![点击分享此内容可以赚币 分享](/master/images/share_but.png)
银行业DAO数字化安全运营体系研究.pdf
《银行业DAO数字化安全运营体系研究.pdf》由会员分享,可在线阅读,更多相关《银行业DAO数字化安全运营体系研究.pdf(8页珍藏版)》请在咨信网上搜索。
1、信息安全研究第10 卷第4期2 0 2 4年4月Journalot information Security ResearchVol.10No.4Apr.2024DOl:10.12379/j.issn.2096-1057.2024.04.11银行业DAO数字化安全运营体系研究李丁炜林叶明孙钢袁昱(浙商银行股份有限公司杭州3112 0 0)(浙银网络安全创新实验室杭州()Research on Banking DAO Digital Security Operation System1311200)Li Dingwei,Lin Yeming,Sun Gang,and Yuan Yu(Zhesha
2、ng Bank Co.,Ltd.,Hangzhou 311200)(Zheyin Network Security Innovation Laboratory,Hangzhou 311200)Abstract In the current era of explosive growth of network threats,with the digital reshaping ofbusiness models and sustained growth of business,the banking industry is facing problems such asredundant se
3、curity equipment,heavy security operation tasks,and insufficient practical combatcapabilities caused by the continuous expansion of network security defense lines.This paperanalyzes the challenges faced by financial institutions in the banking industry in securityoperations,banking DAO(defence,abili
4、ty and operation)digital security operation systemintegrating peace and war integration security operation mechanism has been proposed,with afocus on studying the three-level architecture of deepening the protection foundation,atomizationcapability center,and digital operation center,as well as the
5、implementation path of peace and warintegration mechanism for normalized,high-strength,and uninterrupted protection targets.Key words network security operation;security equipment management;atomization;securityorchestration automation and response;integration of peacetime and wartime摘要在网络威胁呈爆发式增长的当
6、下,随着业务模式数字化重塑与业务持续性增长,银行业面临因网络安全防线持续扩大所导致的安全设备杂、安全运营任务繁重、实战能力不足等问题.对银行业金融机构在安全运营中所面临的挑战进行分析,提出了融合平战一体化安全运营机制的银行业DAO(defence,a b i l i t y a n d o p e r a t i o n)数字化安全运营体系,重点研究纵深化防护基础、原子化能力中枢、数字化运营总台3层次架构,以及针对常态化、高强度、无间断防护目标的平战一体机制实施路径。关键词网络安全运营;安全设备管理;原子化;安全编排自动化和响应;平战一体化中图法分类号TP309.1收稿日期:2 0 2 3-0
7、 8-0 4通信作者:林叶明()引用格式:李丁炜,林叶明,孙钢,等。银行业DAO数字化安全运营体系研究J信息安全研究,2 0 2 4,10(4):36 0-36 73601学术论文.ResearchPapers网络空间已成为陆、海、空、天之外的第五主权空间,网络安全事关经济发展、社会稳定、国家安全和人民合法权益.然而,在当下复杂国际冲突背景下,黑客活动愈发活跃,各类重点行业、政府机构遭受大量网络攻击,作为现代社会经济建设中的重要一环,金融业同样无法独善其身!.除钓鱼欺诈、漏洞利用、DDoS攻击等手段以外,人工智能、星链技术、基础设施漏洞扫描等也不断被应用于网络攻击中,形成了网络威胁呈技术多样化
8、、规模产业化的持续发展趋势。银行业金融机构作为金融体系的主体重要组成部分,其业务繁多、结构复杂,并与社会各领域存在数据与业务交互层面的紧密关联.随着以大数据、云计算、人工智能、区块链等技术为核心的金融科技应用发展对商业银行业务模式的不断重塑,银行业务不再受制于时空局限,获得了持续性发展窗口 2-31.然而,在网络威胁呈爆发式增长的今日,银行业这一发展趋势势必导致网络安全风险口的扩大,针对巨量且持续增长的信息基础设施防护需求,需不断扩大网络安全防线,持续增加的安全设备给网络安全的科学化运维与精准化管控等提出了新挑战.在这样复杂的网络安全威胁态势下,如何构建并科学管理有效的网络安全防护体系、如何在
9、海量业务数据与网络威胁条件下保障安全运营效率、如何对抗多变且无从预知的真实攻击是银行业金融机构迫切需要解决的问题.1银行业网络安全运营面临的挑战1.1异构安全设备杂,管理存在挑战银行业网络安全防护体系建设主流以安全设备的完备为目标,即通过在边界、网络层、应用层、主机层、数据层等部署异构安全设备以形成防御纵深,确保攻击行为可以被至少一种安全设备识别.由此不可避免地存在因安全设备堆砌导致的种类多、品牌繁、功能杂的问题,不同种类、不同品牌设备间维护逻辑相互独立,在物理维护的基础上同样需要对安全策略与基线的维护付出持续的成本 4;同时,设备能力调用过度笨重,典型如IP封禁场景,难以实现针对特定需求对特
10、定位置、特定型号、特定功能的防火墙封禁功能的灵活调度,使得安全运营面对网络威胁动态变化、防护需求动态变化的场景处于被动.1.2安全运营任务繁重,数字化困难重重网络安全运营涉及事件、风险、策略、人员、基线等诸多方面,银行作为金融领域的关键基础设施运营单位,其网络安全运营面临业务量巨大与遭受网络威胁频繁的双重压力 5.对此,银行业需以运营数字化、标准化的方式应对日趋复杂、繁重的网络安全运营任务.然而,在纵深防御体系构建的思路下,企业虽异构大量不同品类安全设备,但因缺少标准化、集成化的能力接口,整体安全建设多呈零散状态,安全设备存量虽大,但难以从全局视角进行统筹,设备间安全能力亦无法有效融合。由此,
11、单一安全运营动作只能对接单一类别设备,动作覆盖面狭窄,且持续产生的特性化安全运营场景依赖于定制化设计,难以固化为标准流程,势必导致安全运营数字化程度有限,仍需大量人力资源介人运营流程,1.3平战一体机制欠缺,实战对抗能力不足实战化网络安全攻防演习已逐步成为银行业机构检验网络安全防御及运营体系能否抵御拟真场景下复杂攻击的重要手段.相较于平时,攻防演习通过模拟真实攻击行为使靶标遭受的攻击烈度剧增,为与之对抗,目标机构需大幅提高防御投人,通过临时性投入的专家资源确保现有安全能力的充分发挥.然而,在真实场景下,高强度网络攻击的产生无从预知,银行业同样难以承受战时剧增的安全运营成本的常态化 6 ;同时,
12、因欠缺基于数字化技术减少安全运营过程中对专家过度依赖的能力,无从实现低安全运营强度的平时与高安全运营强度的战时2 种不同运营场景间的快速切换,势必导致所构建的纵深安全防御能力难以有效发挥,在真实的网络攻击对抗中受制于人、消极被动.2银行业DAO数字化安全运营体系本文基于对银行业网络安全运营所面临挑战的分析,结合银行业网络安全防护现状,提出了以防御层、能力层、运营层3层架构为基础、融合平战一体化机制的银行业DAO(d e f e n c e,a b i l i t y a n doperation)数字化安全运营体系,如图1所示:网址http:/1361信息安全研究第10 卷第4期2 0 2 4
13、年4月Journalotinformatien Security ResearchVol.10No.4Apr.2024流程一策略事件风险一基线人员运营层数字化运营总台能力层原子化能力中枢防御层纵深化防御基础战时能力增强编保护排识别检测响应赋能数据层网络层层情报应用层主机层边界恢复调度态感平时能力赋子图1银行业DAO数字化安全运营体系2.1基础架构2.1.1防御层一一纵深化防御基础防御层通过由在网络边界、网络层、应用层、主机层、数据层所部署的异构安全设备以及包括态感、情报、攻击面等在内的管理平台所共同组建的防御纵深,打造基础的防御架构.该层呈分级部署的多层次、立体式结构,覆盖设施、网络、平台、应
14、用、终端、数据等方面7-8 1。防御层通过网络边界防护部署,拒绝非授权访问,实现对外部攻击的主动防御阻断;监测网络层全流量,提供安全事件观测溯源能力;部署应用层漏洞扫描、动态防御设备,基于事前控制理念及时发现及消除应用系统安全风险;对主机及终端进行持续性资产核查、人侵检测、基线检查,同时结合蜜罐蜜网,进行攻击诱捕,分流攻击行为,提供反制能力;在数据层基于零可信理念和容器技术,严格实施数据脱敏、边界控制,防范数据泄露.此外,引人威胁情报、攻击面管理、有效性验证等技术,从提升风险发现能力、收集管理风险暴露面、持续性安全防护能力验证等方面,辅助增强各级安全防护设备能力,提高协同防御效率。2.1.2育
15、能力层一一原子化能力中枢能力层基于原子化理念,将来自于不同厂商或属于不同网络节点的不同安全设备,由整体拆分为一系列标准能力集合,从而消除其异构性及3621分布性以实现设备能力的抽象及对安全运营体系的标准化、规范化接入.该层次将防御层复杂的安全设备重整为独立的能力点,并赋予其特定标签,以供运营层根据安全防护需求、目标进行安全设备的精细化管理与安全能力的统一调度.能力层依据企业安全能力框架,将设备能力细分为5种标准能力:1)识别能力.即对系统、资产、数据以及网络所面临安全风险的发现及确认的能力,多于资产发现及安全检测等场景中发挥作用,如资产识别、用户识别、漏洞识别.2)保护能力.即通过一定的安全措
16、施以保障关键设施及服务的能力,如阻断、隔离、鉴权、封禁IP.3)检测能力.通过流量分析等手段,对攻击行为、业务状态、防护措施等进行即时监控,以主动发现网络安全事件,检测目标包括探测扫描、漏洞利用、Web攻击等.4)响应能力.作用于安全事件发生或产生一定影响后,对事件进行调查、评估及止损,如事件调查、证据收集、情报查询.5)恢复能力.即在损失产生后,对系统进行恢复及对漏洞进行修复,并确定事件原因加以预防,包括恢复系统、修复漏洞、数据恢复等.2.1.3运营层一数字化运营总台运营层基于能力层所提供的原子化安全能力,将涉及事件、人员、风险、基线、策略等方面的安全运营要素封装为标准化的安全运营动作,并学
17、术论文.ResearchPapers依托于数字化建模及自动化编排技术,将特定场景流程固化为安全剧本,从而将众多系统及安全设备协同联动,融合人与技术于标准数字化流程中,使各项安全运营工作转化为一致的、可重复的且可测量的工作流。基于识别及检测能力,运营层持续接人来自不同安全设备的威胁告警,通过固化的专家经验剧本,使安全事件响应过程数字化,降低响应时延.针对安全运营中的安全专家、运维及管理人员,运营层将人工动作嵌人各工作流中,依需求分配人员工作并标准化协作流程与内容。被动的威胁检测以外,运营层能够提供不依赖于人力的风险主动探测能力,基于低时间敏感度的主动探测任务协调人员与网络,错开业务高峰对风险进行
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 银行业 DAO 数字化 安全 运营 体系 研究
![提示](https://www.zixin.com.cn/images/bang_tan.gif)
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。