盛邦安全在同眾多銀行業(yè)金融機構(gòu)的溝通和服務(wù)過程中，對當(dāng)前銀行業(yè)金融機構(gòu)，尤其是中小銀行業(yè)金融機構(gòu)信息科技風(fēng)險管理的現(xiàn)狀有了較深入的了解，本系列文章旨在基于對中小銀行信息科技風(fēng)險管理的整體現(xiàn)狀的認知，提煉和分享當(dāng)前行業(yè)信息科技風(fēng)險管理體系建設(shè)的面臨的問題和良好實踐，以期啟發(fā)更多的行業(yè)思考和討論。

本期討論的主題是中小銀行信息安全管理。金融行業(yè)關(guān)系到國計民生，支撐其運營的重要的信息系統(tǒng)是國家關(guān)鍵基礎(chǔ)設(shè)施，是信息安全重點保護對象。由于互聯(lián)網(wǎng)金融的快速發(fā)展，以及來自互聯(lián)網(wǎng)的安全威脅層出不窮，以銀行業(yè)為代表的金融行業(yè)的安全建設(shè)思路開始發(fā)生深刻變化，變化趨勢和特點有以下幾點：

◆ 監(jiān)管合規(guī)向自身業(yè)務(wù)安全需求導(dǎo)向轉(zhuǎn)變；

◆ 安全技術(shù)體系向安全運營體系轉(zhuǎn)變；

◆ 安全防護能力向攻防對抗能力轉(zhuǎn)變；

◆ 靜態(tài)防護向動態(tài)智能化防護轉(zhuǎn)變；

◆ 邊界防護向零信任體系轉(zhuǎn)變。

在目前的大趨勢下，中小銀行業(yè)金融機構(gòu)總體上處于被動應(yīng)對的狀態(tài)，普遍缺乏洞察變化后的主動調(diào)整和跟進，反映在金融企業(yè)內(nèi)部安全建設(shè)上，仍然存在頭痛醫(yī)頭、腳痛醫(yī)腳，整體網(wǎng)絡(luò)安全能力建設(shè)難以適應(yīng)外部環(huán)境變化。網(wǎng)絡(luò)安全團隊和人員，不論是理念意識、知識技能，還是實戰(zhàn)經(jīng)驗，以及同實際保障業(yè)務(wù)安全的需求上存在很大差距。

在這樣的背景下，我們重新來回顧《商業(yè)銀行信息科技風(fēng)險管理指引》（以下簡稱《指引》）中關(guān)于信息安全管理的監(jiān)管要求，我們會發(fā)現(xiàn)，監(jiān)管層面的底線要求仍然在發(fā)揮著重要的指導(dǎo)作用，我們會圍繞這些核心監(jiān)管要求，并結(jié)合當(dāng)前中小銀行信息科技安全管理實操的現(xiàn)狀，分享行業(yè)內(nèi)的一些出色或有效實踐?？紤]到安全部分的管理要求較多，我們本次分享的領(lǐng)域主要包括信息分類保護和人員意識、安全管理職能、用戶訪問控制機制、物理安全保護區(qū)域、邏輯安全保護區(qū)域的管控現(xiàn)狀；操作系統(tǒng)和系統(tǒng)軟件安全、信息（業(yè)務(wù)）系統(tǒng)安全、日志安全、信息加密、終端設(shè)備安全、數(shù)據(jù)安全、安全意識部分的內(nèi)容后續(xù)分享。     

一、信息分類保護和意識

《指引》第二十條規(guī)定，商業(yè)銀行信息科技部門負責(zé)建立和實施信息分類和保護體系，商業(yè)銀行應(yīng)使所有員工都了解信息安全的重要性，并組織提供必要的培訓(xùn)，讓員工充分了解其職責(zé)范圍內(nèi)的信息保護流程。從目前來看，中小商業(yè)銀行對于信息分類的管理在逐步重視，制定了信息的分類分級保護制度或者策略，但大多數(shù)中小銀行并沒有落地有針對性的分類管理；比較典型的場景是，目前銀行信息系統(tǒng)每年都要根據(jù)備案的情況開展等保測評 ，而不管在公安機關(guān)備案的信息系統(tǒng)是二級、三級還是四級，其實在信息科技安全防護方面大多并沒有采取差異性的防護策略，基本都是繼承生產(chǎn)網(wǎng)中統(tǒng)一架構(gòu)的防護體系。在話術(shù)上，一般都是生產(chǎn)環(huán)境的系統(tǒng)采取基本一致的高級別的防護機制；對銀行而言，共享了防護能力，不過也提升了防護成本。

如果從信息本身的角度來看，目前金融機構(gòu)生產(chǎn)網(wǎng)中的數(shù)據(jù)在開發(fā)測試網(wǎng)、辦公網(wǎng)中也被廣泛用來做系統(tǒng)測試、數(shù)據(jù)分析和建模、監(jiān)管上報、以及業(yè)務(wù)部門特定業(yè)務(wù)場景的打印和下載；脫離了生產(chǎn)網(wǎng)防護體系的數(shù)據(jù)，普遍面臨數(shù)據(jù)泄露的風(fēng)險。

針對信息泄露的風(fēng)險，管控良好的中小銀行對涉及用戶隱私和交易數(shù)據(jù)采取了數(shù)據(jù)脫敏、數(shù)據(jù)防泄漏、虛擬桌面、終端管控等機制，較大程度保證數(shù)據(jù)不落地，并對業(yè)務(wù)部門落實使用過程中的保密管理要求；對于涉及客戶信息的保密安全意識方面，很多銀行采取保密安全意識培訓(xùn)、在工作場所懸掛保密要求、在電梯內(nèi)和樓梯間播放相關(guān)信息保密宣傳視頻等方式提升信息安全意識。

二、安全管理職能

《指引》第二十一條規(guī)定，商業(yè)銀行信息科技部門應(yīng)落實信息安全管理職能并制定信息安全策略。目前絕大多數(shù)中小商業(yè)銀行的信息科技部門都成立了專門的信息安全團隊承擔(dān)信息安全管理職能，負責(zé)本行信息安全策略和管制制度制定、安全防控體系建設(shè)，組織信息安全風(fēng)險評估和日常安全運營工作；部分領(lǐng)先的中小銀行，建立了主動安全攻擊團隊，專門負責(zé)本行業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)的漏洞挖掘和修補建議。

從合規(guī)的角度，幾乎所有銀行都制定了安全管理策略和安全管理制度，但普遍存在的問題是安全策略和安全制度的全面性和可實施性存在不足；根據(jù)我們的觀察和實踐，總會找到某些管理環(huán)節(jié)缺乏明確的安全管理要求；總是會有些安全管理制度停留在紙面，管理規(guī)定的落實不具備可審計性。

領(lǐng)先的銀行業(yè)金融機構(gòu)非常重視信息安全策略和制度的完備性，基于安全是涉及系統(tǒng)全生命周期各個環(huán)節(jié)，涉及信息系統(tǒng)的各個組成組件，一般比較良好的安全管理制度在制定的時候，我們發(fā)現(xiàn)都有如下三個特點，一是全面性，既涵蓋信息科技全生命周期的所有管理活動，又包含信息系統(tǒng)所有組成單元；二是一致性，即針對某一個特定管理環(huán)節(jié)或者特定資產(chǎn)組件的安全管理規(guī)定在所有制度中是一致的，沒有歧義和沖突；三是可操作性，所有的管理規(guī)定都是基于可落地的實操層面的提煉，要么借助技術(shù)手段實現(xiàn)強制落地；要么通過具體的管理規(guī)定規(guī)范人員操作；不流于形式，管理規(guī)定的落地具備可審計性。

三、訪問控制機制

《指引》第二十二條規(guī)定，商業(yè)銀行應(yīng)建立有效管理用戶認證和訪問控制的流程。對于當(dāng)下的銀行而言，用戶認證機制和訪問控制機制都是普遍采取的安全控制機制，但具體落地和使用場景非常多，也非常復(fù)雜；包括但不限于面向銀行客戶（含對公客戶和對私客戶）的用戶認證和訪問控制機制；面向銀行各業(yè)務(wù)部門和業(yè)務(wù)合作伙伴的用戶認證和訪問控制；面向銀行內(nèi)部參與信息系統(tǒng)管理人員的用戶認證和訪問控制；在具體技術(shù)方面，主要采取的用戶認證機制包括但不限于生物特征認證、證書認證、動態(tài)口令、普通密碼等方式，認證強度跟系統(tǒng)的重要性程度和具體訪問場景相關(guān)，如重要交易系統(tǒng)的訪問以及通過互聯(lián)網(wǎng)渠道的訪問的場景，通常會選擇用戶名加證書或者一次性動態(tài)口令的方式，認證機制普遍較強，同時，面向銀行客戶的認證機制還會結(jié)合交易反欺詐的檢測機制附加一些帶外的認證來保證客戶資金安全；而對于內(nèi)網(wǎng)中的辦公系統(tǒng)大多采用用戶名和口令的方式；對于本地重要系統(tǒng)或本地重要訪問環(huán)境的訪問，大多會參與生物識別的方式；此外，在銀行內(nèi)部訪問控制機制上采用了包括但不限于堡壘機、IAM（統(tǒng)一身份和訪問管理）平臺、網(wǎng)絡(luò)訪問控制、邊界訪問控制、VPN等等。

對于銀行如此復(fù)雜的用戶認證和訪問控制體系，要想沒有一點管理漏洞其實很難，因為不僅是技術(shù)本身會有缺陷，而且還涉及人的管理漏洞和意識漏洞；我們在一些內(nèi)網(wǎng)的安全評估項目和滲透測試服務(wù)過程中，會經(jīng)常重復(fù)的發(fā)現(xiàn)一些常規(guī)的管理薄弱環(huán)節(jié)；例如訪問控制機制沒有涵蓋所有要管理的信息系統(tǒng)或資產(chǎn)；例如密碼/令牌的保管和使用不符合管理要求；網(wǎng)絡(luò)訪問或邊界控制機制不嚴格；行內(nèi)/行外系統(tǒng)間功能集成缺乏或安全認證機制薄弱；人員調(diào)崗/離崗/外包人員離場帶來的賬號變更問題；業(yè)務(wù)系統(tǒng)功能的授權(quán)訪問控制細粒度不足；非重要信息系統(tǒng)或非重要區(qū)域信息系統(tǒng)的訪問控制機制薄弱導(dǎo)致的衍生問題等等。

從行業(yè)良好實踐角度，我們發(fā)現(xiàn)中小銀行在訪問控制機制方面做的比較優(yōu)秀的機構(gòu)，主要在如下幾方面做了更多的工作：一是集約管理，由統(tǒng)一的安全管理部門牽頭，來制定和落實全行統(tǒng)一的信息系統(tǒng)訪問控制機制和標準；二是加強信息資產(chǎn)的全面安全治理，梳理建立全行范圍的資產(chǎn)清單，為全面的信息系統(tǒng)訪問控制打好基礎(chǔ)，保證沒有遺漏以及未納入管理體系的資產(chǎn)；三是不斷積累問題場景采取技術(shù)化手段來發(fā)現(xiàn)和解決管理問題，例如最近在行業(yè)內(nèi)興起網(wǎng)絡(luò)空間資產(chǎn)自動探測和發(fā)現(xiàn)工具、訪問控制設(shè)備策略梳理工具、以及基于內(nèi)外部用戶行為模式發(fā)現(xiàn)潛在惡意登錄和操作行為的工具；四是借助內(nèi)外部資源，加強檢查和評估，查漏補缺。

四、物理安全保護區(qū)域

《指引》第二十三條規(guī)定，商業(yè)銀行應(yīng)確保設(shè)立物理安全保護區(qū)域，包括計算機中心或數(shù)據(jù)中心、存儲機密信息或放置網(wǎng)絡(luò)設(shè)備等重要信息科技設(shè)備的區(qū)域，明確相應(yīng)的職責(zé)，采取必要的預(yù)防、檢測和恢復(fù)控制措施。

從我們的觀察來看，目前商業(yè)銀行在數(shù)據(jù)中心的建設(shè)的投入和防護方面是優(yōu)秀的行業(yè)之一。普遍建立了滿足A類機房標準的數(shù)據(jù)中心，各種硬件設(shè)施以及機房配套設(shè)施都很完備；區(qū)域劃分基本合理；建立了專業(yè)的數(shù)據(jù)中心運維管理團隊，一般都建立了7*24小時的值班和巡檢機制，數(shù)據(jù)機房的物理訪問控制一般都很嚴格。

對于中小銀行業(yè)金融機構(gòu)，目前普遍存在的問題是“兩地三中心”的數(shù)據(jù)中心架構(gòu)中，主機房條件較好管控較嚴，而同城或異地的備份數(shù)據(jù)中心管控相對要松一些；例如，同城災(zāi)備機房和異地機房往往沒有做良好的區(qū)域劃分；也做不到了7*24小時的值班和巡檢機制。在監(jiān)管推動重視業(yè)務(wù)連續(xù)性管理以及多活數(shù)據(jù)中心技術(shù)的成熟應(yīng)用的背景下，每個數(shù)據(jù)中心都同時承擔(dān)了生產(chǎn)的重任，能否做到“一視同仁”對于中小銀行是個不小的投入。

五、邏輯安全域

《指引》第二十四條規(guī)定，商業(yè)銀行應(yīng)根據(jù)信息安全級別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域。目前中小銀行的網(wǎng)絡(luò)普遍分為生產(chǎn)網(wǎng)、開發(fā)測試網(wǎng)和辦公網(wǎng)等獨立或者邏輯隔離的網(wǎng)段；其中生產(chǎn)網(wǎng)比較典型的邏輯安全域劃分一般包括互聯(lián)網(wǎng)業(yè)務(wù)區(qū)、分支機構(gòu)互聯(lián)區(qū)、核心業(yè)務(wù)區(qū)、非核心業(yè)務(wù)區(qū)、外聯(lián)業(yè)務(wù)區(qū)、運維管理區(qū)、核心交換區(qū)、災(zāi)備系統(tǒng)接入?yún)^(qū)等；

從網(wǎng)絡(luò)隔離控制的角度，目前大多數(shù)銀行的生產(chǎn)網(wǎng)和開發(fā)測試網(wǎng)以及辦公網(wǎng)大多通過防火墻或網(wǎng)閘進行邏輯隔離，也有些銀行把生產(chǎn)網(wǎng)同其他網(wǎng)絡(luò)做了物理隔離或者準物理隔離；生產(chǎn)網(wǎng)段，各個區(qū)域邊界普遍采取網(wǎng)絡(luò)防火墻做邏輯隔離，各個區(qū)域一般會部署網(wǎng)絡(luò)入侵防護系統(tǒng)；互聯(lián)網(wǎng)業(yè)務(wù)區(qū)一般會采取負載均衡、邊界防火墻、入侵防護、流量清洗、WEB應(yīng)用防火墻等傳統(tǒng)訪問控制機制進行重點防控；目前也有很多銀行在互聯(lián)網(wǎng)網(wǎng)關(guān)部署威脅情報檢測和阻斷機制?？紤]到生產(chǎn)網(wǎng)系統(tǒng)復(fù)雜多樣，大多數(shù)銀行在核心交換上很少配置訪問控制策略（ACL）。此外在網(wǎng)絡(luò)安全攻擊檢測方面，普遍采取基于流量分析的監(jiān)測和預(yù)警機制，在互聯(lián)網(wǎng)業(yè)務(wù)區(qū)，部署網(wǎng)絡(luò)誘捕系統(tǒng)（蜜罐）也是一個趨勢。

我們觀察到，銀行生產(chǎn)網(wǎng)絡(luò)的邏輯安全域的防護和監(jiān)測機制手段總體比較豐富，面向互聯(lián)網(wǎng)區(qū)的防護體系是重中之重；相比較而言，開發(fā)測試網(wǎng)和辦公網(wǎng)的防護相對薄弱，尤其在開發(fā)測試網(wǎng)和辦公網(wǎng)同生產(chǎn)網(wǎng)數(shù)據(jù)交互的大背景下，間接對生產(chǎn)網(wǎng)的防護帶來了壓力?？紤]到銀行業(yè)務(wù)的不斷發(fā)展，對信息科技的依賴越來越大，外包和項目人員持續(xù)增加，對辦公測試網(wǎng)絡(luò)的訪問需求越來越復(fù)雜，來自于該區(qū)域的敏感信息泄漏以及通過開發(fā)測試辦公網(wǎng)作為跳板來攻擊生產(chǎn)網(wǎng)的可能性越來越大。

領(lǐng)先的中小銀行認識到當(dāng)前來自非生產(chǎn)網(wǎng)帶來的敏感信息泄漏可能造成的影響和危害，推動全行統(tǒng)一網(wǎng)絡(luò)管控策略，加強辦公測試網(wǎng)絡(luò)敏感信息的保護，尤其加強來自各分支機構(gòu)以及外包單位和個人對開發(fā)測試辦公網(wǎng)絡(luò)的訪問控制，對于因業(yè)務(wù)需要而進入辦公測試網(wǎng)絡(luò)的非脫敏生產(chǎn)數(shù)據(jù)以及相關(guān)服務(wù)器尤其加強管控，嚴格網(wǎng)絡(luò)訪問控制，確保存儲敏感數(shù)據(jù)的辦公和測試服務(wù)器不遭受非授權(quán)訪問。同時加強辦公和測試網(wǎng)的補丁和漏洞管理，防止通過網(wǎng)絡(luò)攻擊獲取敏感信息。加強針對部門級信息服務(wù)站點的管控機制，禁止部門或個人在辦公測試網(wǎng)絡(luò)中私搭亂建非授權(quán)的站點；對辦公網(wǎng)絡(luò)中的資產(chǎn)進行普查和備案，確保辦公測試網(wǎng)絡(luò)中的資產(chǎn)得到充足的識別和防護。此外一些基于生產(chǎn)網(wǎng)的一些防控機制也適當(dāng)在生產(chǎn)開發(fā)測試網(wǎng)進行應(yīng)用，例如監(jiān)測檢測類機制和手段。

安全部分的現(xiàn)狀觀察未完待續(xù)，我們下期會分享中小銀行信息（業(yè)務(wù)）系統(tǒng)安全、日志安全、信息加密、終端設(shè)備安全、數(shù)據(jù)安全、安全意識部分的現(xiàn)狀觀察。

本文內(nèi)容來自盛邦安全對中小金融機構(gòu)信息科技風(fēng)險管理現(xiàn)狀的觀察與調(diào)研，難免管中窺豹，其中不全面或不當(dāng)之處歡迎大家交流指正，也請各位不要對號入座。針對中小金融機構(gòu)信息科技風(fēng)險管理現(xiàn)狀觀察的系列文章將陸續(xù)發(fā)布，敬請期待。