淺談支付行業網絡安全體系建設

汪偉

摘 要 文章分析了新形勢下網絡攻擊的模式和手段，列舉了支付行業所面臨的威脅和挑戰，剖析了加強支付行業信息系統安全建設的緊迫性和必要性，提出縱深安全防御體系建設的目標和路線圖，從而為企業的網絡安全建設提供思路和方向。

關鍵詞 第三方支付；網絡安全；關鍵信息基礎設施

中圖分類號 G2 文獻標識碼 A 文章編號 1674-6708（2018）222-0072-02

2018年4月全國網絡安全和信息化工作會議上，習近平總書記再次強調“沒有網絡安全就沒有國家安全，就沒有經濟社會穩定運行”。明確提出鑄牢安全屏障，就要“加強網絡安全信息統籌機制、手段、平臺建設，做到關口前移，防患于未然”。“關口前移”實際上就是要知道風險到底在哪里，才能有的放矢。攻防雙方的輸贏取決于信息是否對稱，技術是否對等，投入產出是否合理。要以技術對技術，以技術管技術，做到魔高一尺、道高一丈。

1 新形勢下網絡安全所面臨的挑戰

近年來，國內外病毒事件和信息泄露事件層出不窮，“勒索病毒”“某酒店上億條客戶信息泄露”“某快遞公司數千萬條客戶信息泄露”等事件的余溫尚未退去，這給我們網絡安全的建設敲響了警鐘。回顧近年來經歷的網絡安全和信息泄露事件，威脅手段已由原來的腳本攻擊、掃描注入攻擊演變成勒索病毒攻擊、僵尸網絡攻擊，攻擊目標也由針對普通用戶攻擊轉向針對關鍵信息基礎設施的攻擊。

隨著互聯網技術和通信技術的發展，支付行業的信息化程度越來越高，由于支付場景的極大豐富，給人們生活帶了各種便利，繳納話費、水電煤費用等均可在網上完成。但是隨著支付場景的多元化，個人信息和其他支付類敏感數據在互聯網上傳輸越來越頻繁，意外泄露和被非法竊取的可能性增加，因此保障信息的安全性至關重要。由于互聯網的開放性和共享特征及信息系統自身安全漏洞和某些應用框架的先天缺陷，使得敏感信息被非法獲取成為可能，因此構建合適的網絡安全體系來保障信息的保密性、完整性和可用性變得尤為重要[ 1 ]。

2 加強網絡安全建設的必要性

支付系統是國家金融體系的重要組成部分，與公共交通、水電煤行業一樣屬于關鍵信息基礎設施，支付系統的安全穩定運行是社會穩定的重要基礎。對于支付行業而言，攻擊者目的是要獲取系統內部敏感數據，導致敏感數據泄露和企業聲譽受損。隨著外部攻擊形式越來越隱蔽、攻擊層次越來越高級、攻擊維度越來越多樣化，企業需要依賴健全的安全架構體系才能識別各種類型的攻擊來源、辨識不同的攻擊手段和方式，勾畫出全面的風險威脅視圖，進而制定多層“水閘式”縱深安全防御措施。在DT時代，數據是各種信息的載體，支付行業的數據尤為敏感，除了職能部門數據外，更多的敏感數據為商戶和持卡人信息。任何數據泄漏都將導致客戶或商戶利益受損，支付企業自身名譽遭受重創。《網絡安全法》等相關法律法規的出臺，對數據安全保護提出了更高的要求[ 3 ]。

數據是核心的信息資產，企業必須做好動靜態數據的安全防護，落實各項法規和監管政策的要求，只有嚴格按照各項安全標準和監管要求，在不斷加強安全防護的同時，做到最小化的信息收集、傳輸和存儲，才是防止動態和靜態數據外泄的行之有效的辦法。現在的網絡安全概念區別于以前的信息安全的概念，不僅僅只涵蓋信息系統層面，也涉及到業務系統的安全。將安全管控觸角延伸到業務流程之中，對業務操作過程實時監控，依托安全大數據態勢感知，做到防患于未然。

3 網絡安全建設思路

《網絡安全法》第二十一條規定，國家實行網絡安全等級保護制度。列出了網絡運營者應履行的五項安全保護義務。并且《網絡安全法》引入了對關鍵信息基礎設施實施重點保護，并發布了《關鍵信息基礎設施確定指南（試行）》 。支付行業作為國家金融體系的重要組成部分，對這一制度應該嚴格執行。

3.1 建設原則和目標

以需求為驅動，符合法律法規及監管的要求，并與企業風險管理架構相適應，與企業業務和信息化架構協調發展，應當立足現狀、保障發展、適當超前。在進行信息系統的規劃、建設、運行和維護的全生命周期中均有安全角色的介入。根據信息系統分類分級的標準，采用恰當的管理措施和技術手段，減少安全威脅、降低安全風險，提高保障能力。使其擁有持續改進能力，能夠隨著業務和信息技術的發展，參照國際信息安全最佳實踐并對之不斷進行完善。支付行業網絡安全體系必須總體統籌協調，做好頂層設計，根據制定的目標、任務以及產業發展對網絡安全的需求，分階段、分步驟實施，重點抓好急需的重要項目實施，把目標落到實處。總體目標如下：

1）具備網絡安全決策管理能力，使得企業形成良好的安全治理架構，能對所處環境進行感知并對緊急安全情況進行反應，同時還能觀察并對長期變化趨勢做出相應的管理決策，企業能對網絡安全政策制度、人員組織進行有效管理和落實。

2）具備網絡安全風險管理能力，使得企業可以收集、分析并報告安全事件且根據安全控制有效性情況，以識別、評估，并制定風險應對方案，同時對風險管理狀況進行持續監控。

3）具備身份識別和數據安全管理能力，使得企業可以實現正確的人在正確的時間訪問正確的資源做正確的事情。并對資源的訪問進行監控和審計，從中發現未授權的操作和資源使用情況，確保組織范圍內的數據和信息在其生命周期受到適當的保護。

4）具備基礎設施的安全管理能力，使得企業能夠對基礎設施進行安全防御，使其不受傳統威脅和高級威脅的侵害，確保應用系統的安全運行。

3.2 實施路線圖

網絡安全體系建設以5年為建設周期，通過四個階段的建設，由“木桶式”式防御逐步提升到“多層水閘式縱深防御”，形成完整的網絡安全架構體系和分項策略。

3.2.1 信息系統可重用階段

本階段已完成基礎防護建設，從網絡結構上進行了安全域的劃分、網絡邊界部署硬件防護設備、應用層部署WAF等設備。減小目前網絡安全管理體系和技術體系之間的差距，初步完成管理體系與技術體系的融合。企業已經認識到網絡安全的必要性，具有較為完善的安全意識培訓制度和宣貫流程。已制定部分的安全策略，但無明確的網絡安全需求，對于外部的網絡安全事件只能被動做出反應，委托第三方服務商處理和跟進安全事件。技術上，對于安全工具的使用未進行系統規劃，僅根據日常使用的需要進行“煙囪式”部署，缺少可移植性。

3.2.2 安全體系基本成型階段

本階段網絡安全意識得到管理層的促進，安全匯報的形式和內容已標準化和正式化，定義網絡安全程序并使其適合安全策略和程序結構，存在驅動風險分析和安全解決方案的網絡安全規劃；技術上，已對公司內的安全技術和工具進行了部分框架性規劃，安全技術和工具可以覆蓋部分主要安全領域。對新上線的應用或者軟件能做到上線前進行滲漏測試和漏洞掃描，上線時無中高危以上漏洞。

3.2.3 安全體系標準化階段

本階段依托平臺持續分析安全風險和影響，底層系統搭建和擴容均基于統一發布的安全基線規范，網絡安全流程與組織總體的安全職能保持一致，安全報告與管理目標相聯系。技術上，對公司內的安全技術和工具進行了全面框架性規劃，安全技術和工具可以基本覆蓋所有主要安全領域，對公司內目前所用安全技術和工具進行深入了解，評測不足和缺失。具有專門的安全攻防團隊，崗位分工明確。

3.2.4 安全體系持續優化階段

本階段網絡安全已成業務管理者和IT管理者的共同責任，安全角色在軟件的設計階段就介入并貫穿整個軟件開發生命周期，建立定期的安全評估機制以評價安全計劃執行效果，系統地收集和分析新的威脅和安全隱患，及時通知并實施恰當的補救措施。技術上，構建下一代安全管理平臺以及SIEM集中智能管控平臺，實現對全網信息系統的集中管控；利用由自動化工具支持的事故響應程序快速處理故障。

4 結論

等級保護2.0對網絡運營者的空間活動范圍規定的越來越清晰，也對支付行業提出了更高網絡安全要求，支付企業應嚴格按照相關標準和規范進行安全體系的整改和重建，規范本行業的網絡空間行為準則，維護本行業網絡空間秩序[2]。隨著Fintech時代的到來，網絡安全變得更加復雜和嚴峻，金融科技所引領的數字化生活，對安全從業者既是巨大的挑戰，同時也是機遇。只有主動歸納總結已有的經驗教訓、積極探索新的管理思路，才能在數字化時代，贏得主動、贏得未來[4]。

參考文獻

[1]李宗慧.計算機網絡安全建設方案解析[J].電腦編程技巧與維護，2018（4）：157-159.

[2]李仲博，孫思維.新形勢下熱力行業網絡安全建設思路[J].區域供熱，2018（3）：66-69.

[3]姜懿哲.淺談我國電子支付發展現狀及發展趨勢[J].現代商業，2017（33）：32-33.

[4]張慶華，王海濱.金融科技背景下的銀行信息安全建設思考與實踐[J].中國金融電腦，2017（8）：27-29.