網(wǎng)絡(luò)安全規(guī)范化管理現(xiàn)況與實(shí)踐論文

2021-06-21 論文

　　摘要：為了解決單位內(nèi)部和行業(yè)之間網(wǎng)絡(luò)安全管理和指導(dǎo)中存在的諸如管理分散、效率低下等問題，人民銀行成都分行創(chuàng)新建設(shè)了以“統(tǒng)一展示、集中管理、共享數(shù)據(jù)、量化考核、高效溝通”為主要訴求的“五位一體”安全管理平臺，平臺實(shí)現(xiàn)了對內(nèi)外部安全監(jiān)控數(shù)據(jù)和管理文檔的統(tǒng)一采集、統(tǒng)一分析和統(tǒng)一展現(xiàn)，實(shí)現(xiàn)了日常安全管理工作規(guī)范化高效管理。

　　關(guān)鍵詞：五位一體；網(wǎng)絡(luò)安全；規(guī)范化；安全管理平臺

　　引言

　　網(wǎng)絡(luò)安全管理是科技管理工作的立基之本，也是信息化建設(shè)可持續(xù)發(fā)展的有力保障。近年來，人民銀行以“規(guī)范先行、架構(gòu)管控、技術(shù)管理、加強(qiáng)協(xié)調(diào)”為主線，堅持安全與發(fā)展并重的原則，通過不斷完善網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)，規(guī)范網(wǎng)絡(luò)安全管理制度，建立健全網(wǎng)絡(luò)安全保障體系，有效提升了網(wǎng)絡(luò)安全綜合保障水平。

　　1安全管理現(xiàn)狀及困境

　　人民銀行成都分行（以下簡稱“人行成都分行”）在網(wǎng)絡(luò)安全管理中堅持技術(shù)和管理兩手抓，近年來相繼建設(shè)并升級了防病毒、防入侵、防外聯(lián)、補(bǔ)丁分發(fā)、網(wǎng)絡(luò)準(zhǔn)入、漏洞掃描和流量分析等安全管理控制系統(tǒng)，同時組織開展了全省人民銀行信息系統(tǒng)等級保護(hù)、科技專項(xiàng)治理、安全基線檢查、應(yīng)急能力評估等管理工作，并配合內(nèi)審部門開展了科技綜合管理審計、信息技術(shù)審計等，通過一系列專項(xiàng)工作進(jìn)一步加強(qiáng)了安全技術(shù)保障，完善了安全管理體系。人行成都分行在做好自身安全管理工作的同時，還肩負(fù)著指導(dǎo)、協(xié)調(diào)轄內(nèi)金融業(yè)機(jī)構(gòu)網(wǎng)絡(luò)安全工作的職責(zé)。比如建立了轄內(nèi)銀行業(yè)信息安全協(xié)調(diào)機(jī)制，制定了《四川省銀行業(yè)金融機(jī)構(gòu)信息安全管理指引》，督促各銀行機(jī)構(gòu)每年做好等級保護(hù)、風(fēng)險評估、應(yīng)急演練等工作，同時與相關(guān)管理部門形成了跨部門的協(xié)調(diào)機(jī)制和工作方案，進(jìn)一步強(qiáng)化了對全省銀行業(yè)機(jī)構(gòu)的指導(dǎo)與服務(wù)，切實(shí)提高了四川省金融網(wǎng)絡(luò)安全保障能力。但是在日常的安全管理工作中，仍然存在一些亟待解決的問題：一是已有的安全系統(tǒng)均各自獨(dú)立、缺乏整合聯(lián)動，安全管理員每天需要逐一登錄系統(tǒng)查看監(jiān)控報警情況，管理效率低下，容易發(fā)生遺漏。二是安全基礎(chǔ)管理工作繁雜而瑣碎，大部分日常管理文檔材料的處理、匯總、統(tǒng)計、歸檔等流程都需人工處理，消耗了大量人力和時間，工作質(zhì)量和工作效率低下。比如一個地市業(yè)務(wù)人員制作數(shù)字證書需要親自將紙質(zhì)的申請表分別提交到分行業(yè)務(wù)部門和科技部門審核，并現(xiàn)場制作領(lǐng)取，至少會消耗一整天時間。三是定期開展的網(wǎng)絡(luò)安全日常工作沒有實(shí)現(xiàn)自動化、電子化管理，難以做到深度、立體的綜合分析，整體上也缺乏有效的橫向聯(lián)動和歷史回溯，工作成果的信息共享程度較低，不能實(shí)現(xiàn)安全管理數(shù)據(jù)深層次利用。四是對于轄內(nèi)各單位工作完成情況及完成質(zhì)量缺乏有效記錄，考核時難免會出現(xiàn)漏評、錯評，并通過印象或記憶評分的情況，喪失了考核的權(quán)威性和客觀性。五是缺乏高效率的信息通報、工作溝通的渠道，電話、微信可以進(jìn)行快速和簡單的交流，但是正式的事件通報、工作部署、意見收集等只能通過內(nèi)部郵件溝通，反饋時效、處理效率都大打折扣。

　　2解決辦法及實(shí)現(xiàn)方式

　　針對網(wǎng)絡(luò)安全管理中的痛點(diǎn)，人行成都分行以“規(guī)范管理、提升效率”為出發(fā)點(diǎn)，以“統(tǒng)一展示、集中管理、共享數(shù)據(jù)、量化考核、高效溝通”為切入點(diǎn)，建設(shè)了覆蓋全省人民銀行及銀行業(yè)金融機(jī)構(gòu)的信息安全綜合管理平臺（以下簡稱“安全管理平臺”），實(shí)現(xiàn)了人行成都分行安全管理各項(xiàng)工作智能化和有序化，切實(shí)提升了網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化和規(guī)范化管理。系統(tǒng)建設(shè)基于J2EE架構(gòu)，使用人員通過web方式登錄訪問系統(tǒng)。系統(tǒng)主要功能模塊及實(shí)現(xiàn)方式如圖1所示。

　　2.1信息安全系統(tǒng)管理

　　該模塊包括安全系統(tǒng)監(jiān)控統(tǒng)一展示、病毒處理、入侵事件處理、數(shù)字證書管理等八個子模塊。主要功能一是系統(tǒng)定時從各安全系統(tǒng)抽取數(shù)據(jù)，按照指定方式展示在統(tǒng)一監(jiān)控界面中，同時可對病毒事件、入侵事件、非法外聯(lián)事件等按地區(qū)、時間和類別進(jìn)行統(tǒng)計，并提供重大安全事件處理反饋功能。二是提供數(shù)字證書電子化申請、審批、歸檔、統(tǒng)計匯總等功能。三是完成漏洞掃描、移動介質(zhì)登記等其他安全系統(tǒng)文檔資料歸檔。

　　2.2信息安全工作管理

　　該模塊分為人民銀行信息安全工作管理和金融機(jī)構(gòu)信息安全管理。主要功能如下：一是可構(gòu)建動態(tài)管理的等級保護(hù)、安全基線、風(fēng)險評估等多級指標(biāo)庫并要求指定單位開展檢查自評，可自動匯總填報內(nèi)容并按要求展示；可顯示某單位每月、每季、每年的指標(biāo)變化情況，以及不同單位對比情況；還可匯總收集全省人民銀行應(yīng)急演練、安全檢查、風(fēng)險排查、信息報送等日常安全報告和文檔。二是銀行機(jī)構(gòu)可動態(tài)維護(hù)本單位基本信息，報送應(yīng)急演練、等級保護(hù)、自主可控、外包管理、重大事項(xiàng)等工作報告和重要材料；并按照風(fēng)險評估規(guī)范數(shù)據(jù)庫模板，每年按此模板開展兩次風(fēng)險評估并填報相關(guān)內(nèi)容。三是系統(tǒng)自動匯總收集安全系統(tǒng)和安全工作中發(fā)現(xiàn)的.問題、隱患、風(fēng)險，并按照類型、時間、單位、危險等級等進(jìn)行分類統(tǒng)計和圖形展示。四是所有模塊均提供了統(tǒng)計報送完成情況的功能，對沒有按時完成任務(wù)的單位，將自動記錄到考核登記簿中。五是可建立工作辦理管理流程和報告模塊，統(tǒng)一發(fā)布工作安排并收集反饋情況。

　　2.3信息安全信息發(fā)布

　　該模塊包括信息安全規(guī)章制度管理、信息安全知識庫管理、安全設(shè)備資產(chǎn)管理等五個子模塊。規(guī)章制度庫包括信息安全標(biāo)準(zhǔn)庫、人民銀行信息安全制度庫、金融業(yè)信息安全制度庫。知識庫包括案例庫、安全風(fēng)險隱患庫、技術(shù)防護(hù)庫、信息安全學(xué)習(xí)庫等。

　　3“五位一體”安全管理平臺建設(shè)成效

　　安全管理平臺實(shí)現(xiàn)了四川省人民銀行和銀行業(yè)金融機(jī)構(gòu)安全管理全覆蓋，目前接入和使用系統(tǒng)的單位有66家，其中四川人民銀行市州分支機(jī)構(gòu)21家，銀行業(yè)金融機(jī)構(gòu)一級分行和地方性銀行機(jī)構(gòu)共45家，切實(shí)有效提升了網(wǎng)絡(luò)安全規(guī)范化管理水平。

　　3.1高效整合安全系統(tǒng)

　　系統(tǒng)自動采集和分析單獨(dú)部署的入侵檢測、非法外聯(lián)、補(bǔ)丁分發(fā)、病毒防治等安全系統(tǒng)的安全報警信息和日志信息，形成多種統(tǒng)計匯總圖表和量化分析圖。每日安全管理員直接從安全管理平臺即可查看所有安全管理系統(tǒng)的監(jiān)控情況，打破了安全系統(tǒng)各自為政的壁壘，構(gòu)造了安全監(jiān)控整體視角，實(shí)現(xiàn)了“一點(diǎn)登錄、整體監(jiān)控、集中展示”的安全運(yùn)營平臺功能。另外對于移動存儲、數(shù)字證書等重要介質(zhì)，通過安全管理平臺進(jìn)行統(tǒng)一申請、審批和撤銷，實(shí)現(xiàn)了重要介質(zhì)全生命周期管理。

　　3.2集中處理安全事務(wù)

　　安全管理平臺大大簡化了網(wǎng)絡(luò)安全管理中日常的繁雜工作，實(shí)現(xiàn)了等級保護(hù)、風(fēng)險評估、安全基線、安全檢查、應(yīng)急演練、信息報送等各項(xiàng)工作的標(biāo)準(zhǔn)化、自動化、無紙化處理，并且提供自動統(tǒng)計和豐富展示的功能，實(shí)現(xiàn)了各類工作文檔的集中管理，大大減輕了后期匯總分析的壓力，使得管理員能夠把精力聚焦在分析問題和解決問題上，切實(shí)提升了安全管理水平和效率。

　　3.3跟蹤分析共享數(shù)據(jù)

　　安全管理平臺不僅抓取了安全系統(tǒng)產(chǎn)生的報警及日志數(shù)據(jù)，還自動收集了各單位信息安全基線自查、現(xiàn)場檢查、應(yīng)急演練、等級保護(hù)、風(fēng)險評估等各項(xiàng)工作中的反饋情況和問題記錄，并且還提供手工錄入功能，可以將其他途徑（比如審計）收集的問題手工登記到系統(tǒng)中。通過指定方式比較分析不同單位、不同地區(qū)、不同類型的風(fēng)險情況，可總體把握系統(tǒng)內(nèi)及行業(yè)內(nèi)的安全管理狀況，追蹤責(zé)任單位的問題整改進(jìn)展以及采取的風(fēng)險控制措施，為進(jìn)一步分析決策提供依據(jù)。

　　3.4直觀量化考核結(jié)果

　　工作任務(wù)通過安全管理平臺發(fā)布，考核時可直接查看各單位歷史工作完成質(zhì)量以及完成時效，特別是自動收集匯總了各項(xiàng)工作遲報、漏報、錯報等情況，非常便于管理者直接依據(jù)統(tǒng)計結(jié)果考核打分。同時，各單位每年發(fā)生的安全事件數(shù)量、問題整改率、漏洞修補(bǔ)率、終端異常率等均可通過安全管理平臺匯總統(tǒng)計，避免了通過經(jīng)驗(yàn)、印象進(jìn)行考核打分的情況，有效提高了安全工作考核的準(zhǔn)確性和有效性。

　　3.5顯著提升溝通效率

　　一是大大提升了日常監(jiān)測發(fā)現(xiàn)問題的整改效率。比如對于發(fā)生的安全事件，可以一鍵生成事件處理工單派發(fā)到指定單位，督促和指導(dǎo)責(zé)任人員即刻開展排查和處置。二是創(chuàng)新實(shí)現(xiàn)了數(shù)字證書全流程的電子化管理，解決了紙質(zhì)文件審批、簽收傳遞周期冗長、效率低下的問題，提高了證書申請審批時效，目前通過安全管理平臺申請、審批到領(lǐng)取證書，最快15分鐘內(nèi)即可完成。三是將各項(xiàng)制度規(guī)范、運(yùn)維手冊統(tǒng)一共享，便于管理人員及崗位新人查閱，提升了學(xué)習(xí)和解決問題的效率。四是克服了人民銀行與轄內(nèi)商業(yè)銀行溝通協(xié)調(diào)不暢的問題。比如可以隨時向商業(yè)銀行發(fā)送信息公告、風(fēng)險提示、工作要求等，商業(yè)銀行也可按照指定的格式報送等級保護(hù)、風(fēng)險評估、應(yīng)急演練和安全年報等，還可隨時向監(jiān)管部門報送單位基本情況變更、重大事項(xiàng)報告、日常工作報告、自主可控和外包服務(wù)等情況。所以安全管理平臺極大地提升了人行成都分行對全省銀行業(yè)機(jī)構(gòu)的指導(dǎo)與服務(wù)，為加強(qiáng)四川省銀行業(yè)信息安全協(xié)調(diào)機(jī)制提供了有力保障。

　　4結(jié)束語

　　人行成都通過建立“統(tǒng)一展示、集中管理、共享數(shù)據(jù)、量化考核、高效溝通”五位一體的安全管理平臺，有效規(guī)范了網(wǎng)絡(luò)安全日常管理，豐富完善了網(wǎng)絡(luò)安全管理體系，充分調(diào)動了各級機(jī)構(gòu)的工作積極性，切實(shí)保障了各項(xiàng)管理措施得到有效落實(shí)，在實(shí)際工作取得了良好成效。

　　參考文獻(xiàn)：

　　[1]王永紅.切實(shí)加強(qiáng)金融信息安全管理提升金融信息安全保障水平[J].中國信息安全，2013.

　　[2]陳小娟.我國銀行信息安全風(fēng)險管理體系研究[D].江蘇:蘇州大學(xué)，2013.

　　[3]JR/T0071—2012.金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)實(shí)施指引[S].中國人民銀行，2012.

　　作者：劉宇單位：中國人民銀行成都分行