日前,中国证监会发布《上市公司公告电子化规范》《证券期货业信息安全运营管理指南》等9项金融行业标准,进一步夯实了科技监管基础。其中《证券期货业信息安全运营管理指南》(简称《指南》)提供了开展信息安全运营管理中指导思路及方法,并给出了信息安全运营工作各管理域的度量指标以及最佳实践,可有效指导证券期货业机构建立完善的安全运营体系和流程,规范信息安全运营管理过程,推动相关安全措施的有效实施和持续改进。
《指南》适用于证券期货行业的核心机构和经营机构在完成基础的信息安全建设后开展的信息安全运营管理工作。(注:核心机构包括证券交易所、期货交易所、登记结算公司等,经营机构包括证券公司、期货公司、基金管理公司等)
《指南》各管理域最佳实践的重点关注内容如下:
01 管理域:安全管理
管理过程:安全目标、安全组织、安全制度、安全资源、安全培训、安全绩效、安全知识
最佳实践:
1. 安全目标管理:对目标进行自上而下分解,然后由安全管理部门将安全目标同步下发到各个部门落实完成。
2. 安全组织管理:将安全组织纵向分为括决策层、管理层、执行层;横向分为业务部门、安全部门、审计部门。
3. 安全制度管理:参考 iso 27001建立相应的安全管理制度。
4. 安全培训管理:建立培训后员工反馈沟通机制,采用实战化的方式来检验员工的安全培训效果。
5. 安全绩效管理:设置加分和扣分项,并与人员和组织的绩效考核挂钩。
6. 安全知识管理:建立知识管理平台,安全知识的范围包括安全漏洞库、工具库、情报库。
02 管理域:基础安全管理
管理过程:系统安全、网络安全、主机安全、终端安全、补丁、安全基线
最佳实践:
1. 终端准入层面,在终端未安装防病毒软件且病毒库不在最近一个月内的,禁止准入。
2. 恶意代码的检测层面,结合基于特征库的静态检测及基于行为特征的动态检测两种不同方法。
3. 基础安全配置层面,定期检查其有效性,对不符合项及时进行整改。
4. 数据交换接口格式采取纯文本格式,如 yaml、json,避免使用可能隐藏恶意代码的格式, 如 xml、js。
5. 先在负载均衡设备上对加密网络流量进行解密(如通过统一卸载 ssl 的方式),再将明文流量接入安全检测系统中做分析,以解决分析加密流量的问题。
03 管理域:信息资产管理
管理过程:信息资产发现、信息资产管理
最佳实践:
1.持续对信息资产进行跟踪和维护。
2.使用成熟的基于生命周期的方法,对信息资产进行管理,确保信息资产为最新状态。
3.在信息资产管理过程中宜采取自动化收集、更新维护的措施,来提升管理效率。
4.采用信息资产集中管理系统进行统一管理。
5.与企业内部 it 运营流程进行联动,使得信息资产信息输入、变更等能得到及时的更新。
04 管理域:漏洞管理
管理过程:漏洞发现、漏洞验证、漏洞评估、漏洞修复/加固、漏洞复测、漏洞复盘
最佳实践:
1.情报获取:通过外部安全服务或自有情报获取能力,可获取及时的高危漏洞情报信息。
2.情报适配:利用资产威胁管理系统,可查看漏洞情报和信息资产的匹配情况。
3.漏洞检测:利用网络安全漏洞情报配套的poc检测插件,对可疑信息资产组进行针对性地扫描, 快速定位风险信息资产。
4.协助修复/加固:利用漏洞情报配套的加固方案/补丁,配合漏洞验证结果帮助操作人员执行漏洞修复/加固实施操作。
5.漏洞复测:通过漏洞管理平台确认漏洞修复/加固完毕后,可调用poc 检测引擎进行漏洞复测。
05 管理域:开发安全管理
管理过程:安全需求分析、安全架构评审、安全开发、安全测试、安全上线
最佳实践:
1.安全需求分析:将安全需求分为通用安全需求和业务安全需求两种,业务需求提出同时填写好安全需求分析库,研发团队根据安全需求编制需求规格说明书,然后安全团队、研发团队和业务部门对需求规格说明书内容进行讨论、分析和确认。
2.安全架构评审:给出系统整体架构、部署架构、网络拓扑等设计要求,系统设计要包含全局有效的权限管理模块、安全审计日志模块、全局的异常处理机制,对数据进行保密性、完整性保护处理,宜使用指定的第三方软件版本,明确系统数据备份和恢复方式与频率,分配合理的网络安全域。
3.安全开发:制定信息系统开发安全规范,在数据输入校验、输出编码、上传下载、异常处理、代码注释等方面提供参考编码样式或组件,建立源代码、第三方软件自动化检测平台和ide安全检测插件,制定源代码 top 20 缺陷,建设开发安全组件库。
4.安全测试:依照确定好的安全需求库进行安全功能开发,并设计测试用例,将部分安全检测能力前移,在上线前对测试报告进行评审和确认,确定所有安全功能点已实现。
5.安全上线:新系统上线前完成系统所有模块的安全测试。滚动开发上线,针对互联网内系统,若近1年内曾进行过系统所有模块的安全测试,则上线前可仅完成系统新增模 块的安全测试。针对内网系统,大版本变更,上线前完成申请安全测试,安全测试可与上线并行实施,小版本变更,上线前不进行安全测试。
06 管理域:数据安全管理
管理过程:数据分类分级、数据全生命周期安全管理
最佳实践:
1.从终端、网络层面,建立全面的数据交换监控体系。
2.敏感文件本地终端存储可采用磁盘和文件加密两种方式。
3.数据采集方面,对于数据采集源可采用白名单、签名验签方式 。
4.数据传输方面,建议采用内容加密和通道加密方式;在内部的数据传输,建议使用主机白名单机制。
5.数据存储方面,结构化数据库一般采用表空间加密,对于核心字段进行列级加密。数据加密宜采用对称算法。
6.数据处理和使用方面,在服务端的数据处理,宜重点关注主机加固,同时对于主机的特权管理进行收敛。在终端数据处理和使用方面,除终端环境具备数据防泄露的安全措施之外,还可采取数据脱敏、敏感数据使用打点记录,增加系统打点日志类型,进行全流程追溯。
7.数据交换,对于非结构化的数据,可采用统一的数据共享平台,数据共享前宜根据数据级别建立严格的审批矩阵,自动化的审批联动数据共享。对于采用接口方式提供数据的场景,在审批通过的前提下,建立白名单和严格的接口签名验签机制,同时采用 https 的方式保证数据共享链路安全。
8.数据销毁,对于云环境存储的数据销毁,采用加密擦除的方式,如有必要可采取物理销毁。
07 管理域:集中监控与响应管理
管理过程:日志采集、日志格式化、制定告警规则、制定事件规则、事件响应与处理
最佳实践:
1.日志采集尽量覆盖重要业务系统的网络、主机、应用、关键业务操作类日志。
2.日志采集可采用大数据相关技术,提供近实时的日志流采集。
3.日志格式化,可以建立统一的schema,对异构日志进行解析。重点关注解析器的负载性能, 保证解析的实时性和有效性。
4.异构日志重点关注各类日志的时间同步问题。内部宜建立统一的 ntp服务器,保障日志时间的一致性。
5.日志格式可能会随着的系统升级或功能变更有相应的变化,宜有专人对日志格式进行验证。
6.日志在格式化时,可进一步进行富化。例如借助 cmdb 系统中的信息,进一步完善信息资产相关属性信息。
7.告警和事件规则,宜定期进行场景验证,保证其运行符合预期。
8.告警方式宜丰富,如通过即时通讯工具告警、邮件告警、短信告警,避免单一告警方式的失效所带来的运营盲点。
9.根据sop进行事件响应和处理,一般sop至少包括:事件编码、事件描述和现状描述、事件告警规则、告警内容、标准操作步骤、闭环条件。
10.定期对事件进行统计分析,揭示主要风险、分析根本原因,并复盘总结处理过程 。
11.关注外部安全事件和威胁情报,并及时评估对本企业的影响性,做好后续的应急处置措施。
12.使用soar系统将安全相关系统api打通,通过预定义的剧本形成标准化作业流程,对安全事件实现自动化响应和处置,可有效提升安全运营效率。
08 管理域:持续改进管理
管理过程:安全检测、安全审计、有效性验证
最佳实践:
1.漏洞扫描结果宜自动同步到漏洞运营平台,一线运营人员按照漏洞的影响性大小来确定修复优先级,在系统中下发修复指令自动通知到业务方进行漏洞确认。漏洞确认后进入修复环节,在修复环节宜有修复时长的限制,自动跟踪和提醒。修复完成后,业务方反馈修复确认,自动触发扫描任务进行扫描,扫描后判断漏洞不存在,发送结果自动关闭漏洞工单,运营人员进行审核入库 。
2.一般基线检查宜对接变更管理流程。当变更完成后,进行基线检查,将检查结果与上次结果进行对比,明确变更内容。基线检查一般除检查配置外,还宜检查主机访问控制策略、监听端口、 网络连接等信息。
3.针对安全设备功能有效性检测,可借助同类其他安全设备进行交叉验证。
4.针对日志采集有效性检测,一般是监控在单位时间内日志有无。另外,还可比对单位时间内发送日志量和接收日志量,判断日志是否有丢失情况。
5.内部红蓝对抗或者虚拟红队,常态化的进行渗透,也是告警策略和事件规则有效性的一种检测手段。
6.对于一线运营闭环的安全事件,二线专家宜定期进行分析其运营过程是否合理,运营时分析的日志依据、闭环的理由是否充分,及时发现运营过程中的问题,复盘改进。通过定期培训,强化运营人员的技能水平,提升运营效能。
指南要点总结
安全运营闭环管理
《指南》包括安全管理、基础安全管理、信息资产管理、漏洞管理、开发安全管理、数据安全管理、集中监控与响应管理等内容,全面覆盖日常信息安全运营工作的各个领域,辅以持续改进管理进行不断优化,实现证券期货业机构信息安全运营工作的闭环管理。
指标明确易落地
依托核心机构及经营机构运营管理经验,《指南》引入“最佳实践”内容,配合附录a中的“度量指标”,给予信息安全运营管理工作具体指导,使信息安全运营工作更具操作性、更易落地。
自动化运营提质增效
《指南》在各管理域提出具体的管理平台及工具,强调自动化运营,结合规范化的工作流程,可有效提高信息安全运营工作的效率,降低运营成本。
天融信安全运营建设方案
基于多年在金融行业安全运营中心建设的技术积累和实施经验,天融信在现有安全防护体系的基础上,为证券期货业机构构建“智能分析、纵深防御、高效可视”的安全运营体系,增强威胁分析、联动防御和自动化处置能力,整体提升证券期货业机构的网络安全运营能力。
天融信信息安全运营体系
该体系围绕人、技术、流程、服务四个要素进行建设落地,通过大数据、机器学习、ueba、soar、威胁情报等技术和工具,结合自动化流程和三线安全运营专家服务团队,打造“威胁及脆弱性识别、安全防护、事件检测、响应处置、系统及业务运行恢复”的快速安全闭环能力,帮助客户不断提升安全效果、提升安全运维和安全管理效率、展现安全成果,最终实现“自动响应闭环、持续安全运营”的目标。
● 根据证券期货业机构自身情况,建立权责清晰的组织架构、科学合理的制度体系,确定信息安全运营管理责任,为信息安全运营工作打好基础。
● 建设基于大数据框架的体系化技术平台,对证券期货业机构的系统、应用、用户访问行为等数据进行分析,借助机器学习、模型分析、智能关联、威胁情报等手段,提高攻击识别精准度和威胁检测能力。
● 制定安全事件自动化处置流程,实现安全事件处置的规范化、流程化、自动化,提高安全运营效率,从容应对有组织、大规模的网络攻击,保障组织业务系统及业务数据的安全性。
落地某国有银行
天融信已连续多年助力某国有银行信息安全运营中心建设,主要建设内容包括平台建设咨询、架构设计、功能开发、策略调优、安全模型开发设计及平台运行维护等,范围覆盖其两地三中心及全国省分行,建立了全面、智能、可视化的安全运营中心,可跨地域、深层次探测网络中的实时流量与日志信息,持续优化关联分析模型提升威胁分析与响应能力,基于技术平台、响应处置流程建设及专家服务,打造企业级安全运营能力,整体提升全行的网络安全防护与管理水平。
在合规驱动、实战对抗的大背景下,天融信将持续助力证券期货业安全运营体系化建设,助力打造符合自身业务发展和时代需求的安全体系,实现对安全威胁的提前感知与预防、对实时风险的监测防御与响应处置、对安全事件的分析溯源,把控网络安全态势,全面提升证券期货机构的网络安全防护与安全运营能力。
- 关键词标签:
- 天融信 安全运营体系建设方案