银行零信任安全白皮书
AI智能总结
B银行a零n信任k安全白皮书 ZEROTRUSTSECURITY 派拉软件发展研究院 B银行a零n信任k安全白皮书 ZEROTRUSTSECURITY 派拉软件发展研究院 SUMMaRY 摘要 近年来,随着新技术在银行业的广泛应用,加快了银行业数字化转型的步伐,银行的业务和管理向着线上化、数字化、智能化演进,银行的价值链也由封闭走向开放。随着银行业数字化进程的逐渐深入,信息安全风险也日益凸显。零信任作为信息安全领域的又一次技术革新,正在成为银行业构建信息安全防护体系的重点之一。 本白皮书意在指引利用零信任安全技术的优势,加快推进银行业务安全的建设,针对银行业的安全挑战,提�银行零信任安全框架,并对银行的业务场景实现、数据安全与隐私保护等方面进行阐述,以期对银行业务安全提供发展指引,供读者思考和实操参考。 目录CONTENT P1现状与需求01 1.1环境背景 1.2安全挑战 P2银行零信任安全框架04 2.1技术特点 2.2部署方式 P3业务场景实现08 3.1远程办公 3.2数字银行 3.3系统运维 P4安全合规与隐私保护13 4.1身份和权限治理 4.2安全访问 4.3API安全4.4数据安全 P5总结与展望25 5.1银行业零信任安全总结 5.2银行业零信任安全发展趋势 派拉软件发展研究院 01page PaRT01 现状与需求 1.1环境背景 1.2安全挑战 派拉软件发展研究院 page02 现状与需求 1.1环境背景 “十四五”时期,我国金融业安全和信息化发展的外部环境和内部条件发生复杂而深刻的变化,机遇与挑战前所未有。作为数据密集型行业,银行业更需要严格落实法律法规,将监管要求的网络与数据信息安全指导方针、风险管理、监督和检查管理的流程和机制等内容整合到现有安全管理策略和制度建设当中。健全数据安全治理体系,强化数据全生命周期安全防护,严防数据误用滥用。推动数据分级分类管理,科学界定数据所有权、使用权、管理权和收益权,明确数据适用范围成为金融机构首要基础安全建设。 近年来,国内外网络攻击和数据泄露事件频发,攻击手段不断升级,从数据的采集、传输、存储、处理到访问,国家、企业和个人面临着各类的网络与数据安全威胁。国家高度重视网络与数据安全工作,《网络安全法》在2017年起实施后,于2021年陆续发布《数据安全法》、《个人信息保护法》等法律法规,为推进网络与数据安全建设提供了法理依据。 1.2安全挑战 随着云计算、互联网、移动计算和物联网的发展,银行业务场景复杂导致的数据安全受到更多的威胁。由于业务的不断快速发展,金融机构的业务系统多达几百上千个,应用场景繁多,其中承载着大量的客户基础信息、业务交易数据、业务产品数据、企业经营数据、机构数据、认证信息、生物特征信息、企业员工信息等大量业务和系统数据。这些数据由于业务需要在各个系统间不停的流转,其面临的风险也随之变化。 银行面临的安全挑战有以下方面: 派拉软件发展研究院 03page (1)基于网络物理边界的防护理念在新型的安全攻击下暴露�很多问题, 先连接后认证的方式增加了后端服务的危险,即便是VPN本身也只解决访问网络的身份,不会对终端以及访问服务的身份与权限进行验证;另外,后端服务无法做到隐藏,对外固定的端口很容易受到外部恶意的探测与攻击,导致服务崩溃而无法访问。基于匿名终端和无权限访问服务的身份认证影响着整个后端服务安全,而端到端没有建立加密隧道的连接方式也影响着整个网络安全。 (2)数字化转型的大背景下,银行系统架构除了支持进行数据治理,还要提供采集、传输、处理、存储、访问整个数据安全周期的保障,其中各业务系统API的安全成为关键,不仅涉及到业务的互联互通,还与数据安全周期的保障直接关联,也关系到企业API资产统计与管理。现有的RBAC授权模式已无法提供对敏感数据的访问保护;大量的API权限范围的合法性也需要监管;非一对一关系的业务请求涉及到多个业务系统接口的组合和编排,安全性如何保障?这些问题充满着安全挑战,现有的系统架构已无法满足。 (3)传统防护技术的升级,往往是有针对性的、局部的,且仅限于预设静态防范模式,并没有整体的动态安全防护概念,无法做到一体化的安全架构体系,即“持续访问,持续验证”的理念,根据请求者、终端环境、网络环境、服务环境实现访问权限自适应,自动把风险控制到最低,直至完全隔离或消除。 要解决以上安全挑战,我们需要构建银行零信任安全架构,把身份安全、终端安全、网络安全、API安全包含进去,在满足业务需求的前提下提供一体化的安全保障。 身份安全 终端安全 银行 零信任安全架构 网络安全 API安全 派拉软件发展研究院 page04 PaRT02 银行零信任安全框架 2.1技术特点 2.2部署方式 派拉软件发展研究院 05page 银行零信任安全框架 银行零信任安全架构保障网络和数据的安全,降低由于数字化转型带来的安全风险,主要从身份安全、终端安全、网络安全、API安全结合银行业的远程办公、数字银行、系统运维几个业务场景来实现。 信创平台 交换与安全平台 系统运维 数字银行 远程办公 身份安全终端安全网络安全API安全数据安全 ZTaaS 外部触点pcAPPWEB微信 服务治理 数据治理 银行一体化安全逻辑架构如图2-1所示 图2-1银行一体化安全逻辑架构 派拉软件发展研究院 page06 2.1技术特点 解决用户、设备、数据相关业务及访问的唯一标识与权限问题,实现终端与服务身份的统一管理与权限验证,是跨多个系统和应用程序管理数字身份和访问权限的工具。这些工具有助 身份安全 于确保只有合适的人才能在合适的时间�于合适的原因获得合适的资源(例如应用程序和数据)的权限,基于细粒度动态授权模式,实现“持续访问,持续验证”,保证访问权限的最小化。 解决终端运行环境的安全问题,由终端感知与终端防护两部分 组成。终端感知包括安全事件检测、安全事件调查、遏制安全事件、以及修复至感染前的状态;终端防护由漏洞利用预防/内 终端安全 存保护、应用控制/白名单、系统信任保证、网络防火墙、可视 性及微隔离几大类组成。 解决了终端到资源端的链路安全问题,实现先认证后连接,隐 网络安全 藏后端服务网关、资源服务,免受被恶意探测和攻击,通过微隔离完成数据的安全过滤与导流,以及访问资源的负载均衡。 解决各资源的数据交互与共享,实现API资产管理与监控,提 供API编排满足业务扩展的需要。对外提供最小权限的接口服务访问,在实现业务互联互通的前提下完成接口服务访问控 API安全 制,提供监控与审计,提高业务效率,增加用户体验,促进企 业的合规性。 解决了数据采集、传输、处理、存储、访问全生命周期的安全问题,提供元数据的定义与授权,基于细粒度的授权模式,对敏感属性自动过滤与加密,结合业务安全模型与风险评估,可 数据安全 动态实现数据的访问权限控制,数据安全网关可实现客户端工具访问的统一管理与配置,防止SQL注入与特权帐号的安全管理与监控。 派拉软件发展研究院 07page 2.2部署方式 支持本地或私有云部署,如果涉及远程办公,需要部署一台能连续内外网的SPA控制器,一台网关服务器,组成SDP服务解决网络访问安全,其他的IAM服务、API网关、UEBA服务等可部署在内网。 本地/私有云 支持混合云部署,SDP服务的SPA控制器、网关服务器地址需要能被公有云和私有云访问 ,其他的IAM服务、API网关、UEBA服务等部署在私有云内,为解决云之间的链路安全,每个公有云需要部署一台应用服务网关,提供端到端的安全链接服务。 混合云 支持公有云部署,SDP服务的SPA控制器、网关服务器、IAM服务、API网关、UEBA服务等部署公有云内,外网不通过SPA控制器和网关服务器的认证,无法直接访问IAM、API网关、UEBA等服务,同样,为解决云之间的链路安全,每个公有云需要部署一台应用服务网关,提供端到端的安全链接服务。 公有云 派拉软件发展研究院 page08 PaRT03 业务场景实现 3.1远程办公 3.2数字银行 3.3系统运维 派拉软件发展研究院 09page 业务场景实现 3.1远程办公 随着疫情常态化以及远程办公的发展,加快了越来越多的员工通过远程方式接入金融体系内网系统,进行办公和生产,金融企业在传统办公模式下的安全边界正在被逐渐打破。为更加有效识别访问对象与权限,保护后端网络和服务资源,实现便捷、高效与安全办公,已成为普遍共识,围绕着从终端身份、访问资源的用户身份、终端到资源端的链路安全到访问资源权限的自适应,以及资源实现隐藏来避免外部探测和攻击等问题,我们需要构建基于零信任安全模型的远程办公解决方案。 如图3-1所示 管理层员工/用户 资源服务 API数据交换安全平台 业务集成 身份安全终端安全网络安全数据安全...... ZTaaS 外部触点pcAPPWEB微信 应用集成 数据集成 流程集成 安全集成 ...... 人力资 源系统 运维管 理平台 统一支 付平台 内控和 风险管理 资产负 债管理 客户信 息管理 ...... 图3-1一体化安全办公 借助于零信任的ZTaaS可实现后端网络的隐藏,实现终端身份先认证后连接,终端身份与用户身份同时验证,避信创免平了台匿名和不安全终端的接入,在链路建 立之前就可获得用户对后端资源是否有访问的权限,解决了匿名或未授权用户的异常访问。 page10 3.2数字银行 区别于传统银行,银行服务不再依赖于实体银行网点,而是以数字网络作为银行的核心,借助前沿技术为客户提供网上银行、手机银行、移动支付等一系列服务,服务趋向定制化和互动化,如何打通业务之间的互联互通,实现API的安全访问、API资产的管理与安全保护成为首要面对的问题。 关于如何建设数字银行,中国人民银行印发的《金融科技发展规划(2022-2025年)》给�了建设思路—打造基于API技术的数字化生态银行:“借助应用程序接口(API)、软件开发工具包(SDK)等手段深化跨界合作……构建开放、合作、共赢的金融服务生态体系。通过系统嵌入、API等手段,实时获取风险信息、自动抓取业务特征数据,保证监管信息的真实性和实效性。” 银行的安全服务不仅需要满足内部需求,而且也需要满足外部需求,需要解决API的安全访问,也要解决API资产管理与安全保护。 应用集成 数据集成 渠道互联 外部合作 ...... 资金业务 平台 电子商业 汇票 信贷业务 平台 私人银行 理财系统 贷记卡 系统 客户管理 平台 ...... 数字银行建设的解决方案如图3-2所示 安全访问 资源服务 API数据交换安全平台 业务集成 身份安全终端安全网络安全数据安全...... ZTaaS 网点平台移动平台信息交互平台电商平台 外部触点 图3-2数字银行的安全框架 11page 建设数字银行的安全框架平台,基于用户、设备、系统等不同的访问对象,统一内外部服务的安全接入,通过访问身份认证和鉴权,减少身份与API数据泄露和攻击风险,实现数据安全访问;通过打通移动APP、微信小程序、第三方合作伙伴和企业内部应用的数据互联互通,实现数据安全共享;通过API资产的统一管理与检查API权限的安全,实现资产统计与业务系统安全保护;打通企业上下游业务,整合内外部服务能力,实现敏捷应对业务的变化。可实现企业生态建设,降低运营成本、扩大数据积累、提升客户体验。 3.3系统运维 业务的发展需要用大量的操作系统与网络设备来支撑,传统的运维管理模式很难满足安全与效率的平衡,甚至二者都不沾边,运维人员的工作变得异常复杂和高风险,尤其对特权账号的申请与授权非常敏感。金融机构面临着如何实现资源的统一管控与特权账号的全生命周期管理,操作系统或数据库的细粒度访问控制与审计,实现事前、事中、事后的全方位安全保护,在保障安全、监控、审计的前提下最大限度提高工作效
