--可編輯-感謝下載支持2.0〔五)云端互聯(lián)網(wǎng)金融業(yè)務(wù)的安全要求及解決方案編者按互聯(lián)網(wǎng)金融業(yè)務(wù)系統(tǒng)上云后的安全是當(dāng)下熱點(diǎn)，本文梳理了等級(jí)保護(hù)云計(jì)算安全和非銀行金融機(jī)構(gòu)安全監(jiān)管這兩方面的合規(guī)性要求，將兩者加以融合、針對其主要的安全問題和需求，提出云端互聯(lián)網(wǎng)金融的安全防護(hù)、安全檢測和安全監(jiān)測三大類措施與安全效勞解決方案。正文目前，公有云的建設(shè)進(jìn)展成為互聯(lián)網(wǎng)時(shí)代的風(fēng)向標(biāo)，如阿里云、亞馬遜等建立的公有云規(guī)模增長快速。在移動(dòng)互聯(lián)網(wǎng)進(jìn)展推波助瀾之下，依托移動(dòng)互聯(lián)網(wǎng)開P2P快捷、彈性架構(gòu)，從而紛紛將應(yīng)用系統(tǒng)部署到云上?！惨韵潞喎Q“《云等?！贰薄扯x云計(jì)算效勞帶來了“云主機(jī)”等虛擬計(jì)算資源，將傳統(tǒng)IT環(huán)境中信息系統(tǒng)運(yùn)營、使用單位的單一安全責(zé)任轉(zhuǎn)變?yōu)樵谱鈶艉驮菩谏屉p方“各自分擔(dān)”的安全責(zé)任。這點(diǎn)明確了企業(yè)作為云租戶，其應(yīng)用系統(tǒng)都需要定級(jí)且符合對應(yīng)等級(jí)安全掌握措施要求。202312188《中國銀監(jiān)會(huì)辦公廳關(guān)于加強(qiáng)非銀行金融機(jī)構(gòu)信息科技建設(shè)和治理的指導(dǎo)意〔以下簡稱“《指導(dǎo)意見》”，對信托公司和金融資產(chǎn)治理公司、企業(yè)集團(tuán)財(cái)務(wù)公司、金融租賃公司、汽車金融公司、消費(fèi)金融公司、貨幣經(jīng)紀(jì)公司等非銀行金融“加強(qiáng)網(wǎng)絡(luò)區(qū)域劃分和隔離；通過部署防病毒、防攻擊、防篡改、防泄密、防抵賴等措施提升系統(tǒng)抵擋內(nèi)外部攻擊破壞的力量；”。對于云上應(yīng)用系統(tǒng)的安全防護(hù)明確提出了安全建設(shè)要求。202320233息泄露案例的數(shù)據(jù)分析覺察：敏感信息泄露呈現(xiàn)上升趨勢——泄露手段從以黑客入侵等技術(shù)手段為主向技術(shù)手段與收買內(nèi)部員工、內(nèi)部治理不善等非技術(shù)手段結(jié)合并用進(jìn)展，特別是對非技術(shù)手段的運(yùn)用，近幾年呈現(xiàn)出較快速的增長，企業(yè)對可能的應(yīng)用系統(tǒng)攻擊行為沒有安全檢測防護(hù)措施。敏感信息泄露涉及行業(yè)廣泛——重點(diǎn)集中在互聯(lián)網(wǎng)、制造業(yè)、政府機(jī)構(gòu)及金融行業(yè)，特別是互聯(lián)網(wǎng)行業(yè)信息泄露大事呈現(xiàn)高速增長趨勢，需要引起警覺。IP難以將IP地址與具體人員身份準(zhǔn)確關(guān)聯(lián)，導(dǎo)致發(fā)生安全事故后，追查責(zé)任人成為的難題。由此，安全威逼與應(yīng)用安全風(fēng)險(xiǎn)與企業(yè)業(yè)務(wù)經(jīng)營如影隨形。應(yīng)用系統(tǒng)部署到云上的企業(yè)需要考慮在公有云上應(yīng)用系統(tǒng)的安全防護(hù)解決思路。綠盟科技建議從滿足合規(guī)要求作為起點(diǎn)，業(yè)務(wù)在“云上”的企業(yè)都需要符合《云等?！钒踩螅倾y行金融機(jī)構(gòu)承受國家主管單位合規(guī)監(jiān)管，未持牌開展業(yè)務(wù)或違規(guī)經(jīng)營將會(huì)后果嚴(yán)峻。同時(shí)，為了到達(dá)業(yè)務(wù)正常開展需要的安全防護(hù)水平，安全效勞也應(yīng)納入，解決應(yīng)用系統(tǒng)安全檢測和安全監(jiān)測需要。合規(guī)要求依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)根本要求云計(jì)算擴(kuò)展要求》，明確定義了云租戶側(cè)的等級(jí)保護(hù)對象也應(yīng)作為單獨(dú)的定級(jí)對象定級(jí)。云計(jì)算系統(tǒng)的定級(jí)對象在原有定級(jí)對象根底上進(jìn)展了擴(kuò)展，原有定級(jí)對象主要是信息系統(tǒng)和相關(guān)根底網(wǎng)絡(luò)，而云計(jì)算將定級(jí)對象擴(kuò)展為云效勞商的云平臺(tái)和云租戶的應(yīng)用系統(tǒng)。云計(jì)算系統(tǒng)定級(jí)時(shí)，云效勞商的云平臺(tái)和云租戶的應(yīng)用系統(tǒng)應(yīng)分別定級(jí)，云平臺(tái)等級(jí)應(yīng)不低于應(yīng)用系統(tǒng)的安全保護(hù)等級(jí)。這點(diǎn)明確了企業(yè)作為云租戶，其應(yīng)用系統(tǒng)都需要定級(jí)且符合對應(yīng)等級(jí)安全掌握措施要求。比照等保二級(jí)要求，應(yīng)至少部署防火墻、堡壘機(jī)到達(dá)掌握措施要求；比照等保三級(jí)要求，應(yīng)至少部署入侵防護(hù)、防火墻、堡壘機(jī)、數(shù)據(jù)庫審計(jì)到達(dá)掌握措施要求。對于云端租戶的安全需求，客戶可以便利地從云效勞供給商的云市場中進(jìn)展選購和安裝。對有線下效勞需求的企業(yè)，如專家版效勞，可以結(jié)合線上線下效勞的組合?！吨笇?dǎo)意見》第五章節(jié)中提出“……加強(qiáng)系統(tǒng)安全漏洞和補(bǔ)丁信息的監(jiān)測、收集和評(píng)估，確保準(zhǔn)時(shí)覺察和處置重大安全隱患?！甭┒粗卫砉ぷ鲬?yīng)當(dāng)是信息安全工作的重中之重，漏洞生命周期治理不僅僅涉及漏洞自身的覺察、評(píng)估和修復(fù)，同時(shí)還牽涉漏洞情報(bào)信息的獵取，組織漏洞治理基線的建立和應(yīng)急處置工作。轉(zhuǎn)變傳統(tǒng)的以IP信息為視角的資產(chǎn)治理方法，從安全的角度重打量資產(chǎn)信息，從資產(chǎn)的業(yè)務(wù)功能、效勞對象、版本信息、安全防范措施等方面建立安全資產(chǎn)信息，從安全的角度治理資產(chǎn)脆弱性。當(dāng)消滅安全漏洞時(shí)，不僅需要考慮漏洞的風(fēng)險(xiǎn)等級(jí)，還需要結(jié)合資產(chǎn)安全信息，不同資產(chǎn)一樣漏洞區(qū)分對待，表達(dá)業(yè)務(wù)對漏洞的差異性，真正實(shí)現(xiàn)差異化漏洞治理策略，從而實(shí)現(xiàn)漏洞治理力量的提高?！吨笇?dǎo)意見》第五章節(jié)中提出“……開展應(yīng)用系統(tǒng)安全檢測，對官方網(wǎng)站等通過互聯(lián)網(wǎng)供給效勞的系統(tǒng)，在上線及重大投產(chǎn)變更前進(jìn)展?jié)B透測試，杜絕系統(tǒng)‘帶病’上線。……”應(yīng)用系統(tǒng)在上線后由于存在類似SQL安全功能缺失等漏洞而患病攻擊，會(huì)直接影響正常業(yè)務(wù)運(yùn)行，甚至造成經(jīng)濟(jì)和名譽(yù)的損失。因此，需要在系統(tǒng)上線前對系統(tǒng)安全狀況進(jìn)展檢驗(yàn)，從信息安全的角度對應(yīng)用系統(tǒng)、集成環(huán)境等內(nèi)容的安全狀況進(jìn)展評(píng)估，對覺察的問題進(jìn)展妥當(dāng)處理，避開將影響系統(tǒng)安全的問題遺留到系統(tǒng)上線后，成為系統(tǒng)安全的隱患。為了滿足《云等保》和等保三級(jí)要求，部署在公有云上的企業(yè)應(yīng)至少選擇防火墻云效勞〔支持入侵防范、網(wǎng)站安全防護(hù)效勞(vWAF)、堡壘機(jī)云效勞和數(shù)據(jù)庫監(jiān)控與審計(jì)效勞。非銀行金融機(jī)構(gòu)需要同時(shí)滿足《指導(dǎo)意見》要求，其上云應(yīng)用系統(tǒng)應(yīng)選擇安全檢測效勞和安全監(jiān)測效勞。安全保障需求200臺(tái)效勞器植入木馬，該木馬具備遠(yuǎn)程掌握和對外DDoS攻擊功能。這意味著外部人員可遠(yuǎn)程掌握這些效勞器做流量攻擊，進(jìn)而導(dǎo)致被攻擊的效勞器癱瘓。目前，2譽(yù)損失就相當(dāng)巨大。不少互聯(lián)網(wǎng)企業(yè)都發(fā)生過類似案件，但沒有安全檢測和安全監(jiān)測手段，無法準(zhǔn)時(shí)覺察漏洞和安全問題。有的企業(yè)雖能鎖定具體賬戶,但無法鎖定到具體個(gè)人,加之留存的證據(jù)不多,事情就不了了之。CIA〔機(jī)密、完整、可用〕應(yīng)當(dāng)在定義安全保障需求時(shí)統(tǒng)一考慮，對開展理財(cái)、支付、保險(xiǎn)等金融業(yè)務(wù)的企業(yè)更應(yīng)關(guān)注金融資料的保護(hù)，如銀行賬戶信息、扣款賬號(hào)、保險(xiǎn)數(shù)據(jù)，避開信息被篡改或外泄。因而，為了到達(dá)業(yè)務(wù)正常開展需要的安全防護(hù)水平，需要定期開展安全檢測和持續(xù)有效安全監(jiān)測效勞，云上應(yīng)用系統(tǒng)更應(yīng)被納入，解決應(yīng)用系統(tǒng)安全需要。防火墻云效勞以虛擬化形態(tài)部署防火墻，適用于多種虛擬化平臺(tái)，使治理員可以快速高效地調(diào)配和擴(kuò)展防火墻。企業(yè)所要選擇的效勞需要支持應(yīng)用識(shí)別、入侵防范、內(nèi)容過濾、URL過濾、VPN等，且這些增值功能授權(quán)費(fèi)用應(yīng)當(dāng)一并考慮，如IPSECVPN、SSLVPN的授權(quán)并發(fā)連接數(shù)量是否滿足企業(yè)日常需求。包含必要增值功能的防火墻才是有效的安全效勞。網(wǎng)站安全防護(hù)效勞(vWAF)Web(VirtualWebApplicationFirewall,vWAF)為核心的安全效勞，企業(yè)客戶可以在公有云等環(huán)境中快速部署上線，從而能全面OWASPTop10Web選擇的效勞必需同時(shí)支持協(xié)議和SvWAF效勞供給商更佳。云清洗效勞DNS10GDDoSBGP清洗本網(wǎng)內(nèi)的攻擊流量。由于DDoS攻擊可能在一樣行業(yè)內(nèi)同時(shí)發(fā)生，存在帶寬和防護(hù)資源沖突狀況，因而企業(yè)選擇效勞時(shí)需留意效勞供給商的清洗力量是否充分。同時(shí)，建議選擇供給云清洗配套線下本地防護(hù)混合的效勞，以獲得更完善的防護(hù)保障。堡壘機(jī)云效勞以虛擬化形態(tài)部署堡壘機(jī)，供給賬號(hào)治理和資產(chǎn)治理，實(shí)現(xiàn)運(yùn)維審計(jì)?；谖ㄒ簧矸輼?biāo)識(shí)，通過對用戶從登錄到退出的全程操作行為進(jìn)展審計(jì)，監(jiān)控用戶對目標(biāo)設(shè)備的全部敏感操作，聚焦關(guān)鍵大事，實(shí)現(xiàn)對安全大事的實(shí)時(shí)覺察與預(yù)警。企業(yè)所要選擇的效勞需滿足等保標(biāo)準(zhǔn)對用戶身份鑒別、訪問掌握、安全審計(jì)等條款的要求，且支持準(zhǔn)確定位用戶身份，追溯安全大事責(zé)任，滿足合規(guī)要求且日常使用便利的效勞才是正確選擇。安全評(píng)估效勞Web頻率，用于網(wǎng)站安全評(píng)估的云效勞。企業(yè)選擇效勞時(shí)需了解效勞包含的漏洞庫種類、是否維護(hù)更，且對于識(shí)別的漏洞是否供給漏洞驗(yàn)證效勞，降低誤報(bào)概率。安全監(jiān)測效勞效勞應(yīng)符合網(wǎng)信辦、公安部等國家主管部門關(guān)于網(wǎng)站安全建設(shè)的合規(guī)要求，為客戶供給網(wǎng)站漏洞掃描及漏洞驗(yàn)證、網(wǎng)頁掛馬監(jiān)測、釣魚網(wǎng)站監(jiān)測、網(wǎng)頁篡改監(jiān)測、網(wǎng)頁敏感內(nèi)容監(jiān)測以及網(wǎng)站可用性監(jiān)測效勞。通常本效勞包含安全檢測效勞內(nèi)容。企業(yè)應(yīng)留意監(jiān)測效勞是否在重要時(shí)期支持發(fā)送平安短信以及安全日報(bào)，是否能夠幫助關(guān)停覺察的釣魚網(wǎng)站，這點(diǎn)值得關(guān)注。數(shù)據(jù)庫監(jiān)控與審計(jì)效勞通過對數(shù)據(jù)庫訪問行為的準(zhǔn)確解析，完成性能監(jiān)控、事中審計(jì)、事后追溯、風(fēng)險(xiǎn)告警等一系列動(dòng)作，全面洞察數(shù)據(jù)庫安全狀況，并供給事后追溯依據(jù)。企業(yè)所要選擇的效勞是否全面考慮數(shù)據(jù)庫存儲(chǔ)、使用管控，監(jiān)控告警記錄本地是否加密防護(hù)，這一點(diǎn)很重要。便捷快速依托公有云供給的快速部署、實(shí)時(shí)開通的力量，客戶可以隨時(shí)在公有云上按需選購，同時(shí)也避開了硬件設(shè)備的生產(chǎn)、貨運(yùn)和上架環(huán)節(jié)，最短時(shí)間內(nèi)就能獵取到對應(yīng)的安全力量。惡意行為覺察基于實(shí)時(shí)的信譽(yù)機(jī)制，結(jié)合企業(yè)級(jí)和全球信譽(yù)庫，可有效檢測惡意URI、僵尸網(wǎng)絡(luò)，快速識(shí)別、定位出惡意的攻擊行為或惡意資源。通過云安全效勞供給應(yīng)急響應(yīng)憑借云安全效勞的支撐，可以實(shí)現(xiàn)與云安全