支付行业网络安全体系建设

支付行业网络安全体系建设

摘要:文章分析了新形势下网络攻击的模式和手段,列举了支付行业所面临的威胁和挑战,剖析了加强支付行业信息系统安全建设的紧迫性和必要性,提出纵深安全防御体系建设的目标和路线图,从而为企业的网络安全建设提供思路和方向。

关键词:第三方支付;网络安全;关键信息基础设施

2018年4月全国网络安全和信息化工作会议上,再次强调“没有网络安全就没有国家安全,就没有经济社会稳定运行”。明确提出铸牢安全屏障,就要“加强网络安全信息统筹机制、手段、平台建设,做到关口前移,防患于未然”。“关口前移”实际上就是要知道风险到底在哪里,才能有的放矢。攻防双方的输赢取决于信息是否对称,技术是否对等,投入产出是否合理。要以技术对技术,以技术管技术,做到魔高一尺、道高一丈。

1新形势下网络安全所面临的挑战

近年来,国内外病毒事件和信息泄露事件层出不穷,“勒索病毒”“某酒店上亿条客户信息泄露”“某快递公司数千万条客户信息泄露”等事件的余温尚未退去,这给我们网络安全的建设敲响了警钟。回顾近年来经历的网络安全和信息泄露事件,威胁手段已由原来的脚本攻击、扫描注入攻击演变成勒索病毒攻击、僵尸网络攻击,攻击目标也由针对普通用户攻击转向针对关键信息基础设施的攻击。随着互联网技术和通信技术的发展,支付行业的信息化程度越来越高,由于支付场景的极大丰富,给人们生活带了各种便利,缴纳话费、水电煤费用等均可在网上完成。但是随着支付场景的多元化,个人信息和其他支付类敏感数据在互联网上传输越来越频繁,意外泄露和被非法窃取的可能性增加,因此保障信息的安全性至关重要。由于互联网的开放性和共享特征及信息系统自身安全漏洞和某些应用框架的先天缺陷,使得敏感信息被非法获取成为可能,因此构建合适的网络安全体系来保障信息的保密性、完整性和可用性变得尤为重要[1]。

2加强网络安全建设的必要性

支付系统是国家金融体系的重要组成部分,与公共交通、水电煤行业一样属于关键信息基础设施,支付系统的安全稳定运行是社会稳定的重要基础。对于支付行业而言,攻击者目的是要获取系统内部敏感数据,导致敏感数据泄露和企业声誉受损。随着外部攻击形式越来越隐蔽、攻击层次越来越高级、攻击维度越来越多样化,企业需要依赖健全的安全架构体系才能识别各种类型的攻击来源、辨识不同的攻击手段和方式,勾画出全面的风险威胁视图,进而制定多层“水闸式”纵深安全防御措施。在DT时代,数据是各种信息的载体,支付行业的数据尤为敏感,除了职能部门数据外,更多的敏感数据为商户和持卡人信息。任何数据泄漏都将导致客户或商户利益受损,支付企业自身名誉遭受重创。《网络安全法》等相关法律法规的出台,对数据安全保护提出了更高的要求[3]。数据是核心的信息资产,企业必须做好动静态数据的安全防护,落实各项法规和监管政策的要求,只有严格按照各项安全标准和监管要求,在不断加强安全防护的同时,做到最小化的信息收集、传输和存储,才是防止动态和静态数据外泄的行之有效的办法。现在的网络安全概念区别于以前的信息安全的概念,不仅仅只涵盖信息系统层面,也涉及到业务系统的安全。将安全管控触角延伸到业务流程之中,对业务操作过程实时监控,依托安全大数据态势感知,做到防患于未然。

3网络安全建设思路

《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。列出了网络运营者应履行的五项安全保护义务。并且《网络安全法》引入了对关键信息基础设施实施重点保护,并了《关键信息基础设施确定指南(试行)》。支付行业作为国家金融体系的重要组成部分,对这一制度应该严格执行。

3.1建设原则和目标

以需求为驱动,符合法律法规及监管的要求,并与企业风险管理架构相适应,与企业业务和信息化架构协调发展,应当立足现状、保障发展、适当超前。在进行信息系统的规划、建设、运行和维护的全生命周期中均有安全角色的介入。根据信息系统分类分级的标准,采用恰当的管理措施和技术手段,减少安全威胁、降低安全风险,提高保障能力。使其拥有持续改进能力,能够随着业务和信息技术的发展,参照国际信息安全最佳实践并对之不断进行完善。支付行业网络安全体系必须总体统筹协调,做好顶层设计,根据制定的目标、任务以及产业发展对网络安全的需求,分阶段、分步骤实施,重点抓好急需的重要项目实施,把目标落到实处。总体目标如下:1)具备网络安全决策管理能力,使得企业形成良好的安全治理架构,能对所处环境进行感知并对紧急安全情况进行反应,同时还能观察并对长期变化趋势做出相应的管理决策,企业能对网络安全政策制度、人员组织进行有效管理和落实。2)具备网络安全风险管理能力,使得企业可以收集、分析并报告安全事件且根据安全控制有效性情况,以识别、评估,并制定风险应对方案,同时对风险管理状况进行持续监控。3)具备身份识别和数据安全管理能力,使得企业可以实现正确的人在正确的时间访问正确的资源做正确的事情。并对资源的访问进行监控和审计,从中发现未授权的操作和资源使用情况,确保组织范围内的数据和信息在其生命周期受到适当的保护。4)具备基础设施的安全管理能力,使得企业能够对基础设施进行安全防御,使其不受传统威胁和高级威胁的侵害,确保应用系统的安全运行。

3.2实施路线图

网络安全体系建设以5年为建设周期,通过四个阶段的建设,由“木桶式”式防御逐步提升到“多层水闸式纵深防御”,形成完整的网络安全架构体系和分项策略。

3.2.1信息系统可重用阶段

本阶段已完成基础防护建设,从网络结构上进行了安全域的划分、网络边界部署硬件防护设备、应用层部署WAF等设备。减小目前网络安全管理体系和技术体系之间的差距,初步完成管理体系与技术体系的融合。企业已经认识到网络安全的必要性,具有较为完善的安全意识培训制度和宣贯流程。已制定部分的安全策略,但无明确的网络安全需求,对于外部的网络安全事件只能被动做出反应,委托第三方服务商处理和跟进安全事件。技术上,对于安全工具的使用未进行系统规划,仅根据日常使用的需要进行“烟囱式”部署,缺少可移植性。

3.2.2安全体系基本成型阶段

本阶段网络安全意识得到管理层的促进,安全汇报的形式和内容已标准化和正式化,定义网络安全程序并使其适合安全策略和程序结构,存在驱动风险分析和安全解决方案的网络安全规划;技术上,已对公司内的安全技术和工具进行了部分框架性规划,安全技术和工具可以覆盖部分主要安全领域。对新上线的应用或者软件能做到上线前进行渗漏测试和漏洞扫描,上线时无中高危以上漏洞。

3.2.3安全体系标准化阶段

本阶段依托平台持续分析安全风险和影响,底层系统搭建和扩容均基于统一的安全基线规范,网络安全流程与组织总体的安全职能保持一致,安全报告与管理目标相联系。技术上,对公司内的安全技术和工具进行了全面框架性规划,安全技术和工具可以基本覆盖所有主要安全领域,对公司内目前所用安全技术和工具进行深入了解,评测不足和缺失。具有专门的安全攻防团队,岗位分工明确。

3.2.4安全体系持续优化阶段

本阶段网络安全已成业务管理者和IT管理者的共同责任,安全角色在软件的设计阶段就介入并贯穿整个软件开发生命周期,建立定期的安全评估机制以评价安全计划执行效果,系统地收集和分析新的威胁和安全隐患,及时通知并实施恰当的补救措施。技术上,构建下一代安全管理平台以及SIEM集中智能管控平台,实现对全网信息系统的集中管控;利用由自动化工具支持的事故响应程序快速处理故障。

4结论

等级保护2.0对网络运营者的空间活动范围规定的越来越清晰,也对支付行业提出了更高网络安全要求,支付企业应严格按照相关标准和规范进行安全体系的整改和重建,规范本行业的网络空间行为准则,维护本行业网络空间秩序[2]。随着Fintech时代的到来,网络安全变得更加复杂和严峻,金融科技所引领的数字化生活,对安全从业者既是巨大的挑战,同时也是机遇。只有主动归纳总结已有的经验教训、积极探索新的管理思路,才能在数字化时代,赢得主动、赢得未来[4]。

参考文献

[1]李宗慧.计算机网络安全建设方案解析[J].电脑编程技巧与维护,2018(4):157-159.

[2]李仲博,孙思维.新形势下热力行业网络安全建设思路[J].区域供热,2018(3):66-69.

[3]姜懿哲.浅谈我国电子支付发展现状及发展趋势[J].现代商业,2017(33):32-33.

[4]张庆华,王海滨.金融科技背景下的银行信息安全建设思考与实践[J].中国金融电脑,2017(8):27-29.

作者:汪伟 单位:上海理工大学管理学院