韓強(qiáng) 王小林

在銀行高度依賴信息科技的當(dāng)下，信息科技與銀行業(yè)務(wù)已融為一體，“科技即業(yè)務(wù)”的理念在全國(guó)性銀行機(jī)構(gòu)中已然成為共識(shí)，但作為區(qū)域性銀行的城商行，對(duì)信息科技的認(rèn)知大多停留在“后臺(tái)支撐”層面，而忽略其催化、提升業(yè)務(wù)價(jià)值的屬性，信息化廣度和深度差距甚遠(yuǎn)。特別是科技人員奇缺，對(duì)外包服務(wù)依賴嚴(yán)重，項(xiàng)目開(kāi)發(fā)缺乏系統(tǒng)性的長(zhǎng)遠(yuǎn)規(guī)劃，倉(cāng)促上馬，針對(duì)新型技術(shù)的安全防護(hù)能力較弱，潛在的信息安全隱患依然突出。面對(duì)金融科技新時(shí)代，信息安全已經(jīng)走到變革的交叉路口，加快城商行信息安全管理轉(zhuǎn)型勢(shì)在必行。

近年來(lái)，西安銀行從多個(gè)維度針對(duì)互聯(lián)網(wǎng)類(lèi)業(yè)務(wù)進(jìn)行逐層加固，不斷完善細(xì)化安全事件防御工作的顆粒度，逐步完成整個(gè)體系的建設(shè)，在金融業(yè)信息安全防范領(lǐng)域做出了有益的探索。

當(dāng)前信息安全管理中的突出問(wèn)題

（一）金融開(kāi)發(fā)團(tuán)隊(duì)大多是新建立的團(tuán)隊(duì)，外包人員較多，開(kāi)發(fā)規(guī)范不夠健全，開(kāi)發(fā)人員的經(jīng)驗(yàn)和安全意識(shí)參差不齊

一是由于地域、規(guī)模和資源的局限性，絕大多數(shù)城商行科技人員的缺失率普遍高于50%，不少城商行項(xiàng)目開(kāi)發(fā)人員占科技人員比例低于20%，無(wú)法滿足開(kāi)發(fā)生命周期中的崗位設(shè)置要求，而且人員新、經(jīng)驗(yàn)少，甚至混雜許多缺乏專(zhuān)業(yè)背景的半路出家者，嚴(yán)重拖累項(xiàng)目開(kāi)發(fā)質(zhì)量與效率。二是人員緊張，兼崗現(xiàn)象突出，制約機(jī)制缺失。未設(shè)立專(zhuān)門(mén)的開(kāi)發(fā)管理團(tuán)隊(duì)以及獨(dú)立的測(cè)試團(tuán)隊(duì)，開(kāi)發(fā)人員甚至兼職系統(tǒng)維護(hù)。三是自身開(kāi)發(fā)能力不足，外包依賴度較高，且缺乏安全管理措施，外包監(jiān)控手段較弱，外包引發(fā)的信息安全風(fēng)險(xiǎn)事件時(shí)有發(fā)生。四是制度流程不完善。部分城商行尚未制定涵蓋系統(tǒng)開(kāi)發(fā)生命周期的完整開(kāi)發(fā)管理制度和流程，現(xiàn)有制度對(duì)立項(xiàng)審批、可行性研究、需求分析、設(shè)計(jì)、編碼、測(cè)試以及項(xiàng)目質(zhì)量控制、風(fēng)險(xiǎn)控制等規(guī)定不詳實(shí)、不到位。

（二）項(xiàng)目上線沒(méi)有給系統(tǒng)開(kāi)發(fā)預(yù)留足夠時(shí)間，導(dǎo)致出現(xiàn)大量的快速開(kāi)發(fā)現(xiàn)象，使項(xiàng)目安全風(fēng)險(xiǎn)增大

一是項(xiàng)目開(kāi)發(fā)缺乏系統(tǒng)性的長(zhǎng)遠(yuǎn)規(guī)劃。臨時(shí)起意開(kāi)發(fā)項(xiàng)目居多，可行性論證、成本效益分析、風(fēng)險(xiǎn)評(píng)估等前期準(zhǔn)備工作不充分。二是項(xiàng)目開(kāi)發(fā)盲目搶工期。普遍未開(kāi)展CMMI等軟件能力成熟度認(rèn)證，未采用標(biāo)準(zhǔn)的項(xiàng)目管理工具對(duì)開(kāi)發(fā)項(xiàng)目實(shí)施管理，系統(tǒng)開(kāi)發(fā)進(jìn)度和質(zhì)量控制不到位，風(fēng)險(xiǎn)識(shí)別不充分。三是測(cè)試工作簡(jiǎn)單化、走過(guò)場(chǎng)。部分城商行缺乏完整的測(cè)試方案，未有效區(qū)分功能性測(cè)試與非功能性測(cè)試，壓力測(cè)試、邊界測(cè)試不到位，業(yè)務(wù)部門(mén)參與測(cè)試工作不足。

（三）針對(duì)新型技術(shù)的安全防護(hù)能力較弱

一是缺乏針對(duì)新型技術(shù)的信息安全防護(hù)策略，原有防御手段難以滿足新環(huán)境下的安全保障。云計(jì)算等新型技術(shù)由于其虛擬性、高可靠性、動(dòng)態(tài)可擴(kuò)展性、超強(qiáng)計(jì)算和存儲(chǔ)等特點(diǎn)，對(duì)租戶角色信任、隱私數(shù)據(jù)保護(hù)等方面提出了更高的安全需求，而目前城商行普遍沒(méi)有建立起完整規(guī)范的信息安全防護(hù)架構(gòu)和安全方案，安全風(fēng)險(xiǎn)極易快速蔓延。二是數(shù)據(jù)安全管理手段落后。城商行應(yīng)對(duì)數(shù)據(jù)安全漏洞的手段仍然集中于傳統(tǒng)的數(shù)據(jù)分級(jí)、數(shù)據(jù)訪問(wèn)權(quán)限控制、數(shù)據(jù)加密等方式，而在大數(shù)據(jù)和云計(jì)算場(chǎng)景下，數(shù)據(jù)內(nèi)容不停衍化、數(shù)據(jù)邊界日益模糊、訪問(wèn)主體和客體關(guān)系異常復(fù)雜、硬件性能更是無(wú)法滿足海量數(shù)據(jù)的加解密需求。

（四）信息安全事件分析體系不健全，以防御為主，缺少通過(guò)事件分析預(yù)警和研判風(fēng)險(xiǎn)的能力

目前城商行由于信息安全管理體系架構(gòu)不健全，缺乏有效的信息安全事件分析機(jī)制，對(duì)風(fēng)險(xiǎn)事件的分析和預(yù)警存在以下問(wèn)題：一是缺乏風(fēng)險(xiǎn)數(shù)據(jù)積累，風(fēng)險(xiǎn)損失數(shù)據(jù)的收集和報(bào)送機(jī)制尚未成型，導(dǎo)致對(duì)風(fēng)險(xiǎn)事件的識(shí)別、監(jiān)測(cè)和預(yù)警缺乏歷史數(shù)據(jù)支撐。二是尚未建立起有效的信息風(fēng)險(xiǎn)事件預(yù)警模型，缺乏對(duì)風(fēng)險(xiǎn)事件的預(yù)警和研判。目前，城商行在對(duì)信息安全事件的分析中，主要側(cè)重于防御，僅就風(fēng)險(xiǎn)事件發(fā)生的概率、原因進(jìn)行分析并進(jìn)行改進(jìn)和完善，并沒(méi)有通過(guò)構(gòu)建風(fēng)險(xiǎn)預(yù)警模型，充分利用歷史風(fēng)險(xiǎn)數(shù)據(jù)有效預(yù)測(cè)和及時(shí)預(yù)警風(fēng)險(xiǎn)事件發(fā)生。

信息安全管理的改進(jìn)建議

（一）系統(tǒng)化構(gòu)建信息安全運(yùn)營(yíng)體系，加快信息安全管理轉(zhuǎn)型，實(shí)現(xiàn)從“重建設(shè)、輕管理、無(wú)運(yùn)營(yíng)”模式向“管理、運(yùn)營(yíng)與建設(shè)并重”模式轉(zhuǎn)變，從事后向事前、事中轉(zhuǎn)變

城商行應(yīng)當(dāng)樹(shù)立信息安全運(yùn)營(yíng)理念，積極推進(jìn)信息安全運(yùn)營(yíng)體系建設(shè)，通過(guò)運(yùn)營(yíng)將管理與建設(shè)串聯(lián)起來(lái)，使得信息安全工作由點(diǎn)變面，形成整體協(xié)調(diào)的信息安全治理和運(yùn)作體系。具體而言，信息安全運(yùn)營(yíng)體系建設(shè)至少具有兩方面作用：一方面通過(guò)信息安全運(yùn)營(yíng)，能夠?qū)⑿畔踩芾淼哪繕?biāo)、方針及策略進(jìn)一步細(xì)化成為具體的工作目標(biāo)、任務(wù)和監(jiān)督指標(biāo)，進(jìn)而促進(jìn)安全工作的執(zhí)行，并推動(dòng)信息安全的工作協(xié)同；另一方面，信息安全運(yùn)營(yíng)又能將信息安全管控和建設(shè)中的重點(diǎn)工作，如安全監(jiān)控、安全分析、安全事件管理、安全響應(yīng)及應(yīng)急、協(xié)同等，化零為整，組成系統(tǒng)化工作運(yùn)作板塊，改變信息安全“豎井式”建設(shè)帶來(lái)的應(yīng)對(duì)威脅零碎化、面對(duì)新的威脅又無(wú)法整合力量進(jìn)行積極應(yīng)對(duì)等諸多弊端。近年來(lái)，西安銀行注重系統(tǒng)化構(gòu)建信息安全運(yùn)營(yíng)體系，依托第三方安全服務(wù)公司協(xié)同防御，并引入新興技術(shù)主動(dòng)響應(yīng)、智能分析，全方位強(qiáng)化運(yùn)維監(jiān)控。

一是自行監(jiān)控。明確監(jiān)控目標(biāo)與監(jiān)控內(nèi)容，制定監(jiān)控管理流程，針對(duì)全網(wǎng)各類(lèi)軟硬件系統(tǒng)進(jìn)行日志統(tǒng)一審計(jì)，關(guān)聯(lián)展現(xiàn)；針對(duì)重要系統(tǒng)進(jìn)行流量可視化監(jiān)控；針對(duì)當(dāng)前安全設(shè)備運(yùn)行狀況，系統(tǒng)運(yùn)行狀況進(jìn)行實(shí)時(shí)狀態(tài)監(jiān)測(cè)；所有監(jiān)控結(jié)果通過(guò)事件管理流程進(jìn)行統(tǒng)一分配，任何超閥值的告警信息實(shí)行自動(dòng)短信、微信通知到人，運(yùn)維人員7*24小時(shí)輪班值守，確?；A(chǔ)運(yùn)行環(huán)境的穩(wěn)定運(yùn)行。

二是第三方安全服務(wù)公司協(xié)同監(jiān)控。與第三方具備國(guó)家認(rèn)可的信息安全應(yīng)急服務(wù)資質(zhì)的的公司簽訂服務(wù)合同，針對(duì)所有需要實(shí)時(shí)監(jiān)控的系統(tǒng)進(jìn)行7*24小時(shí)監(jiān)控，并且定義事件等級(jí)，根據(jù)事件等級(jí)通知。西安銀行依托第三方安全服務(wù)公司，重點(diǎn)對(duì)門(mén)戶網(wǎng)站、網(wǎng)銀等互聯(lián)網(wǎng)開(kāi)放業(yè)務(wù)系統(tǒng)進(jìn)行長(zhǎng)期不間斷的安全監(jiān)測(cè)和定期的安全檢查。安全監(jiān)測(cè)的內(nèi)容包括遠(yuǎn)程網(wǎng)站漏洞掃描、遠(yuǎn)程網(wǎng)頁(yè)掛馬實(shí)時(shí)監(jiān)控、遠(yuǎn)程網(wǎng)頁(yè)敏感內(nèi)容實(shí)時(shí)監(jiān)測(cè)、網(wǎng)站可用性監(jiān)測(cè)、遠(yuǎn)程網(wǎng)頁(yè)篡改監(jiān)測(cè)和釣魚(yú)網(wǎng)站。

遠(yuǎn)程網(wǎng)站漏洞掃描：通過(guò)遠(yuǎn)程方式，對(duì)網(wǎng)站定期安全檢查，由安全專(zhuān)家進(jìn)行專(zhuān)業(yè)分析，篩查網(wǎng)站存在的隱患和漏洞，提供安全掃描報(bào)告，確保漏洞的及時(shí)修復(fù)。

遠(yuǎn)程網(wǎng)頁(yè)掛馬實(shí)時(shí)監(jiān)控：采用多種檢測(cè)技術(shù)對(duì)網(wǎng)站掛馬進(jìn)行監(jiān)測(cè)，發(fā)現(xiàn)網(wǎng)站被掛馬后及時(shí)告警，減少風(fēng)險(xiǎn)。

遠(yuǎn)程網(wǎng)頁(yè)敏感內(nèi)容實(shí)時(shí)監(jiān)測(cè)：對(duì)網(wǎng)頁(yè)中出現(xiàn)的敏感內(nèi)容進(jìn)行監(jiān)測(cè)，如發(fā)現(xiàn)敏感內(nèi)容及時(shí)告警并進(jìn)行處理。

遠(yuǎn)程可用性監(jiān)測(cè)：對(duì)服務(wù)站點(diǎn)進(jìn)行實(shí)時(shí)遠(yuǎn)程訪問(wèn)可用性監(jiān)視，跟蹤重點(diǎn)對(duì)象的訪問(wèn)情況，并根據(jù)嚴(yán)重程度及時(shí)發(fā)出報(bào)警信號(hào)，第一時(shí)間告警，減少網(wǎng)站中斷對(duì)用戶業(yè)務(wù)的影響，保障網(wǎng)站的可用性。

防釣魚(yú)監(jiān)控：針對(duì)近年來(lái)國(guó)內(nèi)釣魚(yú)攻擊網(wǎng)銀欺詐案件頻發(fā)問(wèn)題，西安銀行高度重視網(wǎng)上銀行風(fēng)險(xiǎn)管控，與“國(guó)家互聯(lián)網(wǎng)應(yīng)急中心”簽訂專(zhuān)項(xiàng)協(xié)議，加強(qiáng)對(duì)仿冒網(wǎng)站等“釣魚(yú)”欺詐事件的追蹤分析與防范，構(gòu)建反“釣魚(yú)”應(yīng)急處置機(jī)制，有效切斷“釣魚(yú)”詐騙渠道。

（二）開(kāi)展信息安全管理體系優(yōu)化，建立涵蓋系統(tǒng)開(kāi)發(fā)生命周期的完整開(kāi)發(fā)管理制度和流程，為信息安全管理與項(xiàng)目風(fēng)險(xiǎn)控制提供組織及制度保障

信息安全管理體系優(yōu)化，主要包括主動(dòng)優(yōu)化信息安全治理結(jié)構(gòu)，完善信息安全組織架構(gòu)和隊(duì)伍建設(shè)，調(diào)整信息安全職責(zé)分工，并強(qiáng)化和完善基礎(chǔ)安全的管理要求等。一是進(jìn)一步明確全行信息安全的治理架構(gòu)。二是要從企業(yè)戰(zhàn)略層面開(kāi)展信息科技整體規(guī)劃，董事會(huì)及高管層要做好統(tǒng)籌管理，并注重與業(yè)務(wù)戰(zhàn)略有機(jī)融合、協(xié)同發(fā)展。項(xiàng)目實(shí)施部門(mén)應(yīng)定期向董事會(huì)及高管層提交重大信息科技項(xiàng)目的進(jìn)度報(bào)告，由其進(jìn)行審核監(jiān)督。三是建立涵蓋系統(tǒng)開(kāi)發(fā)生命周期的完整開(kāi)發(fā)管理制度和流程，對(duì)立項(xiàng)審批、項(xiàng)目設(shè)計(jì)、編碼、測(cè)試以及項(xiàng)目質(zhì)量控制、風(fēng)險(xiǎn)控制等做出詳實(shí)規(guī)定。四是建立有效的項(xiàng)目開(kāi)發(fā)團(tuán)隊(duì)、測(cè)試團(tuán)隊(duì)，尤其要確保測(cè)試團(tuán)隊(duì)的獨(dú)立性與專(zhuān)業(yè)化，并選擇恰當(dāng)?shù)臏y(cè)試方式，全面開(kāi)展功能性測(cè)試與非功能性測(cè)試，加強(qiáng)壓力測(cè)試、邊界測(cè)試。

西安銀行在互聯(lián)網(wǎng)業(yè)務(wù)程序開(kāi)發(fā)設(shè)計(jì)上，注重安全開(kāi)發(fā)規(guī)范的建立，同時(shí)組織開(kāi)展嚴(yán)格的代碼審計(jì)，從業(yè)務(wù)邏輯、代碼邏輯、代碼漏洞、數(shù)據(jù)泄露等方面進(jìn)行篩查、測(cè)試、驗(yàn)證，從而實(shí)現(xiàn)代碼層面對(duì)互聯(lián)網(wǎng)業(yè)務(wù)進(jìn)行安全防范。

制定安全開(kāi)發(fā)規(guī)范：在開(kāi)發(fā)實(shí)施初期，西安銀行為提高軟件開(kāi)發(fā)質(zhì)量，詳實(shí)制定團(tuán)隊(duì)各項(xiàng)質(zhì)量保障的規(guī)范，對(duì)信息安全提出明確標(biāo)準(zhǔn)與要求。

開(kāi)展項(xiàng)目安全開(kāi)發(fā)培訓(xùn)：對(duì)相關(guān)項(xiàng)目開(kāi)發(fā)人員進(jìn)行專(zhuān)業(yè)嚴(yán)格、系統(tǒng)的程序設(shè)計(jì)開(kāi)發(fā)原理與開(kāi)發(fā)規(guī)范培訓(xùn)，以提升安全意識(shí)與安全管理水準(zhǔn)。

進(jìn)行嚴(yán)格代碼審計(jì)：針對(duì)最新開(kāi)發(fā)設(shè)計(jì)的應(yīng)用系統(tǒng)軟件中可能存在的安全缺陷（漏洞），組織開(kāi)展嚴(yán)格的代碼審計(jì)，安全測(cè)試人員應(yīng)用各種技術(shù)和測(cè)試策略，來(lái)高效的發(fā)現(xiàn)和挖掘這些缺陷。具體而言，應(yīng)用系統(tǒng)源代碼安全審計(jì)服務(wù)的實(shí)施人員，根據(jù)用戶提供的資料（需要用戶提供與軟件系統(tǒng)相關(guān)的設(shè)計(jì)文檔、源代碼，以及與開(kāi)發(fā)人員之間的必要溝通），對(duì)其應(yīng)用系統(tǒng)進(jìn)行源代碼檢查，預(yù)先發(fā)現(xiàn)其中的安全漏洞和具有潛在威脅的地方，提供相應(yīng)的代碼完善建議，并且根據(jù)用戶應(yīng)用系統(tǒng)安全現(xiàn)狀提供問(wèn)題解決方案，同時(shí)根據(jù)用戶的需求，有針對(duì)性的對(duì)用戶系統(tǒng)操作人員、開(kāi)發(fā)人員和測(cè)試人員提供源代碼安全培訓(xùn)服務(wù)。

實(shí)踐證明，應(yīng)用系統(tǒng)源代碼安全審計(jì)服務(wù)具有重要作用，通過(guò)專(zhuān)業(yè)化的源代碼安全檢查，可發(fā)現(xiàn)應(yīng)用系統(tǒng)現(xiàn)有的和潛在的安全問(wèn)題，能夠非常有效地防范、降低用戶應(yīng)用系統(tǒng)所面臨的政治壓力、經(jīng)濟(jì)損失和數(shù)據(jù)泄密等安全風(fēng)險(xiǎn)。

（三）建立常態(tài)化IT風(fēng)險(xiǎn)評(píng)估機(jī)制，實(shí)現(xiàn)以定期IT風(fēng)險(xiǎn)專(zhuān)項(xiàng)評(píng)估為主向“嵌入式”“觸發(fā)式”評(píng)估為主轉(zhuǎn)變，提升風(fēng)險(xiǎn)識(shí)別評(píng)估的及時(shí)性和有效性

當(dāng)前信息科技已全面融入銀行業(yè)務(wù)經(jīng)營(yíng)的每一個(gè)角落，IT風(fēng)險(xiǎn)管理不能僅靠科技部門(mén)單打獨(dú)斗，也不能依賴科技部門(mén)和業(yè)務(wù)部門(mén)“自己管自己”，需要風(fēng)險(xiǎn)管理部門(mén)作為第二道防線發(fā)揮監(jiān)督、制約和協(xié)調(diào)作用，從“另一視角”獨(dú)立管控IT風(fēng)險(xiǎn)。為此，作為第二道防線的風(fēng)險(xiǎn)管理部門(mén)有必要組建穩(wěn)定的IT 風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)，梳理重點(diǎn)領(lǐng)域的IT風(fēng)險(xiǎn)點(diǎn)，制定IT風(fēng)險(xiǎn)評(píng)估手冊(cè)，明確評(píng)估方法和標(biāo)準(zhǔn)，建立嵌入流程并能自動(dòng)觸發(fā)的常態(tài)化IT風(fēng)險(xiǎn)評(píng)估機(jī)制，從當(dāng)前以定期IT風(fēng)險(xiǎn)專(zhuān)項(xiàng)評(píng)估為主，逐步轉(zhuǎn)變?yōu)橐浴扒度胧健薄ⅰ坝|發(fā)式”評(píng)估為主。其中，“嵌入式”評(píng)估是指將風(fēng)險(xiǎn)評(píng)估流程嵌入新產(chǎn)品、新業(yè)務(wù)、新系統(tǒng)的立項(xiàng)、實(shí)施、投產(chǎn)和運(yùn)行環(huán)節(jié)，在事前、事中及時(shí)識(shí)別風(fēng)險(xiǎn)?！坝|發(fā)式”評(píng)估指發(fā)生重大風(fēng)險(xiǎn)事件或風(fēng)險(xiǎn)隱患較大時(shí)，立即開(kāi)展有針對(duì)性的風(fēng)險(xiǎn)評(píng)估。

（四）建立系統(tǒng)支撐的IT風(fēng)險(xiǎn)監(jiān)測(cè)平臺(tái)，提高風(fēng)險(xiǎn)預(yù)警的敏感性

一是在梳理重點(diǎn)領(lǐng)域各流程環(huán)節(jié)關(guān)鍵風(fēng)險(xiǎn)的基礎(chǔ)上，建立IT風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)，整合對(duì)接核心系統(tǒng)生產(chǎn)運(yùn)行、網(wǎng)絡(luò)安全、基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)等相關(guān)數(shù)據(jù)，建立IT風(fēng)險(xiǎn)監(jiān)測(cè)平臺(tái)，將核心生產(chǎn)系統(tǒng)交易量、交易成功率、主機(jī)和開(kāi)放系統(tǒng)運(yùn)行情況等系統(tǒng)監(jiān)控和應(yīng)用監(jiān)控信息納入風(fēng)險(xiǎn)管理部門(mén)日常監(jiān)控范圍。二是要科學(xué)設(shè)定IT關(guān)鍵風(fēng)險(xiǎn)指標(biāo)體系，對(duì)重要系統(tǒng)可用率、災(zāi)備覆蓋率、監(jiān)控覆蓋率、重大變更成功率等關(guān)鍵風(fēng)險(xiǎn)指標(biāo)進(jìn)行持續(xù)監(jiān)測(cè)。三是針對(duì)大數(shù)據(jù)、人工智能等新技術(shù)應(yīng)用風(fēng)險(xiǎn)，要積極引入更為先進(jìn)的安全防御技術(shù)，比如采用深度流量檢測(cè)、沙箱技術(shù)、大數(shù)據(jù)綜合流量日志分析等先進(jìn)技術(shù)管理手段，及時(shí)監(jiān)測(cè)和識(shí)別可疑網(wǎng)絡(luò)攻擊，同時(shí)部署入侵防御系統(tǒng)、智能終端安全管理系統(tǒng)等，建立各個(gè)終端安全防線。四是建立IT 風(fēng)險(xiǎn)報(bào)告系統(tǒng)，收集全行IT風(fēng)險(xiǎn)事件，定期向高管層報(bào)告IT風(fēng)險(xiǎn)狀況，并對(duì)重大IT風(fēng)險(xiǎn)事件開(kāi)展調(diào)查分析。

近年來(lái)，西安銀行積極推進(jìn)具有體系化的網(wǎng)絡(luò)風(fēng)險(xiǎn)監(jiān)測(cè)平臺(tái)建設(shè)，通過(guò)區(qū)域化設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)、部署不同層面的安全監(jiān)測(cè)防御設(shè)備以及未知威脅感知系統(tǒng)，有效實(shí)施網(wǎng)絡(luò)數(shù)據(jù)流的控制、過(guò)濾及清洗，保證了互聯(lián)網(wǎng)類(lèi)業(yè)務(wù)的安全隔離。

1.區(qū)域化設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)，制定訪問(wèn)要求；

2.部署不同層面的安全監(jiān)測(cè)防御設(shè)備；

3.控制業(yè)務(wù)流的訪問(wèn)條件；

4.部署“未知威脅感知系統(tǒng)”。

（五）優(yōu)化完善IT風(fēng)險(xiǎn)計(jì)量方法，提升風(fēng)險(xiǎn)計(jì)量的科學(xué)性

優(yōu)化系統(tǒng)中斷時(shí)間與損失金額的轉(zhuǎn)化標(biāo)準(zhǔn)，借鑒操作風(fēng)險(xiǎn)標(biāo)準(zhǔn)法和高級(jí)計(jì)量法（主要是損失分布法）的計(jì)量原理，優(yōu)化IT風(fēng)險(xiǎn)計(jì)量標(biāo)準(zhǔn)和模型?；贗T風(fēng)險(xiǎn)指標(biāo)、風(fēng)險(xiǎn)評(píng)估要點(diǎn)設(shè)計(jì)評(píng)分卡，逐步建立符合IT風(fēng)險(xiǎn)特點(diǎn)的計(jì)量方法、標(biāo)準(zhǔn)和模型，提升計(jì)量的科學(xué)性，擴(kuò)大計(jì)量結(jié)果在經(jīng)濟(jì)資本管理領(lǐng)域的應(yīng)用深度。

（六）前移信息安全事件防控關(guān)口，建立科學(xué)的信息風(fēng)險(xiǎn)事件預(yù)警模型，提高信息安全監(jiān)測(cè)敏感度，增強(qiáng)處置信息系統(tǒng)突發(fā)事件的主動(dòng)性

信息安全事件防控是一項(xiàng)科學(xué)化、系統(tǒng)化工程，包括事前、事中、事后三個(gè)階段。隨著信息科技飛速發(fā)展，大數(shù)據(jù)、云計(jì)算等新興技術(shù)的廣泛應(yīng)用，信息安全隱患問(wèn)題更加隱蔽，信息安全事件傳染性、破壞性更加突出，因而事前檢測(cè)預(yù)防變得尤為重要?？赏ㄟ^(guò)滲透測(cè)試、系統(tǒng)級(jí)漏洞掃描、流量清洗服務(wù)等多種方式，事先發(fā)現(xiàn)信息安全漏洞。

同時(shí)，還要注重信息安全事件事后總結(jié)分析，健全信息安全事件分析體系，建立科學(xué)的信息風(fēng)險(xiǎn)事件預(yù)警模型。一是要制定信息風(fēng)險(xiǎn)損失數(shù)據(jù)收集模板和信息風(fēng)險(xiǎn)事件內(nèi)容模板，建立健全信息風(fēng)險(xiǎn)損失數(shù)據(jù)的收集和報(bào)送機(jī)制，并通過(guò)加強(qiáng)數(shù)據(jù)處理的檢查和考核，提升風(fēng)險(xiǎn)數(shù)據(jù)收集的準(zhǔn)確性和完整性，為實(shí)施信息風(fēng)險(xiǎn)監(jiān)測(cè)和預(yù)警提供良好的數(shù)據(jù)支撐。二是建立科學(xué)有效的信息風(fēng)險(xiǎn)事件預(yù)警模型，通過(guò)主成分分析法、貝葉斯網(wǎng)絡(luò)法、模糊評(píng)價(jià)法等分析方法，加強(qiáng)對(duì)風(fēng)險(xiǎn)事件的分析，并以“目標(biāo)”和“過(guò)程控制”為導(dǎo)向，針對(duì)關(guān)鍵信息風(fēng)險(xiǎn)設(shè)置一定的指標(biāo)和闕值，結(jié)合每年風(fēng)險(xiǎn)變化情況，對(duì)指標(biāo)和闕值進(jìn)行調(diào)整，以達(dá)到實(shí)時(shí)動(dòng)態(tài)監(jiān)測(cè)預(yù)警的目的。

西安銀行在信息安全事件防范中，妥善處理事前、事中、事后三者關(guān)系，將風(fēng)險(xiǎn)防范關(guān)口前移，綜合采取多種檢測(cè)預(yù)防手段堵塞風(fēng)險(xiǎn)漏洞。

1.事前階段：

設(shè)備管理：確保所有服務(wù)器、網(wǎng)絡(luò)及安全設(shè)備的日志保存完整性，確保所有設(shè)備的配置保存?zhèn)浞?；部署泰和日志審?jì)系統(tǒng)，實(shí)現(xiàn)了統(tǒng)一日志匯總審計(jì)功能，并能夠根據(jù)日志級(jí)別進(jìn)行告警。

基線檢查：依托公安部規(guī)定的等級(jí)保護(hù)測(cè)評(píng)，就操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、網(wǎng)絡(luò)及安全設(shè)備的配置方法及規(guī)范等方面對(duì)所有業(yè)務(wù)系統(tǒng)運(yùn)行的基礎(chǔ)環(huán)境進(jìn)行問(wèn)題排查，確保設(shè)置合理規(guī)范，無(wú)邏輯或安全隱患。

滲透測(cè)試：與有資質(zhì)的安全服務(wù)公司簽訂安全服務(wù)協(xié)議，其中包含滲透測(cè)試服務(wù)，滲透測(cè)試可以模擬攻擊者的入侵思路與技術(shù)手段。目前主要以人工滲透為主，輔助以攻擊工具的使用，這樣保證了整個(gè)滲透測(cè)試過(guò)程都在可以控制范圍之內(nèi)。通過(guò)滲透測(cè)試可以了解和檢測(cè)信息系統(tǒng)安全運(yùn)營(yíng)狀況；符合相關(guān)監(jiān)管部門(mén)的合規(guī)性要求。

系統(tǒng)級(jí)漏洞掃描：定期針對(duì)業(yè)務(wù)程序所部屬的服務(wù)器，在部署完畢程序后，通過(guò)專(zhuān)業(yè)的漏洞掃描設(shè)備對(duì)服務(wù)器進(jìn)行漏掃，從操作系統(tǒng)層面對(duì)已知漏洞進(jìn)行修補(bǔ)，確保業(yè)務(wù)上線后操作系統(tǒng)層面的安全性。

流量清洗服務(wù)：與互聯(lián)網(wǎng)服務(wù)提供商簽訂大流量DDOS清洗服務(wù)，以確保在運(yùn)營(yíng)商可用的情況下對(duì)此類(lèi)攻擊的防御。

應(yīng)急預(yù)案：根據(jù)目前已知安全事件類(lèi)型的場(chǎng)景制定信息安全事件預(yù)案，并定期開(kāi)展演練，確保在發(fā)生此類(lèi)事件后最短時(shí)間內(nèi)予以有效處置。

2.事中階段：

發(fā)現(xiàn)安全事件后，第一時(shí)間上報(bào)領(lǐng)導(dǎo)；根據(jù)應(yīng)急預(yù)案中的場(chǎng)景，按照預(yù)案中的操作流程與規(guī)范進(jìn)行具體處理；聯(lián)系安全服務(wù)公司專(zhuān)業(yè)人員進(jìn)行現(xiàn)場(chǎng)應(yīng)急；根據(jù)情況聯(lián)系運(yùn)營(yíng)商進(jìn)行流量清洗，進(jìn)行DDOS攻擊處置；保留入侵訪問(wèn)的痕跡。

3.事后階段：

記錄事件發(fā)生時(shí)間、對(duì)相關(guān)系統(tǒng)產(chǎn)生的影響、業(yè)務(wù)影響范圍以及持續(xù)時(shí)間，總結(jié)事件特征，列入知識(shí)庫(kù)，為后續(xù)事件防范做案例文檔；根據(jù)APT系統(tǒng)記錄的數(shù)據(jù)進(jìn)行入侵行為溯源追蹤，根據(jù)實(shí)際情況具體處理；編寫(xiě)事件處理報(bào)告，開(kāi)會(huì)討論總結(jié)。

（七）強(qiáng)化IT風(fēng)險(xiǎn)管理的考核與激勵(lì)，以考核促管理。

要將IT 風(fēng)險(xiǎn)納入分支行的經(jīng)濟(jì)資本計(jì)量考核，在計(jì)量評(píng)分卡中設(shè)置IT風(fēng)險(xiǎn)、業(yè)務(wù)連續(xù)性管控情況等定性與定量指標(biāo)，獎(jiǎng)優(yōu)懲劣，推動(dòng)各級(jí)行主動(dòng)加強(qiáng)IT風(fēng)險(xiǎn)防控。同時(shí)，還要將核心系統(tǒng)累計(jì)中斷時(shí)間納入科技部門(mén)、相關(guān)業(yè)務(wù)部門(mén)的綜合績(jī)效考核體系，以考核促進(jìn)管理。