APP下载

基于“五位一体”的网络安全规范化管理实践

2018-08-11◆刘

网络安全技术与应用 2018年8期
关键词:五位一体人民银行信息安全

◆刘 宇



基于“五位一体”的网络安全规范化管理实践

◆刘 宇

(中国人民银行成都分行 四川 610041)

为了解决单位内部和行业之间网络安全管理和指导中存在的诸如管理分散、效率低下等问题,人民银行成都分行创新建设了以“统一展示、集中管理、共享数据、量化考核、高效沟通”为主要诉求的“五位一体”安全管理平台,平台实现了对内外部安全监控数据和管理文档的统一采集、统一分析和统一展现,实现了日常安全管理工作规范化高效管理。

五位一体;网络安全;规范化;安全管理平台

0 引言

网络安全管理是科技管理工作的立基之本,也是信息化建设可持续发展的有力保障。近年来,人民银行以“规范先行、架构管控、技术管理、加强协调”为主线,坚持安全与发展并重的原则,通过不断完善网络安全基础设施建设,规范网络安全管理制度,建立健全网络安全保障体系,有效提升了网络安全综合保障水平。

1 安全管理现状及困境

人民银行成都分行(以下简称“人行成都分行”)在网络安全管理中坚持技术和管理两手抓,近年来相继建设并升级了防病毒、防入侵、防外联、补丁分发、网络准入、漏洞扫描和流量分析等安全管理控制系统,同时组织开展了全省人民银行信息系统等级保护、科技专项治理、安全基线检查、应急能力评估等管理工作,并配合内审部门开展了科技综合管理审计、信息技术审计等,通过一系列专项工作进一步加强了安全技术保障,完善了安全管理体系。人行成都分行在做好自身安全管理工作的同时,还肩负着指导、协调辖内金融业机构网络安全工作的职责。比如建立了辖内银行业信息安全协调机制,制定了《四川省银行业金融机构信息安全管理指引》,督促各银行机构每年做好等级保护、风险评估、应急演练等工作,同时与相关管理部门形成了跨部门的协调机制和工作方案,进一步强化了对全省银行业机构的指导与服务,切实提高了四川省金融网络安全保障能力。

但是在日常的安全管理工作中,仍然存在一些亟待解决的问题:一是已有的安全系统均各自独立、缺乏整合联动,安全管理员每天需要逐一登录系统查看监控报警情况,管理效率低下,容易发生遗漏。二是安全基础管理工作繁杂而琐碎,大部分日常管理文档材料的处理、汇总、统计、归档等流程都需人工处理,消耗了大量人力和时间,工作质量和工作效率低下。比如一个地市业务人员制作数字证书需要亲自将纸质的申请表分别提交到分行业务部门和科技部门审核,并现场制作领取,至少会消耗一整天时间。三是定期开展的网络安全日常工作没有实现自动化、电子化管理,难以做到深度、立体的综合分析,整体上也缺乏有效的横向联动和历史回溯,工作成果的信息共享程度较低,不能实现安全管理数据深层次利用。四是对于辖内各单位工作完成情况及完成质量缺乏有效记录,考核时难免会出现漏评、错评,并通过印象或记忆评分的情况,丧失了考核的权威性和客观性。五是缺乏高效率的信息通报、工作沟通的渠道,电话、微信可以进行快速和简单的交流,但是正式的事件通报、工作部署、意见收集等只能通过内部邮件沟通,反馈时效、处理效率都大打折扣。

2 解决办法及实现方式

针对网络安全管理中的痛点,人行成都分行以“规范管理、提升效率”为出发点,以“统一展示、集中管理、共享数据、量化考核、高效沟通”为切入点,建设了覆盖全省人民银行及银行业金融机构的信息安全综合管理平台(以下简称“安全管理平台”),实现了人行成都分行安全管理各项工作智能化和有序化,切实提升了网络安全标准化和规范化管理。系统建设基于J2EE架构,使用人员通过web方式登录访问系统。系统主要功能模块及实现方式如图1所示。

图1 人行成都分行安全管理平台架构及功能图

2.1 信息安全系统管理

该模块包括安全系统监控统一展示、病毒处理、入侵事件处理、数字证书管理等八个子模块。主要功能一是系统定时从各安全系统抽取数据,按照指定方式展示在统一监控界面中,同时可对病毒事件、入侵事件、非法外联事件等按地区、时间和类别进行统计,并提供重大安全事件处理反馈功能。二是提供数字证书电子化申请、审批、归档、统计汇总等功能。三是完成漏洞扫描、移动介质登记等其他安全系统文档资料归档。

2.2 信息安全工作管理

该模块分为人民银行信息安全工作管理和金融机构信息安全管理。主要功能如下:

一是可构建动态管理的等级保护、安全基线、风险评估等多级指标库并要求指定单位开展检查自评,可自动汇总填报内容并按要求展示;可显示某单位每月、每季、每年的指标变化情况,以及不同单位对比情况;还可汇总收集全省人民银行应急演练、安全检查、风险排查、信息报送等日常安全报告和文档。

二是银行机构可动态维护本单位基本信息,报送应急演练、等级保护、自主可控、外包管理、重大事项等工作报告和重要材料;并按照风险评估规范数据库模板,每年按此模板开展两次风险评估并填报相关内容。

三是系统自动汇总收集安全系统和安全工作中发现的问题、隐患、风险,并按照类型、时间、单位、危险等级等进行分类统计和图形展示。四是所有模块均提供了统计报送完成情况的功能,对没有按时完成任务的单位,将自动记录到考核登记簿中。五是可建立工作办理管理流程和报告模块,统一发布工作安排并收集反馈情况。

2.3 信息安全信息发布

该模块包括信息安全规章制度管理、信息安全知识库管理、安全设备资产管理等五个子模块。规章制度库包括信息安全标准库、人民银行信息安全制度库、金融业信息安全制度库。知识库包括案例库、安全风险隐患库、技术防护库、信息安全学习库等。

3 “五位一体”安全管理平台建设成效

安全管理平台实现了四川省人民银行和银行业金融机构安全管理全覆盖,目前接入和使用系统的单位有66家,其中四川人民银行市州分支机构21家,银行业金融机构一级分行和地方性银行机构共45家,切实有效提升了网络安全规范化管理水平。

3.1 高效整合安全系统

系统自动采集和分析单独部署的入侵检测、非法外联、补丁分发、病毒防治等安全系统的安全报警信息和日志信息,形成多种统计汇总图表和量化分析图。每日安全管理员直接从安全管理平台即可查看所有安全管理系统的监控情况,打破了安全系统各自为政的壁垒,构造了安全监控整体视角,实现了“一点登录、整体监控、集中展示”的安全运营平台功能。另外对于移动存储、数字证书等重要介质,通过安全管理平台进行统一申请、审批和撤销,实现了重要介质全生命周期管理。

3.2 集中处理安全事务

安全管理平台大大简化了网络安全管理中日常的繁杂工作,实现了等级保护、风险评估、安全基线、安全检查、应急演练、信息报送等各项工作的标准化、自动化、无纸化处理,并且提供自动统计和丰富展示的功能,实现了各类工作文档的集中管理,大大减轻了后期汇总分析的压力,使得管理员能够把精力聚焦在分析问题和解决问题上,切实提升了安全管理水平和效率。

3.3 跟踪分析共享数据

安全管理平台不仅抓取了安全系统产生的报警及日志数据,还自动收集了各单位信息安全基线自查、现场检查、应急演练、等级保护、风险评估等各项工作中的反馈情况和问题记录,并且还提供手工录入功能,可以将其他途径(比如审计)收集的问题手工登记到系统中。通过指定方式比较分析不同单位、不同地区、不同类型的风险情况,可总体把握系统内及行业内的安全管理状况,追踪责任单位的问题整改进展以及采取的风险控制措施,为进一步分析决策提供依据。

3.4 直观量化考核结果

工作任务通过安全管理平台发布,考核时可直接查看各单位历史工作完成质量以及完成时效,特别是自动收集汇总了各项工作迟报、漏报、错报等情况,非常便于管理者直接依据统计结果考核打分。同时,各单位每年发生的安全事件数量、问题整改率、漏洞修补率、终端异常率等均可通过安全管理平台汇总统计,避免了通过经验、印象进行考核打分的情况,有效提高了安全工作考核的准确性和有效性。

3.5 显著提升沟通效率

一是大大提升了日常监测发现问题的整改效率。比如对于发生的安全事件,可以一键生成事件处理工单派发到指定单位,督促和指导责任人员即刻开展排查和处置。

二是创新实现了数字证书全流程的电子化管理,解决了纸质文件审批、签收传递周期冗长、效率低下的问题,提高了证书申请审批时效,目前通过安全管理平台申请、审批到领取证书,最快15分钟内即可完成。

三是将各项制度规范、运维手册统一共享,便于管理人员及岗位新人查阅,提升了学习和解决问题的效率。

四是克服了人民银行与辖内商业银行沟通协调不畅的问题。比如可以随时向商业银行发送信息公告、风险提示、工作要求等,商业银行也可按照指定的格式报送等级保护、风险评估、应急演练和安全年报等,还可随时向监管部门报送单位基本情况变更、重大事项报告、日常工作报告、自主可控和外包服务等情况。

所以安全管理平台极大地提升了人行成都分行对全省银行业机构的指导与服务,为加强四川省银行业信息安全协调机制提供了有力保障。

4 结束语

人行成都通过建立“统一展示、集中管理、共享数据、量化考核、高效沟通”五位一体的安全管理平台,有效规范了网络安全日常管理,丰富完善了网络安全管理体系,充分调动了各级机构的工作积极性,切实保障了各项管理措施得到有效落实,在实际工作取得了良好成效。

[1]王永红.切实加强金融信息安全管理 提升金融信息安全保障水平[J].中国信息安全,2013.

[2]陈小娟.我国银行信息安全风险管理体系研究[D].江苏:苏州大学,2013.

[3]JR/T 0071—2012.金融行业信息系统信息安全等级保护实施指引[S].中国人民银行,2012.

猜你喜欢

五位一体人民银行信息安全
2020年河北省人民银行系统机构、人员情况一览表
2019年河北省人民银行系统机构、人员情况一览表
信息安全专业人才培养探索与实践
保护信息安全要滴水不漏
高校信息安全防护
搭建“五位一体”多功能培训平台
《工业控制系统信息安全》——ICSISIA联盟专刊