来源:第五届农村中小金融机构科技创新优秀案例评选
一、案例背景及面临挑战
后疫情时代的2021年国内外信息安全形势依然严峻,钓鱼网站链接不断变化,网站被非法入侵、重要资料被窃取、数据泄露、网络系统瘫痪等问题都对金融机构网络安全带来重大挑战。恰逢2021年是建*党**100周年,政治敏感性较强,进一步提升信息系统网络安全保障水平,保障信息系统安全稳定运行更为重要。
目前,省联社已按照整体安全框架设计思路,部署了防火墙、网络入侵防御系统、安全态势感知平台等一系列的安全设备和安全运营平台,并针对重要信息系统的分类分级,制定了符合分类标准的安全防护措施,常态化的开展安全渗透测试、安全代码审计、漏洞扫描、配置核查等工作,形成了一定的攻击防御和脆弱性感知能力。
近年来,智能终端在金融科技的支撑下,对我行的各项业务的发展带来深远的影响。便捷式移动终端深入到地市、区县开展业务办理,为我行“立足本土、服务社区、支农支小”的社会责任实践发挥巨大的作用。在移动互联网发挥巨大作用的同时,也存在诸多的信息安全挑战。如何建立移动安全工作空间,保障移动业务人员开展的便利性、安全性,同时保障使用体验,成为我行考虑的重要课题。
经过实际工作总结发现,前期省联社在移动终端接入管控存在几个方面的问题:
1、移动营销业务缺乏可靠性连接能力。 省联社大部分网点在乡镇,尤其是部分偏远地区依托智能移动终端开展外拓营销业务。传统的移动接入管控平台网络传输效率和稳定性较弱,当在乡镇等偏远区域存在网络信号波动时,移动营销业务经常会出现中断情况,影响业务开展的连续性。
2、缺乏业务自动化封装平台。 业务移动化发展带来了移动APP的爆发式增长,同时带来管理的复杂性,当前无法对我行移动业务进行移动商店式管理,目前移动APP需要将SDK在开发阶段封装到APP内才能进行安全接入,无论是业务上线还是版本迭代极其影响效率。
3、业务数据安全保障能力不足。 移动展业人员分布全省,智能终端设备多种多样,业务的变化带来了新的安全挑战,当前移动安全接入缺乏从数据、终端、传输、平台等维度全方面的安全能力,亟需建立一套全生命周期的移动安全保障体系。
4、移动业务安全便捷服务不足。 缺乏为业务人员提供移动业务敏捷上线、移动设备安全保障、移动业务安全诊断的统一的移动安全工作空间,能够为我行不同场景、不同人员、不同业务、不同终端提供安全便捷的服务。
为此,省联社提出了“建立服务于全省的统一移动安全工作空间”的建设目标,利用零信任、自动化封装、系统级防泄密沙箱、移动API强管控等技术,构建了多场景、多部门、统一服务入口的移动安全工作空间。
二、平台设计思路
为达到省联社统一的移动安全工作空间项目的目标要求,本项目基于“以身份为中心,构建数据可控、极简运维、便捷体验”的理念,从不同场景、不同业务、不同终端的实际需求出发,通过终端安全、传输安全、应用中心、智能运维等核心能力,实现移动安全工作空间的建设。整体设计如下:
1.平台架构设计
平台架构设计如下图所示:
整体架构分为安全工作空间和中心服务端。
安全工作空间以软件客户端形式部署在手机、平板、笔记本电脑等移动办公设备。通过国密SSL隧道和服务端连通,行内人员可以在安全工作空间获取移动应用办理业务。安全工作空间支持双域隔离能力、防泄密、终端准入、终端强管控的安全能力。
中心服务端为2台移动安全网关进行集群部署,保障设备的冗余可靠性。中心服务端通过国密SSL隧道和安全工作空间通信,可以实现统一认证接入、统一策略管理、统一应用中心、统一设备管理、统一安全保障。
2.业务场景设计
针对行内不同的业务场景,分别采用不同层级的安全防护措施,主要有以下三大模式:
(1)基础移动办公安全接入:针对全员使用的移动OA,为保障移动接入安全和基础防泄密,可通过移动APP自动封装SDK,快速支持应用级VPN接入,保护数据传输安全。封装后的移动邮件、移动OA可以安装在员工手机上和配发设备上。由于移动应用服务器部署在内网,系统信息和漏洞被隐藏,能有效降低被恶意攻击和入侵的安全风险。
(2)敏感业务办公防泄密:针对我行敏感度较高的移动BI、移动邮件、财务系统等业务,可提供兼容windows、macos、iOS、android等操作系统的移动工作域,内置安全邮件客户端、安全相册、安全浏览器,可通过统一应用中心自动化封装应用。封装后的安全应用完全与个人域隔离,防止员工通过USB拷贝、社交共享、剪切板、截屏等手段泄密,保障敏感数据安全。
(3)移动营销业务强管控:针对我行前台广泛分布在全省的客户经理、大堂经理等人员,通过我行派发的移动智能终端开展移动银行、信贷系统、移动展业、保险移动理赔、VTM银行等业务,平台可深度和智能终端厂商系统集成,设备开机强制进入安全工作域,在应用安全隔离的基础上,对外设和网络连接进行严格控制,并支持多种安全合规审计,更进一步降低数据泄密风险,满足行内使用配发设备进行强管控的核心业务移动化需求。
三、技术创新点
移动场景业务、网络环境的复杂性,使用人员多样化,给移动安全工作空间建设带来更大的挑战。在本次项目的建设过程中,我行基于业内趋势和技术演进方向,主要有以下安全技术创新点:
1.具备全方位工作空间安全能力
在终端上创建与个人环境逻辑隔离的安全工作空间,在工作空间中运行的软件(应用)具备链路加密、文件加密、文件隔离、网络隔离、剪切板隔离、进程保护、外设管控、屏幕水印、防截屏录屏等数据保护功能,具备部署成本低、用户体验好、安全性高等优点。
(1)数据链接加密:在工作空间内启动的软件(应用)发起的网络流量会自动采用 SSL 传输加密, SSL 证书加密密钥大小至少为 2048 位,保证传输安全性,同时通过国密密码算法进行加密。对关键数据的二次加密,只有通过服务端保存的私钥才能进行解密,防止数据被篡改。
(2)文件加密隔离:能在移动设备文件系统中构建一个专属于安全域的安全文件系统,通过 hook 技术拦截安全域应用所有文件操作,将个人域与安全域的应用数据进行隔离,对文件沙箱内文件路径和文件内容都进行高强度加密,并且支持安全域应用既能访问安全域文件又能访问个人域的文件。采用双密钥机制,确保了相同内容的文件经过加密后的内容不同,防止攻击者通过制造大量样本*力暴**破解秘钥。
(3)数据交换安全:在工作空间内使用截屏、剪贴板、外设、打印机可能造成数据泄露,在工作空间包含管控模块,如针对剪贴板行为返回放行、拒绝、截断剪切板、置空剪切板等操作可以禁止启用。
2、平台具备自安全能力
为了广泛应对当前严峻的安全挑战,平台针对安全工作空间软件、中心服务端,采用了反注入、源码加密、端口最小化等安全技术提高自身平台安全能力。
(1)客户端防篡改:内置了反注入安全检测模块,支持配置校验策略,客户端 Agent 启动的时候会先加载该模块,加载完成后反注入模块会定时对该进程所加载的进行校验。一旦检测到加载了不符合策略进程,可根据策略主动结束进程,防止被注入。
(2)服务端安全:磁盘数据进行加密处理,设备中运行源码进行混淆和加密保护,防止攻击者利用非正常手段获取设备源码,从而攻击设备。
(3)开放端口安全:端口按需开启,系统将端口暴露范围收缩到最小,实现按需放开必要端口。支持关键接口的防*力暴**破解攻击,通过对关键接口的*破爆**识别与计算,可以锁定攻击者的 IP 和用户名,防止*力暴**破解攻击,如可用于防密码*力暴**猜测、防短信码*力暴**破解风险,特别是用户端的*破爆**锁定会对*破爆**账号永久锁定,可以进一步防止爆力破解风险。
3、具备自动化应用封装能力
平台应用商店底层集成应用自动化封装的能力,应用系统上传到平台可以自动集成SDK,封装之后的应用具备安全隔离的功能。自动封装之后,提供一站式的应用商店,在应用商店可以发布、更新、推送移动应用,每个应用的版本号信息,应用的分发角色,以及应用*载下**安装的设备数量可以形成业务数据分析,方便决策。
4、智能可视化运维能力
自动化运维能够提高IT运维的效率,也能够快速定位业务问题,提高服务满意度。针对用户管理、设备管理、资源诊断管理等维度,平台提供智能可视化的运维能力。
(1)权限自申请:提供权限自申请能力解决此问题,用户在访问不具备权限的业务系统时,可以提交权限申请,注明需要访问时长、原因等后,便捷提交访问申请。
(2)智能终端生命周期管控:可以对我行智能终端进行管理,包括设备注册、设备擦除、用户关联、策略关联、状态监测、统一推送等功能,降低运维成本。
(3)日志资源快速诊断:在客户端可一键收集日志,传输给管理员做问题排查及进一步分析。日志收集不仅仅收集了终端的日志,对一些环境相关的信息也进行了收集,能够更加有效的定位问题。
四、平台推广价值
通过本项目实施带来了如下收益:
1、构建一站式移动应用商店: 统一的安全工作空间实现全省农商银行移动业务安全打通,所有移动应用全部发布在移动商店,方便用户更新和*载下**应用;利用自动化安全封装技术提高业务上线效率,实现移动应用上线、分发、更新、安全策略全生命周期的管理。
2、保障疫情期间金融服务畅通: 平台连接采用了 L4VPN 的短连接技术,并进行深度改良,相比于传统VPN能更好的适应复杂网络环境、传输更快速,能够更好的助力在疫情期间深入乡镇甚至偏远地区开展金融普惠业务。为服务乡村振兴、支持民营和小微企业、助力脱贫攻坚的目标提供坚实保障。
3、为客户数据安全保驾护航: 实现移动业务从身份安全、访问安全、接入安全、数据安全、设备安全、平台自安全多维度提供了一体化的统一安全工作空间安全解决方案,构筑端到端、全流程、立体化的安全防护体系,保障客户资金和数据安全。
4、零接触提升运维效率: 平台以安全工作空间、中心服务端为组件,运维极简,同时平台可部署在多终端、多操作系统,兼容性好。提供工具简化运维难度,如提供权限申请自服务工具、终端环境诊断工具、授信终端自助管理工具等,方便管理员快速收集数据进行决策,减少管理员配置及管理难度,提升运维效率。
5、构建面向未来的灵活架构: 平台支持集群部署,在保障业务的高可靠性的同时,实现架构的灵活扩容,满足未来业务高并发、高性能场景的需求。中心服务端控制转发分离架构,控制中心模块可以实现认证、鉴权、信任评估、策略下发等功能,安全接入模块实现流量加密、代理访问、策略执行、日志审计等。
6、提供可视化决策支撑: 平台提供设备监控、上线监控、网络流量监控、业务生命周期监控能力,通过标准的接口,实现和我行网络监控设备、安全设备、网络设备的对接,成为我行统一安全运营中心的重要一环,可以获得更丰富的安全能力,更准确、更有效地识别与应对高级威胁、异常行为,为我行网络自动化运维、安全运营做决策支撑。
五、总结
本次统一安全工作空间建设项目构建了一站式移动应用商店,保障了疫情期间金融服务畅通,为客户数据安全提供了技术保障,切实提升了业务办理效率,提供了可视化决策支撑。自上线以来,已为全省农商银行2万余名员工提供了移动安全工作空间,在提高全省业务人员移动办公便捷性的同时,提升了全行的移动应用治理能力,为金融科技助力银行数字化转型筑造了坚实的安全屏障。
六、实施时间
省联社于2020年5月成立项目组开始着手开展省联社统一的移动安全工作空间项目建设,于2021年5月完成,平台正式完成落地运营。
2020年5月-2020年6月,准备阶段:完成项目规划,查阅和收集有关文献,完成现状分析;
2020年7月-2020年10月,调研阶段:关键技术研究,确定技术路线;
2020年11月-2020年12月,实施阶段:完成统一移动安全工作空间落地实施;
2021年1月-2021年5月,运营落地阶段:以统一移动安全工作空间作为全省农商行的移动业务开展入口,并完成移动业务敏捷上线、移动展业平台切换、移动网络自动化运维等工作。
更多金融科技案例,请登录数字金融创新知识服务平台- 金科创新社(FintechinChina.com)官网案例库查看。