城市商業銀行信息安全保障體系研究與設計

0 引言

近年來，網絡與信息系統成為安全事件和泄密事件的主要途徑，國家對安全工作日趨重視，多次下達文件提出嚴格要求，相關監管部門也加大了安全與保密檢查的頻度與處罰力度；目前，網絡安全已上升為國家發展戰略，習近平總書記提出“沒有網絡安全就沒有國家安全”，表明了“網絡安全和信息化”是排在政治經濟體制改革、國家安全之后的國家重大事項，作為國家重要行業，銀行業的經濟地位不言而喻，如何全面、系統地保證銀行信息系統的持續穩定運行和業務信息的安全，是實現銀行業各項業務目標的前提條件。

1 城商行信息安全現狀

隨著銀行業面臨的威脅急劇增加，攻擊手段越來越復雜，對網絡安全防護和網絡安全風險管理的要求逐步提高，國家及金融行業監管部門相繼出臺多個政策指導文件，如《商業銀行信息科技風險管理指引》、《電子銀行業務管理辦法》等，政策文件中對信息安全的要求越來越具體，充分體現出信息安全對于銀行信息系統及業務的重要性。近年城商行業務快速發展的同時，也暴露出信息安全管理方面的不足：

1.1 IT基礎設施被國外壟斷，嚴重影響行業信息安全

當前，我國城商行的大部分IT基礎設施，包括服務器、存儲、操作系統、數據庫系統、中間件等 IT基礎設施很大程度上還依賴于國外核心技術，進而威脅行業信息安全。為此，2014年銀監會與工信部聯合下發《銀行業應用安全可控信息技術推進指南（2014-2015 年度）》（銀監辦發【2014】317 號）明確了對銀行業信息化所涉及的技術、產品及服務的安全可控要求和評價標準，但因業務相對比較復雜、改造成本過高等制約因素，將在一定的時間內影響行業的安全自主可控。

1.2 整體信息安全保障體系尚未形成

城商行前期安全建設相對滯后于業務系統建設，難以有效支撐信息系統工作，業務系統建設過程中缺乏整體信息安全保障體系規劃和設計同步，安全管理制度和防護手段相對孤立，無法有效保障銀行業務系統安全穩定的運行。

1.3 運維外包加大了風險控制的難度

城商行為節約成本、提高效率和規模，軟件開發過于依賴第三方外包服務，由此帶來的無序的賬號管理、粗放式的權限管理、粗粒度的操作日志審計分析，以及第三方代維人員所引入的人員風險，給城商行業務系統帶來了極大的網絡及信息安全隱患。

1.4 業務層面的安全將會導致更復雜的問題

雖然國家、行業監管單位已經制定了信息安全等級保護、網上銀行系統信息安全通用規范等系列標準，并開展了類似等級保護測評、網上銀行風險評估以及信息科技內部、外部審計等一系列的檢測手段，但局限于網絡層面、系統層面所做的安全工作，且檢測出的應用問題在復雜的業務應用環境中難于整改；城商行業務系統的災備建設與國內五大國有銀行差距大，應急能力有待提高，業務系統事故頻發，其風險控制水平急需增強，因而業務層面的網絡與信息安全問題將會導致城商行信息系統更復雜的問題。

2 城商行信息安全面臨挑戰

隨著互聯網技術的快速發展和融合創新，各種新技術、新業務出不窮。網絡、系統、終端的安全問題相互交織、相互影響，違法和不良信息擴散、病毒傳播、網絡攻擊等非傳統安全威脅日益增多，使得保障IT基礎設施和重要信息系統的安全、營造健康的網絡環境，面臨著前所未有的壓力和挑戰。

2.1 傳統互聯網威脅向銀行業滲透

在線支付、在線交易等基于互聯網的金融業務越來越多，由于服務方式的虛擬化，業務邊界的模糊化，經營環境的開放化等特征，使得傳統互聯網威脅例如病毒、木馬攻擊等已經向銀行業全面滲透。

2.2 新技術使銀行業面臨更大挑戰

互聯網技術蓬勃發展，在為用戶提供快捷服務的同時，也不可避免的引入新的安全問題并對當前信息安全防護提出新的挑戰。隨著互聯網技術快速發展，如互聯網金融等新技術、新業務形態的不斷出現，使得銀行業也面臨著日益嚴峻的信息安全風險挑戰。

2.3 銀行成為黑客攻擊的重點目標

中國反釣魚網站聯盟（APAC）在2015年8月的反釣魚網站簡報中明確指出“涉及淘寶網、工商銀行、平安銀行、招商銀行四家單位的釣魚網站總量占全部舉報量的96.41%”。同時，國內最大的漏洞相應平臺烏云也披露，僅2015 年上半年，已被金融機構確認、修復的自身網站安全漏洞的數量已超過去年同期，其中金融機構網站高危和中危漏洞數量的總和，已占總體探知漏洞總數的97.2%。由此可見以經濟利益驅動的攻擊和竊取銀行業重要數據行為成為新形勢下的主要攻擊形式。

3 城商行信息安全建設思路

通過對我國城商行信息安全現狀分析、以及行業所面臨的挑戰，結合國家、行業監管單位的要求，為更好的解決安全防護能力不一、體系化不足等問題，迫切需要構建全方位信息安全保障體系，快速提升安全技術防護能力與管理水平。

3.1 明確信息安全總體目標和思路

貫徹落實中央網絡安全和信息化領導小組有關要求，執行國家的信息安全等級保護制度，落實行業監管單位要求，逐步提升信息系統的“風險識別、威脅主動防御、事件響應處理”等三項保障能力，逐步形成一體化的風險識別、防護和響應體系，信息安全保障體系建設的總體思路是：管理和技術并重，預防為主，注重長效。

3.2 層次化的整體框架設計

信息安全保障體系整體框架設計應綜合考慮IT 管理過程涉及的各個關鍵要素，將組織、策略、運行和技術等各方面緊密結合，從總體上進行統籌規劃，設計信息安全保障整體框架，從技術、管理和運維三方面分層次進行設計。

3.3 制定分階段目標和實施路徑

為保證信息安全保障體系的可操作性，建議采用3-5年時間進行規劃設計及實施，分階段制訂詳細的階段實現目標和實施路徑，完善城商行信息安全法規制度和標準規范體系，加快建立安全運維管理服務體系。

3.4 形成信息安全指標評價體系

結合國家標準、行業監管單位要求和商業銀行信息安全現狀，融合國內外以及其他行業最佳實踐，形成城商行信息系統可持續改進的信息安全指標評價體系，便于綜合量化評價考量安全防控能力水平和信息安全保障體系實施情況。

4 城商行信息安全保障體系設計

信息安全保障體系應以城商行IT基礎架構為基礎，以信息安全策略為指導目標，遵守國家法律法規、行業要求，參考信息安全等級保護、ISO27001等最佳實踐，通過安全管理體系、安全技術體系以及安全運維體系三個重要部分來實現可管、可控和可信的三個信息安全目標，最后通過信息安全指標評價體系來評價考量信息安全保障體系實施情況，信息安全保障體系設計如下圖1。

圖1 信息安全保障體系架構示意圖

4.1 信息安全管理體系

信息安全管理在信息安全保障體系中占有重要的地位，包括安全策略、安全組織兩個部分。安全策略體系總述了信息安全的總體方針政策、標準規范和指南細則、以及各類實施細則、操作手冊組成。安全組織體系定義了保障信息安全策略有效執行需要的角色和職責，從職能上分為決策、管理和執行三個組織層次。

4.2 信息安全技術體系

信息安全技術是信息安全保障體系的基礎，安全管理是安全技術切實發揮作用的保障。信息安全保障體系采用縱向防護與橫向防護相互關聯、相互支撐的技術架構。縱向包括終端、數據、應用、系統、網絡、物理六個層次，橫向包括識別與監測、安全防護和審計與恢復三個環節，在縱橫之間部署相應的安全技術組件。識別與監測：主要包含了威脅識別、入侵檢測、漏洞掃描等要求。安全防護：主要包含了身份認證、攻擊防護、數據加密、訪問控制、安全配置等要求。審計與恢復能力：主要包含了操作審計、應急響應、災備恢復等要求。

同時，在安全技術組件設計時應充分關注新技術帶來新挑戰，例如虛擬化、云計算等IT 環境下比較突出的是用戶數據資料和資源濫用的問題，高級新型攻擊如APT攻擊防護等。

4.3 信息安全運維體系

信息安全運維主要是通過一系列的流程和規范，將管理和技術措施在日常工作中進行落地和執行。安全運維以風險管理為基礎，采用安全事件“事前、事后”的主動和被動兩種方式實現常態化的安全運維。

5 城商行信息安全保障體系建設成效評價

如何評估和量化信息安全保障體系建設成效，將成為信息安全保障體系能夠有效落實的關鍵因素，通過制訂符合現狀的信息安全指標評價體系將是其最佳方法。

5.1 確定評價體系的量化目標

信息安全保障體系評價指標，應與信息安全總體策略保持一致，根據信息安全策略來確定評價體系的量化目標，例如在本文件第5部分信息安全保障體系設計中的信息安全策略，那么我們可以在信息安全策略的基礎上來定義信息安全評價體系的量化目標的四個層次（初始級、可管級、可控級、可信級），每個層次應包含組成信息安全保障體系運行的技術、管理和運維各個方面。

5.2 關鍵評價指標設計

關鍵評價指標設計應按照信息安全策略目標、各層次目標、流程目標和性能指標逐步分解；如下圖2所示：

圖2 信息安全評價體系指標設計

圖中信息安全管理的目標評價內容包括：流程運行結果成效和流程中的信息安全管控活動兩項內容，針對量化內容，可以分別關鍵目標指標評價（KGI）和關鍵性能指標評價（KPI）依靠下列指標的評價來實現。關鍵目標指標評價（KGI）：針對流程運行結果的評價。關鍵目標指標是明確要取得什么目標，并描繪控制的結果，進行事后評判，來體現控制的完成即成功與否。關鍵性能指標評價（KPI）：主要針對流程關鍵成功因素的評價，如某一控制措施，通過對該關鍵成功因素的實際表現進行觀察和評價，從而了解該因素是否滿足標準、信息安全保障體系的要求。關鍵性能指標是控制執行程度的測定，面向控制過程，指出控制要完成到怎樣的程度。

5.3 明確評價措施和方法

評價方法是評價實施過程中關鍵識別的要素，評價人員通過對計算公式、刻度以及采集頻率的總結和選取，周期性或隨機性對數據源進行采集，經過計算公式轉化，最終在將數據源產生的原始數據在一定的刻度下轉化為可量化的各項指標，其中，采集頻率可參考下列內容：年度、季度、月度以及周為單位；刻度可以參考：排序、間隔、百分比以及絕對值；通過具體的評價手段如下：訪談、調查問卷、檢查、演練、測試和采樣等方式來獲取評價的數據來源。

6 結束語

信息安全保障體系建設具有動態性、長期性的特點，要以實現業務目標為導向，伴隨業務目標調整而調整，為確保信息安全保障體系的適用性，當發生業務轉型、業務變更和大規模的信息變化時，需要及時對信息安全保障體系進行修訂和改進；同時，應關注新技術、新業務形態帶來的安全問題，如云計算、大數據、在線支付交易、微信銀行等新技術和業務帶來的安全問題，通過研究和開發相應的安全解決方案為信息安全保障體系優化提出改進建議及要求。