作者:中国农业银行科技与产品管理局信息安全与风险管理处副处长李强

来源:2018金融科技创新与支付安全(山东)论坛

7月27日,由山东省支付清算协会、山东省信息网络安全协会联合主办,由金科创新社承办的“2018金融科技创新与支付安全(山东)论坛”在山东青岛开幕。中国农业科技与产品管理局信息安全与风险管理处副处长李强发表“企业信息安全建设体系与实践”演讲。

以下为李强先生演讲实录:

对于金融企业来讲,信息安全不是其主业,那么信息安全在金融企业内到底是什么定位?信息安全部门到底要做什么?他们的目标是什么?怎么样构建一个适合的信息安全体系以达到这个目标呢?

信息安全在企业中的定位

说到信息安全,金融企业的管理者们首先看到的是危机。因为我们现在的信息安全形势非常严峻和复杂。近年来,信息安全的事件频发,比如说去年5月12号的Wannacry病毒,全世界有150多个国家,30多万用户中招,直接损失10亿美元以上。去年10月份,台湾的远东国际商业银行电脑系统遭到了黑客入侵,直接远程控制转账,和孟加拉银行的入侵事件很相似,损失也在50万美元以上。

在整个金融行业来讲,金融行业的黑产已经形成了一个非常成熟的体系,大约有15个不同工种,在这些工种相互的密切配合下,形成了一个完整的网络欺诈和信息安全攻击的黑色产业链条。不完全统计,网络诈骗的从业者至少有160万人,每年的非法获利超过1100亿元,所以我们的网络安全形势是非常严峻的。

再比如facebook的信息泄露事件。虽然这个事件并不是一个完全意义上的信息安全事件,但它是一个数据安全事件,你的数据怎么流出去的,是流转过程中是否有相应的管理控制和技术控制。facebook事件直接导致的影响是什么呢?首先是股市是一个断崖式的下跌,在股市上损失了几百亿美元。任何一个上市的金融企业,如果碰到了这样的事情,损失会是多少?股价会不会也像这样断崖式的下跌。这几百亿美元的损失,这个代价足够在地球上养活一只绝对庞大的安全队伍。所以对于金融这个对安全非常敏感的行业来讲,尤其是上市公司来说,信息安全和数据安全显得尤为重要,一旦出现了问题,可能带来的影响将是非常巨大的。

我们回过头来再看,对于像金融这样的企业,信息安全到底是什么?我们的主营业务是一个桥,信息安全就是桥的栏杆,想想平时过桥的时候,会扶栏杆吗?我们不会去扶,直接就走过去了,那是不是桥的栏杆就没有用了那?是不是可以不要栏杆了那?那是不可以的,因为对于一个没有栏杆的桥,大家是不敢通过的。所以信息安全在企业里,并不是天天都能看得到、摸得着的。但是没有信息安全,这个企业是无法生存的。

是不是所有的企业都要建设一个坚固无比的栏杆那,也不是。信息安全的建设要和企业的不同发展阶段和不同业务进行匹配。比如一个非常庞大的金融企业,有非常复杂和全面的金融业务,你的信息安全工作就要做得更全面一些。如果只做某一方面的业务,那就把这一方面的安全做好就可以了,所以信息安全要根据企业的体量以及开展的不同业务进行适配。

信息安全要做什么?

信息安全的基础目标主要有四个。

第一是进不来,也就是防攻击。第二是出不去,防泄露。第三是发现早,指的是全面监测,别人入侵你了你还不知道,数据拿走了你还不知道,那是不行的。第四是处置快,知道了有入侵了,我应该能够及时阻止它,并且把它控制在一个可控的范围内,不至于影响到整个业务系统。前两个是结果性目标,后两个是能力的目标。

为了实现这些目标要怎么做?首先要明确各个资产所有方的信息安全职责,这里的资产可以说就是我们信息安全管理的主要对象。针对这些资产对象,按照“谁的资产,谁要对其资产的安全负责”的理念来划分信息安全职责。因而信息安全不只是安全部门的事,而是所有部门和全体员工的事情。我们这里是一个信息安全职责的架构图,首先我们把信息安全划分为一般安全领域和基础安全领域。一般安全按照其管理的资产对象不同,划分为业务管理和运行、应用建设和运行、IT基础设施建设和运行、实体环境保障四类,每一类下安全管理的对象对不相同。比如业务管理和运行类下,业务部门要负责业务安全需求分析,明确对外展示的信息内容,隐藏什么展示什么、如何进行用户管理、设定哪些权限、哪些业务可以调用我的数据等。应用建设和运行类下,研发部门不但要做好安全需求评审、安全架构设计、安全功能实现、安全编码等基础工作外,还要重点管理好源代码、开发测试数据、待提取的数据等资产安全。在IT基础设施建设和运行类下,生产运行部门要重点管理好系统和网络的资产安全,有时我们也会将终端安全纳入其中。在实体环境保障类下,后勤、安保和环境设备管理部门要重点管理好数据中心园区、办公大楼、机房等资产的安全。安全部门在明确这些责任后,要帮助资产管理部门明确各自领域资产安全管理上要做哪些具体安全工作,提出明确的要求。同时安全部门还要针对这些资产的安全管理活动的实施情况开展安全合规检查和安全技术检查,尤其要做好技术检查。这样就形成了前面提要求,中间具体落实,后面监督检查的管理闭环。

对于一些基础性的安全工作和跨条线的安全工作,我们将其纳入了基础安全领域,比如态势感知、威胁情报、防病毒、终端安全等。

综合来看安全部门要重点做好基础安全领域的工作和安全技术检查工作,建立纵深的检测体系,做到问题的联动分析快速处置。

基础安全还要做很多事情,比如说威胁情报、态势感知、防病毒、钓鱼网站,各种终端的安全管理。我们做了这些,首先找到了信息安全管理对象,针对这些对象我们要开展哪些活动?我们这里简单列了一些,每一个都要对它的活动负责。每个对象有它的资产所有者,所有者要开展这些活动,谁去监督所有者开展的这些信息安全活动是不是做得到位呢?右边有监督检查活动,包括合规性检查,还包括技术性检查,这样形成了一个PDCA的良性循环,能够使这个体系完整地运转下来。这是简单的一个体系介绍。

实现信息安全的策略

职责明确了之后,我们来看我们有什么方法和供我们选择的手段来实现上述安全目标哪?对于防攻击方面,可供我们选择的工具和系统大概有这些,每个工具和系统都有一定的作用,但也有一些重合,可以根据自己的情况在其中进行选择。在这里每一个方块可能代表着是我们要构建一套系统,同时还要建立一套管理和运营体系,而不是建好了放在那里不再过问。从建设的顺序上看一般大家先建立防御,然后根据防御中碰到的问题,加强安全预防。但是从现在的网络安全形势看,单纯注重边界防御已经无法达到安全的效果了,因为你暴露的资产越来越多,被攻击的渠道也越来越多,很可能你的边界已经被突破了。一旦进来了之后,那你如果没有纵深的监测,它就可能把你的数据拿走,甚至篡改你的业务,所以我们现阶段要大力做好纵深监测。除了监测之外,如果发现了问题我们还要做响应,一旦发现问题了要把问题控制在最小的范围内,不能影响到其他系统,这就需要快速有序的安全应急响应。

除了防攻击还要防泄露,防信息从内部网络泄露出去,防泄露要做哪些?这里列了很多防控技术,都会从不同层面起到一定的作用,比如网络准入、数据加密、数据脱敏、邮件防泄露、终端防泄露、文件加密、打印水印、屏幕水印、桌面虚拟化等等,这边还有用户行为分析,比如大家常用的离职预测,一个员工离职前在网络内会有大量异常行为,比如说他大量的拷贝一些数据,为他跳到下一家做准备,这实际上是一个信息安全的问题。所以用户行为分析目前应用较多的一个场景是离职预测。

在上面两个图里其实已经有很多监测和响应的技术手段,这些手段实现过程就是实现我们另外两个能力目标“发现早、处置快”的过程。

我们除了要建这些系统之外,我们还要有人,需要有一个安全团队。那么我们要思考这个安全团队的定位是什么,需要有什么样的能力?我们认为安全团队应该有五大职能定位,分别是安全新技术研究、安全平台系统建设、持续安全监测和运营、安全事件应急响应、攻防对抗。对应这五大职能定位应培养其对应的五大核心能力,即学习和研究能力、工程化和自动化能力、态势分析和运维能力、安全事件应对能力、漏洞发现能力。过去大家更注重的是安全系统或平台的建设,但未来应该五方面的工作均衡发展,相互结合。

安全建设体系的检验

最后我们来看一下,建了体系,建了流程,实施的效果怎么样哪?这个时候我们可以以真实的红蓝对抗来检验信息安全建设效果。同时还可以对监测和应急响应做实战性的应急演练,以不断的提高能力,形成一个工作闭环。

最后总结一下企业信息安全体系建设的九大要点。第一,向高管层阐明信息安全的作用,摆正安全和业务的关系。第二,明确信息安全工作的目标,防止安全工作分散化。第三,要明确信息安全管理对象,规划完整的信息安全体系。第四,要明确各方的信息安全责任,尤其要树立信息安全不止是安全部门的事情,需要各部门共同做好安全工作。第五,可以参照自适应安全方法,根据自身特点选择多项安全技术和系统,逐步构建信息安全技术体系。第六,信息安全不止是技术,技术的同时要配套管理。第七,信息安全不止是建设,更重要的是运营。第八,信息安全工作的核心在于人,所以我们需要构建内外结合的信息安全队伍才能去完成它。最后,要用PDCA的思想建立信息安全自我完善机制,自我检验。这是我们的安全建设的一点思考,供大家参考。

声明:本文来自金科创新社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。