前言
为什么写这本书
近几年各行各业的数字化转型进程持续推进,行业场景与覆盖范围越来越广,节奏越来越快,影响越来越大。2021年12月国务院公开发布《“十四五”数字经济发展规划》,定义了“数字经济是继农业经济、工业经济之后的主要经济形态,是以数据资源为关键要素,以现代信息网络为主要载体,以信息通信技术融合应用、全要素数字化转型为重要推动力,促进公平与效率更加统一的新经济形态”,指出“数字经济发展速度之快、辐射范围之广、影响程度之深前所未有,正推动生产方式、生活方式和治理方式深刻变革,成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量”。
2022年1月,中国人民银行和中国银保监会分别向金融机构印发《金融科技发展规划(2022—2025年)》(简称《规划》)和《关于银行业保险业数字化转型的指导意见》(简称《指导意见》)。《规划》明确了金融行业数字化转型的总体思路、发展目标、重点任务和实施保障措施。而《指导意见》进一步明确发展路线图,要求到2025年银行业、保险业数字化转型须取得明显成效,“金融服务质量和效率显著提高,数字化经营管理体系基本建成,数据治理更加健全,科技能力大幅提升,网络安全、数据安全和风险管理水平全面提升”。
银行业数字化转型的安全挑战
银行业数字化转型将带来如下改变。①服务线上化,越来越多的金融服务将会通过互联网在线提供。②线上服务复杂度增加,服务的类型与场景将会变得更加丰富与复杂。服务形态也会存在多种形式,包括Web服务、移动App、小程序、IoT设备等。在线服务采用的技术也会多种多样,如云计算、云原生、智能算法、机器学习、知识图谱、区块链等。③数据驱动业务经营管理,数据应用的范围不断扩大,基于数据分析可实现高效的业务经营与决策。④开放与融合,服务提供者将会越来越深入地相互开放、相互融合、相互依赖。⑤更高的服务效率与更便捷的体验,可以说服务的效率提升和便捷性是数字化转型的关键目标。
银行业数字化转型又会带来哪些安全挑战呢?一方面,安全威胁等级将会提升。服务线上化和场景复杂化导致银行信息系统对外暴露的风险敞口和攻击面必然大幅度增加,会有越来越多的漏洞被黑客发现和利用,攻击成功的概率也将会提升。由于银行业务基本都与资金有关,越来越多的金融服务数字化以后,黑客攻击成功后的潜在收益会大幅度增加。黑客投入更大攻击成本进行攻击的动机也会随之提升,所以银行业数字化转型中面临的安全威胁等级必然提高。另一方面,安全与效率的矛盾将会更加突出,也更难兼顾。数字化转型的一个关键目标就是提升效率,并提供体验更好、更便利的服务。由于服务形态和技术形态的变化,有些安全技术措施和机制可能已经不再适用,有些安全方案无法满足业务发展的效率诉求和服务体验需求,影响了数字化转型目标的达成。因此,在应对高等级安全威胁的同时还能兼顾效率和服务体验,是银行业数字化转型过程中一个不可忽视的挑战。
网商银行的实践经验分享
网商银行自成立之初就是一家数字银行,没有实体网点,所有服务均通过网络提供,向数以千万计的小微客户提供了高效、便捷的银行服务。作为一家银行,网商银行对网络信息安全的要求是极高的。如何在保障业务高效开展的同时满足严格的安全标准,是网商银行信息安全团队自建立以来不断用探索和实践回答的问题。相信随着银行业数字化转型的深入,越来越多的银行从业者都将面临安全方面的问题和挑战。因此,我们将多年的安全实践经验进行了体系化的总结并分享,以期对银行业数字化转型的安全保障有所助力,也希望能收获同行的建议和指导。这就是我们写作本书的初衷。
本书主要内容
本书内容来源于网商银行在网络信息安全方面的一线实战经验,主要介绍一家数字银行是如何进行网络信息安全体系建设的。本书覆盖的安全子领域包括基础设施安全、业务应用安全、数据安全、威胁感知与响应、红蓝演练等,内容总体分为六部分。
● 第一部分介绍数字银行安全体系,讲述了数字银行安全体系的概况和如何设计数字银行安全架构。在阅读第二部分到第六部分之前,建议先阅读该部分,以便更好地理解后续内容。
● 第二部分介绍默认安全机制,讲述了如何高效控制所有已知类型的安全风险。
● 第三部分介绍可信纵深防御,讲述了如何应对未知类型的安全风险和高级威胁。
● 第四部分介绍威胁感知与响应,讲述了对于可能存在的威胁如何有效感知和处置。
● 第五部分介绍实战检验,讲述了如何通过实战攻防演习的方式检验安全体系的有效性和安全水位。
● 第六部分介绍安全数智化,讲述了如何通过数字化、自动化、智能化实现安全工作的高效开展。
读者对象
本书面向的读者主要包括信息安全从业者、企业技术负责人、基础技术架构师,以及其他想了解数字银行安全体系建设的相关从业人员。虽然不同行业信息安全的风险偏好和要求有一定差异,但长远来看企业信息安全的要求都会越来越高,如何兼顾高等级安全与高业务效率将是大多数企业会面临的问题。因此,无论是否从事银行业,本书中介绍的经验和方法都可以为信息安全从业者提供一定的参考。技术负责人、基础技术架构师也可以通过本书了解安全作为一项属性如何与自己所负责的技术体系和架构相结合。
作者简介
网商银行信息安全部负责网商银行的信息安全工作,涵盖数据安全、应用安全、基础设施安全、威胁感知与响应、红蓝演练、安全智能化等方向人员。团队成员均是各领域的安全专家,在红蓝攻防、威胁情报、可信计算、隐私计算等领域有较多研究,致力于通过创新安全技术守护用户的数据和资金安全。网商银行的未来愿景是成为全球最安全可信的数字银行,并不断探索数字银行安全的最佳实践,助力银行业数字化转型。
致谢
本书从最初的想法到最终编写成书一共花了两年多的时间,由网商银行信息安全团队的骨干共同编写而成,因此要特别感谢所有参与写作的团队小伙伴,他们为此投入了大量的时间与精力,将网商银行安全实践经验变成文字和书稿与读者分享。
感谢网商银行CIO高嵩、行长冯亮、副行长江浩、董事长金晓龙等管理层对安全团队的工作以及本书写作的支持,感谢信息科技部马晓航、蒋维杰、王泽睿等架构师对本书写作的支持,同时感谢HR、合规、品牌等团队在书籍校对和修订过程中的帮助。
感谢蚂蚁安全、阿里云安全以及阿里集团安全等团队,他们在网商银行安全体系建立过程中给予了我们在安全产品技术和经验方面的帮助。加入网商银行之前,我自身也在蚂蚁安全团队工作了9年时间,过去的实践经验积累对于网商银行安全体系构建有很大的帮助,因此也感谢过往团队和历任主管方海峰、王宇、李婷婷、余锋、唐家才、韦韬、高嵩的帮助与指导。
网商银行安全体系建设也受益于与银行业安全团队(工商银行、建设银行、农业银行、微众银行、民生银行、平安银行、招商银行、浙商银行、宁波银行等)以及安全领域专家的学习交流,感谢行业专家对本书相关工作的指导。
感谢本书编辑佘洁老师与其他编辑老师们,在本书编写过程中他们给予了作者很多专业指导。
我们将本书的写作看作一次对工作重新思考与审视的契机,对我们未来改进工作方法有一定帮助,有幸在这个过程中与大家相互学习、共同进步,希望我们的总结与分享最终能对行业有所帮助。
张园超(张欧)