台建设的步骤、成效、经验维度，介绍如下。

1.平台建设步骤

我行按照统一规划、分步实施原则，将平台建设分为六个阶段。

（1）信息交互阶段。本阶段目标是实现安全分析人员对数据的快速检索、查询和交互分析，确保安全分析人员可以一键巡检和快速漏洞定位，降低人员对技术的依赖程度。

（2）边界访控预警。本阶段目标是实时预警突破网络边界和网络安全域的异常访问尝试，确保在尝试突破网络及安全域边界时可以被触发预警。

（3）应用域访控预警。本阶段目标是实时预警信息系统（应用层）突破访问级别的异常访问，结合交并集合规则，形成关联告警，确保低安全级别应用系统在尝试攻击高安全级别应用系统时可以被预警。

（4）日志行为预警。本阶段目标是将日志呈现的行为作为分析对象，根据正常行为基线，预警超越日常操作范围和有限状态机动作的操作行为，确保攻击者在横向扩大攻击战果时被准确预警。

（5）业务数据流行为预警。本阶段目标是将数据流呈现的行为作为分析对象，对攻击过程产生异常数据流与正常数据流的偏离度进行判定，增强预警APT能力。

（6）攻击反馈阶段。本阶段目标是被攻击对象可以根据平台的指令对攻击行为进行阻止或反击，确保被攻击对象安全。

2.平台建设成效

平台初步形成了基于信息共享、联合检测、主动发现、整体威胁评估的主动预警体系，成效如下。

（1）实现多源异构数据融合。平台采用基于大数据的多源异构数据融合技术，实现了对海量、多源、异构数据的采集、范式化、过滤和归并。平台将原本只能由专业人员才可读懂的日志信息格式统一转化为规范化日志。该过程提升了分析源的准确性，也降低了人员对技能的依赖度。目前平台已支持采集的日志包括服务器、网络、安全设备等31类。

（2）提升信息安全保障工作的效率。平台采用自动化关联和智能分析技术，缩短漏洞处理窗口和日常巡检时间，提升运维人员的工作效率。一是平台作为运维工作的核心抓手，可以做到“一键”设备巡检，巡检时间可由原本2~3小时，缩短到6~7分钟。二是在漏洞批漏到被利用的窗口期内，平台可在数分钟内实现安全事件、漏洞及资产之间的自动化关联和智能分析，为运维人员提供精准的资产定位和漏洞修复。

（3）提高未知威胁识别准确度。平台利用随机森林算法、有限状态自动机等人工智能算法，对网络流量及日志源进行分析，统筹管理各自为政的防护系统，进一步提高威胁识别准确度。目前平台协助长安银行预警和处理安全事件164起，包括挖矿木马、Wannacry勒索病毒、HTTPS_OpenSSL心脏出血漏洞等。

（4）强化威胁情报的管理与使用能力。威胁情报是传统防御方式的有效补充，依靠其对互联网威胁的理解，帮助运维人员更好地识别威胁。国庆70周年期间，平台自动化预警恶意攻击IP地址19个，攻击尝试123385次。但是运维人员根据威胁情报及时封堵IP地址，实现了“零”安全事件的目标。

（5）可为管理层提供直观决策支持。平台从宏观的角度对长安银行的整体网络安全进行评估，为我行安全防护规划提供决策支持。一是安全告警事件从2019年12月逐渐趋于平缓，下阶段平台需要接入新的分析源或细化分析规则。二是重保期间，我行威胁态势变化对后期重保具有指导意义。国庆70周年期间，攻击时间集中在9月30日14:00-16:00，而非在国庆当天；2020年两会期间攻击态势平稳，预警事件与其他时间相同无明显变化。

3.平台建设经验

在平台建设过程中，我们积累了一些经验。一是防御体系建设必须以行方设计思路为指导，充分利用“主场优势”，强化“知己”能力，通过刻画正常行为判定异常行为。二是建设积极防御体系的前提条件是机构已具备基础结构安全和纵深防御能力，否则平台建设将严重依赖专家规则使其只能具备“被动合规”能力。三是平台建设初期应以增加大数据融合技术（传统的基于滑动窗口的批量处理方法一定不可行）和减少智能化技术为实施原则。若第一期建设目标已完成，建议结合各种非先验知识提升威胁管理与预警能力及自动化响应能力。四是平台建设宜依据领导责任制，落实周报制度，抽调各条线人员组成应急响应团队，注重问题闭环处理。五是采用“先外后内”和“步步为营”设计原则，分阶段优化和细化规则。六是针对攻击局部高危动作进行单独报警，而非只告警宏观态势情况。