访谈实录|银行总工：FinTech时代，银行信息安全管理体系建设实践

记者：近几年，银行业在信息安全管理方面遇到了哪些挑战呢？

总工：

最近几年，全球网络威胁持续升级，针对银行的攻击事件呈现网络犯罪组织化、攻击方式定向化、攻击目标数据化。在这样的背景情况下，银行业主要面临着七大方面的安全挑战。

第一，新型技术带来了巨大的威胁。目前，大数据、云计算、区块链、人工智能、生物识别、物联网等作为FinTech时代的典型技术代表，引领了金融创新的潮流，但在综合运用新技术的同时，其带来的信息安全风险也不容小觑。

第二，安全性要求高。银行核心业务系统都是国家关键信息基础设施，因此，一方面需要保证银行信息及信息系统安全，另一方面，也要保障客户资金和信息安全。

第三，持续性要求高。银行的各项业务要求实时性强、稳定性高，系统运行需要高可用性保障。

第四，防护范围宽广。银行的业务种类多，接入渠道广、涉及境内外机构、银行网点，而且银行涉及交易参与方多、环节多。

第五，网络边界模糊。随着业务数字化转型的持续推进，银行线上线下正在快速融合，网络边界变得模糊甚至消失。

第六，产品迭代频繁。随着互联网快速发展，银行不断推出新业务、新系统，安全防护难度加大。

第七，物联网安全。银行有各类设备、POS设备、摄像头等物联网终端，有些设备本身的安全性不够，都有可能被黑客攻击。

记者：面对纷繁复杂的网络安全挑战，您在银行信息安全管理方面的思路是什么？

总工：

我们在严格遵照网络安全等级保护标准的基础上，根据行业监管措施，借鉴ISO27001、SSE-CMM标准，充分结合银行业特点来构建信息安全体系。对此，我们根据自身情况，从管理层、运营层、技术层三个角度建立起了权责清晰、合理有效的网络安全治理架构。

在管理层，我们持续强调方针策略与组织职责在信息安全管理工作中的重要地位，突出高层在信息安全管理中的指导作用，这样更加方便安全管理要求的落地。具体措施主要分为以下几个方面。

其一，明确安全责任。在公司层面，总经理（党委书记）要对安全负责，各部门总监、分/子公司总经理作为信息安全第一负责人。

其二，做到集团化管理。信息科技部总体牵头，从集团到各子公司全部纳入统一管理。

其三，建立信息安全员机制。各部门设置信息安全员，将信息安全防控职责落实到各部门和员工。

其四，进行安全考核管理。将安全落实情况融合到部门绩效考核中去，建立合规分或单独的信息安全分，个人安全积分，并将其纳入违规积分管理。

其五，做到安全内控。在科技部门成立独立团队，担任第二道防线，考核方式参照内控合规部门。

其六，全面内外部审计。建立内控稽核部进行内部审计。同时，接受监管部门或外聘审计公司的安全审计。

在运营层，我们不断突出信息安全运营在信息安全管理中的核心作用。设立安全管理中心，进行系统管理、审计管理、安全管理、集中管控等等，主要包括识别、防护、检测、响应四个方面。

• 在识别方面，要识别哪些资源需要保护，进行资产管理并配置管理CMDB；同时，要定期进行漏洞、补丁、病毒等风险识别。

• 在防护方面，系统的安全最终要依靠主动防护来实现，这其中包括安全策略制定与优化，安全基线建立与管理，安全措施部署，灾备，安全教育等。

• 在检测方面，这是动态响应和加强防护的依据。要不间断地检测网络和系统发现威胁，这包括安全舆情、事件日志、监控一体化平台等。

• 在响应方面，需要根据策略以及检测到的情况进行动态的防护调整，以达到主动防御的目的，这包括应急处置、优化改进等。

在技术层，针对各技术领域实现统一安全功能管理。其中包括物理安全、网络安全、系统安全、应用安全、数据安全、终端安全、用户安全等各方面。

• 在物理安全方面，要做到物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。

• 在网络安全方面，要做到访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。

• 在系统安全方面，要做到安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制。

• 在应用安全方面，要做到安全审计、剩余信息保护、通信完整性、通信保密性、软件容错、资源控制。

• 在数据安全方面，要实现数据完整性、数据保密性、数据可用性、备份与恢复、数据访问安全。

• 在终端安全方面，要做到准入控制、设备管理、终端网络隔离、防病毒、文档加密、邮件防护、资源控制。

• 在用户安全方面，要进行身份鉴别、访问控制、安全审计。

在安全建设初期，很多金融机构都在网络层、系统层、应用层、数据层等部署了一系列安全设备和管控措施进行日常运维，并确保其稳定运行。但后来发现安全状况并没有得到有效改善，安全问题频发，最后发现，其根本原因是没有进行有效的安全运营。在这个阶段，安全运营需要更多的数据资源、更加智能的手段方法和高效的处理能力，进一步助推网络安全防御向着纵深化、智能化、快速化的方向发展。

记者：在诸多的安全防控措施中，贵行在开展银行信息安全建设中的重点工作是什么，取得了哪些成效呢？

总工：

在2020年发布的“十四五”规划《纲要》中，国家从网络安全保障体系、人才培养保护机制、关键信息基础设施安全战略、数据安全保护、数字产业安全等方面强调了数字化转型下的网络安全规划与部署。因此，我们也在紧随政策要求，将信息安全建设重点放在以上几个方面，也在这些方面取得了不错的效果。

在推动关键信息基础设施安全可控落地方面，我们已经实现了关键网络和信息基础设施的合理分布，关键设施和服务的集中度风险得到有效缓解。安全可控信息技术在业务中达到75％左右的使用率，网络安全保障能力不断加强。

在软件开发中采用DevSecOps安全开发模型，从开发到运维的每个阶段都增加了相应的安全活动，以减少软件中漏洞的数量并将安全缺陷降低到最小程度。

在安全治理中建立起了立体安全防御体系，实现主动管理、立体防护、事前防御、快速响应，全面提升了网络安全治理水平。

全面实施大数据安全防护，无论是终端的、主机的、应用的、网络设备的、安全设备的，还是第三方云上的，通过收集这些全量数据进行统一的存储、分析和展现，从而发现里面的异常行为，并进一步找到未知的安全威胁。

构建新一代云安全防护体系，在云计算安全防护方面，建立了涵盖安全准入、安全防护、安全处置等防护体系，对IaaS和PaaS云安全配置的正确性与合规性进行全面、自动化地识别、评估和修复，对云工作负载本身采用CWPP方案进行防护。

构建了一支强大的信息安全人才队伍，信息安全保障工作高度依赖于人的能力。一支技术水平高、经验丰富、战斗力强的信息安全人才队伍是商业银行做好信息安全工作的前提条件。由于合格的信息安全从业人员既需要具备全面扎实的理论基础，又离不开丰富的实践经验，培养信息安全人才往往需要花费数年时间。

记者：了解到贵行目前正在与青藤合作，具体解决了哪些问题呢？

总工：

现在，企业业务运行的环境有太多选择，包括物理设备、容器、公有云、私有云。基础设施越来越多样化，安全问题也就随之变得越来越复杂。但传统的防护功能却难以应对，应急响应已不再是正确的思维模式。

我认为，企业的安全思维要从“事件响应”转换到“持续响应”，并从业务、技术、环境三方面驱动，为企业内部IT资产提供弹性、可信的安全防护能力支持。今天企业面临的最大安全威胁不是被攻击了，而是你还不知道自己已经被攻击。而解决这一大难题的核心思路就是“自适应安全”体系的构建。青藤的主机安全产品采用的是自适应安全架构，集防御、检测、响应和预测于一体，可以持续动态地帮助我们监控安全状况，并加强快速分析和响应能力，有效地发现攻击者并阻断其行为，将风险降至最低。

具体来说，就是青藤产品是在企业核心服务器上做Agent，基于Agent延伸出资产的清点，帮助企业看清、看透自己所拥有的资产。其次，青藤帮助我们主动、精准地发现系统中存在的安全风险，这些风险包括已知风险和未知风险，并提供持续的风险监测和分析能力。最后是处置，在这方面青藤开发引擎式的平台，以开放的形式填补自适应安全落地的鸿沟。同时在产品形态上，青藤也支持SaaS公有云和独立部署，以满足各种环境的部署需求。

我了解到，青藤正在研究如何利用ATT&CK提升产品检测能力，这一点非常好。对信息安全专家来说，用洛克希德-马丁公司的网络杀伤链（Kill Chain）来识别和防止入侵的方法可能并不陌生。但目前，较杀伤链模型更进阶和详细的模型是MITRE的ATT&CK模型，它可以进一步帮助企业加快检测与响应的速度。

此外，近几年，越来越多的企业采用了云原生技术，包括容器、微服务、Serverless等代表技术。例如，越来越多的金融机构利用Docker容器来快速构建和维护新服务和新应用。但是，容器本身也存在重大的安全风险，例如Docker宿主机安全、Docker镜像安全、运行环境的安全问题、编排安全等，这也就是说，保护容器安全将是一项持续的挑战。青藤目前在这方面的研究投入也很大，我们后续也会考虑采用这方面的产品。

记者：贵行是考虑到哪些因素决定采用青藤安全产品的呢？在选型时您重点考虑了哪些标准？

总工：

在选择网络安全产品的时候，我们会考虑各个方面因素，包括市场影响力、产品本身功能、性能以及稳定性等。比如青藤，我记得已经连续好几年入围Gartner了，这也是它们市场实力的体现。当然一款优秀的安全产品能够让安全防护更有效，这个有效包括效率、效果和效益。

在效率方面，主要体现在产品能够提高安全人员工作效率。青藤产品在资产清点、风险发现包括弱口令、漏洞扫描、检测和响应等方面都极大提高安全工作人员效率。举个简单例子，过去传统的漏扫产品，除了误报率高，检测效率也非常低下，而且每次检测都需要重新登录，面对大量主机设备这并非易事。高误报、低效率导致一般甲方用户都不爱用这类漏扫产品，因此后期漏洞的修复进度也就基本上无法跟进。我们选择了青藤的主机漏洞扫描功能。通过在服务器内装Agent，不仅扫描速度快，而且误报率低，也比较精准发现了脏牛、Struts2等漏洞。

在效果方面，青藤基于Agent产品形态，决定了他在资产发现、风险扫描、入侵检测方面都会比传统安全产品更加有效。举个简单例子，通过传统的漏扫产品检测OpenSSL漏洞，只能检测到大版本号，却不能检测得到小版本号。通常情况下，报出50个OpenSSL补丁，可能只有一个是真实存在的，其它都属于误报。

在效益方面，因为产品能够发现更多安全问题，必然减少安全事故，也就减少了安全损失。从这个角度而言就是安全产品能够为企业带来更高的收益价值。

记者：除了您提到的这些技术手段，您认为金融企业还需要做好哪些关键的防护措施？

总工：

首先，网络安全防御要做到“实战化、体系化、常态化”。根据实战化的要求，可以多举行实战演习，实战化水平是检验网络安全能力的唯一标准。根据常态化的要求，就需要建设网络安全监控指挥中心，实行全天候监测通报、应急指挥、事件处置、案件侦办。根据体系化要求，建立完善信息通报预警机制，应急机制和队伍建设，要坚决落实网络安全等级保护制度，建立安全保护生态。

此外，还需要紧抓安全意识和安全培训工作。曾经网络安全只是IT部门的事情，但是今天这种情况早已不存在。企业组织内部任何人都必须意识到他们自身需要遵守的安全规则以及需要对其组织网络安全负责。尤其是公司高层管理人员，必须要意识到其重要性，了解其必要的防范措施。通常情况下，因为员工的不知情，往往造成了严重的安全事件。因此，安全培训和安全意识训练决不能少。

当然，还需要做好安全管理工作，包括安全汇报等。一年内要和高级管理层汇报1-2次，安全规划、安全形势、重大安全决策等内容，汇报形式可以是IT治理委员会或总裁办公会框架下的正式会议，也可以是定期的签报阅签形式。在IT部门和安全团队内部要进行常态化的安全汇报，促进相互了解。

记者：感谢您的解答，这对于其他银行构建完善的信息安全管理体系有很大的借鉴意义，再次感谢您的分享。