摘要

當(dāng)前，網(wǎng)絡(luò)安全形勢復(fù)雜多變，全面了解和評價(jià)自身網(wǎng)絡(luò)安全能力對做好網(wǎng)絡(luò)安全保障工作至關(guān)重要。根據(jù)國家有關(guān)法律法規(guī)、標(biāo)準(zhǔn)規(guī)范和監(jiān)管要求，借鑒通用能力成熟度模型方法論并結(jié)合行業(yè)實(shí)踐，提出一種金融行業(yè)網(wǎng)絡(luò)安全運(yùn)營能力成熟度評估模型，通過劃分能力等級、明確評估要點(diǎn)，構(gòu)建一套體系化、可度量的網(wǎng)絡(luò)安全運(yùn)營能力成熟度評價(jià)指標(biāo)體系。通過指標(biāo)評價(jià)，能夠促進(jìn)金融機(jī)構(gòu)全面了解自身網(wǎng)絡(luò)安全能力現(xiàn)狀，發(fā)現(xiàn)短板和弱項(xiàng)，及時(shí)采取風(fēng)險(xiǎn)防范措施，進(jìn)一步健全和規(guī)范安全運(yùn)營體系，提高安全運(yùn)營和資源投入效能，提升網(wǎng)絡(luò)安全能力水平，助力金融數(shù)字化轉(zhuǎn)型和高質(zhì)量發(fā)展，也為其他行業(yè)提供有益借鑒。

內(nèi)容目錄：

1、金融業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析
2、能力成熟度模型框架
2.1　安全過程維度
2.2　運(yùn)營等級維度
2.3　運(yùn)營能力維度
3、能力成熟度模型指標(biāo)
4、安全運(yùn)營模型實(shí)施路徑
4.1、安全運(yùn)營支撐平臺
4.2、安全運(yùn)營能力驗(yàn)證
4.3、安全運(yùn)營能力評價(jià)
5、結(jié)　語

金融機(jī)構(gòu)為廣大客戶提供金融服務(wù)的同時(shí)留存了大量高價(jià)值數(shù)據(jù)，因此，保障金融消費(fèi)者的信息安全尤其重要。金融機(jī)構(gòu)需要持續(xù)提升網(wǎng)絡(luò)安全工作水平，不斷增強(qiáng)全天候、綜合性、實(shí)戰(zhàn)化的安全能力，切實(shí)保障金融消費(fèi)者的合法權(quán)益。網(wǎng)絡(luò)安全建設(shè)和運(yùn)營是金融網(wǎng)絡(luò)安全和數(shù)智化發(fā)展的重要內(nèi)容，全面有效的網(wǎng)絡(luò)安全能力建設(shè)在安全工作中起著至關(guān)重要的作用。為應(yīng)對日益復(fù)雜多變、攻擊形式多樣的網(wǎng)絡(luò)安全形勢，金融機(jī)構(gòu)迫切需要全面掌握自身網(wǎng)絡(luò)安全能力現(xiàn)狀，發(fā)揮能力優(yōu)勢，發(fā)現(xiàn)能力短板，及時(shí)補(bǔ)齊弱項(xiàng)，持續(xù)提升自身網(wǎng)絡(luò)安全能力，助力金融數(shù)字化轉(zhuǎn)型和高質(zhì)量發(fā)展。

成熟度模型為網(wǎng)絡(luò)安全能力建設(shè)提供了一種理論指導(dǎo)方法。通過建立成熟度模型，可兼顧國內(nèi)外各種主流網(wǎng)絡(luò)安全框架，對標(biāo)體系化、標(biāo)準(zhǔn)化的指標(biāo)體系，了解自身安全能力，依據(jù)不同層級的指標(biāo)體系，對安全能力建設(shè)進(jìn)行指導(dǎo)。金融機(jī)構(gòu)可依據(jù)成熟度模型有關(guān)評價(jià)指標(biāo)體系，評估自身網(wǎng)絡(luò)安全能力，分析差距問題，根據(jù)評價(jià)指標(biāo)和評估結(jié)果持續(xù)完善網(wǎng)絡(luò)安全能力。

本文依據(jù)《網(wǎng)絡(luò)安全法》及網(wǎng)絡(luò)安全等級保護(hù)標(biāo)準(zhǔn) 2.0等要求，結(jié)合金融行業(yè)實(shí)際，借鑒通用能力成熟度模型方法，提出一種金融行業(yè)網(wǎng)絡(luò)安全運(yùn)營能力成熟度評估模型，通過劃分能力等級，明確評估方法，構(gòu)建了一套可度量的網(wǎng)絡(luò)安全運(yùn)營能力成熟度評價(jià)指標(biāo)體系，以期能夠進(jìn)一步規(guī)范和健全金融網(wǎng)絡(luò)安全運(yùn)營體系建設(shè)內(nèi)容，從流程和實(shí)操方面助力安全運(yùn)營效率和實(shí)戰(zhàn)化能力的提高，從而促進(jìn)安全投入效能提升。

1、金融業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析

國外網(wǎng)絡(luò)安全架構(gòu)體系研究及應(yīng)用起步較早，以美國為代表的歐美國家已具備較為成熟的網(wǎng)絡(luò)安全體系和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，并制定了網(wǎng)絡(luò)安全能力成熟度模型和框架。

美國能源部為了更好地指導(dǎo)和評估本國境內(nèi)能源機(jī)構(gòu)、單位、供應(yīng)商的網(wǎng)絡(luò)安全防護(hù)能力建設(shè)，于 2012 年制定了《網(wǎng)絡(luò)安全能力成熟度模型（Cybersecurity Capability Maturity Model，C2M2） 計(jì) 劃》， 并 于 2022 年 更 新 為 2.1 版本。C2M2 模型評價(jià)指標(biāo)來自美國國家標(biāo)準(zhǔn)與技 術(shù) 研 究 院（National Institute of Standards and Technology，NIST）編制的《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進(jìn)框架》，該框架的核心內(nèi)容為經(jīng)典的 IPDRR 過程模型，實(shí)現(xiàn)了網(wǎng)絡(luò)安全的事前、事中、事后全流程覆蓋，旨在幫助企業(yè)評估并改進(jìn)其網(wǎng)絡(luò)安全體系規(guī)劃，增強(qiáng)其網(wǎng)絡(luò)安全運(yùn)營彈性和安全防護(hù)能力。美國國防部為了加強(qiáng)國防供應(yīng)鏈中共享敏感非機(jī)密信息的網(wǎng)絡(luò)安全防護(hù)，于 2020 年發(fā)布了網(wǎng)絡(luò)安全成熟度模型認(rèn)證（Cybersecurity Maturity Model Certification，CMMC）， 并 于 2021 年 發(fā) 布 2.0 版， 與 NIST編制標(biāo)準(zhǔn)基本保持一致。

英國牛津大學(xué)全球網(wǎng)絡(luò)安全能力中心為了評估一個(gè)國家的網(wǎng)絡(luò)安全能力成熟度，于2014 年制定了《國家網(wǎng)絡(luò)安全能力成熟度模型（Cybersecurity Maturity Model，CMM）》， 并于 2021 年進(jìn)行了更新，明確了網(wǎng)絡(luò)安全的 5 個(gè)維度，將網(wǎng)絡(luò)安全防護(hù)過程劃分為 5 個(gè)階段，為網(wǎng)絡(luò)安全能力建設(shè)提供依據(jù)。

2019 年 8 月，我國國家標(biāo)準(zhǔn) GB/T 37988—2019《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》正式發(fā)布，旨在提供一種數(shù)據(jù)安全能力評估方法，也可將其作為企業(yè)開展數(shù)據(jù)安全能力建設(shè)的依據(jù)。該模型分別從安全過程維度、安全能力維度和成熟度等級維度 3 個(gè)方面，設(shè)計(jì)形成模型立方體。2022 年 4 月，我國國家標(biāo)準(zhǔn) GB/T41400—2022《信息安全技術(shù) 工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度模型》正式發(fā)布，通過構(gòu)建過程、能力和成熟度等級 3 個(gè)維度，形成立方體的模型架構(gòu)，旨在推動我國工業(yè)企業(yè)落實(shí)工業(yè)控制系統(tǒng)信息安全防護(hù)工作，指導(dǎo)企業(yè)逐級提升工業(yè)控制系統(tǒng)安全防護(hù)能力。

金融行業(yè)作為關(guān)系國計(jì)民生的重要行業(yè)，在數(shù)字化轉(zhuǎn)型發(fā)展的時(shí)代背景下，金融科技創(chuàng)新發(fā)展迅速，手機(jī)銀行、網(wǎng)上銀行和開放銀行的廣泛應(yīng)用，使得金融網(wǎng)絡(luò)安全的邊界不斷延展，業(yè)務(wù)系統(tǒng)易受到網(wǎng)絡(luò)攻擊，安全形勢愈發(fā)嚴(yán)峻。因此，金融機(jī)構(gòu)迫切需要全面掌握自身網(wǎng)絡(luò)安全能力狀況，發(fā)揮能力優(yōu)勢，補(bǔ)齊短板弱項(xiàng)，持續(xù)提升自身安全能力，滿足金融行業(yè)網(wǎng)絡(luò)安全建設(shè)要求，保障自身業(yè)務(wù)穩(wěn)健發(fā)展。

2022 年，在人民銀行的指導(dǎo)下，我國金融機(jī)構(gòu)啟動了網(wǎng)絡(luò)安全能力成熟度評價(jià)相關(guān)行業(yè)標(biāo)準(zhǔn)的制定工作，將進(jìn)一步推動金融行業(yè)網(wǎng)絡(luò)安全能力提升。

2、能力成熟度模型框架

本文借鑒現(xiàn)有能力成熟度模型方法，結(jié)合金融行業(yè)特點(diǎn)，提出一種面向金融行業(yè)的網(wǎng)絡(luò)安全運(yùn)營能力成熟度評估模型（IPDRR-V 模型），包括 3 個(gè)維度、5 個(gè)等級和 185 個(gè)能力項(xiàng)指標(biāo)，如圖 1 所示。通過新增能力驗(yàn)證模塊（Verify），促進(jìn)實(shí)戰(zhàn)化安全能力的提升，更好地滿足數(shù)字化轉(zhuǎn)型的需求。

（圖 1 IPDRR-V 模型框架）

2.1、安全過程維度

整個(gè)安全運(yùn)營工作劃分為 6 個(gè)過程域，分別是識別認(rèn)定、安全防護(hù)、監(jiān)測預(yù)警、事件響應(yīng)、業(yè)務(wù)恢復(fù)和能力驗(yàn)證，形成 IPDRR-V 模型。

（1）識別認(rèn)定。梳理金融機(jī)構(gòu)信息資產(chǎn)，記錄資產(chǎn)可能存在的脆弱性，包括信息及系統(tǒng)識別、信息資產(chǎn)管理和安全評審論證等。重點(diǎn)識別并認(rèn)定金融關(guān)鍵信息基礎(chǔ)設(shè)施、重要業(yè)務(wù)系統(tǒng)和互聯(lián)網(wǎng)系統(tǒng)有關(guān)資產(chǎn)，聚焦高風(fēng)險(xiǎn)資產(chǎn)，并結(jié)合測試、測評、檢查、評估等能力驗(yàn)證指標(biāo)，確保及時(shí)發(fā)現(xiàn)和防范風(fēng)險(xiǎn)。

（2）安全防護(hù)。基于識別認(rèn)證和分類分級，引導(dǎo)金融機(jī)構(gòu)對潛在風(fēng)險(xiǎn)問題采取有效應(yīng)對措施，包括上線前的檢測評估、金融科技產(chǎn)品認(rèn)證以及定期開展的等級測評和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)評估等指標(biāo)，以及整改閉環(huán)和安全能力培訓(xùn)要求，對制度和流程進(jìn)行優(yōu)化等，從系統(tǒng)源頭上抵御可能發(fā)生的安全威脅。

（3）監(jiān)測預(yù)警。對安全運(yùn)營過程中安全事件 / 威脅進(jìn)行實(shí)時(shí)檢測和監(jiān)測，結(jié)合反洗錢、反欺詐等監(jiān)測模型數(shù)據(jù)，對已經(jīng)或可能發(fā)生的安全事件 / 威脅進(jìn)行預(yù)警，包括安全風(fēng)險(xiǎn)監(jiān)控、病毒防護(hù)監(jiān)測、可用性監(jiān)測等，同時(shí)建立業(yè)務(wù)、技術(shù)協(xié)同聯(lián)動機(jī)制，確保能夠及時(shí)響應(yīng)并進(jìn)行處置。

（4）事件響應(yīng)。對已經(jīng)或可能發(fā)生的安全事件 / 威脅進(jìn)行響應(yīng)和處置，包括安全事件應(yīng)急響應(yīng)、異常事件響應(yīng)和處置、金融科技創(chuàng)新應(yīng)用投訴處理等能力，結(jié)合日常應(yīng)急演練情況，保障系統(tǒng)安全持續(xù)運(yùn)行。

（5）業(yè)務(wù)恢復(fù)。對事件 / 威脅處置結(jié)果進(jìn)行驗(yàn)證，確保業(yè)務(wù)能夠恢復(fù)到正常狀態(tài)，對安全事件處置進(jìn)行異?；謴?fù)、復(fù)盤分析和總結(jié)優(yōu)化，必要時(shí)通知客戶并提供技術(shù)支持。

（6）能力驗(yàn)證。對已有安全措施的可用性進(jìn)行驗(yàn)證，以確保安全防護(hù)措施有效，包括安全防護(hù)能力評價(jià)、安全監(jiān)控審計(jì)能力有效性驗(yàn)證、安全應(yīng)急處置和演練能力評價(jià)、安全評審論證能力評價(jià)等，通過安全措施有效性核查、檢測評估、紅藍(lán)對抗、災(zāi)難恢復(fù)演練、攻防演習(xí)等多角度多方式驗(yàn)證真實(shí)防御效能。

2.2、運(yùn)營等級維度

根據(jù)金融機(jī)構(gòu)實(shí)際運(yùn)營情況和能力覆蓋程度，將安全運(yùn)營能力成熟度劃分為 5 個(gè)等級，分別是初始級（L1）、基礎(chǔ)防護(hù)級（L2）、體系防護(hù)級（L3）、主動防護(hù)級（L4）和持續(xù)優(yōu)化級（L5），如表 1 所示。

表 1　網(wǎng)絡(luò)安全運(yùn)營能力成熟度等級劃分

2.3、運(yùn)營能力維度

安全運(yùn)營工作的執(zhí)行要素框架由組織 / 監(jiān)管、人員崗位、知識技能、工具技術(shù)、流程實(shí)施、效率管控及效果評價(jià) 7 個(gè)方面組成，量化并驗(yàn)證機(jī)構(gòu)網(wǎng)絡(luò)安全的實(shí)際能力。

（1）組織 / 監(jiān)管。某項(xiàng)工作執(zhí)行的主責(zé)部門 / 團(tuán)隊(duì)，如金融科技管理部門、軟件研發(fā)單位、運(yùn)維單位、業(yè)務(wù)需求部門等。

（2）人員崗位。執(zhí)行某項(xiàng)工作的崗位，如網(wǎng)絡(luò)工程崗、安全管理崗、內(nèi)控 / 內(nèi)審崗、系統(tǒng)管理崗、資產(chǎn)管理崗、云平臺管理崗等。

（3）知識技能。崗位人員有效執(zhí)行工作所需要的知識及技術(shù)能力，如金融有關(guān)政策法規(guī)知識、金融科技新技術(shù)、金融行業(yè)最佳實(shí)踐、金融網(wǎng)絡(luò)安全等級保護(hù)等制度和相關(guān)知識。

（4）工具技術(shù)。有效執(zhí)行安全運(yùn)營工作所需要的軟硬件工具和技術(shù)，如風(fēng)險(xiǎn)評估、漏洞掃描、滲透測試、終端安全管理、數(shù)據(jù)防泄漏、全流量監(jiān)測分析、蜜罐、安全業(yè)務(wù)中臺等。

（5）流程實(shí)施。崗位人員在安全運(yùn)營工作中應(yīng)執(zhí)行的標(biāo)準(zhǔn)流程。

（6）效率管控。完成某項(xiàng)工作所需的時(shí)間和頻率。

（7）效果評價(jià)。對工作完成質(zhì)量和結(jié)果進(jìn)行評價(jià)。

3、能力成熟度模型指標(biāo)

本文結(jié)合 IPDRR-V 模型與金融機(jī)構(gòu)全天候、綜合性、實(shí)戰(zhàn)化的網(wǎng)絡(luò)安全防護(hù)特點(diǎn)，重點(diǎn)研究了金融行業(yè)網(wǎng)絡(luò)空間安全（含終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、服務(wù)器安全等）、數(shù)據(jù)安全方面的安全能力域和具體能力項(xiàng)。其中，隨著新技術(shù)在金融行業(yè)的廣泛應(yīng)用，需明確金融科技風(fēng)險(xiǎn)相關(guān)域和指標(biāo)，重點(diǎn)考慮新技術(shù)應(yīng)用后的安全風(fēng)險(xiǎn)控制能力評價(jià)，如云計(jì)算、移動互聯(lián)、大數(shù)據(jù)、人工智能、商用密碼、供應(yīng)鏈安全等，并完善金融基礎(chǔ)安全風(fēng)險(xiǎn)評價(jià)指標(biāo)。同時(shí)，隨著金融業(yè)務(wù)的迅速發(fā)展，也引入新的業(yè)務(wù)邏輯安全風(fēng)險(xiǎn)，如人臉支付、開放銀行、金融欺詐等，更有必要針對業(yè)務(wù)安全明確相關(guān)域和指標(biāo)，完善金融業(yè)務(wù)安全風(fēng)險(xiǎn)評價(jià)指標(biāo)。根據(jù)監(jiān)管要求和同業(yè)最佳實(shí)踐，針對相關(guān)領(lǐng)域設(shè)計(jì)能力項(xiàng)，引導(dǎo)金融機(jī)構(gòu)實(shí)施自動化、智能化的安全運(yùn)營，以快速應(yīng)對網(wǎng)絡(luò)安全事件，保障金融客戶使用安全。鑒于此，本文提出 6 個(gè)過程域（Process Area，PA）、24 個(gè)子過程域（如圖 2 所示）和185 個(gè)運(yùn)營安全能力項(xiàng)（Work Item，WI），結(jié)合 JR/T 0072—2020《金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)測評指南》等有關(guān)要求，重點(diǎn)體現(xiàn)了金融核心業(yè)務(wù)系統(tǒng)安全保護(hù)、重要數(shù)據(jù)安全、事件響應(yīng)與處置、備份與恢復(fù)、安全能力有效性驗(yàn)證等內(nèi)容，并隨著監(jiān)管要求變化和新技術(shù)的發(fā)展，不斷調(diào)整優(yōu)化具體能力項(xiàng)。

（圖 2　網(wǎng)絡(luò)安全運(yùn)營過程域）

以 PA10 應(yīng)用安全管理為例，應(yīng)用安全管理是安全防護(hù)領(lǐng)域中的一個(gè)重要過程域，著重于確保金融應(yīng)用安全，包括身份鑒別、數(shù)據(jù)加密、漏洞掃描、監(jiān)測和應(yīng)急響應(yīng)等，以保護(hù)客戶個(gè)人金融信息、資金交易和金融賬戶免受潛在的威脅和攻擊。其中，手機(jī)銀行應(yīng)用安全管理能力子域，在開展上線安全測試、制定等級測評的評價(jià)指標(biāo)的基礎(chǔ)上，進(jìn)一步明確金融科技產(chǎn)品檢測、認(rèn)證和項(xiàng)目質(zhì)量評估指標(biāo)。

本文模型通過抽取每個(gè)能力項(xiàng)涉及的人員崗位、知識技能、工具技術(shù)，以及效果評價(jià)指標(biāo)，形成 4 類安全運(yùn)營圖譜，如圖 3 所示。目前，在金融機(jī)構(gòu)使用的各類網(wǎng)絡(luò)安全測評標(biāo)準(zhǔn)中，對部分指標(biāo)落實(shí)情況的判斷和評價(jià)存在一定主觀性，導(dǎo)致測評的結(jié)果存在不一致的情況。為此，本文模型采用客觀指標(biāo)，借助具體數(shù)字、時(shí)間周期和比例等可量化的數(shù)據(jù)區(qū)分安全能力水平，降低主觀因素對測評結(jié)果的影響。

一是通過梳理安全運(yùn)營指標(biāo)，引導(dǎo)金融機(jī)構(gòu)建立安全運(yùn)營中心，借助可視化大屏等工具，動態(tài)監(jiān)測金融交易成功率、核心業(yè)務(wù)系統(tǒng)運(yùn)行狀態(tài)、境內(nèi)外網(wǎng)絡(luò)攻擊和威脅、機(jī)構(gòu)內(nèi)部異常行為等核心指標(biāo)，助力精準(zhǔn)化指揮決策過程。

二是通過梳理工具技術(shù)指標(biāo)，引導(dǎo)金融機(jī)構(gòu)適應(yīng)金融科技新需求，建立自動化、智能化的安全能力編排和快速處置能力，面向敏捷業(yè)務(wù)建立敏態(tài)安全運(yùn)營機(jī)制。

三是通過梳理人員崗位和知識技能，明確攻防實(shí)戰(zhàn)等培訓(xùn)要求和人員能力提升路徑，引導(dǎo)金融機(jī)構(gòu)合理設(shè)置安全運(yùn)營團(tuán)隊(duì)角色，明確具體人員責(zé)任要求，建立獎懲和培養(yǎng)長效機(jī)制。最終，通過多平臺、多技術(shù)能力建設(shè)和專業(yè)人員配備，逐步構(gòu)建全天候、集約化、自動化、智能化、協(xié)同化的網(wǎng)絡(luò)安全運(yùn)營技術(shù)體系。

（圖 3　網(wǎng)絡(luò)安全運(yùn)營圖譜）

4、安全運(yùn)營模型實(shí)施路徑

4.1、安全運(yùn)營支撐平臺
為 支 撐 IPDRR-V 模 型 的 落 地 實(shí) 施， 有 效檢驗(yàn)實(shí)戰(zhàn)化的綜合防護(hù)能力，滿足金融行業(yè)動態(tài)管理、持續(xù)監(jiān)測、實(shí)時(shí)響應(yīng)和集約化安全運(yùn)營的需要，企業(yè)可通過搭建安全業(yè)務(wù)中臺對安全運(yùn)營工作進(jìn)行整體管理。安全業(yè)務(wù)中臺功能框架如圖 4 所示，針對金融行業(yè)強(qiáng)監(jiān)管特性，從流程實(shí)施、知識技能、工具技能和效果評價(jià)4 個(gè)方面充分滿足金融機(jī)構(gòu)安全運(yùn)營在各個(gè)環(huán)節(jié)的功能需求，建設(shè)集安全運(yùn)營業(yè)務(wù)流轉(zhuǎn)、安全大數(shù)據(jù)可視化呈現(xiàn)、網(wǎng)絡(luò)安全工具調(diào)用、崗位培訓(xùn) / 考核、用戶操作審計(jì)、大數(shù)據(jù)存儲分析和調(diào)用等功能于一體的邏輯業(yè)務(wù)應(yīng)用平臺。各類崗位人員可通過安全業(yè)務(wù)中臺對各自工作項(xiàng)進(jìn)行操作，賦能工作提質(zhì)增效。

（圖 4　安全業(yè)務(wù)中臺功能框架）

（1）運(yùn)營流程管理子系統(tǒng)。金融機(jī)構(gòu)涉及大規(guī)模交易處理和多樣化的業(yè)務(wù)模式，處理巨量的交易數(shù)據(jù)、客戶信息和賬戶數(shù)據(jù)需要滿足有效性和安全性，運(yùn)營流程管理子系統(tǒng)為安全運(yùn)營工作提供各類流程支撐，涉及所有的安全運(yùn)營工作流程，流程設(shè)計(jì)能有效支撐安全運(yùn)營管理工作智能化、自動化，并形成安全事件的閉環(huán)管理。

（2）工具調(diào)用子系統(tǒng)。該系統(tǒng)對各類運(yùn)維及安全運(yùn)營工具調(diào)用提供支撐，為能力模型中的工具技能提供支撐，滿足金融行業(yè)對技術(shù)及工具的需要。

（3）運(yùn)營指標(biāo)子系統(tǒng)。隨著金融機(jī)構(gòu)的數(shù)字化轉(zhuǎn)型，為滿足實(shí)戰(zhàn)化安全運(yùn)營需求，需利用可視化工具進(jìn)行實(shí)時(shí)數(shù)據(jù)分析，包括信息系統(tǒng)運(yùn)行態(tài)勢、網(wǎng)絡(luò)安全態(tài)勢、異常行為態(tài)勢、管理 / 運(yùn)營態(tài)勢等。運(yùn)營指標(biāo)通過可視化大屏進(jìn)行展示，以便于監(jiān)測各類態(tài)勢核心指標(biāo)，集中把控?cái)?shù)據(jù)，同時(shí)支持精準(zhǔn)化指揮決策；安全運(yùn)營指標(biāo)的設(shè)計(jì)需要充分考慮覆蓋率、有效率和誤報(bào)率。

（4）攻防演練子系統(tǒng)。該系統(tǒng)為紅藍(lán)對抗活動、防御策略有效性驗(yàn)證、攻防人才培養(yǎng)等提供支撐。

（5）威脅情報(bào)子系統(tǒng)。該系統(tǒng)為威脅情報(bào)的消費(fèi)和生產(chǎn)提供支持，包括情報(bào)查詢、多源情報(bào)評估、開源網(wǎng)絡(luò)攻擊知識庫（Adversarial Tactics, Techniques, and Common Knowledge，ATT&CK）、情報(bào)圖譜及情報(bào)自生產(chǎn)等。

（6）自動化處置子系統(tǒng)。該系統(tǒng)為自動化運(yùn)營處置提供流程及腳本支撐。

（7）算力子系統(tǒng)。該系統(tǒng)是安全業(yè)務(wù)中臺的性能核心，為中臺的穩(wěn)定運(yùn)行提供算力支持。

（8）存儲子系統(tǒng)。該系統(tǒng)為安全業(yè)務(wù)中臺提供數(shù)據(jù)支持，為安全運(yùn)營工作的數(shù)據(jù)存儲提供空間支撐。

（9）數(shù)據(jù)采集子系統(tǒng)。該系統(tǒng)通過各種協(xié)議或方式方法對各類安全運(yùn)營工作所需的數(shù)據(jù)源進(jìn)行采集。

（10）知識庫子系統(tǒng)。該系統(tǒng)提供安全運(yùn)營中涉及的相關(guān)知識技能庫，從運(yùn)營能力維度中，為能力模型中的知識技能提供支撐。同時(shí)金融業(yè)受到廣泛的監(jiān)管和法律約束，知識庫子系統(tǒng)可提供一系列監(jiān)管要求、制度法規(guī)、標(biāo)準(zhǔn)規(guī)范、行業(yè)實(shí)踐等，確保安全運(yùn)營的合規(guī)性。

（11）培訓(xùn) / 考核子系統(tǒng)。金融行業(yè)面臨來自內(nèi)部員工的潛在威脅，包括數(shù)據(jù)泄露和濫用的風(fēng)險(xiǎn)。因此，安全運(yùn)營需包括員工培訓(xùn)和考核，為系統(tǒng)內(nèi)人才培養(yǎng)及考核提供支撐，為能力模型中的知識技能提供儲備。

4.2、安全運(yùn)營能力驗(yàn)證

本文提出的 IPDRR-V 模型，新增“能力驗(yàn)證”維度（V），針對安全防護(hù)能力，可借助自動化攻擊模擬、安全能力自動化檢測等工具開展攻防能力評估驗(yàn)證，進(jìn)而更新案例庫和風(fēng)險(xiǎn)庫。安全運(yùn)營能力驗(yàn)證主要通過可視化運(yùn)營指標(biāo)的量化方式衡量，引入安全能力驗(yàn)證自動化工具等?？赏ㄟ^人工方式，對無法進(jìn)行量化和可視化的其他安全運(yùn)營能力進(jìn)行驗(yàn)證，包括但不限于紅藍(lán)對抗、攻防演習(xí)、檢查評估，以及聘請外部安全機(jī)構(gòu)開展眾測和檢測評估等。

通過對網(wǎng)絡(luò)縱深防御、終端防控、數(shù)據(jù)保護(hù)、郵件防護(hù)等場景進(jìn)行能力驗(yàn)證，自動化生成安全評估報(bào)告，能夠更加直觀有效地提供安全防護(hù)改進(jìn)建議，持續(xù)促進(jìn)網(wǎng)絡(luò)安全運(yùn)營能力的提升?？紤]到金融行業(yè)對保障個(gè)人金融信息安全、客戶合法權(quán)益的要求，以及維持客戶信賴、維護(hù)機(jī)構(gòu)形象和聲譽(yù)的具體需求，常態(tài)化開展安全能力驗(yàn)證意義重大，因此，需要結(jié)合安全技術(shù)的發(fā)展，持續(xù)推進(jìn)實(shí)施。

4.3、安全運(yùn)營能力評價(jià)

本文提出的 IPDRR-V 模型，通過效果評價(jià)有效支撐網(wǎng)絡(luò)安全工作考核評價(jià)。金融機(jī)構(gòu)可以將可量化、可視化的運(yùn)營指標(biāo)作為考核數(shù)據(jù)的依據(jù)，結(jié)合安全運(yùn)營能力評估結(jié)果，選取安全運(yùn)營典型能力與實(shí)際工作緊密關(guān)聯(lián)的部分指標(biāo)，比如安全崗位設(shè)置、軟硬件資產(chǎn)管理、應(yīng)用開發(fā)安全測評、網(wǎng)絡(luò)入侵攻擊 / 病毒監(jiān)測、安全事件 / 漏洞處置、供應(yīng)鏈與外包服務(wù)管理、數(shù)據(jù)安全防護(hù)等，對相關(guān)組織監(jiān)督機(jī)構(gòu)進(jìn)行針對性考核。

5、結(jié)　語

本文提出 IPDRR-V 模型及落地實(shí)踐方法，結(jié)合金融行業(yè)特點(diǎn)，明確了核心業(yè)務(wù)系統(tǒng)安全、個(gè)人金融信息保護(hù)、金融交易業(yè)務(wù)安全方面的能力指標(biāo)，著力強(qiáng)化貫穿網(wǎng)絡(luò)安全保護(hù)全過程的能力驗(yàn)證過程，涵蓋組織、人員、技能、工具、流程、效率及效果評價(jià)，覆蓋識別認(rèn)定、安全防護(hù)、監(jiān)測預(yù)警、事件響應(yīng)、業(yè)務(wù)恢復(fù)、能力驗(yàn)證等領(lǐng)域，可全方位地評價(jià)網(wǎng)絡(luò)安全運(yùn)營能力，有助于金融機(jī)構(gòu)準(zhǔn)確掌握自身網(wǎng)絡(luò)安全能力狀況，及時(shí)發(fā)現(xiàn)能力短板和弱項(xiàng)，進(jìn)而采取有效措施防范風(fēng)險(xiǎn)。今后，隨著監(jiān)管新要求的發(fā)布、新技術(shù)的發(fā)展和新需求的出現(xiàn)，IPDRR-V 模型有關(guān)流程、能力項(xiàng)和評價(jià)工具需要持續(xù)優(yōu)化調(diào)整，以提升網(wǎng)絡(luò)安全運(yùn)營能力，推動網(wǎng)絡(luò)安全與信息化建設(shè)同步發(fā)展，助力信息科技風(fēng)險(xiǎn)管理整體水平的提升。受限于水平、時(shí)間等因素，本文模型有關(guān)指標(biāo)有待進(jìn)一步細(xì)化和補(bǔ)充完善。

引用格式：廖淵 , 趙鵬 , 張超凡 . 金融行業(yè)網(wǎng)絡(luò)安全運(yùn)營能力成熟度模型框架設(shè)計(jì)與實(shí)踐 [J]. 信息安全與通信保密 ,2024(2):70-79.
作者簡介 >>>
廖　淵，男，博士，高級工程師，主要研究方向?yàn)榻鹑诳萍硷L(fēng)險(xiǎn)與網(wǎng)絡(luò)安全；
趙　鵬，男，碩士，高級工程師，主要研究方向?yàn)榻鹑诳萍硷L(fēng)險(xiǎn)與網(wǎng)絡(luò)安全；
張超凡，男，碩士，主要研究方向?yàn)榻鹑诳萍硷L(fēng)險(xiǎn)與網(wǎng)絡(luò)安全。
選自《信息安全與通信保密》2024年第2期（為便于排版，已省去原文參考文獻(xiàn)）

重要聲明：本文來自信息安全與通信保密雜志社，經(jīng)授權(quán)轉(zhuǎn)載，版權(quán)歸原作者所有，不代表銳成觀點(diǎn)，轉(zhuǎn)載的目的在于傳遞更多知識和信息。

相關(guān)閱讀：金融銀行業(yè)更適合申請哪種SSL證書？