20221130-北京前沿金融监管科技研究院&网商银行-银行业：数字银行可信纵深防御白皮书.pdf

II首席顾问沈昌祥中国工程院院士顾问委员会(按姓氏笔划排序)孙瑜可信华泰信息技术有限公司 CTO肖新光中国网络安全产业联盟理事长陈建平安集团首席信息安全总监张建标北京工业大学教授何阳中国信通院云计算与大数据研究所金融科技部主任杜宁中关村金融科技产业发展联盟副理事长孟楠中国信通院安全所副所长贲圣林北京前沿金融监管科技研究院院长、浙江大学国际联合商学院院长聂君北京知其安科技有限公司董事长谭晓生北京赛博英杰科技有限公司董事长编写指导委员会高嵩、韦韬、王宇、李婷婷、彭晋III编制工作组张园超、孔令河、陆碧波、付颖芳、段云洁、冯丽娜、姜志辉、雍迪、阎淬、姜楠、马超、孙维挺、李博文、高祖康、王飞宇、韩绪仓、冯程、刘孝贵、陆俊、陈德峰、吴飞飞、高亭宇、王龙、高佩明、龙孝武、赵永福、王滨、周钊宇、姚锐、陈明、戴鹏飞、李恒、王伟、杨鹏迪、戴梦杰、陈宇、柳寒、陈嘉钰特别鸣谢(按姓氏笔划排序)丁云翔、于永恒、卫振强、王国伟、牛纪雷、方亮、方超、白晓媛、白鹏、刘宇江、刘润、刘鹏程、闫守孟、江英豪、许蓓蓓、苏航、李志鹏、李强、杨玉彪、杨昭宇、杨超、肖磊、吴克柱、沈安琪、宋玉成、张石轶、张永、张洪全、张绪峰、张聪、陈逸凡、陈超、陈遥、陈歆、武鹏、郑旻、赵启方、赵跃明、胡全、南野、钟青锋、侯伟星、祝辰、贾依真、顾为群、徐子腾、谈鉴锋、黄琳、巢震阳、彭泽文、蒋维杰、靳宇星、赖寒冰、阚广稳、谭杰、谭国涛、谭翔本白皮书由北京前沿金融监管科技研究院、浙江网商银行股份有限公司牵头撰写。由于编者水平有限，本白皮书内容难免存在疏漏，不足之处恳请各位专家、同仁批评指正。随着国家数字化转型发展战略和要求的提出，银行业作为国家数字化转型的重要组成部分，其金融应用及服务呈现线上化、数字化、实时化的发展趋势和特点，信息系统和服务更加开放，数字资产更加在线和密集，网络边界更加模糊。在这种发展趋势下，银行机构面临的安全态势也愈发严峻，但传统的“封堵查杀”（即杀病毒、防火墙、入侵检测“老三样”）在新的 IT 架构下难以应对安全威胁，尤其是0Day、社会工程学、软硬件供应链等高级和未知威胁，严重威胁着用户的个人隐私和数字财产的安全。为了有效应对企业信息系统、业务服务面临的安全威胁，安全可信成为国家法律、战略和制度要求：中华人民共和国网络安全法第十六条中要求“推广安全可信的产品和服务”，2016 年 12 月发布的国家网络空间安全战略中“（七）夯实网络安全基础”中要求“加快安全可信产品推广应用”，2021 年9 月 1 日实施的 关键信息基础设施安全保护条例 第十九条中要求“优先采购安全可信的网络产品和服务”。如何合法合规的应对数字银行面临的高级和未知威胁，主动免疫可信计算的保障体系是最有效的解决方案。主动免疫可信计算是一种序 言沈昌祥中国工程院院士新的计算模式，实施计算运算的同时并行进行免疫的安全防护，能及时准确识别身份和状态度量及加密存储，从而使攻击者无法利用存在缺陷和漏洞对系统进行非法操作，达到预期的计算目标；二是建立计算部件+防护部件“二重”体系结构；三是建立可信安全管理中心支持下的主动免疫三重防护框架。加上可信动态访问控制，全程管控，技管并重，最终达到让攻击者“进不去、拿不到、看不懂、改不了、瘫不成、赖不掉”的防护效果。网商银行可信纵深防御体系是对主动免疫可信计算在数字银行场景很好的落地实践。所建设的防御体系以硬件可信芯片为信任根、可信软件基为核心、密码学为基础，通过检测、度量、证明和管控等方法，构建贯穿硬件、固件、系统软件和应用软件的完整信任链，为信息系统的安全运行和数据的使用计算提供可靠的安全可信底座；在安全可信底座之上，严格按策略控制开放的系统服务，仅允许业务依赖且通过安全评估的行为可访问或可执行，并在数字资产面临威胁路径上构建多层可信防护屏障，形成安全可信纵深防御能力。所建设的防御体系能够有效识别“自己”和“非己”成分，破坏与排斥进入信息系统机体的有害“物质”，为提供互联网服务的信息系统加持了“免疫能力”，以应对 0Day 漏洞、社会工程学、软硬件供应链等网络安全威胁。期待其成为数字银行主动免疫可信计算防御体系的实践标本，为金融业及其它行业以主动免疫可信计算防御的有效实践带来借鉴及示范。当今，银行业数字化转型在向纵深推进，数字化产品与服务给银行业带来高效、便捷金融产品的同时，也给银行业数字安全防护带来了全新的挑战。银保监会发布的关于银行业保险业数字化转型的指导意见强调数字化转型风险防范，强化网络安全防护，完善纵深防御体系，做好网络安全边界延展的安全控制。为应对越来越严峻的网络安全攻击，如何在复杂的安全环境下守住数字银行安全底线，为银行业数字化转型战略的顺利实施提供可靠的安全保障，是数字银行需要重点研究和解决的问题。网商银行的实践表明可信纵深防御体系是一个行之有效的新兴安全防护体系，可信纵深防御作为新一代的基础安全防御体系，是保障银行业客户信息和资金安全的基础底座，也是保证银行持续稳健经营的安全基石。数字银行可信纵深防御白皮书提出了数字银行可信纵深防御体系的安全理念与技术方案。设计符合银行业要求的安全防护体系，可实现事前高效规避风险事件发生的目标，并兼顾数字银行效率和体验要求。纵深防御的理念来自于战争学的概念，该理念在信息安全领域也得到了广泛的使用和推广。数字银行可信防护体系为了避免单序 言高峰中国银行业协会首席信息官（CIO）点防御措施失效导致风险事件的发生，对开放至互联网的应用服务，采用纵深防御的理念进行可信防御体系的建设。可信计算（Trusted Computing，TC）三项技术能力密钥安全保护、远程证明、信任链构建至关重要，充分使用安全平行切面体系的架构建立事前应对高级和未知威胁的防护体系，提升安全加固的效率及风险识别的精准度，借鉴零信任的架构理念设计实现网络层的可信防御体系。建设路径自下而上传递信任链（基础设施可信-应用可信-网络可信-移动端及终端可信），可有效应对入侵导致的数据泄露或者资金被盗威胁，对数字银行攻防对抗实践和高效安全加固有着重要指导意义。为达成事前高效规避高级和未知威胁的目标，兼顾数字银行效率与体验要求，需要基于数字银行业务特性及风险场景，结合可信计算、安全平行切面等新兴安全体系思想，架构设计面向数字银行的可信纵深防御体系。在可信纵深防御体系的建设当中，做到以满足监管合规要求为底线，同时可以高效应对面临的高级和未知威胁，又可以将可信防御体系的建设成本和管控效率控制在合理的范围，不会因为防御体系建设过重带来过多成本、性能和效率的损耗。综合评估来建设可信级防御体系的深度，在威胁有效应对和数字银行的合规要求、安全成本投入、管控效率上达到最佳平衡。未来，数字银行的信息安全防护体系的价值愈加重要，在银行业面对的网络安全、数据安全、隐私保护等威胁和挑战时，必须要通过全栈式、全方位、无死角的安全防护体系才能解决问题。党的二十大要求加快发展数字经济，打造具有国际竞争力的数字产业集群。数据在成为重要生产要素的同时，也成为百行千业的核心资产。近年来，随着银行业数字化转型的深入推进，银行应用系统更趋复杂，银行传统网络边界更加模糊，内外部威胁更加高级未知，保护核心数据资产面临巨大挑战。为应对潜在风险，监管层要求银行业“完善纵深防御体系”。网商银行立足自身数字银行的客观条件，基于事前防范未知威胁的实际需求，首创“可信纵深防御体系”，将可信防御理念与纵深防御理念相结合，针对数字银行的应用服务，构建金融级的事前纵深防护体系。“可信纵深防御体系”以密码学为基础、可信芯片为信任根、可信软件基为核心，确保业务应用服务运行所依赖的资源、行为在启动时和运行态均是可预期且可信的，阻止非预期的访问和运行行为，针对硬件、固件、系统和应用等不同的防御平面部署多层次的防御体系，应对 0Day 漏洞攻击、APT 攻击、软硬件供应链攻击等高级威胁。作为防守方的数字银行，无法准确预测攻击者会在何时何地以何种方式进攻应用系统。“可信纵深防御体系”区别于传统被动基于攻序 言何宝宏中国信息通信研究院云计算与大数据研究所所长击者常用攻击方法不断优化拦截和阻断策略的思路。一方面，执行可信理念。立足于数字银行业务特性，建立白名单化的管控策略，根据业务的代码、流量数据，清晰定义刻画系统运行所依赖的预期内的可信行为。另一方面，贯彻纵深防御理念。单点防御措施可能被绕过或运行异常而导致防御失效，基于防御体系的稳定性和可用性，需要在不同的防御平面部署多层的可信防御措施有效应对安全威胁，降低单点防御的不稳定性，使攻击者无法达成进攻目的或在达成进攻之前就被发现和制止。数字银行“可信纵深防御体系”从业务特性出发，在终端层、网络层、应用层和基础设施层等适配可信策略控制点，建立覆盖各层的可信管控策略，并将信任关系逐级规约到不可篡改的硬件可信芯片。数字银行“可信纵深防御体系”以硬件和操作系统的可信为基础，逐层扩展到虚拟机、容器、应用、网络等层面，每一层面的信任关系都可以传递至下一层，形成完备的信任链，最终达成可信纵深防御的效果。其中，硬件可信芯片是“可信纵深防御体系”信任的根基，可信策略控制点是“可信纵深防御体系”的骨架，可信策略中心是“可信纵深防御体系”的免疫系统，可信管控中心是“可信纵深防御体系”的大脑中枢，自下而上的信任链、安全保障及稳定性保障是“可信纵深防御体系”建设的基石。数字经济的发展离不开安全的护航。2021 年我国数字经济规模45.5 万亿元，占 GDP 比重为 40%，预计未来一段时间，该规模将持续稳健增长。数字银行“可信纵深防御体系”是银行业数字化转型过程中对安全保障进行的有益探索，是新一代信息技术在掌握安全主动权的生动实践，相信数字银行“可信纵深防御体系”对构建防御生态、保障行业数字化转型、呵护数字经济安全发展等方面的重要作用将越发凸显。数字银行可信纵深防御白皮书XI前言随着新兴数字技术在金融行业的应用持续深入并趋于成熟，银行业金融机构数字化转型进程迈入快车道，金融产品和服务纷纷呈现出线上化、数字化、智能化的发展趋势和特点。相比柜面、ATM 等传统金融服务渠道，利用云计算、大数据、区块链等新兴数字技术，以移动 APP、小程序等为载体，在互联网环境下，为广大客户提供线上账户管理、投资融资、支付结算、国际业务等综合金融服务，不仅带来了金融便利，也给金融机构带来更多网络安全风险挑战。与此同时，网络安全法、数据安全法、个人信息保护法等法律法规相继出台，将网络安全保护、数据安全保护以及个人信息保护上升至法律保护层面；金融行业监管部门也对银行业金融机构在深化金融科技应用，推进金融数字化转型方面，陆续发布指导文件，指明方向、提出要求，监管力度正在全方位加强。面临数字化转型的内生驱动和强监管的外部环境，银行业金融机构如何在日益严峻、复杂的网络安全环境下，守住网络安全底线，保障数字化转型战略顺利实施，是当前各银行业金融机构向数字银行转型首要解决的重点问题。网商银行作为一家自带数字基因的“数字银行”，自诞生之日起就将核心系统架在“云”上，多年来，始终坚持“安全可信、自主可控”的系统安全建设理念，一直保持着高并发、高稳定、零重大网络安全事件的运行状态，已经实践检验，形成了一套成熟的网络安全防御体系可信纵深防御体系。整个防御体系以硬件可信芯片为信任根、密码学为基础、可信软件基为核心，通过检测、度量、证明和管控等方法，构建贯穿硬件、固件、系统软件和应用软件的完整信任链，为信息系统的安全运行和数据的使用计算提供可靠的安全可信底座；在安全可信底座之上，严格控制开放的系统服务，仅允许业务依赖且通过安全评估的行为可访问或可执行，并在数字资产面临的威胁路径上构建多层可信防护能力，形成可信纵深防御，以应对 0Day 漏洞、社会工程学、软硬件供应链等网络安全威胁。数字银行可信纵深防御白皮书XII编制工作组希望通过白皮书的方式将网商银行可信纵深防御的最佳实践共享给金融同业，为已经开展数字化转型或准备转型的同业机构，提供网络安全体系建设升级的参考案例。数字银行可信纵深防御白皮书XIII目录1数字银行可信纵深防御体系背景概述.11.1银行业数字化转型新要求新安全挑战.11.1.1国内外银行业数字化转型政策与趋势.11.1.2银行业数字化转型新安全挑战.21.2国内外新兴安全技术方案简介.41.2.1可信计算.41.2.2安全平行切面.51.2.3零信任.51.3可信纵深防御概念.61.3.1可信防御理念.71.3.2纵深防御理念.72数字银行可信纵深防御体系架构设计.92.1设计目标.92.2体系架构.93数字银行可信纵深防御体系建设方案.133.1建设原则.133.1.1安全可信.133.1.2多层覆盖.143.1.3自身安全保障.143.1.4稳定性保障.143.2建设基线.153.3关键能力建设.173.3.1基础设施可信.173.3.2应用可信.183.3.3网络可信.233.3.4端安全可信.273.3.5信任链构建.303.3.6可信策略.323.4技术保障.393.4.1安全性保障.393.4.2稳定性保障.403.5实战牵引.423.5.1威胁路径图建设.423.5.2红蓝演练机制建设.443.5.3实战攻防检验.453.6体系演进.454数字银行可信纵深防御体系实践应用.474.10DAY漏洞防御.474.2钓鱼攻击防御.49数字银行可信纵深防御白皮书XIV4.3软件供应链风险应对.524.4高效安全加固实践.545总结与展望.55参考文献.56数字银行可信纵深防御白皮书11数字银行可信纵深防御体系背景概述1.1 银行业数字化转型新要求新安全挑战1.1.1国内外银行业数字化转型政策与趋势近年来国内外领先银行相继制定了数字化转型战略，从金融科技创新、用户体验、业务拓展渠道等诸多方面明确了数字化转型的战略方向和发展目标。国际银行同业的数字化转型战略起步比较早，2012 年花旗银行就提出了“移动优先（Mobile First）”战略，2017 年又进一步提出以“简单化、数字化、全球化”为主线的“打造数字银行”的新数字化战略，强调要重视客户核心需求、强化自身数字化能力、积极拥抱外部合作伙伴等战略重点。摩根大通银行、汇丰银行等国际投行也都是在 2014 年左右开启数字化转型项目，一般都是以优化客户体验为核心、运用大数据技术创造价值，优化 IT 架构和数据治理，实施敏捷开发，加大投资力度、拥抱最顶尖的金融科技等。与国外情况相比，国内银行同业数字化转型工作的起步虽然较晚，但是发展势头迅猛。从顶层设计与行业政策的情况看，党的十九届五中全会和“十四五”规划对“打造数字经济新优势”作出了专门部署，提出“迎接数字时代，激活数据要素潜能，推进网络强国建设，加快建设数字经济、数字社会、数字政府，以数字化转型整体驱动生产方式、生活方式和治理方式变革”，明确了数字化的发展前景和目标。在新的发展阶段，银行业保险业开展数字化转型，是构建银行业保险业新发展格局、打造高质量发展新引擎的现实需要，是更好支持实体经济发展、更好满足人民群众日益增长美好生活需要的内在要求。因此，在国务院发布“十四五”数字经济发展规划后，中国银行保险监督管理委员会和中国人民银行分别印发了关于银行业保险业数字化转型的指导意见（以下简称指导意见）、金融科技发展规划（20222025 年）（以下简称规划）。其中指导意见提出，到 2025 年，银行业保险业数字化转型需取得明显成效。基于数字化转型的新政策新发展要求，银行业金融应用及服务将呈现线上化、数字化、服务化的发展趋势和特点。相比柜面、ATM 等传统金融服务渠道，利用云计算、大数据、区块链等新兴数字技术，以移动 APP、小程序等为载体，在互联网环境下，为广大客户提供线上账户管理、投资融资、支付结算、国际业数字银行可信纵深防御白皮书2务等综合金融服务，不仅带来了金融便利，也给金融机构带来更多网络安全风险挑战。基于银行业数字化转型的巨变和挑战，指导意见中也明确提出“构建云环境、分布式架构下的技术安全防护体系，加强互联网资产管理，完善纵深防御体系，做好网络安全边界延展的安全控制。”的要求。“可信纵深防御体系”正是对纵深防御体系的进一步完善。1.1.2银行业数字化转型新安全挑战数字化转型在给银行业带来高效、便捷金融产品的同时，也给银行业的安全防护带来了以下挑战：1)合规挑战更加严峻网络安全和数据安全是事关国家安全和发展、事关人们工作生活的重大战略问题。随着网络安全法、数据安全法、个人信息保护法法律法规的出台，网络安全、数据安全和个人信息保护由“或有或无”变成“刚需”。金融行业作为强监管行业，银行监管机构对银行业网络安全和个人隐私信息保护在要求上更是日趋严格。新颁布的个人信息保护法已经明确，未经授权采集和使用个人信息属于严重违法行为。因此，如何在保证符合个人信息保护法的前提下实现数据高效使用和共享是个人信息处理者面临的巨大挑战。2)安全事件造成的影响面扩大在数字化理念的推动下，越来越多的高价值信息资产从线下转移到线上，高价值资产在线化比例高且更密集，相比之前这些高价值数字资产一旦被攻击或泄漏造成的影响面会更大。新西兰证券交易所网站在 2020 年 8 月 31 日的市场交易开盘不久再次崩溃。这是证交所连续第 5 个交易日受到黑客攻击，造成“宕机”，交易多次临时中断。2019 年 2 月马耳他历史最悠久的金融服务商瓦莱塔银行被黑客入侵后，向外国账户转移了 1300 万欧元。为降低损失瓦莱塔银行被迫关闭了所有现代化交易渠道，不仅银行网站脱机，ATM/分支机构/手机银行一系列电子邮件服务都被暂停，马耳他民众被迫只能进行现金交易。以上攻击事件不但给金融机构带来了损失，也造成了极负面的社会影响，由于银行业本身是经营风险数字银行可信纵深防御白皮书3的行业，一旦被黑客攻击成功，造成的经济、声誉影响将是无法估量的。因此，数字银行在事前规避风险事件发生的需求更加迫切。3)在线数字资产保护难度增大数字银行高价值数字资产量大质高，更容易成为高阶攻击者觊觎的目标，如2019年7月，世界第五大信用卡签发方的第一资本银行数据库遭受黑客攻击，约1.06亿银行卡用户及申请人信息泄露。银行业的行业性质决定了银行机构对于风险处置的重视度更高，因此对于已知的漏洞和风险均会有效防范，但是对于高级和未知的威胁防范较为困难，如0Day攻击、社会工程学攻击、软硬件供应链攻击等，且随着银行业数字化转型中新业务模式、新技术和新平台的使用，应对难度逐步增大。在数字银行模式下，基于边界的防护体系对于高级和未知威胁的应对挑战巨大。在基于边界的防护体系中，固定且清晰的边界是开展网络安全工作的重要前提，众多的安全保护措施均是基于安全边界部署和实施。而伴随着银行业数字化的发展，数字银行的开户、登录、收钱、转账等操作均可通过互联网进行在线化操作，极大的扩大了原有应用服务的暴露面；开放化要求银行与商业生态系统共享数据、算法、交易、流程和其他业务功能，而共享意味着银行信息系统需要从过去的封闭状态逐步走向开放；在数据的管理上，云计算模式下数据的产生、流通和应用变得空前密集，数据像血液一样在业务的每个环节中流转，数据链路触及范围更广，动态性更强，数据在收集、存储、使用、加工、传输、销毁等整个生命周期中均存在被攻击和泄露的风险。如上变化的发生，使得基于边界的防护体系在数字银行模式下，对于高级和未知威胁的应对挑战巨大，难度骤然增加。4)安全防护水平与用户体验难以兼顾数字银行需要更加注重效率和体验的提升。数字银行在业务策略上需要小步快跑、快速迭代来适应分秒必争的业务变化，更快调整产品、策略去适应用户需求，更多迭代去提升用户体验。因此，数字银行需要在安全和效率之间寻找最佳平衡点。传统的基于边界网段的管控手段，在大型数字化业务落地实践下，容易陷入两难困境：安全策略难以适配业务变化快速调整，阻碍业务发展；资产变化速度快，安全策略调整工作量呈指数级增加，低效的人工变更模式使得安全管理粗放，风险很难得到有效控制，无法满足数字银行对安全、效率与体验的要求。数字银行可信纵深防御白皮书4因此，如何在日益严峻、复杂的网络安全环境下守住数字银行安全底线，为银行业数字化转型战略的顺利实施提供可靠的安全保障，事前高效规避银行业数字化转型中和转型后风险事件的发生，有效应对高级和未知威胁，是数字银行需要重点研究和解决的问题。1.2 国内外新兴安全技术方案简介近年来为应对越来越严峻的安全攻击局势，国内外安全领域的企业、专家提出了如可信计算、安全平行切面等新兴的安全理念与技术方案，简要介绍如下：1.2.1可信计算可信计算（Trusted Computing，TC）是一项由可信计算组（Trusted ComputingGroup，TCG）推动和开发的技术。可信计算是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高系统整体的安全性。可信计算包括 3 个关键技术能力：密钥安全保护、远程证明、信任链构建。1)密钥安全保护密钥安全保护包括密钥的安全存储及密钥的安全使用。可信芯片包含存储根密钥及报告签注密钥，其中签注密钥是一个基于非对称算法得出的公共和私有密钥对，它在芯片出厂时随机生成并且不能改变，这个私有密钥永远在芯片里，而公共密钥用来认证及加密发送到该芯片的敏感数据；存储根密钥具备完全独立的储存区域，操作系统自身也没有完全访问的权限，所以入侵者即便控制了操作系统信息也是安全的，用户的敏感数据可以基于存储根密钥进行安全保护。存储根密钥及签注私钥永远密封在芯片，且只允许在芯片内通过合法的权限使用。2)远程证明远程证明是指可信安全芯片对外证明平台当前配置和运行状态的完整性。远程证明可分为：平台完整性证明和平台身份证明。其中平台完整性证明是指可信安全芯片获取平台软硬件可信度特征值的过程，通常这些值以摘要的形式扩展存储到安全芯片的平台配置寄存器（Platform Configuration Register，PCR）中；其中平台身份证明是指用平台身份私钥完成内部 PCR 中保存的完整性扩展值的签名。远程证明时，验证方通过验证平台身份证书的有效性来确定平台身份，通过平台身份公钥来验证平台的远程证明的签名，从而完成完整性的验证。数字银行可信纵深防御白皮书5远程证明使得用户或其他人可以检测到该计算机的变化。这样可以避免向不安全或安全受损的计算机发送私有信息或重要命令。远程证明通常与公钥加密结合使用来保证发出的信息只能被发出证明要求的程序读取，而非其它窃听者。3)信任链构建首先需要在计算机系统中构建一个信任根，然后再建立一个信任链，即从信任根开始到硬件平台、到操作系统、再到应用，一级度量一级、一级认证一级、一级信任一级，通过传递机制将信任扩展至整个计算机系统，从而确保整个计算机系统的可信。1.2.2安全平行切面安全平行切面体系（以下简称安全切面）是下一代原生安全基础设施，通过“端管云”各层次切面使安全管控与业务相互融合且解耦，并依托标准化接口为业务提供精准内视与高效干预能力，具备感知覆盖能力强、应急攻防响应快、安全治理高效和安全布防灵活的核心优势。在业务复杂性爆炸的背景下，安全切面可以有效解决传统外挂式安全体系隔靴搔痒、内嵌式安全体系业务与安全相互束缚的行业痛点。安全切面具备“精准感知、及时管控、保障有力、稳健发展”等特点，以“分层建设、多层联动、稳定及安全保障、碎片化适配”为要则构建与业务平行的安全空间，将安全能力分层融入业务体系，建立起基于安全切面的各种保障机制，通过碎片化场景适配拉平基础设施环境差异。安全切面支持从应用和基础设施构建不同层级的防御能力，以实现各层级间的安全管控，同时也支持多层级安全切面相互联动形成整体的防御体系，达到更好的安全治理、防护、对抗效果。因此，数字银行可以充分采用安全平行切面的架构理念建设安全防护体系，达成事前应对高级和未知威胁的目标，同时保持安全体系建设与业务系统升级迭代既融合又解耦，提升安全加固的效率及风险识别的精准度，减少安全加固对于业务和技术的打扰。1.2.3零信任2010 年，Forrester Research 首席分析师 John Kindervag 首次提出了零信任（Zero Trust，ZT）理念，对访问控制在范式上实现颠覆，指引安全体系架数字银行可信纵深防御白皮书6构从“网络中心化”转向“身份中心化”。零信任的基本原则是“从不信任，始终验证”，即企业内外部的任何人、事、物均不可信，应在授权前对任何试图接入系统的人、事、物进行验证，且数据资源按最小权限原则分配。零信任架构（ZeroTrust Architecture，ZTA）对访问主体身份管控更加全面，访问鉴权更为精准，全面考虑了访问链路的安全性、稳定性和访问速度。零信任架构主要包含现代身份与访问管理、软件定义边界和微隔离三个关键技术。现代身份与访问管理技术是支撑企业业务和数据安全的重要基础设施，主要通过包括身份鉴别、授权、管理、分析和审计等措施，围绕身份、权限、环境、活动等关键数据进行管理与治理的方式，确保正确的身份、在正确的访问环境下、基于正当的理由访问正确的资源。软件定义边界技术旨在利用基于身份的访问控制以及完备的权限认证机制，为企业应用和服务提供隐身保护，有效保护企业的数据安全。软件定义边界具有网络隐身、预验证、预授权、应用级的访问准入和扩展性五个特点。微隔离是一种更细粒度的网络隔离技术，在逻辑上将数据中心划分为不同的安全段，进而为每个段定义安全控制措施和所提供的服务。零信任架构优于传统的“城堡和护城河”式网络安全方法。但如何保障零信任架构自身安全、服务过程的安全及体系化保障应用系统依赖的基础设施安全，在这些问题的解决上零信任中并没有很好的理论支撑，且在原有系统上实施零信任架构存在部署复杂、迁移难、代价大等问题。1.3 可信纵深防御概念可信纵深防御指的是一种新的安全防御体系架构可信纵深防御指的是一种新的安全防御体系架构，它可以做到只允许预期内它可以做到只允许预期内的行为可以执行即主动免疫的行为可以执行即主动免疫，而且可信防御而且可信防御能够能够实现实现对对所有威胁路径的多层覆所有威胁路径的多层覆盖，大幅降低风险事件发生的概率盖，大幅降低风险事件发生的概率。与此同时与此同时，它建立了完备的信任链，将信它建立了完备的信任链，将信任关系逐级规约至硬件芯片可信根任关系逐级规约至硬件芯片可信根，保障防御体系自身的安全保障防御体系自身的安全。可信纵深防御将可信防御与纵深防御有机结合，所建立的防御措施做到仅允许信息系统运行预期内的资源和行为是可加载、可执行的，且内容均是经过安全评估无风险的；同时根据数字银行面临的威胁状况，可信防御措施需要多层覆盖，最终形成可信纵深防御体系，以有效地应对 0Day 攻击、社会工程学攻击、软硬件供应链攻击等高级和未知威胁。数字银行可信纵深防御白皮书71.3.1可信防御理念针对数字银行面临的高级和未知威胁，攻击者在何时何地通过何种攻击手法发起攻击是无法预测的，但是数字银行信息系统的运行状态是可以基于网络流量、应用日志和系统进程等信息有效地分析刻画的，因此在防御思路上需要将不确定性的攻击威胁，通过已知的业务状态转换为有效的防御策略来应对威胁，有效规避风险事件的发生。因此，在安全风险控制上，首先应遵循可信计算理念建立可信根，再基于可信根构建信任链，进而基于基础设施层、应用层、网络层、移动端和终端层等各层建立可信策略控制点，最后形成可信防护策略，仅允许预期内即数字银行信息系统运行所依赖的资源和行为是可执行的，确保防护强度达到可信级。可信级防御需要满足以下两点要求：1)数字银行信息系统安全管控依赖的模块或组件自身是安全可信的数字银行信息系统安全管控依赖的模块或组件自身是安全可信的。信息系统的可信管控依赖各层建立的模块或组件，其本身的安全性对于整个可信防御体系至关重要。因此，首先需要确保可信管控依赖的模块或组件自身是安全可信的。2)数字银行信息系统运行环境、依赖的资源和行为是必要且无风险的数字银行信息系统运行所依赖的资源和行为均是必要且无风险的。如针对一个新应用，应用运行依赖的类、方法、函数、参数、进程、文件、网络及调用链等均是必要的，非必要的资源和行为将通过可信管控策略默认拦截。针对应用、系统和服务间的互访行为，确保访问者的身份、权限、环境和行为均是可信的，操作是可追溯、可审计的，预期外的访问行为将通过可信管控策略默认拦截，同时针对被拦截的访问行为将会记录行为日志，做到行为可追溯、可审计。数字银行信息系统运行环境、依赖的资源和行为均是经过安全评估无风险的。如针对一个新应用，应用运行环境及所依赖的类、方法、函数、参数、进程、文件、网络及调用链等均是经过安全评估无风险的，如评估存在风险则更换为其它安全的环境、资源或行为，或者是针对评估发现的风险建立有效的控制措施。1.3.2纵深防御理念纵深防御的理念来自于战争学的概念，该理念在信息安全领域也得到了广泛的使用和推广：通过建立多层重叠的安全防护系统而构成多道防线，使得即使某一防线失效也能被其它防线弥补，即通过增加系统防御的层数或将各层之间的漏数字银行可信纵深防御白皮书8洞错开的方式防范差错发生。数字银行可信防御体系为了避免因单点防御措施失效导致风险事件的发生，需采用纵深防御的理念进行可信防御体系的建设。如针对开放至互联网的应用系统，为了有效应对入侵导致的数据泄露或资金被盗威胁：在网络层，需要基于网络层切面管控能力建立对于网络流量、应用语义及访问者身份和权限的可信管控能力，做到访问来源 IP、请求的域名、请求的接口及参数、访问者的身份和权限等均是符合预期的、可信的；在应用层，需要基于应用切面能力建立应用运行时的可信管控能力，确保应用运行加载的类、方法、函数、参数、进程、文件、网络及调用链等均是符合预期的、可信的；在容器主机层，通过容器中的系统安全切面管控模块或组件，对容器运行时所加载的应用、进程等进行可信管控，做到应用、进程的加载和运行均是符合预期的、可信的；在基础设施层，基于硬件可信芯片对设备 BIOS、BMC、板卡固件、OS Loader、OS 内核进行可信管控，保证其启动及运行的可信。同时基于硬件可信芯片的可信存储和密码技术建立了从BIOS-板卡固件-OS Loader-OS内核-应用自下而上的信任链，保障可信策略控制点本身的安全可信。综上所述，所建设的纵深防御机制，从计算环境可信角度，基于信任链保障可信策略控制点的安全；从数字资产保护角度，通过各层的可信管控能力实施数据内视和可信管控，最终建立可信纵深防御体系。在可信纵深防御体系的建设中，每增加一层可信防御能力，所建设防御体系的防御强度都会大幅增强，同时也意味着投入成本的增加。因此，在可信纵深防御体系的建设当中，所建设可信防御能力的深度即层数需要根据数字银行面临的威胁状况、业务特性、IT 架构、建设成本、管控效率等因素综合评估判断，在威胁有效应对和数字银行的合规要求、安全成本投入、管控效率上取得最佳平衡。做到既能满足监管合规要求，又可以高效应对面临的高级和未知威胁，同时可以将可信纵深防御体系的建设成本和管控效率控制在合理范围，不会因为防御体系建设过重带来过多成本、性能和效率的损耗。数字银行可信纵深防御白皮书92数字银行可信纵深防御体系架构设计2.1 设计目标基于数字银行业务特性及面临的威胁状况，结合可信计算、安全平行切面等新兴安全体系思想，设计面向数字银行的可信纵深防御体系。可信纵深防御体系以可信根为支撑，以可信软件基为核心，以密码学方法为主要手段，通过度量、检测、证明以及管控等手段，构建贯穿硬件、固件、系统软件、应用软件和网络行为的完整信任链，为信息系统的运行提供安全可信的底座。可信防御措施进行多层覆盖，以大幅降低风险事件发生的概率。最终达成事前高效规避高级和未知威胁的目标，兼顾数字银行效率与体验要求。2.2 体系架构图 1 数字银行可信纵深防御体系全局架构面向数字银行的可信纵深防御体系整体架构包含四个关键部分：硬件可信芯片、可信策略控制点、信任链和可信管控中心，由其中的安全防护部件形成可信由其中的安全防护部件形成可信防护体系防护体系，与由计算部件形成的计算体系形成双体系结构与由计算部件形成的计算体系形成双体系结构。其中可信管控中心又由可信策略管控系统、可信策略刻画系统、安全保障系统、稳定性保障系统四部分组成。在整体架构设计上以硬件可信芯片为信任根；以可信软件基为核心，它由基础设施层、应用层、网络层及移动端和终端层等各层构建的可信策略控制点组成；基于硬件可信芯片构建的信任链来保障可信策略控制点的安全可信；基于数字银行可信纵深防御白皮书10可信策略刻画系统及密码学技术生成的“免疫基因抗体”对数字银行信息系统的运行环境、资源加载和交互行为进行可信管控，有效识别“自己”和“非己”成分，破坏与排斥进入信息系统机体的有害“物质”，为信息系统加持“免疫能力”，保障信息系统和数字资产的安全性；安全保障和稳定性保障技术为整体可信纵深防御体系的落地提供保障支撑，防止可信纵深防御体系建设中产生安全漏洞和稳定性风险事件，导致业务受损。1)基于硬件可信芯片构建信任根基于硬件可信芯片和密码学方法对物理机的启动参数和启动程序进行可信管控，同时提供静态的和动态的信任链的校验机制，确保硬件芯片、启动参数、系统 OS 等均是安全可信的。同时基于硬件可信芯片构建信任链以将信任关系从基础设施层逐层传递至应用层和网络层，最终形成完备的信任链，以支持对数字银行信息系统和数字资产的可信管控。2)基于安全平行切面构建可信策略控制点基于数字银行 IT 架构分析、选型或者设计可信策略控制点，实现对于风险场景的数据内视和可信管控。在可信策略控制点的部署上在可信策略控制点的部署上，充分利用安全平行切充分利用安全平行切面提供的原生安全控制点能力面提供的原生安全控制点能力，以实现安全管控与业务应用的既融合又解耦，以实现安全管控与业务应用的既融合又解耦，即安全能够深入业务逻辑即安全能够深入业务逻辑，不再是外挂式安全不再是外挂式安全；业务上线即带有默认安全能力业务上线即带有默认安全能力，并实现跨维的检测、响应与防护；同时安全能力可编程、可扩展，与业务各自并实现跨维的检测、响应与防护；同时安全能力可编程、可扩展，与业务各自独立演进独立演进。数字银行可信纵深防御体系架构如图 1 所示，针对开放的应用系统服务，在访问链路上，通过在移动端及终端层、网络层、应用层及基础设施层建立不同层面的可信策略控制点，并配置符合可信防御强度要求的安全防御策略。在移动端及终端层，以移动端安全切面或 SDK 及终端检测与响应（EndpointDetection and Response,EDR）能力作为可信策略控制点，针对用户的日常操作行为及员工的办公行为，对使用的小程序、软件、进程、网络等建立精细化的可信管控能力，做到仅允许预期内的小程序、软件、进程、网络行为是可以加载和执行的，以有效抵御恶意软件的加载和运行及木马、病毒的回连等行为。在网络层，以统一访问代理网关流量切面为可信策略控制点，建立针对访问主体身份、权限、环境、行为的可信管控策略，确保访问主体仅能通过预期内的数字银行可信纵深防御白皮书11身份、权限，在安全的环境下，按照预期内的行为进行应用系统的使用，异常的身份冒用、越权操作、不可信的环境及网络攻击行为将直接被拦截或者上报安全事件。在应 用层，以 应用 切面 含 应用 运行 时防 护（Runtime ApplicationSelf-protection,RASP）及安全容器系统切面为可信策略控制点，对容器、应用调用的类、方法、函数、文件和网络行为建立白名单的可信管控策略，确保容器和应用仅能按照预期内的方式启动或运行。在基础设施层，基于硬件可信芯片信任根，对物理机节点的启动和运行进行可信管控，确保使用的物理机是可信的。如上所述，通过各个层面建立的可信策略控制点，配置可信管控策略，建立覆盖数字银行信息系统和数据资产全链路的可信纵深防御体系，有效应对数字银行面临的高级和未知威胁。3)基于信任链保障可信防御产品或能力的安全可信可信策略控制点是数字银行实施可信管控依赖的关键能力，如何保障可信策略控制点的安全性至关重要。如果实施可信管控依赖的能力自身是不安全的，对于业务信息系统的可信管控将无法保障，同时这些能力本身也可能会引入新的安全风险。因此，在