作者简介:徐一丁,北京小西牛等保软件有限公司解决方案部总监,网络安全高级顾问。2000年开始从事网络安全工作,主要领域为网络安全法规标准研究、金融行业安全咨询与解决方案设计、信息科技风险管理评估等。对国家网络安全法规标准体系、网络安全框架与技术应用、金融机构安全体系建设与运营等方面有深入的研究与理解。
金融机构安全建设需求分析框架
由于金融数据的敏感性和金融交易的重要性,使得金融机构成为网络攻击行为的重点目标,也使金融机构成为网络安全监管的重点关注对象。
金融机构在进行网络安全需求分析和安全体系建设时,建议从安全建设的外部和内部两方面的驱动力进行分析,确保在大方向上没有遗漏或偏离。
图1 金融机构网络安全需求分析框架
外驱力主要指国家法律法规和监管要求,金融机构必须遵循《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国密码法》等法律法规,以及《网络安全等级保护基本要求》《关键信息基础设施安全保护条例》等监管规定,确保在法律框架内构建安全体系。
同时,还需重点关注行业监管要求,如《商业银行信息科技风险管理指引》及各类专项管理办法等,以及地区性法规,如《广东省地方金融监督管理条例》,这些法规为金融机构提供了安全建设的指导和标准。
内驱力则涉及金融机构自身的业务发展需求和风险管理。金融机构需认识到风险管理是其核心竞争力之一,建立和完善风险管理和内部控制制度,以应对恶意代码、木马、病毒、蠕虫、APT攻击、勒索软件等网络威胁。金融机构应从业务角度出发,分析潜在的安全风险,制定相应的安全策略和措施。
合规需求与自身安全防护形成了金融机构安全风险的需求来源,根据两部分需求进行安全体系设计并进行建设,通常涉及技术体系、组织体系和制度体系等安全子体系的构建。
技术体系包括应用防护、入侵检测、防火墙、安全运营中心(SOC)、安全验证和漏洞扫描等,以确保技术层面的安全;组织体系则涉及建立专门的安全团队,明确安全责任和流程;制度体系则需要制定详细的安全政策和操作规程,让工作有据可依,确保安全措施得到有效执行。
通过内外结合的方式,金融机构可以全面分析安全需求,构建一个既符合法律法规要求,又能满足业务发展需要的安全体系,从而在合规的同时保障客户和机构资产安全,促进金融业务安全和健康发展。
金融现场检查的趋势变化
作为金融机构的安全负责人,需要了解监管检查方法正在经历显著变化,监管机构不再仅仅关注表面的合规性,而是转向了更为深入和细致的实效检验。
如金融监管总局于2023年11月新设了科技监管司,负责拟订相关信息科技发展规划和信息科技风险监管制度并组织实施。按分工承担网络安全、数据安全、关键信息基础设施监管等工作,推动数字化信息化建设。科技监管司的成立意味着信息科技风险监管工作上了新台阶,国内部分商业银行、基金公司等,接受了信息科技风险的现场检查。
本年度的信息科技风险检查在检查时长、检查范围和力度上均进行了显著加强,并且网络安全的检查委托国内权威的网络安全研究机构进行,不再仅仅依赖于表面的问题和对标检查,而是更加注重实效检验,检查方法从单一的对标转向了体系深挖,即从表面合规转向了深入的技术和管理层面的检查。
对金融机构来说,需要准备好接受基于POC的漏洞扫描、安全措施有效性验证、内存木马检测和敏感数据检查等专项检查工具的检验。
以针对北方地区某城商行的网络安全专项检查为例,金融监管总局委托某部研究所执行检查,使用了多项专用网络安全检查工具,发现多个严重问题如高风险漏洞、弱口令等,以此为出发点深入分析管理与流程方面的漏洞,进行了点面结合的高效检查。
监管检查随着金融形势与网络安全的技术发展,也不断更加深入和细致,不仅关注表面的合规性,也更加注重实际的安全效果和技术层面的深入检查。通过使用专业的检查工具和资深专家的引领,监管机构能够更有效地识别潜在的安全问题。
金融机构的安全合规策略建议
结合以上背景情况,我们建议金融机构参考以下的“三步法”,考虑网络安全的合规工作:
第一步:按照法规标准要求进行安全建设
金融机构应深入研究和理解国家、行业与地方的安全监管要求,可以在内部管理平台中增加知识模块,建立金融行业适用的法规标准库。
从前面的分析可以看出,金融机构所面对的网络安全法规标准情况比较复杂,借助法规标准库,金融机构可以全面而清晰地对安全法规进行研究与掌握,并将这些要求转化为自身安全建设的具体动作。
同时,合规平台还可以考虑上传保存机构合规工作涉及的系统、设备、测评进度情况、结果报告、得分与评价等各方面信息,实现清晰的合规管理。
金融机构还需要对自身的分支机构、供应链等进行监督检查,贯彻安全合规要求。机构总部管理人员在系统中制定合理的安全指标,下发给分支机构或供应链企业作为自查任务,相关单位在接到任务后,需要及时地进行自查和整改工作,并将结果上报至金融机构总部。
这一流程确保了各项安全指标能够得到在机构整体实际的执行和落实,提高了机构全系统合规管理的效率。
第二步:参考监管检查方法自检,常态化主动合规
主动合规包括内外两个方面,需要结合机构的自身情况常态化执行。
从内部看,金融机构的众多系统会不断地进行更新和升级,如新应用系统的上线、服务器配置的变更等,这些变化很可能会对合规状况产生影响,应借助安全运营体系持续监控当前的状态,持续确保合规性。
例如,利用自动化工具和实时数据分析,对系统变更进行持续监控,及时发现并解决可能的合规风险。合规工作相关的信息系统应该能够与机构的各类安全运营平台进行对接与联动,安全运营平台监控合规相关指标并将结果动态反馈到合规平台上,安全负责人进行判断并整改不合规的问题,针对由于内部各类变化的情况进行主动合规。
从外部看,行业监管部门检查方法日新月异,评价尺度也难以了解,在现场检查中往往给金融机构合规迎检带来压力。
这说明从保证合规的角度出发,仅依靠研究与落实国家与行业的安全法规标准是不足的。金融机构可以与国内专业的专家团队合作,长年关注监管检查的发展,将相关方法与工具总结成检查剧本,其中包含从监管视角出发的安全检查指标,并不断更新到前述的合规平台上。
金融机构借助这些剧本,能够以监管的视角进行自查,并整改不合规项,从检验的角度去保障安全合规。
第三步:查缺补漏,高效迎接检查
在前面两步的基础上,金融机构已经建立了比较完善并且符合监管要求的安全体系。
而为了迎接监管检查,金融机构应采取以下措施:迎接监管检查之前进行高效的自检与整改,这是确保顺利通过检查的关键步骤。金融机构需要根据监管检查的重点内容,制定详细的自检计划,明确检查的范围和深度。
自检计划应涵盖所有可能受到本次监管检查关注的各方面,这方面可以借助内部合规系统的知识库,其中包含的安全检查指标。利用内部安全团队和外部专家团队的资源,对计划中的各个方面进行快速的自检。自检过程中,应使用先进的检查工具和自动化技术,以提高检查的效率和准确性。
例如,可以利用本次检查可能涉及的漏洞扫描工具检测网络安全漏洞,使用数据分类和访问控制工具检查数据保护措施的有效性,以及通过业务连续性计划的演练来评估业务连续性管理的充分性。
在自检过程中,一旦发现问题,应立即启动整改程序。整改工作应由跨部门的团队负责,包括但不限于网络安全团队、系统运维团队、网络运维团队、安全服务商、安全厂商、应用开发商等。需要明确这些角色在自查与整改中的责任,分配任务,确保整改措施能够全面覆盖问题领域,并得到有效执行。
整改过程中,应定期评估整改进度,并与监管检查的时间表保持同步,确保在真正监管到场检查前能够完成所有必要的整改工作。
金融机构还应建立一个持续的监控机制,以确保整改措施得到持续执行,并能够及时发现和解决新出现的问题。
图2 网络安全合规态势大屏
最后,可以考虑以类似图2的系统大屏,总体展示单位合规的状况,统一呈现全面的合规态势概览,包括基础信息、安全制度、合规管理以及关键运营动态等指标,可以一目了然地向监管检查单位展示本机构的安全合规工作结果与成绩,便于现场检查的效率。
通过这些图表,安全负责人能够清晰说明整体的安全合规状况,系统还可以在安全运营页面展示安全风险相关的统计数据,包括网络攻击、安全问题的数量和类型,以及安全通告的发布情况等。
安全负责人能够从合规和运营的角度识别潜在的问题并制定相应的改进措施,通过全局动态监控和调整,确保能够及时获取全盘信息,对安全合规和安全防护状态进行持续的监控和管理。
汇总数据和配套的相关图表等也是安全工作成果的体现,用数字化定量的方式准确地展示工作成绩、合规历史情况对比、提升幅度、风险控制水平等,成为安全负责人工作汇报的重要支撑内容。