文/徐 雯 虞明城

银行业信息安全一体化管理初探

文/徐 雯 虞明城

本文从当前我国大型银行企业信息安全管理工作面临的实际问题入手，提出在“流程、人员、技术”三个方面的一体化管理总体思路和具体要点，以此提升我国银行业信息安全管理的科学水平。

一、银行业信息安全管理的主要问题

随着银行业信息安全工作的不断深入，包括防病毒、入侵防护、漏洞扫描、数据防泄漏、防垃圾邮件、客户端安全控制、网络准入等各类安全防护系统已逐步在各机构内进行了部署和推广，整个信息安全体系日趋庞大和复杂，这在一定程度上改善了以往救火式的信息安全状态，但也带来了很多新的问题和挑战，主要包括：

1.管理模式相对滞后。银行业一般都是总分式多层级管理架构，存在总行、省行、支行等多级管理结构，信息安全管理工作分散在各机构不同部门或由各分支机构自行管理，往往其信息安全管理模式和流程存在较大不同。全行信息安全管理缺少有效的集中管理、分级负责的管理模式，同时分散的组织结构造成对银行体系内的整体安全评估和改进机制缺乏，这种情况不利于对机构信息安全的整体把控和统一管理。

2.人员素质参差不齐。各机构信息安全管理人员在人员数量、人员素质上差异较大，在内地经济不发达地区与沿海等经济发达地区之间，尤为明显。

3.系统孤立未成体系。部署的安全防护系统种类越来越多，但各系统都相对独立，部分功能有所重叠，甚至相互冲突。同时，各类防护系统的配置、管理、监控等技术和管理要求，都需要各级安全管理员分别落实，其可靠性也无法保证，存在管理失控的风险，也无法将各安全防护系统结合，形成全局统一部署的安全防护体系。

4.海量数据难辨真伪。各安全防护系统的数据越来越大，大量的重复信息、错误信息充斥其中，海量的无效数据淹没了真正有价值的安全信息，从大量孤立的单条事件中无法准确地发现全局性、整体性的安全威胁行为。

二、银行业信息安全一体化管理的总体思路

针对上述问题，笔者提出需要以一体化管理的思想统筹全行信息安全管理工作，通过研究全行信息安全一体化管理方案，形成一套有效的全行一体化管理及维护架构，实现安全管理工作的标准化、流程化、平台化、智能化，以及策略管理一体化。在全行范围实现信息安全的一体化管理，具体从 “流程、人员、技术”三个方面的一体化管理，即：战略上要实行统一的安全管理流程和系统维护标准；战术上要以人为本，明确总、分各级人员职能分工，提升人员安全意识和技术水平，建立通畅的沟通渠道；执行上要以技术体系作为基础，建立统一、完备的监控、策略、运维、需求管理机制，搭建智能、高效的信息安全一体化管理平台，从而夯实安全管理要求，提升整体防御能力（见图1）。

图1：信息安全一体化管理工作思路

三、银行业信息安全流程一体化管理

（一）制度建设一体化

俗话说“三分技术，七分管理”，任何技术措施只能起到增强信息安全防范的作用。只有管理到位，才能保障技术措施充分发挥作用。为此，需要借鉴ISO27001、ISO20000等安全管理体系，通过梳理各项安全管理工作流程，明确总、分级各机构的安全管理职责，建立一套适用于银行内实际情况的标准制度体系，统一安全管理要求。制度体系建设过程中应注意以下两点：

1.制度的适用范围应覆盖全行各个机构，包括境内分行、境外机构、总行的直属机构、控股子公司等，避免出现安全管理工作各行其是、各自为政的局面。对于境外机构、控股子公司等因监管和行业原因造成的特殊管理要求，可通过例外报备方式进行管理。

2.制度的安全管理范畴要尽量全面，涉及的领域包括但不限于人员安全、服务器安全、终端安全、网络与通信安全、互联网访问安全、身份及权限控制安全、数据安全、安全监控与处置等，同时要保障总、分级机构贯穿一体，按照“集中管理、分级负责”的原则明确各级机构的工作内容，有效衔接跨层级、跨部门、跨领域之间的工作流程，避免出现安全管理盲点。

（二）技术标准一体化

需要将信息安全日常管理工作从经验型向标准化转变，针对各安全防护系统建立统一的信息安全技术规范、技术方案、技术维护手册和策略配置基线，同时结合各机构的实际管理情况不断加以完善，帮助各级技术人员明确日常安全管理的工作目标，掌握安全管理的工作方法。

此外，如果某个节点出现安全问题或受到攻击，有可能造成连锁反应、波及全行，因此对于在日常工作中发现的可能影响全行的安全问题或安全隐患，总行或全行集中管理部门应及时建立并发布相关的工作指引或工作提示，指导各机构避免出现类似问题，从而降低整体风险。

四、银行业信息安全人员一体化管理

（一）岗位条线一体化

需要建立总行、全行管理部门、各机构的信息安全条线管理机制，明确自上而下的责任管理人员和联系人员，建立信息安全条线联系人机制，通过专业条线组织安全管理工作，强化信息安全一体化管理。同时在专业条线下设置信息安全专业岗位，负责实施信息安全管理工作。安全条线分工说明如下：

1.总行信息安全管理条线，主要负责全行信息安全总体管理，其主要职责包括：

① 对全行信息安全管理工作进行规划；

② 对全行日常信息安全管理工作进行指导、督促和考核；③ 督促信息安全管理需求的落实；

④ 协调落实信息安全防护系统需要的各类资源。

2.全行信息安全管理条线，建议可由各银行科技业务核心部门——数据中心承担，直线管理各机构的信息安全工作，包括下达工作任务、组织数据上报等日常运维管理工作。其主要职责包括：

① 制定全行信息安全管理工作职责和流程；

② 全行安全防护系统管理策略发布以及集中化的策略部署；

③ 对全行信息安全管理工作进行指导、督促、分析并上报总行；

④ 全行信息安全管理需求的汇总提交。

3.各机构信息安全管理条线，负责辖内信息安全统一管理，组织本单位相关部门落实信息安全防护系统维护和运维，其主要职责包括：

① 制定本单位安全制度及工作流程执行；

② 本单位信息安全防护系统的日常运维和定期自查；

③ 分析本单位的信息安全管理工作情况并上报；

④ 组织相关系统安全管理需求的提交。

4.信息安全管理岗位可分为安全管理岗、系统运行岗和系统维护岗三类岗位（见图二）。各岗位可以根据实际情况分散在不同部门的情况，其中，系统维护岗和系统运行岗均可按照每个信息安全防护系统单独设置，前者主要承担系统技术层面运行维护（包括系统推广、版本升级、策略部署等），确保系统持续可靠运行；后者主要要承担系统日常运行管理、各项指标的监控、检查和分析、各信息安全防护系统中关键数据的统计及报送。

图二：安全条线一体化管理架构图

（二） 人员培养一体化

人是信息安全管理中最重要的要素，信息安全人员的素养和能力直接关系到一个机构信息安全的防护水平。由于经济发展不平衡，银行各机构安全管理人员的配备、技术水平参差不齐。如果在某个机构的某个节点因安全人员防护措施落实不当，一旦被不法分子作为突破口利用，从而波及全部机构，其后果将不堪设想。因此，需要不断提升行内安全管理人员的技术水平，培养行内所有人员的信息安全意识。可从以下几方面开展工作：

一是建立专业化的信息安全管理人员队伍，特别是需要一批即熟悉开放平台、网络等专业又熟悉信息安全专业技术的人员。建议从各专业有经验的人员中选拔，并通过正规的信息安全专业培训。

二是建立信息安全专业化培养机制，通过定期培训和考核认证方式培养信息安全管理人员，培训内容可包括专业的信息安全技能、信息安全意识、信息安全趋势和发展等方面，促使信息安全专业人员技能不断更新，安全管理水平不断提高。考核认证方面，除业界公认的相关专业认证以外，还可以对行内的信息安全专业内容进行单独考核。

三是建立公共聊天群、信息安全沟通园地，以及定期组织召开全行信息安全沟通交流会，促进行内信息安全人员沟通交流。充分发挥各信息安全管理人员的才智和能力，分享其优秀管理经验给其他机构学习，相互促进，提高行内整体信息安全防护水平。特别注意是对人员配备短缺、技术薄弱的机构，需要加强沟通和交流。充分了解其困难，开展针对性的指导和帮助，从而减少整个行内信息安全管理上的短板。

五、银行业信息安全技术一体化管理

众所周知，信息安全技术要按照“事前预防、事中监控、事后审计”的原则进行规划和部署。安全系统部署到位后，对系统的策略配置才是起到防护作用的关键，如防病毒系统的扫描策略配置、入侵检测系统的事件监测策略配置等，此谓“事前预防”；对安全设备采集的信息进行监控，及时发现风险进行干预，此谓“事中监控”；在日常运维工作中，对各类安全审计日志及安全系统部署情况进行检查分析，发现其中的薄弱点后加以改进，此谓“事后审计”。

信息安全技术一体化管理，就是通过有效推进上述3项工作的各个环节，从而使信息安全工作更加全面化、自动化和智能化，具体可以围绕策略管理、监控处置、运维分析和需求管理这4个方面实现技术的一体化管理。

（一）策略管理一体化

即制定信息安全策略集中管理机制，实现各系统的集中策略管理。在信息安全系统投产前，将策略一体化管理作为系统必要组件，通过自动化手段落实策略集中管理，建立安全策略专用策略管理用户，上收下属机构策略修改权限，禁止各机构私自修改安全管理策略。在策略技术部署自动化工具落实前，可由全行信息安全管理部门通过定期检查方式，来保证策略准确性。

策略自动化管理工具建议分为两个管理模块，一是策略制定和发布管理模块，该模块实现新策略的生成发布，老策略的调整和废弃，同时通过各类安全系统的接口，实现策略自动下发功能，并支持策略例外管理；二是策略运行管理模块，该模块自动收集全行各类安全系统的信息安全策略，并结合策略例外进行安全策略一致性检查。

（二）监控处置一体化

即汇聚各个安全系统、各个机构的告警事件，集中到统一的监控平台，根据不同层级的人员设定相关监控视图便于各机构人员处理，同时要建立完善的安全预警和灵活多样的安全应急响应体系，提高监控事件的处置效率。

首先要制定完备的监控策略，信息安全监控内容主要分为内外两个部分。对外部的监控主要有恶意代码攻击、DDOS拒绝服务式攻击、假冒网站等；对内部的监控主要有用户异常登录和操作、病毒事件、恶意代码攻击事件、运行非授权软件、敏感数据外泄、未安装必装软件或补丁等。对于已经明确的简单告警事件直接发送集中监控管理平台；对于复杂的安全事件则是经过关联分析和复杂事件模块处理后，产生新的事件再发送集中监控平台。所有的告警事件需要通过集中监控平台统一展现。

其次要制定事件处置规则，对于每个告警事件要制定明确的处理优先级别，并尽量使用自动化工具进行处理，提高效率，如对外部恶意代码的攻击进行IP地址自动封禁、对DDOS攻击事件进行自动牵引和清理等。对于未能完成处理的事件，要通过自动升级提醒相关人员关注后处理。监控处理流程方面，可由全行监控管理员统一建立事件单后流转到各机构相关安全管理员处理，各机构在接到事件单完成处理后将事件单流转到全行安全管理员进行确认，从而实现总-分-总的闭环管理。

最后要根据使用对象的不同，制定安全监控视图。视图主要分为四类，一是全行整体安全运维监控视图，便于总行安全管理员整体把握监控情况，并参与决策；二是分行安全运维监控视图，便于各机构了解本单位的安全监控情况和参与决策；三是安全事件分析视图，便于安全二线支持人员掌握相关事件的具体细节，快速有效地为一线支持人员提供支持；四是告警事件列表视图，便于安全一线监控人员及时处理告警事件。

（三）运维分析一体化

信息安全日常运维工作主要是对海量的日志、报表进行检查、分析，具有繁琐、重复、技术性强的特点，只有建立起一套智能、高效、自动化程度较高的运维集中管理平台，才能帮助安全管理员从繁琐的运维事项中解放出来，从而将更多的精力投入到挖掘更深层次的风险中。

自动化运维集中管理平台应综合监控事件、分析诊断、运维操作、安装部署等模块，一方面通过与信息安全专业系统、工具及其他相关专业系统接口，实现集中运维和展现。另一方面对收集的日志信息和事件信息进行数据集中，通过大数据挖掘和关联分析，发现潜在的风险，帮助各机构提高安全防护能力。

该平台为各级信息安全维护人员日常安全管理工作的统一入口和集中管理工具，集中管理平台视图可按照不同层级分别设置。各机构视图可对其管辖的信息安全系统运行情况及风险进行集中展现，提醒运维人员进行防护。全行信息安全维护人员可通过集中展现视图了解全行目前的信息安全事件风险总体情况以及各机构的分析处理结果，便于对全行信息安全进行管控。

（四）需求管理一体化

建立信息安全需求管理机制，统一管理行内信息安全管理需求，避免信息安全需求的多头管理和重复提交。具体工作可由信息安全条线中全行管理部门组织各机构，从行内安全管理要求和日常管理工作需要出发，提出相关改进需求，内容可包括提升信息安全检测覆盖面、自动化采集、实时告警展现、联动处置等。需求由全行管理部门整理成需求清单后，组织信息安全需求提出人员、全行管理员、系统研发人员等共同对需求的可行性和版本计划进行评估，对需求的实现情况进行跟踪，推动需求实现，促进全行信息安全管理水平的提高。

综上所述，构建信息安全一体化管理体系是一个整体的、系统的工程，不是简单的“技术积木”。它是流程、人员、技术的有机结合体。管理者必须以管理流程为主、人员管理和技术防范相结合，逐级建立多层次的安全管理体系，横向到边、纵向到底，从而实现一体化安全管理。

作者单位：中国工商银行股份有限公司数据中心（上海）