基金行業對信息和數據高度依賴，隨着現代信息技術與業務的深度融合，金融科技對行業的發展起到了越來越重要的作用。尤其是餘額寶上線以來，技術部門開始走向前臺，通過不斷引進雲計算、大數據、AI等創新技術，實現爲業務賦能。然而，新技術的深度應用在給行業發展帶來機遇的同時也給信息安全工作帶來了新的挑戰。安全是金融行業生存的底線，不容許出現任何問題，一旦系統出現風險，一旦數據出現泄露，將帶來不可估量的損失。

建立健全信息安全管理體系是信息安全建設可持續發展的保障，基金公司信息安全的組織如何保障基金業務？信息安全技術架構建設以及混合雲下如何進行安全架構設計？如何解決雲的信息安全問題？基金公司信息安全管理如何落地？

近日安全牛有幸採訪了天弘基金信息技術總監韓海潮，就以上問題進行了深入談論和交流，以下是主要內容。

天弘基金信息技術總監韓海潮

韓海潮：信息安全管理不僅僅只限於規定信息安全部門的人員配置，工作職責、流程制度，更重要的是有相應的高層級的組織保障，這是制定安全標準、流程的依據，是實施信息安全技術架構的基礎，更是信息安全有效運營的核心。

基金公司的信息安全管理部門的主要職責包括信息安全管理、信息安全服務、基礎架構安全、數據安全以及終端安全五部分。其中信息安全管理包括體系建設保障推行以及培訓、改進跟蹤和評價工作；信息安全服務包括脆弱性分析、安全風險評估、安全事件管理、監管對接和內審；基礎架構安全包括網絡安全、主機安全、應用安全三個方面；數據安全包括數據分級分類、數據標籤、加解密水印，數據流向管理（dlp，數據分發平臺，數據查詢平臺）；終端安全包括客戶端安全加固、准入、上網行爲、及防病毒等工作。

韓海潮：一個良好的安全技術基礎架構能有效的推動和保障信息安全管理。經過摸索和實踐，逐步形成一套行業特色的信息安全標準和方法論。這種信息安全技術架構的建設方法其特點是以資產防護爲中心，橫向、縱向組成的一個安全控制矩陣，體系框架通用性比較強。主要包括以下幾個方面：1、數據安全、應用安全、主機安全、網絡安全、終端安全和物理安全六大安全域的劃分；2、基於安全防護、監控檢測、審計跟蹤和響應恢復的過程管控；3、通過搭建了安全運營中心SOC，確保發現安全問題迅速得到解決。

如下圖所示：

物理安全方面通過實施物理隔離、訪問控制、視頻監控以及空調、電力等保障提升數據中心的安全性；網絡安全風險防控方面通過部署異構防火牆，抗DDOS，運營商流量清洗、流量分析、蜜罐、橫向微隔離以及邊界管理等實現24小時對內、外部攻擊的精準防護和有效檢測。終端安全方面通過防病毒體系、DLP、終端准入管理、上網行爲管理等措施進行接入授權；主機安全通過部署堡壘機、主機安全加固、惡意代碼防範以及容器安全，提升主機的穩定高效，通過部署雲鎖和安騎士，做最細顆粒度的邊界管理；應用安全通過WAF、防篡改、漏洞管理、滲透測試、代碼審計、應用基線以及安全生命週期SDL管理、以及第三方安全檢測等手段提高系統的質量。數據安全方面通過實施數據安全治理，數據加密、磁盤加密、水印、數據流向審計等措施提升數據安全防控能力，通過數據庫審計系統對操作行爲進行記錄和分析預警。

安全運營中心SOC（Security Operations Center）採用集中管理方式，統一管理安全產品，通過對收集到的安全信息進行分析、統計、和關聯，及時反映被管理資產的安全情況，定位安全風險，對各類安全事件及時發現和定位。通過搭建安全運營平臺，完成接入數據中心不同層級安全設備的日誌（包括入侵防禦設備、WEB防火牆、入侵檢測設備、核心防火牆、堡壘機）、VPN日誌、關鍵主機的日誌、生產數據庫的登錄日誌，利用SOC平臺自帶的關聯分析規則和智能異常行爲分析算法，同時結合安全場景定製安全規則，快速聚合有效高危告警，提升威脅檢測的準確性，降低誤報。

安全信息碎片化是安全團隊面臨的核心問題，不但影響效率，還會造成威脅的遺漏，無法及時響應。通過搭建SOC平臺，利用其強大的人工智能、多維分析和數據可視化能力，實現了全網安全態勢可視化，建立了3D態勢感知展示大屏，將具體的安全事件通過3D的形式展示出攻擊源，攻擊路徑和攻擊目標，讓安全人員瞭解攻擊的來龍去脈，輕鬆掌控全局及各細節安全，快速應對安全事件。同時將網絡流量安全分析系統與現有SOC平臺集成，利用系統的智能分析能力和機器學習技術檢測異常流量，速度更快、準確性更高。同時威脅情報、SOC告警進行關聯分析，實現入侵檢測、應用解析、會話還原、異常流量監控等功能，解決單一特徵或規則匹配誤報多的問題。

韓海潮：如何解決混合雲的安全問題？這是企業上雲前必須要想清楚的問題，因爲物理環境、網絡的多樣性，傳統的邊界防護策略隨着部署架構的複雜化和數據的分散而變得無效，物理和網絡、數據安全問題給企業帶來了新的挑戰。尤其是一些系統本身跨域部署，哪怕採用專線連接，風險敞口也比傳統雲下暴露的多。

從建設標準來看，整體安全技術體系完整性非常重要，至少在主機、應用、網絡和數據這幾個安全領域採用相同的技術標準，並在此基礎之利用SOC與UEBA系統進行整合，讓安全管控具有全局性。其次，在架構方案中可以採用零信任的安全設計理念，包括通過交互加密與接入網關、東西向訪問控制，確保用戶和接入資產的權限最小化，落地雲上安全域對網絡切片，避免遭受攻擊時威脅的擴展，以及嚴格的動態訪問控制和安全檢測。

韓海潮：信息安全建設通過安全技術架構體系的搭建，可以形成基本的防禦能力，但僅通過技術手段實現的安全能力是有限的，只有有效的安全管理，才能確保技術發揮其應有的安全作用。以下是信息安全管理方面的一些經驗，供借鑑。

1、加強員工安全意識教育

公司一定要重視安全教育。再昂貴和精良的安全設備和系統也很難堵住來自企業內部的風險，由於員工的信息安全意識不足而無意“泄露”信息會給企業帶來不可估量的損失。從國家護網行動的經驗也充分表現出，終端安全是企業信息安全建設的短板，而社會工程也是常見的攻擊方式之一。企業必須通過各種手段不斷提升員工的信息安專全意識，並逐步形成企業的安全文化。

2、標準化的基礎信息資產管理

信息安全技術體系經常側重於攻防體系建設，而忽略基礎信息的收集，而資產管理又是運維的範疇，容易被忽視。但如果對公司暴露了哪些資產、域名、DNS信息等信息資產不能做到全面瞭解，就無法做好這些資產的保護，只有全面的信息資產管理，才能在出現安全事件時第一時間定位資產、責任人和分析相關影響。

3、確保控制措施的持續有效

安全設備的PDCA很重要，安全策略需要不斷優化。上設備容易，用設備難。能否結合具體的使用情況將設備的功能、效力發揮出最大價值，削減誤報，暴露真實問題，這纔是考驗安全團隊運營能力的指標。安全系統部署完成只是開始，在使用過程中要根據實際情況進行不斷的分析總結以及對安全策略不斷的優化、更新。

4、數據資產分級和數據治理

數據資產已經逐步成爲企業的戰略資源，信息安全工作的重要目標就是保護數據這些資產，從基礎的數據分級分類、梳理數據血緣關係，到推動系統之間消除過度冗餘，最後到平臺架構的整合，有效的數據治理是數據資產形成以及落地數據安全的必要條件。