数字银行可信纵深防御白皮书.pdf

《数字银行可信纵深防御白皮书.pdf》由会员分享，可在线阅读，更多相关《数字银行可信纵深防御白皮书.pdf（61页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、数字银行可信纵深防御白皮书XI前言随着新兴数字技术在金融行业的应用持续深入并趋于成熟，银行业金融机构数字化转型进程迈入快车道，金融产品和服务纷纷呈现出线上化、数字化、智能化的发展趋势和特点。相比柜面、ATM 等传统金融服务渠道，利用云计算、大数据、区块链等新兴数字技术，以移动 APP、小程序等为载体，在互联网环境下，为广大客户提供线上账户管理、投资融资、支付结算、国际业务等综合金融服务，不仅带来了金融便利，也给金融机构带来更多网络安全风险挑战。与此同时，网络安全法、数据安全法、个人信息保护法等法律法规相继出台，将网络安全保护、数据安全保护以及个人信息保护上升至法律保护层面；金融行业监管部门也对

2、银行业金融机构在深化金融科技应用，推进金融数字化转型方面，陆续发布指导文件，指明方向、提出要求，监管力度正在全方位加强。面临数字化转型的内生驱动和强监管的外部环境，银行业金融机构如何在日益严峻、复杂的网络安全环境下，守住网络安全底线，保障数字化转型战略顺利实施，是当前各银行业金融机构向数字银行转型首要解决的重点问题。网商银行作为一家自带数字基因的“数字银行”，自诞生之日起就将核心系统架在“云”上，多年来，始终坚持“安全可信、自主可控”的系统安全建设理念，一直保持着高并发、高稳定、零重大网络安全事件的运行状态，已经实践检验，形成了一套成熟的网络安全防御体系可信纵深防御体系。整个防御体系以硬件可信

3、芯片为信任根、密码学为基础、可信软件基为核心，通过检测、度量、证明和管控等方法，构建贯穿硬件、固件、系统软件和应用软件的完整信任链，为信息系统的安全运行和数据的使用计算提供可靠的安全可信底座；在安全可信底座之上，严格控制开放的系统服务，仅允许业务依赖且通过安全评估的行为可访问或可执行，并在数字资产面临的威胁路径上构建多层可信防护能力，形成可信纵深防御，以应对 0Day 漏洞、社会工程学、软硬件供应链等网络安全威胁。数字银行可信纵深防御白皮书XII编制工作组希望通过白皮书的方式将网商银行可信纵深防御的最佳实践共享给金融同业，为已经开展数字化转型或准备转型的同业机构，提供网络安全体系建设升级的参考

4、案例。数字银行可信纵深防御白皮书XIII目录1数字银行可信纵深防御体系背景概述.11.1银行业数字化转型新要求新安全挑战.11.1.1国内外银行业数字化转型政策与趋势.11.1.2银行业数字化转型新安全挑战.21.2国内外新兴安全技术方案简介.41.2.1可信计算.41.2.2安全平行切面.51.2.3零信任.51.3可信纵深防御概念.61.3.1可信防御理念.71.3.2纵深防御理念.72数字银行可信纵深防御体系架构设计.92.1设计目标.92.2体系架构.93数字银行可信纵深防御体系建设方案.133.1建设原则.133.1.1安全可信.133.1.2多层覆盖.143.1.3自身安全保障.1

5、43.1.4稳定性保障.143.2建设基线.153.3关键能力建设.173.3.1基础设施可信.173.3.2应用可信.183.3.3网络可信.233.3.4端安全可信.273.3.5信任链构建.303.3.6可信策略.323.4技术保障.393.4.1安全性保障.393.4.2稳定性保障.403.5实战牵引.423.5.1威胁路径图建设.423.5.2红蓝演练机制建设.443.5.3实战攻防检验.453.6体系演进.454数字银行可信纵深防御体系实践应用.474.10DAY漏洞防御.474.2钓鱼攻击防御.49数字银行可信纵深防御白皮书XIV4.3软件供应链风险应对.524.4高效安全加固实

6、践.545总结与展望.55参考文献.56数字银行可信纵深防御白皮书11数字银行可信纵深防御体系背景概述1.1 银行业数字化转型新要求新安全挑战1.1.1国内外银行业数字化转型政策与趋势近年来国内外领先银行相继制定了数字化转型战略，从金融科技创新、用户体验、业务拓展渠道等诸多方面明确了数字化转型的战略方向和发展目标。国际银行同业的数字化转型战略起步比较早，2012 年花旗银行就提出了“移动优先（Mobile First）”战略，2017 年又进一步提出以“简单化、数字化、全球化”为主线的“打造数字银行”的新数字化战略，强调要重视客户核心需求、强化自身数字化能力、积极拥抱外部合作伙伴等战略重点。摩

7、根大通银行、汇丰银行等国际投行也都是在 2014 年左右开启数字化转型项目，一般都是以优化客户体验为核心、运用大数据技术创造价值，优化 IT 架构和数据治理，实施敏捷开发，加大投资力度、拥抱最顶尖的金融科技等。与国外情况相比，国内银行同业数字化转型工作的起步虽然较晚，但是发展势头迅猛。从顶层设计与行业政策的情况看，党的十九届五中全会和“十四五”规划对“打造数字经济新优势”作出了专门部署，提出“迎接数字时代，激活数据要素潜能，推进网络强国建设，加快建设数字经济、数字社会、数字政府，以数字化转型整体驱动生产方式、生活方式和治理方式变革”，明确了数字化的发展前景和目标。在新的发展阶段，银行业保险业开

8、展数字化转型，是构建银行业保险业新发展格局、打造高质量发展新引擎的现实需要，是更好支持实体经济发展、更好满足人民群众日益增长美好生活需要的内在要求。因此，在国务院发布“十四五”数字经济发展规划后，中国银行保险监督管理委员会和中国人民银行分别印发了关于银行业保险业数字化转型的指导意见（以下简称指导意见）、金融科技发展规划（20222025 年）（以下简称规划）。其中指导意见提出，到 2025 年，银行业保险业数字化转型需取得明显成效。基于数字化转型的新政策新发展要求，银行业金融应用及服务将呈现线上化、数字化、服务化的发展趋势和特点。相比柜面、ATM 等传统金融服务渠道，利用云计算、大数据、区块链

9、等新兴数字技术，以移动 APP、小程序等为载体，在互联网环境下，为广大客户提供线上账户管理、投资融资、支付结算、国际业数字银行可信纵深防御白皮书2务等综合金融服务，不仅带来了金融便利，也给金融机构带来更多网络安全风险挑战。基于银行业数字化转型的巨变和挑战，指导意见中也明确提出“构建云环境、分布式架构下的技术安全防护体系，加强互联网资产管理，完善纵深防御体系，做好网络安全边界延展的安全控制。”的要求。“可信纵深防御体系”正是对纵深防御体系的进一步完善。1.1.2银行业数字化转型新安全挑战数字化转型在给银行业带来高效、便捷金融产品的同时，也给银行业的安全防护带来了以下挑战：1)合规挑战更加严峻网络

10、安全和数据安全是事关国家安全和发展、事关人们工作生活的重大战略问题。随着网络安全法、数据安全法、个人信息保护法法律法规的出台，网络安全、数据安全和个人信息保护由“或有或无”变成“刚需”。金融行业作为强监管行业，银行监管机构对银行业网络安全和个人隐私信息保护在要求上更是日趋严格。新颁布的个人信息保护法已经明确，未经授权采集和使用个人信息属于严重违法行为。因此，如何在保证符合个人信息保护法的前提下实现数据高效使用和共享是个人信息处理者面临的巨大挑战。2)安全事件造成的影响面扩大在数字化理念的推动下，越来越多的高价值信息资产从线下转移到线上，高价值资产在线化比例高且更密集，相比之前这些高价值数字资产

11、一旦被攻击或泄漏造成的影响面会更大。新西兰证券交易所网站在 2020 年 8 月 31 日的市场交易开盘不久再次崩溃。这是证交所连续第 5 个交易日受到黑客攻击，造成“宕机”，交易多次临时中断。2019 年 2 月马耳他历史最悠久的金融服务商瓦莱塔银行被黑客入侵后，向外国账户转移了 1300 万欧元。为降低损失瓦莱塔银行被迫关闭了所有现代化交易渠道，不仅银行网站脱机，ATM/分支机构/手机银行一系列电子邮件服务都被暂停，马耳他民众被迫只能进行现金交易。以上攻击事件不但给金融机构带来了损失，也造成了极负面的社会影响，由于银行业本身是经营风险数字银行可信纵深防御白皮书3的行业，一旦被黑客攻击成功，

12、造成的经济、声誉影响将是无法估量的。因此，数字银行在事前规避风险事件发生的需求更加迫切。3)在线数字资产保护难度增大数字银行高价值数字资产量大质高，更容易成为高阶攻击者觊觎的目标，如2019年7月，世界第五大信用卡签发方的第一资本银行数据库遭受黑客攻击，约1.06亿银行卡用户及申请人信息泄露。银行业的行业性质决定了银行机构对于风险处置的重视度更高，因此对于已知的漏洞和风险均会有效防范，但是对于高级和未知的威胁防范较为困难，如0Day攻击、社会工程学攻击、软硬件供应链攻击等，且随着银行业数字化转型中新业务模式、新技术和新平台的使用，应对难度逐步增大。在数字银行模式下，基于边界的防护体系对于高级和

13、未知威胁的应对挑战巨大。在基于边界的防护体系中，固定且清晰的边界是开展网络安全工作的重要前提，众多的安全保护措施均是基于安全边界部署和实施。而伴随着银行业数字化的发展，数字银行的开户、登录、收钱、转账等操作均可通过互联网进行在线化操作，极大的扩大了原有应用服务的暴露面；开放化要求银行与商业生态系统共享数据、算法、交易、流程和其他业务功能，而共享意味着银行信息系统需要从过去的封闭状态逐步走向开放；在数据的管理上，云计算模式下数据的产生、流通和应用变得空前密集，数据像血液一样在业务的每个环节中流转，数据链路触及范围更广，动态性更强，数据在收集、存储、使用、加工、传输、销毁等整个生命周期中均存在被攻

14、击和泄露的风险。如上变化的发生，使得基于边界的防护体系在数字银行模式下，对于高级和未知威胁的应对挑战巨大，难度骤然增加。4)安全防护水平与用户体验难以兼顾数字银行需要更加注重效率和体验的提升。数字银行在业务策略上需要小步快跑、快速迭代来适应分秒必争的业务变化，更快调整产品、策略去适应用户需求，更多迭代去提升用户体验。因此，数字银行需要在安全和效率之间寻找最佳平衡点。传统的基于边界网段的管控手段，在大型数字化业务落地实践下，容易陷入两难困境：安全策略难以适配业务变化快速调整，阻碍业务发展；资产变化速度快，安全策略调整工作量呈指数级增加，低效的人工变更模式使得安全管理粗放，风险很难得到有效控制，无

15、法满足数字银行对安全、效率与体验的要求。数字银行可信纵深防御白皮书4因此，如何在日益严峻、复杂的网络安全环境下守住数字银行安全底线，为银行业数字化转型战略的顺利实施提供可靠的安全保障，事前高效规避银行业数字化转型中和转型后风险事件的发生，有效应对高级和未知威胁，是数字银行需要重点研究和解决的问题。1.2 国内外新兴安全技术方案简介近年来为应对越来越严峻的安全攻击局势，国内外安全领域的企业、专家提出了如可信计算、安全平行切面等新兴的安全理念与技术方案，简要介绍如下：1.2.1可信计算可信计算（Trusted Computing，TC）是一项由可信计算组（Trusted ComputingGrou

16、p，TCG）推动和开发的技术。可信计算是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高系统整体的安全性。可信计算包括 3 个关键技术能力：密钥安全保护、远程证明、信任链构建。1)密钥安全保护密钥安全保护包括密钥的安全存储及密钥的安全使用。可信芯片包含存储根密钥及报告签注密钥，其中签注密钥是一个基于非对称算法得出的公共和私有密钥对，它在芯片出厂时随机生成并且不能改变，这个私有密钥永远在芯片里，而公共密钥用来认证及加密发送到该芯片的敏感数据；存储根密钥具备完全独立的储存区域，操作系统自身也没有完全访问的权限，所以入侵者即便控制了操作系统信息也是安全的，用户的敏感数据可以基于

17、存储根密钥进行安全保护。存储根密钥及签注私钥永远密封在芯片，且只允许在芯片内通过合法的权限使用。2)远程证明远程证明是指可信安全芯片对外证明平台当前配置和运行状态的完整性。远程证明可分为：平台完整性证明和平台身份证明。其中平台完整性证明是指可信安全芯片获取平台软硬件可信度特征值的过程，通常这些值以摘要的形式扩展存储到安全芯片的平台配置寄存器（Platform Configuration Register，PCR）中；其中平台身份证明是指用平台身份私钥完成内部 PCR 中保存的完整性扩展值的签名。远程证明时，验证方通过验证平台身份证书的有效性来确定平台身份，通过平台身份公钥来验证平台的远程证明的

18、签名，从而完成完整性的验证。数字银行可信纵深防御白皮书5远程证明使得用户或其他人可以检测到该计算机的变化。这样可以避免向不安全或安全受损的计算机发送私有信息或重要命令。远程证明通常与公钥加密结合使用来保证发出的信息只能被发出证明要求的程序读取，而非其它窃听者。3)信任链构建首先需要在计算机系统中构建一个信任根，然后再建立一个信任链，即从信任根开始到硬件平台、到操作系统、再到应用，一级度量一级、一级认证一级、一级信任一级，通过传递机制将信任扩展至整个计算机系统，从而确保整个计算机系统的可信。1.2.2安全平行切面安全平行切面体系（以下简称安全切面）是下一代原生安全基础设施，通过“端管云”各层次切

19、面使安全管控与业务相互融合且解耦，并依托标准化接口为业务提供精准内视与高效干预能力，具备感知覆盖能力强、应急攻防响应快、安全治理高效和安全布防灵活的核心优势。在业务复杂性爆炸的背景下，安全切面可以有效解决传统外挂式安全体系隔靴搔痒、内嵌式安全体系业务与安全相互束缚的行业痛点。安全切面具备“精准感知、及时管控、保障有力、稳健发展”等特点，以“分层建设、多层联动、稳定及安全保障、碎片化适配”为要则构建与业务平行的安全空间，将安全能力分层融入业务体系，建立起基于安全切面的各种保障机制，通过碎片化场景适配拉平基础设施环境差异。安全切面支持从应用和基础设施构建不同层级的防御能力，以实现各层级间的安全管控

20、，同时也支持多层级安全切面相互联动形成整体的防御体系，达到更好的安全治理、防护、对抗效果。因此，数字银行可以充分采用安全平行切面的架构理念建设安全防护体系，达成事前应对高级和未知威胁的目标，同时保持安全体系建设与业务系统升级迭代既融合又解耦，提升安全加固的效率及风险识别的精准度，减少安全加固对于业务和技术的打扰。1.2.3零信任2010 年，Forrester Research 首席分析师 John Kindervag 首次提出了零信任（Zero Trust，ZT）理念，对访问控制在范式上实现颠覆，指引安全体系架数字银行可信纵深防御白皮书6构从“网络中心化”转向“身份中心化”。零信任的基本原则

21、是“从不信任，始终验证”，即企业内外部的任何人、事、物均不可信，应在授权前对任何试图接入系统的人、事、物进行验证，且数据资源按最小权限原则分配。零信任架构（ZeroTrust Architecture，ZTA）对访问主体身份管控更加全面，访问鉴权更为精准，全面考虑了访问链路的安全性、稳定性和访问速度。零信任架构主要包含现代身份与访问管理、软件定义边界和微隔离三个关键技术。现代身份与访问管理技术是支撑企业业务和数据安全的重要基础设施，主要通过包括身份鉴别、授权、管理、分析和审计等措施，围绕身份、权限、环境、活动等关键数据进行管理与治理的方式，确保正确的身份、在正确的访问环境下、基于正当的理由访问

22、正确的资源。软件定义边界技术旨在利用基于身份的访问控制以及完备的权限认证机制，为企业应用和服务提供隐身保护，有效保护企业的数据安全。软件定义边界具有网络隐身、预验证、预授权、应用级的访问准入和扩展性五个特点。微隔离是一种更细粒度的网络隔离技术，在逻辑上将数据中心划分为不同的安全段，进而为每个段定义安全控制措施和所提供的服务。零信任架构优于传统的“城堡和护城河”式网络安全方法。但如何保障零信任架构自身安全、服务过程的安全及体系化保障应用系统依赖的基础设施安全，在这些问题的解决上零信任中并没有很好的理论支撑，且在原有系统上实施零信任架构存在部署复杂、迁移难、代价大等问题。1.3 可信纵深防御概念可

23、信纵深防御指的是一种新的安全防御体系架构可信纵深防御指的是一种新的安全防御体系架构，它可以做到只允许预期内它可以做到只允许预期内的行为可以执行即主动免疫的行为可以执行即主动免疫，而且可信防御而且可信防御能够能够实现实现对对所有威胁路径的多层覆所有威胁路径的多层覆盖，大幅降低风险事件发生的概率盖，大幅降低风险事件发生的概率。与此同时与此同时，它建立了完备的信任链，将信它建立了完备的信任链，将信任关系逐级规约至硬件芯片可信根任关系逐级规约至硬件芯片可信根，保障防御体系自身的安全保障防御体系自身的安全。可信纵深防御将可信防御与纵深防御有机结合，所建立的防御措施做到仅允许信息系统运行预期内的资源和行为

24、是可加载、可执行的，且内容均是经过安全评估无风险的；同时根据数字银行面临的威胁状况，可信防御措施需要多层覆盖，最终形成可信纵深防御体系，以有效地应对 0Day 攻击、社会工程学攻击、软硬件供应链攻击等高级和未知威胁。数字银行可信纵深防御白皮书71.3.1可信防御理念针对数字银行面临的高级和未知威胁，攻击者在何时何地通过何种攻击手法发起攻击是无法预测的，但是数字银行信息系统的运行状态是可以基于网络流量、应用日志和系统进程等信息有效地分析刻画的，因此在防御思路上需要将不确定性的攻击威胁，通过已知的业务状态转换为有效的防御策略来应对威胁，有效规避风险事件的发生。因此，在安全风险控制上，首先应遵循可信

25、计算理念建立可信根，再基于可信根构建信任链，进而基于基础设施层、应用层、网络层、移动端和终端层等各层建立可信策略控制点，最后形成可信防护策略，仅允许预期内即数字银行信息系统运行所依赖的资源和行为是可执行的，确保防护强度达到可信级。可信级防御需要满足以下两点要求：1)数字银行信息系统安全管控依赖的模块或组件自身是安全可信的数字银行信息系统安全管控依赖的模块或组件自身是安全可信的。信息系统的可信管控依赖各层建立的模块或组件，其本身的安全性对于整个可信防御体系至关重要。因此，首先需要确保可信管控依赖的模块或组件自身是安全可信的。2)数字银行信息系统运行环境、依赖的资源和行为是必要且无风险的数字银行信

26、息系统运行所依赖的资源和行为均是必要且无风险的。如针对一个新应用，应用运行依赖的类、方法、函数、参数、进程、文件、网络及调用链等均是必要的，非必要的资源和行为将通过可信管控策略默认拦截。针对应用、系统和服务间的互访行为，确保访问者的身份、权限、环境和行为均是可信的，操作是可追溯、可审计的，预期外的访问行为将通过可信管控策略默认拦截，同时针对被拦截的访问行为将会记录行为日志，做到行为可追溯、可审计。数字银行信息系统运行环境、依赖的资源和行为均是经过安全评估无风险的。如针对一个新应用，应用运行环境及所依赖的类、方法、函数、参数、进程、文件、网络及调用链等均是经过安全评估无风险的，如评估存在风险则更

27、换为其它安全的环境、资源或行为，或者是针对评估发现的风险建立有效的控制措施。1.3.2纵深防御理念纵深防御的理念来自于战争学的概念，该理念在信息安全领域也得到了广泛的使用和推广：通过建立多层重叠的安全防护系统而构成多道防线，使得即使某一防线失效也能被其它防线弥补，即通过增加系统防御的层数或将各层之间的漏数字银行可信纵深防御白皮书8洞错开的方式防范差错发生。数字银行可信防御体系为了避免因单点防御措施失效导致风险事件的发生，需采用纵深防御的理念进行可信防御体系的建设。如针对开放至互联网的应用系统，为了有效应对入侵导致的数据泄露或资金被盗威胁：在网络层，需要基于网络层切面管控能力建立对于网络流量、应

28、用语义及访问者身份和权限的可信管控能力，做到访问来源 IP、请求的域名、请求的接口及参数、访问者的身份和权限等均是符合预期的、可信的；在应用层，需要基于应用切面能力建立应用运行时的可信管控能力，确保应用运行加载的类、方法、函数、参数、进程、文件、网络及调用链等均是符合预期的、可信的；在容器主机层，通过容器中的系统安全切面管控模块或组件，对容器运行时所加载的应用、进程等进行可信管控，做到应用、进程的加载和运行均是符合预期的、可信的；在基础设施层，基于硬件可信芯片对设备 BIOS、BMC、板卡固件、OS Loader、OS 内核进行可信管控，保证其启动及运行的可信。同时基于硬件可信芯片的可信存储和

29、密码技术建立了从BIOS-板卡固件-OS Loader-OS内核-应用自下而上的信任链，保障可信策略控制点本身的安全可信。综上所述，所建设的纵深防御机制，从计算环境可信角度，基于信任链保障可信策略控制点的安全；从数字资产保护角度，通过各层的可信管控能力实施数据内视和可信管控，最终建立可信纵深防御体系。在可信纵深防御体系的建设中，每增加一层可信防御能力，所建设防御体系的防御强度都会大幅增强，同时也意味着投入成本的增加。因此，在可信纵深防御体系的建设当中，所建设可信防御能力的深度即层数需要根据数字银行面临的威胁状况、业务特性、IT 架构、建设成本、管控效率等因素综合评估判断，在威胁有效应对和数字银

30、行的合规要求、安全成本投入、管控效率上取得最佳平衡。做到既能满足监管合规要求，又可以高效应对面临的高级和未知威胁，同时可以将可信纵深防御体系的建设成本和管控效率控制在合理范围，不会因为防御体系建设过重带来过多成本、性能和效率的损耗。数字银行可信纵深防御白皮书92数字银行可信纵深防御体系架构设计2.1 设计目标基于数字银行业务特性及面临的威胁状况，结合可信计算、安全平行切面等新兴安全体系思想，设计面向数字银行的可信纵深防御体系。可信纵深防御体系以可信根为支撑，以可信软件基为核心，以密码学方法为主要手段，通过度量、检测、证明以及管控等手段，构建贯穿硬件、固件、系统软件、应用软件和网络行为的完整信任

31、链，为信息系统的运行提供安全可信的底座。可信防御措施进行多层覆盖，以大幅降低风险事件发生的概率。最终达成事前高效规避高级和未知威胁的目标，兼顾数字银行效率与体验要求。2.2 体系架构图 1 数字银行可信纵深防御体系全局架构面向数字银行的可信纵深防御体系整体架构包含四个关键部分：硬件可信芯片、可信策略控制点、信任链和可信管控中心，由其中的安全防护部件形成可信由其中的安全防护部件形成可信防护体系防护体系，与由计算部件形成的计算体系形成双体系结构与由计算部件形成的计算体系形成双体系结构。其中可信管控中心又由可信策略管控系统、可信策略刻画系统、安全保障系统、稳定性保障系统四部分组成。在整体架构设计上以

32、硬件可信芯片为信任根；以可信软件基为核心，它由基础设施层、应用层、网络层及移动端和终端层等各层构建的可信策略控制点组成；基于硬件可信芯片构建的信任链来保障可信策略控制点的安全可信；基于数字银行可信纵深防御白皮书10可信策略刻画系统及密码学技术生成的“免疫基因抗体”对数字银行信息系统的运行环境、资源加载和交互行为进行可信管控，有效识别“自己”和“非己”成分，破坏与排斥进入信息系统机体的有害“物质”，为信息系统加持“免疫能力”，保障信息系统和数字资产的安全性；安全保障和稳定性保障技术为整体可信纵深防御体系的落地提供保障支撑，防止可信纵深防御体系建设中产生安全漏洞和稳定性风险事件，导致业务受损。1)

33、基于硬件可信芯片构建信任根基于硬件可信芯片和密码学方法对物理机的启动参数和启动程序进行可信管控，同时提供静态的和动态的信任链的校验机制，确保硬件芯片、启动参数、系统 OS 等均是安全可信的。同时基于硬件可信芯片构建信任链以将信任关系从基础设施层逐层传递至应用层和网络层，最终形成完备的信任链，以支持对数字银行信息系统和数字资产的可信管控。2)基于安全平行切面构建可信策略控制点基于数字银行 IT 架构分析、选型或者设计可信策略控制点，实现对于风险场景的数据内视和可信管控。在可信策略控制点的部署上在可信策略控制点的部署上，充分利用安全平行切充分利用安全平行切面提供的原生安全控制点能力面提供的原生安全

34、控制点能力，以实现安全管控与业务应用的既融合又解耦，以实现安全管控与业务应用的既融合又解耦，即安全能够深入业务逻辑即安全能够深入业务逻辑，不再是外挂式安全不再是外挂式安全；业务上线即带有默认安全能力业务上线即带有默认安全能力，并实现跨维的检测、响应与防护；同时安全能力可编程、可扩展，与业务各自并实现跨维的检测、响应与防护；同时安全能力可编程、可扩展，与业务各自独立演进独立演进。数字银行可信纵深防御体系架构如图 1 所示，针对开放的应用系统服务，在访问链路上，通过在移动端及终端层、网络层、应用层及基础设施层建立不同层面的可信策略控制点，并配置符合可信防御强度要求的安全防御策略。在移动端及终端层，

35、以移动端安全切面或 SDK 及终端检测与响应（EndpointDetection and Response,EDR）能力作为可信策略控制点，针对用户的日常操作行为及员工的办公行为，对使用的小程序、软件、进程、网络等建立精细化的可信管控能力，做到仅允许预期内的小程序、软件、进程、网络行为是可以加载和执行的，以有效抵御恶意软件的加载和运行及木马、病毒的回连等行为。在网络层，以统一访问代理网关流量切面为可信策略控制点，建立针对访问主体身份、权限、环境、行为的可信管控策略，确保访问主体仅能通过预期内的数字银行可信纵深防御白皮书11身份、权限，在安全的环境下，按照预期内的行为进行应用系统的使用，异常的身

36、份冒用、越权操作、不可信的环境及网络攻击行为将直接被拦截或者上报安全事件。在应 用层，以 应用 切面 含 应用 运行 时防 护（Runtime ApplicationSelf-protection,RASP）及安全容器系统切面为可信策略控制点，对容器、应用调用的类、方法、函数、文件和网络行为建立白名单的可信管控策略，确保容器和应用仅能按照预期内的方式启动或运行。在基础设施层，基于硬件可信芯片信任根，对物理机节点的启动和运行进行可信管控，确保使用的物理机是可信的。如上所述，通过各个层面建立的可信策略控制点，配置可信管控策略，建立覆盖数字银行信息系统和数据资产全链路的可信纵深防御体系，有效应对数字

37、银行面临的高级和未知威胁。3)基于信任链保障可信防御产品或能力的安全可信可信策略控制点是数字银行实施可信管控依赖的关键能力，如何保障可信策略控制点的安全性至关重要。如果实施可信管控依赖的能力自身是不安全的，对于业务信息系统的可信管控将无法保障，同时这些能力本身也可能会引入新的安全风险。因此，在可信策略控制点的建设中需要充分利用硬件可信芯片提供的可信存储和密码技术，逐步构建并完善信任链，将整个信任机制由硬件可信芯片逐层传递至基础设施层、应用层和网络层等各个层面的可信策略控制点，保障可信策略控制点的安全性，为数字银行业务信息系统和数字资产的可信管控提供基础能力支撑。4)基于可信管控中心实施可信管控

38、可信管控中心是可信纵深防御体系的大脑中枢，负责可信策略的生成、配置下发、事件上报和行为审计等工作，同时为整个可信纵深防御体系的运行提供安全性和稳定性的保障能力。可信管控中心由可信策略管控、可信策略刻画、安全保障、稳定性保障等系统或模块组成。a)可信策略管控可信策略管控系统通常由策略配置下发、异常行为处置、行为审计等功能模块构成。基于可信策略刻画系统生成管控策略，通过该模块功能根据数字银行面数字银行可信纵深防御白皮书12临的安全威胁进行策略的配置下发，以保障数字银行信息系统和数字资产按照预期内的方式运行和使用。b)可信策略刻画可信策略刻画系统是可信纵深防御体系“免疫抗体”的生产中心。它根据在移动

39、端、终端、网络、应用、容器主机和基础设施等位置采集的数据和日志，利用大数据平台的数据分析能力，进行可信策略的分析，有效刻画出预期内的可信行为，并生成相应的管控策略。策略内容需要通过密码技术进行加密保护，以保障策略内容的机密性和完整性。将可信策略配置上线后即可发挥作用，有效地识别出预期内和非预期的行为，进行威胁应对。c)安全保障及稳定性保障安全保障体系可以保障所建设的可信防御能力及策略本身的安全性，稳定性保障体系可以降低可信防御能力和策略在落地过程中稳定性风险事件发生的概率，防止对于业务造成负增值。综上所述，可信纵深防御体系整体架构以硬件可信芯片为信任根，以可信策略控制点为可信软件基，基于基础设

40、施层、应用层、网络层及移动端和终端层各层面建立的可信策略控制点，进行多层纵深可信防护策略的设计并落地，覆盖业务应用、信息系统和服务全链路，形成完备的可信纵深防御体系，有效应对数字银行面临的高级和未知威胁。数字银行可信纵深防御白皮书133数字银行可信纵深防御体系建设方案图 2构建数字银行可信纵深防御体系构建数字银行可信纵深防御体系的关键步骤包括建设原则、建设基线、关键能力建设、技术保障、实战牵引和体系演进等部分内容，接下来将对每个部分进行详细展开说明。3.1 建设原则面向数字银行的可信纵深防御体系，基于数字银行信息系统的访问链路及面临的威胁态势，在可信纵深防御体系的建设当中需要符合安全可信、多层

41、覆盖、自身安全保障、稳定性保障的原则。3.1.1安全可信在数字银行安全防御体系的建设当中高级和未知威胁的应对是面临的难点问题，通过建立可信防御体系能力可以有效应对该类威胁。在具体的应对方法上需要符合以下要求：首先，需要在数字银行业务应用服务访问的关键路径中建立可信策略控制点，并基于硬件可信芯片构建信任链来保障可信策略控制点自身的安全性；然后，基于数字银行信息系统和数据交互的网络流量和日志信息，有效分析刻画出预期内资源加载和访问行为的特征，且这些资源和行为均是经过安全评估无风险的；最后，基于建立的可信策略控制点配置下发可信管控策略，有效应对数字银行面临的高级和未知威胁。数字银行可信纵深防御白皮书

42、143.1.2多层覆盖在数字银行可信防御体系的建设当中，基于可用性和稳定性等因素考虑，可信防御能力需要根据数字银行面临的威胁进行多层覆盖，不过度依赖单点防护能力，避免单点防御措施失效导致风险事件的发生。具体实施方法上需要满足如下要求：针对需要保护的信息系统和数字资产，根据信息系统和数据资产面临的威胁状况和威胁路径，需要在移动端及终端层、网络层、应用层、基础设施层等不同层面覆盖可信防护能力和管控策略；针对威胁路径较短的信息系统和数字资产，需要在单层框架上进行多层可信防御能力的设计和覆盖，如在网络层可以根据网络的交互和用户的请求，在网络入口网关、应用网关、应用容器的 Sidecar及网络出口网关等

43、位置建立可信策略控制点，并根据各个位置网关的特性建立与之匹配的网络流量可信、访问者身份可信、访问者权限可信、访问者行为可信等不同维度的可信管控能力，真实高效地刻画出预期内的网络交互行为特征，达成有效应对高级和未知威胁的目标。3.1.3自身安全保障在数字银行可信防御产品能力及策略的建设过程中，可信防御产品能力自身的安全性至关重要。数字银行设计和落地的可信防御产品能力或策略，如自身存在安全漏洞，将无法保障业务应用服务的安全性，同时所携带的漏洞还会带来新的攻击面，一旦被利用成功将导致业务受损。因此，数字银行可信防御能力及策略自身的安全性需要重点评估、加固、保障和检验。在可信防御能力设计时需要充分利用

44、硬件可信芯片的可信存储和密码技术，通过构建完备的信任链等方式来保障可信防御产品能力的安全性；在可信管控策略的设计上充分利用密码技术，对可信策略及需要管控的行为内容进行加密保护，确保可信策略和管控内容的机密性与完整性；在网络传输上充分利用数字证书等密码技术保障数字资产在传输过程中的安全性；最后通过在靶机环境中持续模拟触发各类风险行为，根据风险行为的响应信息或拦截日志来确保防御能力和策略的持续有效。3.1.4稳定性保障在数字银行可信防御体系的建设当中，需要规避因为可信防御产品能力或策略配置不当引发的业务不可用稳定性风险。可信防御产品能力及策略的稳定性是数字银行可信纵深防御白皮书15否有保障，直接决

45、定了可信防御体系是否能够真正发挥价值。因此，可信防御产品能力及策略自身的稳定性需要重点建设和保障，以有效发挥可信防御产品能力的价值。3.2 建设基线基于可信纵深防御体系的建设思路和设计原则，数字银行安全防御体系的建设可以定义出不同层面的可信场景行为基线和行为内容，包括基础设施可信、应用可信、网络可信、移动端及终端可信。同时基于单个防御平面设计不同的防御能力，结合各个场景的安全可信要求建设可信防御产品能力和可信策略。表 数字银行可信纵深防御体系场景定义分层分层子分类子分类可信定义可信定义防护场景防护场景基础设施可信硬件可信针对硬件加载时的硬件类型、版本、固件内容、配置等进行可信验证，确保系统运行

46、前依赖的硬件是符合预期的。目的是抵御硬件供应链风险：若硬件在生产和采购过程中被替换或植入后门，需要在启动时检测并阻止硬件使用。OS 启动时可信针对 OS 引导、启动的每个环节进行可信验证和管控，确保 OS 启动的过程是符合预期的。目的是抵御来自攻击者入侵后植入的可驻留的 OS 级别的后门和Rootkit 的风险。以及攻击者控制了 OS供应链，并植入后门的风险。OS 运行时可信针对OS运行状态持续进行可信验证和管控，确保运行中 OS 是不被篡改的。目的是抵御 OS 级别的Rootkit。虚拟机可信针对虚拟机 Hypervisor 持续进行可信验证和管控，确保虚拟化机制状态是符合预期的；同时也需要

47、验证和管控通过虚拟机启动的 OS，确保是符合预期的，实现虚拟化场景的安全可信。目的是抵御在虚拟化场景中，攻击者通过在虚拟机 Hypervisor 层或者虚拟机 OS 中植入恶意代码的攻击行为。应用可信容器可信针对容器Driver持续进行可信验证和管控，确保容器底层机制的运行状态是符合预期的；同时进一步验证，确保容器镜像符合预期，禁止加载不安全的镜像。目的是抵御在容器化场景中，容器镜像存在软件供应链的攻击威胁。应用启动可信针对主机、容器中启动的应用程序进行可信验证和管控，确保启动的应用代码和配置是符合预期的。目的是抵御攻击者入侵到主机、容器后，尝试执行自己的木马程序以进一步攻击或者数字银行可信纵

48、深防御白皮书16留后门的攻击行为。运行时可信针对主机、容器当中运行的应用进程持续进行可信验证和管控，以判断程序运行空间的代码是否被篡改、程序行为是否符合预期。目的是抵御攻击者入侵到主机、容器中的某个应用，在应用进程代码执行空间中插入自己的恶意代码的行为。网络可信访问者身份可信访问者定义为业务场景当中请求的发起方，此处包括人员、终端、应用、WEB、RPC、DB服务等。针对网络服务的访问者进行授权，并持续的对授予的身份可信验证和管控，以判断访问者身份是否符合预期的。目的是抵御攻击者通过 0Day 漏洞或 APT 攻击获得一定权限，进一步攻击办公网、生产网内开放的服务，利用其中的漏洞入侵窃取数据。访

49、问者状态可信针对访问者所处的运行环境和运行状态持续进行可信验证和管控，以确保发起访问者的运行环境、运行状态和身份是可信的，而非攻击者伪造的。目的是抵御攻击者利用已经入侵的应用服务器或利用其身份发起攻击来扩大攻击面的风险。信息传输可信针对访问者信息传输的链路进行加密，建立安全的信息传输通道，以确保发起访问者的身份及传输的信息是可信的，没有被攻击者篡改的。目的是抵御攻击者利用已经入侵的应用服务器劫持传输链路当中的敏感信息来获取敏感数据或敏感配置。移动端及终端可信终端进程可信针对访问者使用的终端使用的应用和进程行为建立白名单的管控策略，以确保发起者的终端运行时的应用进程是可信的，非攻击者的恶意应用程

50、序。目的是抵御攻击者利用已经入侵的终端运行恶意的病毒、木马软件。终端网络可信针对访问者使用的终端的网络行为建立白名单的管控策略，以确保发起者的终端网络行为是可信的，非攻击者的恶意后门和恶意数据、文件的外发行为。目的是抵御攻击者利用已经入侵的终端建立持久化的后门或者进行敏感数据和文件的外发。小程序加载可信针对访问者使用的小程序应用加载前进行签名验证，只有满足验签通过的小程序才会被 APP 加载。同时会验证小程序启动参数，对不满足预期的启动参数，不允许小程序加载目的是抵御攻击者利用恶意小程序或利用小程序漏洞获取非法权限进而导致用户敏感信息泄露。小程序运行时可信针对访问者使用的小程序运行过程中运行模