基金行業對信息和數據高度依賴,隨著現代信息技術與業務的深度融合,金融科技對行業的發展起到了越來越重要的作用。尤其是餘額寶上線以來,技術部門開始走向前臺,通過不斷引進雲計算、大數據、AI等創新技術,實現為業務賦能。然而,新技術的深度應用在給行業發展帶來機遇的同時也給信息安全工作帶來了新的挑戰。安全是金融行業生存的底線,不容許出現任何問題,一旦系統出現風險,一旦數據出現洩露,將帶來不可估量的損失。
建立健全信息安全管理體系是信息安全建設可持續發展的保障,基金公司信息安全的組織如何保障基金業務?信息安全技術架構建設以及混合雲下如何進行安全架構設計?如何解決雲的信息安全問題?基金公司信息安全管理如何落地?
近日安全牛有幸採訪了天弘基金信息技術總監韓海潮,就以上問題進行了深入談論和交流,以下是主要內容。
天弘基金信息技術總監韓海潮
韓海潮:信息安全管理不僅僅只限於規定信息安全部門的人員配置,工作職責、流程制度,更重要的是有相應的高層級的組織保障,這是制定安全標準、流程的依據,是實施信息安全技術架構的基礎,更是信息安全有效運營的核心。
基金公司的信息安全管理部門的主要職責包括信息安全管理、信息安全服務、基礎架構安全、數據安全以及終端安全五部分。其中信息安全管理包括體系建設保障推行以及培訓、改進跟蹤和評價工作;信息安全服務包括脆弱性分析、安全風險評估、安全事件管理、監管對接和內審;基礎架構安全包括網絡安全、主機安全、應用安全三個方面;數據安全包括數據分級分類、數據標籤、加解密水印,數據流向管理(dlp,數據分發平臺,數據查詢平臺);終端安全包括客戶端安全加固、准入、上網行為、及防病毒等工作。
韓海潮:一個良好的安全技術基礎架構能有效的推動和保障信息安全管理。經過摸索和實踐,逐步形成一套行業特色的信息安全標準和方法論。這種信息安全技術架構的建設方法其特點是以資產防護為中心,橫向、縱向組成的一個安全控制矩陣,體系框架通用性比較強。主要包括以下幾個方面:1、數據安全、應用安全、主機安全、網絡安全、終端安全和物理安全六大安全域的劃分;2、基於安全防護、監控檢測、審計跟蹤和響應恢復的過程管控;3、通過搭建了安全運營中心SOC,確保發現安全問題迅速得到解決。
如下圖所示:
物理安全方面通過實施物理隔離、訪問控制、視頻監控以及空調、電力等保障提升數據中心的安全性;網絡安全風險防控方面通過部
