网安加·百家讲坛 | 徐一丁:金融机构网络安全合规浅析

作者简介:徐一丁,北京小西牛等保软件有限公司解决方案部总监,网络安全高级顾问。2000年开始从事网络安全工作,主要领域为网络安全法规标准研究、金融行业安全咨询与解决方案设计、信息科技风险管理评估等。对国家网络安全法规标准体系、网络安全框架与技术应用、金融机构安全体系建设与运营等方面有深入的研究与理解。

金融机构安全建设需求分析框架

由于金融数据的敏感性和金融交易的重要性,使得金融机构成为网络攻击行为的重点目标,也使金融机构成为网络安全监管的重点关注对象。

金融机构在进行网络安全需求分析和安全体系建设时,建议从安全建设的外部和内部两方面的驱动力进行分析,确保在大方向上没有遗漏或偏离。

图片

图1 金融机构网络安全需求分析框架

外驱力主要指国家法律法规和监管要求,金融机构必须遵循《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国密码法》等法律法规,以及《网络安全等级保护基本要求》《关键信息基础设施安全保护条例》等监管规定,确保在法律框架内构建安全体系。

同时,还需重点关注行业监管要求,如《商业银行信息科技风险管理指引》及各类专项管理办法等,以及地区性法规,如《广东省地方金融监督管理条例》,这些法规为金融机构提供了安全建设的指导和标准。

内驱力则涉及金融机构自身的业务发展需求和风险管理。金融机构需认识到风险管理是其核心竞争力之一,建立和完善风险管理和内部控制制度,以应对恶意代码、木马、病毒、蠕虫、APT攻击、勒索软件等网络威胁。金融机构应从业务角度出发,分析潜在的安全风险,制定相应的安全策略和措施。

合规需求与自身安全防护形成了金融机构安全风险的需求来源,根据两部分需求进行安全体系设计并进行建设,通常涉及技术体系、组织体系和制度体系等安全子体系的构建。

技术体系包括应用防护、入侵检测、防火墙、安全运营中心(SOC)、安全验证和漏洞扫描等,以确保技术层面的安全;组织体系则涉及建立专门的安全团队,明确安全责任和流程;制度体系则需要制定详细的安全政策和操作规程,让工作有据可依,确保安全措施得到有效执行。

通过内外结合的方式,金融机构可以全面分析安全需求,构建一个既符合法律法规要求,又能满足业务发展需要的安全体系,从而在合规的同时保障客户和机构资产安全,促进金融业务安全和健康发展。

金融现场检查的趋势变化

作为金融机构的安全负责人,需要了解监管检查方法正在经历显著变化,监管机构不再仅仅关注表面的合规性,而是转向了更为深入和细致的实效检验。

如金融监管总局于2023年11月新设了科技监管司,负责拟订相关信息科技发展规划和信息科技风险监管制度并组织实施。按分工承担网络安全、数据安全、关键信息基础设施监管等工作,推动数字化信息化建设。科技监管司的成立意味着信息科技风险监管工作上了新台阶,国内部分商业银行、基金公司等,接受了信息科技风险的现场检查。

本年度的信息科技风险检查在检查时长、检查范围和力度上均进行了显著加强,并且网络安全的检查委托国内权威的网络安全研究机构进行,不再仅仅依赖于表面的问题和对标检查,而是更加注重实效检验,检查方法从单一的对标转向了体系深挖,即从表面合规转向了深入的技术和管理层面的检查。

对金融机构来说,需要准备好接受基于POC的漏洞扫描、安全措施有效性验证、内存木马检测和敏感数据检查等专项检查工具的检验。

以针对北方地区某城商行的网络安全专项检查为例,金融监管总局委托某部研究所执行检查,使用了多项专用网络安全检查工具,发现多个严重问题如高风险漏洞、弱口令等,以此为出发点深入分析管理与流程方面的漏洞,进行了点面结合的高效检查。

监管检查随着金融形势与网络安全的技术发展,也不断更加深入和细致,不仅关注表面的合规性,也更加注重实际的安全效果和技术层面的深入检查。通过使用专业的检查工具和资深专家的引领,监管机构能够更有效地识别潜在的安全问题。

金融机构的安全合规策略建议

结合以上背景情况,我们建议金融机构参考以下的“三步法”,考虑网络安全的合规工作:

第一步:按照法规标准要求进行安全建设

金融机构应深入研究和理解国家、行业与地方的安全监管要求,可以在内部管理平台中增加知识模块,建立金融行业适用的法规标准库。

从前面的分析可以看出,金融机构所面对的网络安全法规标准情况比较复杂,借助法规标准库,金融机构可以全面而清晰地对安全法规进行研究与掌握,并将这些要求转化为自身安全建设的具体动作。

同时,合规平台还可以考虑上传保存机构合规工作涉及的系统、设备、测评进度情况、结果报告、得分与评价等各方面信息,实现清晰的合规管理。

金融机构还需要对自身的分支机构、供应链等进行监督检查,贯彻安全合规要求。机构总部管理人员在系统中制定合理的安全指标,下发给分支机构或供应链企业作为自查任务,相关单位在接到任务后,需要及时地进行自查和整改工作,并将结果上报至金融机构总部。

这一流程确保了各项安全指标能够得到在机构整体实际的执行和落实,提高了机构全系统合规管理的效率。

第二步:参考监管检查方法自检,常态化主动合规

主动合规包括内外两个方面,需要结合机构的自身情况常态化执行。

从内部看,金融机构的众多系统会不断地进行更新和升级,如新应用系统的上线、服务器配置的变更等,这些变化很可能会对合规状况产生影响,应借助安全运营体系持续监控当前的状态,持续确保合规性。

例如,利用自动化工具和实时数据分析,对系统变更进行持续监控,及时发现并解决可能的合规风险。合规工作相关的信息系统应该能够与机构的各类安全运营平台进行对接与联动,安全运营平台监控合规相关指标并将结果动态反馈到合规平台上,安全负责人进行判断并整改不合规的问题,针对由于内部各类变化的情况进行主动合规。

从外部看,行业监管部门检查方法日新月异,评价尺度也难以了解,在现场检查中往往给金融机构合规迎检带来压力。

这说明从保证合规的角度出发,仅依靠研究与落实国家与行业的安全法规标准是不足的。金融机构可以与国内专业的专家团队合作,长年关注监管检查的发展,将相关方法与工具总结成检查剧本,其中包含从监管视角出发的安全检查指标,并不断更新到前述的合规平台上。

金融机构借助这些剧本,能够以监管的视角进行自查,并整改不合规项,从检验的角度去保障安全合规。

第三步:查缺补漏,高效迎接检查

在前面两步的基础上,金融机构已经建立了比较完善并且符合监管要求的安全体系。

而为了迎接监管检查,金融机构应采取以下措施:迎接监管检查之前进行高效的自检与整改,这是确保顺利通过检查的关键步骤。金融机构需要根据监管检查的重点内容,制定详细的自检计划,明确检查的范围和深度。

自检计划应涵盖所有可能受到本次监管检查关注的各方面,这方面可以借助内部合规系统的知识库,其中包含的安全检查指标。利用内部安全团队和外部专家团队的资源,对计划中的各个方面进行快速的自检。自检过程中,应使用先进的检查工具和自动化技术,以提高检查的效率和准确性。

例如,可以利用本次检查可能涉及的漏洞扫描工具检测网络安全漏洞,使用数据分类和访问控制工具检查数据保护措施的有效性,以及通过业务连续性计划的演练来评估业务连续性管理的充分性。

在自检过程中,一旦发现问题,应立即启动整改程序。整改工作应由跨部门的团队负责,包括但不限于网络安全团队、系统运维团队、网络运维团队、安全服务商、安全厂商、应用开发商等。需要明确这些角色在自查与整改中的责任,分配任务,确保整改措施能够全面覆盖问题领域,并得到有效执行。

整改过程中,应定期评估整改进度,并与监管检查的时间表保持同步,确保在真正监管到场检查前能够完成所有必要的整改工作。

金融机构还应建立一个持续的监控机制,以确保整改措施得到持续执行,并能够及时发现和解决新出现的问题。

图片

图2 网络安全合规态势大屏

最后,可以考虑以类似图2的系统大屏,总体展示单位合规的状况,统一呈现全面的合规态势概览,包括基础信息、安全制度、合规管理以及关键运营动态等指标,可以一目了然地向监管检查单位展示本机构的安全合规工作结果与成绩,便于现场检查的效率。

通过这些图表,安全负责人能够清晰说明整体的安全合规状况,系统还可以在安全运营页面展示安全风险相关的统计数据,包括网络攻击、安全问题的数量和类型,以及安全通告的发布情况等。

安全负责人能够从合规和运营的角度识别潜在的问题并制定相应的改进措施,通过全局动态监控和调整,确保能够及时获取全盘信息,对安全合规和安全防护状态进行持续的监控和管理。

汇总数据和配套的相关图表等也是安全工作成果的体现,用数字化定量的方式准确地展示工作成绩、合规历史情况对比、提升幅度、风险控制水平等,成为安全负责人工作汇报的重要支撑内容。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/455228.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【数据结构与算法】《布隆过滤器:高效数据筛选的魔法工具》

标题:《布隆过滤器:高效数据筛选的魔法工具》 摘要:本文将带你深入了解布隆过滤器这一神奇的数据结构。从研究推荐系统中的已读内容排除和重复内容去重问题引入,详细介绍布隆过滤器的产生契机、设计思想、优缺点及用途。通过阅读…

机器视觉运动控制一体机在DELTA并联机械手视觉上下料应用

市场应用背景 DELTA并联机械手是由三个相同的支链所组成,每个支链包含一个转动关节和一个移动关节,具有结构紧凑、占地面积小、高速高灵活性等特点,可在有限的空间内进行高效的作业,广泛应用于柔性上下料、包装、分拣、装配等需要…

MyBatis 基础知识:配置文件、映射器与 SQL 示例详解

本篇博客将深入探讨 MyBatis 的基础知识,包括配置文件的设置、映射器的使用以及实际的 SQL 示例。 文章目录 前言 准备工作 根据主键删除 日志输出 ​编辑 预编译SQL SQL注入 ​编辑 参数占位符 新增员工 主键返回 更新 查询(根据ID查询&#x…

世界前沿思想升命学说:鼠、牛、虎、兔、龙、蛇、马、羊、猴、鸡、狗、猪

在当今哲学的前沿探索中,山东济南的名人颜廷利教授的《升命学说》一书以其独到的见解和深刻的洞察力,为我们揭示了十二生肖背后的象征意义。这些生肖包括鼠、牛、虎、兔、龙、蛇、马、羊、猴、鸡、狗以及猪,每一种动物都承载着独特的文化寓意…

哥德巴赫猜想渐行渐远

我现在的工作,表明经典分析可能出了问题,如此则连Vinogradov的三素数定理都不成立了,更别说基于L-函数方程的陈氏定理“12”了。事实上即使L-函数方程成立,由于我指出Siegel定理不成立,陈景润和张益唐的工作就不成立。…

卡牌抽卡机小程序,带来新鲜有趣的拆卡体验

随着移动信息技术的发展,小程序得到了快速普及,遍布到了各行各业中,成为企业发展的利器。如今,卡牌抽卡机小程序层出不穷,为玩家带来了更多有趣的拆卡体验。 卡牌在今年中受到了广泛关注,“小马宝莉”等一…

Qt中使用线程之QRunnable

1、自定义1个子类继承自QRunnable 2、重写run方法,编写子线程的业务逻辑 3、使用QThreadPool的全局方法来开启这个线程 4、线程的回收不需要关注,由QThreadPool处理 5、缺点:无法使用信号槽机制 6、适合一些不需要和主线程通信的耗时的任…

如何使用的是github提供的Azure OpenAI服务

使用的是github提供的Azure OpenAI的服务gpt-4o 说明:使用的是github提供的Azure OpenAI的服务,可以无限薅羊毛。开源地址 进入: 地址 进入后点击 右上角“Get API key”按钮 点击“Get developer key” 选择Beta版本“Generate new to…

[Ansible实践笔记]自动化运维工具Ansible(一):初探ansibleansible的点对点模式

文章目录 Ansible介绍核心组件任务执行方式 实验前的准备更新拓展安装包仓库在ansible主机上配置ip与主机名的对应关系生成密钥对将公钥发送到被管理端,实现免密登录测试一下是否实现免密登录 常用工具ansibleansible—docansible—playbook 主要配置文件 Ansible 模…

【数据结构】快速排序(三种实现方式)

目录 一、基本思想 二、动图演示(hoare版) 三、思路分析(图文) 四、代码实现(hoare版) 五、易错提醒 六、相遇场景分析 6.1 ❥ 相遇位置一定比key要小的原因 6.2 ❥ 右边为key,左边先走 …

dd小程序如何监听props中对象的值

组件内代码 Component({mixins: [],data: {infoData:{}},props: {rowData:Object},didMount() {console.log(this.props.rowData,this.props.rowDatathis.props.rowData)this.setData({infoData:this.props.rowData})},didUpdate() {console.log(this.props.rowData)},didUnmo…

落实“双碳”行动,深兰科技推动分子能源技术在AI硬件产品领域的应用及产业化进程

10月21日,上海气候周分子能研究中心(筹)成立仪式在上海环境能源交易所举行。仪式上,深兰科技践行“双碳”目标,与上海东八能源技术有限公司签署分子能源AI应用产业化合作协议。 根据协议,国际分子能量发电开拓者、上海气候周分子能…

论当前的云计算

随着技术的不断进步和数字化转型的加速,云计算已经成为当今信息技术领域的重要支柱。本文将探讨当前云计算的发展现状、市场趋势、技术革新以及面临的挑战与机遇。 云计算的发展现状 云计算,作为一种通过网络提供可伸缩的、按需分配的计算资源服务模式&a…

TMGM平台可靠么?交易是否安全?

在选择外汇交易平台时,安全性与可靠性是投资者最关注的要素之一。作为全球知名的外汇及差价合约交易平台,TMGM(tmgm-pt.com)的安全性与可靠性可以从多个方面进行评估,包括监管环境、资金安全、客户服务、交易技术与服务…

[项目][boost搜索引擎#4] cpp-httplib使用 | log.hpp | 前端 | 测试及总结

目录 编写http_server模块 1. 引入cpp-httplib到项目中 2. cpp-httplib的使用介绍 3. 正式编写http_server 九、添加日志到项目中 十、编写前端模块 十一. 详解传 gitee 十二、项目总结 项目的扩展 写在前面 项目 gitee 已经上传啦 (还是决定将学校和个人…

LabVIEW共享变量通信故障

问题概述: 在LabVIEW项目中,使用IO服务器创建共享变量,并通过LabVIEW作为从站进行数据通信。通讯在最初运行时正常,但在经过一段时间或几个小时后,VI前面板出现错误输出,导致数据传输失败。虽然“分布式系统…

【国潮来袭】华为原生鸿蒙 HarmonyOS NEXT(5.0)正式发布:鸿蒙诞生以来最大升级,碰一碰、小艺圈选重磅上线

在昨日晚间的原生鸿蒙之夜暨华为全场景新品发布会上,华为原生鸿蒙 HarmonyOS NEXT(5.0)正式发布。 华为官方透露,截至目前,鸿蒙操作系统在中国市场份额占据 Top2 的领先地位,拥有超过 1.1 亿 的代码行和 6…

[LeetCode] 230. 二叉搜索树中第K小的元素

题目描述: 给定一个二叉搜索树的根节点 root ,和一个整数 k ,请你设计一个算法查找其中第 k 小的元素(从 1 开始计数)。 示例 1: 输入:root [3,1,4,null,2], k 1 输出:1示例 2&am…

欧盟 RED 网络安全法规 EN 18031

目录 1. 📂 EN 18031 1.1 背景 1.2 专业术语 1.3 覆盖产品范围 1.4 EN 18031标准主要评估内容: 1.5 EN 18031标准主要评估项目: 1.6 EN 18031 与 ETSI EN 303 645 的主要差异 1.7 RED 网络安全法规解读研讨会 2. 🔱 EN 1…

Docker:namespace环境隔离 CGroup资源控制

Docker:namespace环境隔离 & CGroup资源控制 Docker虚拟机容器 namespace相关命令ddmkfsdfmountunshare 进程隔离文件隔离 CGroup相关命令pidstatstresscgroup控制 内存控制CPU控制 Docker 在开发中,经常会遇到环境问题,比如程序依赖某个…