2019(第二屆)中國金融科技產業峰會于10月31日——11月1日在北京國際會議中心隆重召開。在11月1日下午召開的“金融業網絡信息安全”分論壇上,華勝信泰信息產業發展有限公司CEO杜國旺先生進行了《金融操作安全風險防控》主題演講。
我今天演講題目是針對《金融操作安全風險防控》。金融操作安全風險防控這個問題有明確的定義,操作安全風險什么時候得到重視的?大概是2002年之后,操作安全風險成為了金融業以及所有數據中心、信息中心的一個重點關注的課題。
針對操作安全風險,最早法律法規是《薩班斯法案》,緊跟著中國一系列的政策出現了,尤其是等保二級以后,香港服務器,在等保二級里有更多關于操作安全風險的控制。
薩班斯法案要求所有的數據中心都進行日志收集和監控,等保2.0公布以后,在2.0里大約是50%以上的內容都要求到關于操作安全風險的要求,包括可信驗證、身份鑒別、訪問控制、安全運維等等,有很多的內容。
在金融領域,操作安全風險具體是怎樣的一種表現?隨著金融領域大量數據中心的涌現,以及到目前為止國產軟硬件產品使用率的不斷提升,國家已經大量在用國產軟硬件產品,我們出現了更多操作風險的意識。
關于傳統運維操作,在傳統運維操作中,我們首先遇到各種各樣的麻煩,可能維護一個數據中心若干的設備,就一套密碼、一個權限,大家都用這個密碼、這個帳戶,但是到了最后,密碼被誰改了?不知道!誰在這個機器上增加新帳戶了?誰刪除一個文件?誰改變了一個規則?我們經常不知道。尤其是現在金融以外泛金融的延伸,這種問題太突出了!
發現一個安全漏洞以后,證據從哪里找呢?其實我們說針對金融的運維、操作,如果我們能獲取如下的幾個環節,我們就不愁實現一個風險防控。首先,是誰干了這件事情,什么時間從什么地點登陸的,客戶端的IP是哪一個,登陸到哪個目標主機了,在這個目標主機上做了哪些事情,這些事情的返回結果是什么,成功了還是失敗了,有記錄嗎?可以回溯嗎?可以回放嗎?當我們明確了在線問題的時候,就很容易實現金融操作風險的防控。
1、 事前防范。實現一個事前防范,要對已認證的用戶、實名的用戶、實名的認證進行管理,要對它進行強省份認證、強身份識別。這個強身份認證,剛才有專家已經講了,說支持靜態口令、動態口令、生物特征的認證,亞洲服務器租用,聲紋、虹膜、指紋、人臉等等。某人操作權限提前的授權、審批。
2、 事中控制。在操作過程中,事中我們對他訪問的每一個課題甚至執行每一個命令進行訪問控制,他所執行的操作進行控制,比如在Unix系統下操作,它做一個命令,操作員做完以后回車不起作用,為什么?可能需要更高權限、更高級別的同事給他審批,實現雙重認證。他執行哪些命令、能操作哪些設備,進行訪問控制。
3、 事后審計。事后能夠實現審計,對于每一個人每一個操作做了哪些工作,能夠把它操作的過程回溯出來,可以預警出來哪些風險,最后形成統一的報表報告,知道做了哪有風險的操作。
接下來,介紹一下我們的統一安全平臺業務模型∑USP是干什么的?
進行統一身份管理、統一身份認證、統一訪問控制、審計過來。傳統運維是訪問目標服務器,所有數據都是直連的,風險很大。訪問帳戶一般是每臺機器上root、DBA的用戶,實現不了實名。我們西格瑪USP是業界有名的堡壘機或者跳板級東西。首先,對堡壘機進行登陸訪問,這個堡壘機登陸時用的實名、多因素身份認證,實現對后臺所有訪問資源的單點登陸,這些訪問資源統一實現授權,幾百臺機器,我這個用戶登陸以后能訪問哪幾臺機器,它是有明確設定的。我訪問每臺機器時可以執行哪他命令、執行哪類操作,它也是有統一定義的。我做完工作可以把我的行為調出來進行回放,然后在1臺機器上,我這個人做的所有工作可以形成統一的報表進行審計,這就是我們的功能模型。
它的應用架構,分為:訪問主體、管理員、訪問課題。訪問主體是普通的運維人員,他可以使用各種各樣的協議,Telnet、RDP、3270、5250等等,包括網絡設備、Windows設備,也包括我們現在針對數據庫服務也進行訪問控制和審計。在這些金融案例中都提出來各種需求。
