⸢ 柒 ⸥ ⤳ 可信纵深防御建设方案:a.基线 基础设施可信
👍点「赞」📌收「藏」👀关「注」💬评「论」
在金融科技深度融合的背景下,信息安全已从单纯的技术攻防扩展至架构、合规、流程与创新的系统工程。作为一名从业十多年的老兵,将系统阐述数字银行安全体系的建设路径与方法论,旨在提出一套可落地、系统化、前瞻性的新一代安全架构。
| 序号 | 主题 | 内容简述 |
|---|---|---|
| 1 | 安全架构概述 | 全局安全架构设计,描述基础框架。 |
| 2 | 默认安全 | 标准化安全策略,针对已知风险的标准化防控(如基线配置、补丁管理)。 |
| 👉3 | 可信纵深防御 | 多层防御体系,应对未知威胁与高级攻击(如APT攻击、零日漏洞)。 |
| 4 | 威胁感知与响应 | 实时监测、分析威胁,快速处置安全事件,优化第二、三部分策略。 |
| 5 | 实战检验 | 通过红蓝对抗演练验证防御体系有效性,提升安全水位。 |
| 6 | 安全数智化 | 运用数据化、自动化、智能化(如AI)提升安全运营(各部分)效率。 |
目录
7 可信纵深防御建设方案
7.1 建设原则
7.1.1 安全可信 - 构建主动免疫能力
7.1.2 多层覆盖 - 构筑纵深防御矩阵
7.1.3 自身安全保障 - 打铁还需自身硬
7.1.4 稳定性保障 - 确保业务永续
7.2 建设基线
7.3 关键能力建设
7.3.1 基础设施可信
1. 简介:构建信任的硬件基石
2. 技术方案:三大核心功能模块
3. 策略与模式:保障灵活与有效
👍点「赞」➛📌收「藏」➛👀关「注」➛💬评「论」
7 可信纵深防御建设方案
构建数字银行可信纵深防御体系的关键步骤如下图,会一一详细说明。
7.1 建设原则
为应对数字银行信息系统面临的复杂威胁,构建可信纵深防御体系需遵循以下四大核心原则:安全可信、多层覆盖、自身安全保障、稳定性保障。
7.1.1 安全可信 - 构建主动免疫能力
该原则核心在于变被动防御为主动信任,有效应对高级未知威胁。
| 核心要求 | 具体实施路径 |
|---|---|
| 建立可信策略控制点 | 在业务应用访问的关键路径上设立控制点,并基于硬件可信芯片构建信任链,确保控制点自身安全。 |
| 刻画合法行为基线 | 分析系统正常的网络流量与日志,精准刻画预期内(无风险) 的资源加载与访问行为特征。 |
| 执行动态可信管控 | 基于上述基线,通过可信控制点下发策略,对偏离基线的行为进行管控,应对已知与未知威胁。 |
核心逻辑链:硬件信任根 → 可信策略控制点 → 合法行为基线 → 动态可信管控
7.1.2 多层覆盖 - 构筑纵深防御矩阵
为避免单点失效,需在威胁可能路径上的各个层面部署防护,形成纵深防御。
-
要求1:跨层覆盖
根据信息资产面临的威胁路径,在移动端及终端层、网络层、应用层、基础设施层等不同层面部署可信能力。 -
要求2:同层多重覆盖
对于威胁路径短的关键系统,在同一层内设计多重防御。以网络层为例,可在不同位置建立控制点,实现多维度可信验证:
| 防御层 | 控制点示例 | 可信管控维度 |
|---|---|---|
| 边界接入层 | 网络入口网关 | 网络流量可信 |
| 业务访问层 | 应用网关 | 访问者身份可信、权限可信 |
| 内部服务层 | 应用容器 Sidecar | 访问者行为可信、服务间通信可信 |
| 数据出口层 | 网络出口网关 | 数据外发行为可信 |
7.1.3 自身安全保障 - 打铁还需自身硬
防御体系自身的安全是生命线,否则将引入新的攻击面。
-
🔐 产品能力安全:利用硬件可信芯片的可信存储与密码技术,构建完整信任链,确保防御产品固件和代码的安全。
-
📜 策略安全:运用密码技术对管控策略及内容进行加密保护,确保其机密性与完整性。
-
🌐 传输安全:使用数字证书等技术,保障配置下发和数据传输的安全。
-
✅ 持续验证:在靶场环境中持续模拟攻击,通过分析拦截日志验证防御能力的持续有效性。
7.1.4 稳定性保障 - 确保业务永续
防御体系的稳定性直接决定其能否投入实战,必须避免因防护策略导致业务中断。
-
目标:规避因产品能力或策略配置不当引发的业务不可用风险。
-
措施:将稳定性作为设计和验收的核心指标,通过严格的测试、灰度发布和回滚机制,确保可信防御能力在发挥安全价值的同时,保障业务的连续性与高性能。
7.2 建设基线
-
核心思路:基于不同层面,定义清晰的可信场景行为基线(即“正常”标准)和行为内容。
-
实施路径:每个防御层面,针对其特定安全要求,建设相应的可信防御产品能力和可信策略。
| 防御层面 | 可信场景目标 | 关键防御能力举例 |
|---|---|---|
| 基础设施可信 | 确保物理服务器硬件、固件、内核等基础组件的启动与运行状态符合预期、未被篡改。 | 硬件信任根、信任链传递、二进制文件验证 |
| 应用可信 | 确保应用从开发到运行的整个生命周期(如容器镜像、运行时)的完整性与安全性。 | 容器镜像可信、应用运行时可信 |
| 网络可信 | 确保网络访问者的身份、权限及网络交互行为(尤其是出向访问)是合法且可控的。 | 网络身份行为可信、网络出向交互可信 |
| 移动端及终端可信 | 确保移动端(如小程序)和员工终端上加载的程序和发起的网络活动是可信的。 | 移动端小程序加载/执行可信、终端网络进程可信 |
具体基线要求:
| 分层 | 子分类 | 可信定义 | 防护场景 |
| 基础设施可信 | 硬件可信 | 针对硬件加载时的硬件类型、版本、同件内容、配置等进行可信验证确保系统运行前依赖的硬件是符合预期的 | 目的是抵御硬件供应链风险:若硬件在生产和采购过程中 被替换或植入后门,需要在启动时检测并阻止硬件的使用 |
| OS启动时可信 | 针对OS引导、启动的每个环节进行可信验证和管控,确保0S启动的过程是符会预期的 | 目的是抵御来自攻击者入侵后植入的可驻留的0S级别的后门和Rootkit的风险,以及攻击者控制OS供应链并植入后门 | |
| OS运行时可信 | 针对OS运行状态持续进行可信验证和管控,确保运行中0S是不被篡改的 | 目的是抵御OS级别的Rootkit | |
| 虚拟机可信 | 针对虚拟机Hypervisor持续进行可信验证和管控,确保虚拟化机制状态是符合预期的;同时也需要验证和管控通过虚拟机启动的OS,确保它是符合预期的,实现虚拟机的安全可信 | 目的是抵御在虚拟机场景中,攻击者通过在虚拟机Hypervisor层或虚拟机OS中植入恶意代码的攻击行为 | |
| 应用可信 | 容器可信 | 针对容器驱动持续进行可信验证和管控,确保容器底层机制的运行状态是符合预期的;同时进一步验证,确保容器镜像符合预期,禁止加载不安全的镜像 | 目的是抵御在容器化场景中,容器像存在软件供应链的攻击威助 |
| 应用启动时可信 | 针对主机、容器中启动的应用程序进行可信验证和管控,确保启动的应用代码和配置是符会预期的 | 目的是抵御攻击者入侵主机、容能后,尝试执行自己的木马程序以进一步攻击或者留后门的攻击行为 | |
| 应用运行时可信 | 针对主机、容器当中运行的应用进程持续进行可信验证和管控,以判断程序运行空间的代码是否被篡改、程序行为是否符合预期 | 目的是抵御攻击者入侵主机,容路中的某个应用,在应用进程代码执行空同中播入自己的恶意代码 | |
| 网络可信 | 访问者身份可信 | 访间者被定义为业务场景当中请求的发起方,此处包括人员、终端、应用、Web、RPC、DB服务等,针对网络服务的访问者进行授权,并持续对授予的身份进行可信验证和管控,以判断访问者身份是否符合预期 | 目的是抵御攻击者通过0Day漏洞或APT攻击获得一定权限,进一步攻击办公网、生产网内开放的服务,利用其中的漏洞入侵并窃取数据 |
| 访问者状态可信 | 针对访问者所处的运行环境和运行状态持续进行可信验证和管控,以确保访问者的运行环境、运行状本和身份是可信的,而非攻击者伪造 | 目的是抵御攻击者利用已经入侵的应用服务器或利用其身份发起攻击来扩大攻击面的风险 | |
| 信息传输可信 | 针对访问者信息传输的链路路进行加密,建立安全的信息传输通道,以确保访问者的身份及传输的信息是可信的,没有被攻击者篡改 | 目的是抵御攻击者利用已经入侵的应用服务器劫持传输链路中的敏感信息来获取敏感数据或配置 | |
| 移动端及终端可信 | 终端进程可信 | 针对访问者使用的终端应用和进程行为建立白名单管控策略,以确保发起者的终端运行时的应用进程是可信的,非攻击者的恶意应用程序 | 目的是抵御攻击者利用已经入侵的终端运行恶意的病毒、木马软件 |
| 终端网络可信 | 针对访间者使用的终端网络行为建立白名单管控策略,以确保发起者的终端网络行为是可信的,非攻击者的恶意后门和恶意数据、文件的外发行为 | 目的是抵御攻击者利用已经入侵的终端建立持久化的后门或者进行敏感数据和文件的外发 | |
| 小程序加载可信 | 针对访问者使用的小程序应用在加载前进行签名验证,只有验签通过的小程序才会被App加载。同时会验证小程序启动参数,对于不满足预期的启动参数,不允许小程序加载 | 目的是抵御攻击者利用恶章小程序或利用小程序漏河获取非法权限进而导致用户敏感信息泄露 | |
| 小程序运行时可信 | 针对访问者使用的小程序运行过程中的运行模式、调用的JS API、运行的插件、使用的标签等进行运行时白名单校验,对于不满足预期的内容,不允许小程序加载 | 目的是抵御攻击者利用小程序运行时依赖的组件、接口漏洞获取非法权限进而导致用户敏感信息泄露 |
7.3 关键能力建设
关键能力建设包括:
- 基础设施可信
- 应用可信:容器镜像可信、容器应用可信、应用运行时可信
- 网络可信:网络身份行为可信、网络出向交互可信、数据使用权限可信
- 移动及终端可信:移动端小程序加载和执行可信、终端网络进程可信
- 信任链构建
7.3.1 基础设施可信
1. 简介:构建信任的硬件基石
基础设施可信是整个纵深防御体系的信任根基。它旨在消除对BIOS、内核等底层软硬件的“隐式信任”,通过硬件可信芯片作为信任根,构建一个可度量的、从下至上的信任链。
-
核心目标:
-
启动可信:确保物理节点启动过程中涉及的硬件、BIOS、内核等均是符合预期的、未被篡改的。
-
运行可信:对物理机上运行的二进制文件建立验证机制,确保其可信。
-
信任链传递:利用硬件可信芯片的可信存储和密码技术,将信任链条逐级传递至上层应用。
-
基础设施可信能力架构图
2. 技术方案:三大核心功能模块
通过在物理机上部署安全管控组件/模块,实现以下关键功能:
| 功能模块 | 核心职责 | 解决的关键问题 |
|---|---|---|
| 内核模块签名 | 修改内核源码,使其具备识别和处理证书超期等复杂场景的能力。 | 防止加载未经授权或已过期的内核模块,兼容开源生态的同时提升安全性。 |
| 证书白名单管理 | 对内核签名所使用的证书进行动态可信验证,而不仅依赖静态编译进内核的证书。 | 当签名证书的私钥泄露时,能有效阻止不安全签名程序的运行,控制风险。 |
| 运行时可信验证 | 在系统启动后,持续对运行的软件、进程等进行监控与验证。 | 将启动时的静态信任,扩展为运行时的动态信任,确保系统持续处于可信状态。 |
3. 策略与模式:保障灵活与有效
基础设施可信是基于硬件可信芯片实现的标准软件方案,在策略配置上需支持策略的:
-
观察者模式:仅记录违规行为,不拦截,用于策略验证和基线学习。
-
拦截模式:主动阻断不符合可信基线的操作(如内核加载、应用启动)。
-
白名单基线更新:允许安全地更新可信软件列表,适应业务变化。
参考资料:《数字银行安全体系构建》
👍点「赞」➛📌收「藏」➛👀关「注」➛💬评「论」
🔥您的支持,是我持续创作的最大动力!🔥
