企業(yè)安全建設(shè)指南(金融行業(yè)安全架構(gòu)與技術(shù)實(shí)踐)第一部分_第1頁
企業(yè)安全建設(shè)指南(金融行業(yè)安全架構(gòu)與技術(shù)實(shí)踐)第一部分_第2頁
企業(yè)安全建設(shè)指南(金融行業(yè)安全架構(gòu)與技術(shù)實(shí)踐)第一部分_第3頁
企業(yè)安全建設(shè)指南(金融行業(yè)安全架構(gòu)與技術(shù)實(shí)踐)第一部分_第4頁
企業(yè)安全建設(shè)指南(金融行業(yè)安全架構(gòu)與技術(shù)實(shí)踐)第一部分_第5頁
已閱讀5頁,還剩167頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

企業(yè)安全建設(shè)指南金融行業(yè)安全架構(gòu)與技術(shù)實(shí)踐(第一部)目錄\h\h第一部分安全架構(gòu)\h\h\h第1章企業(yè)信息安全建設(shè)簡介\h\h\h1.1安全的本質(zhì)\h\h\h1.2安全原則\h\h\h1.3安全世界觀\h\h\h1.4正確處理幾個(gè)關(guān)系\h\h\h1.5安全趨勢\h\h\h1.6小結(jié)\h\h\h第2章金融行業(yè)的信息安全\h\h\h2.1金融行業(yè)信息安全態(tài)勢\h\h\h2.2金融行業(yè)信息安全目標(biāo)\h\h\h2.3信息安全與業(yè)務(wù)的關(guān)系:矛盾與共贏\h\h\h2.4信息安全與監(jiān)管的關(guān)系:約束與保護(hù)\h\h\h2.5監(jiān)管科技\h\h\h2.6小結(jié)\h\h\h第3章安全規(guī)劃\h\h\h3.1規(guī)劃前的思考\h\h\h3.2規(guī)劃框架\h\h\h3.3制訂步驟\h\h\h3.3.1調(diào)研\(zhòng)h\h\h3.3.2目標(biāo)、現(xiàn)狀和差距\h\h\h3.3.3制訂解決方案\h\h\h3.3.4定稿\h\h\h3.3.5上層匯報(bào)\h\h\h3.3.6執(zhí)行與回顧\h\h\h3.4注意事項(xiàng)\h\h\h3.5小結(jié)\h\h\h第4章內(nèi)控合規(guī)管理\h\h\h4.1概述\h\h\h4.1.1合規(guī)、內(nèi)控、風(fēng)險(xiǎn)管理的關(guān)系\h\h\h4.1.2目標(biāo)及領(lǐng)域\h\h\h4.1.3落地方法\h\h\h4.2信息科技風(fēng)險(xiǎn)管理\h\h\h4.2.1原則\h\h\h4.2.2組織架構(gòu)和職責(zé)\h\h\h4.2.3管理內(nèi)容\h\h\h4.2.4管理手段和流程\h\h\h4.2.5報(bào)告機(jī)制\h\h\h4.2.6信息科技風(fēng)險(xiǎn)監(jiān)控指標(biāo)\h\h\h4.3監(jiān)督檢查\h\h\h4.4制度管理\h\h\h4.5業(yè)務(wù)連續(xù)性管理\h\h\h4.5.1定義和標(biāo)準(zhǔn)\h\h\h4.5.2監(jiān)管要求\h\h\h4.5.3BCM實(shí)施過程\h\h\h4.5.4業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評估\h\h\h4.5.5BCP、演練和改進(jìn)\h\h\h4.5.6DRI組織及認(rèn)證\h\h\h4.6信息科技外包管理\h\h\h4.7分支機(jī)構(gòu)管理\h\h\h4.8信息科技風(fēng)險(xiǎn)庫示例\h\h\h4.9小結(jié)\h\h\h第5章安全團(tuán)隊(duì)建設(shè)\h\h\h5.1安全團(tuán)隊(duì)建設(shè)的“痛點(diǎn)”\h\h\h5.2安全團(tuán)隊(duì)面臨的宏觀環(huán)境\h\h\h5.3安全團(tuán)隊(duì)文化建設(shè)\h\h\h5.4安全團(tuán)隊(duì)意識(shí)建設(shè)\h\h\h5.5安全團(tuán)隊(duì)能力建設(shè)\h\h\h5.5.1確定目標(biāo),找準(zhǔn)主要矛盾\h\h\h5.5.2梳理和細(xì)分團(tuán)隊(duì)職能\h\h\h5.5.3建立學(xué)習(xí)框架,提升知識(shí)和技能水平\h\h\h5.5.4掌握學(xué)習(xí)方法,實(shí)現(xiàn)事半功倍的效果\h\h\h5.6安全團(tuán)隊(duì)建設(shè)路徑\h\h\h5.7安全人員職業(yè)規(guī)劃\h\h\h5.8安全團(tuán)隊(duì)與其他團(tuán)隊(duì)的關(guān)系處理\h\h\h5.9小結(jié)\h\h\h第6章安全培訓(xùn)\h\h\h6.1安全培訓(xùn)的問題與“痛點(diǎn)”\h\h\h6.1.1信息安全意識(shí)不足的真實(shí)案例\h\h\h6.1.2信息安全培訓(xùn)的必要性\h\h\h6.1.3信息安全培訓(xùn)的“痛點(diǎn)”\h\h\h6.2信息安全培訓(xùn)關(guān)聯(lián)方\h\h\h6.3信息安全培訓(xùn)“百寶箱”\h\h\h6.4面向?qū)ο蟮男畔踩嘤?xùn)矩陣\h\h\h6.5培訓(xùn)體系實(shí)施的效果衡量\h\h\h6.6小結(jié)\h\h\h第7章外包安全管理\h\h\h7.1外包安全管理的問題與“痛點(diǎn)”\h\h\h7.1.1幾個(gè)教訓(xùn)深刻的外包風(fēng)險(xiǎn)事件\h\h\h7.1.2外包安全管理的必要性\h\h\h7.1.3外包管理中的常見問題\h\h\h7.2外包戰(zhàn)略體系\h\h\h7.3外包戰(zhàn)術(shù)體系\h\h\h7.3.1事前預(yù)防\h\h\h7.3.2事中控制\h\h\h7.3.3事后處置\h\h\h7.4金融科技時(shí)代的外包安全管理\h\h\h7.5小結(jié)\h\h\h第8章安全考核\h\h\h8.1考核評價(jià)體系與原則\h\h\h8.2安全考核對象\h\h\h8.3考核方案\h\h\h8.3.1考核方案設(shè)計(jì)原則\h\h\h8.3.2總部IT部門安全團(tuán)隊(duì)\h\h\h8.3.3總部IT部門非安全團(tuán)隊(duì)(平行團(tuán)隊(duì))\h\h\h8.3.4個(gè)人考核\h\h\h8.3.5一些細(xì)節(jié)\h\h\h8.4與考核相關(guān)的其他幾個(gè)問題\h\h\h8.5安全考核示例\h\h\h8.6小結(jié)\h\h\h第9章安全認(rèn)證\h\h\h9.1為什么要獲得認(rèn)證\h\h\h9.2認(rèn)證概述\h\h\h9.2.1認(rèn)證分類\h\h\h9.2.2認(rèn)證機(jī)構(gòu)\h\h\h9.3選擇什么樣的認(rèn)證\h\h\h9.4如何通過認(rèn)證\h\h\h9.5小結(jié)\h\h\h第10章安全預(yù)算、總結(jié)與匯報(bào)\h\h\h10.1安全預(yù)算\h\h\h10.2安全總結(jié)\h\h\h10.3安全匯報(bào)\h\h\h10.4小結(jié)\h\h第一部分安全架構(gòu)第1章企業(yè)信息安全建設(shè)簡介第2章金融行業(yè)的信息安全第3章安全規(guī)劃第4章內(nèi)控合規(guī)管理第5章安全團(tuán)隊(duì)建設(shè)第6章安全培訓(xùn)第7章外包安全管理第8章安全考核第9章安全認(rèn)證第10章安全預(yù)算、總結(jié)與匯報(bào)第1章企業(yè)信息安全建設(shè)簡介企業(yè)信息安全越來越受到關(guān)注,但企業(yè)信息安全的本質(zhì)和原則是什么?該怎么做?趨勢如何?我們從更接近實(shí)戰(zhàn)的角度進(jìn)行探討。1.1安全的本質(zhì)在企業(yè)做信息安全會(huì)遇到很多困惑,企業(yè)信息安全到底應(yīng)該怎么做?管理、技術(shù)、流程和人員哪個(gè)更重要?安全團(tuán)隊(duì)和安全人才該怎么建設(shè)、培養(yǎng)和激勵(lì)?筆者帶著這些問題。與各種安全圈內(nèi)各種安全人士交流過,筆者發(fā)現(xiàn)長期以來一直困擾的問題與信息安全的本質(zhì)有關(guān),或者說,需要了解信息安全問題的本質(zhì)是什么?互聯(lián)網(wǎng)本來是安全的,自從有了“研究安全”的人,就變得不安全了。比如SQL注入攻擊,自從1999年首次出現(xiàn)后就成為互聯(lián)網(wǎng)應(yīng)用安全的頭號(hào)大敵,SQL注入攻擊的本質(zhì)是把用戶輸入的數(shù)據(jù)當(dāng)作代碼執(zhí)行,而開發(fā)人員設(shè)計(jì)用戶輸入的功能時(shí),本意只是提供一個(gè)用戶交互功能,根據(jù)用戶的輸入返回動(dòng)態(tài)頁面結(jié)果,以便提供更好的用戶體驗(yàn)。這個(gè)好的出發(fā)點(diǎn),很不幸被惡意的人濫用了。再比如,釣魚網(wǎng)站目前已成為很多金融企業(yè)的首要安全威脅,而在2011年以前,很多金融企業(yè)的安全人員甚至都沒有考慮過這個(gè)問題。時(shí)至今日,他們?nèi)詴?huì)覺得很無辜,因?yàn)槠髽I(yè)的網(wǎng)站并沒有任何安全漏洞,是釣魚網(wǎng)站的“狡猾”和用戶的“傻”,才讓攻擊者有機(jī)可乘。上面兩個(gè)例子中,開發(fā)人員信任用戶輸入,用戶信任釣魚網(wǎng)站,從而導(dǎo)致信息安全問題。所以說,信息安全問題的本質(zhì)是“信任”。計(jì)算機(jī)用0和1定義整個(gè)世界,而企業(yè)的信息安全目標(biāo)是解決0和1之間的廣大灰度數(shù)據(jù),運(yùn)用各種措施,將灰度數(shù)據(jù)識(shí)別為0(不值得信任)或1(值得信任)。信任是信息安全問題的本源。比如,某些普通企業(yè)設(shè)計(jì)信息安全方案時(shí),會(huì)假設(shè)安全人員、開發(fā)人員、運(yùn)維人員是默認(rèn)被信任的;比普通企業(yè)安全要求更高的金融企業(yè)、國家機(jī)構(gòu)等設(shè)計(jì)信息安全方案時(shí),安全人員、開發(fā)人員、運(yùn)維人員可能就是默認(rèn)不被信任的。不同的信任假設(shè)決定了安全方案的復(fù)雜程度和實(shí)施成本,安全需要找到某個(gè)自己可以接受的“信任點(diǎn)”,并在這個(gè)點(diǎn)上取得成本和效益的平衡。1.2安全原則對于信息安全工作目標(biāo)和實(shí)現(xiàn)方案,每個(gè)企業(yè)可以根據(jù)自己的實(shí)際情況做出選擇,可謂各有千秋,但有些普適性的基本原則是相通的。概括而言,信息安全原則主要有三點(diǎn):持續(xù)改進(jìn)、縱深防御和非對稱。1.持續(xù)改進(jìn)有沒有辦法確保一臺(tái)服務(wù)器不被不明武裝分子攻陷?有沒有一個(gè)類似“照妖鏡”的工具,一旦安裝上就可以高枕無憂,讓惡意的攻擊者無所遁形?有沒有一個(gè)萬能的“上帝之手”,幫我們干掉所有安全問題?很遺憾,以上“神器”都不存在。在解決安全問題的過程中,不可能一勞永逸。很多安全廠商在推銷自己的安全產(chǎn)品時(shí),吹得天花亂墜,似乎無所不能,從早期的防火墻、防病毒、入侵檢測,到現(xiàn)在的態(tài)勢感知、威脅情報(bào)、智能分析,安全防御技術(shù)本身并沒有革命性的變化。一套入侵檢測技術(shù)包裝個(gè)名詞,就能搖身一變從IDS到IPS、SIEM,再到現(xiàn)在的威脅情報(bào),但本質(zhì)上,都還是開發(fā)檢測規(guī)則,進(jìn)行異常模式識(shí)別。安全產(chǎn)品、安全技術(shù)不能光靠名詞的改變來實(shí)現(xiàn)轉(zhuǎn)型升級,而是需要不斷地隨著攻擊手段的發(fā)展而升級,也需要有人來運(yùn)營,否則安全就是稻草人,在變化的攻擊手段前不堪一擊。因此,持續(xù)改進(jìn),PDCA(plan,do,check,act)循環(huán),螺旋式上升,是信息安全的第一個(gè)原則。2.縱深防御在典型的入侵案例場景中,攻擊者利用Web應(yīng)用漏洞,獲得低權(quán)限WebShell,然后通過低權(quán)限的WebShell上傳更多文件,并嘗試執(zhí)行更高權(quán)限的系統(tǒng)命令,進(jìn)一步在服務(wù)器上提權(quán),再橫向滲透,獲得更多內(nèi)網(wǎng)權(quán)限。在這個(gè)典型的攻擊路徑中,如果在任何一個(gè)環(huán)節(jié)設(shè)置有效的安全檢測和防御措施,攻擊都可能被檢測和阻止。因此,在安全防護(hù)技術(shù)沒有革命性發(fā)展的當(dāng)下,企業(yè)必須堅(jiān)持縱深防御原則,從網(wǎng)絡(luò)層、虛擬層、系統(tǒng)層、應(yīng)用層,到數(shù)據(jù)層、用戶層、業(yè)務(wù)層、總控層,進(jìn)行層層防御,共同組成整個(gè)防御體系。這是信息安全的第二個(gè)原則。3.非對稱對于攻擊者來說,只要能夠找到企業(yè)系統(tǒng)的一個(gè)弱點(diǎn),就可以達(dá)到入侵系統(tǒng)的目的,而對于企業(yè)信息安全人員來說,必須找到系統(tǒng)的所有弱點(diǎn),不能有遺漏,不能有滯后,才能保證系統(tǒng)不會(huì)出現(xiàn)問題。這種非對稱性導(dǎo)致攻擊者和安全人員的思維方式不同,也是企業(yè)信息安全工作難做的根本原因,因?yàn)槠茐谋冉ㄔO(shè)要容易。戰(zhàn)爭中發(fā)明的各種反艦、巡航導(dǎo)彈、潛艇屬于非對稱作戰(zhàn)武器。該怎么扭轉(zhuǎn)這種劣勢呢?答案就是,安全防護(hù)人員也需要非對稱思維。那么,在信息安全領(lǐng)域,應(yīng)該發(fā)展哪些非對稱的安全防護(hù)“武器”呢?在這種情境下,各種“蜜”的產(chǎn)品應(yīng)運(yùn)而生了,蜜網(wǎng)站、蜜域名、蜜數(shù)據(jù)庫、蜜表、蜜字段、蜜數(shù)據(jù)、蜜文件……如果企業(yè)在面對攻擊時(shí)進(jìn)行安全反制,惡意攻擊者就很難全身而退。據(jù)我所知,很多企業(yè)已經(jīng)進(jìn)行了商業(yè)化大規(guī)模部署,并在實(shí)際對抗中取得不錯(cuò)的效果,這應(yīng)該是未來安全防護(hù)發(fā)展的一個(gè)有益方向。認(rèn)識(shí)到非對稱,并找到解決非對稱問題的方法,這是信息安全的第三個(gè)原則。1.3安全世界觀對于信息安全人員來說,最重要的是建立“安全世界觀”,即解決安全問題的思路,以及看待安全問題的角度和高度,而不是具體掌握了多少漏洞,拿下了多少權(quán)限,或者發(fā)現(xiàn)了多少風(fēng)險(xiǎn)。不同的企業(yè)、不同的安全人員,一定會(huì)有不同的安全世界觀。筆者的安全世界觀是:信息安全就是博弈和對抗,是一場人與人之間的戰(zhàn)爭。交戰(zhàn)雙方所爭奪的是對信息資產(chǎn)的控制權(quán),誰能夠在博弈和對抗中牢牢地把控住各類信息資產(chǎn)的控制權(quán),誰就取得了勝利。1.4正確處理幾個(gè)關(guān)系企業(yè)信息安全建設(shè)過程中,需要正確處理以下幾種關(guān)系:·科學(xué)與技術(shù)·管理與技術(shù)·業(yè)務(wù)與安全·甲方和乙方1.科學(xué)與技術(shù)科學(xué)講究嚴(yán)謹(jǐn),藝術(shù)講究美感。安全既是一門科學(xué),也是一門藝術(shù)。安全的科學(xué)性,體現(xiàn)在無論是安全體系還是具體安全措施,其落地都是嚴(yán)謹(jǐn)和嚴(yán)肅的。在企業(yè)安全建設(shè)中,有的開發(fā)和運(yùn)維同事覺得在內(nèi)網(wǎng)就安全了,已經(jīng)拒敵于門外了,從而放松了安全要求,但實(shí)際中攻擊者通過一些邊緣攻擊進(jìn)入內(nèi)網(wǎng),從而進(jìn)一步滲透入內(nèi)部服務(wù)器的案例比比皆是。因此必須全面、整體、綜合性地考慮安全,并且認(rèn)真、踏實(shí)、謹(jǐn)慎地落地實(shí)施。安全的藝術(shù)性,體現(xiàn)在安全工作的權(quán)變,不是所有情況都適用同樣的安全要求,需要不斷地權(quán)衡利弊,選擇當(dāng)前情況下的最優(yōu)。比如,服務(wù)器安全基線根據(jù)所處安全域的不同有不同的基線標(biāo)準(zhǔn),漏洞跟蹤處理時(shí),安全部門通過補(bǔ)償措施降低風(fēng)險(xiǎn),從而允許一些業(yè)務(wù)系統(tǒng)帶病上線,這都是權(quán)變的體現(xiàn)。2.管理與技術(shù)安全管理與安全技術(shù)孰輕孰重?有的企業(yè)拼命搞ISO27001安全體系,發(fā)布各種安全制度政策,實(shí)施各種安全流程控制,做各種安全審計(jì)和檢查,搞得民怨沸騰,往往效果也不好。從事漏洞挖掘和攻防的人會(huì)覺得搞安全管理的人太虛,這也不會(huì),那也不會(huì),每天就是搞體系制度流程,能擋住我一個(gè)0day嗎?會(huì)挖洞和寫PoC嗎?反過來,安全管理的人會(huì)覺得漏洞挖掘和攻防都是具體的工作,沒有良好的組織架構(gòu)、制度流程、意識(shí)培訓(xùn)等安全治理體系,“人”這個(gè)最重要的要素,可能會(huì)讓所有的安全技術(shù)防范措施形同虛設(shè),甚至毀于一旦。其實(shí),安全管理和安全技術(shù)更像是燈芯與燈油的關(guān)系,誰也離不開誰。管理和技術(shù),必須“兩手抓、兩手都要硬”。首先,從安全管理的角度看,安全政策和流程如果沒有技術(shù)和自動(dòng)化手段保障,無法有效落地,而脫離安全技術(shù)的安全政策和流程也有可能失效,例如,管理10臺(tái)和10000臺(tái)服務(wù)器,用同樣的安全政策和流程肯定是行不通的。其次,從安全技術(shù)的角度看,沒有管理的輔助,可能會(huì)變成“為了技術(shù)而技術(shù)”的“自嗨”,例如,在企業(yè)安全建設(shè)中,困難不在技術(shù)上,至少技術(shù)不是最重要的點(diǎn),而是需要不斷地去說服并影響開發(fā)運(yùn)維和業(yè)務(wù)部門的同事,如果技術(shù)人員能跳出技術(shù)思維,站在更高層面去思考安全問題解決方案,安全人員的境界就提高了好幾層。3.業(yè)務(wù)與安全這個(gè)話題非常有意思。剛工作時(shí),我認(rèn)為安全是為業(yè)務(wù)服務(wù)的,但安全會(huì)一定程度地阻礙業(yè)務(wù)發(fā)展。隨著認(rèn)識(shí)加深,我的認(rèn)知發(fā)生了一些變化—安全是為業(yè)務(wù)服務(wù)的,安全更是業(yè)務(wù)的屬性之一,不安全或沒有安全考慮的業(yè)務(wù)就像不合格的產(chǎn)品一樣,終究是要被市場淘汰的。本質(zhì)上,安全是一項(xiàng)服務(wù),安全服務(wù)是安全團(tuán)隊(duì)提供給用戶和客戶的一種服務(wù)類別。如果在設(shè)計(jì)安全方案和安全要求時(shí)沒有最大化這種服務(wù)的價(jià)值,那么在充分競爭的情況下,安全團(tuán)隊(duì)也是要被市場淘汰的。我經(jīng)常問自己和團(tuán)隊(duì),如果公司不是只有我們一支安全團(tuán)隊(duì),我們安全團(tuán)隊(duì)在公司范圍內(nèi)不是壟斷的,而是其他安全團(tuán)隊(duì)也提供安全服務(wù),在共同競爭的情況下,我們提供的安全服務(wù)還能被用戶認(rèn)可買單嗎?只要答案為“否”,就說明安全團(tuán)隊(duì)還有提升的空間。傳統(tǒng)觀念認(rèn)為,安全總是這也不能做、那也要控制,安全就是拖業(yè)務(wù)的后腿,安全總是降低業(yè)務(wù)發(fā)展效率,在企業(yè)中安全往往也被做成了這個(gè)樣子。造成這種現(xiàn)狀,企業(yè)安全主管首先要反思。這是因?yàn)榘踩珗F(tuán)隊(duì)設(shè)計(jì)安全方案和要求時(shí),不是以業(yè)務(wù)和服務(wù)為出發(fā)點(diǎn),而是以安全團(tuán)隊(duì)省時(shí)省事、盡量少承擔(dān)責(zé)任為出發(fā)點(diǎn)。后者設(shè)計(jì)出的安全方案當(dāng)然是阻礙業(yè)務(wù)發(fā)展、降低效率。但如果一套安全方案和要求,能夠在降低甚至不降低業(yè)務(wù)發(fā)展的情況下還能保障安全,業(yè)務(wù)團(tuán)隊(duì)和開發(fā)運(yùn)維當(dāng)然是歡迎的,畢竟誰都不愿意冒著巨大的風(fēng)險(xiǎn)強(qiáng)行上線新的業(yè)務(wù)。如果安全團(tuán)隊(duì)能和業(yè)務(wù)、開發(fā)運(yùn)維一起剖析,站在對方立場設(shè)計(jì)方案和執(zhí)行要求,用戶從心里一定是會(huì)認(rèn)可安全團(tuán)隊(duì)和安全服務(wù)的。很多企業(yè)的實(shí)踐證明,堅(jiān)持安全服務(wù)的做法,會(huì)讓安全團(tuán)隊(duì)之路走得更為順暢。4.甲方與乙方乙方是指給企業(yè)(甲方)提供安全產(chǎn)品和服務(wù)的一方,包括安全產(chǎn)品原廠、代理商、集成商和外包公司等。甲方和乙方的關(guān)系也可理解為燈芯和燈油的關(guān)系,誰離開誰都會(huì)失敗。有好的燈芯和燈油,也會(huì)有差的燈芯和燈油,關(guān)鍵在于各守本分,各盡其責(zé)。企業(yè)中較為常見的場景是,乙方老板說,貴公司是我們的大客戶,我們一定會(huì)服務(wù)好。乙方銷售則在旁邊配合,我們的產(chǎn)品和服務(wù)是最好的,用我們的絕對不會(huì)有問題。但一旦甲方稍微追問一句,貴公司打算怎么服務(wù)好我們?你們的產(chǎn)品和服務(wù)相比競爭對手好在哪里?你們了解我們的實(shí)際問題和需求嗎?基本上90%的乙方就接不上話了。更有甚者,個(gè)別老板和銷售的回答令人啼笑皆非,我們的產(chǎn)品和服務(wù)就是最好的,不用你們會(huì)后悔的。有風(fēng)度的甲方此時(shí)往往還需要心情平靜地答復(fù),你們的產(chǎn)品和服務(wù)我都了解了,挺不錯(cuò)的,希望有機(jī)會(huì)合作。但內(nèi)心簡直是崩潰的。另一方面,也聽到較多的乙方抱怨甲方,主管啥也不懂,就知道不能出事,出事背鍋;安全人員啥也不會(huì),只知道指揮我們干活,把我們工程師不當(dāng)人用。乙方眼里90%的甲方都是這個(gè)印象。筆者無意為任何一方辯護(hù),包括作為甲方的自己。因?yàn)榧滓译p方都是站在自己的立場處理問題,無可厚非。但甲方和乙方都需要檢討:甲方,應(yīng)該對自己承擔(dān)的職責(zé)負(fù)責(zé),不管用什么方法,結(jié)果是必須搞定安全問題,但要能識(shí)別什么是能搞定的方案,以及哪些是方案中靠譜一員的乙方。和乙方的關(guān)系挺簡單,如果乙方能為甲方創(chuàng)造安全價(jià)值,那給乙方匹配等量的安全回報(bào),繼續(xù)長期合作;否則對不起,多聽一秒都是浪費(fèi)生命。乙方,應(yīng)該是對自己的承諾負(fù)責(zé),要了解你的客戶,不是簽單成功就萬事大吉。合同落地才是剛剛開始,在甲方的辨識(shí)能力和社會(huì)口碑傳播效應(yīng)越來越強(qiáng)的今天,做一錘子買賣只能讓自己的路越走越窄。誰都不傻,不是嗎?1.5安全趨勢未來已來,如果只著眼于當(dāng)下的安全,很可能疲于奔命,被超越或拋棄。因此,必須看到安全的趨勢方能提早布局,確保立于不敗之地。1.安全度量安全度量是指如何衡量企業(yè)安全的效果。做安全的人遇到的最大挑戰(zhàn)就是講不清楚安全的價(jià)值。安全這個(gè)東西很微妙,不像業(yè)務(wù)可以用銷售額和用戶數(shù)來衡量,也不像運(yùn)維可以用可用性指標(biāo)(比如故障數(shù))來衡量,也不像研發(fā)可以用bug數(shù)、項(xiàng)目完成率、擴(kuò)展性、專利等來衡量。安全往往是事件性的,很可能你什么都不做,但一年都不出問題;也可能你花了很大力氣,花了很多錢,卻還是問題頻出。所以我們很難用單一的事件性指標(biāo)來衡量數(shù)據(jù)安全做得好還是不好。企業(yè)做安全,最終還是要對結(jié)果負(fù)責(zé),對于安全效果,有兩個(gè)最關(guān)鍵的核心指標(biāo):一個(gè)是漏洞數(shù),一個(gè)是安全事件數(shù)。這兩個(gè)關(guān)鍵安全指標(biāo),卻沒有一個(gè)安全廠商愿意承諾,他們通常都只愿意承諾賣出設(shè)備的功能效果,或者服務(wù)的響應(yīng)時(shí)間。由于漏洞數(shù)涉及企業(yè)發(fā)現(xiàn)能力,每年第三方漏洞報(bào)告平臺(tái)(如補(bǔ)天或CNCERT)上,漏洞數(shù)量排前十的大多是互聯(lián)網(wǎng)公司,但不能因此認(rèn)為互聯(lián)網(wǎng)公司安全能力靠后,相反,由于互聯(lián)網(wǎng)公司面臨安全威脅且自身發(fā)現(xiàn)能力(各種SRC雖然是白帽提交的安全漏洞,但可以理解為自身發(fā)現(xiàn)能力提高導(dǎo)致)較強(qiáng),所以發(fā)現(xiàn)的漏洞數(shù)量靠前。很多沒有爆出安全漏洞的企業(yè)不是因?yàn)樽龅糜卸嗪?,而是自身發(fā)現(xiàn)能力不夠。在這種情況下,有必要把漏洞數(shù)分成兩類:一類是通過眾測與SRC獲得的外部上報(bào)漏洞數(shù)量,一類是通過自身安全防護(hù)和檢測發(fā)現(xiàn)的安全漏洞數(shù)量。某些金融機(jī)構(gòu)已引入專業(yè)的藍(lán)軍團(tuán)隊(duì)進(jìn)行攻防,檢測紅軍安全防護(hù)和安全檢測能力,將是未來安全度量的發(fā)展趨勢。安全事件數(shù)的情況和漏洞數(shù)大體相同,不同點(diǎn)是,安全事件數(shù)沒有第三方報(bào)告平臺(tái),數(shù)據(jù)主要來自于監(jiān)管通報(bào)等被動(dòng)暴露以及主動(dòng)發(fā)現(xiàn),數(shù)據(jù)統(tǒng)計(jì)要更難一些。2.歷史問題免疫運(yùn)維管理目前事實(shí)上的標(biāo)準(zhǔn)是ISO20000服務(wù)管理體系,這套體系也稱為ITIL運(yùn)維流程管理,ITIL眾多流程中有個(gè)核心流程—問題管理。問題管理有個(gè)有意思的做法,通過問題管理的思維模式,對企業(yè)所有曾經(jīng)出現(xiàn)過的歷史故障進(jìn)行舉一反三的持續(xù)改進(jìn),從而實(shí)現(xiàn)對歷史故障免疫。既然安全性要當(dāng)作可用性來運(yùn)維,那么安全管理也應(yīng)該能做到對歷史問題免疫,而這也應(yīng)該成為安全未來趨勢之一。筆者理解歷史問題免疫有兩個(gè)含義:一是對企業(yè)曾經(jīng)出過的安全漏洞和安全事件做舉一反三的徹底整改,從人、技術(shù)、流程、資源四個(gè)維度分析問題產(chǎn)生根源,查找差距,并建立機(jī)制進(jìn)行防護(hù),從而根本上解決已出現(xiàn)的安全問題,實(shí)現(xiàn)歷史安全問題免疫。二是對已部署的安全措施的有效性做100%確認(rèn),比如已經(jīng)部署了防病毒客戶端,那么就一定要關(guān)注防病毒客戶端安裝率、正常率兩個(gè)指標(biāo),這兩個(gè)指標(biāo)能做到99.99%的應(yīng)該算執(zhí)行力和安全有效性不錯(cuò)的企業(yè)了。類似的指標(biāo)也同樣應(yīng)該在已部署的安全措施中得到確認(rèn)。嚴(yán)格來說,歷史問題免疫這一點(diǎn)其實(shí)不能算安全趨勢,而應(yīng)該是常識(shí),在各種安全概念層出不窮的今天,希望越來越多的甲乙方能回歸常識(shí)。3.安全成為屬性越來越多的企業(yè)重視信息安全,這種重視可能是主動(dòng)的,但仍然被動(dòng)居多。不管怎樣,今天的安全人員面對的安全環(huán)境越來越惡化,但得到的資源和支持卻比任何時(shí)候都多,這一點(diǎn)體現(xiàn)在:安全將成為各類系統(tǒng)甚至人才的關(guān)鍵屬性之一。舉個(gè)例子,十年前,很少看到系統(tǒng)需求階段就會(huì)有安全需求,測試階段有安全測試,開發(fā)人員需要接受專業(yè)的安全編碼開發(fā)規(guī)范培訓(xùn)。十年后,這些都很常見了,甚至是標(biāo)配(默認(rèn))。對安全知識(shí)和技能的掌握也從單純安全人員必備變成了開發(fā)人員的必備技能,實(shí)際上,安全意識(shí)和安全開發(fā)能力較強(qiáng)的開發(fā)人員,薪酬水平和發(fā)展空間已高于技能單一的程序員。程序員在用代碼改變世界的同時(shí),也有義務(wù)更好地保護(hù)世界。安全將成為越來越多的需求品,成為非專業(yè)安全人員的一種標(biāo)配屬性,這將是安全發(fā)展趨勢之一。4.安全人才缺口增大安全人才缺口越來越大,想必各企業(yè)的安全主管或者CSO都深有體會(huì)。甚至越來越多的甲方企業(yè),會(huì)要求乙方建立專門服務(wù)于本企業(yè)的專業(yè)安全隊(duì)伍。從市場經(jīng)濟(jì)的角度看,需求增大,必將導(dǎo)致更多的優(yōu)秀人才投身于安全行業(yè),這對原有安全人員也必將是個(gè)挑戰(zhàn)。安全行業(yè)是典型“活到老、學(xué)到老”的行業(yè),逆水行舟,不進(jìn)則退,各位安全人士一定感同身受。1.6小結(jié)本章從宏觀角度對安全的本質(zhì)、安全原則、安全世界觀和安全趨勢進(jìn)行了探討,指明了做好安全工作的大方向。第2章金融行業(yè)的信息安全金融行業(yè)是強(qiáng)監(jiān)管的行業(yè),是涉及業(yè)務(wù)敏感數(shù)據(jù)極多的行業(yè),是高度依賴信息化的行業(yè),也是信息安全風(fēng)險(xiǎn)形勢極為嚴(yán)峻的行業(yè)。因此,金融行業(yè)的信息安全工作有著不同于其他行業(yè)的顯著特點(diǎn)。2.1金融行業(yè)信息安全態(tài)勢金融機(jī)構(gòu)最初的信息安全工作,大都是以達(dá)成金融行業(yè)的監(jiān)管要求作為主要和基礎(chǔ)的目標(biāo),如銀行業(yè)信息科技部門會(huì)圍繞《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》來構(gòu)建安全組織架構(gòu),形成安全管理制度和流程,建立安全檢查、風(fēng)險(xiǎn)評估和整改機(jī)制,這時(shí)候的信息安全從業(yè)人員大多處于“管理流派”。2010年前后說起信息安全,業(yè)內(nèi)人士開口閉口就是防病毒、“IPS/IDS”“WAF”“DLP”等,“設(shè)備流派”占據(jù)主流;而最近幾年說到信息安全,不說些安全態(tài)勢感知、安全大數(shù)據(jù)分析、人工智能等概念,就明顯落伍了,“數(shù)據(jù)流派”儼然引領(lǐng)潮流。但是,不管是“管理流派”“設(shè)備流派”還是“數(shù)據(jù)流派”,金融行業(yè)的信息安全人員都清醒地知道,監(jiān)管要求越來越嚴(yán)格,信息安全形勢越來越嚴(yán)峻,攻擊技術(shù)手段越來越進(jìn)化。金融企業(yè)需要清楚分析面臨的監(jiān)管要求、外部形勢和內(nèi)部需求,然后針對性地制訂安全戰(zhàn)略規(guī)劃、安全管理和技術(shù)架構(gòu),進(jìn)而在安全管理和安全技術(shù)方面落地實(shí)施,方可立于不敗之地。1.金融行業(yè)信息科技監(jiān)管趨勢金融行業(yè)業(yè)務(wù)已經(jīng)高度信息化、自動(dòng)化、流程化,向客戶提供的所有服務(wù)和日常運(yùn)營基本都依賴信息系統(tǒng)開展。金融行業(yè)信息科技從業(yè)者們很明顯的一點(diǎn)感受就是,無論內(nèi)外部審計(jì)還是監(jiān)管檢查,無論檢查重點(diǎn)是針對哪一類的金融業(yè)務(wù),信息科技都是配合部門之一。另一方面,金融行業(yè)的業(yè)務(wù)戰(zhàn)略都需要信息科技戰(zhàn)略的支撐,業(yè)務(wù)目標(biāo)最后都可能轉(zhuǎn)化為對信息科技工作的需求。金融行業(yè)信息科技風(fēng)險(xiǎn)具有影響范圍廣、破壞性大、突發(fā)性強(qiáng)、資金損失風(fēng)險(xiǎn)高等特點(diǎn),信息科技風(fēng)險(xiǎn)作為唯一可能導(dǎo)致全部金融業(yè)務(wù)瞬間癱瘓的風(fēng)險(xiǎn),一直是金融行業(yè)監(jiān)管的重點(diǎn)和難點(diǎn)。因此,金融行業(yè)的監(jiān)管部門逐年加大了信息科技風(fēng)險(xiǎn)監(jiān)管的力度。針對銀行業(yè)金融機(jī)構(gòu),2009年中國銀監(jiān)會(huì)印發(fā)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》,奠定了銀行業(yè)信息科技風(fēng)險(xiǎn)監(jiān)管的基礎(chǔ),此后幾年陸續(xù)印發(fā)《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》等各領(lǐng)域的監(jiān)管制度;針對證券、期貨等行業(yè),陸續(xù)出臺(tái)《證券期貨業(yè)信息安全保障管理辦法》《證券公司信息技術(shù)管理規(guī)范》《證券期貨業(yè)信息系統(tǒng)運(yùn)維管理規(guī)范》等監(jiān)管要求;針對其他金融行業(yè),也或多或少有專門針對信息科技的監(jiān)管要求。從各類監(jiān)管要求來看,信息科技監(jiān)管有這樣幾個(gè)趨勢:·監(jiān)管機(jī)構(gòu)越來越重視信息科技治理,強(qiáng)調(diào)和重視董事會(huì)、監(jiān)事會(huì)和高管層的履職情況。秉承“實(shí)質(zhì)重于形式”的原則,董、監(jiān)、高的履職已經(jīng)不能僅限于參與幾次會(huì)議、做出幾項(xiàng)決策,而是要看信息安全風(fēng)險(xiǎn)控制的實(shí)際效果。如果信息科技管理工作或信息科技風(fēng)險(xiǎn)管理有重大缺失,就是履職不力的表現(xiàn)。·監(jiān)管重點(diǎn)從“管理為主”往“管理和技術(shù)并舉”方向發(fā)展,或是要求“人防補(bǔ)技防”,或是要求“技防補(bǔ)人防”,總之“兩手抓、兩手都要硬”。監(jiān)管的現(xiàn)場檢查、風(fēng)險(xiǎn)提示等,都已經(jīng)從組織架構(gòu)、制度建設(shè)、流程機(jī)制等管理層面,延展到業(yè)務(wù)流程設(shè)計(jì)、企業(yè)技術(shù)架構(gòu)、系統(tǒng)邏輯設(shè)計(jì)等具體和實(shí)質(zhì)的技術(shù)控制和實(shí)現(xiàn)層面?!τ谛畔⒖萍疾块T職責(zé)的規(guī)定和約束,逐漸精細(xì)化、具體化、層次化,信息科技風(fēng)險(xiǎn)防控要求涵蓋信息科技工作的方方面面?!ば畔⒖萍硷L(fēng)險(xiǎn)管控不僅是信息科技部門的責(zé)任,還要求全行風(fēng)險(xiǎn)管理部門、內(nèi)控合規(guī)部門、稽核審計(jì)部門都參與其中,各司其職,存在制約、促進(jìn)的關(guān)系?!ば畔⒖萍硷L(fēng)險(xiǎn)管控與業(yè)務(wù)密不可分,業(yè)務(wù)邏輯風(fēng)險(xiǎn)控制、業(yè)務(wù)需求匹配度和業(yè)務(wù)功能滿足度、業(yè)務(wù)效益后評價(jià)、業(yè)務(wù)外包中的信息科技活動(dòng)等,都延伸至業(yè)務(wù)部門。·信息安全意識(shí)培訓(xùn)和教育,要求針對全員開展,提升全員意識(shí),突破了信息科技人員的范疇?!けO(jiān)管手段逐漸向技術(shù)化發(fā)展。除了在監(jiān)管指引上逐步完善之外,非現(xiàn)場監(jiān)管數(shù)據(jù)化、現(xiàn)場檢查工具化的趨勢較為明顯,監(jiān)管科技的發(fā)展已經(jīng)從初露端倪到如火如荼。2.金融行業(yè)面臨的外部信息安全態(tài)勢由于金融行業(yè)的服務(wù)幾乎與每個(gè)人日常工作和生活息息相關(guān),處理的業(yè)務(wù)關(guān)乎每個(gè)人的錢袋子,服務(wù)結(jié)果又要求必須實(shí)時(shí)和高度準(zhǔn)確,因此,面臨的外部信息安全態(tài)勢也是在各行各業(yè)中最為復(fù)雜和嚴(yán)峻的。以下主要分析金融企業(yè)幾個(gè)重要的利益相關(guān)者:客戶、合作機(jī)構(gòu)以及外部攻擊者的信息安全態(tài)勢。(1)客戶方面隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展和金融科技的演化,金融企業(yè)的客戶越來越少地接觸實(shí)體門店,取而代之的是電子渠道,客戶更多以互聯(lián)網(wǎng)作為觸點(diǎn)來使用金融企業(yè)的服務(wù)。但是客戶在享受互聯(lián)網(wǎng)便利性的同時(shí),也承擔(dān)著互聯(lián)網(wǎng)帶來的風(fēng)險(xiǎn),因此近年來由于客戶信息安全意識(shí)不強(qiáng)導(dǎo)致的金融行業(yè)風(fēng)險(xiǎn)事件屢見不鮮,例如,由于客戶受到不良誘導(dǎo)、客戶對銀行卡等介質(zhì)保管不善、客戶自身信息泄漏、客戶口令設(shè)置脆弱(如弱口令、不同場景單一口令等)等導(dǎo)致的風(fēng)險(xiǎn)事件,各種各樣的電信詐騙事件、釣魚網(wǎng)站事件也持續(xù)不斷地出現(xiàn)。客戶信息安全意識(shí)教育成為金融行業(yè)亟待深化開展的重點(diǎn)工作。(2)外部合作商方面金融行業(yè)的服務(wù)提供需要大量的外部合作商,既包括業(yè)務(wù)合作方,也包括外包供應(yīng)商。合作商的信息安全管理不善、員工主動(dòng)泄密等,對金融行業(yè)的信息安全也形成一定的威脅。2015年電視臺(tái)曝光了某金融機(jī)構(gòu)客戶信息泄露導(dǎo)致資金損失的事件,事后內(nèi)部調(diào)查發(fā)現(xiàn),原因是負(fù)責(zé)卡片寄送的合作機(jī)構(gòu)員工有心收集并販賣客戶信息。外部合作商雖然引入了一定的信息安全威脅,但不能因噎廢食,需要通過合作協(xié)議約束、信息交換最小化限制、技術(shù)防范等方式,盡可能降低合作的風(fēng)險(xiǎn)。(3)攻擊者方面伴隨著金融業(yè)務(wù)全球化、移動(dòng)互聯(lián)網(wǎng)和金融科技的發(fā)展,虎視眈眈的攻擊者們也在隨之轉(zhuǎn)換方法和重點(diǎn),對金融機(jī)構(gòu)的攻擊數(shù)量和質(zhì)量持續(xù)提高。從近年來發(fā)生的大型攻擊事件看,攻擊既針對金融企業(yè)的基礎(chǔ)設(shè)施和員工,也針對其外包商或客戶;既針對ATM、SWIFT、電子銀行等傳統(tǒng)系統(tǒng),也針對社交媒體、區(qū)塊鏈、云計(jì)算等新興技術(shù);既針對金融行業(yè)的服務(wù)器,也針對終端設(shè)備。概括來說,攻擊重點(diǎn)與時(shí)俱進(jìn),攻擊手段變化多端,攻擊目標(biāo)無孔不入,給金融行業(yè)信息安全帶來了巨大的威脅和挑戰(zhàn)。“打鐵還需自身硬”,金融企業(yè)本身就是具有經(jīng)營風(fēng)險(xiǎn)的企業(yè),外部攻擊是必須面對和解決的問題,強(qiáng)身健體、見招拆招,方為正道。3.金融行業(yè)內(nèi)在的信息安全管理需求在監(jiān)管要求日益提高、外部安全態(tài)勢日益復(fù)雜的情況下,金融企業(yè)基于自身的業(yè)務(wù)發(fā)展和安全需要,也會(huì)提出大量的信息安全管理要求。金融行業(yè)的信息安全管理有著不同于其他行業(yè)的特點(diǎn),最主要的幾個(gè)特點(diǎn)如下:·金融行業(yè)整體信息化程度高,而且未來趨勢是進(jìn)一步的數(shù)字化、智能化,這就意味著被攻擊的風(fēng)險(xiǎn)點(diǎn)增多,薄弱環(huán)節(jié)增加,脆弱性增大,遭受攻擊的可能性上升?!そ鹑诜?wù)實(shí)時(shí)性和準(zhǔn)確性要求高,對于信息安全問題的容忍度低,出現(xiàn)問題后社會(huì)影響大,輿論壓力大?!そ鹑谛袠I(yè)直接處理對象為資金,敏感信息價(jià)值高,對于攻擊者來說獲利性大,鋌而走險(xiǎn)的動(dòng)機(jī)強(qiáng)烈?!そ鹑谛袠I(yè)積極應(yīng)用新技術(shù),但信息安全防控往往滯后于新技術(shù)應(yīng)用,導(dǎo)致面臨的新風(fēng)險(xiǎn)無法得到及時(shí)有效的控制。因此,金融企業(yè)的信息安全工作要求也會(huì)高于其他行業(yè),在深度和廣度上都必須兼顧,需要從組織架構(gòu)、制度流程、團(tuán)隊(duì)能力、安全意識(shí)、外包管理、安全技術(shù)等各方面,統(tǒng)籌做好規(guī)劃和落地實(shí)施,方可滿足自身的需要。2.2金融行業(yè)信息安全目標(biāo)正如“一千個(gè)人心中有一千個(gè)哈姆雷特”,金融行業(yè)的信息安全從業(yè)人員,對于金融企業(yè)信息安全工作目標(biāo)的理解也都是不盡相同的。因?yàn)榻鹑谄髽I(yè)的信息安全工作是保障性工作,是為金融企業(yè)的戰(zhàn)略、業(yè)務(wù)、科技開發(fā)和運(yùn)維等工作服務(wù)的,所以信息安全目標(biāo)也與本企業(yè)上述工作的目標(biāo)和定位高度相關(guān)。但是,對于所有金融企業(yè)來說,必須建立和保證信息安全的核心目標(biāo)和安全基線,在此基礎(chǔ)上,可以根據(jù)金融企業(yè)的戰(zhàn)略方向、風(fēng)險(xiǎn)偏好、管理要求進(jìn)行量體裁衣,做出選擇和調(diào)整。1.確立信息安全的核心目標(biāo)從務(wù)虛的角度來說,金融企業(yè)信息安全工作的核心目標(biāo)是,通過信息安全建設(shè)和管理,有效控制和防范信息安全風(fēng)險(xiǎn),提高信息安全保障能力和水平,確保金融企業(yè)及客戶的信息及資金安全。從務(wù)實(shí)的角度來說,金融企業(yè)信息安全工作的核心目標(biāo)是兩個(gè)“兩手抓”:一是“一手抓安全合規(guī),一手抓風(fēng)險(xiǎn)控制”;二是“一手抓安全管理,一手抓安全技術(shù)”。2.明確信息安全基線要實(shí)現(xiàn)金融企業(yè)信息安全工作的核心目標(biāo),從具體操作層面上來說,必須明確信息安全工作的范圍,在信息安全工作的各個(gè)領(lǐng)域建立信息安全工作基線,同時(shí)采取措施確保安全基線的達(dá)成。所謂信息安全基線,就是信息系統(tǒng)最基本要滿足的安全要求,是最小限度的安全保證。安全基線主要分為安全管理基線和安全技術(shù)基線。安全管理基線主要包括安全組織、安全制度、人力資源安全等:·安全組織方面包括確定金融企業(yè)的安全組織架構(gòu)(決策層、管理層和執(zhí)行層,以及合規(guī)、風(fēng)險(xiǎn)、審計(jì)等機(jī)構(gòu))、匯報(bào)路線、職責(zé)分工、日常工作機(jī)制等?!ぐ踩贫确矫姘ù_定制度的體系框架和制度層級等,制度必須完整覆蓋信息科技工作的全生命周期和科技管理等保障工作,制度必須與法律法規(guī)、行業(yè)標(biāo)準(zhǔn)和監(jiān)管要求等保持一致,制度之間必須滿足“MECE(相互獨(dú)立、完全窮盡)”法則等?!と肆Y源安全方面包括在人員任用前、中、后的基本安全管理要求,例如,任用前的篩選、背景調(diào)查、安全職責(zé)確定和崗前培訓(xùn)等,任用中的各項(xiàng)權(quán)限分配、安全檢查和獎(jiǎng)罰制度等,以及任用終止前的權(quán)限凍結(jié)或取消等。安全技術(shù)基線主要包括機(jī)房、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、終端、數(shù)據(jù)的安全:·機(jī)房安全基線主要規(guī)定機(jī)房物理選址、基礎(chǔ)設(shè)施相關(guān)設(shè)備、風(fēng)火水電、環(huán)境監(jiān)控、訪問控制等方面的基本要求?!ぞW(wǎng)絡(luò)安全基線主要規(guī)定網(wǎng)絡(luò)結(jié)構(gòu)安全、邊界安全、網(wǎng)絡(luò)設(shè)備安全、入侵防范、訪問控制、安全審計(jì)等方面的基本要求?!は到y(tǒng)安全基線主要規(guī)定系統(tǒng)配置、服務(wù)安全、操作系統(tǒng)訪問權(quán)限、協(xié)議管理、系統(tǒng)日志審計(jì)等方面的基本要求。·應(yīng)用安全基線主要規(guī)定身份鑒別、抗抵賴性、資源控制、應(yīng)用系統(tǒng)訪問控制、應(yīng)用日志審計(jì)等方面的基本要求?!そK端安全基線主要規(guī)定設(shè)備管理、軟件管理、用戶管理、終端網(wǎng)絡(luò)隔離、自助終端管理等方面的基本要求?!?shù)據(jù)安全基線主要規(guī)定數(shù)據(jù)保密性、數(shù)據(jù)完整性、數(shù)據(jù)可用性、數(shù)據(jù)訪問安全、數(shù)據(jù)備份和恢復(fù)等方面的基本要求。2.3信息安全與業(yè)務(wù)的關(guān)系:矛盾與共贏金融行業(yè)的信息安全與業(yè)務(wù)的關(guān)系,在某些時(shí)候可能是最能融合的,因?yàn)榻鹑跇I(yè)務(wù)必須重視風(fēng)險(xiǎn),否則業(yè)務(wù)成果可能付之一炬;但某些時(shí)候又可能是矛盾最大的,因?yàn)樾畔踩珜I(yè)務(wù)必定會(huì)有一定的影響和制衡。所以,簡單說,信息安全與業(yè)務(wù)是矛盾、是一致還是共贏?可能都不恰當(dāng),準(zhǔn)確說,應(yīng)該盡可能化解矛盾,取得最大公約數(shù)的一致,最終才能實(shí)現(xiàn)共贏。1.信息安全與業(yè)務(wù)的矛盾性信息安全與業(yè)務(wù)的矛盾,多數(shù)體現(xiàn)在業(yè)務(wù)流程的設(shè)計(jì)方面。業(yè)務(wù)部門是必須考慮客戶體驗(yàn)的,因此處理步驟越便捷、驗(yàn)證過程越簡單越好。但是從信息安全的角度,有些必要的風(fēng)險(xiǎn)控制措施又不能簡化。例如,商業(yè)銀行的II、III類電子賬戶的開設(shè)就是一個(gè)很典型的例子。從客戶體驗(yàn)和便利性角度,開戶信息及驗(yàn)證步驟越少越好,但是從信息安全角度,需要客戶提供更多的個(gè)人信息,通過人臉識(shí)別、短信驗(yàn)證等步驟,才可以在客戶不跟銀行人員面對面接觸的情況下,正確核驗(yàn)客戶身份,確??蛻糸_戶意愿的真實(shí)性,既能保護(hù)客戶不被假冒開戶,也能夠防止客戶抵賴??蛻艮D(zhuǎn)賬或支付是第二個(gè)典型的例子。為了給客戶更便捷的體驗(yàn),有些金融企業(yè)采用一個(gè)認(rèn)證因素(例如靜態(tài)密碼、指紋等)即可完成轉(zhuǎn)賬或支付類交易,但這會(huì)給某些攻擊者可乘之機(jī),因?yàn)殪o態(tài)密碼很容易通過撞庫等攻擊方式獲取,而客戶指紋信息也可以被復(fù)制。因此從信息安全的角度,必須采用兩種以上不同類別的認(rèn)證因素,方可完成轉(zhuǎn)賬或支付這類對客戶賬戶余額有改變的“動(dòng)賬”類交易,但這樣顯然會(huì)影響到客戶體驗(yàn)。2.信息安全與業(yè)務(wù)的一致性金融行業(yè)的業(yè)務(wù),可以說都是與風(fēng)險(xiǎn)相關(guān)的,高收益的背后往往是以承受的高風(fēng)險(xiǎn)為代價(jià),所以開展業(yè)務(wù)的同時(shí),必須盡可能采取措施使得風(fēng)險(xiǎn)最小化,這一點(diǎn)跟信息安全管理目標(biāo)是一致的。信息安全與業(yè)務(wù)的一致性,體現(xiàn)在事前預(yù)防、事中攔截、事后告警等方面。例如,通過業(yè)務(wù)風(fēng)控系統(tǒng)的建設(shè),可以實(shí)現(xiàn)以下目標(biāo):·事前預(yù)防。在客戶身份驗(yàn)證的同時(shí),通過預(yù)先設(shè)立的黑名單,與客戶身份證、手機(jī)號(hào)等進(jìn)行匹配,對于命中的直接拒絕開戶或交易;在信貸審批之前,運(yùn)行風(fēng)險(xiǎn)模型,對于符合高風(fēng)險(xiǎn)特征的不予審批通過?!な轮袛r截。通過預(yù)先建立的風(fēng)控規(guī)則,與客戶開戶或交易行為進(jìn)行比對,對于符合風(fēng)險(xiǎn)模型的(如同一個(gè)IP地址短時(shí)間內(nèi)集中開戶或交易,同一個(gè)手機(jī)號(hào)同時(shí)開立多個(gè)賬戶等)進(jìn)行交易攔截。·事后告警。通過設(shè)立告警規(guī)則,提供告警信息,出具風(fēng)險(xiǎn)報(bào)表,提供給業(yè)務(wù)部門進(jìn)行處理;在信貸放款后對客戶信息持續(xù)跟蹤,對于可能出現(xiàn)還款風(fēng)險(xiǎn)的客戶提前采取措施。3.信息安全與業(yè)務(wù)的共贏要實(shí)現(xiàn)信息安全與業(yè)務(wù)的共贏,首要的就是雙方先改變心態(tài),停止?fàn)巿?zhí),朝著一個(gè)目標(biāo)方向努力,爭取最大公約數(shù),取得風(fēng)險(xiǎn)和效益的平衡。具體來說,常見的兼顧風(fēng)險(xiǎn)和效益的方式包括:·風(fēng)險(xiǎn)分類。信息安全人員和業(yè)務(wù)人員要一起對風(fēng)險(xiǎn)進(jìn)行分類分級,根據(jù)風(fēng)險(xiǎn)的大小及發(fā)生頻率,優(yōu)先化解高風(fēng)險(xiǎn)或者高頻交易風(fēng)險(xiǎn);同時(shí)調(diào)研了解同業(yè)采用的方式,學(xué)習(xí)同業(yè)經(jīng)驗(yàn),尋找是否有更好的風(fēng)險(xiǎn)管控措施?!ぁ扒拜p后重”。所謂“前輕”,就是對于直接提供客戶體驗(yàn)的前端來說,在滿足監(jiān)管要求的前提下,設(shè)計(jì)盡可能簡單的規(guī)則,例如客戶信息遵循“必須知道、最小原則”,身份驗(yàn)證方式遵循“夠用就好原則”。但這個(gè)必須與強(qiáng)大的后臺(tái)相配套,也就是說,后臺(tái)的風(fēng)控必須到位(即“后重”),要有黑名單或灰名單客戶,要有風(fēng)險(xiǎn)監(jiān)測模型,要有緊急情況下一鍵關(guān)停規(guī)避風(fēng)險(xiǎn)的功能,否則就會(huì)留下巨大的風(fēng)險(xiǎn)缺口?!た蛻麸L(fēng)險(xiǎn)等級分類。對于金融企業(yè)的客戶,要有分類分級管控的技術(shù)方案,通過運(yùn)行一定規(guī)則對客戶進(jìn)行分類,對于風(fēng)險(xiǎn)等級為“低”的“白名單”客戶,身份驗(yàn)證措施可以非常簡單,保證客戶的良好體驗(yàn);對于風(fēng)險(xiǎn)等級為“中”的客戶,可以多增加一個(gè)身份驗(yàn)證措施;對于風(fēng)險(xiǎn)等級為“高”的客戶,可以直接要求面核面簽;對于有過不良記錄的“黑名單”客戶,可以直接拒絕服務(wù)?!ゎ~度管控。從交易金額的角度控制,針對不同的金額設(shè)置不同的安全管控措施。例如,對于小額的交易,可以采用免密免簽或者簡單驗(yàn)證因素的方式;對于大額的交易,必須使用數(shù)字證書或者動(dòng)態(tài)令牌、U盾等方式驗(yàn)證身份;對于其他交易,可以采用靜態(tài)密碼+短信動(dòng)態(tài)驗(yàn)證碼/指紋/人臉識(shí)別等雙因素驗(yàn)證身份。2.4信息安全與監(jiān)管的關(guān)系:約束與保護(hù)長期以來,金融行業(yè)的信息安全工作都是在較強(qiáng)的監(jiān)管形勢下開展。很多金融企業(yè)的信息安全工作框架,就是遵循著監(jiān)管的要求一步步搭建起來的。而金融行業(yè)的監(jiān)管要求,也往往會(huì)根據(jù)金融行業(yè)發(fā)生的風(fēng)險(xiǎn)事件而不斷補(bǔ)充完善。金融企業(yè)需要正確認(rèn)識(shí)監(jiān)管要求對工作的推動(dòng)作用,認(rèn)真學(xué)習(xí)和理解監(jiān)管要求,深入領(lǐng)會(huì)監(jiān)管要求的實(shí)質(zhì),從而建立起科學(xué)合理的信息安全管理和技術(shù)框架。1.信息安全監(jiān)管的約束金融行業(yè)信息安全相關(guān)監(jiān)管要求,對于金融企業(yè)首先是約束。所有信息安全工作需要在監(jiān)管要求的框架下開展,需要遵循各個(gè)方面監(jiān)管要求的細(xì)節(jié)規(guī)定,需要針對監(jiān)管要求和風(fēng)險(xiǎn)提示展開對標(biāo)、風(fēng)險(xiǎn)排查和整改,需要隨時(shí)接受監(jiān)管機(jī)構(gòu)現(xiàn)場和非現(xiàn)場的檢查,需要認(rèn)真落實(shí)監(jiān)管下達(dá)的風(fēng)險(xiǎn)監(jiān)測報(bào)表、自查報(bào)告等各項(xiàng)要求。對于監(jiān)管規(guī)定的重點(diǎn)工作、例行工作等,必須落實(shí)到金融企業(yè)內(nèi)部工作計(jì)劃中;對于監(jiān)管規(guī)定的管理要求,必須落實(shí)到金融企業(yè)的組織機(jī)構(gòu)、制度建設(shè)、團(tuán)隊(duì)建設(shè)等各項(xiàng)工作任務(wù)中,建立長效工作機(jī)制;對于監(jiān)管下達(dá)的技術(shù)標(biāo)準(zhǔn),必須落實(shí)到金融企業(yè)的信息系統(tǒng)建設(shè)、運(yùn)維監(jiān)控建設(shè)或者信息安全技術(shù)防控工作中。金融企業(yè)內(nèi)部要成立專門的信息安全工作團(tuán)隊(duì),負(fù)責(zé)確保監(jiān)管要求在金融企業(yè)嚴(yán)格落實(shí)到位,確保信息安全工作“治標(biāo)又治本”,確保信息安全管理和技術(shù)防控的實(shí)際效果,確保日常的信息安全檢查、評估和整改機(jī)制能有效地發(fā)揮風(fēng)險(xiǎn)控制作用。2.信息安全監(jiān)管的保護(hù)同時(shí),金融企業(yè)必須認(rèn)識(shí)到監(jiān)管要求對自己的保護(hù)作用。信息安全監(jiān)管要求是監(jiān)管機(jī)構(gòu)基于國家信息安全防控總體策略、國內(nèi)外信息安全形勢、監(jiān)管機(jī)構(gòu)自身的前瞻眼光和管理思路、金融行業(yè)已經(jīng)發(fā)生的風(fēng)險(xiǎn)事件相關(guān)經(jīng)驗(yàn)教訓(xùn),經(jīng)過歸納、總結(jié)、提煉出的綱領(lǐng)性、全局性要求,從戰(zhàn)略高度和戰(zhàn)術(shù)細(xì)度,提出了諸多具有很高實(shí)操性、實(shí)用價(jià)值的條款,從某種意義上說,對于金融企業(yè)形成了保護(hù)。首先,對于很多金融企業(yè)特別是信息安全建設(shè)處于初級階段的金融企業(yè)來說,學(xué)透了監(jiān)管要求,就能把握最關(guān)鍵的信息安全風(fēng)險(xiǎn),搭建起基本的信息安全防控框架,建立起組織架構(gòu)和制度,使技術(shù)安全防控有章可循,也就有更好的風(fēng)險(xiǎn)防控效果。其次,監(jiān)管要求中隱含了很多其他金融企業(yè)貢獻(xiàn)的知識(shí)和技能,實(shí)際上是一種行業(yè)經(jīng)驗(yàn)的積累、沉淀和傳承。對于信息安全基礎(chǔ)薄弱的金融機(jī)構(gòu)來說,這是一種快速獲取同業(yè)經(jīng)驗(yàn)的方式。例如,監(jiān)管機(jī)構(gòu)歷次發(fā)布的信息安全風(fēng)險(xiǎn)提示和風(fēng)險(xiǎn)事件案例,實(shí)際上就是很好的“教科書”,讓風(fēng)險(xiǎn)處置經(jīng)驗(yàn)不足的金融企業(yè)可以提前排查類似風(fēng)險(xiǎn)隱患,防患于未然;而當(dāng)實(shí)際發(fā)生風(fēng)險(xiǎn)事件時(shí),這些內(nèi)容又可以成為“知識(shí)庫”,從中先去搜索類似案例,尋求最快的解決方案。最后,當(dāng)風(fēng)險(xiǎn)和收益發(fā)生沖突時(shí),遵循監(jiān)管要求的底線,是信息安全人員判斷是否可以給業(yè)務(wù)“讓步”的重要參照,也是信息安全人員有底氣說“不”的有力支撐。2.5監(jiān)管科技隨著金融行業(yè)信息技術(shù)的蓬勃發(fā)展,特別是金融科技的廣泛應(yīng)用,監(jiān)管機(jī)構(gòu)的監(jiān)管方式也不斷創(chuàng)新,監(jiān)管科技幾乎是伴隨著金融科技的誕生應(yīng)運(yùn)而生的。美國、英國作為金融科技的先行者,在監(jiān)管科技這一分支領(lǐng)域的發(fā)展也是最早最快的,其經(jīng)驗(yàn)值得借鑒。中國的金融科技發(fā)展迅猛,監(jiān)管科技領(lǐng)域也在逐步發(fā)展。國內(nèi)外不同機(jī)構(gòu)對于監(jiān)管科技的定義基本達(dá)成共識(shí),即“通過科技手段,服務(wù)監(jiān)管需求,提高監(jiān)管效率”。2017年中國人民銀行金融科技委員會(huì)成立,旨在加強(qiáng)金融科技工作的研究規(guī)劃和統(tǒng)籌協(xié)調(diào),其工作職責(zé)之一是“強(qiáng)化監(jiān)管科技(RegulatoryTechnology,RegTech)應(yīng)用實(shí)踐,積極利用大數(shù)據(jù)、人工智能、云計(jì)算等技術(shù)豐富金融監(jiān)管手段,提升跨行業(yè)、跨市場交叉性金融風(fēng)險(xiǎn)的甄別、防范和化解能力”。監(jiān)管科技的目的一方面是控制風(fēng)險(xiǎn),確保合規(guī);另一方面則是保護(hù)創(chuàng)新,引導(dǎo)新技術(shù)在金融領(lǐng)域的正確使用。簡而言之,就是要處理好安全與發(fā)展的關(guān)系,促進(jìn)金融企業(yè)安全地創(chuàng)新,合規(guī)地發(fā)展。監(jiān)管科技的需求對象,既包括監(jiān)管機(jī)構(gòu),也包括被監(jiān)管的金融企業(yè)。對于監(jiān)管機(jī)構(gòu)來說,利用監(jiān)管科技可以減輕監(jiān)管壓力,提高監(jiān)管效率和水平;對于金融企業(yè)來說,利用監(jiān)管科技可以快速應(yīng)對監(jiān)管要求,降低合規(guī)成本??梢哉f,在監(jiān)管科技中,監(jiān)管科技公司、金融企業(yè)及監(jiān)管機(jī)構(gòu)各司其職。監(jiān)管科技應(yīng)用非常廣泛,對于金融企業(yè)來說,主要應(yīng)用領(lǐng)域包括:·合規(guī)管理。將外部法律法規(guī)、行業(yè)規(guī)范、監(jiān)管要求以及內(nèi)部規(guī)章制度要求,轉(zhuǎn)化為數(shù)字化的規(guī)則要求,為金融企業(yè)提供合規(guī)管理的平臺(tái)和工具,實(shí)現(xiàn)數(shù)據(jù)自動(dòng)收集、整理和精確分析,輸出外部監(jiān)管或內(nèi)控合規(guī)相關(guān)的數(shù)據(jù)和報(bào)告?!て髽I(yè)風(fēng)險(xiǎn)管理。例如,實(shí)現(xiàn)業(yè)務(wù)反欺詐、網(wǎng)址反欺詐、偽基站檢測等風(fēng)險(xiǎn)監(jiān)測和預(yù)警的自動(dòng)化平臺(tái),以及信息安全風(fēng)險(xiǎn)評估、安全預(yù)警的自動(dòng)化平臺(tái),幫助金融企業(yè)發(fā)現(xiàn)并預(yù)防詐騙、攻擊等風(fēng)險(xiǎn),并做好提前防范?!ざ悇?wù)管理。例如,提供納稅解決方案的系統(tǒng),收集金融企業(yè)報(bào)稅相關(guān)的各種數(shù)據(jù),保存執(zhí)行記錄并協(xié)助完成稅務(wù)管理機(jī)構(gòu)所需的報(bào)告和數(shù)據(jù),促進(jìn)納稅工作的自動(dòng)化和流程合規(guī)性。·反洗錢。建立反洗錢數(shù)據(jù)采集、處理、分析平臺(tái),建立可疑交易的數(shù)據(jù)規(guī)則和模型,實(shí)現(xiàn)符合特征的賬戶和交易自動(dòng)預(yù)警,幫助金融企業(yè)核查是否符合反洗錢相關(guān)規(guī)定,防止金融企業(yè)被卷入非法洗錢活動(dòng)?!そ灰妆O(jiān)控。監(jiān)控員工或客戶異常行為,確保遵守貿(mào)易限制,限制客戶進(jìn)行未授權(quán)的交易活動(dòng)等;對內(nèi)幕交易、高頻交易等進(jìn)行智能化識(shí)別、關(guān)聯(lián)賬戶識(shí)別,發(fā)現(xiàn)潛在交易風(fēng)險(xiǎn)等。對于監(jiān)管機(jī)構(gòu)來說,監(jiān)管科技的應(yīng)用領(lǐng)域主要包括:·金融企業(yè)日常監(jiān)測。建立金融信息統(tǒng)計(jì)和監(jiān)管信息系統(tǒng),利用大數(shù)據(jù)、人工智能等技術(shù)對采集的金融企業(yè)數(shù)據(jù)進(jìn)行綜合分析,設(shè)置監(jiān)管閾值對風(fēng)險(xiǎn)狀況進(jìn)行檢測和預(yù)警,為有效識(shí)別和化解金融風(fēng)險(xiǎn)、整治金融亂象提供支撐?!そ鹑谄髽I(yè)合規(guī)性分析。對法律法規(guī)、行業(yè)規(guī)范、監(jiān)管政策等合規(guī)性要求的數(shù)字化提煉和表達(dá),收集金融企業(yè)對應(yīng)信息,通過比對合規(guī)性要求和金融企業(yè)的實(shí)際情況,對金融企業(yè)進(jìn)行主動(dòng)監(jiān)管?!ふ鐒e不法機(jī)構(gòu)和行為。收集金融企業(yè)運(yùn)行數(shù)據(jù),對業(yè)務(wù)特征信息和行為數(shù)據(jù)進(jìn)行動(dòng)態(tài)分析和實(shí)時(shí)監(jiān)測,有效掌控金融企業(yè)的業(yè)務(wù)模式和經(jīng)營狀態(tài),識(shí)別違規(guī)和不當(dāng)行為,快速甄別名為創(chuàng)新、實(shí)則欺詐的不法機(jī)構(gòu),識(shí)別和打擊監(jiān)管套利行為,保護(hù)金融消費(fèi)者合法權(quán)益,實(shí)現(xiàn)金融行業(yè)可持續(xù)發(fā)展?!ぐl(fā)現(xiàn)行業(yè)性風(fēng)險(xiǎn)。搜集、分析金融行業(yè)的數(shù)據(jù),結(jié)合互聯(lián)網(wǎng)上的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù),橫向?qū)崿F(xiàn)監(jiān)管信息跨國家和地區(qū)共享,縱向整合跨越時(shí)間段的歷史信息,進(jìn)行行業(yè)性的風(fēng)險(xiǎn)趨勢分析,提前識(shí)別和預(yù)判行業(yè)性、區(qū)域性風(fēng)險(xiǎn)隱患,發(fā)現(xiàn)違規(guī)和不當(dāng)行為,提升金融行業(yè)的風(fēng)險(xiǎn)協(xié)同處置能力?!け忍貛?區(qū)塊鏈風(fēng)險(xiǎn)防范。監(jiān)管方和市場各方同時(shí)存在比特幣/區(qū)塊鏈上,監(jiān)管方實(shí)時(shí)監(jiān)控比特幣/區(qū)塊鏈上的異常交易,追蹤非法交易的來源、客戶賬戶狀態(tài)和客戶身份,并提供有價(jià)值的情報(bào)和風(fēng)險(xiǎn)分析報(bào)告。在金融科技發(fā)展日新月異的新形勢下,監(jiān)管機(jī)構(gòu)將大量運(yùn)用監(jiān)管科技手段,逐步實(shí)現(xiàn)與金融企業(yè)數(shù)據(jù)的實(shí)時(shí)、準(zhǔn)實(shí)時(shí)在線對接,對金融企業(yè)開展及時(shí)、有效、可追溯性強(qiáng)、不可抵賴的監(jiān)管,將風(fēng)險(xiǎn)識(shí)別和控制提前到事前、事中階段,提高監(jiān)管效率和能力。原有的依靠個(gè)人經(jīng)驗(yàn)和金融企業(yè)報(bào)表報(bào)告的方式,由于耗費(fèi)大量人力且側(cè)重于事后監(jiān)管,將作為輔助手段,專注于監(jiān)管科技頂層規(guī)劃設(shè)計(jì)、政策和標(biāo)準(zhǔn)制定,行業(yè)統(tǒng)籌協(xié)調(diào)等方面。未來的金融行業(yè)監(jiān)管,將由監(jiān)管專家與監(jiān)管科技手段協(xié)同運(yùn)作,以監(jiān)管科技來應(yīng)對金融科技所帶來的風(fēng)險(xiǎn)隱患。2.6小結(jié)本章對金融行業(yè)的信息安全特性、安全態(tài)勢、面臨主要問題、安全目標(biāo)和安全基線進(jìn)行了講述,剖析了信息安全與業(yè)務(wù)、信息安全與監(jiān)管的關(guān)系,并對監(jiān)管科技的應(yīng)用現(xiàn)狀和趨勢進(jìn)行了簡要分析。使讀者可以直觀地了解信息安全行業(yè)的概況。第3章安全規(guī)劃金融企業(yè)信息安全建設(shè)中,有一項(xiàng)最基本的東西—安全規(guī)劃,準(zhǔn)備不夠充分,就會(huì)導(dǎo)致工作千頭萬緒但收效甚微,也會(huì)導(dǎo)致員工起早摸黑卻碌碌無為。所謂“凡事預(yù)則立,不預(yù)則廢”,有規(guī)劃的信息安全,才能忙而不亂,事半功倍。3.1規(guī)劃前的思考我們會(huì)在日常工作中有非常多的時(shí)間浪費(fèi)現(xiàn)象,或者感覺太辛苦。著名企業(yè)文化與戰(zhàn)略專家陳春花老師曾說過,要常問自己三個(gè)問題:1)你為什么會(huì)辛苦?很多人會(huì)發(fā)現(xiàn)你想做的事情下屬?zèng)]幫你去做。2)你為什么很辛苦?你發(fā)現(xiàn)每一個(gè)小時(shí)的效率不夠。3)你為什么那么辛苦?是因?yàn)槟惆l(fā)現(xiàn)很多人做的事情并不真正產(chǎn)生效益。據(jù)史書記載,諸葛亮54歲去世,諸葛亮為何英年早逝呢?諸葛亮以忠君扶蜀為先,把自身的健康放在一邊,既不鍛煉,又不習(xí)武。為了一統(tǒng)天下,諸葛亮常常要深謀遠(yuǎn)慮,運(yùn)籌帷幄。他還習(xí)慣于晚睡早起,一生謹(jǐn)慎小心,軍中事無巨細(xì),都要事必躬親,整天弄得精疲力竭。這種身心勞累的負(fù)擔(dān),年輕時(shí)還能應(yīng)付,一旦過了中年,就會(huì)顯出快速衰老的征象。據(jù)史書載,諸葛亮的使者到了魏營,司馬懿不問軍中之事,單問諸葛亮的飲食起居和工作忙閑情況。使者告訴他,諸葛公向來喜歡晚睡早起,連罰打士兵二十軍棍這樣的小事都要親自處理,可早飯卻吃得很少。司馬懿聽后馬上得出結(jié)論:“亮將死矣!”果然不出司馬懿所料,不久在撤退途中,諸葛亮就憂慮嘔血而亡??梢姡卤毓H,對大BOSS來講,弊大于利。三個(gè)問題,一則典故,反映了很多問題和錯(cuò)誤,這些錯(cuò)誤顯然都不應(yīng)該發(fā)生。但怎么解決呢?這個(gè)見仁見智,可以有很多角度的解決方案。但在信息安全領(lǐng)域,首要的解決方案就是做好安全規(guī)劃。金融企業(yè)戰(zhàn)略規(guī)劃(通常是五年為周期)、IT戰(zhàn)略規(guī)劃(通常三年為周期)、信息安全三年規(guī)劃、××年工作計(jì)劃,是自上而下、一脈相承的。負(fù)責(zé)制訂IT戰(zhàn)略規(guī)劃的人,通常會(huì)要求企業(yè)安全負(fù)責(zé)人提供信息安全三年規(guī)劃作為基礎(chǔ)材料,統(tǒng)籌而成。能否做一份看起來高大上,實(shí)施起來又接地氣可執(zhí)行的信息安全規(guī)劃,是金融企業(yè)安全負(fù)責(zé)人的必備技能。信息安全規(guī)劃,以及在此框架下的年度工作計(jì)劃,決定了新一年的安全投入,包括人員和資金的預(yù)算。而預(yù)算的大小,往往和IT戰(zhàn)略規(guī)劃中信息安全相關(guān)內(nèi)容的篇幅形成正比關(guān)系。在信息安全規(guī)劃編制啟動(dòng)時(shí)間點(diǎn)選擇方面,建議選擇每年10月啟動(dòng),12月定稿。有的企業(yè)喜歡12月啟動(dòng),春節(jié)前后甚至3月底定稿,這樣的時(shí)間安排存在很大弊端。企業(yè)工作中,總結(jié)、考核、預(yù)算,通常以自然年為單位(大部分金融企業(yè)如此,外資企業(yè)不同),而企業(yè)員工概念中,一年工作結(jié)束一般以農(nóng)歷年為單位。因此元旦到春節(jié)后,各種年會(huì)、總結(jié)、慶祝,基本上處于一個(gè)工作斷檔期。規(guī)劃如果是3月前后定稿,那么和規(guī)劃相關(guān)的重點(diǎn)項(xiàng)目的資源準(zhǔn)備,如合作廠商技術(shù)交流測試、項(xiàng)目采購等,就會(huì)浪費(fèi)自然年的第一季度。如果每年10月啟動(dòng),12月定稿,就可以利用元旦到春節(jié)前后的時(shí)間,進(jìn)行規(guī)劃相關(guān)項(xiàng)目、資源的準(zhǔn)備工作(比如,采購文檔編制、采購流程發(fā)起、新招人員面試筆試等),春節(jié)后就可以開足馬力,立刻開干。安全規(guī)劃考慮的因素,除了時(shí)間外,還應(yīng)該考慮監(jiān)管要求、企業(yè)風(fēng)險(xiǎn)偏好、IT戰(zhàn)略目標(biāo)、技術(shù)發(fā)展、資源約束、安全價(jià)值體現(xiàn)等,此處就不一一展開了。3.2規(guī)劃框架安全規(guī)劃的框架,應(yīng)包括概述、需求分析和安全目標(biāo)、各個(gè)安全領(lǐng)域的現(xiàn)狀和差距分析、解決方案和計(jì)劃、安全資源規(guī)劃、當(dāng)年重點(diǎn)項(xiàng)目和重點(diǎn)任務(wù)、上一版安全規(guī)劃目標(biāo)差距分析等。以下是安全規(guī)劃的框架示例,如圖3-1所示。圖3-1安全規(guī)劃框架示例概述部分主要包括信息安全形勢分析,安全形勢可以是外部安全形勢、行業(yè)形勢、監(jiān)管和股東要求、對手分析(攻擊者、內(nèi)部異常員工)等。安全目標(biāo)是指規(guī)劃周期結(jié)束組織應(yīng)該達(dá)到什么樣的信息安全水平。安全目標(biāo)應(yīng)該是跳一跳,拼命奔跑才能達(dá)到的,甚至是很大概率達(dá)不到的,而不應(yīng)該是躺在床上就能實(shí)現(xiàn)的。對現(xiàn)狀和差距的分析相當(dāng)于自我體檢,最重要的是能從過往的安全檢查中分析管理差距,以及從白盒檢測、黑盒檢測失效中獲得技術(shù)差距。其中黑盒檢測有兩大利器,即安全眾測和紅藍(lán)對抗,能夠先于對手發(fā)現(xiàn)自己的漏洞和弱點(diǎn),對這類檢測失效的原因進(jìn)行深挖,是差距分析的重點(diǎn)。解決方案和計(jì)劃,解決方案提出的一條條解決措施,最終要落到重點(diǎn)項(xiàng)目和任務(wù)上去實(shí)現(xiàn)。計(jì)劃分解的頻度方面,當(dāng)年的至少細(xì)化到月,未來兩年的細(xì)化到季度即可。當(dāng)年重點(diǎn)項(xiàng)目和重點(diǎn)任務(wù),是解決方案落地的關(guān)鍵,當(dāng)年的工作目標(biāo)靠重點(diǎn)項(xiàng)目和重點(diǎn)任務(wù)實(shí)現(xiàn)。差距、解決方案、重點(diǎn)項(xiàng)目和任務(wù)、計(jì)劃要形成一系列有繼承關(guān)系的完整鏈條,才是可落地的整套規(guī)劃。項(xiàng)目和任務(wù)的區(qū)別是,項(xiàng)目比任務(wù)要大和復(fù)雜一些,任務(wù)屬于優(yōu)化改進(jìn)的小措施,項(xiàng)目通常是要立項(xiàng)和花錢的,如圖3-2所示。圖3-2安全規(guī)劃落地示例上一版安全規(guī)劃目標(biāo)差距分析,是針對上一階段的規(guī)劃執(zhí)行情況進(jìn)行回顧和檢討,排查實(shí)際完成效果與規(guī)劃目標(biāo)的差距,分析造成差距的原因,避免新規(guī)劃執(zhí)行過程中重蹈覆轍;分析后認(rèn)為需要調(diào)整或補(bǔ)充執(zhí)行的內(nèi)容,放入新的規(guī)劃中落地。3.3制訂步驟制訂安全規(guī)劃的步驟包括:1)調(diào)研。2)確定規(guī)劃目標(biāo)、現(xiàn)狀和差距。3)制訂解決方案。4)一稿,二稿……直到定稿。5)向上層匯報(bào)。6)回顧。3.3.1調(diào)研做規(guī)劃前,大BOSS一般喜歡問我們幾個(gè)問題:·未來三年,本團(tuán)隊(duì)要做的最牛的三件事是什么?·未來三年,你認(rèn)為世界最好的團(tuán)隊(duì)會(huì)做哪三件最牛的事(我們不做的原因)?·未來三年想做但沒敢寫入規(guī)劃的三件事是什么?本團(tuán)隊(duì)領(lǐng)域,很有價(jià)值但技術(shù)沒有可能實(shí)現(xiàn)的事情是什么?請列出1~2件。每年最痛苦的就是怎么填這個(gè)大坑了,后來,我們將大BOSS的問題轉(zhuǎn)換了一下,更接地氣一點(diǎn):·這個(gè)領(lǐng)域最好的團(tuán)隊(duì)在做什么(最佳實(shí)踐)?!の覀冊谕瑯I(yè)處于什么水平(自我感知)?!の覀兊默F(xiàn)狀(存在哪些差距)?;卮鹕鲜鰡栴}的最好渠道是實(shí)地調(diào)研,多方學(xué)習(xí),例如:一是向大型互聯(lián)網(wǎng)企業(yè)學(xué)習(xí),這些大型互聯(lián)網(wǎng)企業(yè)無論是面臨的安全威脅、全量的攻擊場景、復(fù)雜的網(wǎng)絡(luò)和應(yīng)用環(huán)境,還是海量的服務(wù)器、終端、人員數(shù)量、遇到過的坑等,都是寶貴的實(shí)踐經(jīng)驗(yàn)。稍顯遺憾的是,互聯(lián)網(wǎng)企業(yè)(特別是做安全的)不太可能敞開心扉進(jìn)行傳道授業(yè)解惑。因此,擁有一定的安全圈人脈資源也是企業(yè)安全負(fù)責(zé)人的必備條件之一,越來越多的企業(yè)安全人員招聘也要求這點(diǎn)。同時(shí),注意參加這些互聯(lián)網(wǎng)企業(yè)舉行的年度會(huì)議,也能收獲很多干貨,建議多參加此類會(huì)議,遠(yuǎn)離廠商自嗨會(huì)。二是向同業(yè)學(xué)習(xí)??梢宰プ∫磺辛私饨鹑谕瑯I(yè)的機(jī)會(huì),向規(guī)模比自己大的企業(yè)學(xué)習(xí)實(shí)踐中遇到過的問題,向規(guī)模差不多的企業(yè)學(xué)習(xí)資源配置情況,向規(guī)模比自己小的企業(yè)學(xué)習(xí)單點(diǎn)突破能力強(qiáng)的領(lǐng)域。每年開春后,北上廣深走一圈,基本上就能大致了解整個(gè)行業(yè)的概況。3.3.2目標(biāo)、現(xiàn)狀和差距調(diào)研結(jié)束后,金融企業(yè)安全負(fù)責(zé)人通常對行業(yè)的未來趨勢和規(guī)劃方向有了大致了解,接下來就需要明確本企業(yè)的目標(biāo),分析現(xiàn)狀和差距。1.目標(biāo)目標(biāo)來自于企業(yè)戰(zhàn)略規(guī)劃和IT戰(zhàn)略規(guī)劃,分為總體目標(biāo)和具體目標(biāo)。·總體目標(biāo),應(yīng)盡可能清晰、簡潔,相對宏觀和“務(wù)虛”。企業(yè)安全目標(biāo)可以定義為“通過綜合應(yīng)用各類安全解決方案,發(fā)現(xiàn)并預(yù)防各類安全風(fēng)險(xiǎn),能夠承受除DDoS以外的黑客高手或者黑客集團(tuán)的攻擊;內(nèi)部系統(tǒng)能有效防止非專業(yè)人員有意或者無意的數(shù)據(jù)泄露;能發(fā)現(xiàn)對內(nèi)部重要服務(wù)器的普通內(nèi)部黑客的攻擊;對人員進(jìn)行安全合規(guī)教育,違規(guī)、違紀(jì)現(xiàn)象持續(xù)降低,安全審計(jì)發(fā)現(xiàn)持續(xù)降低”?!ぞ唧w目標(biāo),應(yīng)盡可能明確、數(shù)字化,相對微觀和“務(wù)實(shí)”。例如,非本企業(yè)組織的互聯(lián)網(wǎng)系統(tǒng)漏洞發(fā)現(xiàn)為0;安全防護(hù)100%全覆蓋;互聯(lián)網(wǎng)基礎(chǔ)設(shè)施風(fēng)險(xiǎn)在2小時(shí)內(nèi)化解;自動(dòng)化驗(yàn)證平臺(tái)100%覆蓋所有管控措施,管控措施失效能夠在24小時(shí)內(nèi)發(fā)現(xiàn)……關(guān)于規(guī)劃的目標(biāo),有兩點(diǎn)注意事項(xiàng)需要說明。一是目標(biāo)絕對不合理。目標(biāo)是一種預(yù)測,沒有人敢說預(yù)測是合理的;而且,目標(biāo)是一種決心,你發(fā)誓要做什么,目標(biāo)就會(huì)出來。目標(biāo)其實(shí)是你自己戰(zhàn)略的一個(gè)安排,決定你目標(biāo)的是三個(gè)要素:你對未來的預(yù)測,你下的決心,你的戰(zhàn)略想法。二是實(shí)現(xiàn)目標(biāo)的行動(dòng)必須合理。理解了這點(diǎn),規(guī)劃就成功了大半,才能圍繞實(shí)現(xiàn)目標(biāo)制訂行動(dòng)計(jì)劃。如果實(shí)現(xiàn)目標(biāo)的行動(dòng)是合理的,那么看似不合理的目標(biāo)反而有實(shí)現(xiàn)的可能。關(guān)于目標(biāo),陳春花老師有三個(gè)建議,筆者很贊同,在此也做些分享:·目標(biāo)一定是從上往下,一定不要從下往上。我們最喜歡犯的錯(cuò)誤就是團(tuán)隊(duì)或者個(gè)人將自己要做的工作一報(bào),報(bào)完集合起來然后往下一拍就行。目標(biāo)絕對不能從底往上報(bào),目標(biāo)一定是上邊來定,其他東西都可以授權(quán),但是目標(biāo)設(shè)定是不授權(quán)的。·目標(biāo)必須是個(gè)人的目標(biāo)。目標(biāo)一定要給到個(gè)人,而不可以給到部門?!っ恳粋€(gè)人承接的不是目標(biāo),而是一套解決方案。他必須去承諾這個(gè)解決方案,怎么讓這個(gè)目標(biāo)實(shí)現(xiàn)。目標(biāo)不是要確保實(shí)現(xiàn)1億的銷售額,而是要告訴我為了實(shí)現(xiàn)這個(gè)銷售額的行動(dòng)方案是什么。此處,科普一下目標(biāo)設(shè)定的SMART原則及在安全規(guī)劃領(lǐng)域的應(yīng)用,如圖3-3所示。圖3-3SMART原則(1)Specific—明確性所謂明確的就是要用具體的語言清楚地說明要達(dá)成的行為標(biāo)準(zhǔn)。明確的目標(biāo)幾乎是所有成功團(tuán)隊(duì)的一致特點(diǎn)。很多團(tuán)隊(duì)不成功的重要原因之一就是目標(biāo)模棱兩可,或沒有將目標(biāo)有效地傳達(dá)給相關(guān)成員。舉個(gè)例子,安全目標(biāo)中有一條是“防黑反黑”。這種對目標(biāo)的描述就很不明確,因?yàn)槲覀儾恢酪雷o(hù)哪些目標(biāo),防護(hù)什么級別的黑暗力量。所以最后可以改成:能夠承受除DDoS以外的黑客高手或者黑客集團(tuán)的攻擊;內(nèi)部系統(tǒng)能有效防止非專業(yè)人員有意或者無意的數(shù)據(jù)泄露;能發(fā)現(xiàn)對內(nèi)部重要服務(wù)器的普通內(nèi)部黑客的攻擊。(2)Measurable—衡量性可衡量的是指應(yīng)該有一組明確的數(shù)據(jù),作為衡量是否達(dá)成目標(biāo)的依據(jù)。如果制訂的目標(biāo)沒有辦法衡量,就無法判斷這個(gè)目標(biāo)是否實(shí)現(xiàn)。舉個(gè)例子,定安全目標(biāo)時(shí),常見的用詞是“提高××水平”“加強(qiáng)××能力”“完善××措施”,這些目標(biāo)是無法衡量的,因?yàn)椴恢酪岣叩绞裁此?,加?qiáng)到什么能力,完善哪些措施。在內(nèi)部定具體安全目標(biāo)時(shí)盡量使用可量化的目標(biāo),例如,非我公司組織的互聯(lián)網(wǎng)系統(tǒng)漏洞發(fā)現(xiàn)為0;管控措施失效能夠在24小時(shí)內(nèi)發(fā)現(xiàn),等等。(3)Attainable—可實(shí)現(xiàn)性目標(biāo)是能夠被執(zhí)行人所接受的,目標(biāo)設(shè)置要堅(jiān)持員工參與、上下左右溝通,使擬定的工作目標(biāo)在組織及個(gè)人之間達(dá)成一致。目標(biāo)不能是躺在床上就能完成的,也不能是“摘星星”的工作任務(wù)。舉個(gè)例子,中小金融企業(yè)如果提出所有安全防護(hù)系統(tǒng)和工具都自研這一目標(biāo),雖然勇氣可嘉,然而實(shí)現(xiàn)起來卻非常困難。當(dāng)目標(biāo)完全不可實(shí)現(xiàn),會(huì)打擊團(tuán)隊(duì)士氣,造成“死豬不怕開水燙”的后果。(4)Relevant—相關(guān)性目標(biāo)的相關(guān)性是指實(shí)現(xiàn)此目標(biāo)與其他目標(biāo)的關(guān)聯(lián)情況。如果實(shí)現(xiàn)了這個(gè)目標(biāo),但對其他目標(biāo)完全不相關(guān),或者相關(guān)度很低,那么即使達(dá)到這個(gè)目標(biāo),意義也不大,還很有可能勞民傷財(cái),得不償失。舉個(gè)例子,所有安全規(guī)劃的目標(biāo)和任務(wù)都是圍繞保障企業(yè)安全性,并最終促進(jìn)企業(yè)戰(zhàn)略目標(biāo)來計(jì)劃的,如果一項(xiàng)工作與企業(yè)戰(zhàn)略目標(biāo)完全無關(guān),不管其技術(shù)先進(jìn)性多么強(qiáng),都應(yīng)該忽略。(5)Time-bound—時(shí)限性目標(biāo)的時(shí)限性是指目標(biāo)是有時(shí)間限制的,沒有時(shí)間約束的目標(biāo)是沒有辦法衡量和評價(jià)的。舉個(gè)例子,安全工作的目標(biāo)和任務(wù)需要時(shí)間約束,比如三年后達(dá)到什么安全水平,每一年提升哪些安全能力,每個(gè)季度完成哪些安全任務(wù),都是時(shí)間條件強(qiáng)約束。2.現(xiàn)狀和差距對于現(xiàn)狀和差距主要考慮以下兩點(diǎn):一是分析維度要全,建議分成安全管理、安全防護(hù)、安全運(yùn)營、安全資源、安全度量五個(gè)維度。安全管理考慮組織架構(gòu)、職責(zé)、制度、考核;安全防護(hù)考慮覆蓋網(wǎng)絡(luò)層、虛擬層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層、用戶層的縱深防護(hù)技術(shù)體系;安全運(yùn)營考慮安全運(yùn)維、安全驗(yàn)證、安全反制;安全資源考慮人員、流程、資源;安全度量考慮技術(shù)維度、安全運(yùn)營成效、安全滿意度和安全價(jià)值。現(xiàn)狀和差距最好能做到全量摸底,重點(diǎn)突出。二是敢于自揭老底,自我否定。不要自我感覺良好,沒發(fā)現(xiàn)異常很可能是發(fā)現(xiàn)能力不夠,沒有事件很可能是運(yùn)氣好。3.3.3制訂解決方案目標(biāo)確定并分析差距后,必須針對性地制訂解決方案,才能確保目標(biāo)落地實(shí)現(xiàn)。制訂解決方案要注意以下幾個(gè)原則:一是要體系化。頭痛醫(yī)頭腳痛醫(yī)腳,可能短時(shí)間得到一點(diǎn)效果,但禁不住大BOSS問,怎么又是這個(gè)問題,怎么又要這個(gè)投入,你們能一次性和我說清楚嗎,等等。有些問題,初看是技術(shù)問題,仔細(xì)想想,其實(shí)根源還是管理問題。遇到問題,最好從管理和技術(shù)兩個(gè)方面考慮解決措施,得到綜合的結(jié)果。二是要可持續(xù)。金融企業(yè)有個(gè)常見的例子,給分行或分支機(jī)構(gòu)上IPS/IDS,但分行或分支機(jī)構(gòu)根本就沒有能看懂IPS/IDS日志的管理員,如果合規(guī)要求必須上,那一定要考慮日志如何收集、分析和處理。最好的做法是將日志統(tǒng)一上收到總部,由總部統(tǒng)一管理和運(yùn)營(注意不是運(yùn)維,日常開機(jī)等還是分支機(jī)構(gòu)管,日志分析和異常告警由總部完成)。每項(xiàng)安全措施、每套安全設(shè)備都是有管理成本的,如果僅僅上一個(gè)技術(shù)手段,而不考慮持續(xù)的運(yùn)營,那么這個(gè)解決方案整體看來就是無效的。三是要可接受。制訂解決方案后,要確保安全團(tuán)隊(duì)的每位成員都從心里認(rèn)同它、接受它,這樣執(zhí)行才會(huì)有效率和有效果。提高團(tuán)隊(duì)成員接受程度的一個(gè)好方法是,先讓團(tuán)隊(duì)成員熟悉目標(biāo)、現(xiàn)狀、差距,然后找晚上時(shí)間進(jìn)行頭腦風(fēng)暴,連續(xù)一周,強(qiáng)化訓(xùn)練。當(dāng)然,頭腦風(fēng)暴過后,要記得去“擼串”,團(tuán)隊(duì)建設(shè)、凝聚力、肚子餓的問題就都一并解決了。3.3.4定稿一稿,二稿,……,定稿。關(guān)鍵是邁出第一步,完成第一稿,萬事開頭難,一旦開始就停不下來了。這個(gè)過程還有一個(gè)很重要的環(huán)節(jié)—征求意見。首先,在安全團(tuán)隊(duì)內(nèi)部充分討論、碰撞,形成共識(shí);其次,在IT內(nèi)部其他團(tuán)隊(duì)征求意見,取得共識(shí);再次,要做好上層匯報(bào),完成定稿。3.3.5上層匯報(bào)管理領(lǐng)域有個(gè)話題—如何管理你的上級,將上級作為你工作的資源之一。這是非常重要而有趣的話題。安全匯報(bào)是“管理”上級工作中非常重要的一環(huán),往往也是安全人員最不擅長的一環(huán)。首先,要建立面向高級管理層、IT部門總經(jīng)理、安全團(tuán)隊(duì)內(nèi)部的安全匯報(bào)體系。每年至少要向高級管理層匯報(bào)1~2次,內(nèi)容包括安全規(guī)劃、安全形勢、重大安全決策等。匯報(bào)形式可以是IT治理委員會(huì)或總裁辦公會(huì)框架下的正式會(huì)議,也可以是定期的簽報(bào)形式,這取決于企業(yè)內(nèi)部的流程規(guī)定和具體需求。其次,要在IT部門和安全團(tuán)隊(duì)內(nèi)部進(jìn)行常態(tài)化的安全匯報(bào),此類匯報(bào)的內(nèi)容要圍繞三個(gè)目的展開—介紹取得的成果(邀功),表揚(yáng)先進(jìn)和督促后進(jìn),索要資源。具體到安全規(guī)劃的匯報(bào),建議先向IT部門總經(jīng)理匯報(bào),就目標(biāo)、計(jì)劃、資源達(dá)成一致。但大部分總經(jīng)理沒有精力也不應(yīng)該過多關(guān)注解決方案等細(xì)節(jié),最多可能關(guān)心現(xiàn)狀分析中存在的主要問題。達(dá)成一致后最好能在高級管理層匯報(bào)一次,可以是單獨(dú)的安全規(guī)劃議題,也可以合并在IT戰(zhàn)略規(guī)劃中,向高級管理層報(bào)告。3.3.6執(zhí)行與回顧安全規(guī)劃的執(zhí)行與回顧,是規(guī)劃全生命周期中非常重要的一個(gè)環(huán)節(jié)。因?yàn)橐粋€(gè)看似一般但嚴(yán)格執(zhí)行的規(guī)劃,遠(yuǎn)勝于一個(gè)看似很好卻無法或未能執(zhí)行的規(guī)劃。為了確保安全規(guī)劃的落實(shí),最好的方法是將安全規(guī)劃目標(biāo)分解落實(shí)到安全重點(diǎn)項(xiàng)目和工作任務(wù),再將重點(diǎn)項(xiàng)目和工作任務(wù)分解落實(shí)到安全團(tuán)隊(duì)每位員工的年度績效考核中。至少每季度開展一次重點(diǎn)項(xiàng)目和工作任務(wù)的回顧,至少每半年開展一次安全團(tuán)隊(duì)員工績效的回顧,回顧后需要制訂針對性的改進(jìn)措施。在實(shí)踐中,經(jīng)??梢月牭疥P(guān)于規(guī)劃無用論的抱怨,如果做完規(guī)劃就將之束之高閣,那么規(guī)劃當(dāng)然沒用。而堅(jiān)定不移地執(zhí)行規(guī)劃并做好定期回顧,將規(guī)劃作為真正的行動(dòng)指南,規(guī)劃才能避免成為空中樓閣。通常信息安全規(guī)劃一次做三年,每年滾動(dòng)更新。任正非說過,方向可以大致正確,組織必須充滿活力。就是說,大家必須充滿活力地去執(zhí)行規(guī)劃,但在執(zhí)行中可以隨時(shí)調(diào)整規(guī)劃。3.4注意事項(xiàng)從某種意義上講,安全規(guī)劃其實(shí)是一套行動(dòng)方案。規(guī)劃不是目標(biāo)分解,而是行動(dòng)指南。在做規(guī)劃的時(shí)候,還有以下幾點(diǎn)要特別注意,才能取得更好的成效。一是要有邏輯,切記堆砌。很多企業(yè)安全負(fù)責(zé)人不重視安全規(guī)劃,為了省時(shí)間,簡單地把自己想做的工作全部羅列出來,就形成了一個(gè)安全規(guī)劃。但對于為什么要做這些工作,能解決什么問題,提高到什么安全水平,和同業(yè)的差距等,沒有系統(tǒng)的介紹,那這份安全規(guī)劃得到高級管理層支持的概率會(huì)很低。二是既要實(shí)(可落地),也要虛(遠(yuǎn)大目標(biāo)),虛實(shí)結(jié)合??傮w目標(biāo)、方向上可以務(wù)虛,眼光看遠(yuǎn)一些,目標(biāo)定高一些;具體措施上、行動(dòng)上必須務(wù)實(shí),腳踏實(shí)地,分解成一項(xiàng)一項(xiàng)行動(dòng)計(jì)劃,才可以確保規(guī)劃的最終效果。3.5小結(jié)年底是企業(yè)安全負(fù)責(zé)人最忙的時(shí)間,但也是做安全規(guī)劃的最佳時(shí)機(jī),必須重視安全規(guī)劃,因?yàn)榘踩?guī)劃是“綱”,而“綱舉”方能“目張”。適時(shí)做出一份看起來高大上、實(shí)際實(shí)施又接地氣、可執(zhí)行的信息安全規(guī)劃,是企業(yè)安全負(fù)責(zé)人的必備技能。第4章內(nèi)控合規(guī)管理金融行業(yè)的典型特征是,各項(xiàng)業(yè)務(wù)開展以及IT發(fā)展,必須遵守各項(xiàng)管理規(guī)定,合規(guī)是金融企業(yè)的底線和最低要求。為落實(shí)監(jiān)管規(guī)定以及企業(yè)內(nèi)部管理制度,金融業(yè)內(nèi)部控制(簡稱“內(nèi)控”)的要求相對其他行業(yè)高出不少。對于金融機(jī)構(gòu)來說,IT內(nèi)控合規(guī)是廣義信息安全的一部分,而且是科技管理體系中很重要的一環(huán)。4.1概述4.1.1合規(guī)、內(nèi)控、風(fēng)險(xiǎn)管理的關(guān)系合規(guī)、內(nèi)控、風(fēng)險(xiǎn)管理,是金融企業(yè)經(jīng)常提到的三個(gè)關(guān)于合規(guī)建設(shè)的概念,這三者之間既有區(qū)別,又有關(guān)聯(lián)?!ず弦?guī)管理是最基礎(chǔ)的層面,合規(guī)管理的目標(biāo)是避免違反內(nèi)外部法律法規(guī)、規(guī)章制度、流程規(guī)范,避免因不合規(guī)導(dǎo)致的風(fēng)險(xiǎn)?!?nèi)控比合規(guī)管理更進(jìn)一層,內(nèi)控不但要求合規(guī),還要審視“規(guī)”是不是完善,“規(guī)”有沒有配備相應(yīng)的執(zhí)行點(diǎn),執(zhí)行“規(guī)”的過程是不是有效?!わL(fēng)險(xiǎn)管理,特別是全面風(fēng)險(xiǎn)管理,是風(fēng)險(xiǎn)管控的最高形式。風(fēng)險(xiǎn)按標(biāo)準(zhǔn)劃分為市場風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、流動(dòng)性風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)。而合規(guī)、內(nèi)控只是操作風(fēng)險(xiǎn)管理的手段。大部分金融企業(yè)會(huì)設(shè)置首席風(fēng)險(xiǎn)官,屬于公司高級管理層。雖然從一般意義上說,風(fēng)險(xiǎn)管理>內(nèi)控>合規(guī),但由于企業(yè)習(xí)慣將風(fēng)險(xiǎn)管理及其所包含的內(nèi)控、合規(guī)活動(dòng)統(tǒng)稱為內(nèi)控合規(guī)管理,而且本書探討的是企業(yè)信息安全管理,故本書所稱的內(nèi)控合規(guī),特指IT內(nèi)控合規(guī),即圍繞信息科技風(fēng)險(xiǎn)管理的一系列管理活動(dòng)。4.1.2目標(biāo)及領(lǐng)域金融企業(yè)IT內(nèi)控合規(guī)管理的目標(biāo)是,通過建立有效的機(jī)制,實(shí)現(xiàn)對金融企業(yè)IT風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測和控制,對外保障IT活動(dòng)符合監(jiān)管機(jī)構(gòu)各項(xiàng)管理要求,對內(nèi)確保各項(xiàng)管理要求的落地和控制措施有效,最終實(shí)現(xiàn)IT風(fēng)險(xiǎn)可控。在具體實(shí)踐中,IT內(nèi)控合規(guī)管理的領(lǐng)域包括:信息科技風(fēng)險(xiǎn)管理、監(jiān)督檢查、制度和公文管理、業(yè)務(wù)連續(xù)性管理、信息科技外包管理、分支機(jī)構(gòu)管理,以及其他一些工作。根據(jù)不同企業(yè)對IT內(nèi)控合規(guī)的理解不同,管理的領(lǐng)域可能會(huì)有一些不同。在很多金融企業(yè)中,IT內(nèi)控合規(guī)管理的崗位給人的印象就是“寫報(bào)告”,這種說法比較通俗易懂,但失之偏頗。其一,寫報(bào)告只是展現(xiàn)方式,報(bào)告中的內(nèi)容,需要各種學(xué)習(xí)、對標(biāo)、檢查、督促等大量的積淀。所謂“巧婦難為無米之炊”,可以說,先要有對風(fēng)險(xiǎn)的深度掌控這個(gè)“米”,才能做出一份好報(bào)告的“炊”。其二,要寫好一份報(bào)告,不是簡單的文字堆砌,而是需要能力、知識(shí)、技能和邏輯架構(gòu)的功底,需要很多年持之以恒的積累和豐富的技巧。針對不同的對象要有不同的報(bào)告,針對不同的要求要有不同的報(bào)告,針對不同的時(shí)期也要有不同的報(bào)告。所謂“運(yùn)用之妙,存乎一心”,要寫得非常熟練、自然、流暢,要合乎閱讀對象、形勢、場景、時(shí)間的需要,需要多年的積累,方可揮灑自如。4.1.3落地方法筆者從IT內(nèi)控合規(guī)管理工作的經(jīng)歷中,總

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論