// 文丨作者介绍
现在安全从业者对于业务安全的解读,多数是受到了互联网行业的影响,将业务安全基本等同于互联网、互联网金融业务运行中的反欺诈、业务风控以及防范业务逻辑漏洞。我其实是不太认同这种说法的。我认为“业务安全”应该指的是:为了防范企业业务流程中出现风险,避免业务遭遇各类威胁或遭受经济损失,保障整体业务逻辑的顺畅和高效,最终帮助企业达成业务目标、降低经营成本、提升业务收益,进一步增强企业竞争力而采取的风险控制措施。
基于这个定义,如果是一家互联网业务属性比较强的公司(比如互联网、互联网金融),其业务安全的实质内容大概率就是各种反欺诈、对抗薅羊毛、反爬虫、营销活动中的反舞弊等措施;而如果是一家高精尖设备生产制造企业(比如台积电),业务安全的实质内容就应该是保障生产过程不中断、及时交付、交付产品质量高、不会被勒索软件危害;如果是一家研发型企业,业务安全的实质可能就是保障技术或产品的市场领先性、保障销售拿单的竞争力、保障核心研发人员的稳定忠诚。
在我对“业务安全”概念的定义中:
1、“业务”应该定义为公司的核心业务,就是能够对公司经营产生重大影响的业务活动,一般指能够给公司带来主要收入的业务,或者指万一出事,会导致公司被覆灭性打击的业务。比如以我上面所举的几个例子,物流管理可能就不是核心业务,因为这个业务的好坏对公司经营没有决定性影响,那业务安全就可以不用管它(或者说优先级不高)。但是如果你是一家物流公司,因为效率、质量、安全决定了你这家公司的生死,那就必须是核心业务。
2、“安全”这个词的内涵可拆分为如下几个维度,每家企业可以根据自身业务的情况决定选择哪几条。这几条可能也不完备,需要持续完善:
(1)保障业务和业务相关方的可持续运行和可用性,保障业务目标达成。
(2)确保合规性,避免被监管处罚或影响声誉。
(3)保障核心信息不被泄露,或信息泄露不影响业务的运转、收益。
(4)保障数据的完整性、一致性。
(5)自证清白的能力。不论业务运行过程中出现任何问题,业务部门能够证明自己负责部分是合规的、风险受控的。
(6)将“安全”作为业务的核心竞争力之一,客户会因为你“安全”而选择你,安全是促进业务核心竞争力的重要动力。
很多人可能会奇怪,为什么没有把“不被攻击、入侵、控制”作为业务安全的内涵?我是这么看的:如果遭受攻击、入侵或控制,入侵就入侵了嘛,控制就控制了嘛,只要业务运转、公司经营、收入利润不受影响,那就不是业务安全范畴需要考虑的事情,那是基础安全领域需要面对和解决的问题。但是如果被勒索了,那业务连续性就受到严重影响了,那就是业务安全需要面对的问题了;如果被DDOS了,游戏用户没办法登录、顺畅地体验游戏、往游戏里面充值了,那就影响业务运行、收入了,那就是业务安全需要面对的问题了;如果官网被攻击导致用户无法访问,老板觉得不影响业务,那就没有这类业务安全的需求,可是如果官网被篡改并发布了一些敏感、不符合要求的言论,公司会被监管部门处罚,影响了公司声誉,老板觉得影响了业务,那这个就属于业务安全的范畴了。
先说结论:有区别,但是总体目标一致的。
基于上述对于业务安全的解读,可以说基础安全的最终目的就是保障业务安全,此为二者的一致性,这也就是为什么要做“业务安全”的根本原因。
二者的区别在于,基础安全是业务安全开展的基础,基础安全更强调在遭受攻击、控制、窃取、破坏、勒索时,采取技术、管理手段来针对这些风险予以防范、控制。但是基础安全的工作仅是业务安全的基础,没有基础安全的防范、控制工作作为基础,业务安全的工作是无法开展的;且基础安全重点关注攻防、内外部信息窃取、泄露等“面”上的工作,如果最终不能保障业务安全,基础安全的工作就无法体现在公司业务中的价值,这也是很多安全团队会面临的困境“为什么我干了那么多工作,又是修漏洞打补丁,又是建防火墙WAF,还对文档进行加密,累成狗,怎么老板就是不认可我们的工作呢?” 要知道,老板是要看价值的,是要看投入产出比的,如果你的工作无法体现在公司经营上的直接价值,那么,不要怪老板,首先要想想自己的工作思路和方法是不是有问题。
做的好的安全团队,甚至会把基础安全工作形成可组合的安全能力(有点像单个菜品),基于业务需求和场景定制安全解决方案(有点像套餐),最终实现既在“面”上形成普适的安全控制水平,同时在业务场景的“点”上形成针对性的安全价值。
券商的业务本质上就是为企业客户、个人投资者、机构投资者提供投融资服务,在这个过程中需要与其他金融市场主体如交易所、银行发生业务关系,但投融资服务是业务主线。同时,证券行业是个强监管的行业,一旦发生监管事件,会被监管处罚、扣分,影响公司业务经营。因此,根据我的观察和理解,我将券商的业务安全目标定义为:
1、不发生被监管机构处罚、扣分的信息安全事件;
2、不发生因自身原因导致交易所、银行、基金、期货等关联金融市场主体被破坏、窃取、勒索的信息安全事件;不发生影响金融市场秩序的事件;
3、每年因信息安全原因造成的业务可用性损失不超过0.01%(52分钟),损失每年小于100万;不发生信息泄漏事件,或信息泄漏给公司造成的损失每年小于100万;
4、XX业务的核心竞争力持续行业领先。
具体解释下:
1、这是基本要求,别被处罚、扣分,不管是出于什么原因。如果发生了安全事件,监管、舆情层面能摆平,也算你有本事。监管现在对“网络安全”的含义比较广,包括了对抗攻击入侵破坏勒索、对抗薅羊毛和爬虫等业务舞弊、保障生产稳定运行、内容安全、数据安全、数据合规,因此,咱们都得管到。
2、如果发生安全事件,肉要烂在自己锅里面,不能影响交易所、银行、基金等关联机构的信息技术环境被破坏、窃取或勒索;我这里没写“攻击”,是因为我认为攻击只是手段,不是影响,并且攻击一定是会发生的,但我们要设法控制的尽可能不产生影响。
3、不发生影响金融市场秩序的事件这一条,我在和一些同事、同行交流的时候,很多人不太认同,但我坚持认为应该加入。举几个已经发生的例子大家就容易理解了:(1)如果有大量客户的账户被窃取和操纵,进行恶意、集中的买卖,造成股价异常波动,就会影响金融市场秩序和稳定。(2)如果有基金经理、操盘手的账户被监控、被利用和窃取,要么被人用于非法获利,要么被人用于进行恶意的买卖,也是影响金融市场秩序和稳定的。(3)如果从证券公司打到交易所、打到银行,造成系统损坏、资金盗取、数据窃取,也是影响金融市场秩序和稳定。是不是还有其他可能影响金融市场秩序和稳定的场景,欢迎大家补充。
4、可用性、数据安全的指标要求,是对第一点的具象化要求,各家单位可以根据自身实际情况进行调整。如何完整准确地评估“损失小于100万”是个难题(但并非不可做,比如把暗网售价、人工投入、业务损失估算一下,也还是有的),但设置这个目标的导向是“损失尽可能少”。
5、第4条的导向是:找到自家业务的核心竞争力,看看有没有可以通过安全手段加以保障、保护的。比如,投资业务是公司当下和未来的主要增长点,其中的投研分析就是业务的核心竞争力。那么,就可以综合分析下投研分析的整个业务过程,并加以保护。但业务安全一定要以效果为目标,不能以“做什么保护动作”为目标,因此,我将这条的业务安全目标描述为“业务的核心竞争力持续领先”。
6、类似互联网企业场景下的反欺诈、对抗薅羊毛、反爬虫、营销活动中的反舞弊等,是否可以列入业务安全目标?当然可以!但是如果公司每年只是投入很少一部分资源在这类业务上,我们更需要考虑的是投入产出比,值不值得做这个事情、什么时候做这个事情。根据我的观察,证券行业还很少有券商开展这方面工作。
以上的业务安全目标基本还属于“保障型”,那么按照对业务安全的理解,还可以根据自家实际情况设置“促进型”目标,比如在客户层面形成较好的感知,并定义相应的业务安全目标,比如“让个人投资者既方便又安全地赚钱”,“让机构投资者享受到便捷又安全的接入服务”。
1、认知和意识
这个需要多说两句。安全从业者大多是技术出身,喜欢钻研技术,认为技术可以解决绝大多数问题。但在业务安全这个领域上,最重要的还是认知和意识问题。首先要明确所有的信息安全工作都是为了业务安全服务的,如果不能以业务安全目标引领、牵引信息安全工作,信息安全工作在公司层面就无法体现价值,领导、同事都很难认可,最后就很容易沦为背锅侠。
2、积极主动接触、熟悉业务
既然认可要做业务安全了,那就要积极主动地接触和熟悉业务。这里有几个层面的动作:
(1)要梳理上级部门、各类监管部门的要求,主要的法律法规要求;
(2)要全面、准确地学习公司3-5年的战略重点、当期的经营规划,以此找到业务安全要保障、促进的“主营业务”;
(3)积极主动地接触、熟悉这些主营业务的业务过程,听取业务部门意见、听取支持业务的技术团队意见,进而制订合理的业务安全目标;
(4)同时向头部的同行学,目的是学习别人的经验教训;向行业事件案例学习,目的是确保这些事件不会发生在我身上。这里的同行要不限于证券行业同行,可以多向国有大行、商业银行学习。
3、做规划,并落地实践
接触、熟悉业务,最终是为了给我们的工作做输入、形成规划。因此,我强烈建议每个安全团队都要有一份2-3年的安全规划,然后每年定期滚动刷新。整体逻辑上并不复杂,其实就是PDCA的P,只不过以往我们只是做了基础安全的P,现在把业务安全的P也做起来就是了。
针对上面的业务安全目标,举个例子。
针对“不发生因自身原因导致交易所、银行、基金等关联金融市场主体被破坏、窃取、勒索的信息安全事件;不发生影响金融市场秩序的事件”,我们就要去分析券商自身业务与交易所、银行、基金等机构存在哪些业务,这些业务过程分别是怎么实现的,实现过程中使用了哪些IT工具和系统,这其中存在怎样的风险,应该如何去控制风险,比如可能:
-
报盘机是通过深证通线路直连交易所主机的,报盘机上无法装安全工具,那这个环境和通路上如果存在攻击、破坏行为,怎么发现和控制? -
银行划款前置机部署在券商机房里面,这个系统有没有什么运维和安全风险?会不会导致这个通路被利用来攻击银行?如果有,怎么发现和控制? -
监管报送数据文件的过程还存在手工过程,这个过程有没有可能被利用?报送的数据文件格式会不会有风险? -
托管业务的账单数据都是对端发邮件进来,附带了excel文件,我们在服务器上处理了excel文件内容后再返回。这个处理过程excel如果带毒怎么办? -
基金经理、操盘手的电脑、帐号是不是得到了足够的保护和监控?如果他们不愿意被IT监控保护,我们应该采取什么手段? -
...
原文始发于微信公众号(君哥的体历):证券公司怎么做业务安全?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论