2019中国金融科技产业峰会丨华胜信泰杜国旺:金融操作安全风险防控
2019(第二届)中国金融科技产业峰会于10月31日——11月1日在北京国际会议中心隆重召开。在11月1日下午召开的“金融业网络信息安全”分论坛上,华胜信泰信息产业发展有限公司CEO杜国旺先生进行了《金融操作安全风险防控》主题演讲。 我今天演讲题目是针对《金融操作安全风险防控》。金融操作安全风险防控这个问题有明确的定义,操作安全风险什么时候得到重视的?大概是2002年之后,操作安全风险成为了金融业以及所有数据中心、信息中心的一个重点关注的课题。 针对操作安全风险,最早法律法规是《萨班斯法案》,紧跟着中国一系列的政策出现了,尤其是等保二级以后,在等保二级里有更多关于操作安全风险的控制。 萨班斯法案要求所有的数据中心都进行日志收集和监控,等保2.0公布以后,在2.0里大约是50%以上的内容都要求到关于操作安全风险的要求,包括可信验证、身份鉴别、访问控制、安全运维等等,有很多的内容。 在金融领域,操作安全风险具体是怎样的一种表现?随着金融领域大量数据中心的涌现,以及到目前为止国产软硬件产品使用率的不断提升,国家已经大量在用国产软硬件产品,我们出现了更多操作风险的意识。 关于传统运维操作,在传统运维操作中,我们首先遇到各种各样的麻烦,可能维护一个数据中心若干的设备,就一套密码、一个权限,大家都用这个密码、这个帐户,但是到了最后,密码被谁改了?不知道!谁在这个机器上增加新帐户了?谁删除一个文件?谁改变了一个规则?我们经常不知道。尤其是现在金融以外泛金融的延伸,这种问题太突出了! 发现一个安全漏洞以后,证据从哪里找呢?其实我们说针对金融的运维、操作,如果我们能获取如下的几个环节,我们就不愁实现一个风险防控。首先,是谁干了这件事情,什么时间从什么地点登陆的,客户端的IP是哪一个,登陆到哪个目标主机了,在这个目标主机上做了哪些事情,这些事情的返回结果是什么,成功了还是失败了,有记录吗?可以回溯吗?可以回放吗?当我们明确了在线问题的时候,就很容易实现金融操作风险的防控。 上升到管理规范上,我们在金融的运维管理中要实现: 1、 事前防范。实现一个事前防范,要对已认证的用户、实名的用户、实名的认证进行管理,要对它进行强省份认证、强身份识别。这个强身份认证,刚才有专家已经讲了,说支持静态口令、动态口令、生物特征的认证,声纹、虹膜、指纹、人脸等等。某人操作权限提前的授权、审批。 2、 事中控制。在操作过程中,事中我们对他访问的每一个课题甚至执行每一个命令进行访问控制,他所执行的操作进行控制,比如在Unix系统下操作,它做一个命令,操作员做完以后回车不起作用,为什么?可能需要更高权限、更高级别的同事给他审批,实现双重认证。他执行哪些命令、能操作哪些设备,进行访问控制。 3、 事后审计。事后能够实现审计,对于每一个人每一个操作做了哪些工作,能够把它操作的过程回溯出来,可以预警出来哪些风险,最后形成统一的报表报告,知道做了哪有风险的操作。 接下来,介绍一下我们的统一安全平台业务模型∑USP是干什么的? 进行统一身份管理、统一身份认证、统一访问控制、审计过来。传统运维是访问目标服务器,所有数据都是直连的,风险很大。访问帐户一般是每台机器上root、DBA的用户,实现不了实名。我们西格玛USP是业界有名的堡垒机或者跳板级东西。首先,对堡垒机进行登陆访问,这个堡垒机登陆时用的实名、多因素身份认证,实现对后台所有访问资源的单点登陆,这些访问资源统一实现授权,几百台机器,我这个用户登陆以后能访问哪几台机器,它是有明确设定的。我访问每台机器时可以执行哪他命令、执行哪类操作,它也是有统一定义的。我做完工作可以把我的行为调出来进行回放,然后在1台机器上,我这个人做的所有工作可以形成统一的报表进行审计,这就是我们的功能模型。 它的应用架构,分为:访问主体、管理员、访问课题。访问主体是普通的运维人员,他可以使用各种各样的协议,Telnet、RDP、3270、5250等等,包括网络设备、Windows设备,也包括我们现在针对数据库服务也进行访问控制和审计。在这些金融案例中都提出来各种需求。 这是服务器监控,前台在操作服务器,后台可以实现监控,对用户对话实现监控,截到同一个屏幕上。前面窗口的对话从后面可以看到。这是行为审计回放,把访问列表列出来,我可以选择其中一个访问动作,把这一个访问动作拿出来,在这个访问动作中干了哪些事情,下面可以加速、可以拖拽,从某一个断点开始播放,这是我们针对Unix的、Windows的,都可以。 针对这个需求我们构建一款USP一体机,基础平台设备是华为服务器鲲鹏920,湖南麒麟。这是华为服务器的性能表现,我们为什么选择了华为的服务器?这是这款新应用使用的架构,我们现在采用微服务架构,所有组件可以拆分出来,甚至安全防护都可以拆分加进去的。 最后,简单介绍华胜信泰。 华胜信泰是华胜天成旗下一家全资子公司,公司的成立来自于一件事情,IBM总裁和李克强总理的一次会晤,在这次会晤上中国给他提出来IBM的技术有多开放,我中国给你的市场就有多开放,我们跟IBM做了引进、消化、吸收、再创新的合作。这个合作主要是几款产品,第一款产品是西格玛∑DB,然后支持异构、嵌入式、物联网、时空特征。还有一个产品是∑MQ可靠消息传输中间件,我们做了特色功能方面的改造,支持文件传输、跨网闸,跨网闸是中国环境下比较特殊的一个东西。∑AS是一款外部应用中间件。还有两款应用级中间件,∑USP是一款运控审计平台。∑AOP是可视化调度控制系统。这款产品是做运维管理、专业调度的东西。 (编辑:好传媒网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |