[00121174]中国银行数据中心信息安全威胁主动防御体系设计和实践

①课题来源与背景： 为了应对日趋严峻的的信息安全形势,抵御网络攻击,保卫信息资产和金融服务,提升信息安全技术领域的自主可控水平。根据业务发展要求,中国银行数据中心依托ISO27001信息安全标准和科技风险管理框架,提出了“建设以纵深防御为基础,主动防御为目标的一体化信息安全保障技术防线”的总目标。 ②技术原理及性能指标： 本文广泛借鉴国内外信息安全技术和理论,结合中国银行信息安全保障技术实践,以银行数据中心信息系统运维的职能为出发点,从网络攻防的视角,对美国ISS公司P2DR安全模型进行解读,在其“时间就是安全”的核心思想基础上,构建了适应银行数据中心安全保障要求的主动防御体系。在体系的构建过程中充分体现了前瞻加固、整体联动、快速精准的主动防御思想。跳出传统离散、被动防御的模式,根据网络攻击链条的特点,研究不同攻击环节的监测技术,建立了一体化的安全威胁监测响应机制;根据信息系统生命周期的安全保障要求,以信息系统准入为起点,围绕数据中心信息系统运维,建立了脆弱性检测和修复加固的机制;改变封闭的安全保障思维,创建了互联网安全情报收集、分析、验证机制;并在三项安全机制的基础上建立了标准的应急响应流程规范及各类安全工具的技术支撑平台;该成果结合中国银行信息安全保障实践,对防御体系的各个环节进行定义、规范、管理和控制,实现具有金融行业数据中心运维特色的主动防御体系。 ③技术的创造性与先进性： 该成果充分借鉴了业界先进的管理理论和最佳实践,结合中国银行数据中心信息系统生产运维的特点,大胆创新,将P2DR动态安全模型引入金融信息安全防御领域,通过多维度、全流程的分析,建立了信息安全威胁主动防御体系并取得了良好的成效,此成果在金融行业和安全领域处于领先地位。 ④技术的成熟程度,适用范围和安全性： 该成果从多维度建立适合数据中心信息系统生产运维特点的信息安全威胁主动防御体系,展现了安全防御工作方法、工作内容及过程,与具体的安全项目组成与安全防御对象无关,不仅仅局限于银行业信息安全威胁防御项目,而是通用于所有安全威胁防御工程管理工作,具有在同业中推广的价值。 ⑤应用情况及存在的问题： 中国银行数据中心信息安全威胁主动防御体系的建设过程,探索出了一条传统金融行业IT部门在保护现有信息安全投资的基础上,如何充分利用传统技术, 通过转变安全防御思想、整合技术平台、建立管理流程和技术标准,从防护、检测、响应三个方面入手,实现从离散的、独立的防御体系,向前瞻加固、整体联动、快速精准的主动防御体系转变的建设方法。其主动防御体系的经验与实践对业界具有很好借鉴性,具备一定的普适性,可用于指导业界现代安全防御体系的专业化实施。 ⑥历年获奖情况： 无 ⑦成果简介 中国银行信息安全威胁主动防御体系课题研究和实践了适合中国银行数据中心的动态信息安全防御体系。其主要内容有： （1）三项安全机制为：一体化信息安全威胁监测响应机制（内容包括安全威胁级别定义、安全威胁响应流程、安全威胁应急预案和演练、安全威胁事件一体化管理系统、以及全行有害程序运维管理子系统）;全行信息系统脆弱性安全评测机制（内容包括安全漏洞分级定义,信息系统安全基线,定期漏洞扫描与配置核查管理,内、外网渗透测试管理,互联网应用系统上线前安全评测管理,漏洞修复、加固和验证流程,全行漏洞扫描和配置核查技术工具平台,全行漏洞管理系统）;互联网信息安全威胁情报收集机制（内容包括互联网公开情报源、情报分析验证流程、情报发布流程）。三项安全机制通过数据接口、管理流程互为输入输出,形成整体联动安全防御体系。 （2）建立了信息安全威胁主动防御实施流程和相应的各类规范制度 （3）整合设计并建立了信息安全威胁主动防御一体化、流程化和自动化工具平台 以上内容共同组成了中国银行数据中心信息安全威胁主动防御体系。该研究成果不但给出了信息安全威胁主动防御的组成模块,而且提出了具体实践过程和流程方法,是一套完整的、多维度展现的模型体系,具有很强的实践指导性。