中評社北京12月1日電/據經濟日報報導,銀行在數字化轉型過程中面臨哪些新的安全挑戰?近年來,隨著數字技術發展,各銀行都在加速升級核心系統,以實現服務線上化,提升作業效率和用戶體驗。與此同時,數字化的過程進一步加大了數據和資金等關鍵要素的風險敞口。如何在複雜的安全環境下守住數字銀行安全底線,確保信息安全系統“防得住,防得全”,正在成為每一家銀行在數字化轉型過程中的重要課題。
“數字銀行信息系統主要面臨三方面的威脅,需要更強大的免疫系統。”網商銀行首席信息官高嵩分析認為,一是服務線上化、場景化導致銀行信息系統對外暴露的攻擊面大幅增加;二是安全威脅等級提升,金融業務數字化後的攻擊潛在收益增加,攻擊者願意投入的成本也越大;三是安全與效率的矛盾更加突出,原本的網絡隔離技術和管理制度約束跟不上業務發展速度,使得安全無法落到實處。
為應對上述安全挑戰,北京前沿金融監管科技研究院與網商銀行共同牽頭的《數字銀行可信縱深防禦白皮書》首次提出了“可信縱深防禦”的數字安全理念,並明確了實施路徑。據悉,可信縱深防禦體系是一種新的安全防禦體系架構,以密碼學為基礎、可信芯片為信任根、可信軟件基為核心,對面向互聯網開放的應用服務,確保應用運行所依賴的資源、行為在啟動時和運行中均是可預期且可信的。其中,可信計算是一種新計算模式,能夠在實施業務計算的同時進行主動免疫防護,使攻擊者無法利用存在的缺陷和漏洞對系統進行非法操作;而縱深防禦的理念來自於戰爭學,建立計算部件+防護部件的多重安全體系結構,並通過可信安全管理中心和多層級安全觸點實現全程管控,避免單點防禦措施失效導致風險事件的發生,最終達到讓攻擊者“進不去、拿不到、看不懂、改不了、癱不成、賴不掉”的防護效果。
“在線系統使用的硬件、操作系統、軟件、服務中都潛藏著很多尚未被發現的漏洞,在被正式上報前,基於這些漏洞的攻擊方法和特徵都是不可預測的。但在可信縱深防禦體系裡,僅允許業務依賴且通過安全評估的行為訪問與執行,對攻擊導致的異常行為就能‘免疫’。”高嵩認為,“可信縱深防禦能有效識別‘自己’和‘非己’成分,破壞與排斥進入信息系統機體的有害行為,並且不需要通過物理隔離等手段實現,兼顧了效率與安全”。
中國工程院院士沈昌祥認為,主動免疫可信計算的保障體系是合法合規應對數字銀行面臨的高級和未知威脅的最有效解決方案。銀行嘗試可信縱深防禦體系是數字銀行場景下對主動免疫可信計算體系很好的實踐,能夠為金融業及其他行業主動免疫可信計算防禦的有效應用帶來借鑒及示範。 |
