盛邦安全在同眾多銀行業(yè)金融機(jī)構(gòu)的溝通和服務(wù)過(guò)程中，對(duì)當(dāng)前銀行業(yè)金融機(jī)構(gòu)，尤其是中小銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的現(xiàn)狀有了較深入的了解，本系列文章旨在基于對(duì)中小銀行信息科技風(fēng)險(xiǎn)管理的整體現(xiàn)狀的認(rèn)知，提煉和分享當(dāng)前行業(yè)信息科技風(fēng)險(xiǎn)管理體系建設(shè)的面臨的問(wèn)題和良好實(shí)踐，以期啟發(fā)更多的行業(yè)思考和討論。

本期繼續(xù)討論中小銀行信息安全管理。之前兩期觀察提到，金融行業(yè)關(guān)系到國(guó)計(jì)民生，支撐其運(yùn)營(yíng)的重要的信息系統(tǒng)是國(guó)家關(guān)鍵基礎(chǔ)設(shè)施，是信息安全重點(diǎn)保護(hù)對(duì)象。由于互聯(lián)網(wǎng)金融的快速發(fā)展，以及來(lái)自互聯(lián)網(wǎng)的安全威脅層出不窮，以銀行業(yè)為代表的金融行業(yè)的安全建設(shè)思路開始發(fā)生深刻變化，主要有以下幾個(gè)趨勢(shì)和特點(diǎn)：

◆ 監(jiān)管合規(guī)向自身業(yè)務(wù)安全需求導(dǎo)向轉(zhuǎn)變；

◆ 安全技術(shù)體系向安全運(yùn)營(yíng)體系轉(zhuǎn)變；

◆ 安全防護(hù)能力向攻防對(duì)抗能力轉(zhuǎn)變；

◆ 靜態(tài)防護(hù)向動(dòng)態(tài)智能化防護(hù)轉(zhuǎn)變；

◆ 邊界防護(hù)向零信任體系轉(zhuǎn)變。

在目前的大趨勢(shì)下，中小銀行業(yè)金融機(jī)構(gòu)總體上處于被動(dòng)應(yīng)對(duì)的狀態(tài)，普遍缺乏洞察變化后的主動(dòng)調(diào)整和跟進(jìn)，反映在金融企業(yè)內(nèi)部安全建設(shè)上，仍然存在頭痛醫(yī)頭、腳痛醫(yī)腳，整體網(wǎng)絡(luò)安全能力建設(shè)難以適應(yīng)外部環(huán)境變化。網(wǎng)絡(luò)安全團(tuán)隊(duì)和人員，不論是理念意識(shí)、知識(shí)技能，還是實(shí)戰(zhàn)經(jīng)驗(yàn)，以及同實(shí)際保障業(yè)務(wù)安全的需求上存在很大差距。

在這樣的背景下，當(dāng)回顧《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》（以下簡(jiǎn)稱《指引》）中關(guān)于信息安全管理的監(jiān)管要求時(shí)，我們會(huì)發(fā)現(xiàn)，監(jiān)管層面的底線要求仍然在發(fā)揮著重要的指導(dǎo)作用，我們會(huì)圍繞這些核心監(jiān)管要求，并結(jié)合當(dāng)前中小銀行信息科技安全管理實(shí)操的現(xiàn)狀，分享行業(yè)內(nèi)的一些出色而有效的實(shí)踐。

上兩期我們分享了（一）信息分類保護(hù)和人員意識(shí)、（二）安全管理職能、（三）用戶訪問(wèn)控制機(jī)制、（四）物理安全保護(hù)區(qū)域、（五）邏輯安全保護(hù)區(qū)域、（六）操作系統(tǒng)和系統(tǒng)軟件安全、（七）信息系統(tǒng)安全、（八）日志安全、（九）信息加密等領(lǐng)域的現(xiàn)狀和杰出實(shí)踐。如果想了解上兩期內(nèi)容，可以參考本公眾號(hào)文章【盛邦觀察：中小銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理現(xiàn)狀（3）（4）】。我們本次接著分享的安全管理領(lǐng)域是（十）終端設(shè)備安全、（十一）數(shù)據(jù)安全、（十二）安全意識(shí)等部分。

十、終端設(shè)備安全

《指引》第二十六條對(duì)終端設(shè)備安全管理明確要求商業(yè)銀行應(yīng)配備切實(shí)有效的系統(tǒng)，確保所有終端用戶設(shè)備的安全，并定期對(duì)所有設(shè)備進(jìn)行安全檢查。

銀行的終端涉及面非常廣，涵蓋生產(chǎn)終端、開發(fā)測(cè)試終端、辦公終端、互聯(lián)網(wǎng)終端等不同類別，不同類別的管控模式根據(jù)使用場(chǎng)景又有很大差別。大多數(shù)中小銀行非常重視終端管理方面的管控，通常普遍采用的控制機(jī)制包括但不限于：在終端接入網(wǎng)絡(luò)時(shí)，通常通過(guò)網(wǎng)絡(luò)設(shè)備啟用網(wǎng)絡(luò)接入認(rèn)證；接入網(wǎng)絡(luò)后，普遍建立了域管控機(jī)制，統(tǒng)一部署終端管理軟件、統(tǒng)一安裝防病毒軟件，并啟用病毒代碼更新機(jī)制；普遍建立了終端軟件安裝白名單機(jī)制。終端的賬號(hào)密碼、補(bǔ)丁更新、安全鎖屏、端口使用等一般都建立了統(tǒng)一的全行策略。普遍建立了終端安全檢查的例行機(jī)制，定期檢查各類終端的合規(guī)性要求。

針對(duì)特定場(chǎng)景的終端管控，又有一些特殊的管控考慮；例如，生產(chǎn)運(yùn)維終端涉及文件或者數(shù)據(jù)的傳輸，只能在特定終端上通過(guò)專用加密移動(dòng)介質(zhì)進(jìn)行文件傳遞；針對(duì)開發(fā)測(cè)試環(huán)境的終端，考慮到代碼安全性，一般會(huì)部署虛擬桌面機(jī)制，確保系統(tǒng)代碼、敏感數(shù)據(jù)不會(huì)下載到研發(fā)或測(cè)試終端，除非根據(jù)實(shí)際工作需要獲取明確的權(quán)限。針對(duì)日常互聯(lián)網(wǎng)訪問(wèn)，普遍采取配備專用互聯(lián)網(wǎng)終端，互聯(lián)網(wǎng)終端同日常辦公終端物理隔離，同時(shí)對(duì)互聯(lián)網(wǎng)的訪問(wèn)一般配置上網(wǎng)行為管控機(jī)制。

對(duì)于外包人員終端管控方面，一般會(huì)嚴(yán)格要求外包人員終端接入符合行內(nèi)終端管理統(tǒng)一策略；對(duì)于敏感場(chǎng)景的操作，例如開發(fā)或者敏感數(shù)據(jù)訪問(wèn)，一般都會(huì)指定行內(nèi)終端進(jìn)行操作，而不得使用個(gè)人終端。

目前銀行在終端管理方面，借助相對(duì)成熟的管控技術(shù)，可以實(shí)現(xiàn)比較嚴(yán)格和有效的管理效果；在行業(yè)內(nèi)，較大的挑戰(zhàn)不是技術(shù)層面，而是因?yàn)榧夹g(shù)管控本身帶來(lái)的便利性的影響；考慮便利性，一般都會(huì)開放一些特權(quán)終端方便終端使用人員操作；以及因?yàn)榘踩庾R(shí)不足或者操作的便利性，共享終端登錄權(quán)限等管理問(wèn)題帶來(lái)的潛在漏洞?？紤]到上述因素，終端管控比較嚴(yán)格的銀行會(huì)重點(diǎn)加強(qiáng)對(duì)特權(quán)終端的檢測(cè)和檢查力度，防止成為管控鏈條中薄弱的一環(huán)。

此外，部分領(lǐng)先銀行會(huì)部署網(wǎng)絡(luò)空間資產(chǎn)探測(cè)機(jī)制，來(lái)發(fā)現(xiàn)潛在的非法外聯(lián)終端設(shè)備；以及部署非法外聯(lián)檢測(cè)機(jī)制，來(lái)檢測(cè)因內(nèi)部惡意或只圖訪問(wèn)便利的跨網(wǎng)訪問(wèn)的隱患。這些機(jī)制可以作為通用管控機(jī)制失效的補(bǔ)償機(jī)制來(lái)發(fā)現(xiàn)潛在威脅。

十一、數(shù)據(jù)安全

《指引》第三十六條對(duì)數(shù)據(jù)安全做出了原則性的要求，商業(yè)銀行應(yīng)制定相關(guān)制度和流程，嚴(yán)格管理客戶信息的采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀。

2020年發(fā)布的《中華人民共和國(guó)數(shù)據(jù)安全法( 草案 )》第二十八條規(guī)定，重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)活動(dòng)定期開展風(fēng)險(xiǎn)評(píng)估,并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)當(dāng)包括本組織掌握的重要數(shù)據(jù)的種類、數(shù)量,收集、存儲(chǔ)、加工、使用數(shù)據(jù)的情況,面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對(duì)措施等。《指引》第三十六條的規(guī)定同《數(shù)據(jù)安全法》的規(guī)定的要求非常貼近。

此外，銀保監(jiān)會(huì)2019年發(fā)布的《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》第二十四條規(guī)定，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立數(shù)據(jù)安全策略與標(biāo)準(zhǔn)，依法合規(guī)采集、應(yīng)用數(shù)據(jù)，依法保護(hù)客戶隱私，劃分?jǐn)?shù)據(jù)安全等級(jí)，明確訪問(wèn)和拷貝等權(quán)限，監(jiān)控訪問(wèn)和拷貝等行為，完善數(shù)據(jù)安全技術(shù)，定期審計(jì)數(shù)據(jù)安全。銀行業(yè)金融機(jī)構(gòu)采集、應(yīng)用數(shù)據(jù)涉及到個(gè)人信息的，應(yīng)遵循國(guó)家個(gè)人信息保護(hù)法律法規(guī)要求，符合與個(gè)人信息安全相關(guān)的國(guó)家標(biāo)準(zhǔn)。

從這些監(jiān)管要求和法律法規(guī)文件可以看出國(guó)家層面非常重視數(shù)據(jù)安全，金融行業(yè)的數(shù)據(jù)安全尤其重要，不僅關(guān)系到國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的安全，而且數(shù)據(jù)安全本身也是金融機(jī)構(gòu)安身立命的重要保障。

我們觀察到目前中小銀行的數(shù)據(jù)安全管控在監(jiān)管的推動(dòng)下，已經(jīng)建立了體系化的管控策略，普遍制定了生產(chǎn)數(shù)據(jù)的管理策略和制度，涵蓋了數(shù)據(jù)采集、處理、保管、備份、銷毀等環(huán)節(jié)；部署了數(shù)據(jù)安全防護(hù)的技術(shù)體系，包括但不限于如下環(huán)節(jié)：數(shù)據(jù)加密、數(shù)據(jù)庫(kù)訪問(wèn)控制、數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)脫敏、數(shù)據(jù)防泄漏等。此外，圍繞數(shù)據(jù)所處的使用環(huán)境，分別在應(yīng)用安全、網(wǎng)絡(luò)安全、基礎(chǔ)設(shè)施安全等方面都對(duì)數(shù)據(jù)的采集、傳輸、存儲(chǔ)和使用方面提高了安全管控強(qiáng)度。對(duì)于數(shù)據(jù)安全的意識(shí)教育，各金融機(jī)構(gòu)也針對(duì)客戶隱私數(shù)據(jù)的使用建立的行內(nèi)的規(guī)章制度，并定期開展相關(guān)的培訓(xùn)和數(shù)據(jù)安全專項(xiàng)評(píng)估檢查；部分中小銀行也啟動(dòng)了客戶個(gè)人信息保護(hù)的課題研究，建立了客戶信息內(nèi)外部流轉(zhuǎn)視圖、風(fēng)險(xiǎn)分析和防護(hù)框架。

通過(guò)我們觀察，目前中小銀行在數(shù)據(jù)安全方面普遍存在比較大的短板是數(shù)據(jù)安全的細(xì)?；芸?，整體的管理制度和技術(shù)框架還不能覆蓋所有重要數(shù)據(jù)的生命周期，控制機(jī)制也不能覆蓋所有可能導(dǎo)致數(shù)據(jù)差錯(cuò)或者數(shù)據(jù)泄露事件發(fā)生的作用方式。

對(duì)于銀行而言，數(shù)據(jù)安全主要面臨的威脅是數(shù)據(jù)的差錯(cuò)和數(shù)據(jù)泄露；而數(shù)據(jù)出現(xiàn)差錯(cuò)或者泄露最終會(huì)從數(shù)據(jù)流轉(zhuǎn)的某一個(gè)具體的點(diǎn)發(fā)生，因此識(shí)別每一個(gè)數(shù)據(jù)流轉(zhuǎn)的節(jié)點(diǎn)非常關(guān)鍵，識(shí)別到了才能采取有針對(duì)性的風(fēng)險(xiǎn)分析和應(yīng)對(duì)。領(lǐng)先的中小銀行已經(jīng)開展重要數(shù)據(jù)使用場(chǎng)景的分析，以此建立重要數(shù)據(jù)的流轉(zhuǎn)模型，例如確定網(wǎng)銀系統(tǒng)為需要識(shí)別的業(yè)務(wù)系統(tǒng)，網(wǎng)銀系統(tǒng)具有轉(zhuǎn)賬業(yè)務(wù)功能，而實(shí)現(xiàn)此業(yè)務(wù)功能需要產(chǎn)生交易數(shù)據(jù)，由此，我們可以識(shí)別出客戶通過(guò)網(wǎng)銀系統(tǒng)轉(zhuǎn)賬這一業(yè)務(wù)場(chǎng)景和交易數(shù)據(jù)這一類重要數(shù)據(jù)；在此基礎(chǔ)上，識(shí)別交易數(shù)據(jù)流經(jīng)的所有IT資產(chǎn)路徑，包括但不限于服務(wù)器、網(wǎng)絡(luò)設(shè)備、鏈路、終端等；然后分析交易數(shù)據(jù)流經(jīng)具體IT資產(chǎn)以及IT資產(chǎn)組件可能會(huì)面臨的威脅方式，細(xì)化到什么人通過(guò)什么方式導(dǎo)致數(shù)據(jù)發(fā)生差錯(cuò)或者泄密的潛在影響；只有把數(shù)據(jù)分析到這個(gè)細(xì)粒度，才能有針對(duì)性的評(píng)估現(xiàn)有控制機(jī)制是否能夠覆蓋分析出來(lái)的固有風(fēng)險(xiǎn)，以便采取有針對(duì)性的控制機(jī)制。

從上述優(yōu)秀實(shí)踐可以看出，重要數(shù)據(jù)的場(chǎng)景識(shí)別以及對(duì)應(yīng)的風(fēng)險(xiǎn)分析是需要金融機(jī)構(gòu)根據(jù)現(xiàn)有系統(tǒng)以及在建系統(tǒng)的實(shí)際需要來(lái)組織，前期需要投入較大的專家人力資源來(lái)開展；這個(gè)實(shí)踐的重要性是能夠較大程度上杜絕被忽略的數(shù)據(jù)篡改點(diǎn)或泄漏點(diǎn)，而不是將數(shù)據(jù)安全只停留在表面，目前業(yè)界也有嘗試通過(guò)自動(dòng)化的數(shù)據(jù)發(fā)現(xiàn)機(jī)制來(lái)提升重要數(shù)據(jù)傳輸路徑識(shí)別的效率，這將會(huì)是對(duì)做好數(shù)據(jù)安全的一個(gè)重要技術(shù)支撐，但仍然代替不了專家參與的業(yè)務(wù)場(chǎng)景識(shí)別和體系化的分析。

十二、安全意識(shí)

《指引》第三十一條規(guī)定了商業(yè)銀行應(yīng)對(duì)所有員工進(jìn)行必要的培訓(xùn)，使其充分掌握信息科技風(fēng)險(xiǎn)管理制度和流程，了解違反規(guī)定的后果，并對(duì)違反安全規(guī)定的行為采取零容忍政策。

我們觀察到，信息安全意識(shí)的培訓(xùn)是金融機(jī)構(gòu)安全管理部門每年都定期不定期組織的常規(guī)活動(dòng)，既有監(jiān)管層面的推動(dòng)和檢查的外力作用，也有金融機(jī)構(gòu)需要提升安全意識(shí)水平防止安全事件發(fā)生導(dǎo)致不必要的聲譽(yù)損失和監(jiān)管處罰的內(nèi)部需要。

安全意識(shí)培訓(xùn)本身目前也發(fā)展成一門細(xì)分的專業(yè)領(lǐng)域，大多數(shù)中小銀行會(huì)聘請(qǐng)外部安全專家給全行開展安全意識(shí)培訓(xùn)的課程；也有部分銀行業(yè)金融機(jī)構(gòu)將信息安全意識(shí)培訓(xùn)和提升包裝成一類服務(wù)，外包給專業(yè)從事安全意識(shí)培訓(xùn)的外部機(jī)構(gòu)來(lái)實(shí)施；不僅可以充分利用專業(yè)第三方的培訓(xùn)工具和手段提升培訓(xùn)效果和效率，而且可以通過(guò)靈活和體系化的培訓(xùn)機(jī)制，制定考核標(biāo)準(zhǔn)來(lái)評(píng)估安全意識(shí)培訓(xùn)的效果，并建立持續(xù)改進(jìn)機(jī)制。

此外，我們觀察到大多數(shù)中小銀行，都建立了針對(duì)外包人員的安全培訓(xùn)和考核機(jī)制，其中很重要的一項(xiàng)就是需要外包人員學(xué)習(xí)和遵循銀行的信息安全管理制度，防止因?yàn)橐胪獍藛T帶來(lái)的信息安全隱患。

《指引》涉及的信息安全領(lǐng)域的現(xiàn)狀觀察總共三期，已經(jīng)全部完成，下期我們將開展《指引》中信息系統(tǒng)開發(fā)、測(cè)試和維護(hù)領(lǐng)域相關(guān)監(jiān)管要求的現(xiàn)狀觀察。

本文內(nèi)容來(lái)自盛邦安全對(duì)中小金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理現(xiàn)狀的觀察與調(diào)研，難免管中窺豹，其中不全面或不當(dāng)之處歡迎大家交流指正，也請(qǐng)各位不要對(duì)號(hào)入座。針對(duì)中小金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理現(xiàn)狀觀察的系列文章將陸續(xù)發(fā)布，敬請(qǐng)期待。