Bank 银行零信任安全白皮书 Zero Trust Security 派拉软件发展研究院 Bank 银行零信任安全白皮书 Zero Trust Security 派拉软件发展研究院 summary 摘要 近年来，随着新技术在 银 行 业 的 广 泛 应 用 ， 加 快 了 银 行 业 数 字 化 转 型的步伐，银行的业务和管理 向 着 线 上 化 、 数 字 化 、 智 能 化 演 进 ， 银 行 的价值链也由封闭走向开放。 随 着 银 行 业 数 字 化 进 程 的 逐 渐 深 入 ， 信 息 安全风险也日益凸显。零信任 作 为 信 息 安 全 领 域 的 又 一 次 技 术 革 新 ， 正 在成为银行业构建信息安全防 护 体 系 的 重 点 之 一 。 本白皮书意在指引利用 零 信 任 安 全 技 术 的 优 势 ， 加 快 推 进 银 行 业 务 安全的建设，针对银行业的安 全 挑 战 ， 提 出 银 行 零 信 任 安 全 框 架 ， 并 对 银行的业务场景实现、数据安 全 与 隐 私 保 护 等 方 面 进 行 阐 述 ， 以 期 对 银 行业务安全提供发展指引，供 读 者 思 考 和 实 操 参 考 。 目录 co n t e n t P1 现状与需求 01 1.1 环境背景 1.2 安全挑战 P2 银行零信任安全框架 04 2.1 技术特点 2.2 部署方式 P3 业务场景实现 08 3.1 远程办公 3.2 数字银行 3.3 系统运维 P4 安全合规与隐私保护 13 4.1身份和权限治理 4.2安全访问 4.3 API安全 4.4数据安全 P5 总结与展望 25 5.1 银行业零信任安 全 总 结 5.2 银行业零信任安 全 发 展 趋 势 派拉软件发展研究院 01 page part 01 现状与需求 1 .1 环 境 背景 1 .2 安 全 挑战 派拉软件发展研究院 page 02 现状与需求 1.1 环境背景 “ 十四五”时期，我国金融业安 全 和 信 息 化 发 展 的 外 部 环 境 和 内 部 条 件 发 生 复 杂而深刻的变化，机遇与挑战前所 未 有 。 作 为 数 据 密 集 型 行 业 ， 银 行 业 更 需 要 严 格落实法律法规，将监管要求的网 络 与 数 据 信 息 安 全 指 导 方 针 、 风 险 管 理 、 监 督 和检查管理的流程和机制 等内容整合 到 现 有 安 全 管 理 策 略 和 制 度 建 设 当 中 。 健 全 数据安全治理体系，强化数据全生 命 周 期 安 全 防 护 ， 严 防 数 据 误 用 滥 用 。 推 动 数 据分级分类管理，科学界定数据所 有 权 、 使 用 权 、 管 理 权 和 收 益 权 ， 明 确 数 据 适 用范围成为金融机构首要基础安全 建 设 。 近年来，国内外网络攻击和数 据 泄 露 事 件 频 发 ， 攻 击 手 段 不 断 升 级 ， 从 数 据 的采集、传输、存储、处理到访问 ， 国 家 、 企 业 和 个 人 面 临 着 各 类 的 网 络 与 数 据 安全威胁。国家高度重视网络与数 据 安 全 工 作 ，《网 络 安 全 法 》 在 2017年 起 实 施 后 ，于2021年陆续发布《数据安 全 法 》 、 《 个 人 信 息 保 护 法 》 等 法 律 法 规 ，为 推 进网络与数据安全建设提供了法 理 依 据 。 1.2 安全挑战 随着云计算、互联网、移动计 算 和 物 联 网 的 发 展 ， 银 行 业 务 场 景 复 杂 导 致 的 数据安全受到更多的威胁。由于业 务 的 不 断 快 速 发 展 ， 金 融 机 构 的 业 务 系 统 多 达 几百上千个，应用场景繁多，其 中 承 载 着 大 量 的 客 户 基 础 信 息 、 业 务 交 易 数 据 、 业务产品数据、企业经营数据、机 构 数 据 、 认 证 信 息 、 生 物 特 征 信 息 、 企 业 员 工 信息等大量业务和系统数据。这 些 数 据 由 于 业 务 需 要 在 各 个 系 统 间 不 停 的 流 转 , 其 面 临的风险也随之变化。 银行面临的安全挑战有以下方 面 ： 派拉软件发展研究院 03 page (1) 基 于 网 络 物 理 边 界 的 防 护 理 念 在 新 型 的 安 全 攻 击 下 暴 露 出 很 多 问 题 ， 先 连接后认证的方式增加了后端服务的危险，即便是VPN本身也只解决访问网 络的身份，不会对终端以及访问服务的身份与权限进行验证；另外，后端服务 无法做到隐藏，对外固定的端口很容易受到外部恶意的探测与攻击，导致服务 崩溃而无法访问。基于匿名终端和无权限访问服务的身份认证影响着整个后端 服务安全，而端到端没有建立加密隧道的连接方式也影响着整个网络安全。 （2）数字化转型的大背景下 ， 银 行 系 统 架 构 除 了 支 持 进 行 数 据 治理，还要提 供采集、传输、处理、存储、访 问 整 个 数 据 安 全 周 期 的 保 障 ， 其 中 各 业 务 系 统 A PI的 安全成为关键，不仅涉及到 业 务 的 互 联 互 通 ， 还 与 数 据 安 全 周 期 的 保 障 直 接关联，也关系到企业API资产统 计 与 管 理 。 现有的RBAC授权模式已无法提供对 敏感数据的访问保护；大量的A P I 权 限 范 围 的 合 法 性 也 需 要 监 管 ； 非 一 对 一 关 系 的业务请求涉及到多个业务系统 接 口 的 组 合 和 编 排 ， 安全性如何保障？这些问题 充满着安全挑战，现有的系统架 构 已 无 法 满 足 。 （3) 传统防护技术的升级， 往 往 是 有 针 对 性 的 、 局 部 的 ， 且 仅 限 于 预 设 静 态 防范模式，并没有整体的动态安 全 防 护 概 念 ， 无 法 做 到 一 体 化 的 安 全 架 构 体 系 ， 即“ 持 续访问，持续验证”的理念 ， 根 据 请 求 者 、 终 端 环 境 、 网 络 环 境 、服 务 环 境 实现访问权限自适应，自动把风 险 控 制 到 最 低 ， 直 至 完 全 隔 离 或 消 除 。 要解决以上安全挑战，我们 需 要 构 建 银 行 零 信 任 安 全架构，把身份安全、终 端安全、网络安全、API安全包含 进 去 ， 在 满 足 业 务 需 求 的 前 提 下 提 供 一 体 化 的 安全保障。 身份安 全 终端安全 银行 零信任 安全架构 派拉软件发展研究院 网络安全 API安全 page part 04 02 银行零信任安全框架 2 .1 技术 特 点 2 .2 部署 方 式 派拉软件发展研究院 05 page 银行零信任安全框架 银行零信任安全架构保障网络和数据的安全，降 低 由 于 数 字 化 转 型 带 来 的 安 全 风 险，主要从身份安全、终端安全 、 网 络 安 全 、 A P I 安 全 结 合 银 行 业 的 远 程 办 公 、 数字银行、系统运维几个业务场景来实现。 银行一体化安全逻辑架构 如图2-1所示 外部触 点 ZTaa S pc 身份安全 终端安全 WE B 网络安全 数字银行 交换与安全平台 信创平台 图 2 - 1 银行一体化安全逻辑架构 派拉软件发展研究院 微信 A PI安 全 系统运维 数据安全 服务治理 数据治理 远程办公 A PP page 06 2.1 技术特点 解决用户、设 备 、 数 据 相 关 业 务 及 访 问 的 唯 一 标 识 与 权 限 问 题，实现终端与服务身份的统一管理与权限验证，是跨多个系 统和应用程序管理数字身份和访问权限的工具。这些工具有助 于确保只有合适的人才能在合适的时间出于合适的原因获得合 身份安全 适的资源（例如应用程序和数据）的权限，基于细粒度动态授 权模式，实现“持续访问，持续验证”，保证访问权限的最小化。 解决终端运行环境的安全问题，由终端感知与终端防护两部分 组成。终端感知包括安全事件检测、安全事件调查、遏制安全 事件、以及修复至感染前的状态；终端防护由漏洞利用预防/内 终端安全 存保护、应用控制/白名单、系统信任保证、网络防火墙、可视 性及微隔离几大类组成。 解决了终端到资源端的链路安全问题，实现先认证后连接，隐 藏后端服务网关、资源服务，免受被恶意探测和攻击，通过微 网络安全 隔离完成数据的安全过滤与导流，以及访问资源的负载均衡。 解决各资源的 数 据 交 互 与 共 享 ， 实 现 A P I 资 产 管 理 与 监 控 ， 提 供API编排满足 业 务 扩 展 的 需 要 。 对 外 提 供 最 小 权 限 的 接 口 服 务访问，在实现业务互联互通的前提下完成接口服务访问控 API安全 制，提供监控与审计，提高业务效率，增加用户体验，促进企 业的合规性。 解决了数据采集、传输、处理、存储、访问全生命 周 期 的 安全 问题，提供元数据的定义与授权，基于细粒度的授权模 式，对 敏感属性自动过滤与加密，结合业务安全模型与风 险评估，可 数据安全 动态实现数据的访问权限控制，数据安全网关可实现客户端工 具访问的统一管理与配置，防止SQL注入与 特 权 帐 号 的安全管 理与监控。 派拉软件发展研究院 07 page 2.2 部署方式 支持本地或私有云部署，如果涉及 远 程 办 公 ， 需要部署一台能连续内外网的SPA控制器，一 台网关服务器，组成SDP服务解决网络访问 本地/私有云 安 全 ， 其 他 的 IAM服务、API网关、UEBA服务 等可部署在内网。 支持混合云部署，SDP服务的SPA控制器、网 关服务 器 地 址 需 要 能 被 公 有 云 和 私 有 云 访 问 ， 其 他 的 IAM服务、API网关、U E B A 服 务 等 部 署在私有 云 内 ，为 解 决 云 之 间 的 链 路 安 全 ， 每 混合云 个公有云 需 要 部 署 一台应用服务网关，提供 端到端的安全链接服务。 支 持 公 有 云 部 署 ， S DP 服 务 的 S P A 控 制 器 、 网 关 服 务 器 、 I A M 服 务 、 A P I 网 关 、 U EBA 服 务 等 部 署 公 有 云内，外网不通过S P A 控 制 器 和 网 关 服务器的认 证 ，无法直接访问 I A M 、 A P I 网 关 、 公有云 UEBA等服务，同样，为解决云之间的链路安全， 每 个 公 有 云 需 要 部 署一台应用服务网关，提供 端到端的安全链接服务。 派拉软件发展研究院