P2P公司信息安全管控体系建设
互联网金融,受银监会监管,本身还是金融,所以相比于传统金融企业在服务上更加开放与多样,但相对于视频直播、电商等互联网公司来看,面临的互联网压力又没有那么大。所以在这样的平台下面,即要符合监管合规要求,又要有一定的技术支撑。在这样的背景下,需要建设信息安全体系,需要有自己独特的建设和规划。
- 安全风险的影响
随着互联网发展,安全问题会直接对公司的运营,业务产生重大的影响。最近爆发几次大的安全事件,如客户信息批量泄露,密码泄露等,对公众公司造成不仅仅是经济方面的损失,还包括如用户流失,形象受损等潜在的风险。
这就导致越来越多的企业开始重视安全。伴随着国家监管和法律法规落地,如P2P网贷监管条例,网络安全法等一系列法律法规的颁布,很多互联网金融公司开始搭建自己的安全体系。
- 如何建设信息安全体系建设
信息安全体系建设不仅仅是技术层面,一个公司要想建立自己的安全体系,需要从顶层设计到具体的技术落地进行统一规划。一个成熟的信息安全体系,应该有信息安全目标、安全组织架构,安全管理制度以及安全技术能力。必要的安全组织结构,信息安全制度和标准,技术设计,从而最终实现安全体系方面的蓝图规划设计和落地,而不是简单组件一个测试团队就能解决的问题。
顶层设计
信息安全的顶层设计,首先需要明确信息安全的战略,结合企业自身的现状,以信息安全内部,外部的需求为出发点,以问题为导向,建立重要的信息安全能力及公司层面的信息安全管理规定,符合监管要求和企业自身的发展。
从顶层设计上,- 建立信息安全决策层,对重大的信息安全事项进行决策;
- 建立信息安全管理层,确定每条业务线的安全接口及管理职能,他们需要被赋予相应的安全职能;
- 建立安全的执行层,负责系统安全建设,基础设施建设与运维;
- 建立内外部评测和风险评估机制,从人员安全,资产安全,系统建设安全运维,应急与业务连续性,涉密防护等方面符合监管与合规
下面从信息安全战略,信息安全组织,信息安全制度,技术框架上进行介绍
-
- 信息安全战略
- 信息安全战略
战略层面,要建立企业的信息安全的目标与方针,信息安全能力的框架与蓝图。
- 从安全决策,安全管理,安全运行,建设与运维四大方面建设企业自己的安全能力框架,不断优化,打造适合自身企业的信息安全能力蓝图:
- 安全决策:对企业信息安全起到决策,审议与控制的能力
- 安全管理:对信息安全起指导,管理,监督的能力:包括策略与合规,安全培训,风险管理,安全监测与审核
- 安全运行:在安全战略的指导下,利用安全技术达到安全防护的目标的能力:包括信息安全事件管理,安全技术评估
- 建设与运维:是确保信息安全水平的基础能力,是安全运行与管理的对象。具体包括终端安全,数据安全,应用安全,系统安全,网络安全,物理安全
-
-
- 信息安全组织
根据上面的安全战略目标,就需要从资源,技能,意识,沟通方面进行统筹考虑组织与人员的信息安全职能,打造信息安全队伍,从而来支撑信息安全能力蓝图。
这里尤其要强调的是沟通:
要实现纵向沟通:包括向下沟通与向上沟通。向下沟通指高层自上而下发布的战略、目标、计划;向下考核与监督,向上沟通指基层向上汇报。
横向沟通:指部门或工作小组间的信息沟通应急沟通:指遇到紧急事件时而采用的特殊的上报沟通途径。 - 信息安全组织
-
- 信息安全制度:
信息安全制度与标准是信息化制度与标准体系的重要组成部分。在信息安全管理中,打造制度与标准体系,目前的等级保护制度中,也包括包括技术标准,管理标准,基础标准,工作标准等
这里不仅仅要建立制度,同时要建立信息安全制度的检查和审计管理规范,确保制度与标准的有效性及持续优化,并满足合规要求。
配合内部检查与外部评估,同时配合技术手段实现检查效率和覆盖率。
这里重点需要执行的制度包括:
- 安全配置基线制度与检查机制;
- 网络接入安全管理 ;
- 系统运维账号管理;
- 机房出入安全管理
- 安全应急响应管理制度等
- 信息安全制度:
-
- 信息安全技术框架
建立信息安全技术框架,对于互联网金融产品线多,业务关联强,创新业务多这样的场景。要建立安全技术框架,首先重要的是区分防护对象及其安全需求,根据不同的业务设立不同的防护对象,找到企业的痛点,分步实施,打造信息安全基础防护框架与运维安全能力。利用越来越多的互联网技术,开源技术,实现风险可视化,运行自动化,防御主动化。建立统一的安全事件监控与相应平台,深化安全预警,检测与响应,建立可视化的安全状态展示系统及风险与合规平台。
- 信息安全技术框架
信息安全技术基础防御技术架构
从应用系统分类,基础设施二个层面进行技术打造。围绕身份认证,访问控制,监控审计,业务连续性几个维度来实现信息安全目标
- 对应用系统进行分类,包括页面宣传类(如官网),决策分析类(如BI),互联网业务类(如线上理财),协同办公类(如OA),内部交易核心类。
针对不同的业务,实现不同的安全需求。
宣传类是连接互联网的系统,安全重点在对外的防范上,如注入攻击、跨站攻击、DDOS攻击等。
- 交易核心类的安全重点在SSO单点登入,关键登入与操作的审计,用户权限设计;
- 互联网业务是互联网开放的系统,首先要保证业务高可用,防范如注入攻击、跨站攻击、DDOS 。针对这个层面需要在内容安全方面做文章,保护用户隐私,防止越权,应用安全漏洞和业务风控。移动应用平台包括移动门户、开发组件等,安全重点在外部风险、新型的移动终端、移动APP风险。
决策分析数据资源平台包括数据仓库、内容管理等,其安全要点是数据安全,涵盖数据的产生、传输、存储、加工、销毁等过程。
对于基础设施,从终端,基础设施资源池,机房网络结构建设
1. 桌面终端,桌面是P2P公司面临最大的挑战,针对这部分:需要加强对终端自身的安全防护,防范漏洞引起的风险;网络准入;对终端的上网行为进行控制,防范因访问不安全上网行为引起的风险 2. 基础设施主机,建立统一标准化的主机安全模板和基线,从主机登入,账号权限管控,主机漏洞,防病毒和主机异常监控,操作日志审计,非常规日志集中审计进行加强 3、网络结构:根据业务不同,区分不同的网络安全域,建立不同的安全防御手段,建立纵深防御体系,管控网络设备登入,网络设备漏洞修复
<未完待续>
<第一次写,希望能把我们P2P平台的安全建设与大家分享,码子确实容易出错,大家多指教>