摘要

当前,网络安全形势复杂多变,全面了解和评价自身网络安全能力对做好网络安全保障工作至关重要。根据国家有关法律法规、标准规范和监管要求,借鉴通用能力成熟度模型方法论并结合行业实践,提出一种金融行业网络安全运营能力成熟度评估模型,通过划分能力等级、明确评估要点,构建一套体系化、可度量的网络安全运营能力成熟度评价指标体系。通过指标评价,能够促进金融机构全面了解自身网络安全能力现状,发现短板和弱项,及时采取风险防范措施,进一步健全和规范安全运营体系,提高安全运营和资源投入效能,提升网络安全能力水平,助力金融数字化转型和高质量发展,也为其他行业提供有益借鉴。

内容目录:

1 金融业网络安全现状分析

2 能力成熟度模型框架

2.1 安全过程维度

2.2 运营等级维度

2.3 运营能力维度

3 能力成熟度模型指标

4 安全运营模型实施路径

4.1 安全运营支撑平台

4.2 安全运营能力验证

4.3 安全运营能力评价

5 结 语

金融机构为广大客户提供金融服务的同时留存了大量高价值数据,因此,保障金融消费者的信息安全尤其重要。金融机构需要持续提升网络安全工作水平,不断增强全天候、综合性、实战化的安全能力,切实保障金融消费者的合法权益。网络安全建设和运营是金融网络安全和数智化发展的重要内容,全面有效的网络安全能力建设在安全工作中起着至关重要的作用。为应对日益复杂多变、攻击形式多样的网络安全形势,金融机构迫切需要全面掌握自身网络安全能力现状,发挥能力优势,发现能力短板,及时补齐弱项,持续提升自身网络安全能力,助力金融数字化转型和高质量发展。

成熟度模型为网络安全能力建设提供了一种理论指导方法。通过建立成熟度模型,可兼顾国内外各种主流网络安全框架,对标体系化、标准化的指标体系,了解自身安全能力,依据不同层级的指标体系,对安全能力建设进行指导。金融机构可依据成熟度模型有关评价指标体系,评估自身网络安全能力,分析差距问题,根据评价指标和评估结果持续完善网络安全能力。

本文依据《网络安全法》及网络安全等级保护标准 2.0等要求,结合金融行业实际,借鉴通用能力成熟度模型方法,提出一种金融行业网络安全运营能力成熟度评估模型,通过划分能力等级,明确评估方法,构建了一套可度量的网络安全运营能力成熟度评价指标体系,以期能够进一步规范和健全金融网络安全运营体系建设内容,从流程和实操方面助力安全运营效率和实战化能力的提高,从而促进安全投入效能提升。

金融业网络安全现状分析

国外网络安全架构体系研究及应用起步较早,以美国为代表的欧美国家已具备较为成熟的网络安全体系和网络安全标准,并制定了网络安全能力成熟度模型和框架。

美国能源部为了更好地指导和评估本国境内能源机构、单位、供应商的网络安全防护能力建设,于 2012 年制定了《网络安全能力成熟度模型(Cybersecurity Capability Maturity Model,C2M2) 计 划》, 并 于 2022 年 更 新 为 2.1 版本。C2M2 模型评价指标来自美国国家标准与技 术 研 究 院(National Institute of Standards and Technology,NIST)编制的《关键基础设施网络安全改进框架》,该框架的核心内容为经典的 IPDRR 过程模型,实现了网络安全的事前、事中、事后全流程覆盖,旨在帮助企业评估并改进其网络安全体系规划,增强其网络安全运营弹性和安全防护能力。美国国防部为了加强国防供应链中共享敏感非机密信息的网络安全防护,于 2020 年发布了网络安全成熟度模型认证(Cybersecurity Maturity Model Certification,CMMC), 并 于 2021 年 发 布 2.0 版, 与 NIST编制标准基本保持一致。

英国牛津大学全球网络安全能力中心为了评估一个国家的网络安全能力成熟度,于2014 年制定了《国家网络安全能力成熟度模型(Cybersecurity Maturity Model,CMM)》, 并于 2021 年进行了更新,明确了网络安全的 5 个维度,将网络安全防护过程划分为 5 个阶段,为网络安全能力建设提供依据。

2019 年 8 月,我国国家标准 GB/T 37988—2019《信息安全技术 数据安全能力成熟度模型》正式发布,旨在提供一种数据安全能力评估方法,也可将其作为企业开展数据安全能力建设的依据。该模型分别从安全过程维度、安全能力维度和成熟度等级维度 3 个方面,设计形成模型立方体。2022 年 4 月,我国国家标准 GB/T41400—2022《信息安全技术 工业控制系统信息安全防护能力成熟度模型》正式发布,通过构建过程、能力和成熟度等级 3 个维度,形成立方体的模型架构,旨在推动我国工业企业落实工业控制系统信息安全防护工作,指导企业逐级提升工业控制系统安全防护能力。

金融行业作为关系国计民生的重要行业,在数字化转型发展的时代背景下,金融科技创新发展迅速,手机银行、网上银行和开放银行的广泛应用,使得金融网络安全的边界不断延展,业务系统易受到网络攻击,安全形势愈发严峻。因此,金融机构迫切需要全面掌握自身网络安全能力状况,发挥能力优势,补齐短板弱项,持续提升自身安全能力,满足金融行业网络安全建设要求,保障自身业务稳健发展。

2022 年,在人民银行的指导下,我国金融机构启动了网络安全能力成熟度评价相关行业标准的制定工作,将进一步推动金融行业网络安全能力提升。

能力成熟度模型框架

本文借鉴现有能力成熟度模型方法,结合金融行业特点,提出一种面向金融行业的网络安全运营能力成熟度评估模型(IPDRR-V 模型),包括 3 个维度、5 个等级和 185 个能力项指标,如图 1 所示。通过新增能力验证模块(Verify),促进实战化安全能力的提升,更好地满足数字化转型的需求。

图 1 IPDRR-V 模型框架

2.1 安全过程维度

整个安全运营工作划分为 6 个过程域,分别是识别认定、安全防护、监测预警、事件响应、业务恢复和能力验证,形成 IPDRR-V 模型。

(1)识别认定。梳理金融机构信息资产,记录资产可能存在的脆弱性,包括信息及系统识别、信息资产管理和安全评审论证等。重点识别并认定金融关键信息基础设施、重要业务系统和互联网系统有关资产,聚焦高风险资产,并结合测试、测评、检查、评估等能力验证指标,确保及时发现和防范风险。

(2)安全防护。基于识别认证和分类分级,引导金融机构对潜在风险问题采取有效应对措施,包括上线前的检测评估、金融科技产品认证以及定期开展的等级测评和关键信息基础设施安全保护评估等指标,以及整改闭环和安全能力培训要求,对制度和流程进行优化等,从系统源头上抵御可能发生的安全威胁。

(3)监测预警。对安全运营过程中安全事件 / 威胁进行实时检测和监测,结合反洗钱、反欺诈等监测模型数据,对已经或可能发生的安全事件 / 威胁进行预警,包括安全风险监控、病毒防护监测、可用性监测等,同时建立业务、技术协同联动机制,确保能够及时响应并进行处置。

(4)事件响应。对已经或可能发生的安全事件 / 威胁进行响应和处置,包括安全事件应急响应、异常事件响应和处置、金融科技创新应用投诉处理等能力,结合日常应急演练情况,保障系统安全持续运行。

(5)业务恢复。对事件 / 威胁处置结果进行验证,确保业务能够恢复到正常状态,对安全事件处置进行异常恢复、复盘分析和总结优化,必要时通知客户并提供技术支持。

(6)能力验证。对已有安全措施的可用性进行验证,以确保安全防护措施有效,包括安全防护能力评价、安全监控审计能力有效性验证、安全应急处置和演练能力评价、安全评审论证能力评价等,通过安全措施有效性核查、检测评估、红蓝对抗、灾难恢复演练、攻防演习等多角度多方式验证真实防御效能。

2.2 运营等级维度

根据金融机构实际运营情况和能力覆盖程度,将安全运营能力成熟度划分为 5 个等级,分别是初始级(L1)、基础防护级(L2)、体系防护级(L3)、主动防护级(L4)和持续优化级(L5),如表 1 所示。

表 1 网络安全运营能力成熟度等级划分

2.3 运营能力维度

安全运营工作的执行要素框架由组织 / 监管、人员岗位、知识技能、工具技术、流程实施、效率管控及效果评价 7 个方面组成,量化并验证机构网络安全的实际能力。

(1)组织 / 监管。某项工作执行的主责部门 / 团队,如金融科技管理部门、软件研发单位、运维单位、业务需求部门等。

(2)人员岗位。执行某项工作的岗位,如网络工程岗、安全管理岗、内控 / 内审岗、系统管理岗、资产管理岗、云平台管理岗等。

(3)知识技能。岗位人员有效执行工作所需要的知识及技术能力,如金融有关政策法规知识、金融科技新技术、金融行业最佳实践、金融网络安全等级保护等制度和相关知识。

(4)工具技术。有效执行安全运营工作所需要的软硬件工具和技术,如风险评估、漏洞扫描、渗透测试、终端安全管理、数据防泄漏、全流量监测分析、蜜罐、安全业务中台等。

(5)流程实施。岗位人员在安全运营工作中应执行的标准流程。

(6)效率管控。完成某项工作所需的时间和频率。

(7)效果评价。对工作完成质量和结果进行评价。

能力成熟度模型指标

本文结合 IPDRR-V 模型与金融机构全天候、综合性、实战化的网络安全防护特点,重点研究了金融行业网络空间安全(含终端安全、网络安全、应用安全、服务器安全等)、数据安全方面的安全能力域和具体能力项。其中,随着新技术在金融行业的广泛应用,需明确金融科技风险相关域和指标,重点考虑新技术应用后的安全风险控制能力评价,如云计算、移动互联、大数据、人工智能、商用密码、供应链安全等,并完善金融基础安全风险评价指标。同时,随着金融业务的迅速发展,也引入新的业务逻辑安全风险,如人脸支付、开放银行、金融欺诈等,更有必要针对业务安全明确相关域和指标,完善金融业务安全风险评价指标。根据监管要求和同业最佳实践,针对相关领域设计能力项,引导金融机构实施自动化、智能化的安全运营,以快速应对网络安全事件,保障金融客户使用安全。鉴于此,本文提出 6 个过程域(Process Area,PA)、24 个子过程域(如图 2 所示)和185 个运营安全能力项(Work Item,WI),结合 JR/T 0072—2020《金融行业网络安全等级保护测评指南》等有关要求,重点体现了金融核心业务系统安全保护、重要数据安全、事件响应与处置、备份与恢复、安全能力有效性验证等内容,并随着监管要求变化和新技术的发展,不断调整优化具体能力项。

图 2 网络安全运营过程域

以 PA10 应用安全管理为例,应用安全管理是安全防护领域中的一个重要过程域,着重于确保金融应用安全,包括身份鉴别、数据加密、漏洞扫描、监测和应急响应等,以保护客户个人金融信息、资金交易和金融账户免受潜在的威胁和攻击。其中,手机银行应用安全管理能力子域,在开展上线安全测试、制定等级测评的评价指标的基础上,进一步明确金融科技产品检测、认证和项目质量评估指标。

本文模型通过抽取每个能力项涉及的人员岗位、知识技能、工具技术,以及效果评价指标,形成 4 类安全运营图谱,如图 3 所示。目前,在金融机构使用的各类网络安全测评标准中,对部分指标落实情况的判断和评价存在一定主观性,导致测评的结果存在不一致的情况。为此,本文模型采用客观指标,借助具体数字、时间周期和比例等可量化的数据区分安全能力水平,降低主观因素对测评结果的影响。一是通过梳理安全运营指标,引导金融机构建立安全运营中心,借助可视化大屏等工具,动态监测金融交易成功率、核心业务系统运行状态、境内外网络攻击和威胁、机构内部异常行为等核心指标,助力精准化指挥决策过程。二是通过梳理工具技术指标,引导金融机构适应金融科技新需求,建立自动化、智能化的安全能力编排和快速处置能力,面向敏捷业务建立敏态安全运营机制。三是通过梳理人员岗位和知识技能,明确攻防实战等培训要求和人员能力提升路径,引导金融机构合理设置安全运营团队角色,明确具体人员责任要求,建立奖惩和培养长效机制。最终,通过多平台、多技术能力建设和专业人员配备,逐步构建全天候、集约化、自动化、智能化、协同化的网络安全运营技术体系。

图 3 网络安全运营图谱

安全运营模型实施路径

4.1 安全运营支撑平台

为 支 撑 IPDRR-V 模 型 的 落 地 实 施, 有 效检验实战化的综合防护能力,满足金融行业动态管理、持续监测、实时响应和集约化安全运营的需要,企业可通过搭建安全业务中台对安全运营工作进行整体管理。安全业务中台功能框架如图 4 所示,针对金融行业强监管特性,从流程实施、知识技能、工具技能和效果评价4 个方面充分满足金融机构安全运营在各个环节的功能需求,建设集安全运营业务流转、安全大数据可视化呈现、网络安全工具调用、岗位培训 / 考核、用户操作审计、大数据存储分析和调用等功能于一体的逻辑业务应用平台。各类岗位人员可通过安全业务中台对各自工作项进行操作,赋能工作提质增效。

图 4 安全业务中台功能框架

(1)运营流程管理子系统。金融机构涉及大规模交易处理和多样化的业务模式,处理巨量的交易数据、客户信息和账户数据需要满足有效性和安全性,运营流程管理子系统为安全运营工作提供各类流程支撑,涉及所有的安全运营工作流程,流程设计能有效支撑安全运营管理工作智能化、自动化,并形成安全事件的闭环管理。

(2)工具调用子系统。该系统对各类运维及安全运营工具调用提供支撑,为能力模型中的工具技能提供支撑,满足金融行业对技术及工具的需要。

(3)运营指标子系统。随着金融机构的数字化转型,为满足实战化安全运营需求,需利用可视化工具进行实时数据分析,包括信息系统运行态势、网络安全态势、异常行为态势、管理 / 运营态势等。运营指标通过可视化大屏进行展示,以便于监测各类态势核心指标,集中把控数据,同时支持精准化指挥决策;安全运营指标的设计需要充分考虑覆盖率、有效率和误报率。

(4)攻防演练子系统。该系统为红蓝对抗活动、防御策略有效性验证、攻防人才培养等提供支撑。

(5)威胁情报子系统。该系统为威胁情报的消费和生产提供支持,包括情报查询、多源情报评估、开源网络攻击知识库(Adversarial Tactics, Techniques, and Common Knowledge,ATT&CK)、情报图谱及情报自生产等。

(6)自动化处置子系统。该系统为自动化运营处置提供流程及脚本支撑。

(7)算力子系统。该系统是安全业务中台的性能核心,为中台的稳定运行提供算力支持。

(8)存储子系统。该系统为安全业务中台提供数据支持,为安全运营工作的数据存储提供空间支撑。

(9)数据采集子系统。该系统通过各种协议或方式方法对各类安全运营工作所需的数据源进行采集。

(10)知识库子系统。该系统提供安全运营中涉及的相关知识技能库,从运营能力维度中,为能力模型中的知识技能提供支撑。同时金融业受到广泛的监管和法律约束,知识库子系统可提供一系列监管要求、制度法规、标准规范、行业实践等,确保安全运营的合规性。

(11)培训 / 考核子系统。金融行业面临来自内部员工的潜在威胁,包括数据泄露和滥用的风险。因此,安全运营需包括员工培训和考核,为系统内人才培养及考核提供支撑,为能力模型中的知识技能提供储备。

4.2 安全运营能力验证

本文提出的 IPDRR-V 模型,新增“能力验证”维度(V),针对安全防护能力,可借助自动化攻击模拟、安全能力自动化检测等工具开展攻防能力评估验证,进而更新案例库和风险库。安全运营能力验证主要通过可视化运营指标的量化方式衡量,引入安全能力验证自动化工具等。可通过人工方式,对无法进行量化和可视化的其他安全运营能力进行验证,包括但不限于红蓝对抗、攻防演习、检查评估,以及聘请外部安全机构开展众测和检测评估等。

通过对网络纵深防御、终端防控、数据保护、邮件防护等场景进行能力验证,自动化生成安全评估报告,能够更加直观有效地提供安全防护改进建议,持续促进网络安全运营能力的提升。考虑到金融行业对保障个人金融信息安全、客户合法权益的要求,以及维持客户信赖、维护机构形象和声誉的具体需求,常态化开展安全能力验证意义重大,因此,需要结合安全技术的发展,持续推进实施。

4.3 安全运营能力评价

本文提出的 IPDRR-V 模型,通过效果评价有效支撑网络安全工作考核评价。金融机构可以将可量化、可视化的运营指标作为考核数据的依据,结合安全运营能力评估结果,选取安全运营典型能力与实际工作紧密关联的部分指标,比如安全岗位设置、软硬件资产管理、应用开发安全测评、网络入侵攻击 / 病毒监测、安全事件 / 漏洞处置、供应链与外包服务管理、数据安全防护等,对相关组织监督机构进行针对性考核。

结 语

本文提出 IPDRR-V 模型及落地实践方法,结合金融行业特点,明确了核心业务系统安全、个人金融信息保护、金融交易业务安全方面的能力指标,着力强化贯穿网络安全保护全过程的能力验证过程,涵盖组织、人员、技能、工具、流程、效率及效果评价,覆盖识别认定、安全防护、监测预警、事件响应、业务恢复、能力验证等领域,可全方位地评价网络安全运营能力,有助于金融机构准确掌握自身网络安全能力状况,及时发现能力短板和弱项,进而采取有效措施防范风险。今后,随着监管新要求的发布、新技术的发展和新需求的出现,IPDRR-V 模型有关流程、能力项和评价工具需要持续优化调整,以提升网络安全运营能力,推动网络安全与信息化建设同步发展,助力信息科技风险管理整体水平的提升。受限于水平、时间等因素,本文模型有关指标有待进一步细化和补充完善。

引用格式:廖渊 , 赵鹏 , 张超凡 . 金融行业网络安全运营能力成熟度模型框架设计与实践 [J]. 信息安全与通信保密 ,2024(2):70-79.

作者简介 >>>

廖 渊,男,博士,高级工程师,主要研究方向为金融科技风险与网络安全;

赵 鹏,男,硕士,高级工程师,主要研究方向为金融科技风险与网络安全;

张超凡,男,硕士,主要研究方向为金融科技风险与网络安全。

选自《信息安全与通信保密》2024年第2期(为便于排版,已省去原文参考文献)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。