信息安全建设原则指导

2022 年 7 月 25 日
本文字数：1679 字
阅读完需：约 6 分钟

为有效应对网络安全攻防态势的新变化、新形势下物理边界持续瓦解的现状，并落实监管的法律法规，信息安全建设提出了“1+2+3”的建设原则。聚焦一个目标：加大顶层设计，构建新型动态信息安全防御体系。打造两个能力：一流安全合规能力、一流实战攻防能力。夯实三个领域：持续强化安全管理、安全运营、安全技术，推动信息化建设与信息安全“同步规划、同步建设、同步使用”，做实、做精安全防护和运营体系。

安全管理首先要进行安全工作顶层设计，设计全景安全工作视图，形成安全管理、安全运营、安全技术 3 个核心领域，并将其细分为方针政策、组织职责、安全培训等 20 个工作分类以及 68 项具体工作任务，对安全进行自上而下、360 度全方位管理。安全管理还要贯彻融合的工作概念，将安全工作融合到开发、测试、运维、数据管理各条线，推动安全内生，将安全工作融合到各项业务中，使业务更快捷、客户体验更好。此外，坚持闭环工作方式，让安全工作贯穿需求、架构、设计、开发、测试、投产、运维等系统生命周期各环节，成立 1+4 一体化安全组织（1 为安全管理处，4 包括开发安全、运维安全、测试安全、数据安全），持续一体化安全防护，一体化安全组织各司其职。

安全管理处：主要负责安全管理、安全运营、安全技术、金融科技战略与信息安全管理。开发安全：制定开发安全规范，管理安全开发过程，建设安全开发支撑工具。运维安全：建设纵深网络安全防御体系，开展深度流量分析，持续开展安全威胁检测预警。测试安全：制定安全测试规范，建设安全测试支撑工具，持续开展安全测试。数据安全：建设数据安全体系，落实敏感信息保护，开展数据安全检查。

安全管理需要打造一流安全合规能力，强化全方位安全管控。对重要系统进行安全画像，实时展现安全状态；对安全监管制度标准进行解读和宣传贯彻，提升合规水平；开展安全意识和安全技能培训，提升全员安全能力；推进等级保护、渗透测试工作，形成检查评测体系；通过安全评审，落实三同步——同步规划、同步检核、同步使用。

安全管理还需要积极开展全员培训，形成以意识培训、能力培训和特色培训为核心的创新安全培训体系，以安全人员能力培训为起点、安全意识为终点的安全培训体系；形成以安全事件为契机的特色安全培训，安全事件触发培训，由开发中心组织，多团队、多项目共同参与的案例培训，安全管理处进行事件原理讲解，并配合相应的宣传，让各团队掌握应知应会的安全技术要求。

为实践常态化安全运营，可以组建实战化红队、蓝队、紫队三支对抗队伍，打造一流实战攻防能力，建设安全威胁漏洞感知和高效处置能力。通过内部培养、外部招聘等多种渠道，建设自有高水平的攻防网军队伍，推动主动攻防能力建设，以攻促防，同步提升攻防两端能力；持续开展常态化、高频的安全漏洞攻防，减少漏洞暴露概率；开展全行攻防演练、技能比拼，持续提升全行攻防技能水平。

建设涵盖告警中心、资产中心、威胁中心、数据分析中心的全方位态势感知平台，实现安全态势全天候、全方位感知；构建全面、立体、智能安全技术防御体系；建设以安全大数据人工智能驱动安全技术体系，提供全方位的信息安全数据分析能力，为构建智能安全的防御体系形成铺垫；建设自动化响应平台，实现威胁的快速处置和消除。

构建一体化安全运营体系，实现安全运营数字化，提升自动研判、自动拦截处置能力；加强以安全事件为核心的运营流程机制建设，建立 7×24 小时信息安全运营队伍；持续建设安全运营观测指标，实时展现安全运营情况。安全技术能力建设以安全能力为中心，对专业技术领域进行深度研究探讨，赋能各项目、业务。具体包括如下几个方面。