淺談支付行業(yè)網(wǎng)絡(luò)安全體系建設(shè)

汪偉

摘 要 文章分析了新形勢(shì)下網(wǎng)絡(luò)攻擊的模式和手段，列舉了支付行業(yè)所面臨的威脅和挑戰(zhàn)，剖析了加強(qiáng)支付行業(yè)信息系統(tǒng)安全建設(shè)的緊迫性和必要性，提出縱深安全防御體系建設(shè)的目標(biāo)和路線圖，從而為企業(yè)的網(wǎng)絡(luò)安全建設(shè)提供思路和方向。

關(guān)鍵詞 第三方支付；網(wǎng)絡(luò)安全；關(guān)鍵信息基礎(chǔ)設(shè)施

中圖分類號(hào) G2 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1674-6708（2018）222-0072-02

2018年4月全國(guó)網(wǎng)絡(luò)安全和信息化工作會(huì)議上，習(xí)近平總書記再次強(qiáng)調(diào)“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，就沒(méi)有經(jīng)濟(jì)社會(huì)穩(wěn)定運(yùn)行”。明確提出鑄牢安全屏障，就要“加強(qiáng)網(wǎng)絡(luò)安全信息統(tǒng)籌機(jī)制、手段、平臺(tái)建設(shè)，做到關(guān)口前移，防患于未然”?！瓣P(guān)口前移”實(shí)際上就是要知道風(fēng)險(xiǎn)到底在哪里，才能有的放矢。攻防雙方的輸贏取決于信息是否對(duì)稱，技術(shù)是否對(duì)等，投入產(chǎn)出是否合理。要以技術(shù)對(duì)技術(shù)，以技術(shù)管技術(shù)，做到魔高一尺、道高一丈。

1 新形勢(shì)下網(wǎng)絡(luò)安全所面臨的挑戰(zhàn)

近年來(lái)，國(guó)內(nèi)外病毒事件和信息泄露事件層出不窮，“勒索病毒”“某酒店上億條客戶信息泄露”“某快遞公司數(shù)千萬(wàn)條客戶信息泄露”等事件的余溫尚未退去，這給我們網(wǎng)絡(luò)安全的建設(shè)敲響了警鐘。回顧近年來(lái)經(jīng)歷的網(wǎng)絡(luò)安全和信息泄露事件，威脅手段已由原來(lái)的腳本攻擊、掃描注入攻擊演變成勒索病毒攻擊、僵尸網(wǎng)絡(luò)攻擊，攻擊目標(biāo)也由針對(duì)普通用戶攻擊轉(zhuǎn)向針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊。

隨著互聯(lián)網(wǎng)技術(shù)和通信技術(shù)的發(fā)展，支付行業(yè)的信息化程度越來(lái)越高，由于支付場(chǎng)景的極大豐富，給人們生活帶了各種便利，繳納話費(fèi)、水電煤費(fèi)用等均可在網(wǎng)上完成。但是隨著支付場(chǎng)景的多元化，個(gè)人信息和其他支付類敏感數(shù)據(jù)在互聯(lián)網(wǎng)上傳輸越來(lái)越頻繁，意外泄露和被非法竊取的可能性增加，因此保障信息的安全性至關(guān)重要。由于互聯(lián)網(wǎng)的開(kāi)放性和共享特征及信息系統(tǒng)自身安全漏洞和某些應(yīng)用框架的先天缺陷，使得敏感信息被非法獲取成為可能，因此構(gòu)建合適的網(wǎng)絡(luò)安全體系來(lái)保障信息的保密性、完整性和可用性變得尤為重要[ 1 ]。

2 加強(qiáng)網(wǎng)絡(luò)安全建設(shè)的必要性

支付系統(tǒng)是國(guó)家金融體系的重要組成部分，與公共交通、水電煤行業(yè)一樣屬于關(guān)鍵信息基礎(chǔ)設(shè)施，支付系統(tǒng)的安全穩(wěn)定運(yùn)行是社會(huì)穩(wěn)定的重要基礎(chǔ)。對(duì)于支付行業(yè)而言，攻擊者目的是要獲取系統(tǒng)內(nèi)部敏感數(shù)據(jù)，導(dǎo)致敏感數(shù)據(jù)泄露和企業(yè)聲譽(yù)受損。隨著外部攻擊形式越來(lái)越隱蔽、攻擊層次越來(lái)越高級(jí)、攻擊維度越來(lái)越多樣化，企業(yè)需要依賴健全的安全架構(gòu)體系才能識(shí)別各種類型的攻擊來(lái)源、辨識(shí)不同的攻擊手段和方式，勾畫出全面的風(fēng)險(xiǎn)威脅視圖，進(jìn)而制定多層“水閘式”縱深安全防御措施。在DT時(shí)代，數(shù)據(jù)是各種信息的載體，支付行業(yè)的數(shù)據(jù)尤為敏感，除了職能部門數(shù)據(jù)外，更多的敏感數(shù)據(jù)為商戶和持卡人信息。任何數(shù)據(jù)泄漏都將導(dǎo)致客戶或商戶利益受損，支付企業(yè)自身名譽(yù)遭受重創(chuàng)。《網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī)的出臺(tái)，對(duì)數(shù)據(jù)安全保護(hù)提出了更高的要求[ 3 ]。

數(shù)據(jù)是核心的信息資產(chǎn)，企業(yè)必須做好動(dòng)靜態(tài)數(shù)據(jù)的安全防護(hù)，落實(shí)各項(xiàng)法規(guī)和監(jiān)管政策的要求，只有嚴(yán)格按照各項(xiàng)安全標(biāo)準(zhǔn)和監(jiān)管要求，在不斷加強(qiáng)安全防護(hù)的同時(shí)，做到最小化的信息收集、傳輸和存儲(chǔ)，才是防止動(dòng)態(tài)和靜態(tài)數(shù)據(jù)外泄的行之有效的辦法。現(xiàn)在的網(wǎng)絡(luò)安全概念區(qū)別于以前的信息安全的概念，不僅僅只涵蓋信息系統(tǒng)層面，也涉及到業(yè)務(wù)系統(tǒng)的安全。將安全管控觸角延伸到業(yè)務(wù)流程之中，對(duì)業(yè)務(wù)操作過(guò)程實(shí)時(shí)監(jiān)控，依托安全大數(shù)據(jù)態(tài)勢(shì)感知，做到防患于未然。

3 網(wǎng)絡(luò)安全建設(shè)思路

《網(wǎng)絡(luò)安全法》第二十一條規(guī)定，國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。列出了網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)履行的五項(xiàng)安全保護(hù)義務(wù)。并且《網(wǎng)絡(luò)安全法》引入了對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施重點(diǎn)保護(hù)，并發(fā)布了《關(guān)鍵信息基礎(chǔ)設(shè)施確定指南（試行）》 。支付行業(yè)作為國(guó)家金融體系的重要組成部分，對(duì)這一制度應(yīng)該嚴(yán)格執(zhí)行。

3.1 建設(shè)原則和目標(biāo)

以需求為驅(qū)動(dòng)，符合法律法規(guī)及監(jiān)管的要求，并與企業(yè)風(fēng)險(xiǎn)管理架構(gòu)相適應(yīng)，與企業(yè)業(yè)務(wù)和信息化架構(gòu)協(xié)調(diào)發(fā)展，應(yīng)當(dāng)立足現(xiàn)狀、保障發(fā)展、適當(dāng)超前。在進(jìn)行信息系統(tǒng)的規(guī)劃、建設(shè)、運(yùn)行和維護(hù)的全生命周期中均有安全角色的介入。根據(jù)信息系統(tǒng)分類分級(jí)的標(biāo)準(zhǔn)，采用恰當(dāng)?shù)墓芾泶胧┖图夹g(shù)手段，減少安全威脅、降低安全風(fēng)險(xiǎn)，提高保障能力。使其擁有持續(xù)改進(jìn)能力，能夠隨著業(yè)務(wù)和信息技術(shù)的發(fā)展，參照國(guó)際信息安全最佳實(shí)踐并對(duì)之不斷進(jìn)行完善。支付行業(yè)網(wǎng)絡(luò)安全體系必須總體統(tǒng)籌協(xié)調(diào)，做好頂層設(shè)計(jì)，根據(jù)制定的目標(biāo)、任務(wù)以及產(chǎn)業(yè)發(fā)展對(duì)網(wǎng)絡(luò)安全的需求，分階段、分步驟實(shí)施，重點(diǎn)抓好急需的重要項(xiàng)目實(shí)施，把目標(biāo)落到實(shí)處。總體目標(biāo)如下：

1）具備網(wǎng)絡(luò)安全決策管理能力，使得企業(yè)形成良好的安全治理架構(gòu)，能對(duì)所處環(huán)境進(jìn)行感知并對(duì)緊急安全情況進(jìn)行反應(yīng)，同時(shí)還能觀察并對(duì)長(zhǎng)期變化趨勢(shì)做出相應(yīng)的管理決策，企業(yè)能對(duì)網(wǎng)絡(luò)安全政策制度、人員組織進(jìn)行有效管理和落實(shí)。

2）具備網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理能力，使得企業(yè)可以收集、分析并報(bào)告安全事件且根據(jù)安全控制有效性情況，以識(shí)別、評(píng)估，并制定風(fēng)險(xiǎn)應(yīng)對(duì)方案，同時(shí)對(duì)風(fēng)險(xiǎn)管理狀況進(jìn)行持續(xù)監(jiān)控。

3）具備身份識(shí)別和數(shù)據(jù)安全管理能力，使得企業(yè)可以實(shí)現(xiàn)正確的人在正確的時(shí)間訪問(wèn)正確的資源做正確的事情。并對(duì)資源的訪問(wèn)進(jìn)行監(jiān)控和審計(jì)，從中發(fā)現(xiàn)未授權(quán)的操作和資源使用情況，確保組織范圍內(nèi)的數(shù)據(jù)和信息在其生命周期受到適當(dāng)?shù)谋Ｗo(hù)。

4）具備基礎(chǔ)設(shè)施的安全管理能力，使得企業(yè)能夠?qū)A(chǔ)設(shè)施進(jìn)行安全防御，使其不受傳統(tǒng)威脅和高級(jí)威脅的侵害，確保應(yīng)用系統(tǒng)的安全運(yùn)行。

3.2 實(shí)施路線圖

網(wǎng)絡(luò)安全體系建設(shè)以5年為建設(shè)周期，通過(guò)四個(gè)階段的建設(shè)，由“木桶式”式防御逐步提升到“多層水閘式縱深防御”，形成完整的網(wǎng)絡(luò)安全架構(gòu)體系和分項(xiàng)策略。

3.2.1 信息系統(tǒng)可重用階段

本階段已完成基礎(chǔ)防護(hù)建設(shè)，從網(wǎng)絡(luò)結(jié)構(gòu)上進(jìn)行了安全域的劃分、網(wǎng)絡(luò)邊界部署硬件防護(hù)設(shè)備、應(yīng)用層部署WAF等設(shè)備。減小目前網(wǎng)絡(luò)安全管理體系和技術(shù)體系之間的差距，初步完成管理體系與技術(shù)體系的融合。企業(yè)已經(jīng)認(rèn)識(shí)到網(wǎng)絡(luò)安全的必要性，具有較為完善的安全意識(shí)培訓(xùn)制度和宣貫流程。已制定部分的安全策略，但無(wú)明確的網(wǎng)絡(luò)安全需求，對(duì)于外部的網(wǎng)絡(luò)安全事件只能被動(dòng)做出反應(yīng)，委托第三方服務(wù)商處理和跟進(jìn)安全事件。技術(shù)上，對(duì)于安全工具的使用未進(jìn)行系統(tǒng)規(guī)劃，僅根據(jù)日常使用的需要進(jìn)行“煙囪式”部署，缺少可移植性。

3.2.2 安全體系基本成型階段

本階段網(wǎng)絡(luò)安全意識(shí)得到管理層的促進(jìn)，安全匯報(bào)的形式和內(nèi)容已標(biāo)準(zhǔn)化和正式化，定義網(wǎng)絡(luò)安全程序并使其適合安全策略和程序結(jié)構(gòu)，存在驅(qū)動(dòng)風(fēng)險(xiǎn)分析和安全解決方案的網(wǎng)絡(luò)安全規(guī)劃；技術(shù)上，已對(duì)公司內(nèi)的安全技術(shù)和工具進(jìn)行了部分框架性規(guī)劃，安全技術(shù)和工具可以覆蓋部分主要安全領(lǐng)域。對(duì)新上線的應(yīng)用或者軟件能做到上線前進(jìn)行滲漏測(cè)試和漏洞掃描，上線時(shí)無(wú)中高危以上漏洞。

3.2.3 安全體系標(biāo)準(zhǔn)化階段

本階段依托平臺(tái)持續(xù)分析安全風(fēng)險(xiǎn)和影響，底層系統(tǒng)搭建和擴(kuò)容均基于統(tǒng)一發(fā)布的安全基線規(guī)范，網(wǎng)絡(luò)安全流程與組織總體的安全職能保持一致，安全報(bào)告與管理目標(biāo)相聯(lián)系。技術(shù)上，對(duì)公司內(nèi)的安全技術(shù)和工具進(jìn)行了全面框架性規(guī)劃，安全技術(shù)和工具可以基本覆蓋所有主要安全領(lǐng)域，對(duì)公司內(nèi)目前所用安全技術(shù)和工具進(jìn)行深入了解，評(píng)測(cè)不足和缺失。具有專門的安全攻防團(tuán)隊(duì)，崗位分工明確。

3.2.4 安全體系持續(xù)優(yōu)化階段

本階段網(wǎng)絡(luò)安全已成業(yè)務(wù)管理者和IT管理者的共同責(zé)任，安全角色在軟件的設(shè)計(jì)階段就介入并貫穿整個(gè)軟件開(kāi)發(fā)生命周期，建立定期的安全評(píng)估機(jī)制以評(píng)價(jià)安全計(jì)劃執(zhí)行效果，系統(tǒng)地收集和分析新的威脅和安全隱患，及時(shí)通知并實(shí)施恰當(dāng)?shù)难a(bǔ)救措施。技術(shù)上，構(gòu)建下一代安全管理平臺(tái)以及SIEM集中智能管控平臺(tái)，實(shí)現(xiàn)對(duì)全網(wǎng)信息系統(tǒng)的集中管控；利用由自動(dòng)化工具支持的事故響應(yīng)程序快速處理故障。

4 結(jié)論

等級(jí)保護(hù)2.0對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者的空間活動(dòng)范圍規(guī)定的越來(lái)越清晰，也對(duì)支付行業(yè)提出了更高網(wǎng)絡(luò)安全要求，支付企業(yè)應(yīng)嚴(yán)格按照相關(guān)標(biāo)準(zhǔn)和規(guī)范進(jìn)行安全體系的整改和重建，規(guī)范本行業(yè)的網(wǎng)絡(luò)空間行為準(zhǔn)則，維護(hù)本行業(yè)網(wǎng)絡(luò)空間秩序[2]。隨著Fintech時(shí)代的到來(lái)，網(wǎng)絡(luò)安全變得更加復(fù)雜和嚴(yán)峻，金融科技所引領(lǐng)的數(shù)字化生活，對(duì)安全從業(yè)者既是巨大的挑戰(zhàn)，同時(shí)也是機(jī)遇。只有主動(dòng)歸納總結(jié)已有的經(jīng)驗(yàn)教訓(xùn)、積極探索新的管理思路，才能在數(shù)字化時(shí)代，贏得主動(dòng)、贏得未來(lái)[4]。

參考文獻(xiàn)

[1]李宗慧.計(jì)算機(jī)網(wǎng)絡(luò)安全建設(shè)方案解析[J].電腦編程技巧與維護(hù)，2018（4）：157-159.

[2]李仲博，孫思維.新形勢(shì)下熱力行業(yè)網(wǎng)絡(luò)安全建設(shè)思路[J].區(qū)域供熱，2018（3）：66-69.

[3]姜懿哲.淺談我國(guó)電子支付發(fā)展現(xiàn)狀及發(fā)展趨勢(shì)[J].現(xiàn)代商業(yè)，2017（33）：32-33.

[4]張慶華，王海濱.金融科技背景下的銀行信息安全建設(shè)思考與實(shí)踐[J].中國(guó)金融電腦，2017（8）：27-29.