信托公司信息安全管理建设研究

　　信托行业整体信息安全现状

　　为客观全面地了解信托行业整体信息安全现状，基于国标《GB/T22080—2016信息安全管理体系要求》，通过问卷形式对48家信托公司进行了调研，调研问卷覆盖安全投入、安全体系、安全规划、数据安全、系统安全等领域的10个问题。根据问卷统计结果，我们选择了部分典型性问题分析如下：

　　第一，在信息安全人员配备方面，57%的公司没有专职信息安全人员，由其他岗位人员兼职。

　　第二，在信息安全投入（包括产品和服务）方面，68%的公司不足100万元/年。

　　第三，在信息安全制度体系方面，65%的公司的安全制度未有效落地。

　　第四，在数据安全方面，大部分公司已采取了数据脱敏、数据分类分级等零散的管控措施，但没有一家公司建立完整的数据安全体系。

　　第五，在安全问题的原因追溯方面，主要体现在安全投入不足、安全体系不完善、安全意识薄弱等方面。

　　第六，在行业方面，期望在信息安全工作方面提供哪些支持的问题回复主要体现在“希望制定信托行业信息安全标准”（占比48%）、“增加人员和资金投入”（占比22%）以及“强化行业先进经验交流分享”（占比10%）等方面。

　　通过对各公司评估数据分析，整体而言，行业内各公司信息安全水平差异较大。样本数据中，平安信托、中信信托等公司信息安全成熟度相对较高。其中平安信托依托平安集团强大的信息安全资源优势和技术能力，于2018年建成了完善的信息安全管理体系并通过了ISO27001信息安全管理体系认证，成为国内第一家获得国际认证机构颁发ISO27001信息安全体系认证的信托机构，标志着平安信托信息安全管理已与国际接轨，符合国际标准。同时通过设计商业化安全产品和平安集团自研安全技术平台构建了事前预防、事中监控、事后审计的纵深安全技术防御体系。

　　但部分信托公司受制于预算、资源、技术等方面的限制，信息安全基础性工作仍有待加强，例如在基本的安全制度、专职安全人员、系统开发生命周期安全、安全合规、供应商安全等方面存在明显不足。

　　信息安全威胁及挑战

　　1．外部信息安全威胁方面（网络安全黑色产业链）

　　根据国家互联网应急中心（CNCERT）于2019年4月发布的《2018年我国互联网网络安全态势综述报告》指出，当前网络安全威胁日益突出，其中关键信息基础设施、云平台等面临的安全风险仍较为突出，且网络安全事件频发，例如华住旗下酒店5亿条信息泄露、圆通10亿条用户信息数据被出售等。

　　根据本次针对48家信托公司信息安全调研问卷结果，2018年57%的公司受到信息泄露、DDOS攻击、网站内容被恶意篡改、挖矿攻击等不同类型的外部安全威胁。网络安全攻击已形成完整的产业链，图7是腾讯《2017年度网络黑产威胁源研究报告》中发布的“网络犯罪黑色产业链”。

　　该报告指出“网络犯罪黑色产业链”在专业化发展过程中呈现出五大趋势：

　　一是国际化。随着我国对网络犯罪打击力度的不断加大，一些大型黑色产业链团伙（以下简称“黑产团伙”）为了逃避打击，纷纷逃往国外设立据点，同时，跨境犯罪的类型也从最初的电信诈骗，发展为DDoS攻击、网络赌博、网上招嫖、制作木马、黑客渗透等多种方式和手段。

　　二是智能化。人工智能等先进技术已在网络犯罪中应用：如嫌疑人使用基于神经网络模型的深度学习技术，搭建分布式AI验证码识别系统，能够快速识别当前互联网上80%以上的验证码，识别正确率达90%以上。

　　三是平台化。平台化的黑色产业（以下简称“黑产”）软件替代人工操作，降低了犯罪成本，提高了犯罪效率。如批量识别验证码的“打码平台”，旨在绕过互联网公司“IP判定策略”，自动实现秒级重复拨号、不断变化IP地址的“秒拨”动态IP服务。

　　四是公司化。黑产团伙成立专门的公司作恶的例子增多，各环节有专门人员负责，常打着正规经营的幌子进行大规模黑产犯罪。

　　五是涉众化。越来越多的线下犯罪向线上犯罪转移，在互联网场景下对人群的影响被放大，影响面更广。

　　2．信托业面临的信息安全挑战