2019(第二屆)中國(guó)金融科技產(chǎn)業(yè)峰會(huì)于10月31日——11月1日在北京國(guó)際會(huì)議中心隆重召開(kāi)。在11月1日下午召開(kāi)的“金融業(yè)網(wǎng)絡(luò)信息安全”分論壇上,華勝信泰信息產(chǎn)業(yè)發(fā)展有限公司CEO杜國(guó)旺先生進(jìn)行了《金融操作安全風(fēng)險(xiǎn)防控》主題演講。
我今天演講題目是針對(duì)《金融操作安全風(fēng)險(xiǎn)防控》。金融操作安全風(fēng)險(xiǎn)防控這個(gè)問(wèn)題有明確的定義,操作安全風(fēng)險(xiǎn)什么時(shí)候得到重視的?大概是2002年之后,操作安全風(fēng)險(xiǎn)成為了金融業(yè)以及所有數(shù)據(jù)中心、信息中心的一個(gè)重點(diǎn)關(guān)注的課題。
針對(duì)操作安全風(fēng)險(xiǎn),最早法律法規(guī)是《薩班斯法案》,緊跟著中國(guó)一系列的政策出現(xiàn)了,尤其是等保二級(jí)以后,香港服務(wù)器,在等保二級(jí)里有更多關(guān)于操作安全風(fēng)險(xiǎn)的控制。
薩班斯法案要求所有的數(shù)據(jù)中心都進(jìn)行日志收集和監(jiān)控,等保2.0公布以后,在2.0里大約是50%以上的內(nèi)容都要求到關(guān)于操作安全風(fēng)險(xiǎn)的要求,包括可信驗(yàn)證、身份鑒別、訪問(wèn)控制、安全運(yùn)維等等,有很多的內(nèi)容。
在金融領(lǐng)域,操作安全風(fēng)險(xiǎn)具體是怎樣的一種表現(xiàn)?隨著金融領(lǐng)域大量數(shù)據(jù)中心的涌現(xiàn),以及到目前為止國(guó)產(chǎn)軟硬件產(chǎn)品使用率的不斷提升,國(guó)家已經(jīng)大量在用國(guó)產(chǎn)軟硬件產(chǎn)品,我們出現(xiàn)了更多操作風(fēng)險(xiǎn)的意識(shí)。
關(guān)于傳統(tǒng)運(yùn)維操作,在傳統(tǒng)運(yùn)維操作中,我們首先遇到各種各樣的麻煩,可能維護(hù)一個(gè)數(shù)據(jù)中心若干的設(shè)備,就一套密碼、一個(gè)權(quán)限,大家都用這個(gè)密碼、這個(gè)帳戶,但是到了最后,密碼被誰(shuí)改了?不知道!誰(shuí)在這個(gè)機(jī)器上增加新帳戶了?誰(shuí)刪除一個(gè)文件?誰(shuí)改變了一個(gè)規(guī)則?我們經(jīng)常不知道。尤其是現(xiàn)在金融以外泛金融的延伸,這種問(wèn)題太突出了!
發(fā)現(xiàn)一個(gè)安全漏洞以后,證據(jù)從哪里找呢?其實(shí)我們說(shuō)針對(duì)金融的運(yùn)維、操作,如果我們能獲取如下的幾個(gè)環(huán)節(jié),我們就不愁實(shí)現(xiàn)一個(gè)風(fēng)險(xiǎn)防控。首先,是誰(shuí)干了這件事情,什么時(shí)間從什么地點(diǎn)登陸的,客戶端的IP是哪一個(gè),登陸到哪個(gè)目標(biāo)主機(jī)了,在這個(gè)目標(biāo)主機(jī)上做了哪些事情,這些事情的返回結(jié)果是什么,成功了還是失敗了,有記錄嗎?可以回溯嗎?可以回放嗎?當(dāng)我們明確了在線問(wèn)題的時(shí)候,就很容易實(shí)現(xiàn)金融操作風(fēng)險(xiǎn)的防控。
上升到管理規(guī)范上,我們?cè)诮鹑诘倪\(yùn)維管理中要實(shí)現(xiàn):
1、 事前防范。實(shí)現(xiàn)一個(gè)事前防范,要對(duì)已認(rèn)證的用戶、實(shí)名的用戶、實(shí)名的認(rèn)證進(jìn)行管理,要對(duì)它進(jìn)行強(qiáng)省份認(rèn)證、強(qiáng)身份識(shí)別。這個(gè)強(qiáng)身份認(rèn)證,剛才有專家已經(jīng)講了,說(shuō)支持靜態(tài)口令、動(dòng)態(tài)口令、生物特征的認(rèn)證,亞洲服務(wù)器租用,聲紋、虹膜、指紋、人臉等等。某人操作權(quán)限提前的授權(quán)、審批。
2、 事中控制。在操作過(guò)程中,事中我們對(duì)他訪問(wèn)的每一個(gè)課題甚至執(zhí)行每一個(gè)命令進(jìn)行訪問(wèn)控制,他所執(zhí)行的操作進(jìn)行控制,比如在Unix系統(tǒng)下操作,它做一個(gè)命令,操作員做完以后回車不起作用,為什么?可能需要更高權(quán)限、更高級(jí)別的同事給他審批,實(shí)現(xiàn)雙重認(rèn)證。他執(zhí)行哪些命令、能操作哪些設(shè)備,進(jìn)行訪問(wèn)控制。
3、 事后審計(jì)。事后能夠?qū)崿F(xiàn)審計(jì),對(duì)于每一個(gè)人每一個(gè)操作做了哪些工作,能夠把它操作的過(guò)程回溯出來(lái),可以預(yù)警出來(lái)哪些風(fēng)險(xiǎn),最后形成統(tǒng)一的報(bào)表報(bào)告,知道做了哪有風(fēng)險(xiǎn)的操作。
接下來(lái),介紹一下我們的統(tǒng)一安全平臺(tái)業(yè)務(wù)模型∑USP是干什么的?
進(jìn)行統(tǒng)一身份管理、統(tǒng)一身份認(rèn)證、統(tǒng)一訪問(wèn)控制、審計(jì)過(guò)來(lái)。傳統(tǒng)運(yùn)維是訪問(wèn)目標(biāo)服務(wù)器,所有數(shù)據(jù)都是直連的,風(fēng)險(xiǎn)很大。訪問(wèn)帳戶一般是每臺(tái)機(jī)器上root、DBA的用戶,實(shí)現(xiàn)不了實(shí)名。我們西格瑪U(kuò)SP是業(yè)界有名的堡壘機(jī)或者跳板級(jí)東西。首先,對(duì)堡壘機(jī)進(jìn)行登陸訪問(wèn),這個(gè)堡壘機(jī)登陸時(shí)用的實(shí)名、多因素身份認(rèn)證,實(shí)現(xiàn)對(duì)后臺(tái)所有訪問(wèn)資源的單點(diǎn)登陸,這些訪問(wèn)資源統(tǒng)一實(shí)現(xiàn)授權(quán),幾百臺(tái)機(jī)器,我這個(gè)用戶登陸以后能訪問(wèn)哪幾臺(tái)機(jī)器,它是有明確設(shè)定的。我訪問(wèn)每臺(tái)機(jī)器時(shí)可以執(zhí)行哪他命令、執(zhí)行哪類操作,它也是有統(tǒng)一定義的。我做完工作可以把我的行為調(diào)出來(lái)進(jìn)行回放,然后在1臺(tái)機(jī)器上,我這個(gè)人做的所有工作可以形成統(tǒng)一的報(bào)表進(jìn)行審計(jì),這就是我們的功能模型。
它的應(yīng)用架構(gòu),分為:訪問(wèn)主體、管理員、訪問(wèn)課題。訪問(wèn)主體是普通的運(yùn)維人員,他可以使用各種各樣的協(xié)議,Telnet、RDP、3270、5250等等,包括網(wǎng)絡(luò)設(shè)備、Windows設(shè)備,也包括我們現(xiàn)在針對(duì)數(shù)據(jù)庫(kù)服務(wù)也進(jìn)行訪問(wèn)控制和審計(jì)。在這些金融案例中都提出來(lái)各種需求。
