【精彩连载】企业安全建设指南 | 安全架构（二）

---

安小圈

第598期

企业 · 安全建设指南

编者按：

《企业安全建设指南 金融行业安全架构与技术实践》——聂君 李燕 何扬军 编著，资深信安专家十余年实战经验的结晶，安全领域多位专家联袂推荐。

本书系统化介绍金融行业中企业信息安全的架构与技术实践，总结了作者在金融行业多年的信息安全实践经验，致力于解决金融企业信息安全“最后一公里”问题，内容丰富，实践性强。

---

第一部分 安全架构

第二章 金融行业的信息安全

金融行业是强监管的行业，是涉及业务敏感数据极多的行业，是高度依赖信息化的行业，也是信息 安全风险形势极为严峻的行业。因此，金融行业的信息安全工作有着不同于其他行业的显著特点。

2.1 金融行业信息安全态势

金融机构最初的信息安全工作，大都是以达成金融行业的监管要求作为主要和基础的目标，如银行业信息科技部门会围绕《商业银行信息科技风险管理指引》来构建安全组织架构，形成安全管理制度和流程，建立安全检查、风险评估和整改机制，这时候的信息安全从业人员大多处于“管理流派”。2010年前后说起信息安全，业内人士开口闭口就是防病毒、“IPS/IDS”“WAF”“DLP”等，“设备流派”占据主流；而最近几年说到信息安全，不说些安全态势感知、安全大数据分析、人工智能等概念，就明显落伍 了， “ 数据流派 ” 俨然引领潮流。

但是，不管是“管理流派”“设备流派”还是“数据流派”，金融行业的信息安全人员都清醒地知道，监管要求越来越严格，信息安全形势越来越严峻，攻击技术手段越来越进化。金融企业需要清楚分析面临的监管要求、外部形势和内部需求，然后针对性地制订安全战略规划、安全管理和技术架构，进而在安全管理和安全技术方面落地实施，方可立于不败之地。

金融行业信息科技监管趋势

金融行业业务已经高度信息化、自动化、流程化，向客户提供的所有服务和日常运营基本都依赖信息系统开展。金融行业信息科技从业者们很明显的一点感受就是，无论内外部审计还是监管检查，无论检查重点是针对哪一类的金融业务，信息科技都是配合部门之一。另一方面，金融行业的业务战略都需要信息科技战略的支撑，业务目标最后都可能转化为对信息科技工作的需求。

金融行业信息科技风险具有影响范围广、破坏性大、突发性强、资金损失风险高等特点，信息科技风险作为唯一可能导致全部金融业务瞬间瘫痪的风险，一直是金融行业监管的重点和难点。因此，金融行业的监管部门逐年加大了信息科技风险监管的力度。针对银行业金融机构，2009年中国银监会印发 《商业银行信息科技风险管理指引》，奠定了银行业信息科技风险监管的基础，此后几年陆续印发《商业银行数据中心监管指引》《商业银行业务连续性监管指引》《银行业金融机构信息科技外包风险监管指引》等各领域的监管制度；针对证券、期货等行业，陆续出台《证券期货业信息安全保障管理办法》《证券公司信息技术管理规范》《证券期货业信息系统运维管理规范》等监管要求；针对其他金融行 业，也或多或少有专门针对信息科技的监管要求。

从各类监管要求来看，信息科技监管有这样几个趋势：

·监管机构越来越重视信息科技治理，强调和重视董事会、监事会和高管层的履职情况。秉承“实质重 于形式 ” 的原则，董、监、高的履职已经不能仅限于参与几次会议 、做出几项决策，而是要看信息安全风险控制的实际效果。 如果信息科技管理工作或信息科技风险管理有重大缺失，就是履职不力的表现。

·监管重点从“管理为主”往“管理和技术并举”方向发展，或是要求“人防补技防”，或是要求“技防补人防”，总之“两手抓、两手都要硬”。监管的现场检查、风险提示等，都已经从组织架构、制度建设、流程机制等管理层面，延展到业务流程设计、企业技术架构、系统逻辑设计等具体和实质的技术控制和实现层面。

·对于信息科技部门职责的规定和约束，逐渐精细化、具体化、层次化，信息科技风险防控要求涵盖信息科技工作的方方面面。

·信息科技风险管控不仅是信息科技部门的责任，还要求全行风险管理部门、内控合规部门、稽核审计部门都参与其中，各司其职，存在制约、促进的关系。

·信息科技风险管控与业务密不可分，业务逻辑风险控制、业务需求匹配度和业务功能满足度、业务效益后评价、业务外包中的信息科技活动等，都延伸至业务部门。

·信息安全意识培训和教育，要求针对全员开展，提升全员意识，突破了信息科技人员的范畴。

·监管手段逐渐向技术化发展。除了在监管指引上逐步完善之外，非现场监管数据化、现场检查工具化的趋势较为明显，监管科技的发展已经从初露端倪到如火如荼。

金融行业面临的外部信息安全态势

由于金融行业的服务几乎与每个人日常工作和生活息息相关，处理的业务关乎每个人的钱袋子，服务结果又要求必须实时和高度准确，因此，面临的外部信息安全态势也是在各行各业中最为复杂和严峻的。以下主要分析金融企业几个重要的利益相关者：客户、合作机构以及外部攻击者的信息安全态势。

（1）客户方面

随着移动互联网的发展和金融科技的演化，金融企业的客户越来越少地接触实体门店，取而代之的是电子渠道，客户更多以互联网作为触点来使用金融企业的服务。

但是客户在享受互联网便利性的同时，也承担着互联网带来的风险，因此近年来由于客户信息安全意识不强导致的金融行业风险事件屡见不鲜，例如，由于客户受到不良诱导、客户对银行卡等介质保管不善、客户自身信息泄漏、客户口令设置脆弱（如弱口令、不同场景单一口令等）等导致的风险事件， 各种各样的电信诈骗事件、钓鱼网站事件也持续不断地出现。 客户信息安 全意识教育成为金融行业亟待 深化开展的重点工作。

（2）外部合作商方面

金融行业的服务提供需要大量的外部合作商，既包括业务合作方，也包括外包供应商。合作商的信息安全管理不善、员工主动泄密等，对金融行业的信息安全也形成一定的威胁。2015年电视台曝光了某金融机构客户信息泄露导致资金损失的事件，事后内部调查发现，原因是负责卡片寄送的合作机构员工有心收集并贩卖客户信息。外部合作商虽然引入了一定的信息安全威胁，但不能因噎废食，需要通过合作协议约束、信息交换最小化限制、技术防范等方式，尽可能降低合作的风险。

（3）攻击者方面

伴随着金融业务全球化、移动互联网和金融科技的发展，虎视眈眈的攻击者们也在随之转换方法和重点，对金融机构的攻击数量和质量持续提高。

从近年来发生的大型攻击事件看，攻击既针对金融企业的基础设施和员工，也针对其外包商或客 户； 既针对 ATM 、 SWIFT 、电子银行等传统系统，也针对社交媒体、区块链、云计算等新兴技术； 既针 对金融行业的服务器，也针对终端设备。 概括来说，攻击重点与时俱进，攻击手段 变化多端，攻击目标无孔不入，给金融行业信息安全带来了巨大的威胁和挑战。 “ 打铁还需自身硬 ” ，金融企业本身就是具有 经营风险的企业，外部攻击是必须面对和解决的问题，强 身健体、见招拆招，方为正道。

金融行业内在的信息安全管理需求

在监管要求日益提高、外部安全态势日益复杂的情况下，金融企业基于自身的业务发展和安全需要，也会提出大量的信息安全管理要求。

金融行业的信息安全管理有着不同于其他行业的特点，最主要的几个特点如下：

·金融行业整体信息化程度高，而且未来趋势是进一步的数字化、智能化，这就意味着被攻击的风险点增多，薄弱环节增加，脆弱性增大，遭受攻击的可能性上升。

·金融服务实时性和准确性要求高，对于信息安全问题的容忍度低，出现问题后社会影响大，舆论压力大。

·金融行业直接处理对象为资金，敏感信息价值高，对于攻击者来说获利性大，铤而走险的动机强 烈。

·金融行业积极应用新技术，但信息安全防控往往滞后于新技术应用，导致面临的新风险无法得到及时有效的控制。

因此，金融企业的信息安全工作要求也会高于其他行业，在深度和广度上都必须兼顾，需要从组织架构、制度流程、团队能力、安全意识、外包管理、安全技术等各方面，统筹做好规划和落地实施，方可满足自身的需要。

2.2 金融行业信息安全目标

正如“一千个人心中有一千个哈姆雷特”，金融行业的信息安全从业人员，对于金融企业信息安全工作目标的理解也都是不尽相同的。因为金融企业的信息安全工作是保障性工作，是为金融企业的战略、业务、科技开发和运维等工作服务的，所以信息安全目标也与本企业上述工作的目标和定位高度相关。

但是，对于所有金融企业来说，必须建立和保证信息安全的核心目标和安全基线，在此基础上，可以根据金融企业的战略方向、风险偏好、管理要求进行量体裁衣，做出选择和调整。

确立信息安全的核心目标

从务虚的角度来说，金融企业信息安全工作的核心目标是，通过信息安全建设和管理，有效控制和防范信息安全风险，提高信息安全保障能力和水平，确保金融企业及客户的信息及资金安全。从务实的角度来说，金融企业信息安全工作的核心目标是两个“两手抓”：一是“一手抓安全合规，一手抓风险控制”；二是“一手抓安全管理，一手抓安全技术”。

明确信息安全基线

要实现金融企业信息安全工作的核心目标，从具体操作层面上来说，必须明确信息安全工作的范围，在信息安全工作的各个领域建立信息安全工作基线，同时采取措施确保安全基线的达成。

所谓信息安全基线，就是信息系统最基本要满足的安全要求，是最小限度的安全保证。安全基线主要分为安全管理基线和安全技术基线。

安全管理基线 主要包括安全组织、安全制度、人力资源安全等：

·安全组织方面包括确定金融企业的安全组织架构（决策层、管理层和执行层，以及合规、风险、审计等机构）、汇报路线、职责分工、日常工作机制等。

·安全制度方面包括确定制度的体系框架和制度层级等，制度必须完整覆盖信息科技工作的全生命周期和科技管理等保障工作，制度必须与法律法规、行业标准和监管要求等保持一致，制度之间必须满 足 “ MECE （相互独立、完全穷尽） ” 法则等。

·人力资源安全方面包括在人员任用前、中、后的基本安全管理要求，例如，任用前的筛选、背景调查、安全职责确定和岗前培训等，任用中的各项权限分配、安全检查和奖罚制度等，以及任用终止前的 权限冻结或取消等。

安全技术基线 主要包括机房、网络、系统、应用、终端、数据的安全：

·机房安全基线主要规定机房物理选址、基础设施相关设备、风火水电、环境监控、访问控制等方面的基本要求。

·网络安全基线主要规定网络结构安全、边界安全、网络设备安全、入侵防范、访问控制、安全审计等方面的基本要求。

·系统安全基线主要规定系统配置、服务安全、操作系统访问权限、协议管理、系统日志审计等方面的基本要求。

·应用安全基线主要规定身份鉴别、抗抵赖性、资源控制、应用系统访问控制、应用日志审计等方面的基本要求。

·终端安全基线主要规定设备管理、软件管理、用户管理、终端网络隔离、自助终端管理等方面的基本要求。

·数据安全基线主要规定数据保密性、数据完整性、数据可用性、数据访问安全、数据备份和恢复等方面的基本要求。

2.3 信息安全与业务的关系：矛盾与共赢

金融行业的信息安全与业务的关系，在某些时候可能是最能融合的，因为金融业务必须重视风险，否则业务成果可能付之一炬；但某些时候又可能是矛盾最大的，因为信息安全对业务必定会有一定的影响和制衡。所以，简单说，信息安全与业务是矛盾、是一致还是共赢？可能都不恰当，准确说，应该尽可能化解矛盾，取得最大公约数的一致，最终才能实现共赢。

信息安全与业务的矛盾性

信息安全与业务的矛盾，多数体现在业务流程的设计方面。业务部门是必须考虑客户体验的，因此处理步骤越便捷、验证过程越简单越好。但是从信息安全的角度，有些必要的风险控制措施又不能简 化。

例如，商业银行的II、III类电子账户的开设就是一个很典型的例子。从客户体验和便利性角度，开户信息及验证步骤越少越好，但是从信息安全角度，需要客户提供更多的个人信息，通过人脸识别、短信验证等步骤，才可以在客户不跟银行人员面对面接触的情况下，正确核验客户身份，确保客户开户意愿的真实性，既能保护客户不被假冒开户，也能够防止客户抵赖。

客户转账或支付是第二个典型的例子。为了给客户更便捷的体验，有些金融企业采用一个认证因素（例如静态密码、指纹等）即可完成转账或支付类交易，但这会给某些攻击者可乘之机，因为静态密码很容易通过撞库等攻击方式获取，而客户指纹信息也可以被复制。因此从信息安全的角度，必须采用两种以上不同类别的认证因素，方可完成转账或支付这类对客户账户余额有改变的“动账”类交易，但这样显然会影响到客户体验。

信息安全与业务的一致性

金融行业的业务，可以说都是与风险相关的，高收益的背后往往是以承受的高风险为代价，所以开展业务的同时，必须尽可能采取措施使得风险最小化，这一点跟信息安全管理目标是一致的。

信息安全与业务的一致性，体现在事前预防、事中拦截、事后告警等方面。例如，通过业务风控系统的建设，可以实现以下目标：

·事前预防。在客户身份验证的同时，通过预先设立的黑名单，与客户身份证、手机号等进行匹配，对于命中的直接拒绝开户或交易；在信贷审批之前，运行风险模型，对于符合高风险特征的不予审批通 过。

·事中拦截。通过预先建立的风控规则，与客户开户或交易行为进行比对，对于符合风险模型的（如同一个IP地址短时间内集中开户或交易，同一个手机号同时开立多个账户等）进行交易拦截。

·事后告警。通过设立告警规则，提供告警信息，出具风险报表，提供给业务部门进行处理；在信贷放款后对客户信息持续跟踪，对于可能出现还款风险的客户提前采取措施。

信息安全与业务的共赢

要实现信息安全与业务的共赢，首要的就是双方先改变心态，停止争执，朝着一个目标方向努力，争取最大公约数，取得风险和效益的平衡。具体来说，常见的兼顾风险和效益的方式包括：

·风险分类。信息安全人员和业务人员要一起对风险进行分类分级，根据风险的大小及发生频率，优先化解高风险或者高频交易风险；同时调研了解同业采用的方式，学习同业经验，寻找是否有更好的风险管控措施。

·“前轻后重”。所谓“前轻”，就是对于直接提供客户体验的前端来说，在满足监管要求的前提下，设计尽可能简单的规则，例如客户信息遵循“必须知道、最小原则”，身份验证方式遵循“够用就好原则”。但这个必须与强大的后台相配套，也就是说，后台的风控必须到位（即“后重”），要有黑名单或灰名单客户，要有风险监测模型，要有紧急情况下一键关停规避风险的功能，否则就会留下巨大的风险缺口。

·客户风险等级分类。对于金融企业的客户，要有分类分级管控的技术方案，通过运行一定规则对客户进行分类，对于风险等级为“低”的“白名单”客户，身份验证措施可以非常简单，保证客户的良好体验；对于风险等级为“中”的客户，可以多增加一个身份验证措施；对于风险等级为“高”的客户，可以直接要求面核面签；对于有过不良记录的“黑名单”客户，可以直接拒绝服务。

·额度管控。从交易金额的角度控制，针对不同的金额设置不同的安全管控措施。例如，对于小额的交易，可以采用免密免签或者简单验证因素的方式；对于大额的交易，必须使用数字证书或者动态令 牌、 U 盾等方式验证身份； 对于其他交易，可以采用静态密 码 + 短信动态验证码 / 指纹 / 人脸识别等双因素验 证身份。

2.4 信息安全与监管的关系：约束与保护

长期以来，金融行业的信息安全工作都是在较强的监管形势下开展。很多金融企业的信息安全工作框架，就是遵循着监管的要求一步步搭建起来的。而金融行业的监管要求，也往往会根据金融行业发生的风险事件而不断补充完善。

金融企业需要正确认识监管要求对工作的推动作用，认真学习和理解监管要求，深入领会监管要求的实质，从而建立起科学合理的信息安全管理和技术框架。

信息安全监管的约束

金融行业信息安全相关监管要求，对于金融企业首先是约束。

所有信息安全工作需要在监管要求的框架下开展，需要遵循各个方面监管要求的细节规定，需要针对监管要求和风险提示展开对标、风险排查和整改，需要随时接受监管机构现场和非现场的检查，需要认真落实监管下达的风险监测报表、自查报告等各项要求。

对于监管规定的重点工作、例行工作等，必须落实到金融企业内部工作计划中；对于监管规定的管理要求，必须落实到金融企业的组织机构、制度建设、团队建设等各项工作任务中，建立长效工作机 制； 对于监管下达的技术标准，必须落实到金融企业的信息系统建设、运维监控建设或者信息安全技术防控工作中。

金融企业内部要成立专门的信息安全工作团队，负责确保监管要求在金融企业严格落实到位，确保信息安全工作“治标又治本”，确保信息安全管理和技术防控的实际效果，确保日常的信息安全检查、评估和整改机制能有效地发挥风险控制作用。

信息安全监管的保护

同时，金融企业必须认识到监管要求对自己的保护作用。

信息安全监管要求是监管机构基于国家信息安全防控总体策略、国内外信息安全形势、监管机构自身的前瞻眼光和管理思路、金融行业已经发生的风险事件相关经验教训，经过归纳、总结、提炼出的纲领性、全局性要求，从战略高度和战术细度，提出了诸多具有很高实操性、实用价值的条款，从某种意义上说，对于金融企业形成了保护。

首先，对于很多金融企业特别是信息安全建设处于初级阶段的金融企业来说，学透了监管要求，就能把握最关键的信息安全风险，搭建起基本的信息安全防控框架，建立起组织架构和制度，使技术安全防控有章可循，也就有更好的风险防控效果。

其次，监管要求中隐含了很多其他金融企业贡献的知识和技能，实际上是一种行业经验的积累、沉淀和传承。对于信息安全基础薄弱的金融机构来说，这是一种快速获取同业经验的方式。例如，监管机构历次发布的信息安全风险提示和风险事件案例，实际上就是很好的“教科书”，让风险处置经验不足的金融企业可以提前排查类似风险隐患，防患于未然；而当实际发生风险事件时，这些内容又可以成为“知识库”，从中先去搜索类似案例，寻求最快的解决方案。

最后，当风险和收益发生冲突时，遵循监管要求的底线，是信息安全人员判断是否可以给业务“让步”的重要参照，也是信息安全人员有底气说“不”的有力支撑。

2.5 监管科技

随着金融行业信息技术的蓬勃发展，特别是金融科技的广泛应用，监管机构的监管方式也不断创