传统的信息安全工作通常偏向于事中或事后检测漏洞,随着敏捷开发工作的逐步推进,商业银行认识到安全架构设计在实现IT降本增效方面的独特优势。近几年,商业银行逐步构建了安全架构设计工作体系,在组织人员、安全技术与管控流程方面,与企业IT架构密切协同,着力建设安全公共能力,为银行业务快速发展保驾护航。
一、以业务为中心的工作目标
安全架构设计人员首先要了解常见的银行业务类型,尽管银行业务不断推陈出新,但基本的业务流程变化不大,图1从客户旅程的视角针对零售类业务流程进行了抽象总结。
图1 零售类业务流程
常见的银行金融产品包括存款类、贷款类、汇款支付类和中间业务类等产品,日常的架构设计工作也主要围绕与这些产品相关的业务类型。安全架构设计的目标并不是强制要求业务应用必须零风险上线,而是在提前识别风险后引入领先的安全技术能力和灵活的纵深防御体系,使得业务发展在机会和风险之间取得平衡,从而使银行赢得客户和市场。
二、安全架构设计价值
