“业务驱动安全”为客户保驾护航

在提升人们生产生活效率的同时，公众面临的互联网日趋复杂且危险。根据某安全公司发布的报告，全球范围内约52%的互联网流量来自“机器人”，且其中大部分是恶意程序。随着多变的外部因素及快速发展的业务需求，传统通过划清网络边界的“围墙式防护”已显得力不从心。安全人员意识到，单纯从技术手段开展安全防护已经无法满足现代企业的安全需求。在2017 RSA大会上，“从IT驱动安全转变为业务驱动安全”的观点也受到了业界的广泛认可。中信建投证券在安全体系建设工作中不断探索优化，立足业务发展需求，结合自身业务条线展开安全风险分析，构建了多层次的信息安全防控体系。

前台开户业务把好合规关

        1．多渠道验证开户人员身份

        客户开立证券账户时，需要充分认证开户者身份。相比柜台开户，通过互联网进行非现场开户时，如何验证客户的身份及真实意愿是一个极其重要的环节。每笔非现场开户业务均需通过以下五个阶段的身份校验才能成功。

        一是通过客户注册时主动上传的个人身份信息，获取身份信息影像资料进行初步筛选。二是用户使用数字证书绑定身份信息，对客户的所有操作进行数字签名，使后续操作具备防抵赖能力。三是通过联网核查系统获取开户人员在公安系统中的影像信息，验证开户人员身份的合法性。四是通过双向视频，见证校验客户提交的影像资料及基本信息的符合程度，人工确认客户身份真实性。五是通过回访再次确认客户开户流程的合规性及客户本人的开户意愿。

        2．通过“双录”记录揭示风险过程

        开户时除了对身份真实性的验证外，因证券行业伴随风险投资的特性，在开展高风险交易前还需对投资者进行必要的投资风险揭示，以保障投资者合法权益。随着7月1日《证券期货投资者适当性管理办法》的正式实施，监管机构对投资者办理高风险业务的过程提出了具体要求，在普通投资者申请转化为专业投资者、普通投资者临柜购买高风险产品或者申请相关服务等业务时，都需要进行录音及录像并按要求保存。“双录”对业务办理过程中需要录制的内容、录制场地、双方互动的问题及录制方法都有详细的质量要求。通过此举，震慑违规营销产品行为，更好地治理销售误导问题，有利于提高消费者的风险意识，同时也为日后争议提供必要依据。

中台持续监控降低风险影响

        在信息系统运营过程中，高效的监控可以尽早发现潜在威胁事件或违规操作，最大程度地降低负面影响。然而，随着信息系统规模及业务场景的日趋复杂，在庞大的数据中挖掘异常事件的难度也呈几何式增长。安全事件以每小时上千、上万起的频率爆发，其中夹杂着数之不尽的威胁信息，很多企业从安全事件发生到发现，往往需要数周乃至数月之久，有时甚至无法感知。

        按照一般的事件发现手段，当安全分析员完成大量数据过滤、筛选，并进行了校验及场景评估后，所发现的安全事件可能处于所有攻击已经结束甚至造成实际影响的阶段。

        中信建投证券在安全事件的发现手段上，尝试用大数据与攻击特征结合分析的方式，试图提升安全事件的平均检测时间（MTTD）。首先，参考网络攻击杀伤链（源自洛克希德马丁公司）的攻击特征，在网络攻击行为的侦察、武器化、装载、利用、安装、指挥控制和达成目标等七个阶段完善探测能力。然后，整合多方数据并制订关联规则，在不同阶段关注不同日志及特征，提升事件发现命中率，有助于开展溯源分析，梳理攻击路径。

        将机器学习技术与安全分析结合，后者即具备了智能化分析能力。利用“用户行为分析引擎”建立合规操作的行为模型后，可更加快速地发现脱离基线的异常操作，这是安全事件主动发现能力的突破性进展。除此之外，基于机器学习的用户行为分析未来可应用在具体业务场景，发挥更大功效。尤其是在发现异常交易、违规交易等违法行为方面，可提供有力的合规保障。

后台系统支撑保障措施

        1．漏洞管理能力是安全保障工作的重点

        5月，WannaCry勒索病毒在一夜间横扫150多个国家的30万台设备，对全球交通和医疗系统造成了严重影响。事后有专业安全团队分析称，该病毒制造者几乎在每一个环节都有业余水平的错误，绝非专业黑客的作品。这不禁令人错愕，如果是专业组织实施类似攻击，其后果又将如何。

        此次攻击行为将信息安全风险直观地展现于大众面前，“漏洞”的概念得到了空前普及。众多企业在感叹信息安全的木桶原理及攻防成本差异的同时，也重新审视了自身的漏洞管理现状，而对漏洞全生命周期的管理就是漏洞管理的工作重点。整体生命周期分以下四个阶段。

        一是漏洞发现阶段。使用评估手段事前防范漏洞、使用技术手段定期发现自身漏洞、通过专业团队定向监测漏洞、使用外部渠道全面汇集漏洞信息，综合使用以上手段尽可能提前发现漏洞，为处理工作赢得主动权。在证券行业中，中证信息技术服务有限责任公司肩负着对行业内互联网业务的监督监控职责。该公司利用资源、人员及技术优势，定期扫描全行业互联网信息系统漏洞，大幅提升了行业整体安全水平。二是漏洞修复阶段。漏洞处置往往占用大量精力，并带来变更风险。漏洞修复能力的自动化程度高低，直接影响企业的响应速度，从而高效开展更为严谨的漏洞测试及变更风险评估工作。三是漏洞跟踪阶段。由专人负责漏洞修复的全面管理，配合全公司统一的修复工作规划及专业支持，可减少团队间的沟通障碍及处置效果。四是漏洞总结阶段。开展严谨的漏洞校验工作并做事后总结，是保障漏洞修复有效性的重要环节。特别是事后总结，对公司的版本控制、安全基线控制、评估检查流程提供优化建议，可持续提升公司整体对信息技术风险的防控能力，使漏洞管理生命周期闭环工作。

        2．高度关注钓鱼网站和盗版应用

        按照CNNIC发布的数据，2016年发现的钓鱼网站量为147211例，同比2015年增长150.96%，其中电信运营商、电商行业及金融行业是钓鱼网站的重灾区。

        目前，最常见的钓鱼网站威胁防护手段是使用网站证书及客户自行设置登录个性欢迎语。同时，需结合宣传工作，提升客户的防范意识。另外，与网络应急响应机构保持沟通，建立针对钓鱼网站探测、预警及处置的快速响应机制。

        手机端的防钓鱼工作重心更倾向于反盗版应用。需加强与外部机构的信息共享和协同机制，发现盗版，尽快处理。同时，常态化监控主流应用发布平台，主动发现盗版应用。

        下一步，中信建投证券将进一步深化业务场景与信息安全工作的结合。依托业务发展与创新步伐，持续跟踪新安全威胁，积极评估新安全理论，加强外部协作，不断提升防控手段。为广大客户提供更安全、更人性化的业务体验。

（文章来源：金融电子化杂志） 

扫码即可手机
阅读转发此文