伴随着《网络安全法》的正式颁布实施，金融信息系统成为国家关键信息基础设施，国家高度重视并在主管责任、安全建设、数据保护等方面明确了更高要求。人行也高度重视金融信息系统网络安全工作，在《中国金融业信息技术“十三五”发展规划》中，将健全网络安全防护体系作为十三五重点任务。

为了更好的落实相关要求切实提高金融信息系统网络安全能力，本文在浅析金融信息系统网络安全挑战、业界应对措施研究实践趋势的基础上，为持续增强金融信息系统网络安全能力尝试提出了两点建议

一、金融信息系统网络安全挑战

全球网络威胁不断深化

近年来，全球网络空间安全威胁呈现新的变化，APT等一些新型网络威胁正呈现全球蔓延的态势。据统计，通过互联网攻击手段实施金融犯罪活动已经成为金融犯罪的重要手段，金融组织机构也成为网络犯罪分子的首选目标。同时，网络黑产给全球所带来的安全挑战愈加严峻。利用互联网攻击技术进行偷盗、诈骗、敲诈等各种案件不断发生，相关案件数每年以超过30%的增速增长。围绕互联网的黑灰产业正以极快的速度蔓延且在各国之间相互渗透。“网络黑产从业人员”呈级数增长，“市场规模”也已高达千亿级别。

业技融合及金融科技的发展带来更多挑战

在“互联网+”的时代背景下，业技融合创新了金融服务与产品，其技术架构逐渐向“分布式、微服务、CloudNative、开源、大数据、区块链”等新技术趋势转变，但同时也给金融信息系统网络安全带来挑战，例如：传统金融产品线上化的“开放”，对业务运营及风控体系的监测响应处置提出更高要求，线上化带来的脆弱性暴露攻击面扩大如何应对、云计算环境中安全隔离防护控制如何强化，都是需要进行深入思考的问题。大数据成为核心资产的同时，数据泄露、滥用、丢失的风险也在不断升高。区块链、IoT等新兴技术、开源软件，爆出来的漏洞越来越多，相关的安全问题也越来越严峻。

传统网络安全威胁依然不容忽视

传统网络安全威胁依然势头不减。以分布式拒绝服务（DDoS）攻击为例，研究数据表明金融行业有36%的机构遭遇DDos攻击，且近年来呈上升趋势。同时，网络攻击流程化、普及化，黑客门槛不断降低，各类分析、扫描、破解、攻击工具可以随意下载，漏洞利用方式越发简易。金融机构每天都接受到大量的刺探性侵扰信息，安全隐患可能被不同类型恶意分子反复利用，对其造成不可估量的破坏性影响。

传统互联网边界防御体系捉襟见肘

传统的安全防御体系主要侧重在网络边界的被动性防御措施，技术的路线主要是从网络架构层面的4层边界防护、安全区域隔离，到单体防毒墙、单体IPS、WAF安全设备的并/串联部署，再到网络漏洞扫描和基本配置加固，以满足合规经典要求为主要目的。随着地下黑色产业链呈现爆发性增长，黑客攻击技术的不断翻新，传统的防御机制针对应用层攻击、高级攻击的防护效果日益降低，安全事件频频发生。

二、网络安全研究及实践趋势

为了应对上述趋势及挑战，近年来众多研究机构及金融同业提出了新的安全架构和理念，如Gartner的适应性安全架构（Adaptive SecurityArchitecture），信息安全培训及认证机构SANS的滑动标尺（Sliding Scale），美国商务部下属NIST的网络安全框架（Cybersecurity Framework），Google的零信任模型（Zero Trust Model）、工商银行的“攻防兼顾体系”等。

这些方法和框架在都在强调资源投入和安全能力，需要从传统边界防护到应用自防护监测响应转变，从外挂的防护体系到内置的与基础设施深度融合安全机制转变。简单地说，就是从“被动”到“主动”的转变。同时，业界也正在经历从ISO27001框架静态控制措施为主大而全的管理体系，到防护监测响应动态控制措施为主的攻防对抗体系转变。

Gartner 自适应安全防护架构

近年来，Gartner不断在完善其适应性安全架构模型，并通过研究报告明确提出安全投入大幅从防护领域到监测、响应和持续监控领域转变。持续监控和分析是自适应防护架构的核心，监控和分析包括了基础数据规划，信息收集与关联，集成分析，监控和分析，外部威胁情报。

SANS 网络安全滑动标尺

如图所示，通过滑动标尺SANS 在帮助企业用一种可视化的方式理解安全投入和活动的演变过程，表达了安全措施不是一成不变的，企业随着成熟度的持续提高，投入不断往右侧滑动；而右侧能力的达成，又高度依赖左侧能力的基础。这个方法的目的在于指导企业投入和关注点要开始于左侧，当投入达到预期的收益后，再逐步开始右侧的领域；基于左侧领域夯实的基础，实现右侧领域就可以更加高效、投入更少，安全收益也更佳。SANS 观点：安全投入的渐进性，包含系统、网络、应用在内的架构安全是基础，安全价值最大，安全成本最低。

总结起来，研究及实践趋势为：以架构安全及被动防御为基础，打造“纵深防御阵地”，不断巩固防线纵深，具备防护、监测、响应能力，最终实现实时感知“纵深防御阵地”网络安全态势的能力。

三、金融业应对挑战及趋势的措施建议

金融业如何做到从外挂的防护体系到内置的与基础设施深度融合安全机制转变，具备防护、监测、响应能力，最终实现实时感知“纵深防御阵地”网络安全态势的能力呢？

业技联动的DevSecOps安全风控体系建设可能是落地方式之一。

一是“道”，组织上需要业技联动提高风险意识将信息系统网络安全上升至机构风险管理的高度，并对组织架构及业务流程进行适应性调整，识别线上运营风控需求。

二是“术”，支撑体系上，研发态具备安全前置思维通过构建组织级工程化的应用安全研发能力打牢“基础架构安全”地基；运行态充分利用大数据人工智能技术分析各维度数据构建监测响应处置安全运营能力。具体建议如下：

组织上业技联动，提升意识、明晰风险

金融信息系统网络安全是业务和技术部门共同的责任，需要双方紧密协作，需要从线上业务运营及风控体系建设的高度认识信息系统网络安全问题，加强网络风险及安全意识教育和专业培训，提高全员风险及安全意识，建设专业的风险及安全团队，积极拥抱线上化挑战主动识别其带来的风险，调整业务的安全控制流程及风控策略并做为信息系统建设需求的组成部分。注重利用好风险评级、等级保护测评、渗透测试和内部审计等手段，强化对自身信息资产梳理和分析，力争做到每个资产形成风险分值，强化发现问题的及时整改和跟踪管理。

支撑上建设DevSecOps安全风控体系

首先，要有安全前置思维，“预防为主”，DevSec根儿上要正。

构建组织级工程化的应用安全研发能力。将安全贯穿于整个信息系统建设使用生命周期，从需求—设计—开发—测试各阶段将安全作为必选项，研发过程能预防的业务和技术风险绝不拖到投产运行阶段。

管控新技术及开源软件等风险。将安全测试工具及流程无缝嵌入开发人员工具及流程降低落地难度。通过业务及技术安全需求研制及分析、安全架构设计、安全开发、白黑盒安全测试、业务验证测试活动，以安全平台服务框架组件工具（基于主机的入侵监测HIDS、软WAF及RASP、安全接入网关、基础加解密平台、外联框架等等）支撑，打牢安全成本低安全价值大的“基础架构安全”地基。

其次，要有随时面对攻击的思维，“预防为主”防不了的要能监测响应处置，SecOps苗儿上要红。

构建业技联动“安全风控运营体系”。承认系统时刻处于被攻击之中，通过持续的漏洞与补丁管理以及对全面的基础信息（设备+用户+行为+流量+日志+资产）进行集中采集、存储和持续深层分析，构建业务运营风控及技术监控分析和响应处置体系。

以威胁为中心构筑主动防御，以数据为基点形成纵深防御，形成融合防御、监测、响应溯源和预测的全生命周期的威胁应对机制，构建自适应安全体系，弹性应对来自外部和内部的各种威胁。实现全网安全态势可知、可见、可控的DevSecOps业技融合风控闭环并持续改进。做大做强“被动及积极防御”上层建筑。