当前位置：首页 > news >正文

⸢ 捌-Ⅱ⸥⤳ 可信纵深防御应用实践：软件供应链、数据滥用、安全加固

news 2025/10/22 8:10:09

👍点「赞」📌收「藏」👀关「注」💬评「论」

在金融科技深度融合的背景下，信息安全已从单纯的技术攻防扩展至架构、合规、流程与创新的系统工程。作为一名从业十多年的老兵，将系统阐述数字银行安全体系的建设路径与方法论，旨在提出一套可落地、系统化、前瞻性的新一代安全架构。

序号	主题	内容简述
1	安全架构概述	全局安全架构设计，描述基础框架。
2	默认安全	标准化安全策略，针对已知风险的标准化防控（如基线配置、补丁管理）。
👉3	可信纵深防御	多层防御体系，应对未知威胁与高级攻击（如APT攻击、零日漏洞）。
4	威胁感知与响应	实时监测、分析威胁，快速处置安全事件，优化第二、三部分策略。
5	实战检验	通过红蓝对抗演练验证防御体系有效性，提升安全水位。
6	安全数智化	运用数据化、自动化、智能化（如AI）提升安全运营（各部分）效率。

8 可信纵深防御应用实践

8.3 软件供应链风险防御

8.3.1 防御需求

8.3.2 解决方案

8.3.3 防御效果

1.攻击链路分析

2.防护方案说明

8.4 业务数据滥用风险防御

8.4.1 防御需求

8.4.2 解决方案

8.4.3 防御效果

1. 防御的攻击链路分析

2. 防护方案说明

8.5 高效安全加固实践

8.5.1 防御需求

8.5.2 解决方案

8.5.3 防御效果

👍点「赞」➛📌收「藏」➛👀关「注」➛💬评「论」

8 可信纵深防御应用实践

本章基于可信纵深防御理念，针对：0Day漏洞、钓鱼攻击、软件供应链攻击、业务数据滥用、高效安全加固等常见威胁，重点介绍了防御体系的应用实践。

本文主要介绍：软件供应链攻击、业务数据滥用、高效安全加固的防御体系的应用实践。

8.3 软件供应链风险防御

8.3.1 防御需求

绝大多数企业都会依赖第三方软件组件，而攻击者正越来越多地利用这些组件的漏洞或预先植入的后门发起攻击。这类威胁隐蔽性强、波及面广，传统防御手段难以应对。因此，安全防御体系必须具备有效应对软件供应链攻击的能力。

8.3.2 解决方案

为应对软件供应链各环节的威胁，需建立覆盖 “引入、构建、运行” 全生命周期的纵深防御体系，其核心防御框架与流程如下图所示：

软件供应链防御措施详解表:

防御场景	核心方案	具体措施与能力
三方包投毒防御	建立内部可信软件仓库	• 安全扫描：从官方源同步时，经过动态、静态、特征风险扫描。 • 访问控制：在办公网、测试网、生产网限制只能访问内部仓库，默认拦截对外部仓库的访问。
外采应用安全防御	建立实时感知与默认准入机制	• 实时感知：通过静态扫描、资源调度告警、域名申请等方式卡点。 • 默认准入：新增外采应用默认接入流量可信、应用可信、容器可信等防御层，对未知请求、未知行为、未知命令等进行拦截。
Java三方组件安全准入	建立编译时安全阻断机制	• 编写Maven插件，在应用编译时进行安全扫描。 • 实时阻断：根据情报，对引用恶意jar包的应用进行阻断，防止发布。

8.3.3 防御效果

建立后的可信纵深防御体系能够确保：

上线前：对发布至生产环境的软件资源进行严格的风险扫描。
上线后：对业务系统的进程、服务、网络资源进行分析，实现线上运行资源最小化。
全链路：有效阻断软件供应链中植入的后门程序的运行和网络通信。

以下以恶意Jar包攻击防护为例，来说明防御效果。

1.攻击链路分析

引入恶意组件：外包开发人员在互联网上找到并引入了一个恶意的 print.jar 包。
后门执行：系统发布后，该后门Jar包在应用中执行。
外联控守：由于初始外联管控不严，后门程序成功回连攻击者的远程服务器，导致应用服务器被完全控制。

2.防护方案说明

防护体系在应用生命周期的每个阶段都设置了关键卡点，具体拦截过程如下：

第一层：构建阶段 - 容器镜像可信
- 防御节点：在应用镜像的构建环节介入。
- 核心能力：通过容器镜像可信能力，对构建过程中引入的所有第二、三方程序包进行分析、扫描和预警。
- 管控措施：对识别出的非可信来源或存在已知漏洞的程序包进行拦截或告警，导致构建失败，使其无法发布至生产环境。
第二层：运行阶段 - 应用运行时可信
- 防御节点：在应用发布至生产环境后运行时的内部行为。
- 核心能力：通过应用运行时可信能力，监控应用运行的函数、网络行为和文件行为。
- 管控措施：基于应用行为的白名单模型，对非预期的内部操作进行管控，确保应用运行状态是可信的。
第三层：环境阶段 - 容器应用可信
- 防御节点：在应用所在的容器环境层面。
- 核心能力：通过容器应用可信能力，对容器内运行的进程进行监控和管控。
- 管控措施：确保只有可信的进程可以被加载和执行，防止恶意后门进程在运行态被激活。
第四层：通信阶段 - 网络外联可信
- 防御节点：在应用对外发起网络请求时。
- 核心能力：在网络层面，对应用的所有外联行为进行严格的可信管控。
- 管控措施：即使恶意程序被激活，也阻断其回连攻击者服务器的通信链路，使其无法被远程控制。

通过构建、运行、环境、通信四个阶段的持续验证和管控，实现了软件供应链的全链路安全，确保最终加载和使用的软件是可信的，从而有效规避实质性的安全风险。

8.4 业务数据滥用风险防御

8.4.1 防御需求

随着《中华人民共和国个人信息保护法》的颁布，国家对个人信息保护的要求日趋严格。数字银行面临的主要风险：

外部攻击：攻击者通过身份冒用获取员工账号，进而获得其名下所有应用系统的数据访问权限。
内部威胁：内部员工可能进行未授权、恶意或超范围的客户信息查询。

防御体系必须能够有效应对上述内外夹击的数据滥用风险，防止客户信息泄露。

8.4.2 解决方案

数据使用权限可信防护产品：是一套动态查询鉴权服务，核心目标是在员工查询客户信息的场景下，基于ABAC鉴权模型实现精细化的实时访问控制。

工作原理：是作为一个集中化的决策中心，动态地对每一次数据访问请求进行实时风险评估与授权，具体流程如下图所示：

为了更清晰地展示其防护能力，解决方案的核心功能与机制如下表所示：

核心机制	功能描述	防护价值
ABAC动态鉴权	基于属性的访问控制模型，综合考虑员工角色、客户关系、行为上下文等多种属性进行精细授权。	实现权限与场景绑定，超越简单的角色权限分配，更灵活精准。
事中风控策略	集成员工行为画像与风控策略，对查询行为进行实时分析，及时发现并阻断异常操作。	从事中环节防御，能够识别身份冒用和异常查询行为。
集中化决策中心	聚合全渠道数据访问请求，提供统一的鉴权服务。	确保所有查询客户信息的入口均受统一策略管控，降低合规风险。
黑白名单与报备机制	提供员工报备和紧急白名单，同时可将风险账号加入黑名单。	兼顾业务连续性与紧急强管控需求，实现安全与效率的平衡。

8.4.3 防御效果

1. 防御的攻击链路分析

通过部署该产品，能够有效应对以下两种数据滥用威胁场景：

外部攻击者身份冒用
- 攻击路径：攻击者成功窃取员工账号后，获得了该账号对所有授权应用系统的访问权限。
- 潜在危害：攻击者可以借此路径查询、窃取敏感的客户个人信息。
内部员工恶意数据窃取
- 攻击路径：内部员工滥用自身的账号和功能访问权限，为个人目的进行超范围的客户信息查询。
- 潜在危害：导致客户隐私数据泄露，构成内部违规与法律风险。

2. 防护方案说明

针对上述攻击链路，防护产品通过以下机制进行有效拦截：

针对外部攻击的防护机制
- 行为异常识别：策略引擎能识别出攻击者与真实员工在操作行为上的差异，并判定为异常。
- 动态黑名单拦截：一旦确认为异常访问，系统会将该人员权限及相关操作自动写入防护黑名单，后续查询将触发系统拦截功能并被有效阻断。
针对内部滥用的防护机制
- 黑名单校验：在员工查询数据时，系统会首先校验该员工账号是否已被列入黑名单。
- 鉴权与范围验证：系统会确认该操作是否提供了有效的鉴权信息，并严格判断其请求是否在授权的服务范围之内。
- 强制拦截：对于超服务范围访问其他用户数据的行为，系统会执行强制拦截。

8.5 高效安全加固实践

8.5.1 防御需求

为支持数字银行业务的高速迭代，其可信纵深防御体系必须具备高效加固的特性，确保安全建设不会拖慢业务发展的步伐。

8.5.2 解决方案

为实现安全与业务的解耦与融合，解决方案的核心是采用安全平行切面技术来构建统一的可信策略控制点。其总体架构如下图所示，它通过非侵入的方式，在各个层级注入安全能力。

该解决方案遵循以下关键设计原则，其具体优势如下表所示：

设计原则	实现方式与优势
融合与解耦	安全能力深入业务逻辑，但不嵌入业务代码，实现“你中有我，我独立发展”。
默认安全	业务上线即自带默认安全能力，实现跨维度的检测、响应与防护。
独立演进	安全能力可编程、可扩展，能够与业务系统各自独立地迭代升级。
架构统一	符合未来技术演进方向，为构建统一的安全防御体系奠定基础。