0 引言

近年來，網(wǎng)絡與信息系統(tǒng)成為安全事件和泄密事件的主要途徑，國家對安全工作日趨重視，多次下達文件提出嚴格要求，相關監(jiān)管部門也加大了安全與保密檢查的頻度與處罰力度；目前，網(wǎng)絡安全已上升為國家發(fā)展戰(zhàn)略，習近平總書記提出“沒有網(wǎng)絡安全就沒有國家安全”，表明了“網(wǎng)絡安全和信息化”是排在政治經濟體制改革、國家安全之后的國家重大事項，作為國家重要行業(yè)，銀行業(yè)的經濟地位不言而喻，如何全面、系統(tǒng)地保證銀行信息系統(tǒng)的持續(xù)穩(wěn)定運行和業(yè)務信息的安全，是實現(xiàn)銀行業(yè)各項業(yè)務目標的前提條件。

1 城商行信息安全現(xiàn)狀

隨著銀行業(yè)面臨的威脅急劇增加，攻擊手段越來越復雜，對網(wǎng)絡安全防護和網(wǎng)絡安全風險管理的要求逐步提高，國家及金融行業(yè)監(jiān)管部門相繼出臺多個政策指導文件，如《商業(yè)銀行信息科技風險管理指引》、《電子銀行業(yè)務管理辦法》等，政策文件中對信息安全的要求越來越具體，充分體現(xiàn)出信息安全對于銀行信息系統(tǒng)及業(yè)務的重要性。近年城商行業(yè)務快速發(fā)展的同時，也暴露出信息安全管理方面的不足：

1.1 IT基礎設施被國外壟斷，嚴重影響行業(yè)信息安全

當前，我國城商行的大部分IT基礎設施，包括服務器、存儲、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、中間件等 IT基礎設施很大程度上還依賴于國外核心技術，進而威脅行業(yè)信息安全。為此，2014年銀監(jiān)會與工信部聯(lián)合下發(fā)《銀行業(yè)應用安全可控信息技術推進指南（2014-2015 年度）》（銀監(jiān)辦發(fā)【2014】317 號）明確了對銀行業(yè)信息化所涉及的技術、產品及服務的安全可控要求和評價標準，但因業(yè)務相對比較復雜、改造成本過高等制約因素，將在一定的時間內影響行業(yè)的安全自主可控。

1.2 整體信息安全保障體系尚未形成

城商行前期安全建設相對滯后于業(yè)務系統(tǒng)建設，難以有效支撐信息系統(tǒng)工作，業(yè)務系統(tǒng)建設過程中缺乏整體信息安全保障體系規(guī)劃和設計同步，安全管理制度和防護手段相對孤立，無法有效保障銀行業(yè)務系統(tǒng)安全穩(wěn)定的運行。

1.3 運維外包加大了風險控制的難度

城商行為節(jié)約成本、提高效率和規(guī)模，軟件開發(fā)過于依賴第三方外包服務，由此帶來的無序的賬號管理、粗放式的權限管理、粗粒度的操作日志審計分析，以及第三方代維人員所引入的人員風險，給城商行業(yè)務系統(tǒng)帶來了極大的網(wǎng)絡及信息安全隱患。

1.4 業(yè)務層面的安全將會導致更復雜的問題

雖然國家、行業(yè)監(jiān)管單位已經制定了信息安全等級保護、網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范等系列標準，并開展了類似等級保護測評、網(wǎng)上銀行風險評估以及信息科技內部、外部審計等一系列的檢測手段，但局限于網(wǎng)絡層面、系統(tǒng)層面所做的安全工作，且檢測出的應用問題在復雜的業(yè)務應用環(huán)境中難于整改；城商行業(yè)務系統(tǒng)的災備建設與國內五大國有銀行差距大，應急能力有待提高，業(yè)務系統(tǒng)事故頻發(fā)，其風險控制水平急需增強，因而業(yè)務層面的網(wǎng)絡與信息安全問題將會導致城商行信息系統(tǒng)更復雜的問題。

2 城商行信息安全面臨挑戰(zhàn)

隨著互聯(lián)網(wǎng)技術的快速發(fā)展和融合創(chuàng)新，各種新技術、新業(yè)務出不窮。網(wǎng)絡、系統(tǒng)、終端的安全問題相互交織、相互影響，違法和不良信息擴散、病毒傳播、網(wǎng)絡攻擊等非傳統(tǒng)安全威脅日益增多，使得保障IT基礎設施和重要信息系統(tǒng)的安全、營造健康的網(wǎng)絡環(huán)境，面臨著前所未有的壓力和挑戰(zhàn)。

2.1 傳統(tǒng)互聯(lián)網(wǎng)威脅向銀行業(yè)滲透

在線支付、在線交易等基于互聯(lián)網(wǎng)的金融業(yè)務越來越多，由于服務方式的虛擬化，業(yè)務邊界的模糊化，經營環(huán)境的開放化等特征，使得傳統(tǒng)互聯(lián)網(wǎng)威脅例如病毒、木馬攻擊等已經向銀行業(yè)全面滲透。

2.2 新技術使銀行業(yè)面臨更大挑戰(zhàn)

互聯(lián)網(wǎng)技術蓬勃發(fā)展，在為用戶提供快捷服務的同時，也不可避免的引入新的安全問題并對當前信息安全防護提出新的挑戰(zhàn)。隨著互聯(lián)網(wǎng)技術快速發(fā)展，如互聯(lián)網(wǎng)金融等新技術、新業(yè)務形態(tài)的不斷出現(xiàn)，使得銀行業(yè)也面臨著日益嚴峻的信息安全風險挑戰(zhàn)。

2.3 銀行成為黑客攻擊的重點目標

中國反釣魚網(wǎng)站聯(lián)盟（APAC）在2015年8月的反釣魚網(wǎng)站簡報中明確指出“涉及淘寶網(wǎng)、工商銀行、平安銀行、招商銀行四家單位的釣魚網(wǎng)站總量占全部舉報量的96.41%”。同時，國內最大的漏洞相應平臺烏云也披露，僅2015 年上半年，已被金融機構確認、修復的自身網(wǎng)站安全漏洞的數(shù)量已超過去年同期，其中金融機構網(wǎng)站高危和中危漏洞數(shù)量的總和，已占總體探知漏洞總數(shù)的97.2%。由此可見以經濟利益驅動的攻擊和竊取銀行業(yè)重要數(shù)據(jù)行為成為新形勢下的主要攻擊形式。

3 城商行信息安全建設思路

通過對我國城商行信息安全現(xiàn)狀分析、以及行業(yè)所面臨的挑戰(zhàn)，結合國家、行業(yè)監(jiān)管單位的要求，為更好的解決安全防護能力不一、體系化不足等問題，迫切需要構建全方位信息安全保障體系，快速提升安全技術防護能力與管理水平。

3.1 明確信息安全總體目標和思路

貫徹落實中央網(wǎng)絡安全和信息化領導小組有關要求，執(zhí)行國家的信息安全等級保護制度，落實行業(yè)監(jiān)管單位要求，逐步提升信息系統(tǒng)的“風險識別、威脅主動防御、事件響應處理”等三項保障能力，逐步形成一體化的風險識別、防護和響應體系，信息安全保障體系建設的總體思路是：管理和技術并重，預防為主，注重長效。

3.2 層次化的整體框架設計

信息安全保障體系整體框架設計應綜合考慮IT 管理過程涉及的各個關鍵要素，將組織、策略、運行和技術等各方面緊密結合，從總體上進行統(tǒng)籌規(guī)劃，設計信息安全保障整體框架，從技術、管理和運維三方面分層次進行設計。

3.3 制定分階段目標和實施路徑

為保證信息安全保障體系的可操作性，建議采用3-5年時間進行規(guī)劃設計及實施，分階段制訂詳細的階段實現(xiàn)目標和實施路徑，完善城商行信息安全法規(guī)制度和標準規(guī)范體系，加快建立安全運維管理服務體系。

3.4 形成信息安全指標評價體系

結合國家標準、行業(yè)監(jiān)管單位要求和商業(yè)銀行信息安全現(xiàn)狀，融合國內外以及其他行業(yè)最佳實踐，形成城商行信息系統(tǒng)可持續(xù)改進的信息安全指標評價體系，便于綜合量化評價考量安全防控能力水平和信息安全保障體系實施情況。

4 城商行信息安全保障體系設計

信息安全保障體系應以城商行IT基礎架構為基礎，以信息安全策略為指導目標，遵守國家法律法規(guī)、行業(yè)要求，參考信息安全等級保護、ISO27001等最佳實踐，通過安全管理體系、安全技術體系以及安全運維體系三個重要部分來實現(xiàn)可管、可控和可信的三個信息安全目標，最后通過信息安全指標評價體系來評價考量信息安全保障體系實施情況，信息安全保障體系設計如下圖1。

圖1 信息安全保障體系架構示意圖

4.1 信息安全管理體系

信息安全管理在信息安全保障體系中占有重要的地位，包括安全策略、安全組織兩個部分。安全策略體系總述了信息安全的總體方針政策、標準規(guī)范和指南細則、以及各類實施細則、操作手冊組成。安全組織體系定義了保障信息安全策略有效執(zhí)行需要的角色和職責，從職能上分為決策、管理和執(zhí)行三個組織層次。

4.2 信息安全技術體系

信息安全技術是信息安全保障體系的基礎，安全管理是安全技術切實發(fā)揮作用的保障。信息安全保障體系采用縱向防護與橫向防護相互關聯(lián)、相互支撐的技術架構?？v向包括終端、數(shù)據(jù)、應用、系統(tǒng)、網(wǎng)絡、物理六個層次，橫向包括識別與監(jiān)測、安全防護和審計與恢復三個環(huán)節(jié)，在縱橫之間部署相應的安全技術組件。識別與監(jiān)測：主要包含了威脅識別、入侵檢測、漏洞掃描等要求。安全防護：主要包含了身份認證、攻擊防護、數(shù)據(jù)加密、訪問控制、安全配置等要求。審計與恢復能力：主要包含了操作審計、應急響應、災備恢復等要求。

同時，在安全技術組件設計時應充分關注新技術帶來新挑戰(zhàn)，例如虛擬化、云計算等IT 環(huán)境下比較突出的是用戶數(shù)據(jù)資料和資源濫用的問題，高級新型攻擊如APT攻擊防護等。

4.3 信息安全運維體系

信息安全運維主要是通過一系列的流程和規(guī)范，將管理和技術措施在日常工作中進行落地和執(zhí)行。安全運維以風險管理為基礎，采用安全事件“事前、事后”的主動和被動兩種方式實現(xiàn)常態(tài)化的安全運維。

5 城商行信息安全保障體系建設成效評價

如何評估和量化信息安全保障體系建設成效，將成為信息安全保障體系能夠有效落實的關鍵因素，通過制訂符合現(xiàn)狀的信息安全指標評價體系將是其最佳方法。

5.1 確定評價體系的量化目標

信息安全保障體系評價指標，應與信息安全總體策略保持一致，根據(jù)信息安全策略來確定評價體系的量化目標，例如在本文件第5部分信息安全保障體系設計中的信息安全策略，那么我們可以在信息安全策略的基礎上來定義信息安全評價體系的量化目標的四個層次（初始級、可管級、可控級、可信級），每個層次應包含組成信息安全保障體系運行的技術、管理和運維各個方面。

5.2 關鍵評價指標設計

關鍵評價指標設計應按照信息安全策略目標、各層次目標、流程目標和性能指標逐步分解；如下圖2所示：

圖2 信息安全評價體系指標設計

圖中信息安全管理的目標評價內容包括：流程運行結果成效和流程中的信息安全管控活動兩項內容，針對量化內容，可以分別關鍵目標指標評價（KGI）和關鍵性能指標評價（KPI）依靠下列指標的評價來實現(xiàn)。關鍵目標指標評價（KGI）：針對流程運行結果的評價。關鍵目標指標是明確要取得什么目標，并描繪控制的結果，進行事后評判，來體現(xiàn)控制的完成即成功與否。關鍵性能指標評價（KPI）：主要針對流程關鍵成功因素的評價，如某一控制措施，通過對該關鍵成功因素的實際表現(xiàn)進行觀察和評價，從而了解該因素是否滿足標準、信息安全保障體系的要求。關鍵性能指標是控制執(zhí)行程度的測定，面向控制過程，指出控制要完成到怎樣的程度。

5.3 明確評價措施和方法

評價方法是評價實施過程中關鍵識別的要素，評價人員通過對計算公式、刻度以及采集頻率的總結和選取，周期性或隨機性對數(shù)據(jù)源進行采集，經過計算公式轉化，最終在將數(shù)據(jù)源產生的原始數(shù)據(jù)在一定的刻度下轉化為可量化的各項指標，其中，采集頻率可參考下列內容：年度、季度、月度以及周為單位；刻度可以參考：排序、間隔、百分比以及絕對值；通過具體的評價手段如下：訪談、調查問卷、檢查、演練、測試和采樣等方式來獲取評價的數(shù)據(jù)來源。

6 結束語

信息安全保障體系建設具有動態(tài)性、長期性的特點，要以實現(xiàn)業(yè)務目標為導向，伴隨業(yè)務目標調整而調整，為確保信息安全保障體系的適用性，當發(fā)生業(yè)務轉型、業(yè)務變更和大規(guī)模的信息變化時，需要及時對信息安全保障體系進行修訂和改進；同時，應關注新技術、新業(yè)務形態(tài)帶來的安全問題，如云計算、大數(shù)據(jù)、在線支付交易、微信銀行等新技術和業(yè)務帶來的安全問題，通過研究和開發(fā)相應的安全解決方案為信息安全保障體系優(yōu)化提出改進建議及要求。