实战 | 拟态防御技术在金融业务行业的应用

ikkhksvu · 发表于 2024-10-3 03:41:26

欢迎金融科技工作者积极投稿！

各抒己见！

投稿邮箱：

newmedia@fcmag.com.cn

——金融电子化

文 / 中国工商银行软件研发中心系统一部总经理刘映镇

近些年来，全世界网络安全形势依然严峻，网络攻击数量连续提升，数据泄密等安全事件频发。工商银行基于主流信息安全技术与最佳实践经验，创立了全面、可靠的企业级安全防御体系与安全服务平台，为客户信息安全与业务稳定运行保驾护航。而基于未知漏洞后门等产生的不确定威胁是当前网络空间最为棘手的安全问题,亦是包含工行在内的各家金融公司一起面临的挑战。为了进一步加固安全防御体系，工行与关联研究单位开展技术合作，就拟态防御技术进行科研，并在工行互联网入口进行试点，以应对未知的安全威胁。

拟态防御技术

1.拟态防御技术理论。当前网络空间防御体系是在预先感知威胁特征，把握攻击源自、攻击特征、攻击途径、攻击行径等信息的基本上，有针对性开展的精确防御。漏洞后门等“内生安全问题”在理论和工程层面都不可能彻底消除，其存在拥有必然性，呈现拥有偶然性，威胁拥有不确定性。迄今为止，传统的网络安全思维模式和技术路线很少能跳出“尽力而为、问题归零”的惯性思维，挖漏洞、打补丁、封门补漏、查毒杀马乃至设蜜罐、布沙箱，层层叠叠的附加式防护办法，包含内置层次化的检测构造方式，在引入安全功能的同期不可避免地会引入新的内生安全隐患，没法从基本上处理内生安全问题。拟态防御是邬江兴院士提出的一种内生安全防御办法，其利用系统构造自己的“内源性安全效应”，形成“内生的安全体制机制”，能够有效规避或化解由内生安全问题诱发的安全危害。

2.拟态防御技术原理。网络空间拟态防御理论，为应对网络空间区别行业、应用层次上基于未知漏洞、后门、病毒或木马等未知威胁，供给了拥有创新、普适道理的防御理论和办法，为国家自主可控战略开辟了一条新的发展途径。拟态防御核心技术原理（见图1），围绕一个或多个处理环节，建设多个功能一致、技术异构的执行体，经过对异构执行体的动态调度运用，构建异构冗余的服务环境。每一个交易请求都经过动态选取的多个异构体来一起处理，先天性地避免了针对某一特定漏洞的攻击，实现主动防御的目的。

图1 拟态防御核心技术原理

金融行业信息系统安全防护状况及挑战

1.金融行业信息系统安全防护状况。众所周知，金融业所把握的信息常常会触及社会各个方面的经济利益，小到个人的存款余额、联系方式，大到企业、政府的财务信息，都属于重要信息。为守护客户和银行的利益不受违法侵犯、有效防范经济案件的出现、守护全部金融公司软硬件系统业务平台的稳定、安全运行。日前金融公司如工商银行重点经过以下几个层面来连续保证各类重要信息的安全：一是知道安全策略、健全安全制度规范。针对信息系统制订了整体安全策略，创立了一套覆盖开发、测试、生产等场景，从机房、服务器、网络到终端设备的安全技术规范和管理制度，并持续修订和完善。二是创立完备的安全运行流程、连续提高安全运营管理水平。针对信息系统创立了较为完备的安全运行流程和管理需求，各类流程具备恰当的分级分权管理和权限掌控，并严格执行。同期创立了完备的风控体系，以推动运营管理流程优化，提高安全运营水平，满足安全管理需求。三是引入先进的安全技术，构建全面的安全防御技术架构。创立企业级安全服务平台，结合业界对标状况推动安全服务解耦，重构加密服务、电子文件安全、客户安全认证等安全服务平台，建成桌面云等安全服务平台，并连续优化反欺诈、代码安全检测、防病毒、WAF等安全服务平台，实现安全服务平台的集中管理及横向共享能力。各应用系统调用安全平台的API服务，提高安全服务的灵活性及开发效率，形成企业级的安全服务能力。实现新技术安全防护，对IT架构转型过程引入的云平台、大数据平台、分布式架构、区块链平台、物联网等新技术上线引入的各类软硬件新制品，实施严格的用户及权限掌控、安全配置及漏洞扫描，并实施安全审计及监控，规避安全防护短板。组建安全攻防团队，开展全集团范围的内部红蓝对抗演练。一方面提高工行在面对外边攻击的应急处理能力。另一方面经过演练发掘各应用系统软硬件的漏洞，即时做好应急办法及补丁的修复，保证我行应用系统安全。

2.金融行业信息安全面临的挑战和对策。因为金融行业的特殊性，金融公司信息系统始终是网络犯罪的重点目的。形形色色的网络攻击者在黑色产业巨大利益的驱使下，持续丰富其攻击目的和攻击手段，以提高自己的攻击变现能力。金融行业每年受到的安全攻击数量呈指数级增长，攻击手段、技术办法持续进化，进一步加大了识别与防范的难度，同期亦对金融公司信息系统安全提出了严峻的挑战。为了进一步加固金融行业安全防御体系，工行积极探索信息安全新技术，除了连续加强现有基于已知安全危害的防御体系外，还在网络边界、互联网服务入口等关键部位试点引入主动的拟态防御技术。一方面利用主动防御技术供给不依赖情报获取、而依靠自主威胁感知防御威胁入侵的能力，与现有的精确防御相结合，形成主被动防御一体化的安全防御体系；另一方面利用主动防御识别收集威胁特征，用于辅助分析安全攻击、系统加固等工作。

工行拟态防御技术实践

1.积极科研安全防御新技术，知道试点应用场景。拟态防御理论正式发布后，在邬江兴院士团队的指点下，2017年，工行与关联研究单位开展技术合作，就拟态防御技术进行科研，并积极推动试点。最后确定在互联网应用容易遭受攻击的Web服务以及网络数据解析这两个技术行业开展拟态防御实践探索，并选取互联网金融应用工银e生活和DNS域名解析系统进行试点。

2.促进拟态技术与金融应用融合，构建拟态金融行业示范安排方法。结合工银e生活、应用监控平台，构建拟态Web安排整体方法（见图2）。由多套区别操作系统、中间件软件构成异构体集群，某个异构体集群操作系统、中间件的漏洞，没法在其他异构体集群中执行生效。业务请求经过防火墙、入侵检测、WAF等传统安全防御设备，由负载平衡将请求转发至拟态Web设备，经过拟态Web设备将请求复制多份（大于等于3的奇数）后转发至后端异构体集群，各异构体集群分别处理请求并将响应结果返回给拟态Web设备。拟态Web设备按照表决算法对结果进行表决，最后将表决结果返回给前端用户。如发掘疑似攻击行径，将检测结果上送事件至应用监控平台。经过与工行各应用系统的融合，有效提高Web应用系统安全防御外边攻击能力和水平。

图2 拟态Web设备安排方法

结合工行域名缓存服务器、集中网管平台，构建工行拟态DNS安排方法（见图3）。由多套区别操作系统、域名解析软件构成异构体集群，某个异构体集群中操作系统、域名解析软件的漏洞，没法在其他异构体集群中执行生效。业务功能发出的域名解析请求，首要到达缓存服务器，如解析的域名在缓存中存在，则直接返回IP位置，减轻对后端服务器拜访压力。如不存在，拟态分发裁决器会将请求域名复制成多份（大于等于3的奇数）分发给拟态异构执行体集群。拟态分发裁决器按照裁决策略对多个异构执行体解析的域名结果进行统一裁决，并将裁决后的结果反馈给用户。经过引入拟态技术，为互联网金融应用及域名解析系统带来了试探性攻击结果不确定的特性，能够有效地应对和抵御基于目的对象漏洞后门、病毒木马等的已知危害与不确定威胁，针对拟态界内各样已知和未知安全威胁拥有广泛而明显的防范和抵御功效。

图3 拟态DNS设备安排方法

工行拟态防御实践道理

1.推动安全防御体系创新。引入拟态安全防御技术，结合传统安全防御体系建设成果，形成主被动防御相融合的新型防御体系，提高安全防御办法效能。主动防御——从“被动感知的安全防御”转变为“主动设障的精细防御”。利用拟态防御系统的异构分发布决机制，主动阻断安全威胁，实现不依赖先验知识的安全防御。动态防御——从“静态结构”转变为“动态体系”，基于异构执行体的灵活调度、流量分发、协同表决机制，实现系统动态防御处理，加强对外边攻击行径的防范能力。自我进化——从“事后定位加固”转变为“事中定位处置”，基于区别执行体处理结果的比对表决，快速定位处置反常执行体，提高系统自己安全性和健壮性。构建有效的开源软件安全防御体系，拟态防御可更好地管控单个制品漏洞的安全危害，为银行加大开源软件运用、促进业务技术创新、提高信息系统安全靠谱水平供给了更好安全保证。

2.提高工商银行信息系统的安全性。拟态Web设备与拟态DNS设备是工商银行的重要服务节点。经过引入拟态防御技术，在传统防御体系上进一步加强了对未知漏洞和后门的防御能力，更加强化工商银行系统应对外边攻击的能力，减少外边攻击导致的经济损失和声誉损失。

3.助推开源软件运用和安全靠谱水平提高。在加大开源软件运用，加快系统IT架构转型的过程中，怎样做好配好安全防护是业界面临的一起挑战。经过引入拟态安全防御技术，可有效防御针对特定开源软件的攻击行径，构建更加有效的安全防御体系。

4.助推我国安全防御技术的科研创新。拟态防御是我国自主创新的新型安全防御技术。工行参与联合科研，率先在金融服务行业进行实践应用，有力促进了拟态防御技术的连续发展，更加是产学研协同推进前沿基本技术创新的典范，起到了良好的社会示范效应。

这次在金融行业的成功试点，有效提高了工行应用防范未知漏洞的能力，加强了工行在安全行业的核心竞争力，提高了工行安全管控水平和危害管理水平，使科技系统能更好的服务于国家“一带一路”战略的实施，拥有重要的促进功效。以拟态防御为表率的内生安全防御技术，在网络空间首次供给了对未知威胁的感知、学习和防御能力，能够颠覆“软硬件代码漏洞后门攻击时代”的防御理念，拥有不可或缺的现实道理和广泛的战略影响。