高杰豪

摘? 要：隨著信息革命的快速發(fā)展，人們的生活方式發(fā)生了翻天覆地的變化。金融科技在服務社會的同時，也帶來了潛在的風險。 國內外信息安全事件屢見不鮮，千億級網(wǎng)絡黑產(chǎn)對金融安全構成嚴重威脅，金融業(yè)網(wǎng)絡安全防控壓力巨大。金融科技業(yè)務面臨更嚴格和更系統(tǒng)的監(jiān)管要求，違規(guī)可能導致業(yè)務停止。本文從完善信息安全管理體系的角度，結合國內外對信息安全的監(jiān)管要求，審視新時代背景下金融領域信息安全的安全風險防控。

關鍵詞：新形勢;金融科技;信息安全;管理體系

引言

為保障金融業(yè)平穩(wěn)發(fā)展，國家出臺多項監(jiān)管政策，不斷完善監(jiān)管體系?？梢灶A見，金融科技業(yè)務將面臨更嚴格、更系統(tǒng)的監(jiān)管要求，違規(guī)可能導致停業(yè)。近期，由于信息安全漏洞，一批互聯(lián)網(wǎng)應用被下架，都表明需要不斷加強信息安全管理，嚴格落實管控責任，遵守合規(guī)原則是企業(yè)可持續(xù)發(fā)展的必要前提。

一 構建“技防+人防”體系

構建“技防+人防”的信息安全生態(tài)系統(tǒng)，嚴格遵守合規(guī)原則，外部防范來自網(wǎng)絡威脅的攻擊，內部防止機密數(shù)據(jù)泄露。

從管理體系看，通過組織、制度、技術、運營、監(jiān)督五項主要管理體系建設，完善管理體系。通過依法建設數(shù)據(jù)中心、管理和維護信息系統(tǒng)和數(shù)據(jù)，嚴格落實客戶財務數(shù)據(jù)保護，加強合規(guī)保障。通過內部信息安全審計、信息系統(tǒng)外包給公安機關和其他安全評估、ISO標準和管理體系認證、互聯(lián)網(wǎng)應用測試和認證等方式進行持續(xù)的管理和監(jiān)控。

從技術體系來看，通過多層監(jiān)視攔截系統(tǒng)，縱深防御，包括抗DDoS拒絕服務攻擊防護、APT高級持續(xù)威脅防護、WAF應用入侵防護、密網(wǎng)攻擊誘補防御等措施，加強網(wǎng)絡邊界管控。通過實施全方位的端點控制措施，包括計算機殺毒、磁盤加密、屏幕水印、打印水印、DLP 電子郵件攔截、HDLP 桌面行為管控等，加強內部風險管理，防止數(shù)據(jù)泄露和敏感信息被濫用。借助智能信息安全風險管理系統(tǒng)，實時監(jiān)控和智能分析，對信息安全事件及時預警和閉環(huán)響應，減少影響和發(fā)現(xiàn)，持續(xù)優(yōu)化及時預警和信息安全事件解決閉環(huán)，減少影響，舉一反三、持續(xù)優(yōu)化。

在聯(lián)動機制上，信息安全、風險控制與合規(guī)、審計與監(jiān)控、人力資源之間的緊密聯(lián)系，避免了客戶數(shù)據(jù)泄露事件的發(fā)生。 組建安全、合規(guī)、審計人員聯(lián)合工作組，打造信息安全一、二、三道防線統(tǒng)一戰(zhàn)線，主動防控，加強管理。通過層層強化管控職責，明確各部門信息安全責任，確保信息安全管理體系自上而下連通，信息安全管控要求得到溝通和落實。

二 夯實“五大”管理基礎

建立組織、制度、技術、運行、控制五項基本信息安全管理體系，強化安全管理和安全管控基礎。

2.1 組織體系

壓實責任—堅持“三道防線”原則，明確各部門職責，堅持一把手負責制。

決策層面—成立信息安全領導工作組，協(xié)調管控工作，以單位負責人為主導，各單位負責人作為成員參與任務的執(zhí)行。 高水平設計促進了信息安全工作的“一把手工程”和信息安全管理與信息安全控制的有效性。

管理層面—根據(jù)當前信息安全管控工作的技術特點，由信息技術部牽頭，前、中、后臺各部門協(xié)同配合。信息安全、風險合規(guī)、審計監(jiān)督是防控信息安全風險的三道防線，也是防控企業(yè)信息安全的基礎。

將信息安全事件與部門和個人的業(yè)績貢獻掛鉤，將信息安全充分融入到企業(yè)的血液中，以保障企業(yè)穩(wěn)健前行和可持續(xù)發(fā)展。

執(zhí)行層面—為確保信息安全管控措施的有效實施，各部門設有信息安全聯(lián)系人，與信息安全管理部門協(xié)同工作。通過層層梳理管控職責，將信息安全事件與對部門和個人生產(chǎn)力的貢獻掛鉤，將信息安全充分融入公司血液，確保公司不斷進步和可持續(xù)發(fā)展。

監(jiān)管層面—通過二級和三級風險防控，以及風險合規(guī)監(jiān)測審計，監(jiān)測審計環(huán)節(jié)，確保信息安全體系的持續(xù)優(yōu)化和有效運行。

2.2 制度體系

堅守底線—遵守法律法規(guī)、監(jiān)管要求、國家標準、行業(yè)自律公約等要求，從宏觀政策制定層面到微觀運營規(guī)范的制定和實施，一個信息安全體系主要包括安全策略、實施策略、流程和標準、形式和工具。

信息安全策略—明確組織日常運營和管理流程的要求，包括安全組織的建立、人員配備、資產(chǎn)管理、物理環(huán)境控制、通信運營安全、系統(tǒng)開發(fā)活動、訪問控制限制、共同管理、第三方和安全培訓、進行安全審計、事件響應和安全解決、確保業(yè)務連續(xù)性、預防和控制合規(guī)風險等。

信息安全程序和標準—明確信息安全政策的要求，通過建立基本的安全標準、規(guī)范和程序來確保安全，將制度融入公司的日常工作中。

信息安全工具和表單—僅僅依靠公司員工的自覺自律來實施信息安全政策的要求是不夠的，為了實現(xiàn)智能信息安全生態(tài)系統(tǒng)，有必要在流程上建立制度，在系統(tǒng)上構建流程。

2.3 技術體系

逐步進階—具備信息安全的技術特點，對各級安全管控實施深度管理。在縱深防御方面：一是建立網(wǎng)絡管控分區(qū)體系，通過外網(wǎng)交互區(qū)、內網(wǎng)交互區(qū)、內網(wǎng)辦公區(qū)、生產(chǎn)環(huán)境區(qū)創(chuàng)建網(wǎng)絡分區(qū)，確保網(wǎng)絡邊界管理;二是完善網(wǎng)絡威脅防護體系，通過防火墻攔截、密集網(wǎng)絡攔截、攻擊攔截、主機安全加固、權限控制、加密隔離等措施防范攻擊和入侵者;三是通過權限最小化、訪問控制、出局攔截、水印檢測、行為監(jiān)測分析等加強終端安全管控體系，防止數(shù)據(jù)泄露。

結束語

信息安全管理不是一朝一夕的工程。 為了保持信息安全體系的有效性，必須堅持PDCA原則，通過先管控、后優(yōu)化，不斷適應要求，不斷完善信息安全管控策略。網(wǎng)絡安全環(huán)境應由企業(yè)安全生態(tài)、產(chǎn)業(yè)安全生態(tài)、社會安全生態(tài)共同保障。 只有全社會共同防控、共同制定標準、共同設定門檻，才能確保網(wǎng)絡環(huán)境清晰，實現(xiàn)共贏未來。

目前，國家層面的工作正在進行中，通過不斷立法完善網(wǎng)絡安全生態(tài)，加強企業(yè)內控管理，保障群眾權益。為保障行業(yè)健康穩(wěn)定發(fā)展，企業(yè)必須通過不斷的研究、實踐和積極創(chuàng)新，壯大自身，夯實信息安全基礎，輸出經(jīng)驗。行業(yè)需要自律，加強自律是行業(yè)可持續(xù)發(fā)展的保障。監(jiān)督要引導，通過積極引導，搭建平臺，對接各種資源，打造網(wǎng)絡安全生態(tài)系統(tǒng)。

參考文獻

[1]劉進，李江波，葉兵. 新形勢下金融科技信息安全管理體系研究[J]. 網(wǎng)絡空間安全，2021，12（3）：1-6. DOI：10.3969/j.issn.1674-9456.2021.03.001.

[2]宮哲，張建毅. 新形勢下商業(yè)銀行網(wǎng)絡安全威脅環(huán)境分析及信息安全體系轉型研究[J]. 現(xiàn)代管理科學，2015（10）：46-48. DOI：10.3969/j.issn.1007-368X.2015.10.015.

[3]楊群安. 數(shù)據(jù)集中模式下商業(yè)銀行信息化建設研究——以中國工商銀行為案例[D]. 北京：中國人民大學，2006.