借鉴P2DR模型优化基层外汇局信息安全管理研究
2020-10-21武蓉蓉
武蓉蓉
摘要:近年来,伴随着云计算、大数据、人工智能等各种新技术、新模式、新业态的不断涌现,各类信息安全问题日益凸显,对传统的科技管理方式提出新的挑战。2017 年6 月,《中华人民共和国网络安全法》(以下简称《网络安全法》)正式实施,也对信息安全工作提出了更高要求。很多基层外汇管理局也充分认识到新形势下信息安全工作的重要性和复杂性,近年来进行了大量有益的探索和实践。但是由于信息安全工作头绪多、管理力量不集中,导致缺乏系统化、规范化管理。本文在归纳总结基层外汇管理局信息安全管理中存在问题的基础上,借鉴了美国ISS公司提出的P2DR(Policy Protection Detection Response)模型管理思路,探讨了对基层外汇局信息安全管理工作的优化路径,对系统化、规范化管理具有一定指导和借鉴意义。
关键词:P2DR模型 基层外汇管理局 信息安全
随着云计算、大数据、人工智能等各种新技术、新模式、新业态的不断涌现,以及国务院“放管服”改革的深入推进,信息安全呈现出“跨地区、跨行业、跨部门”特点,涉及范围越来越广,众多因素和变量均处于“不确定”状态,使得信息安全管理日趋复杂。党的十八大以来,以习近平同志为核心的党中央高度重视网络安全和信息化工作,党的十九大报告更是对做好网络安全和信息化工作提出了新要求。很多基层外汇管理局(以下简称基层外汇局)充分认识到新形势下信息安全工作的重要性和复杂性,近年来进行了大量有益的探索和实践,但是由于信息安全工作头绪多、管理力量不集中,导致缺乏系统化、规范化管理,与新形势下信息安全管理要求尚有差距。
一、基层外汇局信息安全管理存在的问题
(一)缺乏系统化的信息安全管理体系
相对于日益严峻的信息安全形势,基层外汇局信息安全管理工作仍停留在传统的“被动式、粗放型”管理模式,缺乏系统性、全局性、标准化的管理体系。安全管理制度建设落后于信息化发展水平,安全管理手段自动化程度低、适应性差。
(二)存在“重技术、轻管理”现象
受传统观念的影响,大部分基层外汇局简单认为信息安全是一种单纯的技术问题,只是技术部门的事情,存在着过分依赖技术、轻视管理的现象,缺乏部门间协作管理。
(三)预警处置能力有待加强
基层外汇局风险预警意识薄弱,风险识别、评估、检测手段和方法不充足,主动预防网络安全威胁的人员不足,快速协调处置安全事件能力和经验相对薄弱。
(四)缺乏“全生命周期”信息安全管理
近年来,部分基层外汇局探索研发小型应用系统,以提升科技服務水平,但是未将信息安全管理贯穿于信息系统需求分析、系统设计、研发、测试、上线、运维和退出等全生命周期中,存在“重开发、重应用、轻安全”的问题,容易产生信息安全风险隐患。
(五)对外信息安全管理有待加强
随着跨部门、跨地区、跨行业间系统与数据的互联共享,以及外包形式的生产管理和技术支持模式日趋普遍化,对加强信息安全、防止数据泄露等管理要求越来越高,但基层外汇局对外部的信息安全管理却相对薄弱。
二、P2DR模型的管理理念
P2DR(Policy Protection Detection Response)模型是一种动态安全管理模型,由美国ISS公司提出,主要包含四部分:Policy (安全策略)、Protection(防护)、 Detection(检测)、 Response(响应),其中引入了Time(时间)概念,防护、检测和响应组成了一个较完整的、动态的安全循环,在安全策略的指导下保证信息安全。
(一)安全策略
安全策略是模型的核心,主要通过制定一系列的安全管理制度、安全管理策略,明确信息安全管理的主要目的、管理力度,权衡安全性与便利性、运行性能等。
(二)防护
防护是安全保障体系的“第一道防线”,是模型的重要组成部分,一方面通过安全管理技术和方法来预防安全事件发生,防止恶意威胁;另一方面,通过信息安全培训教育,提升操作人员安全意识和防范技能,防止意外威胁。
(三)检测
检测是整个模型动态性的体现,通过持续地监测网络和信息系统,主动发现新的风险点和薄弱点,及时做出循环反馈,从而持续优化模型的防御能力,与防护系统形成互补,成为安全保障体系的“第二道防线”。
(四)响应
当发现安全漏洞或发生信息安全事件时,通过启动应急响应或恢复处置,及时解决信息安全事件,将系统风险降到最低。
(五)时间
P2DR模型中引入时间概念来衡量系统的安全性和安全防护能力。模式认为信息安全的所有活动,包括攻击、防护、检测和响应都有时间成本。模型假设防护、检测和响应时间分别为Pt、Dt、Rt,系统安全条件为:Pt>Dt+Rt。即“及时的监测和响应的系统就是安全的”。
三、借鉴P2DR思路优化基层外汇局信息安全管理
基层外汇局可以借鉴P2DR模型的管理思路,从安全策略、防护、检测和响应四方面加强辖区信息安全管理工作,构筑全局性、系统性、标准化的信息安全管理体系。
(一)策略:完善制度建设,确保操作有章可循
信息安全管理制度是安全防护、检测和响应环节的重要依据,是信息安全管理工作的基础,主要包括信息安全规章制度和操作规范策略。基层外汇局应首先根据国际、国内网络安全态势、外汇改革不同阶段的外汇业务监管需求,确定信息安全管理目标、标准和水平。其次,依照“查漏补缺、逐步优化”的原则,开展制度建立、修订和完善工作,促进信息安全管理由之前的经验式、粗放型管理向科学化、规范化、专业化方向发展。制定涵盖标准化管理、网络运维、计算机安全管理、数据安全保护、人员管理、场地管理、外包管理等信息安全管理规定,确保内容全覆盖。同时,针对自建信息系统及网络系统,建立从立项、建设、上线、运行、下线等全生命周期管理制度和实施规范,逐步消除风险隐患。三是邀请第三方机构,对制度的合理性和可操作性进行评审,确保规章制度、操作规程切实有效。
(二)防护:筑牢安全防护体系,提升防护能力
“三分技术,七分管理”,基层外汇局应建立以“技术防范为核心,管理防范为支持,意识防范为前提”的安全防护体系,提高信息系统的安全防护能力。一是构建网络设备防护体系。严格依据安全等级保护要求,在网络设备上设置安全访问策略,满足多层次网络访问需求,提升网络安全保护水平。二是强化身份认证管理。身份认证是最基础的安全管理,基础外汇局应建立以制度规范为保障,以CA数字证书和加密签名等技术手段为支撑的身份认证体系,确保用户行为的可追踪。三是强化客户端安全管理。通过安装“一体化安全终端”、非法外联、补丁分发等安全软件,规范用户管理要求,防范客户端安全风险。四是加强基础场地管理。对重要网络设施存放的物理环境,配备门禁、环境监测、消防、安全保卫等防护措施,防范安全风险。五是加强人员安全教育。强化对业务人员的安全教育、技术培训,使得业务人员能够正确使用系统,防止意外威胁。
(三)检测:强化信息安全检测,及时发觉安全隐患
检测作为信息安全管理体系“第二道防线”,主要依托技术手段、安全审计等措施,分析信息安全状态,及时发现新的威胁、风险前兆和系统薄弱点。基层外汇局可以从监督检查体系、安全检查评估和应急演练三方面强化检测能力。一是尝试建立监督检查体系,以信息安全风险管理为出发点,结合廉政风险防控和信息化审计,建立覆盖信息系统立项、建设、测试、上线、运行、下线等全生命周期以及日常运维、网络安全的检查流程,形成定期检查、监督整改的良性循环,提高预警能力。二是制定信息安全评估指标。结合辖区实际情况,制定科学合理的评价标准,通过年度信息安全检查、内部审计,定期评估组织机构设置、信息安全管理制度、信息安全管理技术等方面的合理性和有效性,及时发现排查风险隐患和管理漏洞。三是对不同等级的信息系统和网络制定不同的应急演练预案,进一步明确相关机构和人员的职责;组织全方位、多角度的应急演练,及时评估应急培训效果,同时,要针对突发情况制定響应的安全处置策略,提高应急响应能力。
(四)响应:强化安全管理队伍建设,提升响应能力
响应是对检测发现的漏洞或事件及时处置,将安全风险降到最低状态,而人员是响应的根本保障。基层外汇局一方面应注重自身科技队伍能力建设,树立正确的人才培养观,完善人才培养机制,从信息安全保障、信息安全管理、信息安全法规、政策与标准知识等方面加强人员的信息安全专业人才培养,做好突发事件时人员和技术储备。另一方面充分利用外部技术力量提升响应能力,畅通与设备技术支持部门的合作渠道,加强运维保障合作,为复杂应急处理提供技术支持。三是探索引入专业安全服务机构,协助处置安全风险和安全整改问题,为网络和信息安全、生产系统安全保驾护航。
作者单位:国家外汇管理局宁夏分局