1  農(nóng)村金融機構(gòu)網(wǎng)絡(luò)安全的兩大挑戰(zhàn)

第一大挑戰(zhàn)是IT基礎(chǔ)設(shè)施技術(shù)架構(gòu)的更新?lián)Q代。近年來，由于農(nóng)村金融機構(gòu)紛紛下大力氣發(fā)展金融科技，以求銀行業(yè)務(wù)的創(chuàng)新和轉(zhuǎn)型。在業(yè)務(wù)全面數(shù)字化的過程中，不可避免地會出現(xiàn)設(shè)備更新?lián)Q代、暴露更大的攻擊面、安全邊界變得模糊、傳統(tǒng)的安全防護手段失效等問題。

第二大挑戰(zhàn)來自于外部攻擊的升級。從威脅的視角看，當(dāng)前，網(wǎng)絡(luò)攻擊的組織愈發(fā)周密，攻擊手段和方法日趨復(fù)雜高級。漏洞產(chǎn)業(yè)化、軍火民用化正對農(nóng)村金融機構(gòu)的網(wǎng)絡(luò)安全發(fā)起新的挑戰(zhàn)。同時，隨著《網(wǎng)絡(luò)安全法》的實施，國家在網(wǎng)絡(luò)安全方面的監(jiān)督力度不斷加強，也給農(nóng)村金融機構(gòu)帶來了求變的壓力。 

面對新的網(wǎng)絡(luò)安全形勢，農(nóng)村金融機構(gòu)應(yīng)該有這樣基本的認(rèn)知，即：沒有無漏洞的系統(tǒng)，沒有攻不破的網(wǎng)絡(luò)。要求各級農(nóng)村金融機構(gòu)樹立新時代的網(wǎng)絡(luò)安全理念，在不斷完善被動防御措施的同時，要把網(wǎng)絡(luò)安全體系建設(shè)的重點過渡到以持續(xù)檢測和快速響應(yīng)為手段的主動防御措施上。

2  新戰(zhàn)場新實踐，老戰(zhàn)場新戰(zhàn)法 

農(nóng)村金融機構(gòu)的網(wǎng)絡(luò)安全體系建設(shè)應(yīng)當(dāng)遵從美國SANS研究所設(shè)計的”滑動標(biāo)尺模型”，如圖1所示，從架構(gòu)安全、被動防御、主動防御、威脅情報和進攻反制五個階段入手，構(gòu)建疊加演進的安全能力，有效解決安全問題，完整構(gòu)建安全能力。

 圖 1   滑動標(biāo)尺示意圖

“滑動標(biāo)尺模型”可作為衡量金融企業(yè)安全能力的有力尺度。基于這個參考模型，360提出“新戰(zhàn)場新實踐，老戰(zhàn)場新戰(zhàn)法”的建設(shè)思路。 

所謂新戰(zhàn)場指的是需要保護的IT基礎(chǔ)設(shè)施的范圍在不斷擴大，網(wǎng)絡(luò)安全攻防的戰(zhàn)場已經(jīng)延伸到云計算環(huán)境、大數(shù)據(jù)平臺、移動終端、物聯(lián)網(wǎng)、軟件供應(yīng)鏈等新的IT基礎(chǔ)設(shè)施。同時，持續(xù)創(chuàng)新的金融業(yè)務(wù)場景也會產(chǎn)生新的安全需求，需要新的技術(shù)方案去解決，比如互聯(lián)網(wǎng)金融業(yè)務(wù)中的交易欺詐、爬蟲機器人等安全問題。在這些新的攻防戰(zhàn)場，應(yīng)該采用創(chuàng)新的安全技術(shù)手段，把安全能力建設(shè)的重點放在架構(gòu)安全和被動防御措施上，以較低的投入，獲得較高的安全價值回報。 

與此同時，在終端、網(wǎng)絡(luò)邊界、數(shù)據(jù)中心、應(yīng)用、數(shù)據(jù)等傳統(tǒng)的攻防戰(zhàn)場，隨著對手攻擊手段的復(fù)雜化和水平提升，金融機構(gòu)也需要采用創(chuàng)新的方法加以應(yīng)對，著重建設(shè)主動防御能力，積極采用威脅情報技術(shù)、安全眾測服務(wù)、實網(wǎng)攻防演練等的手段，通過持續(xù)不斷地檢測和響應(yīng)，改進防御策略，提升安全運營人員的能力，形成安全運營的閉環(huán)，建設(shè)針對高級威脅的主動對抗能力。 

目前，農(nóng)信機構(gòu)終端數(shù)量多、分布廣，各終端安全防護系統(tǒng)分布式管理，無法做到信息共享，無法統(tǒng)一直觀的意識到公司終端安全態(tài)勢，導(dǎo)致在各系統(tǒng)中，工作量成倍增加。360終端一體化解決方案做到統(tǒng)一管理，包括資產(chǎn)、硬件、補丁管理等，存儲個體都在一個服務(wù)器端軟件統(tǒng)一管理，降低運維成本，提高工作效率。

3  基礎(chǔ)安全架構(gòu)需要與時俱進

在新的業(yè)務(wù)應(yīng)用環(huán)境下，農(nóng)村金融機構(gòu)的基礎(chǔ)安全架構(gòu)需要演進升級。

以360ID智能身份安全解決方案為例，這套解決方案通過360ID軟件，把手機終端作為認(rèn)證器，提供指紋識別、人臉識別、動態(tài)口令等多因子認(rèn)證能力，并且支持推送認(rèn)證、掃碼認(rèn)證等多種身份認(rèn)證方式，增強了金融業(yè)務(wù)身份認(rèn)證的安全強度，同時在最大程度上保證了用戶的使用便捷性。此外，360ID通過一系列的安全機制，確保其自身的安全，最大程度上實現(xiàn)了安全性與便捷性的平衡。 

利用360ID身份認(rèn)證機制，農(nóng)村金融機構(gòu)可以建立一站式單點登錄解決方案；在云計算和大數(shù)據(jù)逐漸普及、安全邊界逐漸消失的場景下，應(yīng)該考慮構(gòu)建基于“零信任模型”的新一代業(yè)務(wù)應(yīng)用安全架構(gòu)。

在新的安全架構(gòu)下，身份成為新邊界，應(yīng)當(dāng)根據(jù)設(shè)備、用戶、環(huán)境、時間、位置、安全策略等多維數(shù)據(jù)，持續(xù)不斷地進行風(fēng)險測量，動態(tài)調(diào)整用戶的安全等級，構(gòu)建自適應(yīng)的動態(tài)安全策略，提供業(yè)務(wù)應(yīng)用的動態(tài)授權(quán)訪問控制機制，解決金融機構(gòu)在云計算和大數(shù)據(jù)應(yīng)用場景下棘手的身份安全和業(yè)務(wù)訪問控制難題。

4  建立以人為核心的安全運營機制

在360企業(yè)安全集團看來，安全的本質(zhì)是人與人的對抗，人是諸多安全問題的根源，也是解決安全問題的關(guān)鍵，安全運營的各個階段都離不開人的參與。網(wǎng)絡(luò)安全體系建設(shè)能否發(fā)揮最大的作用，最終還是取決于能否建立一整套以人為核心的安全運營機制。

憑借安全專家的專業(yè)度，可以把現(xiàn)有的安全平臺、設(shè)備等工具的效用最大限度地發(fā)揮出來，從而真正建立起從網(wǎng)絡(luò)安全評估、安全規(guī)劃咨詢、滲透測試，到安全回溯一系列閉環(huán)的安全服務(wù)能力。

安全運營重要性之高，以至于2017年中國互聯(lián)網(wǎng)安全大會更是把主題定為“人是安全的尺度”。在實際工作中，安全運營需要擔(dān)負(fù)很多責(zé)任，包括被授予通報和處罰的權(quán)力；此外在安全培訓(xùn)方面，每年花大力氣進行安全意識宣貫。通過以上安全的運營理念，再配合安全管理類手段，實現(xiàn)“可見、可控、可分析”的管理目標(biāo)。 

360企業(yè)安全集團針對農(nóng)村金融機構(gòu)的特征，可以提供銀行終端一體化安全管理、銀行內(nèi)網(wǎng)高級威脅監(jiān)測與追蹤溯源、銀行營業(yè)廳公共無線Wi-Fi安全與營銷等一攬子金融解決方案。方案均建立在360企業(yè)安全集團多年實踐積累的技術(shù)和經(jīng)驗之上，可以大幅提升金融機構(gòu)整體網(wǎng)絡(luò)安全水平，已經(jīng)在全國多地落地實施。

（收稿日期：2018-06-20）

作者簡介：

左英男，男， 360企業(yè)安全集團產(chǎn)品與解決方案副總裁，在安全技術(shù)研究、產(chǎn)品規(guī)劃與管理、市場營銷方面擁有獨到的見解和豐富的經(jīng)驗。