網(wǎng)絡安全攻防演練能夠全面、有效檢驗金融機構網(wǎng)絡安全工作的整體情況，更貼合金融機構面臨的真實網(wǎng)絡威脅。

　　文 / 中國人民銀行清算總中心技術部? 康一鑫 張林山 白雪瑩

　　沒有網(wǎng)絡安全就沒有國家安全。隨著《中華人民共和國網(wǎng)絡安全法》正式實施，網(wǎng)絡安全越來越受到重視。而網(wǎng)絡安全的本質在對抗，對抗的本質在攻防兩端能力的較量。

　　一方面，大規(guī)模網(wǎng)絡安全攻防演練在各大網(wǎng)絡強國常態(tài)化開展，已成為檢驗網(wǎng)絡強國建設的重器。在2006年日本就舉行了一次全國性的網(wǎng)絡攻擊演練，參加演練的日本“網(wǎng)絡部隊”奉命對一些金融機構、公司和政府部門的網(wǎng)絡進行攻擊，考驗這些單位的應對能力。2016~2018年，美國國防部連續(xù)組織開展了“黑掉五角大樓”“黑掉陸軍”“黑掉空軍”“黑掉國防旅行系統(tǒng)”“黑掉海軍陸戰(zhàn)隊”等多次軍方實戰(zhàn)演練。2019年北約組織的世界最大規(guī)模網(wǎng)絡安全演練“鎖盾-2019”在緊鄰俄羅斯西部邊境的愛沙尼亞舉行。

　　另一方面，金融行業(yè)作為關鍵基礎設施機構，一直都是網(wǎng)絡攻擊發(fā)生的重災區(qū)。2016年2月5日，孟加拉國央行被黑客攻擊導致8100萬美元被竊取。2017年韓國多家銀行遭黑客組織分布式拒絕服務(DDoS)攻擊威脅。2019年7月，美國銀行第一資本金融公司遭黑客竊取逾1億名顧客和潛在顧客的個人信息。2017年金融行業(yè)已被列為僅次于政府、能源之后，被高級持續(xù)性威脅(Advanced Persistent Threat，即APT)攻擊組織關注的第三大領域。

　　近年來，金融領域網(wǎng)絡安全防護和處置能力成為金融機構和監(jiān)管部門關注的重點。中國人民銀行印發(fā)的《金融科技(FinTech)發(fā)展規(guī)劃(2019~2021年)》提出增強金融風險技防能力，加強網(wǎng)絡安全風險管控和金融信息保護，堅決守住不發(fā)生系統(tǒng)性金融風險的底線。因此，攻防演練作為有效的網(wǎng)絡安全檢驗手段也越來越受到業(yè)界重視和關注。

　　金融行業(yè)網(wǎng)絡安全攻防演練的特點

　　金融行業(yè)網(wǎng)絡安全攻防演練與日常舉行的應急預案演練和網(wǎng)絡安全攻防大賽(CTF)，既有相關性，又有不同性。

　　金融行業(yè)信息系統(tǒng)應急管理工作在2004年全面啟動，金融IT應急預案和演練工作逐步規(guī)范化，但應急預案主要圍繞自然災害、信息系統(tǒng)故障等情況機構的應對措施，演練目的主要是對預案有效性進行驗證，在機構中更多發(fā)揮以練代訓的作用。預案場景在演練中多以桌面推演的形式進行模擬，更多的是側重“演”和“訓”。

　　我國的網(wǎng)絡安全攻防演練主要模擬遭受網(wǎng)絡攻擊時的災難恢復，演練是無腳本攻防對抗，過程需上下聯(lián)動、多方協(xié)調，且趨于實戰(zhàn)化，能夠更全面地檢驗機構網(wǎng)絡安全防護措施和網(wǎng)絡安全保障專業(yè)人才隊伍情況。

　　網(wǎng)絡安全的本質在對抗，網(wǎng)絡安全攻防演練能夠全面、有效檢驗金融機構網(wǎng)絡安全工作的整體情況，更貼合金融機構面臨的真實網(wǎng)絡威脅。與其他形式相比，網(wǎng)絡安全攻防演練特點也更加明顯，如表1所示。

　　表 1? 金融行業(yè)網(wǎng)絡安全檢驗方式對比

　　金融行業(yè)網(wǎng)絡安全攻防演練的價值

　　網(wǎng)絡攻防演練，一般采用國內外公認的模擬黑客攻擊的方式為主,對機構的網(wǎng)絡平臺和信息系統(tǒng)進行全方位滲透測試，以發(fā)現(xiàn)可導致數(shù)據(jù)泄露、資產(chǎn)受損、系統(tǒng)篡改等的漏洞為目標，幫助機構在維護網(wǎng)絡空間安全提早發(fā)現(xiàn)安全隱患，未雨綢繆。

　　將網(wǎng)絡攻防演練引入金融行業(yè)，特別對金融基礎設施應急管理具有非常強的現(xiàn)實意義和長遠價值。

　　1.以我為主，優(yōu)化應急聯(lián)動機制

　　金融行業(yè)呈現(xiàn)明顯的前臺、后臺模式運營，業(yè)務部門多居于前臺，IT部門多居于后臺，在應急管理中會有前后臺“兩張皮”，以及業(yè)務應急和IT應急融合困難的問題。開展網(wǎng)絡安全攻防演練相比一般單一應急預案演練，具有涵蓋演練科目更多的特點。網(wǎng)絡作為連接前后臺部門的主要媒介，網(wǎng)絡安全攻防演練范圍一般涵蓋前后臺多部門。

　　因此，金融行業(yè)在網(wǎng)絡安全攻防演練工作中，可以學習《國家網(wǎng)絡安全事件應急預案》，堅持“以我為主”的策略，從攻防角逐視角，編制適合自己機構的網(wǎng)絡安全應急機制，構建應急“中臺”形成聯(lián)動機制，形成統(tǒng)一的報告、處置流程，將網(wǎng)絡安全攻防演練。作為提升應急預案實戰(zhàn)成果轉化率的手段，形成“即插即用”應急聯(lián)動模塊，實現(xiàn)“召之即來來之能戰(zhàn)”的應急戰(zhàn)斗力。

　　2.引入對抗，豐富演練形式內容

　　金融行業(yè)與國內其他行業(yè)類似，以應急預案演練為主，圍繞業(yè)務風險、IT風險分別制定應急預案，并通過演練驗證預案有效性，存在與日常場景結合不緊密、形式單一的問題。網(wǎng)絡安全攻防演練采用紅藍對抗形式，針對行業(yè)需求紅方可以真實模擬演練場景，更加貼近實際情況。引入對抗，可以在桌面推演、線上線下、實戰(zhàn)演習等多種模式中，豐富演練形式，解決演練應急過程方對照手冊執(zhí)行，缺少實際應變環(huán)節(jié)的問題。

　　3.問題導向，完善應急預案體系

　　網(wǎng)絡安全攻防演練的主要目的之一是發(fā)現(xiàn)潛在的風險和漏洞，可能出現(xiàn)已有應急預案之外的演練場景，比無腳本、突襲式演練更能全面檢驗機構的安全保障能力。網(wǎng)絡安全攻防演練堅持問題導向，可以有效推進應急演練規(guī)則、演練工具、演練方法、應急預案和評價標準等的持續(xù)優(yōu)化，不斷完善應急預案體系。

　　4.實戰(zhàn)鍛煉，提升安全保障能力

　　金融行業(yè)堅持“防風險、強內控、重監(jiān)管”，內部控制體系較完整，在應急管理方面合規(guī)性風險較低，但對于應急管理有效性的評價、應急人員能力的培養(yǎng)缺乏有效手段。應急管理有效性體現(xiàn)在應急處置行為中，人員作為行為主體，其能力是決定性因素。人員能力主要由經(jīng)驗和技能兩方面組成，經(jīng)驗源于積累，技能來自理論和實踐，網(wǎng)絡安全攻防演練融合了多科目、多部門演練的實操內容，實戰(zhàn)性強，能夠有效提升機構保障金融安全的實戰(zhàn)能力。

　　網(wǎng)絡安全攻防演練引入金融行業(yè)，其自身特點在信息科技視角下對整體應急管理有“PDCA”循環(huán)改進價值(如圖1所示)。

　　圖1 網(wǎng)絡安全攻防演練工作的“PDCA”循環(huán)

　　金融行業(yè)網(wǎng)絡安全攻防演練的風險

　　將網(wǎng)絡安全攻防演練引入金融行業(yè)具有長遠價值，但由于金融行業(yè)的特殊性質和網(wǎng)絡安全攻防演練的特點，也要關注其風險。

　　1.控制對抗演練的過程風險

　　網(wǎng)絡安全攻防演練一般多方參加，具有對抗性，較一般演練具有人員多、情況復雜的特點。特別當紅方隊伍來自外部機構時，對抗過程的控制風險顯著增加?？紤]金融行業(yè)特殊性，演練前應對參演人員背景審查、攻防手段約束規(guī)范、對抗過程記錄、演練情況上報、緊急情況處置等做好過程管控。

　　2.嚴防對抗中的“黑天鵝”和“灰犀?！?/p>

　　網(wǎng)絡安全攻防演練依據(jù)攻防兩端較量的結果做出評價，但由于對抗具有不確定性，攻防演練在風險可控的基礎上，結果依然具有不確定性。較量結果的不確定性可能會產(chǎn)生“黑天鵝”和“灰犀?！笔录虼嗽诰W(wǎng)絡安全攻防演練準備階段，應特別針對發(fā)生“黑天鵝”和“灰犀牛”事件開展風險評估，明確應急處置流程和手段，作為演練應急管理的一部分。

　　3.守住不發(fā)生業(yè)務連續(xù)性風險的底線

　　網(wǎng)絡安全攻防演練的目的是通過攻防兩端的較量和對基礎設施滲透對金融機構的網(wǎng)絡安全防護能力和保障隊伍進行全面檢測，提升金融機構網(wǎng)絡安全保障能力。但由于攻防與滲透可能以業(yè)務系統(tǒng)為目標，所以演練必須不能發(fā)生業(yè)務連續(xù)性風險。因此，網(wǎng)絡安全攻防演練的組織實施必須精細化，堅持“要發(fā)現(xiàn)風險，不發(fā)生風險”的原則。

　　聲明：本文來自金融電子化，版權歸作者所有。文章內容僅代表作者獨立觀點，不代表本站(網(wǎng)絡安全等級保護資訊網(wǎng))立場，轉載目的在于傳遞更多信息。如有侵權，請聯(lián)系刪除。