盛邦安全在同眾多銀行業(yè)金融機構的溝通和服務過程中，對當前銀行業(yè)金融機構，尤其是中小銀行業(yè)金融機構信息科技風險管理的現(xiàn)狀有了較深入的了解，本系列文章旨在基于對中小銀行信息科技風險管理的整體現(xiàn)狀的認知，提煉和分享當前行業(yè)信息科技風險管理體系建設的面臨的問題和良好實踐，以期啟發(fā)更多的行業(yè)思考和討論。

本期討論的主題是中小銀行信息安全管理。金融行業(yè)關系到國計民生，支撐其運營的重要的信息系統(tǒng)是國家關鍵基礎設施，是信息安全重點保護對象。由于互聯(lián)網金融的快速發(fā)展，以及來自互聯(lián)網的安全威脅層出不窮，以銀行業(yè)為代表的金融行業(yè)的安全建設思路開始發(fā)生深刻變化，變化趨勢和特點有以下幾點：

◆ 監(jiān)管合規(guī)向自身業(yè)務安全需求導向轉變；

◆ 安全技術體系向安全運營體系轉變；

◆ 安全防護能力向攻防對抗能力轉變；

◆ 靜態(tài)防護向動態(tài)智能化防護轉變；

◆ 邊界防護向零信任體系轉變。

在目前的大趨勢下，中小銀行業(yè)金融機構總體上處于被動應對的狀態(tài)，普遍缺乏洞察變化后的主動調整和跟進，反映在金融企業(yè)內部安全建設上，仍然存在頭痛醫(yī)頭、腳痛醫(yī)腳，整體網絡安全能力建設難以適應外部環(huán)境變化。網絡安全團隊和人員，不論是理念意識、知識技能，還是實戰(zhàn)經驗，以及同實際保障業(yè)務安全的需求上存在很大差距。

在這樣的背景下，我們重新來回顧《商業(yè)銀行信息科技風險管理指引》（以下簡稱《指引》）中關于信息安全管理的監(jiān)管要求，我們會發(fā)現(xiàn)，監(jiān)管層面的底線要求仍然在發(fā)揮著重要的指導作用，我們會圍繞這些核心監(jiān)管要求，并結合當前中小銀行信息科技安全管理實操的現(xiàn)狀，分享行業(yè)內的一些出色或有效實踐。考慮到安全部分的管理要求較多，我們本次分享的領域主要包括信息分類保護和人員意識、安全管理職能、用戶訪問控制機制、物理安全保護區(qū)域、邏輯安全保護區(qū)域的管控現(xiàn)狀；操作系統(tǒng)和系統(tǒng)軟件安全、信息（業(yè)務）系統(tǒng)安全、日志安全、信息加密、終端設備安全、數(shù)據安全、安全意識部分的內容后續(xù)分享。     

一、信息分類保護和意識

《指引》第二十條規(guī)定，商業(yè)銀行信息科技部門負責建立和實施信息分類和保護體系，商業(yè)銀行應使所有員工都了解信息安全的重要性，并組織提供必要的培訓，讓員工充分了解其職責范圍內的信息保護流程。從目前來看，中小商業(yè)銀行對于信息分類的管理在逐步重視，制定了信息的分類分級保護制度或者策略，但大多數(shù)中小銀行并沒有落地有針對性的分類管理；比較典型的場景是，目前銀行信息系統(tǒng)每年都要根據備案的情況開展等保測評 ，而不管在公安機關備案的信息系統(tǒng)是二級、三級還是四級，其實在信息科技安全防護方面大多并沒有采取差異性的防護策略，基本都是繼承生產網中統(tǒng)一架構的防護體系。在話術上，一般都是生產環(huán)境的系統(tǒng)采取基本一致的高級別的防護機制；對銀行而言，共享了防護能力，不過也提升了防護成本。

如果從信息本身的角度來看，目前金融機構生產網中的數(shù)據在開發(fā)測試網、辦公網中也被廣泛用來做系統(tǒng)測試、數(shù)據分析和建模、監(jiān)管上報、以及業(yè)務部門特定業(yè)務場景的打印和下載；脫離了生產網防護體系的數(shù)據，普遍面臨數(shù)據泄露的風險。

針對信息泄露的風險，管控良好的中小銀行對涉及用戶隱私和交易數(shù)據采取了數(shù)據脫敏、數(shù)據防泄漏、虛擬桌面、終端管控等機制，較大程度保證數(shù)據不落地，并對業(yè)務部門落實使用過程中的保密管理要求；對于涉及客戶信息的保密安全意識方面，很多銀行采取保密安全意識培訓、在工作場所懸掛保密要求、在電梯內和樓梯間播放相關信息保密宣傳視頻等方式提升信息安全意識。

二、安全管理職能

《指引》第二十一條規(guī)定，商業(yè)銀行信息科技部門應落實信息安全管理職能并制定信息安全策略。目前絕大多數(shù)中小商業(yè)銀行的信息科技部門都成立了專門的信息安全團隊承擔信息安全管理職能，負責本行信息安全策略和管制制度制定、安全防控體系建設，組織信息安全風險評估和日常安全運營工作；部分領先的中小銀行，建立了主動安全攻擊團隊，專門負責本行業(yè)務系統(tǒng)和網絡的漏洞挖掘和修補建議。

從合規(guī)的角度，幾乎所有銀行都制定了安全管理策略和安全管理制度，但普遍存在的問題是安全策略和安全制度的全面性和可實施性存在不足；根據我們的觀察和實踐，總會找到某些管理環(huán)節(jié)缺乏明確的安全管理要求；總是會有些安全管理制度停留在紙面，管理規(guī)定的落實不具備可審計性。

領先的銀行業(yè)金融機構非常重視信息安全策略和制度的完備性，基于安全是涉及系統(tǒng)全生命周期各個環(huán)節(jié)，涉及信息系統(tǒng)的各個組成組件，一般比較良好的安全管理制度在制定的時候，我們發(fā)現(xiàn)都有如下三個特點，一是全面性，既涵蓋信息科技全生命周期的所有管理活動，又包含信息系統(tǒng)所有組成單元；二是一致性，即針對某一個特定管理環(huán)節(jié)或者特定資產組件的安全管理規(guī)定在所有制度中是一致的，沒有歧義和沖突；三是可操作性，所有的管理規(guī)定都是基于可落地的實操層面的提煉，要么借助技術手段實現(xiàn)強制落地；要么通過具體的管理規(guī)定規(guī)范人員操作；不流于形式，管理規(guī)定的落地具備可審計性。

三、訪問控制機制

《指引》第二十二條規(guī)定，商業(yè)銀行應建立有效管理用戶認證和訪問控制的流程。對于當下的銀行而言，用戶認證機制和訪問控制機制都是普遍采取的安全控制機制，但具體落地和使用場景非常多，也非常復雜；包括但不限于面向銀行客戶（含對公客戶和對私客戶）的用戶認證和訪問控制機制；面向銀行各業(yè)務部門和業(yè)務合作伙伴的用戶認證和訪問控制；面向銀行內部參與信息系統(tǒng)管理人員的用戶認證和訪問控制；在具體技術方面，主要采取的用戶認證機制包括但不限于生物特征認證、證書認證、動態(tài)口令、普通密碼等方式，認證強度跟系統(tǒng)的重要性程度和具體訪問場景相關，如重要交易系統(tǒng)的訪問以及通過互聯(lián)網渠道的訪問的場景，通常會選擇用戶名加證書或者一次性動態(tài)口令的方式，認證機制普遍較強，同時，面向銀行客戶的認證機制還會結合交易反欺詐的檢測機制附加一些帶外的認證來保證客戶資金安全；而對于內網中的辦公系統(tǒng)大多采用用戶名和口令的方式；對于本地重要系統(tǒng)或本地重要訪問環(huán)境的訪問，大多會參與生物識別的方式；此外，在銀行內部訪問控制機制上采用了包括但不限于堡壘機、IAM（統(tǒng)一身份和訪問管理）平臺、網絡訪問控制、邊界訪問控制、VPN等等。

對于銀行如此復雜的用戶認證和訪問控制體系，要想沒有一點管理漏洞其實很難，因為不僅是技術本身會有缺陷，而且還涉及人的管理漏洞和意識漏洞；我們在一些內網的安全評估項目和滲透測試服務過程中，會經常重復的發(fā)現(xiàn)一些常規(guī)的管理薄弱環(huán)節(jié)；例如訪問控制機制沒有涵蓋所有要管理的信息系統(tǒng)或資產；例如密碼/令牌的保管和使用不符合管理要求；網絡訪問或邊界控制機制不嚴格；行內/行外系統(tǒng)間功能集成缺乏或安全認證機制薄弱；人員調崗/離崗/外包人員離場帶來的賬號變更問題；業(yè)務系統(tǒng)功能的授權訪問控制細粒度不足；非重要信息系統(tǒng)或非重要區(qū)域信息系統(tǒng)的訪問控制機制薄弱導致的衍生問題等等。

從行業(yè)良好實踐角度，我們發(fā)現(xiàn)中小銀行在訪問控制機制方面做的比較優(yōu)秀的機構，主要在如下幾方面做了更多的工作：一是集約管理，由統(tǒng)一的安全管理部門牽頭，來制定和落實全行統(tǒng)一的信息系統(tǒng)訪問控制機制和標準；二是加強信息資產的全面安全治理，梳理建立全行范圍的資產清單，為全面的信息系統(tǒng)訪問控制打好基礎，保證沒有遺漏以及未納入管理體系的資產；三是不斷積累問題場景采取技術化手段來發(fā)現(xiàn)和解決管理問題，例如最近在行業(yè)內興起網絡空間資產自動探測和發(fā)現(xiàn)工具、訪問控制設備策略梳理工具、以及基于內外部用戶行為模式發(fā)現(xiàn)潛在惡意登錄和操作行為的工具；四是借助內外部資源，加強檢查和評估，查漏補缺。

四、物理安全保護區(qū)域

《指引》第二十三條規(guī)定，商業(yè)銀行應確保設立物理安全保護區(qū)域，包括計算機中心或數(shù)據中心、存儲機密信息或放置網絡設備等重要信息科技設備的區(qū)域，明確相應的職責，采取必要的預防、檢測和恢復控制措施。

從我們的觀察來看，目前商業(yè)銀行在數(shù)據中心的建設的投入和防護方面是優(yōu)秀的行業(yè)之一。普遍建立了滿足A類機房標準的數(shù)據中心，各種硬件設施以及機房配套設施都很完備；區(qū)域劃分基本合理；建立了專業(yè)的數(shù)據中心運維管理團隊，一般都建立了7*24小時的值班和巡檢機制，數(shù)據機房的物理訪問控制一般都很嚴格。

對于中小銀行業(yè)金融機構，目前普遍存在的問題是“兩地三中心”的數(shù)據中心架構中，主機房條件較好管控較嚴，而同城或異地的備份數(shù)據中心管控相對要松一些；例如，同城災備機房和異地機房往往沒有做良好的區(qū)域劃分；也做不到了7*24小時的值班和巡檢機制。在監(jiān)管推動重視業(yè)務連續(xù)性管理以及多活數(shù)據中心技術的成熟應用的背景下，每個數(shù)據中心都同時承擔了生產的重任，能否做到“一視同仁”對于中小銀行是個不小的投入。

五、邏輯安全域

《指引》第二十四條規(guī)定，商業(yè)銀行應根據信息安全級別，將網絡劃分為不同的邏輯安全域。目前中小銀行的網絡普遍分為生產網、開發(fā)測試網和辦公網等獨立或者邏輯隔離的網段；其中生產網比較典型的邏輯安全域劃分一般包括互聯(lián)網業(yè)務區(qū)、分支機構互聯(lián)區(qū)、核心業(yè)務區(qū)、非核心業(yè)務區(qū)、外聯(lián)業(yè)務區(qū)、運維管理區(qū)、核心交換區(qū)、災備系統(tǒng)接入區(qū)等；

從網絡隔離控制的角度，目前大多數(shù)銀行的生產網和開發(fā)測試網以及辦公網大多通過防火墻或網閘進行邏輯隔離，也有些銀行把生產網同其他網絡做了物理隔離或者準物理隔離；生產網段，各個區(qū)域邊界普遍采取網絡防火墻做邏輯隔離，各個區(qū)域一般會部署網絡入侵防護系統(tǒng)；互聯(lián)網業(yè)務區(qū)一般會采取負載均衡、邊界防火墻、入侵防護、流量清洗、WEB應用防火墻等傳統(tǒng)訪問控制機制進行重點防控；目前也有很多銀行在互聯(lián)網網關部署威脅情報檢測和阻斷機制?？紤]到生產網系統(tǒng)復雜多樣，大多數(shù)銀行在核心交換上很少配置訪問控制策略（ACL）。此外在網絡安全攻擊檢測方面，普遍采取基于流量分析的監(jiān)測和預警機制，在互聯(lián)網業(yè)務區(qū)，部署網絡誘捕系統(tǒng)（蜜罐）也是一個趨勢。

我們觀察到，銀行生產網絡的邏輯安全域的防護和監(jiān)測機制手段總體比較豐富，面向互聯(lián)網區(qū)的防護體系是重中之重；相比較而言，開發(fā)測試網和辦公網的防護相對薄弱，尤其在開發(fā)測試網和辦公網同生產網數(shù)據交互的大背景下，間接對生產網的防護帶來了壓力?？紤]到銀行業(yè)務的不斷發(fā)展，對信息科技的依賴越來越大，外包和項目人員持續(xù)增加，對辦公測試網絡的訪問需求越來越復雜，來自于該區(qū)域的敏感信息泄漏以及通過開發(fā)測試辦公網作為跳板來攻擊生產網的可能性越來越大。

領先的中小銀行認識到當前來自非生產網帶來的敏感信息泄漏可能造成的影響和危害，推動全行統(tǒng)一網絡管控策略，加強辦公測試網絡敏感信息的保護，尤其加強來自各分支機構以及外包單位和個人對開發(fā)測試辦公網絡的訪問控制，對于因業(yè)務需要而進入辦公測試網絡的非脫敏生產數(shù)據以及相關服務器尤其加強管控，嚴格網絡訪問控制，確保存儲敏感數(shù)據的辦公和測試服務器不遭受非授權訪問。同時加強辦公和測試網的補丁和漏洞管理，防止通過網絡攻擊獲取敏感信息。加強針對部門級信息服務站點的管控機制，禁止部門或個人在辦公測試網絡中私搭亂建非授權的站點；對辦公網絡中的資產進行普查和備案，確保辦公測試網絡中的資產得到充足的識別和防護。此外一些基于生產網的一些防控機制也適當在生產開發(fā)測試網進行應用，例如監(jiān)測檢測類機制和手段。

安全部分的現(xiàn)狀觀察未完待續(xù)，我們下期會分享中小銀行信息（業(yè)務）系統(tǒng)安全、日志安全、信息加密、終端設備安全、數(shù)據安全、安全意識部分的現(xiàn)狀觀察。

本文內容來自盛邦安全對中小金融機構信息科技風險管理現(xiàn)狀的觀察與調研，難免管中窺豹，其中不全面或不當之處歡迎大家交流指正，也請各位不要對號入座。針對中小金融機構信息科技風險管理現(xiàn)狀觀察的系列文章將陸續(xù)發(fā)布，敬請期待。