伴隨着《網絡安全法》的正式頒佈實施，金融信息系統成爲國家關鍵信息基礎設施，國家高度重視並在主管責任、安全建設、數據保護等方面明確了更高要求。人行也高度重視金融信息系統網絡安全工作，在《中國金融業信息技術“十三五”發展規劃》中，將健全網絡安全防護體系作爲十三五重點任務。

爲了更好的落實相關要求切實提高金融信息系統網絡安全能力，本文在淺析金融信息系統網絡安全挑戰、業界應對措施研究實踐趨勢的基礎上，爲持續增強金融信息系統網絡安全能力嘗試提出了兩點建議

一、金融信息系統網絡安全挑戰

全球網絡威脅不斷深化

近年來，全球網絡空間安全威脅呈現新的變化，APT等一些新型網絡威脅正呈現全球蔓延的態勢。據統計，通過互聯網攻擊手段實施金融犯罪活動已經成爲金融犯罪的重要手段，金融組織機構也成爲網絡犯罪分子的首選目標。同時，網絡黑產給全球所帶來的安全挑戰愈加嚴峻。利用互聯網攻擊技術進行偷盜、詐騙、敲詐等各種案件不斷髮生，相關案件數每年以超過30%的增速增長。圍繞互聯網的黑灰產業正以極快的速度蔓延且在各國之間相互滲透。“網絡黑產從業人員”呈級數增長，“市場規模”也已高達千億級別。

業技融合及金融科技的發展帶來更多挑戰

在“互聯網+”的時代背景下，業技融合創新了金融服務與產品，其技術架構逐漸向“分佈式、微服務、CloudNative、開源、大數據、區塊鏈”等新技術趨勢轉變，但同時也給金融信息系統網絡安全帶來挑戰，例如：傳統金融產品線上化的“開放”，對業務運營及風控體系的監測響應處置提出更高要求，線上化帶來的脆弱性暴露攻擊面擴大如何應對、雲計算環境中安全隔離防護控制如何強化，都是需要進行深入思考的問題。大數據成爲核心資產的同時，數據泄露、濫用、丟失的風險也在不斷升高。區塊鏈、IoT等新興技術、開源軟件，爆出來的漏洞越來越多，相關的安全問題也越來越嚴峻。

傳統網絡安全威脅依然不容忽視

傳統網絡安全威脅依然勢頭不減。以分佈式拒絕服務（DDoS）攻擊爲例，研究數據表明金融行業有36%的機構遭遇DDos攻擊，且近年來呈上升趨勢。同時，網絡攻擊流程化、普及化，黑客門檻不斷降低，各類分析、掃描、破解、攻擊工具可以隨意下載，漏洞利用方式越發簡易。金融機構每天都接受到大量的刺探性侵擾信息，安全隱患可能被不同類型惡意分子反覆利用，對其造成不可估量的破壞性影響。

傳統互聯網邊界防禦體系捉襟見肘

傳統的安全防禦體系主要側重在網絡邊界的被動性防禦措施，技術的路線主要是從網絡架構層面的4層邊界防護、安全區域隔離，到單體防毒牆、單體IPS、WAF安全設備的並/串聯部署，再到網絡漏洞掃描和基本配置加固，以滿足合規經典要求爲主要目的。隨着地下黑色產業鏈呈現爆發性增長，黑客攻擊技術的不斷翻新，傳統的防禦機制針對應用層攻擊、高級攻擊的防護效果日益降低，安全事件頻頻發生。

二、網絡安全研究及實踐趨勢

爲了應對上述趨勢及挑戰，近年來衆多研究機構及金融同業提出了新的安全架構和理念，如Gartner的適應性安全架構（Adaptive SecurityArchitecture），信息安全培訓及認證機構SANS的滑動標尺（Sliding Scale），美國商務部下屬NIST的網絡安全框架（Cybersecurity Framework），Google的零信任模型（Zero Trust Model）、工商銀行的“攻防兼顧體系”等。

這些方法和框架在都在強調資源投入和安全能力，需要從傳統邊界防護到應用自防護監測響應轉變，從外掛的防護體系到內置的與基礎設施深度融合安全機制轉變。簡單地說，就是從“被動”到“主動”的轉變。同時，業界也正在經歷從ISO27001框架靜態控制措施爲主大而全的管理體系，到防護監測響應動態控制措施爲主的攻防對抗體系轉變。

Gartner 自適應安全防護架構

近年來，Gartner不斷在完善其適應性安全架構模型，並通過研究報告明確提出安全投入大幅從防護領域到監測、響應和持續監控領域轉變。持續監控和分析是自適應防護架構的核心，監控和分析包括了基礎數據規劃，信息收集與關聯，集成分析，監控和分析，外部威脅情報。

SANS 網絡安全滑動標尺

如圖所示，通過滑動標尺SANS 在幫助企業用一種可視化的方式理解安全投入和活動的演變過程，表達了安全措施不是一成不變的，企業隨着成熟度的持續提高，投入不斷往右側滑動；而右側能力的達成，又高度依賴左側能力的基礎。這個方法的目的在於指導企業投入和關注點要開始於左側，當投入達到預期的收益後，再逐步開始右側的領域；基於左側領域夯實的基礎，實現右側領域就可以更加高效、投入更少，安全收益也更佳。SANS 觀點：安全投入的漸進性，包含系統、網絡、應用在內的架構安全是基礎，安全價值最大，安全成本最低。

總結起來，研究及實踐趨勢爲：以架構安全及被動防禦爲基礎，打造“縱深防禦陣地”，不斷鞏固防線縱深，具備防護、監測、響應能力，最終實現實時感知“縱深防禦陣地”網絡安全態勢的能力。

三、金融業應對挑戰及趨勢的措施建議

金融業如何做到從外掛的防護體系到內置的與基礎設施深度融合安全機制轉變，具備防護、監測、響應能力，最終實現實時感知“縱深防禦陣地”網絡安全態勢的能力呢？

業技聯動的DevSecOps安全風控體系建設可能是落地方式之一。

一是“道”，組織上需要業技聯動提高風險意識將信息系統網絡安全上升至機構風險管理的高度，並對組織架構及業務流程進行適應性調整，識別線上運營風控需求。

二是“術”，支撐體系上，研發態具備安全前置思維通過構建組織級工程化的應用安全研發能力打牢“基礎架構安全”地基；運行態充分利用大數據人工智能技術分析各維度數據構建監測響應處置安全運營能力。具體建議如下：

組織上業技聯動，提升意識、明晰風險

金融信息系統網絡安全是業務和技術部門共同的責任，需要雙方緊密協作，需要從線上業務運營及風控體系建設的高度認識信息系統網絡安全問題，加強網絡風險及安全意識教育和專業培訓，提高全員風險及安全意識，建設專業的風險及安全團隊，積極擁抱線上化挑戰主動識別其帶來的風險，調整業務的安全控制流程及風控策略並做爲信息系統建設需求的組成部分。注重利用好風險評級、等級保護測評、滲透測試和內部審計等手段，強化對自身信息資產梳理和分析，力爭做到每個資產形成風險分值，強化發現問題的及時整改和跟蹤管理。

支撐上建設DevSecOps安全風控體系

首先，要有安全前置思維，“預防爲主”，DevSec根兒上要正。

構建組織級工程化的應用安全研發能力。將安全貫穿於整個信息系統建設使用生命週期，從需求—設計—開發—測試各階段將安全作爲必選項，研發過程能預防的業務和技術風險絕不拖到投產運行階段。

管控新技術及開源軟件等風險。將安全測試工具及流程無縫嵌入開發人員工具及流程降低落地難度。通過業務及技術安全需求研製及分析、安全架構設計、安全開發、白黑盒安全測試、業務驗證測試活動，以安全平臺服務框架組件工具（基於主機的入侵監測HIDS、軟WAF及RASP、安全接入網關、基礎加解密平臺、外聯框架等等）支撐，打牢安全成本低安全價值大的“基礎架構安全”地基。

其次，要有隨時面對攻擊的思維，“預防爲主”防不了的要能監測響應處置，SecOps苗兒上要紅。

構建業技聯動“安全風控運營體系”。承認系統時刻處於被攻擊之中，通過持續的漏洞與補丁管理以及對全面的基礎信息（設備+用戶+行爲+流量+日誌+資產）進行集中採集、存儲和持續深層分析，構建業務運營風控及技術監控分析和響應處置體系。

以威脅爲中心構築主動防禦，以數據爲基點形成縱深防禦，形成融合防禦、監測、響應溯源和預測的全生命週期的威脅應對機制，構建自適應安全體系，彈性應對來自外部和內部的各種威脅。實現全網安全態勢可知、可見、可控的DevSecOps業技融合風控閉環並持續改進。做大做強“被動及積極防禦”上層建築。