P2P公司信息安全管控体系建设

P2P公司信息安全管控体系建设

互联网金融，受银监会监管，本身还是金融，所以相比于传统金融企业在服务上更加开放与多样，但相对于视频直播、电商等互联网公司来看，面临的互联网压力又没有那么大。所以在这样的平台下面，即要符合监管合规要求，又要有一定的技术支撑。在这样的背景下，需要建设信息安全体系，需要有自己独特的建设和规划。

• 安全风险的影响

随着互联网发展，安全问题会直接对公司的运营，业务产生重大的影响。最近爆发几次大的安全事件，如客户信息批量泄露，密码泄露等，对公众公司造成不仅仅是经济方面的损失，还包括如用户流失，形象受损等潜在的风险。
这就导致越来越多的企业开始重视安全。伴随着国家监管和法律法规落地，如P2P网贷监管条例，网络安全法等一系列法律法规的颁布，很多互联网金融公司开始搭建自己的安全体系。

• 如何建设信息安全体系建设

信息安全体系建设不仅仅是技术层面，一个公司要想建立自己的安全体系，需要从顶层设计到具体的技术落地进行统一规划。一个成熟的信息安全体系，应该有信息安全目标、安全组织架构，安全管理制度以及安全技术能力。必要的安全组织结构，信息安全制度和标准，技术设计，从而最终实现安全体系方面的蓝图规划设计和落地，而不是简单组件一个测试团队就能解决的问题。

• 顶层设计

  信息安全的顶层设计，首先需要明确信息安全的战略，结合企业自身的现状，以信息安全内部，外部的需求为出发点，以问题为导向，建立重要的信息安全能力及公司层面的信息安全管理规定，符合监管要求和企业自身的发展。
  从顶层设计上，

  1. 建立信息安全决策层，对重大的信息安全事项进行决策；
  2. 建立信息安全管理层，确定每条业务线的安全接口及管理职能，他们需要被赋予相应的安全职能；
  3. 建立安全的执行层，负责系统安全建设，基础设施建设与运维；
  4. 建立内外部评测和风险评估机制，从人员安全，资产安全，系统建设安全运维，应急与业务连续性，涉密防护等方面符合监管与合规

• 下面从信息安全战略，信息安全组织，信息安全制度，技术框架上进行介绍

  • • 信息安全战略
      

  战略层面，要建立企业的信息安全的目标与方针，信息安全能力的框架与蓝图。
  

  1. 从安全决策，安全管理，安全运行，建设与运维四大方面建设企业自己的安全能力框架,不断优化，打造适合自身企业的信息安全能力蓝图：
  2. 安全决策：对企业信息安全起到决策，审议与控制的能力
  3. 安全管理：对信息安全起指导，管理，监督的能力：包括策略与合规，安全培训，风险管理，安全监测与审核
  4. 安全运行：在安全战略的指导下，利用安全技术达到安全防护的目标的能力：包括信息安全事件管理，安全技术评估
  5. 建设与运维：是确保信息安全水平的基础能力，是安全运行与管理的对象。具体包括终端安全，数据安全，应用安全，系统安全，网络安全，物理安全

• • 信息安全组织
    

  根据上面的安全战略目标，就需要从资源，技能，意识，沟通方面进行统筹考虑组织与人员的信息安全职能，打造信息安全队伍，从而来支撑信息安全能力蓝图。
  这里尤其要强调的是沟通：
  要实现纵向沟通：包括向下沟通与向上沟通。向下沟通指高层自上而下发布的战略、目标、计划；向下考核与监督，向上沟通指基层向上汇报。
  横向沟通：指部门或工作小组间的信息沟通应急沟通：指遇到紧急事件时而采用的特殊的上报沟通途径。

• • 信息安全制度：
    

  信息安全制度与标准是信息化制度与标准体系的重要组成部分。在信息安全管理中，打造制度与标准体系，目前的等级保护制度中，也包括包括技术标准，管理标准，基础标准，工作标准等
  这里不仅仅要建立制度，同时要建立信息安全制度的检查和审计管理规范，确保制度与标准的有效性及持续优化，并满足合规要求。
  配合内部检查与外部评估，同时配合技术手段实现检查效率和覆盖率。
  这里重点需要执行的制度包括：
  

  1. 安全配置基线制度与检查机制；
  2. 网络接入安全管理 ；
  3. 系统运维账号管理；
  4. 机房出入安全管理
  5. 安全应急响应管理制度等

• • 信息安全技术框架
    

  建立信息安全技术框架，对于互联网金融产品线多，业务关联强，创新业务多这样的场景。要建立安全技术框架，首先重要的是区分防护对象及其安全需求，根据不同的业务设立不同的防护对象，找到企业的痛点，分步实施，打造信息安全基础防护框架与运维安全能力。利用越来越多的互联网技术，开源技术，实现风险可视化，运行自动化，防御主动化。建立统一的安全事件监控与相应平台，深化安全预警，检测与响应，建立可视化的安全状态展示系统及风险与合规平台。

• 信息安全技术基础防御技术架构

  从应用系统分类，基础设施二个层面进行技术打造。围绕身份认证，访问控制，监控审计，业务连续性几个维度来实现信息安全目标
  

  1. 对应用系统进行分类，包括页面宣传类(如官网)，决策分析类（如BI），互联网业务类（如线上理财），协同办公类(如OA)，内部交易核心类。

  2. 针对不同的业务，实现不同的安全需求。

  3. 宣传类是连接互联网的系统，安全重点在对外的防范上，如注入攻击、跨站攻击、DDOS攻击等。

  4. 交易核心类的安全重点在SSO单点登入，关键登入与操作的审计，用户权限设计；
  5. 互联网业务是互联网开放的系统，首先要保证业务高可用，防范如注入攻击、跨站攻击、DDOS 。针对这个层面需要在内容安全方面做文章，保护用户隐私，防止越权，应用安全漏洞和业务风控。移动应用平台包括移动门户、开发组件等，安全重点在外部风险、新型的移动终端、移动APP风险。

  6. 决策分析数据资源平台包括数据仓库、内容管理等，其安全要点是数据安全，涵盖数据的产生、传输、存储、加工、销毁等过程。

  • 对于基础设施，从终端，基础设施资源池，机房网络结构建设

    1. 桌面终端，桌面是P2P公司面临最大的挑战，针对这部分：需要加强对终端自身的安全防护，防范漏洞引起的风险；网络准入；对终端的上网行为进行控制，防范因访问不安全上网行为引起的风险
    
    2. 基础设施主机，建立统一标准化的主机安全模板和基线，从主机登入，账号权限管控，主机漏洞，防病毒和主机异常监控，操作日志审计，非常规日志集中审计进行加强
    3、网络结构：根据业务不同，区分不同的网络安全域，建立不同的安全防御手段，建立纵深防御体系，管控网络设备登入，网络设备漏洞修复
    

• <未完待续>
  <第一次写，希望能把我们P2P平台的安全建设与大家分享，码子确实容易出错，大家多指教>