韓強(qiáng) 王小林

在銀行高度依賴信息科技的當(dāng)下，信息科技與銀行業(yè)務(wù)已融為一體，“科技即業(yè)務(wù)”的理念在全國性銀行機(jī)構(gòu)中已然成為共識，但作為區(qū)域性銀行的城商行，對信息科技的認(rèn)知大多停留在“后臺支撐”層面，而忽略其催化、提升業(yè)務(wù)價(jià)值的屬性，信息化廣度和深度差距甚遠(yuǎn)。特別是科技人員奇缺，對外包服務(wù)依賴嚴(yán)重，項(xiàng)目開發(fā)缺乏系統(tǒng)性的長遠(yuǎn)規(guī)劃，倉促上馬，針對新型技術(shù)的安全防護(hù)能力較弱，潛在的信息安全隱患依然突出。面對金融科技新時(shí)代，信息安全已經(jīng)走到變革的交叉路口，加快城商行信息安全管理轉(zhuǎn)型勢在必行。

近年來，西安銀行從多個(gè)維度針對互聯(lián)網(wǎng)類業(yè)務(wù)進(jìn)行逐層加固，不斷完善細(xì)化安全事件防御工作的顆粒度，逐步完成整個(gè)體系的建設(shè)，在金融業(yè)信息安全防范領(lǐng)域做出了有益的探索。

當(dāng)前信息安全管理中的突出問題

（一）金融開發(fā)團(tuán)隊(duì)大多是新建立的團(tuán)隊(duì)，外包人員較多，開發(fā)規(guī)范不夠健全，開發(fā)人員的經(jīng)驗(yàn)和安全意識參差不齊

一是由于地域、規(guī)模和資源的局限性，絕大多數(shù)城商行科技人員的缺失率普遍高于50%，不少城商行項(xiàng)目開發(fā)人員占科技人員比例低于20%，無法滿足開發(fā)生命周期中的崗位設(shè)置要求，而且人員新、經(jīng)驗(yàn)少，甚至混雜許多缺乏專業(yè)背景的半路出家者，嚴(yán)重拖累項(xiàng)目開發(fā)質(zhì)量與效率。二是人員緊張，兼崗現(xiàn)象突出，制約機(jī)制缺失。未設(shè)立專門的開發(fā)管理團(tuán)隊(duì)以及獨(dú)立的測試團(tuán)隊(duì)，開發(fā)人員甚至兼職系統(tǒng)維護(hù)。三是自身開發(fā)能力不足，外包依賴度較高，且缺乏安全管理措施，外包監(jiān)控手段較弱，外包引發(fā)的信息安全風(fēng)險(xiǎn)事件時(shí)有發(fā)生。四是制度流程不完善。部分城商行尚未制定涵蓋系統(tǒng)開發(fā)生命周期的完整開發(fā)管理制度和流程，現(xiàn)有制度對立項(xiàng)審批、可行性研究、需求分析、設(shè)計(jì)、編碼、測試以及項(xiàng)目質(zhì)量控制、風(fēng)險(xiǎn)控制等規(guī)定不詳實(shí)、不到位。

（二）項(xiàng)目上線沒有給系統(tǒng)開發(fā)預(yù)留足夠時(shí)間，導(dǎo)致出現(xiàn)大量的快速開發(fā)現(xiàn)象，使項(xiàng)目安全風(fēng)險(xiǎn)增大

一是項(xiàng)目開發(fā)缺乏系統(tǒng)性的長遠(yuǎn)規(guī)劃。臨時(shí)起意開發(fā)項(xiàng)目居多，可行性論證、成本效益分析、風(fēng)險(xiǎn)評估等前期準(zhǔn)備工作不充分。二是項(xiàng)目開發(fā)盲目搶工期。普遍未開展CMMI等軟件能力成熟度認(rèn)證，未采用標(biāo)準(zhǔn)的項(xiàng)目管理工具對開發(fā)項(xiàng)目實(shí)施管理，系統(tǒng)開發(fā)進(jìn)度和質(zhì)量控制不到位，風(fēng)險(xiǎn)識別不充分。三是測試工作簡單化、走過場。部分城商行缺乏完整的測試方案，未有效區(qū)分功能性測試與非功能性測試，壓力測試、邊界測試不到位，業(yè)務(wù)部門參與測試工作不足。

（三）針對新型技術(shù)的安全防護(hù)能力較弱

一是缺乏針對新型技術(shù)的信息安全防護(hù)策略，原有防御手段難以滿足新環(huán)境下的安全保障。云計(jì)算等新型技術(shù)由于其虛擬性、高可靠性、動(dòng)態(tài)可擴(kuò)展性、超強(qiáng)計(jì)算和存儲等特點(diǎn)，對租戶角色信任、隱私數(shù)據(jù)保護(hù)等方面提出了更高的安全需求，而目前城商行普遍沒有建立起完整規(guī)范的信息安全防護(hù)架構(gòu)和安全方案，安全風(fēng)險(xiǎn)極易快速蔓延。二是數(shù)據(jù)安全管理手段落后。城商行應(yīng)對數(shù)據(jù)安全漏洞的手段仍然集中于傳統(tǒng)的數(shù)據(jù)分級、數(shù)據(jù)訪問權(quán)限控制、數(shù)據(jù)加密等方式，而在大數(shù)據(jù)和云計(jì)算場景下，數(shù)據(jù)內(nèi)容不停衍化、數(shù)據(jù)邊界日益模糊、訪問主體和客體關(guān)系異常復(fù)雜、硬件性能更是無法滿足海量數(shù)據(jù)的加解密需求。

（四）信息安全事件分析體系不健全，以防御為主，缺少通過事件分析預(yù)警和研判風(fēng)險(xiǎn)的能力

目前城商行由于信息安全管理體系架構(gòu)不健全，缺乏有效的信息安全事件分析機(jī)制，對風(fēng)險(xiǎn)事件的分析和預(yù)警存在以下問題：一是缺乏風(fēng)險(xiǎn)數(shù)據(jù)積累，風(fēng)險(xiǎn)損失數(shù)據(jù)的收集和報(bào)送機(jī)制尚未成型，導(dǎo)致對風(fēng)險(xiǎn)事件的識別、監(jiān)測和預(yù)警缺乏歷史數(shù)據(jù)支撐。二是尚未建立起有效的信息風(fēng)險(xiǎn)事件預(yù)警模型，缺乏對風(fēng)險(xiǎn)事件的預(yù)警和研判。目前，城商行在對信息安全事件的分析中，主要側(cè)重于防御，僅就風(fēng)險(xiǎn)事件發(fā)生的概率、原因進(jìn)行分析并進(jìn)行改進(jìn)和完善，并沒有通過構(gòu)建風(fēng)險(xiǎn)預(yù)警模型，充分利用歷史風(fēng)險(xiǎn)數(shù)據(jù)有效預(yù)測和及時(shí)預(yù)警風(fēng)險(xiǎn)事件發(fā)生。

信息安全管理的改進(jìn)建議

（一）系統(tǒng)化構(gòu)建信息安全運(yùn)營體系，加快信息安全管理轉(zhuǎn)型，實(shí)現(xiàn)從“重建設(shè)、輕管理、無運(yùn)營”模式向“管理、運(yùn)營與建設(shè)并重”模式轉(zhuǎn)變，從事后向事前、事中轉(zhuǎn)變

城商行應(yīng)當(dāng)樹立信息安全運(yùn)營理念，積極推進(jìn)信息安全運(yùn)營體系建設(shè)，通過運(yùn)營將管理與建設(shè)串聯(lián)起來，使得信息安全工作由點(diǎn)變面，形成整體協(xié)調(diào)的信息安全治理和運(yùn)作體系。具體而言，信息安全運(yùn)營體系建設(shè)至少具有兩方面作用：一方面通過信息安全運(yùn)營，能夠?qū)⑿畔踩芾淼哪繕?biāo)、方針及策略進(jìn)一步細(xì)化成為具體的工作目標(biāo)、任務(wù)和監(jiān)督指標(biāo)，進(jìn)而促進(jìn)安全工作的執(zhí)行，并推動(dòng)信息安全的工作協(xié)同；另一方面，信息安全運(yùn)營又能將信息安全管控和建設(shè)中的重點(diǎn)工作，如安全監(jiān)控、安全分析、安全事件管理、安全響應(yīng)及應(yīng)急、協(xié)同等，化零為整，組成系統(tǒng)化工作運(yùn)作板塊，改變信息安全“豎井式”建設(shè)帶來的應(yīng)對威脅零碎化、面對新的威脅又無法整合力量進(jìn)行積極應(yīng)對等諸多弊端。近年來，西安銀行注重系統(tǒng)化構(gòu)建信息安全運(yùn)營體系，依托第三方安全服務(wù)公司協(xié)同防御，并引入新興技術(shù)主動(dòng)響應(yīng)、智能分析，全方位強(qiáng)化運(yùn)維監(jiān)控。

一是自行監(jiān)控。明確監(jiān)控目標(biāo)與監(jiān)控內(nèi)容，制定監(jiān)控管理流程，針對全網(wǎng)各類軟硬件系統(tǒng)進(jìn)行日志統(tǒng)一審計(jì)，關(guān)聯(lián)展現(xiàn)；針對重要系統(tǒng)進(jìn)行流量可視化監(jiān)控；針對當(dāng)前安全設(shè)備運(yùn)行狀況，系統(tǒng)運(yùn)行狀況進(jìn)行實(shí)時(shí)狀態(tài)監(jiān)測；所有監(jiān)控結(jié)果通過事件管理流程進(jìn)行統(tǒng)一分配，任何超閥值的告警信息實(shí)行自動(dòng)短信、微信通知到人，運(yùn)維人員7*24小時(shí)輪班值守，確?；A(chǔ)運(yùn)行環(huán)境的穩(wěn)定運(yùn)行。

二是第三方安全服務(wù)公司協(xié)同監(jiān)控。與第三方具備國家認(rèn)可的信息安全應(yīng)急服務(wù)資質(zhì)的的公司簽訂服務(wù)合同，針對所有需要實(shí)時(shí)監(jiān)控的系統(tǒng)進(jìn)行7*24小時(shí)監(jiān)控，并且定義事件等級，根據(jù)事件等級通知。西安銀行依托第三方安全服務(wù)公司，重點(diǎn)對門戶網(wǎng)站、網(wǎng)銀等互聯(lián)網(wǎng)開放業(yè)務(wù)系統(tǒng)進(jìn)行長期不間斷的安全監(jiān)測和定期的安全檢查。安全監(jiān)測的內(nèi)容包括遠(yuǎn)程網(wǎng)站漏洞掃描、遠(yuǎn)程網(wǎng)頁掛馬實(shí)時(shí)監(jiān)控、遠(yuǎn)程網(wǎng)頁敏感內(nèi)容實(shí)時(shí)監(jiān)測、網(wǎng)站可用性監(jiān)測、遠(yuǎn)程網(wǎng)頁篡改監(jiān)測和釣魚網(wǎng)站。

遠(yuǎn)程網(wǎng)站漏洞掃描：通過遠(yuǎn)程方式，對網(wǎng)站定期安全檢查，由安全專家進(jìn)行專業(yè)分析，篩查網(wǎng)站存在的隱患和漏洞，提供安全掃描報(bào)告，確保漏洞的及時(shí)修復(fù)。

遠(yuǎn)程網(wǎng)頁掛馬實(shí)時(shí)監(jiān)控：采用多種檢測技術(shù)對網(wǎng)站掛馬進(jìn)行監(jiān)測，發(fā)現(xiàn)網(wǎng)站被掛馬后及時(shí)告警，減少風(fēng)險(xiǎn)。

遠(yuǎn)程網(wǎng)頁敏感內(nèi)容實(shí)時(shí)監(jiān)測：對網(wǎng)頁中出現(xiàn)的敏感內(nèi)容進(jìn)行監(jiān)測，如發(fā)現(xiàn)敏感內(nèi)容及時(shí)告警并進(jìn)行處理。

遠(yuǎn)程可用性監(jiān)測：對服務(wù)站點(diǎn)進(jìn)行實(shí)時(shí)遠(yuǎn)程訪問可用性監(jiān)視，跟蹤重點(diǎn)對象的訪問情況，并根據(jù)嚴(yán)重程度及時(shí)發(fā)出報(bào)警信號，第一時(shí)間告警，減少網(wǎng)站中斷對用戶業(yè)務(wù)的影響，保障網(wǎng)站的可用性。

防釣魚監(jiān)控：針對近年來國內(nèi)釣魚攻擊網(wǎng)銀欺詐案件頻發(fā)問題，西安銀行高度重視網(wǎng)上銀行風(fēng)險(xiǎn)管控，與“國家互聯(lián)網(wǎng)應(yīng)急中心”簽訂專項(xiàng)協(xié)議，加強(qiáng)對仿冒網(wǎng)站等“釣魚”欺詐事件的追蹤分析與防范，構(gòu)建反“釣魚”應(yīng)急處置機(jī)制，有效切斷“釣魚”詐騙渠道。

（二）開展信息安全管理體系優(yōu)化，建立涵蓋系統(tǒng)開發(fā)生命周期的完整開發(fā)管理制度和流程，為信息安全管理與項(xiàng)目風(fēng)險(xiǎn)控制提供組織及制度保障

信息安全管理體系優(yōu)化，主要包括主動(dòng)優(yōu)化信息安全治理結(jié)構(gòu)，完善信息安全組織架構(gòu)和隊(duì)伍建設(shè)，調(diào)整信息安全職責(zé)分工，并強(qiáng)化和完善基礎(chǔ)安全的管理要求等。一是進(jìn)一步明確全行信息安全的治理架構(gòu)。二是要從企業(yè)戰(zhàn)略層面開展信息科技整體規(guī)劃，董事會及高管層要做好統(tǒng)籌管理，并注重與業(yè)務(wù)戰(zhàn)略有機(jī)融合、協(xié)同發(fā)展。項(xiàng)目實(shí)施部門應(yīng)定期向董事會及高管層提交重大信息科技項(xiàng)目的進(jìn)度報(bào)告，由其進(jìn)行審核監(jiān)督。三是建立涵蓋系統(tǒng)開發(fā)生命周期的完整開發(fā)管理制度和流程，對立項(xiàng)審批、項(xiàng)目設(shè)計(jì)、編碼、測試以及項(xiàng)目質(zhì)量控制、風(fēng)險(xiǎn)控制等做出詳實(shí)規(guī)定。四是建立有效的項(xiàng)目開發(fā)團(tuán)隊(duì)、測試團(tuán)隊(duì)，尤其要確保測試團(tuán)隊(duì)的獨(dú)立性與專業(yè)化，并選擇恰當(dāng)?shù)臏y試方式，全面開展功能性測試與非功能性測試，加強(qiáng)壓力測試、邊界測試。

西安銀行在互聯(lián)網(wǎng)業(yè)務(wù)程序開發(fā)設(shè)計(jì)上，注重安全開發(fā)規(guī)范的建立，同時(shí)組織開展嚴(yán)格的代碼審計(jì)，從業(yè)務(wù)邏輯、代碼邏輯、代碼漏洞、數(shù)據(jù)泄露等方面進(jìn)行篩查、測試、驗(yàn)證，從而實(shí)現(xiàn)代碼層面對互聯(lián)網(wǎng)業(yè)務(wù)進(jìn)行安全防范。

制定安全開發(fā)規(guī)范：在開發(fā)實(shí)施初期，西安銀行為提高軟件開發(fā)質(zhì)量，詳實(shí)制定團(tuán)隊(duì)各項(xiàng)質(zhì)量保障的規(guī)范，對信息安全提出明確標(biāo)準(zhǔn)與要求。

開展項(xiàng)目安全開發(fā)培訓(xùn)：對相關(guān)項(xiàng)目開發(fā)人員進(jìn)行專業(yè)嚴(yán)格、系統(tǒng)的程序設(shè)計(jì)開發(fā)原理與開發(fā)規(guī)范培訓(xùn)，以提升安全意識與安全管理水準(zhǔn)。

進(jìn)行嚴(yán)格代碼審計(jì)：針對最新開發(fā)設(shè)計(jì)的應(yīng)用系統(tǒng)軟件中可能存在的安全缺陷（漏洞），組織開展嚴(yán)格的代碼審計(jì)，安全測試人員應(yīng)用各種技術(shù)和測試策略，來高效的發(fā)現(xiàn)和挖掘這些缺陷。具體而言，應(yīng)用系統(tǒng)源代碼安全審計(jì)服務(wù)的實(shí)施人員，根據(jù)用戶提供的資料（需要用戶提供與軟件系統(tǒng)相關(guān)的設(shè)計(jì)文檔、源代碼，以及與開發(fā)人員之間的必要溝通），對其應(yīng)用系統(tǒng)進(jìn)行源代碼檢查，預(yù)先發(fā)現(xiàn)其中的安全漏洞和具有潛在威脅的地方，提供相應(yīng)的代碼完善建議，并且根據(jù)用戶應(yīng)用系統(tǒng)安全現(xiàn)狀提供問題解決方案，同時(shí)根據(jù)用戶的需求，有針對性的對用戶系統(tǒng)操作人員、開發(fā)人員和測試人員提供源代碼安全培訓(xùn)服務(wù)。

實(shí)踐證明，應(yīng)用系統(tǒng)源代碼安全審計(jì)服務(wù)具有重要作用，通過專業(yè)化的源代碼安全檢查，可發(fā)現(xiàn)應(yīng)用系統(tǒng)現(xiàn)有的和潛在的安全問題，能夠非常有效地防范、降低用戶應(yīng)用系統(tǒng)所面臨的政治壓力、經(jīng)濟(jì)損失和數(shù)據(jù)泄密等安全風(fēng)險(xiǎn)。

（三）建立常態(tài)化IT風(fēng)險(xiǎn)評估機(jī)制，實(shí)現(xiàn)以定期IT風(fēng)險(xiǎn)專項(xiàng)評估為主向“嵌入式”“觸發(fā)式”評估為主轉(zhuǎn)變，提升風(fēng)險(xiǎn)識別評估的及時(shí)性和有效性

當(dāng)前信息科技已全面融入銀行業(yè)務(wù)經(jīng)營的每一個(gè)角落，IT風(fēng)險(xiǎn)管理不能僅靠科技部門單打獨(dú)斗，也不能依賴科技部門和業(yè)務(wù)部門“自己管自己”，需要風(fēng)險(xiǎn)管理部門作為第二道防線發(fā)揮監(jiān)督、制約和協(xié)調(diào)作用，從“另一視角”獨(dú)立管控IT風(fēng)險(xiǎn)。為此，作為第二道防線的風(fēng)險(xiǎn)管理部門有必要組建穩(wěn)定的IT 風(fēng)險(xiǎn)評估團(tuán)隊(duì)，梳理重點(diǎn)領(lǐng)域的IT風(fēng)險(xiǎn)點(diǎn)，制定IT風(fēng)險(xiǎn)評估手冊，明確評估方法和標(biāo)準(zhǔn)，建立嵌入流程并能自動(dòng)觸發(fā)的常態(tài)化IT風(fēng)險(xiǎn)評估機(jī)制，從當(dāng)前以定期IT風(fēng)險(xiǎn)專項(xiàng)評估為主，逐步轉(zhuǎn)變?yōu)橐浴扒度胧健?、“觸發(fā)式”評估為主。其中，“嵌入式”評估是指將風(fēng)險(xiǎn)評估流程嵌入新產(chǎn)品、新業(yè)務(wù)、新系統(tǒng)的立項(xiàng)、實(shí)施、投產(chǎn)和運(yùn)行環(huán)節(jié)，在事前、事中及時(shí)識別風(fēng)險(xiǎn)?！坝|發(fā)式”評估指發(fā)生重大風(fēng)險(xiǎn)事件或風(fēng)險(xiǎn)隱患較大時(shí)，立即開展有針對性的風(fēng)險(xiǎn)評估。

（四）建立系統(tǒng)支撐的IT風(fēng)險(xiǎn)監(jiān)測平臺，提高風(fēng)險(xiǎn)預(yù)警的敏感性

一是在梳理重點(diǎn)領(lǐng)域各流程環(huán)節(jié)關(guān)鍵風(fēng)險(xiǎn)的基礎(chǔ)上，建立IT風(fēng)險(xiǎn)監(jiān)測系統(tǒng)，整合對接核心系統(tǒng)生產(chǎn)運(yùn)行、網(wǎng)絡(luò)安全、基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)等相關(guān)數(shù)據(jù)，建立IT風(fēng)險(xiǎn)監(jiān)測平臺，將核心生產(chǎn)系統(tǒng)交易量、交易成功率、主機(jī)和開放系統(tǒng)運(yùn)行情況等系統(tǒng)監(jiān)控和應(yīng)用監(jiān)控信息納入風(fēng)險(xiǎn)管理部門日常監(jiān)控范圍。二是要科學(xué)設(shè)定IT關(guān)鍵風(fēng)險(xiǎn)指標(biāo)體系，對重要系統(tǒng)可用率、災(zāi)備覆蓋率、監(jiān)控覆蓋率、重大變更成功率等關(guān)鍵風(fēng)險(xiǎn)指標(biāo)進(jìn)行持續(xù)監(jiān)測。三是針對大數(shù)據(jù)、人工智能等新技術(shù)應(yīng)用風(fēng)險(xiǎn)，要積極引入更為先進(jìn)的安全防御技術(shù)，比如采用深度流量檢測、沙箱技術(shù)、大數(shù)據(jù)綜合流量日志分析等先進(jìn)技術(shù)管理手段，及時(shí)監(jiān)測和識別可疑網(wǎng)絡(luò)攻擊，同時(shí)部署入侵防御系統(tǒng)、智能終端安全管理系統(tǒng)等，建立各個(gè)終端安全防線。四是建立IT 風(fēng)險(xiǎn)報(bào)告系統(tǒng)，收集全行IT風(fēng)險(xiǎn)事件，定期向高管層報(bào)告IT風(fēng)險(xiǎn)狀況，并對重大IT風(fēng)險(xiǎn)事件開展調(diào)查分析。

近年來，西安銀行積極推進(jìn)具有體系化的網(wǎng)絡(luò)風(fēng)險(xiǎn)監(jiān)測平臺建設(shè)，通過區(qū)域化設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)、部署不同層面的安全監(jiān)測防御設(shè)備以及未知威脅感知系統(tǒng)，有效實(shí)施網(wǎng)絡(luò)數(shù)據(jù)流的控制、過濾及清洗，保證了互聯(lián)網(wǎng)類業(yè)務(wù)的安全隔離。

1.區(qū)域化設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)，制定訪問要求；

2.部署不同層面的安全監(jiān)測防御設(shè)備；

3.控制業(yè)務(wù)流的訪問條件；

4.部署“未知威脅感知系統(tǒng)”。

（五）優(yōu)化完善IT風(fēng)險(xiǎn)計(jì)量方法，提升風(fēng)險(xiǎn)計(jì)量的科學(xué)性

優(yōu)化系統(tǒng)中斷時(shí)間與損失金額的轉(zhuǎn)化標(biāo)準(zhǔn)，借鑒操作風(fēng)險(xiǎn)標(biāo)準(zhǔn)法和高級計(jì)量法（主要是損失分布法）的計(jì)量原理，優(yōu)化IT風(fēng)險(xiǎn)計(jì)量標(biāo)準(zhǔn)和模型。基于IT風(fēng)險(xiǎn)指標(biāo)、風(fēng)險(xiǎn)評估要點(diǎn)設(shè)計(jì)評分卡，逐步建立符合IT風(fēng)險(xiǎn)特點(diǎn)的計(jì)量方法、標(biāo)準(zhǔn)和模型，提升計(jì)量的科學(xué)性，擴(kuò)大計(jì)量結(jié)果在經(jīng)濟(jì)資本管理領(lǐng)域的應(yīng)用深度。

（六）前移信息安全事件防控關(guān)口，建立科學(xué)的信息風(fēng)險(xiǎn)事件預(yù)警模型，提高信息安全監(jiān)測敏感度，增強(qiáng)處置信息系統(tǒng)突發(fā)事件的主動(dòng)性

信息安全事件防控是一項(xiàng)科學(xué)化、系統(tǒng)化工程，包括事前、事中、事后三個(gè)階段。隨著信息科技飛速發(fā)展，大數(shù)據(jù)、云計(jì)算等新興技術(shù)的廣泛應(yīng)用，信息安全隱患問題更加隱蔽，信息安全事件傳染性、破壞性更加突出，因而事前檢測預(yù)防變得尤為重要。可通過滲透測試、系統(tǒng)級漏洞掃描、流量清洗服務(wù)等多種方式，事先發(fā)現(xiàn)信息安全漏洞。

同時(shí)，還要注重信息安全事件事后總結(jié)分析，健全信息安全事件分析體系，建立科學(xué)的信息風(fēng)險(xiǎn)事件預(yù)警模型。一是要制定信息風(fēng)險(xiǎn)損失數(shù)據(jù)收集模板和信息風(fēng)險(xiǎn)事件內(nèi)容模板，建立健全信息風(fēng)險(xiǎn)損失數(shù)據(jù)的收集和報(bào)送機(jī)制，并通過加強(qiáng)數(shù)據(jù)處理的檢查和考核，提升風(fēng)險(xiǎn)數(shù)據(jù)收集的準(zhǔn)確性和完整性，為實(shí)施信息風(fēng)險(xiǎn)監(jiān)測和預(yù)警提供良好的數(shù)據(jù)支撐。二是建立科學(xué)有效的信息風(fēng)險(xiǎn)事件預(yù)警模型，通過主成分分析法、貝葉斯網(wǎng)絡(luò)法、模糊評價(jià)法等分析方法，加強(qiáng)對風(fēng)險(xiǎn)事件的分析，并以“目標(biāo)”和“過程控制”為導(dǎo)向，針對關(guān)鍵信息風(fēng)險(xiǎn)設(shè)置一定的指標(biāo)和闕值，結(jié)合每年風(fēng)險(xiǎn)變化情況，對指標(biāo)和闕值進(jìn)行調(diào)整，以達(dá)到實(shí)時(shí)動(dòng)態(tài)監(jiān)測預(yù)警的目的。

西安銀行在信息安全事件防范中，妥善處理事前、事中、事后三者關(guān)系，將風(fēng)險(xiǎn)防范關(guān)口前移，綜合采取多種檢測預(yù)防手段堵塞風(fēng)險(xiǎn)漏洞。

1.事前階段：

設(shè)備管理：確保所有服務(wù)器、網(wǎng)絡(luò)及安全設(shè)備的日志保存完整性，確保所有設(shè)備的配置保存?zhèn)浞?；部署泰和日志審?jì)系統(tǒng)，實(shí)現(xiàn)了統(tǒng)一日志匯總審計(jì)功能，并能夠根據(jù)日志級別進(jìn)行告警。

基線檢查：依托公安部規(guī)定的等級保護(hù)測評，就操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)及安全設(shè)備的配置方法及規(guī)范等方面對所有業(yè)務(wù)系統(tǒng)運(yùn)行的基礎(chǔ)環(huán)境進(jìn)行問題排查，確保設(shè)置合理規(guī)范，無邏輯或安全隱患。

滲透測試：與有資質(zhì)的安全服務(wù)公司簽訂安全服務(wù)協(xié)議，其中包含滲透測試服務(wù)，滲透測試可以模擬攻擊者的入侵思路與技術(shù)手段。目前主要以人工滲透為主，輔助以攻擊工具的使用，這樣保證了整個(gè)滲透測試過程都在可以控制范圍之內(nèi)。通過滲透測試可以了解和檢測信息系統(tǒng)安全運(yùn)營狀況；符合相關(guān)監(jiān)管部門的合規(guī)性要求。

系統(tǒng)級漏洞掃描：定期針對業(yè)務(wù)程序所部屬的服務(wù)器，在部署完畢程序后，通過專業(yè)的漏洞掃描設(shè)備對服務(wù)器進(jìn)行漏掃，從操作系統(tǒng)層面對已知漏洞進(jìn)行修補(bǔ)，確保業(yè)務(wù)上線后操作系統(tǒng)層面的安全性。

流量清洗服務(wù)：與互聯(lián)網(wǎng)服務(wù)提供商簽訂大流量DDOS清洗服務(wù)，以確保在運(yùn)營商可用的情況下對此類攻擊的防御。

應(yīng)急預(yù)案：根據(jù)目前已知安全事件類型的場景制定信息安全事件預(yù)案，并定期開展演練，確保在發(fā)生此類事件后最短時(shí)間內(nèi)予以有效處置。

2.事中階段：

發(fā)現(xiàn)安全事件后，第一時(shí)間上報(bào)領(lǐng)導(dǎo)；根據(jù)應(yīng)急預(yù)案中的場景，按照預(yù)案中的操作流程與規(guī)范進(jìn)行具體處理；聯(lián)系安全服務(wù)公司專業(yè)人員進(jìn)行現(xiàn)場應(yīng)急；根據(jù)情況聯(lián)系運(yùn)營商進(jìn)行流量清洗，進(jìn)行DDOS攻擊處置；保留入侵訪問的痕跡。

3.事后階段：

記錄事件發(fā)生時(shí)間、對相關(guān)系統(tǒng)產(chǎn)生的影響、業(yè)務(wù)影響范圍以及持續(xù)時(shí)間，總結(jié)事件特征，列入知識庫，為后續(xù)事件防范做案例文檔；根據(jù)APT系統(tǒng)記錄的數(shù)據(jù)進(jìn)行入侵行為溯源追蹤，根據(jù)實(shí)際情況具體處理；編寫事件處理報(bào)告，開會討論總結(jié)。

（七）強(qiáng)化IT風(fēng)險(xiǎn)管理的考核與激勵(lì)，以考核促管理。

要將IT 風(fēng)險(xiǎn)納入分支行的經(jīng)濟(jì)資本計(jì)量考核，在計(jì)量評分卡中設(shè)置IT風(fēng)險(xiǎn)、業(yè)務(wù)連續(xù)性管控情況等定性與定量指標(biāo)，獎(jiǎng)優(yōu)懲劣，推動(dòng)各級行主動(dòng)加強(qiáng)IT風(fēng)險(xiǎn)防控。同時(shí)，還要將核心系統(tǒng)累計(jì)中斷時(shí)間納入科技部門、相關(guān)業(yè)務(wù)部門的綜合績效考核體系，以考核促進(jìn)管理。