基金行业对信息和数据高度依赖,随着现代信息技术与业务的深度融合,金融科技对行业的发展起到了越来越重要的作用。尤其是余额宝上线以来,技术部门开始走向前台,通过不断引进云计算、大数据、AI等创新技术,实现为业务赋能。然而,新技术的深度应用在给行业发展带来机遇的同时也给信息安全工作带来了新的挑战。安全是金融行业生存的底线,不容许出现任何问题,一旦系统出现风险,一旦数据出现泄露,将带来不可估量的损失。
建立健全信息安全管理体系是信息安全建设可持续发展的保障,基金公司信息安全的组织如何保障基金业务?信息安全技术架构建设以及混合云下如何进行安全架构设计?如何解决云的信息安全问题?基金公司信息安全管理如何落地?
近日安全牛有幸采访了天弘基金信息技术总监韩海潮,就以上问题进行了深入谈论和交流,以下是主要内容。
天弘基金信息技术总监韩海潮
韩海潮:信息安全管理不仅仅只限于规定信息安全部门的人员配置,工作职责、流程制度,更重要的是有相应的高层级的组织保障,这是制定安全标准、流程的依据,是实施信息安全技术架构的基础,更是信息安全有效运营的核心。
基金公司的信息安全管理部门的主要职责包括信息安全管理、信息安全服务、基础架构安全、数据安全以及终端安全五部分。其中信息安全管理包括体系建设保障推行以及培训、改进跟踪和评价工作;信息安全服务包括脆弱性分析、安全风险评估、安全事件管理、监管对接和内审;基础架构安全包括网络安全、主机安全、应用安全三个方面;数据安全包括数据分级分类、数据标签、加解密水印,数据流向管理(dlp,数据分发平台,数据查询平台);终端安全包括客户端安全加固、准入、上网行为、及防病毒等工作。
韩海潮:一个良好的安全技术基础架构能有效的推动和保障信息安全管理。经过摸索和实践,逐步形成一套行业特色的信息安全标准和方法论。这种信息安全技术架构的建设方法其特点是以资产防护为中心,横向、纵向组成的一个安全控制矩阵,体系框架通用性比较强。主要包括以下几个方面:1、数据安全、应用安全、主机安全、网络安全、终端安全和物理安全六大安全域的划分;2、基于安全防护、监控检测、审计跟踪和响应恢复的过程管控;3、通过搭建了安全运营中心SOC,确保发现安全问题迅速得到解决。
如下图所示:
物理安全方面通过实施物理隔离、访问控制、视频监控以及空调、电力等保障提升数据中心的安全性;网络安全风险防控方面通过部
