近些年来各类信息安全事件层出不穷、有组织有目的网络攻击事件已成为新常态，这种情况在金融行业尤为突出。一方面由于财务公司属于非银行金融机构，本身具有“多金”的属性；另一方面财务公司相对于商业银行而言，其信息科技及安全防护能力与银行相比存在差距，各类不法分子一直对这个行业虎视眈眈。公司经过多年的建设及不断完善，已基本构建了一套适合公司信息化发展相适应的安全保障体系，并在实际运营过程中取得了良好效果。

1 建设思路

1.1 网络安全保障体系建设指导思想

公司网络安全保障体系建设思想是以业务连续性运行保障为出发点，围绕公司生产经营过程中产生的重要数据以及重要信息系统为保护核心，坚持“安全第一、积极应对、预防为先、防护与演练并重”的总体方针，以技术手段为支撑，围绕信息和信息系统全生命周期，逐步建立由安全管理组织、制度体系、安全运行体系和技术防护手段构成的具有公司特色自主创新和可拓展的安全体系，保障公司“国际化创新型一流财务公司”战略的实施。

1.2 网络安全保障体系建设依据

公司网络安全保障体系的建设主要依据以下管理规定：

1、《信息安全等级保护管理办法》（公通字）[2007]43号文发布，明确了信息安全等级化的相关政策标准和规范。

2、中国银监会发布《关于印发商业银行业务连续性监管指引的通知》（银监发[2011]104号），明确了各商业银行及非银行金融机构加强风险管理，提高业务连续性管理能力。

3、中国银监会发布《关于应用安全可控信息技术加强银行网络安全和信息化建设指导意见》（银监发[2014]39号），明确了建立应用安全可控的信息技术长效机制，不断加强银行业网络安全保障能力。

4、《中华人民共和国网络安全法》，明确各系统需按照信息安全等级保护标准建设。

5、《信息安全技术网络等级保护基本要求》（等保2.0），明确了现阶段网络安全的新形势、新变化及新技术、新应用的安全建设要求。

1.3 网络安全保障体系建设原则

1、构建与公司信息化建设相适应的安全体系原则。应综合考虑需求、风险与代价的平衡关系，构建与现阶段信息化建设相适应的安全体系，杜绝安全设备的简单冗余堆砌和不部署安全设备的情况。

2、分区分级原则。以应用系统为主导，科学划分安全防护等级，并依据安全等级进行安全建设和管理。

3、技术与管理相结合原则。安全技术与运行管理机制有效结合。

4、授权最小化原则。只授予主体和客体必要的权限，而不要过度授权。

5、易操作性原则。

1.4 网络安全保障体系建设步骤

构建网络安全保障体系是一个长期叠加不断优化的过程。在此过程中，由于网络安全技术难度相对高且更新快、安全厂商技术实现路径差异大等特点，因此我们在安全体系建设上需要按照“统一规划、分步实施、整合优化”的步骤实施。一方面安全体系要统一规划，分清轻重缓急、有重点的分步推进；另一方面则要根据公司业务及信息科技发展，适度调整规划和建设重点，以应对新的安全隐患。

1.5 网络安全保障体系构建思路

公司网络安全保障体系构建思路主要采用信息系统安全等级保护差异化的思想，从安全管理、安全技术、安全标准、安全工作体系四个领域出发构建与公司信息化阶段相匹配的安全保障体系。其中本文重点讲解的网络安全管理体系涵盖组织机构、制度、人员、系统建设运维、安全风险评估、安全企业文化建设等7个方面。如图1。

2 网络安全管理体系

网络安全建设三分靠技术，七分靠管理。公司网络安全管理体系是网络安全策略落地的关键和灵魂，主要涵盖安全组织机构、安全制度体系、安全预警监测、安全风险评估、安全建设与运维、安全应急及安全企业文化建设等七个部分。

2.1 建立统一的安全组织机构

建立有效的网络安全组织机构、落实具体的安全职责是支撑网络安全保障体系的基础。网络安全工作需要公司领导和全体员工的积极参与。公司建立了由决策层、管理层和执行层构成的安全组织架构。并以发文的形式成立网络安全与信息化领导小组、网络安全与信息化办公室、信息化应急处置工作组。公司总经理担任网络安全与信息化领导小组组长并履行网络安全第一责任人职责，公司所有部门负责人担任信息化领导小组组员。网络安全与信息化办公室挂靠信息管理部。信息化应急处置工作组下设信息安全专岗并配备专人，同时在各个部门设立信息安全应急联系人。

2.2 层层压实网络安全责任

网络安全要健康发展，责任担当首当其冲。公司在制度中明确了安全责任不能外包，严格按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实网络安全责任并采用签订网络安全责任书的形式予以明确。在监管层面，由公司主管网络安全的领导与监管机构签订网络安全责任书；在集团层面，公司网络安全工作指标纳入集团公司年度考核范围，实行一票否决制。在公司层面，信息化管理部门作为网络安全执行部门与公司签订网络安全责任状；在员工层面，针对信息化专业人员和外包服务人员签订网络安全责任书。

2.3 制定网络安全制度体系

建立覆盖机房、网络、信息化资产、信息安全、运行维护、服务外包等内容的安全管理制度体系，涵盖从信息系统规划到运维全生命周期管理。在安全专项制度中明确了信息安全建设从宏观方针到微观操作的三层支撑体系。第一层是明确公司信息安全总体方针、目标与原则。第二层是落实公司信息安全总体方针、实现公司信息安全总目标的支撑内容，涵盖制度、应急预案等。第三层是各类操作手册、工作流程规范等，是安全管理制度、应急预案的细化，主要涵盖安全技术规范、信息化流程清单、信息安全应急操作手册等。

2.4 落实安全运行体系

网络安全管理重在落实。公司安全运行体系主要包括安全监测与预警、安全风险评估、安全日常运维、安全事件应急处理、安全企业文化建设5个方面。

2.4.1 安全监测与预警

安全监测与预警是预防安全事件发生的重要手段，是安全工作从被动防御向主动转化的关键。公司目前主要是采用自动化监控设备并辅以人工审核的监测预警机制。安全专岗每天收集国家信息安全漏洞共享平台及监管机构等发布的安全风险提示、已部署的安全设备监测到的可疑事件、公司主机、网络设备及通用软件厂商的补丁发布情况等，针对发现的风险预警和已确认的风险漏洞组织系统厂商或信息安全专业服务厂商制定信息安全策略并组织实施。针对机房物理环境防水、防火、防盗、温湿度控制、网络连通性等基础环境的风险监控和预警主要采用自动化监控设备辅以每日两次的人工巡检模式。

针对发布的预警信息和已确认的风险漏洞建立信息安全事件每日登记表和编制网络与信息系统安全运营月报，将信息安全事件跟踪处置情况纳入信息安全月报进行管理，实现所有漏洞的闭环管理。

2.4.2 安全风险评估 

公司安全风险评估主要采取自主常态化风险评估和外部专业服务厂商专业评估两种方式。自主常态化风险评估主要通过已部署的漏洞扫描设备，在保证漏洞规则库为最新的前提下，每月初对公司所有设备进行漏洞扫描，针对发现的问题及时开展整改。外部专业服务厂商专业风险评估主要是定期组织信息安全服务厂商开展重要信息系统的渗透测试、风险漏洞扫描、配置核查等工作。通过制定风险评估方案，规范风险评估流程，在专业服务厂商的指导下，逐渐培养出公司自身的安全风险评估队伍，逐步实现向自评估为主的安全风险评估转变。

2.4.3 安全日常运维

日常安全运维是保障信息资源安全稳定的基础。公司已建立起了以风险管控为主线，以安全效益为导向，以信息化为技术手段的运维机制。在管理层面，明确了所运维服务需编制运维服务单并明确运维操作内容、操作步骤、风险评估及应急措施等，且运维服务单在审批同意后方能实施。在技术层面，采用机房运行监控平台、网管平台、综合日志分析平台、数据库审计系统等专业化的监控设备辅以每日两次人工巡检校验的模式。在运维模式方面，封闭互联网远程服务，所有的运维服务操作只能通过固定的已部署了堡垒机的终端上进行操作。在运维审计方面，信息安全专岗定期通过堡垒机、综合日志审计系统、数据库审计系统对运维人员的操作行为进行内控审计。

2.4.4 安全事件应急处置

公司安全事件应急区分常态化和专业化两种不同的形式。面对常态化的应急处置事件，公司主要采取五方面的保障措施，一是发布公司信息安全应急响应管理办法，明确网络安全事件分类、分级、响应报告、应急处置要求等。二是发布信息安全专项应急预案。三是建立涵盖监管机构应急管理组织、公司内部应急管理组织、软硬件设备商、信息安全服务厂商、业务系统厂商的应急处理联系表并每年定期开展修订。四是编制公司信息安全应急操作手册，按照信息安全事件分类分级，明确各个岗位应急处置规范及要求等。五是每年定期开展应急预案的培训和演练工作。通过模拟不同等级的信息安全事件，让参与演练的员工掌握不同等级信息安全事件的应急流程及注意事项，演练前模拟真实的演练环境，编制详细的演练方案，演练完成后进行演练情况分析及总结。

面对有组织的、专业化网络攻击应急处置事件，公司目前采取的主要措施是与专业的信息安全服务厂商签订信息安全专业服务协议，在发生恶意攻击的情况下，可以及时获得厂商的应急处置，有效降低安全危害和风险损失。

2.4.5 安全企业文化建设

在网络安全中，人是最薄弱的环节。公司在推进信息安全企业文化建设方面，主要采取的措施包括常态化工作和专项工作。常态化工作主要包括：每年组织2次全员信息安全培训、每年开展一次公司信息化专业人员安全技能考试、每年开展一次全员信息安全考试。通过培训加考试的模式将员工是否参加培训、是否提交请假事由、是否连续两年缺席培训作为信息安全减分的重要依据，同时将信息安全培训分值与考试分值汇总得出员工本年度的信息安全总成绩，作为个人信息安全履职的主要依据并归档保存。在信息安全文化建设专项工作方面，充分利用各种途径向公司领导作信息安全专题汇报，加深公司领导对当前信息安全态势的认知和公司信息安全现状的理解，促使领导干部真正意识到信息安全的重要性和开展信息安全工作的必要性。

3 实践效果

经过多年的实践和积累，公司已建立了较完善的符合行业特色的网络安全保障体系并在实际的应用中取得了良好的效果。公司自开业至今，未发生一起网络安全事件，在监管机构的现场检查中给予了口头表扬，在集团公司组织的网络安全检查中给予公司“集团领先水平”的评价。在专业攻防实践方面，无论是外部信息安全厂商在熟知公司网络安全架构的前提下进行的网络渗透攻击还是由公安部组织的国家网络安全部队专业化的网络攻击，公司立体化的安全保障体系均经受住了考验。

3.1 信息安全服务厂商专业安全风险评估

为有效验证公司安全保障体系的防护效果，暴露公司重要信息系统隐藏的深层次的安全漏洞，公司在2018年组织了国内知名的信息安全厂商对公司网络及重要信息系统进行渗透测试、漏洞扫描、配置核查等工作。其中渗透测试完全模拟黑客攻击的方式，采用不限路径、限定时间（非工作日期间）的攻击策略、除对系统有重大风险的渗透技术暂不采用外，基本覆盖了市场上主流的渗透技术手段。信息安全厂商3名具有专业安全渗透资质的高级工程师，在掌握公司网络结构的情况下，在一周的时间内未完成公司安全防护体系的突破。为保障本次风险评估真正能发现隐藏的漏洞，公司调整了渗透攻击方式，采用攻击方深入防火墙内侧检验信息系统暴露出来的安全漏洞，经过检测公司信息系统暴露了部分可控的安全风险。在此次风险评估中，公司整体网络安全状况被评为“比较安全”。

3.2 2019年度公安部网络安全攻防演习

2019年5月至6月，公司参加了由公安部组织的2019年度网络安全攻防实战演习。在演习期间未发现公司网络和信息系统被攻破的情况，累计封堵可疑攻击源600余个，拦截网络攻击330余万次、累计向全体员工发布攻防演习通知2次、安全预警8次和重要提醒3次、累计向9台个人终端用户发布预警提示并完成风险整改、在完成自身安全防护的同时，协助其它4家单位完成13次安全预警事件的监测和处置工作。

4 结束语

众所周知，网络安全问题的多样性和多变性决定了安全工作是一项长期性工作，网络安全体系构建既不是固定模式的一成不变，也不可能一次解决一劳永逸，必须与时俱进，公司已建立起的综合立体化网络安全保障体系也将持续优化、不断改进，不断适应未来可能出现的安全挑战。由于时间仓促，文章中难免存在表述不到位或高度不够等问题，不妥之处请给予批评指正。

参考文献

[1] 中华人民共和国国家标准信息安全技术信息系统安全等级保护实施指南

[2] GB/T28448-2012 信息安全技术 信息系统安全等级保护测评要求

[3] JRT 0071-2012 金融行业信息安全等级保护实施指引

[4] 李秀宾.浅谈新形势下金融保险企业纵深防御信息安全体系的构建 中国人寿保险股份有限公司.2016

来源：电力科技创新