金控體系下信息安全防護(hù)網(wǎng)構(gòu)建論文

金控體系下信息平安防護(hù)網(wǎng)構(gòu)建論文（一）金控的定義金控是金融控股的簡(jiǎn)稱，是指在同一控制權(quán)下，完全或主要在銀行業(yè)、證券業(yè)、保險(xiǎn)業(yè)中至少兩個(gè)不同的行業(yè)提供效勞的金融集團(tuán)。從定義上可以直接反映出金控公司的特點(diǎn)：多金融牌照混業(yè)經(jīng)營(yíng)，由一家集團(tuán)母公司控股，通過(guò)子公司獨(dú)立運(yùn)作各項(xiàng)金融業(yè)務(wù)。（二）金控的歷史機(jī)遇金控公司出現(xiàn)之初，集團(tuán)母公司多是扮演財(cái)務(wù)投資的角色，不參與詳細(xì)業(yè)務(wù)的運(yùn)營(yíng)。隨著國(guó)家“十三五”工作的推進(jìn)，金融改革不斷深化和多元化，單一業(yè)務(wù)的聚集效應(yīng)在減弱，而以多業(yè)務(wù)構(gòu)建“客戶-平臺(tái)-資產(chǎn)”供應(yīng)鏈閉環(huán)生態(tài)系統(tǒng)的金控平臺(tái)那么迎來(lái)其歷史開(kāi)展機(jī)遇。其通過(guò)資源協(xié)同、渠道整合、穿插銷售等運(yùn)營(yíng)形式，促進(jìn)供應(yīng)鏈上各項(xiàng)金融業(yè)務(wù)的聯(lián)動(dòng)開(kāi)展，最大程度地發(fā)揮了產(chǎn)品互補(bǔ)優(yōu)勢(shì)，進(jìn)步效能，享受高額市場(chǎng)回報(bào)。（一）信息化建立的重要性打造金控體系下多牌照的閉環(huán)生態(tài)系統(tǒng)，離不開(kāi)信息化平臺(tái)的建立。換個(gè)角度，信息系統(tǒng)是多牌照業(yè)務(wù)交融、產(chǎn)品創(chuàng)新和效能提升的一種有效手段。如通過(guò)信息化建立金控體系下統(tǒng)一的客戶系統(tǒng)、全面風(fēng)險(xiǎn)管理系統(tǒng)、產(chǎn)品銷售系統(tǒng)、大數(shù)據(jù)分析平臺(tái)等，可助力金控集團(tuán)建立品牌效應(yīng)，快速響應(yīng)多元化的市場(chǎng)需求，從而實(shí)現(xiàn)業(yè)務(wù)的爆發(fā)式增長(zhǎng)?；谛畔⒒闹匾?，綜觀目前市場(chǎng)上的各類金控公司，都在大力開(kāi)展信息化建立，尋找業(yè)務(wù)創(chuàng)新點(diǎn)，引領(lǐng)行業(yè)晉級(jí)和搶占市場(chǎng)。（二）信息平安需求分析對(duì)于互聯(lián)網(wǎng)時(shí)代的金融企業(yè)來(lái)說(shuō)，數(shù)據(jù)是核心，平安是生命線。隨著《網(wǎng)絡(luò)平安法》的施行，信息平安已上升到國(guó)家戰(zhàn)略層面，構(gòu)建金融企業(yè)的信息平安防護(hù)網(wǎng)勢(shì)在必行。對(duì)于金控公司來(lái)說(shuō)，由于是混業(yè)經(jīng)營(yíng)形式，旗下不同牌照的子公司，因其監(jiān)管部門(mén)不同以及對(duì)信息平安要求不一樣，在規(guī)劃其信息平安時(shí)，必須將多牌照的特點(diǎn)融入到平安體系內(nèi)，同時(shí)滿足信息平安和業(yè)務(wù)開(kāi)展的平衡需求，以免顧此失彼，得不償失。建立一套金控公司的平安體系，必須同時(shí)從管理和技術(shù)角度進(jìn)展規(guī)劃，管理是運(yùn)營(yíng)措施，而技術(shù)是操作手段，相輔相成，缺一不可。（一）信息平安管理體系的規(guī)劃1.對(duì)標(biāo)的選擇。建立一套信息平安體系，目前可對(duì)標(biāo)的標(biāo)準(zhǔn)和標(biāo)準(zhǔn)包括國(guó)際標(biāo)準(zhǔn)ISO27001、國(guó)家平安標(biāo)準(zhǔn)、各監(jiān)管機(jī)構(gòu)的平安指引、信息平安等級(jí)保護(hù)管理方法，以及行業(yè)的最正確理論等。對(duì)于金控信息平安管理體系的規(guī)劃，應(yīng)該以ISO27001為根底，結(jié)合監(jiān)管的合規(guī)要求進(jìn)展編制。2.設(shè)計(jì)原那么。通常情況下混業(yè)經(jīng)營(yíng)企業(yè)在制定企業(yè)管理體系標(biāo)準(zhǔn)時(shí)要照顧到各方的使用需求，其標(biāo)準(zhǔn)具有通用性和廣泛性。詳細(xì)使用部門(mén)或子公司可再結(jié)合自身業(yè)務(wù)特點(diǎn)，制定更詳細(xì)的操作標(biāo)準(zhǔn)。但對(duì)于金控行業(yè)來(lái)說(shuō)，由于旗下各子公司經(jīng)營(yíng)的都是金融業(yè)務(wù)，對(duì)信息平安的要求比普通企業(yè)更嚴(yán)格，信息平安是其不可逾越的紅線。因此在為其設(shè)計(jì)信息平安管理體系時(shí)，應(yīng)反其道而行，從嚴(yán)要求，以最嚴(yán)格的標(biāo)準(zhǔn)進(jìn)展編制，做好頂層設(shè)計(jì)，然后根據(jù)各子公司的業(yè)務(wù)特點(diǎn)，對(duì)或標(biāo)準(zhǔn)做適當(dāng)?shù)牟脺p或降低等級(jí)要求。3.管理體系模型。信息平安管理體系是一個(gè)多層次的模型，如圖1所示。在該模型中，第一層是企業(yè)信息平安方針政策，說(shuō)明企業(yè)信息平安總體目的、范圍、原那么和平安框架等；第二層是企業(yè)平安管理制度和標(biāo)準(zhǔn)，說(shuō)明體系運(yùn)行所需要的通用管理要求；第三層屬于平安管理活動(dòng)中，用于約束平安行為的詳細(xì)方法；第四層是配套的表單和記錄，用于輔助制度和管理方法的執(zhí)行。4.平安目的和方針的設(shè)計(jì)。雖然是混業(yè)經(jīng)營(yíng)，但對(duì)于金控集團(tuán)及旗下各子公司來(lái)說(shuō)，信息平安的目的應(yīng)該是一致的，本質(zhì)都是追求企業(yè)數(shù)據(jù)的保密性、完好性和可用性，所以平安方針可以基于集團(tuán)統(tǒng)一考慮，設(shè)計(jì)為：平安、合規(guī)、協(xié)同、務(wù)實(shí)。平安：以風(fēng)險(xiǎn)管控為核心，主動(dòng)識(shí)別、管控并重，為用戶提供平安、可靠的信息技術(shù)效勞。合規(guī)：按照國(guó)家法律法規(guī)及行業(yè)監(jiān)管要求，建立滿足集團(tuán)業(yè)務(wù)開(kāi)展需求，并具有專業(yè)才能的信息平安管理機(jī)制。協(xié)同：全員參與，對(duì)全體員工進(jìn)展持續(xù)的信息平安教育和培訓(xùn)，不斷增強(qiáng)員工的信息平安意識(shí)和才能。務(wù)實(shí)：以經(jīng)濟(jì)適用為準(zhǔn)那么，選擇適應(yīng)公司開(kāi)展變化的業(yè)務(wù)架構(gòu)和穩(wěn)定靈敏的技術(shù)架構(gòu)，滿足各業(yè)務(wù)條線的管理和決策需要。5.組織架構(gòu)的設(shè)計(jì)。信息平安方針的貫徹，平安制度的執(zhí)行，平安技術(shù)的部署，都需要通過(guò)平安管理組織來(lái)推行。各個(gè)模塊互相之間的關(guān)系如圖2所示。對(duì)于金控行業(yè)公司而言，由于多數(shù)子公司都是獨(dú)立法人，無(wú)法完全成立一個(gè)實(shí)體平安組織，而是一個(gè)橫跨集團(tuán)和各子公司的虛擬平安組織。為保證平安組織的有效性和執(zhí)行力，應(yīng)具有分工合理、職責(zé)明確、互相制衡、報(bào)告關(guān)系明晰的特點(diǎn)。6.管理制度及標(biāo)準(zhǔn)的設(shè)計(jì)。管理制度和標(biāo)準(zhǔn)是屬于企業(yè)運(yùn)營(yíng)措施，根據(jù)ISO27001標(biāo)準(zhǔn)模型，平安管理制度劃分了14個(gè)控制域，涵蓋的內(nèi)容如圖3所示。根據(jù)各控制域的關(guān)聯(lián)關(guān)系，結(jié)合金融企業(yè)的平安需求，企業(yè)的平安管理制度通用全景圖設(shè)計(jì)如圖4所示。（二）信息平安技術(shù)體系規(guī)劃技術(shù)體系屬于信息平安操作層面的內(nèi)容，應(yīng)該是圍繞整個(gè)數(shù)據(jù)生命周期展開(kāi)規(guī)劃的。根據(jù)數(shù)據(jù)的運(yùn)動(dòng)軌跡，經(jīng)歷“消費(fèi)-傳輸-計(jì)算-存儲(chǔ)-消亡”等階段，所以信息平安技術(shù)體系的范圍，應(yīng)該涵蓋物理環(huán)境、根底架構(gòu)（含虛擬化層）、應(yīng)用、數(shù)據(jù)和訪問(wèn)控制等。一般通用的平安技術(shù)體系全景如圖5所示。由于平安技術(shù)需要部署大量的專業(yè)設(shè)備，對(duì)于混業(yè)經(jīng)營(yíng)的金控公司而言，可以發(fā)揮集團(tuán)總部的先天優(yōu)勢(shì)，對(duì)于一些共性的平安技術(shù)方案，由集團(tuán)統(tǒng)一規(guī)劃和部署，然后為各子公司提供相應(yīng)的平安效勞，減少投入，節(jié)約本錢。例如防病毒系統(tǒng)，由集團(tuán)總部部署效勞端，各子公司部署客戶端即可，類似的平安技術(shù)效勞還有破綻掃描系統(tǒng)、身份認(rèn)證系統(tǒng)、終端準(zhǔn)入系統(tǒng)、APT檢測(cè)系統(tǒng)、平安浸透效勞、平安培訓(xùn)效勞等。由于是混業(yè)經(jīng)營(yíng)，在組建了橫跨集團(tuán)和各子公司的平安組織后，還需要不斷地進(jìn)展理論以到達(dá)最正確效果，以下是一些具有特色的理論場(chǎng)景。（一）信息平安事件的統(tǒng)一管理信息平安事件的管理是平安制度之一，有效的事件管理可以積極發(fā)揮平安效能，提升全集團(tuán)的平安才能。1.情報(bào)共享，協(xié)同防護(hù)。在管理層面，原各業(yè)務(wù)子公司只會(huì)向其外部監(jiān)管部門(mén)報(bào)送平安信息，互相獨(dú)立，不能有效共享相關(guān)的平安情報(bào)。新的形式下要求子公司同時(shí)將平安信息上報(bào)集團(tuán)總部，總部通過(guò)分析后形成統(tǒng)一報(bào)告，再發(fā)放到各個(gè)子公司。通過(guò)這種方式，一方面可以實(shí)現(xiàn)情報(bào)共享，另一方面可以實(shí)現(xiàn)信息平安的統(tǒng)一管控，協(xié)調(diào)防護(hù)。2.統(tǒng)一監(jiān)控，快速反響。在技術(shù)層面，可通過(guò)在子公司部署探針，建立集團(tuán)的統(tǒng)一平安監(jiān)控平臺(tái)，對(duì)集團(tuán)內(nèi)所有的平安日志進(jìn)展采集、分析、響應(yīng)，同時(shí)結(jié)合集團(tuán)和各子公司的平安保護(hù)措施對(duì)事件進(jìn)展快速處理，合縱連橫，從而保證整個(gè)集團(tuán)和各子公司信息系統(tǒng)的平安穩(wěn)定運(yùn)行。（二）子公司信息平安建立的管理對(duì)于多牌照的金控公司來(lái)說(shuō)，旗下各子公司業(yè)務(wù)種類不同，規(guī)模也有區(qū)別。在信息平安的建立方面，應(yīng)該有區(qū)分對(duì)待。對(duì)于規(guī)模較大的子公司，依靠自身力量建立了數(shù)據(jù)中心及平安體系的，除一些共性的平安技術(shù)方案可由集團(tuán)提供以外，其他的平安措施由子公司執(zhí)行，集團(tuán)主要是發(fā)揮標(biāo)準(zhǔn)制定和監(jiān)管的角色。對(duì)于規(guī)模較小的子公司，由于IT力量較弱，數(shù)據(jù)中心體量有限，很難依靠自身建立完好的信息平安保護(hù)體系。在監(jiān)管容許的情況下，可以將子公司的信息系統(tǒng)托管在集團(tuán)數(shù)據(jù)中心，由集團(tuán)進(jìn)展信息平安的統(tǒng)一規(guī)劃、建立和運(yùn)維。（三）穿插檢查，取長(zhǎng)補(bǔ)短由于同屬于一個(gè)集團(tuán)，各子公司之間具有天然的信任感，通過(guò)集團(tuán)的統(tǒng)一組織和管理，可以促進(jìn)各子公司之間