金融信息安全保护——基本原则与系统安全详解

 基本原则和系统安全的各项要求，适用于传统金融行业、互联网金融行业、消费金融行业等企业或机构。作为标准的一部分，学习并运用，除了满足合规性要求外，更能提升其信息安全能力和水平。

基本原则

信息（数据、指令、消息、报告等）基本原则：

1、准确性

准确性是信息和数据与真实情况的接近程度。金融信息服务提供商应保证提供金融信息真实、准确，信息的表述不会引起歧义，能够反映信息的真实状态，不得有虚假记载或误导性陈述。

2、完整性

完整性是信息在存贮和传输的过程中，不被非法授权修改、破坏, 插入、延迟、乱序和丢失的特性。金融信息服务提供商对金融信息进行采集、加工、处理和提供时应保证信息要素完整，没有有重大遗漏、或者信息歪曲失真的情况发生。3、

3、可用性

可用性是授权实体在需要时可访问和可使用的性质。金融信息服务提供商应保证提供金融信息服务的网络、信息系统随时可用，使合法授权的用户可以及时获取所需的金融信息。

信息服务（向从事分析、决策、交易、清算等金融行业以及相关机构和个人，提供可能影响金融活动和金融市场的信息、数据、软件以及相关信息技术等方面的服务）基本原则

1、时效性

时效性是信息仅在一定时间段内对决策具有价值的属性。金融信息服务提供商应保证金融信息及时提供和更新。针对不同级别用户可以划分优先等级。

2、可信性

可信性是提供确实可信服务的综合能力。金融信息服务提供商应保证所提供的金融信息来源明确，金融信息加工处理经过审核确认。

3、合规性

合规性是符合并遵守法律、政策、规章、程序及合同的能力。金融信息服务提供商在采集、加工、处理和提供信息时不应违反知识产权、著作权等法律法规要求；

信息安全基本要求：

1、不可否认性

不可否认性是一个活动或事件已经发生，且不可否认的能力。金融信息服务提供商应通过身份认证、数字签名等技术保证所提供的金融信息服务不可被否认，并可以追溯金融信息的提供方、提供时间、接收方等信息。

2、保密性

保密性是信息对未授权的个人、实体或过程不可用或不可泄漏的特性。金融信息服务提供商应通过完备的信息安全体系，保证未授权者无法使用信息，在信息使用和传输过程中不会被非法泄漏而扩散。

3、可控性

可控性是信息的传播及内容具有控制能力的特性。金融信息服务提供商必须掌握、控制信息的流向、使用范围等，以便国家相关监管部门审查。包括不限于信息可控性，授权机关可以随时控制信息的机密性；访问可控性，每一个用户只能访问自己被授权可以访问的信息；等级可控性，系统中可利用的信息及资源应当划分保密等级。

金融信息

金融信息服务系统安全

1、基础设施安全

在网络安全方面，按照国家网络安全相关规定和国家信息安全等级保护制度的要求，金融信息服务提供商应遵循《计算机信息网络国际联网安全保护管理办法》，开展信息系统安全管理工作。包括不限于以下几方面：

a)在计算机硬件设施方面，金融信息服务提供商应采取措施保障WEB服务器、应用服务器、数据库服务器等安全，建立完善的网络安全设施和安全管理方案，建立及时更新的防病毒系统，保护系统和数据库的安全；

b)金融信息服务提供商应具有较为完善的信息安全设施，如网络防火墙、入侵检测、病毒防范、数据加密以及灾难恢复等信息安全软硬件系统，并设专门人员进行日常管理与维护；

a)具有特许经营权的金融信息服务提供商如交易所、中央登记结算公司等的机房选址应遵守国家有关规定；

b)金融信息服务提供商业务相关的计算机系统，不得处理与本系统业务无关的业务。因特殊情况需要承担其它业务的，应由主管部门批准。

2、软件安全

金融信息服务提供商应制定一套完整的软件安全解决方案，包括不限于以下几方面：

a)在服务器端对系统软件、应用软件及其配置进行定期备份，并做好相应的记录；

b)及时掌握系统及应用软件公布的软件漏洞，并进行更新修正；

c)对所有的系统软件、应用软件操作执行审计日志，并定期对日志进行分析，发现问题及时处理。

3、网络安全

金融信息服务提供商应具有网络安全保护意识，具备网络安全保护能力。包括不限于以下几方面：

a)端口扫描、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等网络攻击的防护；

a)采取系统访问控制、数据保护和系统安全保密监控管理等技术措施，未采取安全保密措施的数据库不得联网。

b)已与国际计算机网络联网的计算机信息系统，应建立严格的管理制度；联网单位要指定专人对上网信息进行保密检查；

c)任何涉及国家安全的金融信息不得在与国际网络联网的计算机信息系统中存储、处理、传递。

4、数据安全

金融信息服务提供商应制定完整的数据安全解决方案，包括不限于以下几方面：

a)金融信息数据资料的分类存储、恢复、调用、加密等技术措施；

b)检测金融信息和数据在采集、加工、处理、存储、传输和使用过程中完整性是否受到破坏，并在检测到完整性错误时采取必要的恢复措施；

c)提供本地数据备份与恢复功能，采用实时备份与异步备份或增量备份与完全备份的方式。备份介质应妥善存放保管；

d)具备数据安全传输解决方案，以安全的网络、会话管理和恢复特性等来确保数据安全和数据传输安全。

5、运行安全

金融信息服务提供商应制定并依据运维制度开展日常工作，内容包括总体安全策略、安全技术框架、安全管理策略、机房管理制度、系统维护制度、安全需求分析和详细设计方案等。

金融信息服务提供商应制定应急工作预案，对故障恢复相关事宜做出规定。

6、容灾和恢复

金融信息服务提供商应制定完备的容灾恢复方案，对容灾备份的方式、频度、存储介质、保存期等进行规范。包括不限于以下几方面：

a) 根据数据的重要性，制定数据的容灾备份策略和恢复策略，备份策略应指明容灾备份数据的放置场所、文件命名规则、介质替换频率等内容；

b) 定期对容灾备份数据有效性进行检查，备份数据应异地保存；

c) 建立控制容灾数据备份和恢复过程的程序，定期进行数据灾备恢复切换演练。

但我们对互联网越来越依赖的同时，各种信息安全风险也越来越突出。各种安全事件层出不穷，到底是骗子太狡猾，还是人民太单纯？信息安全问题也需要引起大家足够的重视。

从技术演进的趋势来看，互联网+模式的发展，对IT与技术的依赖程度越来越高。根据我们的数据统计，从80年代到现在，地下产业链的攻击手法是不断在进化的，比如：

80年代：密码猜测、破解等是主流的攻击方式。

90年代：会话劫持、后门入侵等是主流的攻击方式。

2010年之前：远程控制、DDOS攻击、SQL注入等是主流的攻击方式。

2010年之后：APT攻击、社会工程学、移动终端、云攻击、撞库攻击等各种新型攻击手段更是层出不穷。

其实，安全从来都不是简单的技术问题，一家企业要想不被黑是非常困难的，这不仅要防御做得好，本身内部的问题也得解决好，包括漏洞的及时修补，运维的规范性，人员的意识，安全的流程等等，这是个复杂的工作，需要很好的系统支撑+专业服务才能做到。

目前，大多数企业在安全保护方面会优先集中在拦截和防御（例如反病毒）以及基于策略的控制（如防火墙），试图将危险拦截在外。然而，完美的防御是不可能。高级定向攻击总能轻而易举地绕过传统防火墙和基于黑白名单的预防机制。而且传统安全产品硬件的形态在边界提供防护，只能有限的部署在一个网络范围之内，缺乏业务系统内部安全分析和加固的能力，没有办法将安全问题从根本上解决。同时也无法给云计算提供安全防护和统一设备管理的解决方案，多个数据中心的硬件安全设备无法统一管理和收集数据进行统一分析。产品的更新需要更换设备，造成使用成本提升。

另外，很多IT人员甚至中高层领导，对信息安全的理解仍旧停留在2010年之前的意识水平上，远远跟不上安全行业的飞速发展趋势。这些问题，在技术层面，需要我们对技术演进趋势要有着比较深刻的认识与了解。在意识层面，要提高全体员工尤其是中高级管理人员对IT与安全的了解与认识。

据外媒报道，2015年2月6日美国第二大健康保险企业安生公司当地时间5日发表声明说，该公司电脑遭黑客攻击，多达8000万顾客的关键信息有可能遭盗窃。黑客进入安生电脑系统，获取包括顾客名字、生日、医疗卡号、社安号、住址、电邮地址和收入在内等数据信息。 随后，美国总统奥巴马就安生公司客户数据被盗一事表态，督促国会尽快行动，以加强对客户数据的保护。安生健康保险公司曾在2010年因电脑遭入侵泄露 61.2万名客户的个人信息，导致被罚款170万美元。5年后，在同一个地方又遇此一劫，吃一堑长一智的道理希望能唤起该公司高层领导的深思与反省。

Atos 2016-2019技术发展趋势图

 那么，什么是真正面向未来的安全呢？

首先，真正的安全应该是自适应安全。

这就要求企业的安全产品不仅要解决当前的安全问题，还要未来可扩展。这就意味着，规划安全体系一定要先考虑企业日益变化复杂的IT环境和业务变化，并可应对专业组织化的高级攻击行为为目标。

企业需要清醒地认识到一点，随着虚拟化和云计算的发展，IT基础设施作为信息安全的承载板块，其形态和使用方法已发生根本性改变，现在，企业对业务在什么环境中运行有太多选择，包括VMs、物理设备、容器，甚至公有云、私有云或混合云。这些多样化的基础设施使得安全问题变得越来越复杂和动态.

所以，企业对安全防护的规划设计上需要前瞻性地脱离对基础设施的依赖，防护能力要从物理层上升到业务逻辑层次，这样才能很好地应对未来的安全挑战。

其次，真正的安全应该是具有“自学习”功能的安全。

要求能够对企业业务数据进行多维度学习，通过这种功能，一段时间后企业就能建立起“正常”的行为模式，随着时间的推移，系统会持续学习，自动评估模型建立的准确性，改进识别的精确度，并且利用数据分析来发掘真正偏离正常的异常行为过程。通过这种”自学习”构建安全模型，分析内外异常行为，捕捉并阻止各种攻击事件。

在实际操作中，如何将安全专家的经验和实施自动化，是企业安全产品的一个核心课题。目前最佳解决方法是“人机协作”，在帮助安全专家从繁琐低级工作中解放出来的基础上，提供给他们智能的机器学习系统，用于共同构建业务的正常行为模式，包括梳理业务单元、行为模式、访问关系、设置行为锚点等，这样的积累梳理将真正构建企业安全以数据驱动的强大能力。

再次，真正的安全应该是打通底层安全体系的生态型安全。

这就需要安全厂商之间能够系统整合，建立起安全的生态系统，从底层做起，打通底层基础安全架构，并能开放出安全能力接口实现互相融合，真正实现安全功能的虚拟化和能力化。据了解，目前包括阿里、腾讯等互联网企业，在自己做好安全建设的同时，也开始建立安全生态，并和绿盟、青藤云安全、安恒等一批技术领先的专业安全公司展开生态合作。

欧美信息科技行业数十年的发展打造了一大批在某个垂直领域上都非常先进的安全产品，尽管有些标准试图在激励和打造安全产品之前的信息互通和协同，但整体上，对于不同厂商不同产品的“安全孤岛”问题，企业已经感到难以忍受。2016年，RSA大会将主题定为“Connect to Protect”，就是希望企业安全产业链能够推动信息互通和协同联动，以共同应对在合作上更胜一筹的黑色产业链。

“Connect to Protect”的基础在于安全能力的虚拟化和生态化。这也是自适应安全体系在实现轻量弹性安全能力的核心。自适应安全体系下的企业安全应该能够在清晰业务资产和关系模式的基础上，快速生成契合自身业务的防护体系，体系中的任何一个安全功能都可以按需开启，灵活切换。安全专家在应对攻击时，不仅可以调用自己的安全能力，还可以依靠自适应体系中近乎无限的安全能力按需获取。

最后，真正的安全应该是可度量、可视化的安全。

企业安全产品应该提供友好易用的界面和操作方式，将安全人员从繁琐的救火及跟进部署中解放出来，但更重要的是在产品产品中，改变基于任务事件的安全工作思想，重新构建以风险驱动的安全管理理念。

企业安全的工作成绩和效果如何考量？是安全团队发展和管理的一个重要问题。当安全团队内外，特别是上级管理部门都不能清晰感知安全工作的效用时，企业安全的发展必然非常缓慢。

目前很多企业产品都意识到这一点，并纷纷构建基于风险指数的管理视图，综合外部威胁情报、内部风险薄弱点评估、核心资产价值评估、安全资源等多个因素形成全局报表，并呈现出可衡量、具备指导性的风险指数和改善建议。