安恒信息六步走方案，解决金融业网络安全运营四大痛点

讲武堂，带兵者研究武学之所。今设“安恒信息安全咨询讲武堂”，与圈内人士共同聚焦、分享安全咨询领域的心得体会与实践经验。

本期聚焦“金融业网络安全运营体系设计与实践”，为行业数据安全体系化建设提供参考依据，欢迎大家文末留言探讨。

金融行业经过多年对网络安全的持续投入，在威胁防御、风险识别、管理制度等方面建立起初步的体系化水平，在静态防护、合规响应、安全响应等具体场景中具备较为完善的支撑能力。日常安全运营活动中，告警有人看、事件能处置、监管能反馈、漏洞可发现，在网络安全自身范畴内具备较高的成熟度。

在此基础之上，面对监管力度的加大与业务安全诉求的变化，以及安全部门自身的发展思考，金融业网络安全也面临新的挑战、问题和难点：

➣如何将偏静态防护的网络安全状态如何向工具平台、安全管理、人员服务多要素融合的动态防御治理演进。

➣如何提升金融科技、金融业务中网络安全的价值属性，内部有效落实网络安全责任制的整体要求。

➣如何在资产、漏洞、事件等具体安全场景中提升管理与技术效能，面向“真需求”实现“真安全”。

➣如何以定量、定性方式衡量与评估安全治理水平、安全处置效率、安全短板不足，有效指导后续安全建设方向与要点。

以更合理、更有效、更具系统性的思维开展金融业网络安全工作，逐步构建契合自身现状、满足当下与未来安全目标的安全运营体系化能力，实现日常安全工作与活动的标准化、流程化、线上化、价值化、可量化，是解决当前金融业网络安全难题、建设安全运营体系的核心原则与思路。

一、定路线：

确立运营体系演进路径与目标

三分技术，七分管理。基于自身安全水平现状，遵循科学的方法确立运营体系规划与建设步骤，是构建运营体系化能力的前提。

日常安全工作中，绝大多数金融机构在当前技术水平支撑下多以事件驱动为主、流程驱动为辅，而安全合规、安全服务均须以管理导向才能最大程度避免安全风险。逐步向流程化成熟驱动，最终形成以管理驱动为核心的安全形态，是达成综合性安全目标的路线准则与演进方向。

事件驱动

当前银行日常各项安全活动以外部合规要求、发现的各类风险威胁为运营活动触发因素，分析与处置动作更多依靠服务人员进行衔接跟踪，效率低、闭环跟踪难度大。

流程驱动

后续规划首先通过流程机制衔接技术能力、团队人员、服务内容，并与实际业务部门进行流程化互动，不断提高活动标准化与流程化，推动安全责任落实与事项的及时跟进。

管理驱动

规划总体目标通过流程驱动的不断演进，在日常运营活动中，具备定量、定性运营评估条件，不断进行运营各要素与运营全流程优化，持续演化运营能力。

二、塑架构：

以运营视角重塑安全体系架构

以往的安全架构设计，更侧重能力的纵向建设与支撑，这导致实际安全活动中安全能力碎片化、工具与数据割裂、服务与目标脱节等问题。能力建设是过程，日常的安全运营是最终需求和目标，运营体系的建设更关乎安全治理与管理的最终效果。

在现有安全架构基础上，需要以运营视角重新定义运营技术和管理，以横向机制与纵向逻辑相结合方式进行运营架构设计。将内外部安全服务能力、工具平台作为运营技术基础，以运营质量提升与技术基础相适应，最终通过管理视角去约束、指导、衡量整体运营水平。宏观上以运营结果为导向，微观上可确立细化的运营能力优化重点任务。

运营架构示意图

三、明准则：

以管理推落实、以标准促指导

管理制度是安全效能发挥的保障，也是对安全工作的约束与赋能。

在安全运营工作中，充分以场景化任务识别与梳理，以可落地、可执行的标准建立制度要求、运营流程、支撑文档的三级制度体系，能够明确各部门职责边界与协作机制，标准化指导各项细化安全工作的开展，有效解决人员能力水平差异、部门协作不畅等问题，以合规、标准化的方式推动运营工作的开展与水平提升。

运营管理制度体系示例

四、建机制：

通过流程标准化输出安全价值

安全部门与IT、业务等各部门进行跨部门协作，决定了网络安全如何在金融科技与业务中发挥价值，构建跨域、跨部门的协作机制就显得尤为重要。

一方面，安全部门须建立自身的运营管理平台，在日常运营工作中，在安全平台之上对运营工作具备技术支撑，对工具、数据进行集中化管理与应用，发挥整体安全能力，实现安全流程内循环。

另一方面要将运营管理平台与金融机构内部邮件、OA、CMDB等管理工具、技术工具进行对接，获取外部技术输入的同时，在遵循现有协同机制前提下实现安全流程与管理流程的平滑对接。

五、立场景：