实战 | ​网络安全防御技术架构研究与实践

文 / 中国银行信息科技运营中心 张强 胡敏 刘翔

建设背景

随着信息技术的快速发展，大数据、云计算、人工智能等技术广泛应用，网络安全进入了一个新的时代，在迎来巨大发展机遇的同时，也面临着严峻的考验。网络安全是关系到全面实现小康社会和国家安全的重大问题，已上升至国家战略层面。

当前金融行业网络安全建设主要聚焦于队伍、流程建设，以及单独工具装备的研发，缺少基于行业IT特点的防御技术建设的体系研究和实施指引；同时企业安全防御能力也缺少客观、统一的衡量和评价标准，在一定程度上制约了金融行业网络安全能力的提升。

中国银行从2017年开始，历时两年跟踪调研业内网络安全最新进展，对标23个国家和地区的法律法规、监管要求和体系认证标准，跟踪研究国际主流网络安全防御理论和最佳实践，调阅分析了数百份网络安全情报和最新资料，首次以对抗的视角，站在企业整体的高度，系统性地实现了网络安全防御技术架构顶层设计，总结出一套适用于金融行业的防御技术架构设计方法论，并以此指导中国银行的网络安全建设实践，成效显著（见图1）。

图1 中国银行网络安全防御技术架构研究成果

建设目标

中国银行网络安全防御技术架构的建设目标主要包括六个方面，一是支持集团全球化网络安全运营的防御基础架构；二是具备全球7×24小时网络安全合成对抗作战的支持能力；三是具备有效应对非政府背景APT攻击、精准式网络攻击的能力；四是满足海内外监管和体系认证要求，符合国内外网络安全技术标准；五是具有产业上下游和企业内外部的情报共享、联动协作能力；六是支持业务数字化转型、创新发展的安全生态。

研究成果

网络安全防御技术架构设计包括四个阶段。首先，准备阶段需要满足科学性要求，包括风险建模、新技术与合规对标分析及对抗关联分析三个步骤。中国银行根据历年积累的情报资料，整理筛查了200多种针对金融行业的网络攻击，根据网络攻击的技术特征，形成了网络安全风险分析模型。并分析各地监管要求、技术标准及技术发展趋势，建立可落地的防御技术目录，包括11大类76子项。在此基础上，基于攻击链模型，将威胁模型与提取出的防御技术目录相关联，明确在攻击链的侦查、传输等各个阶段，检测和防护每一类威胁所需要的技术手段。

其次，开发阶段需要满足系统性要求。防御技术不是简单地堆砌就能达到防御效果，为实现防御效果最大化，在哪些防御区域或IT领域、哪些关键节点进行防御部署，均需考虑周详。中国银行通过参考借鉴国内外先进的网络安全框架，引入纵深防御、主动和自适应防御的思想，建立网络安全防御功能景观模型和二维策略模型，优化了中国银行网络安全防御体系设计理念。在此基础上，设计构建了网络安全防御技术顶层设计框架，用于指导中国银行网络安全防御技术的整体建设部署。

第三，实施阶段需要满足自适应要求。框架建立后面临如何建设和落地实施的问题，需要首先了解网络安全防御现状和目标，找出差距。因此，中国银行构建了网络安全防御成熟度简易度量模型，从安全技术种类、部署系数、加权分析等角度建立评估公式，用于实际网络安全防御状况评价。网络安全建设可利用的资源和人力是有限的，需要科学地利用资源。在综合考虑监管要求、技术标准、威胁影响、技术复杂度等多个维度的基础上，中国银行构建了实施路线的评估模型，为确定防御技术部署优先级和批次划分提供依据。

最后，治理阶段则需要满足改进要求，随着IT技术的发展和网络攻防对抗手段的演进，持续开展防御架构的优化更新。

创新特点

一是创建了适用于金融领域的网络安全风险分析模型。通过深入研究针对金融领域的传统与新兴网络攻击特征，包括资金盗取、业务违规及破坏业务连续性的服务拒绝、服务干扰等行业特有的攻击行为，创建了适用于金融领域的网络安全威胁分析模型，解决了银行业网络安全运营中威胁分类判定难题。

二是建立了从管理要求到防御技术，从抽象到具体的法规、标准映射集合。通过对标包括中国在内的23个国家和地区的监管法规、体系认证及最佳实践，结合技术发展趋势，建立了可落地的防御技术目录，确保防御技术架构设计和部署满足集团全球化运营要求，同时具有一定前瞻性，能够满足未来3~5年内抵御外部网络安全威胁的需要。

三是形成了时间、空间双维度，纵深、主动、自适应多视角防御顶层设计。通过参考借鉴P2DR、PDRR、NIST、自适应ASA等国际主流网络安全架构，设计形成统一管理、梯次部署的网络安全防御技术架构。时间维度体现主动和自适应防御的思想，从事前、事中、事后开展防御工作；空间维度体现纵深防御的思想，从网络、终端、系统、应用、数据、云平台等各个技术领域，对网络安全防御技术进行统一规划，实现防御水平的整体提升。

四是提出了简便、快速的网络安全防御现状和差距分析方法。从网络攻击手段、防御技术部署、威胁事件全生命周期多视角分析，综合考虑安全技术种类、部署系数、加权分析等多个维度，客观计算防御能力数值，形成网络安全防御成熟度简易模型，为评估中国银行安全防御部署现状提供可量化的评价指标。

五是开发了可量化、可阶段化的网络安全防御技术实施路线图，满足资源约束的部署实施指导。通过从监管要求、技术标准、威胁影响和技术复杂度四个维度综合考量，构建实施路线评估模型，规划可量化、可阶段化的网络安全防御技术实施路线图，为金融企业在有限资金和人力的情况下，如何分阶段规划网络安全技术部署，同时达到最大防御效果提供解决思路。

应用效果

2018年以来，中国银行以网络安全防御技术架构为指导，持续推进新常态下的网络安全建设，在实践中验证架构设计的科学性和有效性。

体系化建设方面，中国银行按照防御技术实施路径，有序推进各批次安全技术的引入和部署，整体防御能力指标提升2倍，防御成熟度实现从可重复级向已定义级转变，具备应对常见APT和精准式网络攻击的能力。

面对严监管要求，中国银行以网络安全防御技术架构为基础，制定了网络安全合规审计白皮书，将零散的网络安全防御建设任务体系化、规范化，高效满足全球监管和体系认证要求，审计配合效率提升75%。

实战化演练方面，在历年各次实战演习中，中国银行网络安全防御技术架构均经受住了高烈度对抗的检验。演习期间成功抵御3000多万次互联网攻击，监控处置外部威胁事件2万余起，组织协查内网疑似威胁事件上百起，防守过程做到了零扣分。并通过溯源反制在参赛的防守方队伍中脱颖而出，有力提升了网络安全大规模集团作战和安全防护能力，在实战中验证了技术架构设计的有效性。

在应对网络攻击常态化方面，中国银行建立了企业级SOC中心，通过一体化关联分析，全方位发现攻击和威胁。日均自动化监控日志超过2亿条，网络流量数据超过4.9亿条。全年阻断外部攻击地址2万余个，来自100多个国家和地区，未发生由于网络攻击导致的安全生产事件。

同时，中国银行建立了全集团覆盖、集中管理、联动处置的威胁处置流程，自主可控打造了覆盖总行、全辖36家一级分行、14家附属公司及57个国家和地区分行的态势感知系统及威胁管理流程平台，支持全球7×24网络安全合成对抗作战，并结合情报开展非政府背景APT及精准式网络攻击的溯源反制，真正实现了事前预防、事中监测处置、事后分析溯源的安全威胁全生命周期管控。

此外，中国银行与国家信息技术安全研究中心、国家互联网应急中心开展了网络安全情报长期合作，研制开发了网络安全情报共享系统，汇集多家外部安全厂商的情报资源优势，整合形成开放共享的行业情报平台，促进形成网络安全联防共治、集体免疫机制。

（栏目编辑：张丽霞）