广发证券-唐勤：金融企业网络安全建设实践

金融科技的快速发展，对风险管理提出了更高的要求。安全的管理本质到底是什么？2018年4月13日，在由中国金融集中采购网、金融科技创新学院联合主办的“2018中国金融科技创新发展论坛“上，来自广发证券信息技术部的唐勤就此问题进行了精彩的分享。

以下内容为唐勤先生本次演讲实录：

大家下午好！我给大家分享关于金融企业的网络安全的建设与实践，主要从三个方面入手，第一、谈一谈网络安全与信息安全的差异；第二、网络安全建设实践，更多的讲具体安全工作里面实践的分享；第三、网络安全未来发展趋势探讨。

网络安全与信息安全的差异

首先第一个就是给大家分享一下自身对网络安全和信息安全的理解。根据《网络安全法》中对“网络”的定义，“网络”属于对“信息”进行处理的一类“系统”，属于“信息”的承载体。根据信息安全的定义，信息安全既包括信息的CIA三性，也包括“信息”所寄生“系统”的安全性（“网络”属于“信息”的寄生“系统”之一）。因此从相关的定义和内涵关系来看，我理解信息安全的范畴要大于网络安全的范畴。信息安全问题从人类社会诞生以来便存在，比如古代的军事情报问题，近代的鸡毛信问题等，但是网络安全问题则随着计算设备的发明而产生。这是我对信息安全、网络安全内涵关系的一个理解。

网络安全建设实践

风险识别

接下来给大家分享一下关于网络安全实践方面的探讨。第一，安全工作属于风险管理的范畴，要做好这项工作首先是要识别风险，如果风险都不知道在哪里的话，根本不知道下一步应该做什么动作。在做风险识别的时候，大家都知道如果对业务不是很了解的话，对于风险发生的位置，包括中间因素可能都不是很清楚，谁最了解业务呢？相信大家都有答案，就是各个业务部门的各岗位人员，也就是我们所说的第一道防线。因此如何去调动一道防线人员的能动性去发现和识别风险，这是我们在做风险管理的时候，需要重点考虑的一个方面。

那么怎样调动一线业务部门的能动性？这里有几个方面可以跟大家一起探讨一下：

1、奖惩机制。第一是鼓励大家主动汇报，分析自己岗位可能存在哪些风险，如果这种问题确实是存在的，风险程度比较高的，那我们可能给予考核一定的加分，2017年我们曾专门组织各业务岗人员进行风险问题的反馈，我们统计这些问题时，发现很多风险问题是我们之前根本没有想到过的，单独靠安全人员去识别是非常困难的；第二对违规行为进行考核扣分。

2、风险文化建设。这一块跟大家分享一下，广发证券组织了一些活动，比如Hackathon活动，这个活动源于Facebook，Facebook一直以黑客文化著称于世，公司内部会定期举办Hackathon大赛，通过这样的活动让大家形成风险意识；还有是红蓝对抗，相当于一方做防守方，一方作为攻击方，通过相互对抗达到不断发现问题又不断解决问题的这么一个良性循环。

另外作为安全人员，不能仅仅指望业务一线的人自己去发现风险，安全人员还得多了解业务，如果条件允许的话，通过轮岗的形式，让安全人员下沉至业务部门，打破安全与业务互不了解的隔离墙。

第二方面，分享一下广发证券在数据安全建设方面的经验。首先看一下传统的数据安全到底存在哪些问题？可能很多人一谈到数据安全觉得就是传输安全、存储安全这些方面的问题，这些都属于静态层面的安全控制。另外就是大家谈到数据安全，可能更多想到的是保密性的管理，但是对于数据的完整性和可用性关注度够不够。举个例子，万得、贝格的咨询数据出现缺失、错误等异常时造成手机证券前端应用无法正常使用。还有就是上游数据源发生变更时因为没有及时通知下游，导致下游应用异常。

针对上面那些问题我们到底应该如何做好数据安全工作？先来看看数据保密性管理，各位都知道数据因被消费才产生他的价值，因此我们可以考虑面向用户、应用系统等各类数据消费场景，完善数据安全管理。

从用户数据消费场景管控数据安全

接下来就给大家分享一下，从用户的数据消费场景看一下如何管控数据安全，分为几类：第一是业务部门的人员，第二类是开发人员，第三是运维人员。其中最重要是业务人员的数据消费管理，在这一块，我们可以从两方面考虑，首先我们要分析一下，为什么业务人员的消费场景可能会引发一些数据安全的问题。大家有没有碰到过，因为应用系统没有提供完善的查询、分析、分享等功能模块，导致业务人员只有找到运维人员让他们从后台导出数据进行处理。不断从后台导数据，所带来的风险是非常大的。因此我们首先应考虑完善应用系统的数据消费功能需求，例如提供数据消费GUI界面供用户使用，这样就尽最大力度去避免直接从后台导数据给到业务人员，这是第一个方面。

第二个方面，如果避免不了在某些特定的场景下，业务人员还是要从后台导数据才能做相关数据的分析，对于这种情况，怎样做好导出数据的数据安全管理？总体管控原则我们定位为：在满足业务需求的基础上，尽量不让数据落地到本地终端。我们提供相应的数据安全管理平台，后台导出的数据只能存放到该平台，该平台可以提供在线访问、编辑、分享等常用数据消费功能，但又能提供数据防下载和拷贝、日志审计等安全控制功能。

应用系统数据消费

前面是用户层面的数据消费，还有应用系统自身层面的数据消费，这个主要表现为下游应用系统需要调用上游应用系统中的数据进行消费。

对于这种数据消费，一方面由上游应用系统提供相应数据调用API接口。然后对数据调用API接口进行相应安全控制，包括授权控制、接口使用登记、注销管理等；然后就是接口参数的严格较验；以及建立接口调用异常监控规则。

另一方面就是敏感数据去标识化使用，怎么理解这个敏感数据去标识化概念？举例来说，证券公司客户手机号码等个人信息是非常敏感的，如果某前端应用系统A要使用客户的手机号码提供一些功能服务，我们是怎么去做的呢？首先我们把客户手机号码集中存储在应用系统B中，同时系统B存储手机号码所对应手机的UUID，UUID与手机号码存在一一对应关系，且系统B提供手机号码外呼、短信发送等常见与手机号码相关的数据消费功能。如果系统A需要使用手机号码提供外呼、短信发送等服务，系统A只需通过UUID调用系统B所提供的外呼、短信发送功能便完成相应服务，这样其他应用系统就不用存储手机号码，减少了手机号码流转和存储的环节。

第三个方面，前面提到关于数据安全完整性跟可用性的问题，其中完整性主要从前端和后端同时进行相关的完整性逻辑较验。可用性的话，其中一方面是建立数据地图，比如说数据依赖性全景图，如果说某一个系统中的数据发生变更，应该有相应机制及时通知到依赖于该数据的周边相关应用。

边界安全管理

大家都知道谷歌现在不用防火墙了，那是不是代表边界安全管理已经没有必要性？但详细去看谷歌的一些安全管理框架的话，我们可以看到谷歌的边界安全管理只是从网络边界转向了设备、应用等层面的边界安全管理。

如果要做好边界安全管理首先要确定现在到底都有哪些边界？ 1、外部应用边界；2、内部应用边界；3、物理边界，特别是分支机构的物理安全边界需要引起我们足够的重视。

做好边界安全管理，首先应管理好边界资产。问大家一个问题，你们是否清楚各自企业公网上跑了多少个僵尸域名应用？域名和公网ip又多久清理一次？大家是不是有过这样的经历：发现某个安全事件是由某挂在公网上但已不使用的域名应用所引起？引起边界资产的登记、清理等管理工作非常重要。边界资产包括建立ip、域名、应用服务API接口等，只有确保资产100%准确才能找到最短的那块板，否则会存在安全管理盲区。

主机安全

接下来给大家分享主机安全方面的实践。首先是从操作系统安装模板入手。装机必须通过公司统一提供的操作系统模板装机，做到统一安装控制，不是说你想装什么操作系统就装什么操作系统，模板做了相应的安全配置，只要按照模板去装，基本上操作系统层面的安全问题就解决了。同时我们会对模板做定期安全扫描，只要发现最新高危漏洞，马上在模板里面进行修复；其次在系统上线时再进行一次安全扫描及检测，也会定期去做全网主机安全扫描，如果发现可被利用的高危漏洞是一定要整改的；再就是主机资产管理，我们已经建立云管平台，所有资产的申请、登记、变更和注销通过该平台进行。

安全白皮书

下面讲一下应用安全方面的分享。安全工作一定要前移，首先建立系统安全功能设计指导白皮书，只要项目一成立，这个白皮书就给到项目负责人，明确安全功能的设计要求，在进行项目需求设计的时候，就已经把安全相关的功能需求考虑进去了。另外就是进行安全开发培训，这主要涉及到大家的安全意识。如果某个立项的系统特别重要的话，比如包含很多敏感信息时，我们会考虑把安全人员作为项目组成员参与进去。系统开发完准备上线时，跟主机安全一样进行上线前安全检测，上线完了以后不定期做交叉渗透测试。

供应链安全

现在在安全管理方面有一个非常重要的关注点，就是供应链安全。

第一，第三方软件。大家应该对之前发生的XcodeGhost事件印象比较深刻，这就属于供应链层面的安全问题。这个可以考虑建立开发、运维等常用软件管理平台，禁止随意下载安装软件工具。

第二、第三方供应商的管理，比如说供应商如果过来交付实施系统的时候，实施完后由供应商使用的相关密码是不是修改了等问题，另外对于后期运维、变更等操作如果涉及供应商都应做好相应的安全管理。

第三个方面我这边特别提出监管协同。我把监管协同也列为供应链安全的一个范畴。这方面主要关注的点包括监管报送工具的安全性、报送数据的合理性、报送账号密码的安全管理等。

安全优化策略

接下来是有关安全策略的优化，不论怎样，建立的安全方法论或者是管理框架仅是基于当前的经验和认知所得出，存在时空维度的局限性，所以说根据不断发现的风险因素持续完善策略才是安全管理的灵魂所在。那么怎样不断优化安全策略呢？首先是对于已经发生的事件不断总结分析，像去年的Wannacry事件，有没有就此总结分析自身在安全管理上存在的盲点和薄弱点，可以做哪些策略优化工作等。

安全驱动力建设

做安全工作的时候，大家都深有体会，安全工作不直接带来业务价值，有时反而增加了业务的负担，导致安全工作推动阻力较大，因此怎样提高安全工作的驱动力成为所有安全工作者必须考虑的问题。

关于驱动力建设，可以分享以下几点经验：

第一个就是合规，以合规的名义去推动，比如以《网络安全法》的名义；

第二个方面是获取领导支持，要获取领导支持很重要的一个因素是让领导了解内外部的安全形势，这个可以一方面把领导请出去让他了解外面的信息，二是把外部的专家请进来；

第三个是建立安全考核KPI；

第四个是内部稽核和检察；

第五是安全事件营销；

最后一个是工作方法的问题，推动一项工作前，先征求大家的意见，评审通过后再借助安全考核等措施强力推进，这也是“民主决策、独裁执行”的管理思想的一种体现。

安全度量

关于安全度量，安全度量是需要成本投入的，所以说安全度量的目标是要以较小的管理成本体现安全核心效能指标，这里列了几点。

网络安全未来发展趋势探讨

最后与各位一起探讨一下未来做网络安全工作可以从哪些方向去思考。

第一个是关于现代社会治安治理是否有值得借鉴的地方？比如说通过不断强化法治过程，提高违法成本，还有就是立体化的监控体系，这在未来做网络安全工作的时候，都是可以去做借鉴的。

第二个，安全领域熟知的木桶原理，在未来的话，怎样去破解木桶原理，怎样去解决安全的盲区，这可能是大家以后需要重点思索的地方。

最后一点想跟各位探讨一下，安全管理的最终目标到底是什么？从攻击者的角度来看，攻击方的最终目的：第一是获取数据或者是破坏数据；第二、破坏网络服务可用性，因网络服务的本质服务对象仍然是数据服务，破坏网络服务实际还是为了破坏数据服务，最终的目的还是在数据层面。

因此未来安全工作的本源还是要回归到数据这一块。心中始终要铭记安全管理的最终目标在哪里，聚焦点、出发点在哪里。

以上是今天主要给大家分享的一些实践经验和个人观点，欢迎大家线下继续共同探讨和交流，谢谢大家！