基金行业对信息和数据高度依赖，随着现代信息技术与业务的深度融合，金融科技对行业的发展起到了越来越重要的作用。尤其是余额宝上线以来，技术部门开始走向前台，通过不断引进云计算、大数据、AI等创新技术，实现为业务赋能。然而，新技术的深度应用在给行业发展带来机遇的同时也给信息安全工作带来了新的挑战。安全是金融行业生存的底线，不容许出现任何问题，一旦系统出现风险，一旦数据出现泄露，将带来不可估量的损失。

建立健全信息安全管理体系是信息安全建设可持续发展的保障，基金公司信息安全的组织如何保障基金业务？信息安全技术架构建设以及混合云下如何进行安全架构设计？如何解决云的信息安全问题？基金公司信息安全管理如何落地？

近日安全牛有幸采访了天弘基金信息技术总监韩海潮，就以上问题进行了深入谈论和交流，以下是主要内容。

天弘基金信息技术总监韩海潮

韩海潮：信息安全管理不仅仅只限于规定信息安全部门的人员配置，工作职责、流程制度，更重要的是有相应的高层级的组织保障，这是制定安全标准、流程的依据，是实施信息安全技术架构的基础，更是信息安全有效运营的核心。

基金公司的信息安全管理部门的主要职责包括信息安全管理、信息安全服务、基础架构安全、数据安全以及终端安全五部分。其中信息安全管理包括体系建设保障推行以及培训、改进跟踪和评价工作；信息安全服务包括脆弱性分析、安全风险评估、安全事件管理、监管对接和内审；基础架构安全包括网络安全、主机安全、应用安全三个方面；数据安全包括数据分级分类、数据标签、加解密水印，数据流向管理（dlp，数据分发平台，数据查询平台）；终端安全包括客户端安全加固、准入、上网行为、及防病毒等工作。

韩海潮：一个良好的安全技术基础架构能有效的推动和保障信息安全管理。经过摸索和实践，逐步形成一套行业特色的信息安全标准和方法论。这种信息安全技术架构的建设方法其特点是以资产防护为中心，横向、纵向组成的一个安全控制矩阵，体系框架通用性比较强。主要包括以下几个方面：1、数据安全、应用安全、主机安全、网络安全、终端安全和物理安全六大安全域的划分；2、基于安全防护、监控检测、审计跟踪和响应恢复的过程管控；3、通过搭建了安全运营中心SOC，确保发现安全问题迅速得到解决。

如下图所示：

物理安全方面通过实施物理隔离、访问控制、视频监控以及空调、电力等保障提升数据中心的安全性；网络安全风险防控方面通过部署异构防火墙，抗DDOS，运营商流量清洗、流量分析、蜜罐、横向微隔离以及边界管理等实现24小时对内、外部攻击的精准防护和有效检测。终端安全方面通过防病毒体系、DLP、终端准入管理、上网行为管理等措施进行接入授权；主机安全通过部署堡垒机、主机安全加固、恶意代码防范以及容器安全，提升主机的稳定高效，通过部署云锁和安骑士，做最细颗粒度的边界管理；应用安全通过WAF、防篡改、漏洞管理、渗透测试、代码审计、应用基线以及安全生命周期SDL管理、以及第三方安全检测等手段提高系统的质量。数据安全方面通过实施数据安全治理，数据加密、磁盘加密、水印、数据流向审计等措施提升数据安全防控能力，通过数据库审计系统对操作行为进行记录和分析预警。

安全运营中心SOC（Security Operations Center）采用集中管理方式，统一管理安全产品，通过对收集到的安全信息进行分析、统计、和关联，及时反映被管理资产的安全情况，定位安全风险，对各类安全事件及时发现和定位。通过搭建安全运营平台，完成接入数据中心不同层级安全设备的日志（包括入侵防御设备、WEB防火墙、入侵检测设备、核心防火墙、堡垒机）、VPN日志、关键主机的日志、生产数据库的登录日志，利用SOC平台自带的关联分析规则和智能异常行为分析算法，同时结合安全场景定制安全规则，快速聚合有效高危告警，提升威胁检测的准确性，降低误报。

安全信息碎片化是安全团队面临的核心问题，不但影响效率，还会造成威胁的遗漏，无法及时响应。通过搭建SOC平台，利用其强大的人工智能、多维分析和数据可视化能力，实现了全网安全态势可视化，建立了3D态势感知展示大屏，将具体的安全事件通过3D的形式展示出攻击源，攻击路径和攻击目标，让安全人员了解攻击的来龙去脉，轻松掌控全局及各细节安全，快速应对安全事件。同时将网络流量安全分析系统与现有SOC平台集成，利用系统的智能分析能力和机器学习技术检测异常流量，速度更快、准确性更高。同时威胁情报、SOC告警进行关联分析，实现入侵检测、应用解析、会话还原、异常流量监控等功能，解决单一特征或规则匹配误报多的问题。

韩海潮：如何解决混合云的安全问题？这是企业上云前必须要想清楚的问题，因为物理环境、网络的多样性，传统的边界防护策略随着部署架构的复杂化和数据的分散而变得无效，物理和网络、数据安全问题给企业带来了新的挑战。尤其是一些系统本身跨域部署，哪怕采用专线连接，风险敞口也比传统云下暴露的多。

从建设标准来看，整体安全技术体系完整性非常重要，至少在主机、应用、网络和数据这几个安全领域采用相同的技术标准，并在此基础之利用SOC与UEBA系统进行整合，让安全管控具有全局性。其次，在架构方案中可以采用零信任的安全设计理念，包括通过交互加密与接入网关、东西向访问控制，确保用户和接入资产的权限最小化，落地云上安全域对网络切片，避免遭受攻击时威胁的扩展，以及严格的动态访问控制和安全检测。

韩海潮：信息安全建设通过安全技术架构体系的搭建，可以形成基本的防御能力，但仅通过技术手段实现的安全能力是有限的，只有有效的安全管理，才能确保技术发挥其应有的安全作用。以下是信息安全管理方面的一些经验，供借鉴。

1、加强员工安全意识教育

公司一定要重视安全教育。再昂贵和精良的安全设备和系统也很难堵住来自企业内部的风险，由于员工的信息安全意识不足而无意“泄露”信息会给企业带来不可估量的损失。从国家护网行动的经验也充分表现出，终端安全是企业信息安全建设的短板，而社会工程也是常见的攻击方式之一。企业必须通过各种手段不断提升员工的信息安专全意识，并逐步形成企业的安全文化。

2、标准化的基础信息资产管理

信息安全技术体系经常侧重于攻防体系建设，而忽略基础信息的收集，而资产管理又是运维的范畴，容易被忽视。但如果对公司暴露了哪些资产、域名、DNS信息等信息资产不能做到全面了解，就无法做好这些资产的保护，只有全面的信息资产管理，才能在出现安全事件时第一时间定位资产、责任人和分析相关影响。

3、确保控制措施的持续有效

安全设备的PDCA很重要，安全策略需要不断优化。上设备容易，用设备难。能否结合具体的使用情况将设备的功能、效力发挥出最大价值，削减误报，暴露真实问题，这才是考验安全团队运营能力的指标。安全系统部署完成只是开始，在使用过程中要根据实际情况进行不断的分析总结以及对安全策略不断的优化、更新。

4、数据资产分级和数据治理

数据资产已经逐步成为企业的战略资源，信息安全工作的重要目标就是保护数据这些资产，从基础的数据分级分类、梳理数据血缘关系，到推动系统之间消除过度冗余，最后到平台架构的整合，有效的数据治理是数据资产形成以及落地数据安全的必要条件。