数字银行可信纵深防御白皮书

首席顾问 沈昌祥中国工程院院士 顾问委员会 (按姓氏笔划排序)孙瑜可信华泰信息技术有限公司CTO 肖新光中国网络安全产业联盟理事长陈建平安集团首席信息安全总监张建标北京工业大学教授 何阳中国信通院云计算与大数据研究所金融科技部主任杜宁中关村金融科技产业发展联盟副理事长 孟楠中国信通院安全所副所长 贲圣林北京前沿金融监管科技研究院院长、浙江大学国际联合商学院院长 聂君北京知其安科技有限公司董事长谭晓生北京赛博英杰科技有限公司董事长 编写指导委员会 高嵩、韦韬、王宇、李婷婷、彭晋 编制工作组 张园超、孔令河、陆碧波、付颖芳、段云洁、冯丽娜、姜志辉、雍迪、阎淬、姜楠、马超、孙维挺、李博文、高祖康、王飞宇、韩绪仓、冯程、刘孝贵、陆俊、陈德峰、吴飞飞、高亭宇、王龙、高佩明、龙孝武、赵永福、王滨、周钊宇、姚锐、陈明、戴鹏飞、李恒、王伟、杨鹏迪、戴梦杰、陈宇、柳寒、陈嘉钰 特别鸣谢 (按姓氏笔划排序) 丁云翔、于永恒、卫振强、王国伟、牛纪雷、方亮、方超、白晓媛、白鹏、刘宇江、刘润、刘鹏程、闫守孟、江英豪、许蓓蓓、苏航、李志鹏、李强、杨玉彪、杨昭宇、杨超、肖磊、吴克柱、沈安琪、宋玉成、张石轶、张永、张洪全、张绪峰、张聪、陈逸凡、陈超、陈遥、陈歆、武鹏、郑旻、赵启方、赵跃明、胡全、南野、钟青锋、侯伟星、祝辰、贾依真、顾为群、徐子腾、谈鉴锋、黄琳、巢震阳、彭泽文、蒋维杰、靳宇星、赖寒冰、阚广稳、谭杰、谭国涛、谭翔 本白皮书由北京前沿金融监管科技研究院、浙江网商银行股份有限公司牵头撰写。由于编者水平有限，本白皮书内容难免存在疏漏，不足之处恳请各位专家、同仁批评指正。 序言 沈昌祥 中国工程院院士 随着国家数字化转型发展战略和要求的提出，银行业作为国家数字化转型的重要组成部分，其金融应用及服务呈现线上化、数字化、实时化的发展趋势和特点，信息系统和服务更加开放，数字资产更加在线和密集，网络边界更加模糊。在这种发展趋势下，银行机构面临的安全态势也愈发严峻，但传统的“封堵查杀”（即杀病毒、防火墙、入侵检测“老三样”）在新的IT架构下难以应对安全威胁，尤其是0Day、社会工程学、软硬件供应链等高级和未知威胁，严重威胁着用户的个人隐私和数字财产的安全。为了有效应对企业信息系统、业务服务面临的安全威胁，安全可信成为国家法律、战略和制度要求：《中华人民共和国网络安全法》第十六条中要求“推广安全可信的产品和服务”，2016年12月发布的《国家网络空间安全战略》中“（七）夯实网络安全基础”中要求“加快安全可信产品推广应用”，2021年 9月1日实施的《关键信息基础设施安全保护条例》第十九条中要求“优先采购安全可信的网络产品和服务”。 如何合法合规的应对数字银行面临的高级和未知威胁，主动免疫可信计算的保障体系是最有效的解决方案。主动免疫可信计算是一种 新的计算模式，实施计算运算的同时并行进行免疫的安全防护，能及时准确识别身份和状态度量及加密存储，从而使攻击者无法利用存在缺陷和漏洞对系统进行非法操作，达到预期的计算目标；二是建立计算部件+防护部件“二重”体系结构；三是建立可信安全管理中心支持下的主动免疫三重防护框架。加上可信动态访问控制，全程管控，技管并重，最终达到让攻击者“进不去、拿不到、看不懂、改不了、瘫不成、赖不掉”的防护效果。 网商银行可信纵深防御体系是对主动免疫可信计算在数字银行场景很好的落地实践。所建设的防御体系以硬件可信芯片为信任根、可信软件基为核心、密码学为基础，通过检测、度量、证明和管控等方法，构建贯穿硬件、固件、系统软件和应用软件的完整信任链，为信息系统的安全运行和数据的使用计算提供可靠的安全可信底座；在安全可信底座之上，严格按策略控制开放的系统服务，仅允许业务依赖且通过安全评估的行为可访问或可执行，并在数字资产面临威胁路径上构建多层可信防护屏障，形成安全可信纵深防御能力。所建设的防御体系能够有效识别“自己”和“非己”成分，破坏与排斥进入信息系统机体的有害“物质”，为提供互联网服务的信息系统加持了“免疫能力”，以应对0Day漏洞、社会工程学、软硬件供应链等网络安全威胁。期待其成为数字银行主动免疫可信计算防御体系的实践标本，为金融业及其它行业以主动免疫可信计算防御的有效实践带来借鉴及示范。 序言 高峰 中国银行业协会首席信息官（CIO） 当今，银行业数字化转型在向纵深推进，数字化产品与服务给银行业带来高效、便捷金融产品的同时，也给银行业数字安全防护带来了全新的挑战。银保监会发布的《关于银行业保险业数字化转型的指导意见》强调数字化转型风险防范，强化网络安全防护，完善纵深防御体系，做好网络安全边界延展的安全控制。为应对越来越严峻的网络安全攻击，如何在复杂的安全环境下守住数字银行安全底线，为银行业数字化转型战略的顺利实施提供可靠的安全保障，是数字银行需要重点研究和解决的问题。网商银行的实践表明可信纵深防御体系是一个行之有效的新兴安全防护体系，可信纵深防御作为新一代的基础安全防御体系，是保障银行业客户信息和资金安全的基础底座，也是保证银行持续稳健经营的安全基石。 《数字银行可信纵深防御白皮书》提出了数字银行可信纵深防御体系的安全理念与技术方案。设计符合银行业要求的安全防护体系，可实现事前高效规避风险事件发生的目标，并兼顾数字银行效率和体验要求。纵深防御的理念来自于战争学的概念，该理念在信息安全领域也得到了广泛的使用和推广。数字银行可信防护体系为了避免单 点防御措施失效导致风险事件的发生，对开放至互联网的应用服务，采用纵深防御的理念进行可信防御体系的建设。可信计算（TrustedComputing，TC）三项技术能力密钥安全保护、远程证明、信任链构建至关重要，充分使用安全平行切面体系的架构建立事前应对高级和未知威胁的防护体系，提升安全加固的效率及风险识别的精准度，借鉴零信任的架构理念设计实现网络层的可信防御体系。建设路径自下而上传递信任链（基础设施可信->应用可信->网络可信->移动端及终端可信），可有效应对入侵导致的数据泄露或者资金被盗威胁，对数字银行攻防对抗实践和高效安全加固有着重要指导意义。 为达成事前高效规避高级和未知威胁的目标，兼顾数字银行效率与体验要求，需要基于数字银行业务特性及风险场景，结合可信计算、安全平行切面等新兴安全体系思想，架构设计面向数字银行的可信纵深防御体系。在可信纵深防御体系的建设当中，做到以满足监管合规要求为底线，同时可以高效应对面临的高级和未知威胁，又可以将可信防御体系的建设成本和管控效率控制在合理的范围，不会因为防御体系建设过重带来过多成本、性能和效率的损耗。综合评估来建设可信级防御体系的深度，在威胁有效应对和数字银行的合规要求、安全成本投入、管控效率上达到最佳平衡。未来，数字银行的信息安全防护体系的价值愈加重要，在银行业面对的网络安全、数据安全、隐私保护等威胁和挑战时，必须要通过全栈式、全方位、无死角的安全防护体系才能解决问题。 序言 何宝宏 中国信息通信研究院云计算与大数据研究所所长 党的二十大要求加快发展数字经济，打造具有国际竞争力的数字产业集群。数据在成为重要生产要素的同时，也成为百行千业的核心资产。近年来，随着银行业数字化转型的深入推进，银行应用系统更趋复杂，银行传统网络边界更加模糊，内外部威胁更加高级未知，保护核心数据资产面临巨大挑战。 为应对潜在风险，监管层要求银行业“完善纵深防御体系”。网商银行立足自身数字银行的客观条件，基于事前防范未知威胁的实际需求，首创“可信纵深防御体系”，将可信防御理念与纵深防御理念相结合，针对数字银行的应用服务，构建金融级的事前纵深防护体系。“可信纵深防御体系”以密码学为基础、可信芯片为信任根、可信软件基为核心，确保业务应用服务运行所依赖的资源、行为在启动时和运行态均是可预期且可信的，阻止非预期的访问和运行行为，针对硬件、固件、系统和应用等不同的防御平面部署多层次的防御体系，应对0Day漏洞攻击、APT攻击、软硬件供应链攻击等高级威胁。 作为防守方的数字银行，无法准确预测攻击者会在何时何地以何种方式进攻应用系统。“可信纵深防御体系”区别于传统被动基于攻 击者常用攻击方法不断优化拦截和阻断策略的思路。一方面，执行可信理念。立足于数字银行业务特性，建立白名单化的管控策略，根据业务的代码、流量数据，清晰定义刻画系统运行所依赖的预期内的可信行为。另一方面，贯彻纵深防御理念。单点防御措施可能被绕过或运行异常而导致防御失效，基于防御体系的稳定性和可用性，需要在不同的防御平面部署多层的可信防御措施有效应对安全威胁，降低单点防御的不稳定性，使攻击者无法达成进攻目的或在达成进攻之前就被发现和制止。 数字银行“可信纵深防御体系”从业务特性出发，在终端层、网络层、应用层和基础设施层等适配可信策略控制点，建立覆盖各层的可信管控策略，并将信任关系逐级规约到不可篡改的硬件可信芯片。数字银行“可信纵深防御体系”以硬件和操作系统的可信为基础，逐层扩展到虚拟机、容器、应用、网络等层面，每一层面的信任关系都可以传递至下一层，形成完备的信任链，最终达成可信纵深防御的效果。其中，硬件可信芯片是“可信纵深防御体系”信任的根基，可信策略控制点是“可信纵深防御体系”的骨架，可信策略中心是“可信纵深防御体系”的免疫系统，可信管控中心是“可信纵深防御体系”的大脑中枢，自下而上的信任链、安全保障及稳定性保障是“可信纵深防御体系”建设的基石。 数字经济的发展离不开安全的护航。2021年我国数字经济规模45.5万亿元，占GDP比重为40%，预计未来一段时间，该规模将持续 稳健增长。数字银行“可信纵深防御体系”是银行业数字化转型过程中对安全保障进行的有益探索，是新一代信息技术在掌握安全主动权的生动实践，相信数字银行“可信纵深防御体系”对构建防御生态、保障行业数字化转型、呵护数字经济安全发展等方面的重要作用将越发凸显。 前言 随着新兴数字技术在金融行业的应用持续深入并趋于成熟，银行业金融机构数字化转型进程迈入快车道，金融产品和服务纷纷呈现出线上化、数字化、智能化的发展趋势和特点。相比柜面、ATM等传统金融服务渠道，利用云计算、大数据、区块链等新兴数字技术，以移动APP、小程序等为载体，在互联网环境下，为广大客户提供线上账户管理、投资融资、支付结算、国际业务等综合金融服务，不仅带来了金融便利，也给金融机构带来更多网络安全风险挑战。与此同时，《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规相继出台，将网络安全保护、数据安全保护以及个人信息保护上升至法律保护层面；金融行业监管部门也对银行业金融机构在深化金融科技应用，推进金融数字化转型方面，陆续发布指导文件，指明方向、提出要求，监管力度正在全方位加强。面临数字化转型的内生驱动和强监管的外部环境，银行业金融机构如何在日益严峻、复杂的网络安全环境下，守住网络安全底线，保障数字化转型战略顺利实施，是当前各银行业金融机构向数字银行转型首要解决的重点问题。 网商银行作为一家自带数字基因的“数字银行”，自诞生之日起就将核心系统架在“云”上，多年来，始终坚持“安全可信、自主可控”的系统安全建设理念，一直保持着高并发、高稳定、零重大网络安全事件的运行状态，已经实践检验，形成了一套成熟的网络安全防御体系——可信纵深防御体系。整个防御体系以硬件可信芯片为信任根、密码学为基础、可信软件基为核心，通过检测、度量、证明和管控等方法，构建贯穿硬件、固件、系统软件和应用软件的完整信任链，为信息系统的安全运行和数据的使用计算提供可靠的安全可信底座；在安全可信底座之上，严格控制开放的系统服务，仅允许业务依赖且通过安全评估的行为可访问或可执行，并在数字资产面临的威胁路径上构建多层可信防护能力，形成可信纵深防御，以应对0Day漏洞、社会工程学、软硬件供应链等网络安全威胁。 编制工作组希望通过白皮书的方式将网商银行可信纵深防御的最佳实践共享给金融同业，为已经开展数字化转型或准备转型的同业机构，提供网络安全体系建设升级的参考案例。 目录 1数字银行可信纵深