3.3.1　金融网络安全要求

银行是受强监管的金融机构，所以其在进行商业活动中也必须符合监管机构的指引及管理规定，满足金融行业合规要求。包括《商业银行数据中心监管指引》《商业银行业务连续性监管指引》《金融行业信息系统信息安全等级保护实施指引》《网络安全法》等法律法规均对信息安全有明确要求。

以《中国人民银行计算机安全管理暂行规定》中的相关要求为例：

“第六十一条 内联网上的所有计算机设备，不得直接或间接地与国际互联网相联接，必须实现与国际互联网的物理隔离。”

“第七十五条 计算机信息系统的开发环境和现场应当与生产环境和现场隔离。”

“第八十八条 计算机信息系统的使用部门应当加强计算机系统运行环境的管理，加强对计算机病毒的防治，保证系统安全运行。”

在网络架构设计和安全体系建设中，我们需要以监管文件要求为指引，进行网络分区和区域硬件隔离，禁止应用服务直联互联网等。银行合规管理除了满足监管机构的硬性要求外，同样也为企业信息安全建设指明方向。

是不是只要满足合规要求就可以了呢？笔者认为这个问题是需要很多信息安全人员思索的。在信息安全工作开展过程中，不乏有安全人员以满足合规要求为目标，这个设定有待商榷。合规仅仅是银行业信息安全的最基本要求，信息安全建设要在此基础上进一步思考企业自身的内控管理和风险管理。

下文将从网络安全体系及网络安全技术两个方面对网络安全架构进行阐述。