这是一个很有行业特色的题材。金融行业是众所周知的强监管行业。从另一个角度看,金融业是监管机构重点保护的行业。监管机构承担着国家金融稳定和创新的重要使命,日常工作量十分繁重。为了使业务单位能够有序开展业务,出台了大量的规则、制度和行业指引,业务单位可以严格执行。
网络安全已经上升到国家层面,监管机构非常关注业务单位的安全管理。面对复杂多变的网络安全环境,安全运行是提升安全能力水平的必由之路,是业务单位履行安全管理义务的最佳佐证,是面向监管的安全管理最佳实践。
本次分享的内容主要包括四个方面。希望你能了解安全操作,实践安全操作,并从安全操作实践分享中受益。
最近《数据安全法》、《基础数据保护条例》、《个人信息保护法》快速发布,看似偶然,实则必然,充分体现了国家对信息安全的高度重视。
什么会让我们对工作非常重视?考核指标是其中一项重要内容,在一定程度上关系到管理者的去留。
今年是中国第十四个五年计划的第一年。右边是“十四五”规划的指标清单。相比左边的十三五规划,多了一个“安全保障”,这是安全管理的目标。
信息安全战略应遵循国家战略和公司战略。“没有网络安全,就没有国家安全。”这是国家领导人的原话,号召大家提高政治站位,共同维护国家安全。
之前由于国家网络安全相关制度不完善,无法做到“有法可依”。基础网络运营商独立完成安全运维,对网络运营商的行政处罚和民事责任赔偿凤毛麟角。随着近期规定的密集出台,相关执法将会层出不穷。
《个人信息保护法》第69条要求个人信息处理者证明自己没有过错。以往佛系的安全运维已经明显达不到风险控制的要求。我们来学习一下“安全操作”。
运营是近五年的一个热词,关于它的起源并没有统一的说法。大概是在2016年,互联网行业的赵岩出版了《互联网企业安全高级指南》一书,其中包含了对安全运营的描述,引起了少部分信息安全同行的关注;同年,证券行业聂军在微信官方账号发表了《金融行业企业安全运营之路》一文,系统介绍了安全运营,引起了更多信息安全同行的关注。2018年,互联网行业赵必正发表知乎文章《安全运营我懂》,引起信息安全同行热议;同年,银行业艺鹭发表微信官方账号文章《信息安全从运维到运营》,引起信息安全同行对安全运营的实践。自此,“安全运营”成为网络安全大会的标准分论坛,大量安全同行在分享“XXXX安全运营实践”。可见,安全运行可以有效提高安全管理水平。
为了方便大家对安全操作的理解,笔者将安全操作与大家熟悉的安全操作维护进行了对比。
从字面上看,安全运维就是维持当前状态,具备可用功能。也许现在的状态并不是最好的状态。安全运营是开展业务,必须处于最佳状态,否则会亏损甚至被取代;
安全运维的对象是安全的设备或系统,重在实现功能和支撑业务发展。暴露新的资产和过度的权限是正常的。安全运营的对象是业务或流程,重点是消除风险和流程合规,不断收敛旧资产,收回超额权限;
从岗位上来说,安全运维叫运营工程师,属于信息技术部,比较被动,经常处于救火状态;安全运营叫安全工程师,属于信息安全部门,比较活跃,经常处于隐患排查状态;
在权限上,运行工程师有变更设备的权利,是变更操作的申请人和执行者,安全工程师有审核业务操作的权利。最好事先批准变更操作,以规避风险。
性能方面,运营工程师追求低故障率,业务系统需要正常提供服务,建设项目按期完成;安全工程师追求安全系统的覆盖,部署的安全组件和代理需要部署到位,所有部署的安全功能需要正常工作;
从能力上来说,运营工程师对安全设备的控制,是一个从无到有的过程,安全工程师对安全设备的质检,是一个从弱到强的过程。
如果要说安全运营和安全运维的关系,笔者认为“优质运维才是运营”,信息安全也可以通过最大化的安全运维来保证。
我国目前采取分业监管模式,证券业务由证监会监管,证券业务只能按照证监会的规定执行。信息安全工作采取多方监管模式,证监会、网通、龚欣、公安、市监、人民银行都有证券经营单位信息安全监管的职责。近期开展的APP非法收集使用个人信息专项治理,由四部委联合开展。在多方监管模式下,证券经营单位也应遵守上述监管机构的管理要求。中国人民银行曾发文要求加强移动金融APP的安全管理,这将直接增加证券期货行业APP的运营成本。经证监会友好沟通,证券期货行业APP部分条款可能无法执行。可见,证监会是在关爱证券期货行业,证券期货行业必须支持监管,监管是最起码的要求。
监管是有前提的,需要一个比较完善的监管体系。证券期货行业的监管发展了30年,可以说是比较完善了。2020年4月,证监会科技局正式成立,体现了监管机构在科技监管方面的不断强化和创新。同时,证监会科技局拥有强大的智库团队,均为包括信息安全在内的各领域资深专家。
面对严峻的信息安全形势,证券机构不可能做到100%安全,即使是行业龙头企业也做不到。如何将安全风险控制在可接受的范围内,是证券机构的安全管理目标,也是监管机构提供诸多规则、规定和指引,通过现场检查和非现场检查督促证券机构履行职责的初心。
由于证券机构数量较多,监管机构监管干部数量有限,非现场检查是主要的检查方式。
大家在非现场检查中要注意自查表和自查报告的填写。有经验的监管干部基本可以从这些数据中判断出证券机构的信息安全管理水平。现场检查接待是证券机构对信息安全重视程度的直接体现。笔者曾多次陪同证监局干部到证券机构检查,基本上都是公司总裁或总经理出席工作汇报会。
监管机构的检查工作非常认真,重点是规章制度是否及时修订,业务流程是否包含必要的审批环节,业务操作痕迹是否妥善保存,各类账册是否建立和维护,审计报告中的整改内容,人员配备是否符合要求,相关系统的权限隔离是否得当,等级保护的开展情况,外包业务是否有效隔离风险,软件正版化是否有序推进,信息安全投入占总投入的比重等。
监管机构的监督检查是根据需求进行的,证券机构应随时准备接受检查,并将相关工作分解到日常工作中。比如紧跟监管要求,及时修订规章制度,修改业务流程,重要变更双岗审核,进行应急演练,真正开展日常运维工作。
信息系统工具在提高信息安全管理效率方面也非常出色。后面会有例子。信息系统工具可以是商业产品,也可以是开源项目。目前选择比较多,可以自己选择。
使用信息系统工具辅助信息安全管理有很多好处,比如将相关信息存储在CMDB形成知识库和信息库,让团队其他成员快速学习和了解,同时团队成员的知识和能力可以转化为组织的知识和能力,不会因为员工离职的影响而对监督检查做出快速正确的响应。
安全操作涵盖的内容非常广泛。总体来说,项目建设验收合格后,正式进入安全运行范围,直至废弃。这里有一个安全操作的例子。让我们假设有一个非法的帐户创建或更改。如果是外人所为,可以确定为外部攻击。如果是内部人做的,可以确定为内部攻击。如果安全管理水平不高,这个事件就发现不了,可能存在举权、挂马、拖仓、勒索钱财等实际破坏活动,后果严重。
发现这一事件其实很简单,只需做以下两件事:
1.在系统中启用登录成功和登录失败的审计策略,将日志发送到Logstash,由Logstash保存到ElasticSearch,在Kibana中创建分析面板进行展示;
2.建立日常运行检查任务,可通过CMDB实现,运行日志可追溯备查。
完成上述操作大约需要10秒,24小时内即可发现攻击,可以成功阻断后续的攻击活动。这是一项非常重要的成就。人们常说“一次成功的进攻,前面有100次不成功的尝试”。攻击者实现多层次突破需要时间。安全操作可以通过高效和全面的检查将攻击者拒之门外。
信息安全管理体系中也有类似的要求“信息安全事件的检测和响应是保证信息系统正常运行的重要环节”。可见,安全管理的理论和实践是一致的。
强调地基的安全运行有两个原因。一是安全运行水平再高,“安全基础依然是重中之重”,必须扎扎实实做好;第二,监管部门看到证券经营机构认真安全经营,就会认可证券经营机构的安全管理。
然后通过CMDB分享账户管理。安防行业有句话叫“资产管理水平决定安防运营能力上限”,可见资产管理的重要性。
刚才提到,监管部门重点检查证券经营机构的制度建设,制作制度台账,每年至少修订一次,并通过CMDB对历次修订的内容进行管理和展示。我相信监管干部会认可这种管理方式。
历次安全自检任务包括有形资产和无形资产的统计,CMDB可以快速统计和分析。在填写监管自查表时省时省力,可以快速调配可用资产,发现超期服役资产。
证券机构通信线路多,可以通过CMDB进行核算,从而快速判断线路是否存在单点故障风险,同时在填写监管自查表时省时省力。
监管机构非常重视证券机构的IT投资。由于监管检查口径和公司财务记账口径的差异,在填写监管自查表时会有一些麻烦。如果平时按照监管检查口径记录款项,填表的准确性会有保证,省时省力。
以上只是举例,大家可以根据自己的实际情况来搭建,适合自己的才是最好的。
你可能注意到了,我没有分享防火墙应该怎么操作,WAF应该怎么操作,红蓝对抗应该怎么操作。这些都是运营细节,运维工程师可以补充完善。我只是分享安全操作的基本知识和安全操作的基本思路。希望你能尽可能的开始安全操作,做时间的朋友,安全操作的效果会慢慢显现。
上图显示了一个组织的信息安全级别和安全投资的模型。随着安全水平的不断提高,安全投入将会增加。安全运行是为了确保安全级别符合企业的要求。达到一定程度后,会不断完善优化。同时,安全威胁是不断变化的,安全运营要不断发现和消除威胁。
安全不能闭门造车。我主张与同行交流,学习同行的安全运营实践,吸收完善并应用于组织。右边是“信息安全运营”微信微信官方账号。希望大家一起关注和实践安全运营。
《信息科技管理办法》已将信息科技应用纳入企业合规与风险管理体系,董事会已对信息科技管理的有效性承担责任;即将出台的《网络安全管理办法》也将网络安全运营纳入企业合规与风险管理体系,董事会也将对网络安全管理的有效性负责。安全运营作为网络安全管理的直接负责人,是保证网络安全管理有效性的唯一法宝。运营安全可以帮助每个人成为董事会和领导层的优秀合作伙伴。
感谢大家的聆听。
