網路安全規範化管理現況與實踐論文
摘要:為了解決單位內部和行業之間網路安全管理和指導中存在的諸如管理分散、效率低下等問題,人民銀行成都分行創新建設了以“統一展示、集中管理、共享資料、量化考核、高效溝通”為主要訴求的“五位一體”安全管理平臺,平臺實現了對內外部安全監控資料和管理文件的統一採集、統一分析和統一展現,實現了日常安全管理工作規範化高效管理。
關鍵詞:五位一體;網路安全;規範化;安全管理平臺
引言
網路安全管理是科技管理工作的立基之本,也是資訊化建設可持續發展的有力保障。近年來,人民銀行以“規範先行、架構管控、技術管理、加強協調”為主線,堅持安全與發展並重的原則,透過不斷完善網路安全基礎設施建設,規範網路安全管理制度,建立健全網路安全保障體系,有效提升了網路安全綜合保障水平。
1安全管理現狀及困境
人民銀行成都分行(以下簡稱“人行成都分行”)在網路安全管理中堅持技術和管理兩手抓,近年來相繼建設並升級了防病毒、防入侵、防外聯、補丁分發、網路准入、漏洞掃描和流量分析等安全管理控制系統,同時組織開展了全省人民銀行資訊系統等級保護、科技專項治理、安全基線檢查、應急能力評估等管理工作,並配合內審部門開展了科技綜合管理審計、資訊科技審計等,透過一系列專項工作進一步加強了安全技術保障,完善了安全管理體系。人行成都分行在做好自身安全管理工作的同時,還肩負著指導、協調轄內金融業機構網路安全工作的職責。比如建立了轄內銀行業資訊保安協調機制,制定了《四川省銀行業金融機構資訊保安管理指引》,督促各銀行機構每年做好等級保護、風險評估、應急演練等工作,同時與相關管理部門形成了跨部門的協調機制和工作方案,進一步強化了對全省銀行業機構的指導與服務,切實提高了四川省金融網路安全保障能力。但是在日常的安全管理工作中,仍然存在一些亟待解決的問題:一是已有的安全系統均各自獨立、缺乏整合聯動,安全管理員每天需要逐一登入系統檢視監控報警情況,管理效率低下,容易發生遺漏。二是安全基礎管理工作繁雜而瑣碎,大部分日常管理文件材料的處理、彙總、統計、歸檔等流程都需人工處理,消耗了大量人力和時間,工作質量和工作效率低下。比如一個地市業務人員製作數字證書需要親自將紙質的申請表分別提交到分行業務部門和科技部門稽核,並現場製作領取,至少會消耗一整天時間。三是定期開展的網路安全日常工作沒有實現自動化、電子化管理,難以做到深度、立體的綜合分析,整體上也缺乏有效的橫向聯動和歷史回溯,工作成果的資訊共享程度較低,不能實現安全管理資料深層次利用。四是對於轄內各單位工作完成情況及完成質量缺乏有效記錄,考核時難免會出現漏評、錯評,並透過印象或記憶評分的情況,喪失了考核的權威性和客觀性。五是缺乏高效率的資訊通報、工作溝通的渠道,電話、微信可以進行快速和簡單的交流,但是正式的事件通報、工作部署、意見收集等只能透過內部郵件溝通,反饋時效、處理效率都大打折扣。
2解決辦法及實現方式
針對網路安全管理中的痛點,人行成都分行以“規範管理、提升效率”為出發點,以“統一展示、集中管理、共享資料、量化考核、高效溝通”為切入點,建設了覆蓋全省人民銀行及銀行業金融機構的資訊保安綜合管理平臺(以下簡稱“安全管理平臺”),實現了人行成都分行安全管理各項工作智慧化和有序化,切實提升了網路安全標準化和規範化管理。系統建設基於J2EE架構,使用人員透過web方式登入訪問系統。系統主要功能模組及實現方式如圖1所示。
2.1資訊安全系統管理
該模組包括安全系統監控統一展示、病毒處理、入侵事件處理、數字證書管理等八個子模組。主要功能一是系統定時從各安全系統抽取資料,按照指定方式展示在統一監控介面中,同時可對病毒事件、入侵事件、非法外聯事件等按地區、時間和類別進行統計,並提供重大安全事件處理反饋功能。二是提供數字證書電子化申請、審批、歸檔、統計彙總等功能。三是完成漏洞掃描、移動介質登記等其他安全系統文件資料歸檔。
2.2資訊保安工作管理
該模組分為人民銀行資訊保安工作管理和金融機構資訊保安管理。主要功能如下:一是可構建動態管理的等級保護、安全基線、風險評估等多級指標庫並要求指定單位開展檢查自評,可自動彙總填報內容並按要求展示;可顯示某單位每月、每季、每年的指標變化情況,以及不同單位對比情況;還可彙總收集全省人民銀行應急演練、安全檢查、風險排查、資訊報送等日常安全報告和文件。二是銀行機構可動態維護本單位基本資訊,報送應急演練、等級保護、自主可控、外包管理、重大事項等工作報告和重要材料;並按照風險評估規範資料庫模板,每年按此模板開展兩次風險評估並填報相關內容。三是系統自動彙總收集安全系統和安全工作中發現的.問題、隱患、風險,並按照型別、時間、單位、危險等級等進行分類統計和圖形展示。四是所有模組均提供了統計報送完成情況的功能,對沒有按時完成任務的單位,將自動記錄到考核登記簿中。五是可建立工作辦理管理流程和報告模組,統一發布工作安排並收集反饋情況。
2.3資訊保安資訊釋出
該模組包括資訊保安規章制度管理、資訊保安知識庫管理、安全裝置資產管理等五個子模組。規章制度庫包括資訊保安標準庫、人民銀行資訊保安制度庫、金融業資訊保安制度庫。知識庫包括案例庫、安全風險隱患庫、技術防護庫、資訊保安學習庫等。
3“五位一體”安全管理平臺建設成效
安全管理平臺實現了四川省人民銀行和銀行業金融機構安全管理全覆蓋,目前接入和使用系統的單位有66家,其中四川人民銀行市州分支機構21家,銀行業金融機構一級分行和地方性銀行機構共45家,切實有效提升了網路安全規範化管理水平。
3.1高效整合安全系統
系統自動採集和分析單獨部署的入侵檢測、非法外聯、補丁分發、病毒防治等安全系統的安全報警資訊和日誌資訊,形成多種統計彙總圖表和量化分析圖。每日安全管理員直接從安全管理平臺即可檢視所有安全管理系統的監控情況,打破了安全系統各自為政的壁壘,構造了安全監控整體視角,實現了“一點登入、整體監控、集中展示”的安全運營平臺功能。另外對於移動儲存、數字證書等重要介質,透過安全管理平臺進行統一申請、審批和撤銷,實現了重要介質全生命週期管理。
3.2集中處理安全事務
安全管理平臺大大簡化了網路安全管理中日常的繁雜工作,實現了等級保護、風險評估、安全基線、安全檢查、應急演練、資訊報送等各項工作的標準化、自動化、無紙化處理,並且提供自動統計和豐富展示的功能,實現了各類工作文件的集中管理,大大減輕了後期彙總分析的壓力,使得管理員能夠把精力聚焦在分析問題和解決問題上,切實提升了安全管理水平和效率。
3.3跟蹤分析共享資料
安全管理平臺不僅抓取了安全系統產生的報警及日誌資料,還自動收集了各單位資訊保安基線自查、現場檢查、應急演練、等級保護、風險評估等各項工作中的反饋情況和問題記錄,並且還提供手工錄入功能,可以將其他途徑(比如審計)收集的問題手工登記到系統中。透過指定方式比較分析不同單位、不同地區、不同型別的風險情況,可總體把握系統內及行業內的安全管理狀況,追蹤責任單位的問題整改進展以及採取的風險控制措施,為進一步分析決策提供依據。
3.4直觀量化考核結果
工作任務透過安全管理平臺釋出,考核時可直接檢視各單位歷史工作完成質量以及完成時效,特別是自動收集彙總了各項工作遲報、漏報、錯報等情況,非常便於管理者直接依據統計結果考核打分。同時,各單位每年發生的安全事件數量、問題整改率、漏洞修補率、終端異常率等均可透過安全管理平臺彙總統計,避免了透過經驗、印象進行考核打分的情況,有效提高了安全工作考核的準確性和有效性。
3.5顯著提升溝通效率
一是大大提升了日常監測發現問題的整改效率。比如對於發生的安全事件,可以一鍵生成事件處理工單派發到指定單位,督促和指導責任人員即刻開展排查和處置。二是創新實現了數字證書全流程的電子化管理,解決了紙質檔案審批、簽收傳遞週期冗長、效率低下的問題,提高了證書申請審批時效,目前透過安全管理平臺申請、審批到領取證書,最快15分鐘內即可完成。三是將各項制度規範、運維手冊統一共享,便於管理人員及崗位新人查閱,提升了學習和解決問題的效率。四是克服了人民銀行與轄內商業銀行溝通協調不暢的問題。比如可以隨時向商業銀行傳送資訊公告、風險提示、工作要求等,商業銀行也可按照指定的格式報送等級保護、風險評估、應急演練和安全年報等,還可隨時向監管部門報送單位基本情況變更、重大事項報告、日常工作報告、自主可控和外包服務等情況。所以安全管理平臺極大地提升了人行成都分行對全省銀行業機構的指導與服務,為加強四川省銀行業資訊保安協調機制提供了有力保障。
4結束語
人行成都透過建立“統一展示、集中管理、共享資料、量化考核、高效溝通”五位一體的安全管理平臺,有效規範了網路安全日常管理,豐富完善了網路安全管理體系,充分調動了各級機構的工作積極性,切實保障了各項管理措施得到有效落實,在實際工作取得了良好成效。
參考文獻:
[1]王永紅.切實加強金融資訊保安管理提升金融資訊保安保障水平[J].中國資訊保安,2013.
[2]陳小娟.我國銀行資訊保安風險管理體系研究[D].江蘇:蘇州大學,2013.
[3]JR/T0071—2012.金融行業資訊系統資訊保安等級保護實施指引[S].中國人民銀行,2012.
作者:劉宇 單位:中國人民銀行成都分行