高杰豪

摘? 要：隨著信息革命的快速發(fā)展，人們的生活方式發(fā)生了翻天覆地的變化。金融科技在服務(wù)社會(huì)的同時(shí)，也帶來(lái)了潛在的風(fēng)險(xiǎn)。 國(guó)內(nèi)外信息安全事件屢見(jiàn)不鮮，千億級(jí)網(wǎng)絡(luò)黑產(chǎn)對(duì)金融安全構(gòu)成嚴(yán)重威脅，金融業(yè)網(wǎng)絡(luò)安全防控壓力巨大。金融科技業(yè)務(wù)面臨更嚴(yán)格和更系統(tǒng)的監(jiān)管要求，違規(guī)可能導(dǎo)致業(yè)務(wù)停止。本文從完善信息安全管理體系的角度，結(jié)合國(guó)內(nèi)外對(duì)信息安全的監(jiān)管要求，審視新時(shí)代背景下金融領(lǐng)域信息安全的安全風(fēng)險(xiǎn)防控。

關(guān)鍵詞：新形勢(shì);金融科技;信息安全;管理體系

引言

為保障金融業(yè)平穩(wěn)發(fā)展，國(guó)家出臺(tái)多項(xiàng)監(jiān)管政策，不斷完善監(jiān)管體系?？梢灶A(yù)見(jiàn)，金融科技業(yè)務(wù)將面臨更嚴(yán)格、更系統(tǒng)的監(jiān)管要求，違規(guī)可能導(dǎo)致停業(yè)。近期，由于信息安全漏洞，一批互聯(lián)網(wǎng)應(yīng)用被下架，都表明需要不斷加強(qiáng)信息安全管理，嚴(yán)格落實(shí)管控責(zé)任，遵守合規(guī)原則是企業(yè)可持續(xù)發(fā)展的必要前提。

一 構(gòu)建“技防+人防”體系

構(gòu)建“技防+人防”的信息安全生態(tài)系統(tǒng)，嚴(yán)格遵守合規(guī)原則，外部防范來(lái)自網(wǎng)絡(luò)威脅的攻擊，內(nèi)部防止機(jī)密數(shù)據(jù)泄露。

從管理體系看，通過(guò)組織、制度、技術(shù)、運(yùn)營(yíng)、監(jiān)督五項(xiàng)主要管理體系建設(shè)，完善管理體系。通過(guò)依法建設(shè)數(shù)據(jù)中心、管理和維護(hù)信息系統(tǒng)和數(shù)據(jù)，嚴(yán)格落實(shí)客戶財(cái)務(wù)數(shù)據(jù)保護(hù)，加強(qiáng)合規(guī)保障。通過(guò)內(nèi)部信息安全審計(jì)、信息系統(tǒng)外包給公安機(jī)關(guān)和其他安全評(píng)估、ISO標(biāo)準(zhǔn)和管理體系認(rèn)證、互聯(lián)網(wǎng)應(yīng)用測(cè)試和認(rèn)證等方式進(jìn)行持續(xù)的管理和監(jiān)控。

從技術(shù)體系來(lái)看，通過(guò)多層監(jiān)視攔截系統(tǒng)，縱深防御，包括抗DDoS拒絕服務(wù)攻擊防護(hù)、APT高級(jí)持續(xù)威脅防護(hù)、WAF應(yīng)用入侵防護(hù)、密網(wǎng)攻擊誘補(bǔ)防御等措施，加強(qiáng)網(wǎng)絡(luò)邊界管控。通過(guò)實(shí)施全方位的端點(diǎn)控制措施，包括計(jì)算機(jī)殺毒、磁盤(pán)加密、屏幕水印、打印水印、DLP 電子郵件攔截、HDLP 桌面行為管控等，加強(qiáng)內(nèi)部風(fēng)險(xiǎn)管理，防止數(shù)據(jù)泄露和敏感信息被濫用。借助智能信息安全風(fēng)險(xiǎn)管理系統(tǒng)，實(shí)時(shí)監(jiān)控和智能分析，對(duì)信息安全事件及時(shí)預(yù)警和閉環(huán)響應(yīng)，減少影響和發(fā)現(xiàn)，持續(xù)優(yōu)化及時(shí)預(yù)警和信息安全事件解決閉環(huán)，減少影響，舉一反三、持續(xù)優(yōu)化。

在聯(lián)動(dòng)機(jī)制上，信息安全、風(fēng)險(xiǎn)控制與合規(guī)、審計(jì)與監(jiān)控、人力資源之間的緊密聯(lián)系，避免了客戶數(shù)據(jù)泄露事件的發(fā)生。 組建安全、合規(guī)、審計(jì)人員聯(lián)合工作組，打造信息安全一、二、三道防線統(tǒng)一戰(zhàn)線，主動(dòng)防控，加強(qiáng)管理。通過(guò)層層強(qiáng)化管控職責(zé)，明確各部門(mén)信息安全責(zé)任，確保信息安全管理體系自上而下連通，信息安全管控要求得到溝通和落實(shí)。

二 夯實(shí)“五大”管理基礎(chǔ)

建立組織、制度、技術(shù)、運(yùn)行、控制五項(xiàng)基本信息安全管理體系，強(qiáng)化安全管理和安全管控基礎(chǔ)。

2.1 組織體系

壓實(shí)責(zé)任—堅(jiān)持“三道防線”原則，明確各部門(mén)職責(zé)，堅(jiān)持一把手負(fù)責(zé)制。

決策層面—成立信息安全領(lǐng)導(dǎo)工作組，協(xié)調(diào)管控工作，以單位負(fù)責(zé)人為主導(dǎo)，各單位負(fù)責(zé)人作為成員參與任務(wù)的執(zhí)行。 高水平設(shè)計(jì)促進(jìn)了信息安全工作的“一把手工程”和信息安全管理與信息安全控制的有效性。

管理層面—根據(jù)當(dāng)前信息安全管控工作的技術(shù)特點(diǎn)，由信息技術(shù)部牽頭，前、中、后臺(tái)各部門(mén)協(xié)同配合。信息安全、風(fēng)險(xiǎn)合規(guī)、審計(jì)監(jiān)督是防控信息安全風(fēng)險(xiǎn)的三道防線，也是防控企業(yè)信息安全的基礎(chǔ)。

將信息安全事件與部門(mén)和個(gè)人的業(yè)績(jī)貢獻(xiàn)掛鉤，將信息安全充分融入到企業(yè)的血液中，以保障企業(yè)穩(wěn)健前行和可持續(xù)發(fā)展。

執(zhí)行層面—為確保信息安全管控措施的有效實(shí)施，各部門(mén)設(shè)有信息安全聯(lián)系人，與信息安全管理部門(mén)協(xié)同工作。通過(guò)層層梳理管控職責(zé)，將信息安全事件與對(duì)部門(mén)和個(gè)人生產(chǎn)力的貢獻(xiàn)掛鉤，將信息安全充分融入公司血液，確保公司不斷進(jìn)步和可持續(xù)發(fā)展。

監(jiān)管層面—通過(guò)二級(jí)和三級(jí)風(fēng)險(xiǎn)防控，以及風(fēng)險(xiǎn)合規(guī)監(jiān)測(cè)審計(jì)，監(jiān)測(cè)審計(jì)環(huán)節(jié)，確保信息安全體系的持續(xù)優(yōu)化和有效運(yùn)行。

2.2 制度體系

堅(jiān)守底線—遵守法律法規(guī)、監(jiān)管要求、國(guó)家標(biāo)準(zhǔn)、行業(yè)自律公約等要求，從宏觀政策制定層面到微觀運(yùn)營(yíng)規(guī)范的制定和實(shí)施，一個(gè)信息安全體系主要包括安全策略、實(shí)施策略、流程和標(biāo)準(zhǔn)、形式和工具。

信息安全策略—明確組織日常運(yùn)營(yíng)和管理流程的要求，包括安全組織的建立、人員配備、資產(chǎn)管理、物理環(huán)境控制、通信運(yùn)營(yíng)安全、系統(tǒng)開(kāi)發(fā)活動(dòng)、訪問(wèn)控制限制、共同管理、第三方和安全培訓(xùn)、進(jìn)行安全審計(jì)、事件響應(yīng)和安全解決、確保業(yè)務(wù)連續(xù)性、預(yù)防和控制合規(guī)風(fēng)險(xiǎn)等。

信息安全程序和標(biāo)準(zhǔn)—明確信息安全政策的要求，通過(guò)建立基本的安全標(biāo)準(zhǔn)、規(guī)范和程序來(lái)確保安全，將制度融入公司的日常工作中。

信息安全工具和表單—僅僅依靠公司員工的自覺(jué)自律來(lái)實(shí)施信息安全政策的要求是不夠的，為了實(shí)現(xiàn)智能信息安全生態(tài)系統(tǒng)，有必要在流程上建立制度，在系統(tǒng)上構(gòu)建流程。

2.3 技術(shù)體系

逐步進(jìn)階—具備信息安全的技術(shù)特點(diǎn)，對(duì)各級(jí)安全管控實(shí)施深度管理。在縱深防御方面：一是建立網(wǎng)絡(luò)管控分區(qū)體系，通過(guò)外網(wǎng)交互區(qū)、內(nèi)網(wǎng)交互區(qū)、內(nèi)網(wǎng)辦公區(qū)、生產(chǎn)環(huán)境區(qū)創(chuàng)建網(wǎng)絡(luò)分區(qū)，確保網(wǎng)絡(luò)邊界管理;二是完善網(wǎng)絡(luò)威脅防護(hù)體系，通過(guò)防火墻攔截、密集網(wǎng)絡(luò)攔截、攻擊攔截、主機(jī)安全加固、權(quán)限控制、加密隔離等措施防范攻擊和入侵者;三是通過(guò)權(quán)限最小化、訪問(wèn)控制、出局?jǐn)r截、水印檢測(cè)、行為監(jiān)測(cè)分析等加強(qiáng)終端安全管控體系，防止數(shù)據(jù)泄露。

結(jié)束語(yǔ)

信息安全管理不是一朝一夕的工程。 為了保持信息安全體系的有效性，必須堅(jiān)持PDCA原則，通過(guò)先管控、后優(yōu)化，不斷適應(yīng)要求，不斷完善信息安全管控策略。網(wǎng)絡(luò)安全環(huán)境應(yīng)由企業(yè)安全生態(tài)、產(chǎn)業(yè)安全生態(tài)、社會(huì)安全生態(tài)共同保障。 只有全社會(huì)共同防控、共同制定標(biāo)準(zhǔn)、共同設(shè)定門(mén)檻，才能確保網(wǎng)絡(luò)環(huán)境清晰，實(shí)現(xiàn)共贏未來(lái)。

目前，國(guó)家層面的工作正在進(jìn)行中，通過(guò)不斷立法完善網(wǎng)絡(luò)安全生態(tài)，加強(qiáng)企業(yè)內(nèi)控管理，保障群眾權(quán)益。為保障行業(yè)健康穩(wěn)定發(fā)展，企業(yè)必須通過(guò)不斷的研究、實(shí)踐和積極創(chuàng)新，壯大自身，夯實(shí)信息安全基礎(chǔ)，輸出經(jīng)驗(yàn)。行業(yè)需要自律，加強(qiáng)自律是行業(yè)可持續(xù)發(fā)展的保障。監(jiān)督要引導(dǎo)，通過(guò)積極引導(dǎo)，搭建平臺(tái)，對(duì)接各種資源，打造網(wǎng)絡(luò)安全生態(tài)系統(tǒng)。

參考文獻(xiàn)

[1]劉進(jìn)，李江波，葉兵. 新形勢(shì)下金融科技信息安全管理體系研究[J]. 網(wǎng)絡(luò)空間安全，2021，12（3）：1-6. DOI：10.3969/j.issn.1674-9456.2021.03.001.

[2]宮哲，張建毅. 新形勢(shì)下商業(yè)銀行網(wǎng)絡(luò)安全威脅環(huán)境分析及信息安全體系轉(zhuǎn)型研究[J]. 現(xiàn)代管理科學(xué)，2015（10）：46-48. DOI：10.3969/j.issn.1007-368X.2015.10.015.

[3]楊群安. 數(shù)據(jù)集中模式下商業(yè)銀行信息化建設(shè)研究——以中國(guó)工商銀行為案例[D]. 北京：中國(guó)人民大學(xué)，2006.