丁光華

當(dāng)前，全球網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，銀行機(jī)構(gòu)信息系統(tǒng)安全事件時有發(fā)生，且一些事件對銀行業(yè)務(wù)連續(xù)性產(chǎn)生了重要影響，壓力與挑戰(zhàn)與日劇增?！吨腥A人民共和國網(wǎng)絡(luò)安全法》于2017年6月1日起正式實(shí)施，網(wǎng)絡(luò)安全管理邁入法治化階段，要求重要網(wǎng)絡(luò)和系統(tǒng)的運(yùn)營者采取技術(shù)措施和其它必要措施，保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行，同時要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險進(jìn)行評估。人民銀行是金融核心信息基礎(chǔ)設(shè)施的運(yùn)營者，在加強(qiáng)自身網(wǎng)絡(luò)信息化建設(shè)管理的基礎(chǔ)上，依托外部第三方專業(yè)力量開展測評，全面摸清重要生產(chǎn)系統(tǒng)的狀況和薄弱環(huán)節(jié)，不斷優(yōu)化網(wǎng)絡(luò)安全管理，對于保障人民銀行重要網(wǎng)絡(luò)和應(yīng)用系統(tǒng)安全穩(wěn)定運(yùn)行尤為重要。本文在對測評工作進(jìn)行綜合分析的基礎(chǔ)上，結(jié)合項(xiàng)目管理實(shí)踐，探索思考依托外部測評提升金融網(wǎng)絡(luò)安全保障能力的方式和路徑。

一、測評工作概述

評估系統(tǒng)是否存在潛在風(fēng)險和缺陷，做到事前預(yù)防、消除隱患，實(shí)現(xiàn)風(fēng)險防范關(guān)口前移，是提升網(wǎng)絡(luò)安全管理能力的關(guān)鍵環(huán)節(jié)。結(jié)合省級人民銀行網(wǎng)絡(luò)安全管理要求，目前主要采用內(nèi)部檢查評估和外部測評相結(jié)合的方式強(qiáng)化安全管理。內(nèi)部檢查評估由單位網(wǎng)絡(luò)安全管理人員擬定方案，實(shí)施評估，日常系統(tǒng)建設(shè)、運(yùn)維等安全管理制度的執(zhí)行落實(shí)是重點(diǎn)，主要方式包括定期網(wǎng)絡(luò)安全檢查、專項(xiàng)檢查、重要時期網(wǎng)絡(luò)安全檢查評估等，屬于自我糾正自我完善;外部測評，是根據(jù)國家和行業(yè)相關(guān)標(biāo)準(zhǔn)、規(guī)范，由第三方安全專業(yè)服務(wù)機(jī)構(gòu)實(shí)施評估，專業(yè)程度高、技術(shù)性強(qiáng)、涵蓋面寬，是落實(shí)國家網(wǎng)絡(luò)安全監(jiān)管的重要內(nèi)容，也是評估系統(tǒng)潛在風(fēng)險和缺陷的重要手段。目前外部測評開展的主要方式包括等級保護(hù)測評和風(fēng)險評估。

等級保護(hù)測評是按照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對未涉及國家秘密的信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行檢測評估的活動，旨在評估系統(tǒng)的安全防護(hù)是否滿足國家等級保護(hù)要求，是落實(shí)國家信息安全等級保護(hù)制度的關(guān)鍵環(huán)節(jié)。人民銀行結(jié)合行業(yè)特點(diǎn)制定了《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)實(shí)施指引》《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)測評指南》等行業(yè)標(biāo)準(zhǔn)，指導(dǎo)規(guī)范行業(yè)等級保護(hù)測評工作，一般測評涵蓋物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等內(nèi)容。

風(fēng)險評估是依據(jù)國家《信息技術(shù)信息安全風(fēng)險評估規(guī)范》（GB/T 20984-2007）等，從風(fēng)險管理角度對信息系統(tǒng)的各種安全因素進(jìn)行定性與定量分析，主要以系統(tǒng)業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全為核心，對被評估對象的資產(chǎn)、威脅和脆弱性進(jìn)行有效識別和分析，包括資產(chǎn)識別與分析、威脅識別與分析、脆弱性識別與分析、風(fēng)險識別與分析等過程，最后得出評估結(jié)果，并提出有針對性的改進(jìn)措施。

二、測評項(xiàng)目標(biāo)準(zhǔn)化管理實(shí)踐

省級人民銀行運(yùn)行系統(tǒng)屬于重要金融基礎(chǔ)設(shè)施，涉及資金清算、金融信息處理、內(nèi)部管理等方面，在實(shí)踐過程中，根據(jù)系統(tǒng)安全管理目標(biāo)、要求和依據(jù)的不同，綜合開展重要網(wǎng)絡(luò)和應(yīng)用系統(tǒng)等級保護(hù)測評和風(fēng)險評估，運(yùn)用外部測評推動安全管理能力建設(shè)提升。為確保測評工作高效開展，在遵從信息化項(xiàng)目外包管理相關(guān)要求的基礎(chǔ)上，應(yīng)嚴(yán)格從實(shí)施安全、測評效用、整改高效等方面強(qiáng)化全周期的標(biāo)準(zhǔn)化項(xiàng)目管理。

（一）項(xiàng)目安全風(fēng)險管理

測評項(xiàng)目是對信息系統(tǒng)的深入分析和測試，方法包括訪談、檢查和測試等，項(xiàng)目安全風(fēng)險管理尤為重要。首先，測評單位確定是關(guān)鍵，負(fù)責(zé)測評單位應(yīng)具有相應(yīng)資質(zhì)，團(tuán)隊(duì)過硬、信譽(yù)好，具有行業(yè)重要系統(tǒng)測評實(shí)施經(jīng)驗(yàn)，符合安全保密要求，并應(yīng)嚴(yán)格履行相應(yīng)保密職責(zé)。其次，測評實(shí)施安全保障是重點(diǎn)，應(yīng)確保實(shí)施工作不影響系統(tǒng)穩(wěn)定運(yùn)行，不降低系統(tǒng)服務(wù)質(zhì)量，且不引起新的風(fēng)險，特別是對脆弱性掃描和滲透性測試等重要測試工作，應(yīng)充分進(jìn)行論證，合理確定工具、范圍、操作時間，如對重要系統(tǒng)服務(wù)器應(yīng)在非業(yè)務(wù)高峰期或系統(tǒng)負(fù)載較輕的時候進(jìn)行掃描，避免對業(yè)務(wù)的影響，確保實(shí)施過程安全、信息保密安全。

（二）項(xiàng)目質(zhì)量效用管理

測評對象一般包括業(yè)務(wù)應(yīng)用系統(tǒng)軟件、服務(wù)器及存儲設(shè)備，網(wǎng)絡(luò)通信設(shè)備（路由器和交換機(jī)）、安全設(shè)備（防火墻等）、PC客戶端、機(jī)房場地環(huán)境以及相關(guān)的運(yùn)維管理人員和文檔資料，涵蓋技術(shù)和管理，且與具體的銀行業(yè)務(wù)應(yīng)用密切相關(guān)，測評單位及測評人員應(yīng)熟悉行業(yè)系統(tǒng)架構(gòu)及應(yīng)用情況，測評前應(yīng)進(jìn)行充分詳細(xì)的調(diào)研，明確評估的內(nèi)容、方法、實(shí)施流程，測評過程中應(yīng)充分有效的與運(yùn)維人員、安全管理人員等溝通協(xié)調(diào)，確保測評能有效反應(yīng)系統(tǒng)的現(xiàn)狀，客觀全面評估系統(tǒng)運(yùn)行管理的潛在風(fēng)險及隱患，提出的安全整改建議符合單位客觀實(shí)際情況，確保效用最大化。

（三）項(xiàng)目成果運(yùn)用管理

測評報告是最終項(xiàng)目成果，目的是發(fā)現(xiàn)系統(tǒng)風(fēng)險和薄弱環(huán)節(jié)，但這不是網(wǎng)絡(luò)安全管理的終點(diǎn)，高效開展問題整改，提升系統(tǒng)運(yùn)行穩(wěn)健性才是最終目標(biāo)。對于測評發(fā)現(xiàn)的問題，應(yīng)按照整改建議，以科學(xué)性、先進(jìn)性和安全性為原則，按照立行立改、管理和技術(shù)并重的要求，擬定整改方案，明確整改措施、整改計劃，必要時組織整改方案可行性評估，并通過專項(xiàng)會議、清單管理等方式，推動具備條件的風(fēng)險問題及時整改落實(shí)。在整改過程中，應(yīng)統(tǒng)籌風(fēng)險等級、實(shí)施難度、實(shí)施條件等因素，對問題整改進(jìn)行分類管理，如對于安全管理、制度建設(shè)等方面的問題，應(yīng)結(jié)合單位情況，修訂完善制度規(guī)范，嚴(yán)格抓好落實(shí)，及時整改;對于主機(jī)應(yīng)用、網(wǎng)絡(luò)架構(gòu)等方面的問題，若因系統(tǒng)建設(shè)、產(chǎn)品成熟度等客觀原因限制不能及時整改且風(fēng)險較低的，也應(yīng)制定中長期整改計劃，同時加強(qiáng)應(yīng)急管理，做好應(yīng)急資源準(zhǔn)備。

三、下一步工作思考

當(dāng)前金融科技邁入新的歷史時期，信息系統(tǒng)跨單位、跨行業(yè)的互聯(lián)互通日益明顯，系統(tǒng)邊界逐漸模糊，系統(tǒng)間、業(yè)務(wù)間關(guān)聯(lián)風(fēng)險突出，且網(wǎng)絡(luò)攻擊呈專業(yè)化、團(tuán)隊(duì)化發(fā)展，攻防兩端能力的較量日益尖銳，為加強(qiáng)測評工作對單位重要網(wǎng)絡(luò)和應(yīng)用系統(tǒng)安全保障的支撐能力，需要從保障體系建設(shè)、結(jié)果轉(zhuǎn)化運(yùn)用、拓展合作等方面進(jìn)一步完善測評工作管理。

（一）進(jìn)一步完善保障體系建設(shè)

隨著云計算、人工智能、區(qū)塊鏈、大數(shù)據(jù)等新興技術(shù)的發(fā)展與運(yùn)用，在優(yōu)化金融資源配置、促進(jìn)金融業(yè)務(wù)發(fā)展的同時，也產(chǎn)生了新的安全風(fēng)險和挑戰(zhàn)。為確保測評效用最大化，測評工作保障體系也應(yīng)適時優(yōu)化完善，在傳統(tǒng)設(shè)備資產(chǎn)安全管理、防護(hù)技術(shù)管理的基礎(chǔ)上，應(yīng)更加關(guān)注服務(wù)安全、業(yè)務(wù)數(shù)據(jù)安全，在梳理網(wǎng)絡(luò)邊界的基礎(chǔ)上，應(yīng)更注重厘清數(shù)據(jù)流、業(yè)務(wù)流，IT運(yùn)維人員和業(yè)務(wù)管理人員需緊密配合，深度協(xié)同;同時應(yīng)調(diào)整角度，做好測評工作宣傳解釋，優(yōu)化完善與測評實(shí)施人員溝通配合機(jī)制，建立完善重要系統(tǒng)日常運(yùn)維管理知識庫、安全事件處置知識庫，變被動接受測評為主動參與測評，進(jìn)一步完善保障體系建設(shè)。

（二）深入推動成果多層次轉(zhuǎn)化運(yùn)用

在高效開展測評問題整改、提升安全保障能力的同時，應(yīng)完善測評成果轉(zhuǎn)化運(yùn)用，建立統(tǒng)一化的問題風(fēng)險清單，促進(jìn)信息在不同部門、不同崗位人員的有效共享，并以風(fēng)險防范為導(dǎo)向，立足全局，修訂完善信息化建設(shè)、管理等相關(guān)制度規(guī)范，避免已發(fā)現(xiàn)問題在不同系統(tǒng)重復(fù)出現(xiàn)，避免相似問題在新建系統(tǒng)中出現(xiàn)，促進(jìn)測評成果在事前防范中的轉(zhuǎn)化應(yīng)用。同時深化跨單位、跨行業(yè)的測評工作交流機(jī)制，實(shí)現(xiàn)案例、知識、管理等有效及時共享，并在系統(tǒng)互聯(lián)互通的重點(diǎn)領(lǐng)域，探索聯(lián)合測評、協(xié)同測評等工作機(jī)制，合力共筑安全防線，促進(jìn)測評成果在事中完善的轉(zhuǎn)化運(yùn)用。

（三）持續(xù)拓展與安全服務(wù)機(jī)構(gòu)合作深度

當(dāng)前，信息技術(shù)快速迭代，安全防護(hù)技術(shù)和產(chǎn)品發(fā)展往往相對滯后，且攻防兩端力量懸殊較大，在做好單位部門安全管理的同時，應(yīng)以測評工作為基礎(chǔ)，不斷豐富拓展與第三方專業(yè)安全服務(wù)機(jī)構(gòu)合作的內(nèi)容及形式，如開展重要時期保障、威脅情報分享、應(yīng)急響應(yīng)、網(wǎng)絡(luò)安全攻防技能培訓(xùn)、聯(lián)合應(yīng)急演練等合作，以合作增進(jìn)溝通理解，提升測評工作效用，以合作促進(jìn)安全隊(duì)伍建設(shè)，提升網(wǎng)絡(luò)安全應(yīng)急準(zhǔn)備能力。

綜上，通過外部安全專業(yè)測評，評估風(fēng)險，發(fā)現(xiàn)系統(tǒng)技術(shù)和管理等方面存在的風(fēng)險和隱患，滿足國家網(wǎng)絡(luò)安全監(jiān)管要求，提升風(fēng)險應(yīng)對和處置能力，是系統(tǒng)運(yùn)營單位完善網(wǎng)絡(luò)安全管理的重要路徑。對測評項(xiàng)目管理的探索，有利于提升測評效用，有利于持續(xù)推動金融網(wǎng)絡(luò)安全保障能力建設(shè)，具有一定實(shí)踐意義。

參考文獻(xiàn)：

[1]朱利妍.等級測評中的問題與建議[J].網(wǎng)絡(luò)安全和信息化，2018（7）.

[2]方言.金融科技不斷糾緊的安全神經(jīng)[J].中國信息安全，2017（7）.

[3]王笑，成林芳，翟亞紅.信息安全風(fēng)險評估服務(wù)資質(zhì)認(rèn)證發(fā)現(xiàn)[J].信息安全研究，2018（10）.

（作者單位：中國人民銀行昆明中心支行科技處）