0 引言

近年来，网络与信息系统成为安全事件和泄密事件的主要途径，国家对安全工作日趋重视，多次下达文件提出严格要求，相关监管部门也加大了安全与保密检查的频度与处罚力度；目前，网络安全已上升为国家发展战略，习近平总书记提出“没有网络安全就没有国家安全”，表明了“网络安全和信息化”是排在政治经济体制改革、国家安全之后的国家重大事项，作为国家重要行业，银行业的经济地位不言而喻，如何全面、系统地保证银行信息系统的持续稳定运行和业务信息的安全，是实现银行业各项业务目标的前提条件。

1 城商行信息安全现状

随着银行业面临的威胁急剧增加，攻击手段越来越复杂，对网络安全防护和网络安全风险管理的要求逐步提高，国家及金融行业监管部门相继出台多个政策指导文件，如《商业银行信息科技风险管理指引》、《电子银行业务管理办法》等，政策文件中对信息安全的要求越来越具体，充分体现出信息安全对于银行信息系统及业务的重要性。近年城商行业务快速发展的同时，也暴露出信息安全管理方面的不足：

1.1 IT基础设施被国外垄断，严重影响行业信息安全

当前，我国城商行的大部分IT基础设施，包括服务器、存储、操作系统、数据库系统、中间件等 IT基础设施很大程度上还依赖于国外核心技术，进而威胁行业信息安全。为此，2014年银监会与工信部联合下发《银行业应用安全可控信息技术推进指南（2014-2015 年度）》（银监办发【2014】317 号）明确了对银行业信息化所涉及的技术、产品及服务的安全可控要求和评价标准，但因业务相对比较复杂、改造成本过高等制约因素，将在一定的时间内影响行业的安全自主可控。

1.2 整体信息安全保障体系尚未形成

城商行前期安全建设相对滞后于业务系统建设，难以有效支撑信息系统工作，业务系统建设过程中缺乏整体信息安全保障体系规划和设计同步，安全管理制度和防护手段相对孤立，无法有效保障银行业务系统安全稳定的运行。

1.3 运维外包加大了风险控制的难度

城商行为节约成本、提高效率和规模，软件开发过于依赖第三方外包服务，由此带来的无序的账号管理、粗放式的权限管理、粗粒度的操作日志审计分析，以及第三方代维人员所引入的人员风险，给城商行业务系统带来了极大的网络及信息安全隐患。

1.4 业务层面的安全将会导致更复杂的问题

虽然国家、行业监管单位已经制定了信息安全等级保护、网上银行系统信息安全通用规范等系列标准，并开展了类似等级保护测评、网上银行风险评估以及信息科技内部、外部审计等一系列的检测手段，但局限于网络层面、系统层面所做的安全工作，且检测出的应用问题在复杂的业务应用环境中难于整改；城商行业务系统的灾备建设与国内五大国有银行差距大，应急能力有待提高，业务系统事故频发，其风险控制水平急需增强，因而业务层面的网络与信息安全问题将会导致城商行信息系统更复杂的问题。

2 城商行信息安全面临挑战

随着互联网技术的快速发展和融合创新，各种新技术、新业务出不穷。网络、系统、终端的安全问题相互交织、相互影响，违法和不良信息扩散、病毒传播、网络攻击等非传统安全威胁日益增多，使得保障IT基础设施和重要信息系统的安全、营造健康的网络环境，面临着前所未有的压力和挑战。

2.1 传统互联网威胁向银行业渗透

在线支付、在线交易等基于互联网的金融业务越来越多，由于服务方式的虚拟化，业务边界的模糊化，经营环境的开放化等特征，使得传统互联网威胁例如病毒、木马攻击等已经向银行业全面渗透。

2.2 新技术使银行业面临更大挑战

互联网技术蓬勃发展，在为用户提供快捷服务的同时，也不可避免的引入新的安全问题并对当前信息安全防护提出新的挑战。随着互联网技术快速发展，如互联网金融等新技术、新业务形态的不断出现，使得银行业也面临着日益严峻的信息安全风险挑战。

2.3 银行成为黑客攻击的重点目标

中国反钓鱼网站联盟（APAC）在2015年8月的反钓鱼网站简报中明确指出“涉及淘宝网、工商银行、平安银行、招商银行四家单位的钓鱼网站总量占全部举报量的96.41%”。同时，国内最大的漏洞相应平台乌云也披露，仅2015 年上半年，已被金融机构确认、修复的自身网站安全漏洞的数量已超过去年同期，其中金融机构网站高危和中危漏洞数量的总和，已占总体探知漏洞总数的97.2%。由此可见以经济利益驱动的攻击和窃取银行业重要数据行为成为新形势下的主要攻击形式。

3 城商行信息安全建设思路

通过对我国城商行信息安全现状分析、以及行业所面临的挑战，结合国家、行业监管单位的要求，为更好的解决安全防护能力不一、体系化不足等问题，迫切需要构建全方位信息安全保障体系，快速提升安全技术防护能力与管理水平。

3.1 明确信息安全总体目标和思路

贯彻落实中央网络安全和信息化领导小组有关要求，执行国家的信息安全等级保护制度，落实行业监管单位要求，逐步提升信息系统的“风险识别、威胁主动防御、事件响应处理”等三项保障能力，逐步形成一体化的风险识别、防护和响应体系，信息安全保障体系建设的总体思路是：管理和技术并重，预防为主，注重长效。

3.2 层次化的整体框架设计

信息安全保障体系整体框架设计应综合考虑IT 管理过程涉及的各个关键要素，将组织、策略、运行和技术等各方面紧密结合，从总体上进行统筹规划，设计信息安全保障整体框架，从技术、管理和运维三方面分层次进行设计。

3.3 制定分阶段目标和实施路径

为保证信息安全保障体系的可操作性，建议采用3-5年时间进行规划设计及实施，分阶段制订详细的阶段实现目标和实施路径，完善城商行信息安全法规制度和标准规范体系，加快建立安全运维管理服务体系。

3.4 形成信息安全指标评价体系

结合国家标准、行业监管单位要求和商业银行信息安全现状，融合国内外以及其他行业最佳实践，形成城商行信息系统可持续改进的信息安全指标评价体系，便于综合量化评价考量安全防控能力水平和信息安全保障体系实施情况。

4 城商行信息安全保障体系设计

信息安全保障体系应以城商行IT基础架构为基础，以信息安全策略为指导目标，遵守国家法律法规、行业要求，参考信息安全等级保护、ISO27001等最佳实践，通过安全管理体系、安全技术体系以及安全运维体系三个重要部分来实现可管、可控和可信的三个信息安全目标，最后通过信息安全指标评价体系来评价考量信息安全保障体系实施情况，信息安全保障体系设计如下图1。

图1 信息安全保障体系架构示意图

4.1 信息安全管理体系

信息安全管理在信息安全保障体系中占有重要的地位，包括安全策略、安全组织两个部分。安全策略体系总述了信息安全的总体方针政策、标准规范和指南细则、以及各类实施细则、操作手册组成。安全组织体系定义了保障信息安全策略有效执行需要的角色和职责，从职能上分为决策、管理和执行三个组织层次。

4.2 信息安全技术体系

信息安全技术是信息安全保障体系的基础，安全管理是安全技术切实发挥作用的保障。信息安全保障体系采用纵向防护与横向防护相互关联、相互支撑的技术架构。纵向包括终端、数据、应用、系统、网络、物理六个层次，横向包括识别与监测、安全防护和审计与恢复三个环节，在纵横之间部署相应的安全技术组件。识别与监测：主要包含了威胁识别、入侵检测、漏洞扫描等要求。安全防护：主要包含了身份认证、攻击防护、数据加密、访问控制、安全配置等要求。审计与恢复能力：主要包含了操作审计、应急响应、灾备恢复等要求。

同时，在安全技术组件设计时应充分关注新技术带来新挑战，例如虚拟化、云计算等IT 环境下比较突出的是用户数据资料和资源滥用的问题，高级新型攻击如APT攻击防护等。

4.3 信息安全运维体系

信息安全运维主要是通过一系列的流程和规范，将管理和技术措施在日常工作中进行落地和执行。安全运维以风险管理为基础，采用安全事件“事前、事后”的主动和被动两种方式实现常态化的安全运维。

5 城商行信息安全保障体系建设成效评价

如何评估和量化信息安全保障体系建设成效，将成为信息安全保障体系能够有效落实的关键因素，通过制订符合现状的信息安全指标评价体系将是其最佳方法。

5.1 确定评价体系的量化目标

信息安全保障体系评价指标，应与信息安全总体策略保持一致，根据信息安全策略来确定评价体系的量化目标，例如在本文件第5部分信息安全保障体系设计中的信息安全策略，那么我们可以在信息安全策略的基础上来定义信息安全评价体系的量化目标的四个层次（初始级、可管级、可控级、可信级），每个层次应包含组成信息安全保障体系运行的技术、管理和运维各个方面。

5.2 关键评价指标设计

关键评价指标设计应按照信息安全策略目标、各层次目标、流程目标和性能指标逐步分解；如下图2所示：

图2 信息安全评价体系指标设计

图中信息安全管理的目标评价内容包括：流程运行结果成效和流程中的信息安全管控活动两项内容，针对量化内容，可以分别关键目标指标评价（KGI）和关键性能指标评价（KPI）依靠下列指标的评价来实现。关键目标指标评价（KGI）：针对流程运行结果的评价。关键目标指标是明确要取得什么目标，并描绘控制的结果，进行事后评判，来体现控制的完成即成功与否。关键性能指标评价（KPI）：主要针对流程关键成功因素的评价，如某一控制措施，通过对该关键成功因素的实际表现进行观察和评价，从而了解该因素是否满足标准、信息安全保障体系的要求。关键性能指标是控制执行程度的测定，面向控制过程，指出控制要完成到怎样的程度。

5.3 明确评价措施和方法

评价方法是评价实施过程中关键识别的要素，评价人员通过对计算公式、刻度以及采集频率的总结和选取，周期性或随机性对数据源进行采集，经过计算公式转化，最终在将数据源产生的原始数据在一定的刻度下转化为可量化的各项指标，其中，采集频率可参考下列内容：年度、季度、月度以及周为单位；刻度可以参考：排序、间隔、百分比以及绝对值；通过具体的评价手段如下：访谈、调查问卷、检查、演练、测试和采样等方式来获取评价的数据来源。

6 结束语

信息安全保障体系建设具有动态性、长期性的特点，要以实现业务目标为导向，伴随业务目标调整而调整，为确保信息安全保障体系的适用性，当发生业务转型、业务变更和大规模的信息变化时，需要及时对信息安全保障体系进行修订和改进；同时，应关注新技术、新业务形态带来的安全问题，如云计算、大数据、在线支付交易、微信银行等新技术和业务带来的安全问题，通过研究和开发相应的安全解决方案为信息安全保障体系优化提出改进建议及要求。