安全体系优化思路
信息安全新政策、法规盘点
2020-2021年国家颁布了9条与公司强相关的信息安全政策法规,其中3条为数据安全相关、2条是个人信息安全保护、2条是金融属性的。
1月,密码法。对SIM国密改造有直接指导作用
2月,个人金融信息保护技术规范。与公司风控、金融等产品有直接关系
3月,个人信息安全规范。为公司业务个人信息安全使用指引方向
4月, 防火墙安全技术要求和测试评价办法。对公司安全基础防护提供了产品层面标准依据
6月,网络安全审查办法。指导公司关键信息基础设施安全策略制定
7月,中华人民共和国数据安全法。为公司数据安全提供指导方向
8月,电信和互联网行业数据安全标准体系建设指南。为公司数据安全体系提供了最佳实践指导
9月,金融数据安全 数据安全分级指南。为公司数据安全(金融类)提供了最佳实践指导
10月,中华人民共和国个人信息保护法。为公司业务个人信息处理及使用提出指导
安全相关法律法规及国家标准要求解读
1.等级保护2.0 GB/T25070-2019
公司业务需遵循等保2.0 二级、三级安全要求。其中要满足等保2.0二级安全要求的业务包括:*******系统; 等保2.0三级的业务包括:********系统。
网络安全等级保护安全技术设计框架
云计算等级保护安全技术设计框架
**结论:**根据等级保护安全设计框架,不同安全等级的业务必须采用安全区域边界进行隔离(一般采用网关隔离)
2. 持牌监管安全要求
国内有25张较为重要的金融牌照,包括:银行、信托、金融租赁、消费金融、金融资产管理公司、货币经纪、贷款公司、第三方支付、征信、证券、期货、公募基金、基金子公司、基金销售、基金销售支付、私募基金、股权众筹、保险、保险代理、融资租赁、保理、小额贷、融资性担保、金融资产交易所。
其中和公司关系密切的监管牌照包括:第三方支付(已具备)、保险经济(已具备)、金融(可申请)、征信(可申请)
**结论:**监管业务需保障独立性(基础设施、数据等)
3. 国密算法安全要求
我国一直采用国外制定的安全协议和加密算法,无法满足关键系统、设备的安全、自主、可控,网络安全形式不容乐观。因此SIM作为未来数字货币、数字身份重要载体之一,需通过使用积极推进国产密码算法的进步和发展。
具体国密算法要求详见:GM/T 0054-2018《信息系统密码应用基本要求》
4. 行业安全要求
基于对《数据安全法》、《电信和互联网行业数据安全标准体系》及《金融数据安全分级指南》研究,公司在未来需注重数据安全的发展不断完善数据安全制度,提升数据安全保护意识,通过数据定级分类,根据不同类别使用不同的安全策略。目前公司数据包含4、3、2级。
金融数据安全定级规则参考表
安全技术演进路径
以企业信息安全成熟度标准衡量,目前公司在“第三级”定义级水平,但安全合作、安全培训、风险管理和代码安全仍然有很大的进步空间,下一步为定量级需要引入数据安全、推进安全标准化。以网络安全技术发展标尺衡量,公司正处于被动防御向积极防御阶转换阶段,即需要实现网络内的持续监测响应、安全分析、追踪溯源、完善防御体系等。
被动防御阶段:建立在基础架构安全的基础上,目的是假设攻击者存在的前提下,保护系统的安全。在无人原介入的情况下,附加在系统架构之上可提供持续的威胁防御或威胁洞察力的系统。
积极防御阶段:分析人员开始介入,并对网络内的威胁进行监控、响应、学习和应用知识(理解)的过程。
威胁情报阶段:收集数据,将数据转换为信息,并将信息生产加工为评估结果。以填补已知知识缺口的过程。
反制进攻:在友好网络之外对攻击者采取直接行动。
互联网安全团队职能划分及规模概况
比较大型的互联网公司(参考腾讯、阿里)安全团队通常分为两队,一队做传统的攻防对抗领域,一队则偏于业务安全上的“风控”。当团队小的时候基本都专注于安全本身,但到了一定规模或到了复杂的运营阶段就需要大数据的支持,安全团队本身会引入产品经理、开发、运维、DBA等各种职能,类似于一条业务线。
在团队规模方面,以阿里和腾讯为分析蓝本其安全团队(含业务安全/风控)的规模大约在2000多人左右(此数据来源于非官方渠道),两家公司的员工综述均为30000多人,安全技术人员占比约7%,安全体系内部,业务安全含风控团队通常是攻防的2倍以上,安全团队规模与业务承载的适应比率如下表所示:
**启示:**安全组织划分策略方面,金融业务转型的同时,安全威胁手段也随之推陈出新,未来安全防护技术必然需要与金融业务需求全面结合。然而目前公司的安全水平并不能端到端覆盖,参照大型互联网企业安全组织分为业务安全和基础平台安全,在一定阶段内既能够保障集中化的安全资源利用又兼顾业务安全的个性化和敏捷支撑需求。
总结安全现状及痛点分析
417
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
