◆劉 宇

?

基于“五位一體”的網(wǎng)絡安全規(guī)范化管理實踐

◆劉 宇

(中國人民銀行成都分行 四川 610041)

為了解決單位內(nèi)部和行業(yè)之間網(wǎng)絡安全管理和指導中存在的諸如管理分散、效率低下等問題，人民銀行成都分行創(chuàng)新建設了以“統(tǒng)一展示、集中管理、共享數(shù)據(jù)、量化考核、高效溝通”為主要訴求的“五位一體”安全管理平臺，平臺實現(xiàn)了對內(nèi)外部安全監(jiān)控數(shù)據(jù)和管理文檔的統(tǒng)一采集、統(tǒng)一分析和統(tǒng)一展現(xiàn)，實現(xiàn)了日常安全管理工作規(guī)范化高效管理。

五位一體；網(wǎng)絡安全；規(guī)范化；安全管理平臺

0 引言

網(wǎng)絡安全管理是科技管理工作的立基之本，也是信息化建設可持續(xù)發(fā)展的有力保障。近年來，人民銀行以“規(guī)范先行、架構管控、技術管理、加強協(xié)調(diào)”為主線，堅持安全與發(fā)展并重的原則，通過不斷完善網(wǎng)絡安全基礎設施建設，規(guī)范網(wǎng)絡安全管理制度，建立健全網(wǎng)絡安全保障體系，有效提升了網(wǎng)絡安全綜合保障水平。

1 安全管理現(xiàn)狀及困境

人民銀行成都分行（以下簡稱“人行成都分行”）在網(wǎng)絡安全管理中堅持技術和管理兩手抓，近年來相繼建設并升級了防病毒、防入侵、防外聯(lián)、補丁分發(fā)、網(wǎng)絡準入、漏洞掃描和流量分析等安全管理控制系統(tǒng)，同時組織開展了全省人民銀行信息系統(tǒng)等級保護、科技專項治理、安全基線檢查、應急能力評估等管理工作，并配合內(nèi)審部門開展了科技綜合管理審計、信息技術審計等，通過一系列專項工作進一步加強了安全技術保障，完善了安全管理體系。人行成都分行在做好自身安全管理工作的同時，還肩負著指導、協(xié)調(diào)轄內(nèi)金融業(yè)機構網(wǎng)絡安全工作的職責。比如建立了轄內(nèi)銀行業(yè)信息安全協(xié)調(diào)機制，制定了《四川省銀行業(yè)金融機構信息安全管理指引》，督促各銀行機構每年做好等級保護、風險評估、應急演練等工作，同時與相關管理部門形成了跨部門的協(xié)調(diào)機制和工作方案，進一步強化了對全省銀行業(yè)機構的指導與服務，切實提高了四川省金融網(wǎng)絡安全保障能力。

但是在日常的安全管理工作中，仍然存在一些亟待解決的問題：一是已有的安全系統(tǒng)均各自獨立、缺乏整合聯(lián)動，安全管理員每天需要逐一登錄系統(tǒng)查看監(jiān)控報警情況，管理效率低下，容易發(fā)生遺漏。二是安全基礎管理工作繁雜而瑣碎，大部分日常管理文檔材料的處理、匯總、統(tǒng)計、歸檔等流程都需人工處理，消耗了大量人力和時間，工作質(zhì)量和工作效率低下。比如一個地市業(yè)務人員制作數(shù)字證書需要親自將紙質(zhì)的申請表分別提交到分行業(yè)務部門和科技部門審核，并現(xiàn)場制作領取，至少會消耗一整天時間。三是定期開展的網(wǎng)絡安全日常工作沒有實現(xiàn)自動化、電子化管理，難以做到深度、立體的綜合分析，整體上也缺乏有效的橫向聯(lián)動和歷史回溯，工作成果的信息共享程度較低，不能實現(xiàn)安全管理數(shù)據(jù)深層次利用。四是對于轄內(nèi)各單位工作完成情況及完成質(zhì)量缺乏有效記錄，考核時難免會出現(xiàn)漏評、錯評，并通過印象或記憶評分的情況，喪失了考核的權威性和客觀性。五是缺乏高效率的信息通報、工作溝通的渠道，電話、微信可以進行快速和簡單的交流，但是正式的事件通報、工作部署、意見收集等只能通過內(nèi)部郵件溝通，反饋時效、處理效率都大打折扣。

2 解決辦法及實現(xiàn)方式

針對網(wǎng)絡安全管理中的痛點，人行成都分行以“規(guī)范管理、提升效率”為出發(fā)點，以“統(tǒng)一展示、集中管理、共享數(shù)據(jù)、量化考核、高效溝通”為切入點，建設了覆蓋全省人民銀行及銀行業(yè)金融機構的信息安全綜合管理平臺（以下簡稱“安全管理平臺”），實現(xiàn)了人行成都分行安全管理各項工作智能化和有序化，切實提升了網(wǎng)絡安全標準化和規(guī)范化管理。系統(tǒng)建設基于J2EE架構，使用人員通過web方式登錄訪問系統(tǒng)。系統(tǒng)主要功能模塊及實現(xiàn)方式如圖1所示。

圖1 人行成都分行安全管理平臺架構及功能圖

2.1 信息安全系統(tǒng)管理

該模塊包括安全系統(tǒng)監(jiān)控統(tǒng)一展示、病毒處理、入侵事件處理、數(shù)字證書管理等八個子模塊。主要功能一是系統(tǒng)定時從各安全系統(tǒng)抽取數(shù)據(jù)，按照指定方式展示在統(tǒng)一監(jiān)控界面中，同時可對病毒事件、入侵事件、非法外聯(lián)事件等按地區(qū)、時間和類別進行統(tǒng)計，并提供重大安全事件處理反饋功能。二是提供數(shù)字證書電子化申請、審批、歸檔、統(tǒng)計匯總等功能。三是完成漏洞掃描、移動介質(zhì)登記等其他安全系統(tǒng)文檔資料歸檔。

2.2 信息安全工作管理

該模塊分為人民銀行信息安全工作管理和金融機構信息安全管理。主要功能如下：

一是可構建動態(tài)管理的等級保護、安全基線、風險評估等多級指標庫并要求指定單位開展檢查自評，可自動匯總填報內(nèi)容并按要求展示；可顯示某單位每月、每季、每年的指標變化情況，以及不同單位對比情況；還可匯總收集全省人民銀行應急演練、安全檢查、風險排查、信息報送等日常安全報告和文檔。

二是銀行機構可動態(tài)維護本單位基本信息，報送應急演練、等級保護、自主可控、外包管理、重大事項等工作報告和重要材料；并按照風險評估規(guī)范數(shù)據(jù)庫模板，每年按此模板開展兩次風險評估并填報相關內(nèi)容。

三是系統(tǒng)自動匯總收集安全系統(tǒng)和安全工作中發(fā)現(xiàn)的問題、隱患、風險，并按照類型、時間、單位、危險等級等進行分類統(tǒng)計和圖形展示。四是所有模塊均提供了統(tǒng)計報送完成情況的功能，對沒有按時完成任務的單位，將自動記錄到考核登記簿中。五是可建立工作辦理管理流程和報告模塊，統(tǒng)一發(fā)布工作安排并收集反饋情況。

2.3 信息安全信息發(fā)布

該模塊包括信息安全規(guī)章制度管理、信息安全知識庫管理、安全設備資產(chǎn)管理等五個子模塊。規(guī)章制度庫包括信息安全標準庫、人民銀行信息安全制度庫、金融業(yè)信息安全制度庫。知識庫包括案例庫、安全風險隱患庫、技術防護庫、信息安全學習庫等。

3 “五位一體”安全管理平臺建設成效

安全管理平臺實現(xiàn)了四川省人民銀行和銀行業(yè)金融機構安全管理全覆蓋，目前接入和使用系統(tǒng)的單位有66家，其中四川人民銀行市州分支機構21家，銀行業(yè)金融機構一級分行和地方性銀行機構共45家，切實有效提升了網(wǎng)絡安全規(guī)范化管理水平。

3.1 高效整合安全系統(tǒng)

系統(tǒng)自動采集和分析單獨部署的入侵檢測、非法外聯(lián)、補丁分發(fā)、病毒防治等安全系統(tǒng)的安全報警信息和日志信息，形成多種統(tǒng)計匯總圖表和量化分析圖。每日安全管理員直接從安全管理平臺即可查看所有安全管理系統(tǒng)的監(jiān)控情況，打破了安全系統(tǒng)各自為政的壁壘，構造了安全監(jiān)控整體視角，實現(xiàn)了“一點登錄、整體監(jiān)控、集中展示”的安全運營平臺功能。另外對于移動存儲、數(shù)字證書等重要介質(zhì)，通過安全管理平臺進行統(tǒng)一申請、審批和撤銷，實現(xiàn)了重要介質(zhì)全生命周期管理。

3.2 集中處理安全事務

安全管理平臺大大簡化了網(wǎng)絡安全管理中日常的繁雜工作，實現(xiàn)了等級保護、風險評估、安全基線、安全檢查、應急演練、信息報送等各項工作的標準化、自動化、無紙化處理，并且提供自動統(tǒng)計和豐富展示的功能，實現(xiàn)了各類工作文檔的集中管理，大大減輕了后期匯總分析的壓力，使得管理員能夠把精力聚焦在分析問題和解決問題上，切實提升了安全管理水平和效率。

3.3 跟蹤分析共享數(shù)據(jù)

安全管理平臺不僅抓取了安全系統(tǒng)產(chǎn)生的報警及日志數(shù)據(jù)，還自動收集了各單位信息安全基線自查、現(xiàn)場檢查、應急演練、等級保護、風險評估等各項工作中的反饋情況和問題記錄，并且還提供手工錄入功能，可以將其他途徑（比如審計）收集的問題手工登記到系統(tǒng)中。通過指定方式比較分析不同單位、不同地區(qū)、不同類型的風險情況，可總體把握系統(tǒng)內(nèi)及行業(yè)內(nèi)的安全管理狀況，追蹤責任單位的問題整改進展以及采取的風險控制措施，為進一步分析決策提供依據(jù)。

3.4 直觀量化考核結果

工作任務通過安全管理平臺發(fā)布，考核時可直接查看各單位歷史工作完成質(zhì)量以及完成時效，特別是自動收集匯總了各項工作遲報、漏報、錯報等情況，非常便于管理者直接依據(jù)統(tǒng)計結果考核打分。同時，各單位每年發(fā)生的安全事件數(shù)量、問題整改率、漏洞修補率、終端異常率等均可通過安全管理平臺匯總統(tǒng)計，避免了通過經(jīng)驗、印象進行考核打分的情況，有效提高了安全工作考核的準確性和有效性。

3.5 顯著提升溝通效率

一是大大提升了日常監(jiān)測發(fā)現(xiàn)問題的整改效率。比如對于發(fā)生的安全事件，可以一鍵生成事件處理工單派發(fā)到指定單位，督促和指導責任人員即刻開展排查和處置。

二是創(chuàng)新實現(xiàn)了數(shù)字證書全流程的電子化管理，解決了紙質(zhì)文件審批、簽收傳遞周期冗長、效率低下的問題，提高了證書申請審批時效，目前通過安全管理平臺申請、審批到領取證書，最快15分鐘內(nèi)即可完成。

三是將各項制度規(guī)范、運維手冊統(tǒng)一共享，便于管理人員及崗位新人查閱，提升了學習和解決問題的效率。

四是克服了人民銀行與轄內(nèi)商業(yè)銀行溝通協(xié)調(diào)不暢的問題。比如可以隨時向商業(yè)銀行發(fā)送信息公告、風險提示、工作要求等，商業(yè)銀行也可按照指定的格式報送等級保護、風險評估、應急演練和安全年報等，還可隨時向監(jiān)管部門報送單位基本情況變更、重大事項報告、日常工作報告、自主可控和外包服務等情況。

所以安全管理平臺極大地提升了人行成都分行對全省銀行業(yè)機構的指導與服務，為加強四川省銀行業(yè)信息安全協(xié)調(diào)機制提供了有力保障。

4 結束語

人行成都通過建立“統(tǒng)一展示、集中管理、共享數(shù)據(jù)、量化考核、高效溝通”五位一體的安全管理平臺，有效規(guī)范了網(wǎng)絡安全日常管理，豐富完善了網(wǎng)絡安全管理體系，充分調(diào)動了各級機構的工作積極性，切實保障了各項管理措施得到有效落實，在實際工作取得了良好成效。

[1]王永紅.切實加強金融信息安全管理 提升金融信息安全保障水平[J].中國信息安全，2013.

[2]陳小娟.我國銀行信息安全風險管理體系研究[D].江蘇:蘇州大學，2013.

[3]JR/T 0071—2012.金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引[S].中國人民銀行，2012.