◆张 爽 裴冬冬 杨维汉

(恒丰银行科技服务管理部信息安全中心 北京 100033 )

商业银行新一代终端安全防护体系3.0研究与实践

◆张 爽 裴冬冬 杨维汉

(恒丰银行科技服务管理部信息安全中心 北京 100033 )

讲述了商业银行终端安全防护体系演进史，针对新商业生态下传统弱管控防护体系和强管控防护体系存在的不足，指出了“轻管控、重检测、快响应”防护体系是未来转型方向。根据商业银行实际情况，结合外部监管要求，围绕着云端集中信息治理和终端侧可控渠道防护，提出了商业银行新一代终端安全防护体系3．0，从终端整合一体化、终端云化、文档云化、全渠道协同防护、智能大数据分析等方面重新定义终端安全防护体系，提升商业银行终端安全防护水平。

泛终端；终端安全；防护体系3．0；轻管控；重检测；快响应；整合一体化；终端云化

0 前言

在新的商业生态下，开发外包、项目外包、上游供应商、下游客户等广泛参与到企业的日常运营工作中来，使得企业的边界变得扩大模糊。在“互联网+”时代下，BYOD设备和移动终端接入内网办公需求越来越强烈，然而安全风险也随之而来。传统的基于分散终端和分散信息的防护方法，已经无法满足商业银行对终端和信息的集中管理、便利共享、安全可控等需求。同时，近些年来，信息安全事件时常发生，给金融机构造成了严重的经济损失和声誉风险。例如，2011年4月，韩国农协银行计算机网络出现故障，有人通过该行外包团队一雇员的计算机对银行核心系统的数百台台服务器下达了rm.dd命令，造成全国上千个分行的服务中断，客户无法提款、转账、使用信用卡和取得贷款。2014年1月，韩国发生金融行业最大规模信用卡个人信息泄密事件，涉及约2000万用户，共1亿多条客户信息被泄露。2017年5月，全球爆发WannaCry（永恒之蓝）病毒，利用Windows漏洞造成至少有150个国家受到网络攻击，已经影响到金融，能源，医疗，教育等行业。越来越多的信息安全事件表明，内网已经成为一种主要的信息安全威胁渠道，围绕内网终端的安全防护越来越重要。

终端安全防护体系经历了三个阶段，如图1所示。

图1 终端安全防护体系演进史

第一个阶段是弱防护体系 1.0。该阶段主要是实施简单的病毒木马查杀、操作系统补丁安装、外设禁用、MAC地址绑定等安全控制策略，对终端计算机进行简单防护，未形成完整的防护体系，防护能力薄弱，很容易被内外部人员攻击利用，存在严重的安全问题。

第二个阶段是强防护体系 2.0。该阶段形成了完整的防护体系，包括AD域控、病毒查杀、补丁安装、外设控制、涉密扫描、文档加密、邮件泄露渠道控制、网络泄露渠道控制、USB泄露渠道控制、网络准入控制、上网黑白名单等，每个风险点都进行强管控。该体系需要在终端上安装多款安全软件，兼容问题突出，性能消耗大，影响了员工工作效率，后台分级部署多款安全系统，分行科技人员压力大，特别是中小银行，分行科技力量薄弱情况下。

第三个阶段是轻管控体系 3.0。该阶段以云化管理为主，主要包括，终端整合一体化、终端云化、文档云化、全渠道协同防护、智能大数据分析等。为了解决传统防护体系存在的问题，满足商业银行信息科技风险管理要求，结合商业银行科技发展实际和信息安全管理现状，将对商业银行新一代终端安全防护体系3.0进行研究和实践。

1 术语定义

（1）泛终端：包括办公笔记本、办公台式机、平板终端、移动终端、生产运维终端、柜面终端、金融交易终端、客服终端、自助设备、BYOD设备等。

（2）终端云化：通过桌面云技术将终端桌面进行软件定义，聚合放到总行集中部署和统一管理，通过泛终端进行访问，提供快速桌面发布能力和信息泄露防护能力。

（3）文档云化：通过安全云库技术将终端上和应用系统下载的文档集中到总行存储，实现统一管理、便利分享、高效检索、离线访问等，通过矩阵权限控制、权限申请审批、屏幕水印、不落地存储等实现安全可控。

2 防护体系3.0设计

新一代终端安全防护体系3.0在满足安全合规前提下，主要遵循如下三点原则：

一是“集中为主、分散为辅”原则：在满足商业银行信息科技风险管理要求前提下，依据商业实际情况，围绕着云端集中信息治理和终端侧可控渠道防护，建立一套一体化的终端及信息安全防护体系，协调整合各种技术的管理措施，实现各项信息安全管理目标。

二是“轻管控、重检测、快响应”原则：从弱管控和强管控转换为轻管控，满足安全管理目标的同时，兼顾使用的方便性、灵活性和工作效率。通过事前预先信息保护、事中实时行为检测和准实时智能大数据分析、事后安全审计，发现安全风险，快速响应处理。

三是“以人为本、面向服务”原则：在满足安全要求前提下，坚持以人为本，从管控角度转向面向服务，让员工参与到终端安全建设工作中来，提升终端可用性，从提升用户体验，提高工作效率，解放分行科技压力，节省成本和创造效益。

终端安全防护体系3.0从“基本桌面安全、终端整合式集中云化管理、集中的文档安全治理、全渠道协同信息泄露防护、智能大数据模型分析引擎”防护框架，在满足安全合规前提下，开展创新优化工作。防护框架如图2所示。

图2 终端安全防护体系3.0框架

2.1 基本桌面安全

基本桌面安全包括网络准入控制、补丁推送、软件推送、软件商店、软件管理、进程管理、外设管理、病毒防护、账号管理、病毒查杀、涉密扫描、文档加密、VPN访问、外网访问等安全控制策略。目前，国内主流商业银行的终端安全防护体系都实施了这些安全控制策略，不再详细讨论。

2.2 终端整合式集中云化管理

终端分散管理难度大，兼容性问题突出，应用软件发布效率低，不能方便地支持泛终端安全接入，不能很好地保护终端安全，科技运维压力大。将从下面几个方面展开优化：

（1）终端安全软件整合一体化

在强管控防护体系下，终端计算机上安装了多款安全软件，如网络准入控制、补丁分发、外设控制、进程控制、涉密扫描等，安全软件之间冲突问题严重，终端性能开销大，影响员工的工作效率。通过将这些安全软件功能整合，形成一款一体化的安全软件，解决不同软件兼容性问题，同时，通过病毒云查杀机制，将病毒查杀过程提交到云端执行，降低终端性能消耗。提升用户体验，提供工作效率。

（2）终端安全系统集中部署

传统终端安全系统采用二级部署方式，总行部署总控节点服务器，一级分行部署分控节点服务器，日常系统运维工作和版本升级工作对分行科技压力大。通过将全行终端安全软件集中连接到总行节点服务器，分行不再需要单独部署分控节点服务器，解放分行科技生产力。通过带宽扩容、并发控制、带宽限速、P2P等优化技术，解决服务器一级集中部署后网络带宽增大问题。

（3）超融合桌面云技术

通过总行部署的超融合桌面云技术实现桌面快速交付，保护开发测试环境边界安全，解决外包人员和BOYD设备安全接入问题，解决应用扁平化后分行远程运维问题，解决分行应用版本发布问题。采用控制、计算、存储、网络超融合技术实现了桌面云线性扩容需求，使用桌面云屏幕水印和录像技术实现追踪可审计。桌面云应用场景如图3所示。

图3 桌面云应用场景

3 接入网融合技术

传统防护体系下，办公接入网、研发接入网、测试接入网需要部署多根网线，用户体验差，且布线成本高。防护体系3.0下，终端计算机实行802.1x网络准入控制，准入前处于访客接入网，只能访问桌面云，准入后处于办公接入网，可以访问桌面云和办公系统。通过桌面云访问研发测试环境，只需一根网线满足办公和研发测试需求，不需要额外部署研发测试接入网，不仅节省了部署网线成本，也提高了用户使用便利性。

4 移动终端安全接入技术

基于MAM、MCM和MDM整合技术，解决移动终端接入内网办公需求，实现信息加密、不落地存储、远程擦除等安全控制。

4.1 集中的文档安全治理

文档分散管理难度大，泄露风险越来越突出，采用集中的文档安全治理来解决这些问题。建立安全云库平台，员工将终端上的电子文档上传至安全云库中，应用系统调用安全云库 API接口，将应用系统下载的电子文档自动保存至安全云库中，实现对文档的集中管理。按照“知所必须、最小授权”原则，通过矩阵权限管理、权限申请审批流程、下载控制、屏幕水印等措施来确保安全可控。安全云库提供便利的文档分享功能和高效的文档检索功能。同时，安全云库提供离线安全空间，实现文档集中后离线访问需求。安全云库提升了全行文档集中治理能力。具体流程架构如图4所示。

图4 集中的文档安全治理

4.2 全渠道协同信息泄露防护

对电子文档分类定级。开放信息入云库渠道，通过涉密扫描将涉密文档上传到安全云库中。在安全云库中对文档进行权限控制，包括查看、编辑、完全控制、打印、复制、截屏、屏幕水印等权限，提供文档权限申请和审批流程。严控信息出云库渠道，只有具有完全控制权限的人才能将文档从安全云库中下载到本地，无该权限则需要走申请和审批流程。实现移动终端信息加密不落地存储。限制桌面云和邮件泄露边界控制，对涉密信息进行检测，若发现涉密信息，则进行拦截审批。最终实现各类泄露渠道统一，实现信息集中治理和终端侧可控渠道防护。如图5所示。

图5 全渠道协同信息泄露防护

4.3 智能大数据模型分析引擎

将各类日志数据集中至 SOC平台，采用大数据分析技术和深度强化学习技术，从多维度分析，建立终端安全态势、人员操作行为、文档流转路径等分析模型，实现追溯审计，实时展现终端安全态势，为终端持续优化提供决策支持。如图6所示。

图6 智能大数据分析

5 防护体系3.0应用

商业银行终端安全防护体系3.0已经在恒丰银行全行范围推广应用。终端安全系统服务器集中部署在总行，终端安全管理软件、云查杀软件和安全云库各推广了 10000+台终端计算机，移动终端管理软件推广了3000+移动终端设备，为研发测试、生产运维、分行发布等场景提供了3000+个云桌面，提供10+个智能大数据分析模型，整体运行稳定。商业银行终端安全防护体系3.0有效保护了恒丰银行内网环境安全，自投入生产应用以来，终端安全综合指数提升了70%以上，全行科技维护效率提升了50%以上，为恒丰银行一次性节省成本 1600+万元，每年周期性收益1000+万元，收益效果明显。

图7 终端安全防护体系3.0应用

6 总结与优化

针对传统终端安全防护体系的不足，研究了商业银行新一代终端安全防护体系3.0。新一代终端安全防护体系3.0采用终端一体化、终端云化、信息云化、全渠道协同信息泄露防护、智能大数据模型分析等技术，解决新商业生态下和“互联网+”时代下，边界保护问题和泛终端安全接入问题，实现终端和信息集中治理能力，提升终端安全保护水平，实现了各项信息安全管理目标的同时，兼顾使用的方便性、灵活性和工作效率，降低了终端安全防护TCO成本。新一代终端安全防护体系3.0在恒丰银行推广应用后，效果明显，终端安全综合指数提升了70%以上，全行科技维护效率提升了50%以上，为恒丰银行一次性节省成本1600+万元，每年周期性收益 1000+万元。新一代终端安全防护体系 3.0可以推广至其他商业银行。

[1]张晓丹．银行文档信息全生命周期安全管理方法．金融电子化，2014．

[2]Gad J Selig著．中治研（北京）国际信息技术研究院译．实施IT治理（方法论、模型、全球最佳实践）．中国经济出版社，2012．

[3]顾炯炯．云计算架构技术与实践（第2版）．清华大学出版社，2010．

[4]卢海勤．终端安全防护技术及体系架构部署模式．中国金融电脑，2012．