笔者作为信息安全业内人士,详细阅读《证券基金经营机构信息技术管理办法》(以下简称《管理办法》)之后,结合自身工作与信息安全有关的行业背景,以本文谈下对《管理办法》深入学习的体会,并介绍安全厂商提供的信息安全要求的应对思路。
1. 概述
证监会于2018年12月发布《管理办法》,分七章共六十四条。这份文件作为行业信息技术监管的法律依据,对证券公司、基金管理公司和行业信息技术服务机构都有重要意义。
2. 信息安全服务注意要点
《管理办法》适用范围覆盖全面,囊括信息技术服务机构的定义要求。信息技术服务的范围主要包含重要信息系统的开发、测试、集成及测评,如业务系统的流程设计、功能设置、参数配置和技术实现,及重要信息系统的运维及日常安全管理。
笔者结合自身工作与信息安全有关的行业背景,本小节介绍信息安全服务注意要点。
首先,《管理办法》强调了服务开展注意要点。结合信息安全来说,安全评估常见评估服务内容如渗透测试、漏洞扫描等,服务实施前必须获得经营机构的书面授权,服务结果应当第一时间与经营机构反馈沟通并指导修复,不得公布漏洞或缺失细节,从而降低服务机构违法违规风险。
其次,应急管理方面,服务机构需协助经营机构开展应急演练。其中,定期组织关键岗位人员开展应急演练,演练频率不低于每年一次,以保障应急预案的时效性,确保应急演练在两年内覆盖全部重要信息系统,提高演练熟练程度,最大限度降低数据安全带来的业务风险。
在国内开展信息安全相关工作,一些基本要求需要得到有效关注与落实,如2017年6月1日实施的《网络安全法》以及配套的系列法规要求。信息技术服务机构需要学习行业监管办法,采取适合的行为,合法开展服务工作。
再次,信息技术服务机构应当在与经营机构合作前,明确告知各自的责任和服务分工。其中,证券基金经营机构应当清晰、准确、完整的掌握重要信息系统的技术架构、业务逻辑和操作流程等内容,确保重要信息系统运行始终处于自身控制范围。
3. 信息安全建设思路
信息安全建设工作任重道远,笔者觉得有必要总结自身安全建设经验,分享一些建设思路供大家参考。如下重点疡对《管理办法》条款学习过程中归纳关注重点做说明,分别是信息技术安全建设、数据治理、应急处理能力建设方面提出应对思路。
信息技术安全建设—安全域划分、漏洞管理、投产变更、防护能力
首先优化网络结构,定义安全域,采用防火墙进行逻辑隔离,对进出IP地址、端口等进行严格控制。明晰重要信息系统定义,采取有效漏洞管理措施,减少高危漏洞数量。以重要信息系统为主线,制定系统投产、变更和下线方案。通过部署抗拒绝服务攻击、网络入侵防护和恶意程序防护措施提高基础安全水平,进而可适时采取网络全流量分析技术、持续监测与防护等措施,应对高级别攻击。
理顺系统架构
经营机构进行安全域划分可以帮助理顺网络和应用系统的架构,使得信息系统的逻辑结构更加清晰,从而更便于进行运行维护和各类安全防护的设计。
简化网络架构复杂度
基于安全域的保护实际上是一种工程方法,它极大的简化了系统的防护复杂度:由于属于同一安全域的信息资产具备相同的IT要素,因此可以针对安全域而不是信息资产来进行防护,这样会比基于资产的保护更易实施。
简单快速的漏洞处置过程
执行漏洞闭环管理,漏洞修复并验证是漏洞处置过程最重要一个环节。不仅部署漏扫工具发现漏洞,同时需要引入机制对漏洞进行验证,比如通过资产梳理掌握自有软硬件资产情况做到有的放矢,再如采取帐号登陆扫描获得漏扫结果从而降低误报率。
安全厂商提供安全漏洞扫描服务,针对系统、设备、应用的脆弱性进行自动化检测,帮助经营机构来侦测、扫描和改善其信息系统面临的风险隐患;侦测某个特定设备的系统配置、系统结构和属性;执行安全评估和漏洞检测;提供漏洞修补和补丁管理;是企业和组织进行信息系统合规度量和审计的一种基础技术手段。
漏洞扫描是确定安全漏洞修补方案的最佳手段,接入漏洞扫描器(RSAS、Nessus、Nmap),在扫描器具备最高权限情况下进行自查,输出漏洞扫描器报告,并协助进行漏洞整改,原则上不允许出现高中危漏洞。
安全漏洞扫描会对信息系统内的网络设备、操作系统、应用软件、中间件和服务等进行安全漏洞识别,详细内容如下:
A、网络层漏洞识别
版本漏洞,包括但不限于IOS存在的漏洞,涉及包括所有在线网络设备及安全设备。
开放服务,包括但不限于路由器开放的Web管理界面、其他管理方式等。
空弱口令,例如空/弱telnet口令、snmp口令等。
网络资源的访问控制:检测到无线访问点,……
域名系统:ISC BIND SIG资源记录无效过期时间拒绝服务攻击漏洞,Microsoft Windows DNS拒绝服务攻击,……
路由器:Cisco IOS Web配置接口安全认证可被绕过,Nortel交换机/路由器缺省口令漏洞,华为网络设备没有设置口令,……
……
B、操作系统层漏洞识别
操作系统(包括Windows、AIX和Linux、HPUX、Solaris、VMware等)的系统补丁、漏洞、病毒等各类异常缺陷,……
空/弱口令系统帐户检测
例如:身份认证:通过telnet进行口令猜测,……
访问控制:注册表 HKEY_LOCAL_MACHINE 普通用户可写,远程主机允许匿名FTP登录,ftp服务器存在匿名可写目录,……
系统漏洞:System V系统Login远程缓冲区溢出漏洞,Microsoft Windows Locator服务远程缓冲区溢出漏洞,……
安全配置问题:部分SMB用户存在薄弱口令,试图使用rsh登录进入远程系统,……
……
C、应用层漏洞识别
应用程序(包括但不限于数据库Oracle、DB2、MS SQL,Web服务,如Apache、WebSphere、Tomcat、IIS等,其他SSH、FTP等)缺失补丁或版本漏洞检测,……
空弱口令应用帐户检测。
数据库软件:Oracle tnslsnr没有设置口令,Microsoft SQL Server 2000 Resolution服务多个安全漏洞,……
Web服务器:Apache Mod_SSL/Apache-SSL远程缓冲区溢出漏洞,Microsoft IIS 5.0 .printer ISAPI远程缓冲区溢出,Sun ONE/iPlanet Web服务程序分块编码传输漏洞,……
电子邮件系统:Sendmail头处理远程溢出漏洞,Microsoft Windows 2000 SMTP服务认证错误漏洞,……
防火墙及应用网管系统:Axent Raptor防火墙拒绝服务漏洞,……
降低系统投产变更引入的安全风险
经营机构建立系统投产变更内容评审和审批授权机制,在系统上线前采取综合安全评估,通常包含漏洞扫描、配置检查、渗透测试和代码审计。各项评估发现的安全问题能够及时得到整改,进而降低系统投产变更引入的安全风险。
提高信息安全防护能力
主要依据信息安全策略及行业发展动态,在对信息安全现状进行风险评估、差距分析的基础上部署安全防护措施,如遵循金融行业等级保护标准三级要求,需部署防火墙、入侵检测/防御设备、堡垒机和审计类产品。
信息技术安全方面,牢记以重要信息系统为主线,构建合规、适用、高效的信息安全技术框架。
此节详细分享,可以阅读之前稿件《证券类金融企业网络安全建设方法与思路》、《证券业金融企业网络安全建设进阶》。
数据治理—企业数据文化建设、数据分类分级、数据保护措施
数据治理安全建设工作开展思路,关键词是企业数据文化建设、数据分类分级、数据保护措施,如下提出符合行业现状的四个建议说明如下:
完善企业数据治理架构,推进数据文化建设
良好的组织架构可以理顺各部门间的数据管理协作关系,保障管理机制有效
执行,提供数据管理制度落地实施。主动积极的数据文化能够提升员工数据安全意识,改变员工工作方式和习惯,从而降低客户资料泄露风险。
完善数据管理制度
借鉴国内同业和国外相关领域的领先实践,建议经营机构编制数据标准化规范、数据质量管理、数据生命周期管理、数据安全管理要求,以及可供经营机构落地实施的数据安全评估流程和评估方法。
精细化数据分类分级
金融数据范围广且数据量巨大,现有措施大多为一刀切管理,未对数据进行精细化分级分类,影响业务价值的体现,同时也影响数据安全保护。2018年9月证监会发布《证券期货业数据分类分级指引》,要求经营机构有效汇总并整理数据范围,建立数据分类体系,明确数据重要程度等级。
为了帮助信息安全人员着手开展数据分类分级,本文列出目前采用较多的数据安全梳理方法是全生命周期管理法。数据生命周期管理是一种基于策略的方法,用于管理信息系统的数据在整个生命周期内的流动,包含对数据的产生、使用、迁移、清理、销毁。通过对数据进行整体生命周期梳理,由此发现数据在各个阶段的脆弱点及面临的潜在威胁。例如,金融机构工商银行构建数据分层的数据架构体系(数据采集层、数据集成层、指标模型层、管理操作层),运用数据生命周期管理,将应用系统按产品线进行划分,并对各产品线的数据类别进行识别,且明确各类数据的数据有效期。保障数据安全,促进各应用系统信息高度共享,充分发挥数据价值。
有效降低数据安全风险
由于自身业务及数据信息的高价值属性,近年来已成为各类信息安全事件重灾区。如若经营机构的数据保护措施较薄弱、现有防护系统未关注数据威胁警示,都将加剧数据泄漏风险。因而,适当采取数据防护技术,根据不同类别和级别作出差异化数据管理。
根据经营机构其自身业务特性和控制策略,疡有效的技术手段,来封锁各种数据泄露途径,保证数据安全。好的技术手段应该可以在数据泄露事件发生前,发生时,发生后全过程进行控制。
事前预防
事前预防指通过技术手段的采用,可以预防数据泄露的发生或提高数据窃取成本,从数据CIA原则出发进行技术手段设计。常见的事前预防技术手段有透明加密,数据脱敏,终端安全,加密key,磁盘加密,移动介质管控等;
事中阻断
事中阻断是指当数据泄露发生时,其可以识别数据泄露行为并进行阻断。常见的技术手段有网络数据防泄露系统(网络DLP),邮件数据防泄露,终端数据防泄露等。其中终端数据防泄露可以有效防护移动介质拷贝,即时通讯工具传输,截屏,录屏等手段造成的数据泄露。
事后审计
事后审计是指当数据泄露事件发生后,提供可追溯审计的日志,帮助技术人员进行数据泄露源头或责任人定位。常见的技术手段有数据库审计,日志审计系统以及事中阻断技术手段产生的日志。
应急处置能力建设—达成数据备份能力、建立应急预案、开展应急演练
达成数据备份能力
对于关键性业务数据,例如:软件应用代码、网络配置、Web代码等,根据实际情况,疡合适的备份策略和备份地点,做好提前备份,备份策略的疡可以为:全备份、增量备份;备份地点:本地备份、远程备份等。
备份策略
全备份:定期对关键性业务数据进行一次完全性的备份,在受到数据损坏的第一时间,可以进行立马恢复,但是每次备份的时间长、备份空间有限。
增量备份:在第一次数据备份后,以后每次的数据备份,只备份上次备份结束到此次备份期间增加或者修改的数据,备份的时间大大缩短,备份空间利用率高,但是在发生灾难时,数据只能先恢复到第一次备份,然后再对之后的增量备份进行依次恢复。
全备份+增量备份:在一定的时间点进行一次全备份,在到达下次时间点,即两个时间点期间,进行增量备份。比如,在每周一进行一次全备份,星期二至星期日进行增量备份,无论在何时间数据损坏,只需恢复本星期一的全备份以及本周的增量备份即可,这样既能保证数据迅速恢复的前提下,备份时间和备份空间也可以达到高效化。
备份地点
本地备份:将关键性数据存储于与此应用同台服务器的不同硬盘中,建议将数据备份加密存储。
异地备份:在非承载关键性数据的服务器外,额外建立专门用来存储数据备份的BE服务器,可手工备份后上传至BE服务器,或者采用软件进行自动备份。
开展应急演练
经营机构应当根据系统变更、业务变化等情况,持续更新应急预案。根据应急预案定期组织关键岗位人员开展应急演练。规模较大的经营机构,可组织业务部门、技术支撑部门、风险管理等相关内部部门共同进行应急演练。
应急演练主要演示常用种类的攻击行为,比如网络入侵应急演练、网页篡改应急演练、恶意代码攻击应急演练、DNS拒绝服务攻击应急演练等常见演练场景。
应急演练总体流程
应急演练中,按照演练方案的一般步骤分为五个阶段,分别是:准备阶段、攻击阶段、监测阶段、处理阶段、总结阶段。其示意图如下:
参考:
绿盟科技金融事业部 《浅谈金融行业数据治理之信息安全考虑》 陈爱珍
绿盟科技金融事业部 《浅析商业数据安全防护体系建设思路》 张海仓
结语
《管理办法》引导证券基金经营与服务机构在依法合规、有效防范风险的前提下,持续强化现代信息技术对证券基金业务活动的支撑作用。为了信息安全人员第一时间着手合规应对工作,并在安全工作中考虑《管理办法》信息安全相应条款要求,制定合适的年度安全建设工作计划。笔者从信息安全厂商角度谈下自身对于《管理办法》学习体会,并给出经营机构在信息安全应对思路。
本文转自绿盟科技金融事业部安全月刊2019年4月刊,作者:金融事业部 俞琛
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。