網(wǎng)絡(luò)安全規(guī)范化管理現(xiàn)況與實(shí)踐論文
摘要:為了解決單位內(nèi)部和行業(yè)之間網(wǎng)絡(luò)安全管理和指導(dǎo)中存在的諸如管理分散、效率低下等問(wèn)題,人民銀行成都分行創(chuàng)新建設(shè)了以“統(tǒng)一展示、集中管理、共享數(shù)據(jù)、量化考核、高效溝通”為主要訴求的“五位一體”安全管理平臺(tái),平臺(tái)實(shí)現(xiàn)了對(duì)內(nèi)外部安全監(jiān)控?cái)?shù)據(jù)和管理文檔的統(tǒng)一采集、統(tǒng)一分析和統(tǒng)一展現(xiàn),實(shí)現(xiàn)了日常安全管理工作規(guī)范化高效管理。
關(guān)鍵詞:五位一體;網(wǎng)絡(luò)安全;規(guī)范化;安全管理平臺(tái)
引言
網(wǎng)絡(luò)安全管理是科技管理工作的立基之本,也是信息化建設(shè)可持續(xù)發(fā)展的有力保障。近年來(lái),人民銀行以“規(guī)范先行、架構(gòu)管控、技術(shù)管理、加強(qiáng)協(xié)調(diào)”為主線(xiàn),堅(jiān)持安全與發(fā)展并重的原則,通過(guò)不斷完善網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè),規(guī)范網(wǎng)絡(luò)安全管理制度,建立健全網(wǎng)絡(luò)安全保障體系,有效提升了網(wǎng)絡(luò)安全綜合保障水平。
1安全管理現(xiàn)狀及困境
人民銀行成都分行(以下簡(jiǎn)稱(chēng)“人行成都分行”)在網(wǎng)絡(luò)安全管理中堅(jiān)持技術(shù)和管理兩手抓,近年來(lái)相繼建設(shè)并升級(jí)了防病毒、防入侵、防外聯(lián)、補(bǔ)丁分發(fā)、網(wǎng)絡(luò)準(zhǔn)入、漏洞掃描和流量分析等安全管理控制系統(tǒng),同時(shí)組織開(kāi)展了全省人民銀行信息系統(tǒng)等級(jí)保護(hù)、科技專(zhuān)項(xiàng)治理、安全基線(xiàn)檢查、應(yīng)急能力評(píng)估等管理工作,并配合內(nèi)審部門(mén)開(kāi)展了科技綜合管理審計(jì)、信息技術(shù)審計(jì)等,通過(guò)一系列專(zhuān)項(xiàng)工作進(jìn)一步加強(qiáng)了安全技術(shù)保障,完善了安全管理體系。人行成都分行在做好自身安全管理工作的同時(shí),還肩負(fù)著指導(dǎo)、協(xié)調(diào)轄內(nèi)金融業(yè)機(jī)構(gòu)網(wǎng)絡(luò)安全工作的職責(zé)。比如建立了轄內(nèi)銀行業(yè)信息安全協(xié)調(diào)機(jī)制,制定了《四川省銀行業(yè)金融機(jī)構(gòu)信息安全管理指引》,督促各銀行機(jī)構(gòu)每年做好等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、應(yīng)急演練等工作,同時(shí)與相關(guān)管理部門(mén)形成了跨部門(mén)的協(xié)調(diào)機(jī)制和工作方案,進(jìn)一步強(qiáng)化了對(duì)全省銀行業(yè)機(jī)構(gòu)的指導(dǎo)與服務(wù),切實(shí)提高了四川省金融網(wǎng)絡(luò)安全保障能力。但是在日常的安全管理工作中,仍然存在一些亟待解決的問(wèn)題:一是已有的安全系統(tǒng)均各自獨(dú)立、缺乏整合聯(lián)動(dòng),安全管理員每天需要逐一登錄系統(tǒng)查看監(jiān)控報(bào)警情況,管理效率低下,容易發(fā)生遺漏。二是安全基礎(chǔ)管理工作繁雜而瑣碎,大部分日常管理文檔材料的處理、匯總、統(tǒng)計(jì)、歸檔等流程都需人工處理,消耗了大量人力和時(shí)間,工作質(zhì)量和工作效率低下。比如一個(gè)地市業(yè)務(wù)人員制作數(shù)字證書(shū)需要親自將紙質(zhì)的申請(qǐng)表分別提交到分行業(yè)務(wù)部門(mén)和科技部門(mén)審核,并現(xiàn)場(chǎng)制作領(lǐng)取,至少會(huì)消耗一整天時(shí)間。三是定期開(kāi)展的網(wǎng)絡(luò)安全日常工作沒(méi)有實(shí)現(xiàn)自動(dòng)化、電子化管理,難以做到深度、立體的綜合分析,整體上也缺乏有效的橫向聯(lián)動(dòng)和歷史回溯,工作成果的信息共享程度較低,不能實(shí)現(xiàn)安全管理數(shù)據(jù)深層次利用。四是對(duì)于轄內(nèi)各單位工作完成情況及完成質(zhì)量缺乏有效記錄,考核時(shí)難免會(huì)出現(xiàn)漏評(píng)、錯(cuò)評(píng),并通過(guò)印象或記憶評(píng)分的情況,喪失了考核的權(quán)威性和客觀(guān)性。五是缺乏高效率的信息通報(bào)、工作溝通的渠道,電話(huà)、微信可以進(jìn)行快速和簡(jiǎn)單的交流,但是正式的事件通報(bào)、工作部署、意見(jiàn)收集等只能通過(guò)內(nèi)部郵件溝通,反饋時(shí)效、處理效率都大打折扣。
2解決辦法及實(shí)現(xiàn)方式
針對(duì)網(wǎng)絡(luò)安全管理中的痛點(diǎn),人行成都分行以“規(guī)范管理、提升效率”為出發(fā)點(diǎn),以“統(tǒng)一展示、集中管理、共享數(shù)據(jù)、量化考核、高效溝通”為切入點(diǎn),建設(shè)了覆蓋全省人民銀行及銀行業(yè)金融機(jī)構(gòu)的信息安全綜合管理平臺(tái)(以下簡(jiǎn)稱(chēng)“安全管理平臺(tái)”),實(shí)現(xiàn)了人行成都分行安全管理各項(xiàng)工作智能化和有序化,切實(shí)提升了網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化和規(guī)范化管理。系統(tǒng)建設(shè)基于J2EE架構(gòu),使用人員通過(guò)web方式登錄訪(fǎng)問(wèn)系統(tǒng)。系統(tǒng)主要功能模塊及實(shí)現(xiàn)方式如圖1所示。
2.1信息安全系統(tǒng)管理
該模塊包括安全系統(tǒng)監(jiān)控統(tǒng)一展示、病毒處理、入侵事件處理、數(shù)字證書(shū)管理等八個(gè)子模塊。主要功能一是系統(tǒng)定時(shí)從各安全系統(tǒng)抽取數(shù)據(jù),按照指定方式展示在統(tǒng)一監(jiān)控界面中,同時(shí)可對(duì)病毒事件、入侵事件、非法外聯(lián)事件等按地區(qū)、時(shí)間和類(lèi)別進(jìn)行統(tǒng)計(jì),并提供重大安全事件處理反饋功能。二是提供數(shù)字證書(shū)電子化申請(qǐng)、審批、歸檔、統(tǒng)計(jì)匯總等功能。三是完成漏洞掃描、移動(dòng)介質(zhì)登記等其他安全系統(tǒng)文檔資料歸檔。
2.2信息安全工作管理
該模塊分為人民銀行信息安全工作管理和金融機(jī)構(gòu)信息安全管理。主要功能如下:一是可構(gòu)建動(dòng)態(tài)管理的等級(jí)保護(hù)、安全基線(xiàn)、風(fēng)險(xiǎn)評(píng)估等多級(jí)指標(biāo)庫(kù)并要求指定單位開(kāi)展檢查自評(píng),可自動(dòng)匯總填報(bào)內(nèi)容并按要求展示;可顯示某單位每月、每季、每年的指標(biāo)變化情況,以及不同單位對(duì)比情況;還可匯總收集全省人民銀行應(yīng)急演練、安全檢查、風(fēng)險(xiǎn)排查、信息報(bào)送等日常安全報(bào)告和文檔。二是銀行機(jī)構(gòu)可動(dòng)態(tài)維護(hù)本單位基本信息,報(bào)送應(yīng)急演練、等級(jí)保護(hù)、自主可控、外包管理、重大事項(xiàng)等工作報(bào)告和重要材料;并按照風(fēng)險(xiǎn)評(píng)估規(guī)范數(shù)據(jù)庫(kù)模板,每年按此模板開(kāi)展兩次風(fēng)險(xiǎn)評(píng)估并填報(bào)相關(guān)內(nèi)容。三是系統(tǒng)自動(dòng)匯總收集安全系統(tǒng)和安全工作中發(fā)現(xiàn)的.問(wèn)題、隱患、風(fēng)險(xiǎn),并按照類(lèi)型、時(shí)間、單位、危險(xiǎn)等級(jí)等進(jìn)行分類(lèi)統(tǒng)計(jì)和圖形展示。四是所有模塊均提供了統(tǒng)計(jì)報(bào)送完成情況的功能,對(duì)沒(méi)有按時(shí)完成任務(wù)的單位,將自動(dòng)記錄到考核登記簿中。五是可建立工作辦理管理流程和報(bào)告模塊,統(tǒng)一發(fā)布工作安排并收集反饋情況。
2.3信息安全信息發(fā)布
該模塊包括信息安全規(guī)章制度管理、信息安全知識(shí)庫(kù)管理、安全設(shè)備資產(chǎn)管理等五個(gè)子模塊。規(guī)章制度庫(kù)包括信息安全標(biāo)準(zhǔn)庫(kù)、人民銀行信息安全制度庫(kù)、金融業(yè)信息安全制度庫(kù)。知識(shí)庫(kù)包括案例庫(kù)、安全風(fēng)險(xiǎn)隱患庫(kù)、技術(shù)防護(hù)庫(kù)、信息安全學(xué)習(xí)庫(kù)等。
3“五位一體”安全管理平臺(tái)建設(shè)成效
安全管理平臺(tái)實(shí)現(xiàn)了四川省人民銀行和銀行業(yè)金融機(jī)構(gòu)安全管理全覆蓋,目前接入和使用系統(tǒng)的單位有66家,其中四川人民銀行市州分支機(jī)構(gòu)21家,銀行業(yè)金融機(jī)構(gòu)一級(jí)分行和地方性銀行機(jī)構(gòu)共45家,切實(shí)有效提升了網(wǎng)絡(luò)安全規(guī)范化管理水平。
3.1高效整合安全系統(tǒng)
系統(tǒng)自動(dòng)采集和分析單獨(dú)部署的入侵檢測(cè)、非法外聯(lián)、補(bǔ)丁分發(fā)、病毒防治等安全系統(tǒng)的安全報(bào)警信息和日志信息,形成多種統(tǒng)計(jì)匯總圖表和量化分析圖。每日安全管理員直接從安全管理平臺(tái)即可查看所有安全管理系統(tǒng)的監(jiān)控情況,打破了安全系統(tǒng)各自為政的壁壘,構(gòu)造了安全監(jiān)控整體視角,實(shí)現(xiàn)了“一點(diǎn)登錄、整體監(jiān)控、集中展示”的安全運(yùn)營(yíng)平臺(tái)功能。另外對(duì)于移動(dòng)存儲(chǔ)、數(shù)字證書(shū)等重要介質(zhì),通過(guò)安全管理平臺(tái)進(jìn)行統(tǒng)一申請(qǐng)、審批和撤銷(xiāo),實(shí)現(xiàn)了重要介質(zhì)全生命周期管理。
3.2集中處理安全事務(wù)
安全管理平臺(tái)大大簡(jiǎn)化了網(wǎng)絡(luò)安全管理中日常的繁雜工作,實(shí)現(xiàn)了等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、安全基線(xiàn)、安全檢查、應(yīng)急演練、信息報(bào)送等各項(xiàng)工作的標(biāo)準(zhǔn)化、自動(dòng)化、無(wú)紙化處理,并且提供自動(dòng)統(tǒng)計(jì)和豐富展示的功能,實(shí)現(xiàn)了各類(lèi)工作文檔的集中管理,大大減輕了后期匯總分析的壓力,使得管理員能夠把精力聚焦在分析問(wèn)題和解決問(wèn)題上,切實(shí)提升了安全管理水平和效率。
3.3跟蹤分析共享數(shù)據(jù)
安全管理平臺(tái)不僅抓取了安全系統(tǒng)產(chǎn)生的報(bào)警及日志數(shù)據(jù),還自動(dòng)收集了各單位信息安全基線(xiàn)自查、現(xiàn)場(chǎng)檢查、應(yīng)急演練、等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估等各項(xiàng)工作中的反饋情況和問(wèn)題記錄,并且還提供手工錄入功能,可以將其他途徑(比如審計(jì))收集的問(wèn)題手工登記到系統(tǒng)中。通過(guò)指定方式比較分析不同單位、不同地區(qū)、不同類(lèi)型的風(fēng)險(xiǎn)情況,可總體把握系統(tǒng)內(nèi)及行業(yè)內(nèi)的安全管理狀況,追蹤責(zé)任單位的問(wèn)題整改進(jìn)展以及采取的風(fēng)險(xiǎn)控制措施,為進(jìn)一步分析決策提供依據(jù)。
3.4直觀(guān)量化考核結(jié)果
工作任務(wù)通過(guò)安全管理平臺(tái)發(fā)布,考核時(shí)可直接查看各單位歷史工作完成質(zhì)量以及完成時(shí)效,特別是自動(dòng)收集匯總了各項(xiàng)工作遲報(bào)、漏報(bào)、錯(cuò)報(bào)等情況,非常便于管理者直接依據(jù)統(tǒng)計(jì)結(jié)果考核打分。同時(shí),各單位每年發(fā)生的安全事件數(shù)量、問(wèn)題整改率、漏洞修補(bǔ)率、終端異常率等均可通過(guò)安全管理平臺(tái)匯總統(tǒng)計(jì),避免了通過(guò)經(jīng)驗(yàn)、印象進(jìn)行考核打分的情況,有效提高了安全工作考核的準(zhǔn)確性和有效性。
3.5顯著提升溝通效率
一是大大提升了日常監(jiān)測(cè)發(fā)現(xiàn)問(wèn)題的整改效率。比如對(duì)于發(fā)生的安全事件,可以一鍵生成事件處理工單派發(fā)到指定單位,督促和指導(dǎo)責(zé)任人員即刻開(kāi)展排查和處置。二是創(chuàng)新實(shí)現(xiàn)了數(shù)字證書(shū)全流程的電子化管理,解決了紙質(zhì)文件審批、簽收傳遞周期冗長(zhǎng)、效率低下的問(wèn)題,提高了證書(shū)申請(qǐng)審批時(shí)效,目前通過(guò)安全管理平臺(tái)申請(qǐng)、審批到領(lǐng)取證書(shū),最快15分鐘內(nèi)即可完成。三是將各項(xiàng)制度規(guī)范、運(yùn)維手冊(cè)統(tǒng)一共享,便于管理人員及崗位新人查閱,提升了學(xué)習(xí)和解決問(wèn)題的效率。四是克服了人民銀行與轄內(nèi)商業(yè)銀行溝通協(xié)調(diào)不暢的問(wèn)題。比如可以隨時(shí)向商業(yè)銀行發(fā)送信息公告、風(fēng)險(xiǎn)提示、工作要求等,商業(yè)銀行也可按照指定的格式報(bào)送等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、應(yīng)急演練和安全年報(bào)等,還可隨時(shí)向監(jiān)管部門(mén)報(bào)送單位基本情況變更、重大事項(xiàng)報(bào)告、日常工作報(bào)告、自主可控和外包服務(wù)等情況。所以安全管理平臺(tái)極大地提升了人行成都分行對(duì)全省銀行業(yè)機(jī)構(gòu)的指導(dǎo)與服務(wù),為加強(qiáng)四川省銀行業(yè)信息安全協(xié)調(diào)機(jī)制提供了有力保障。
4結(jié)束語(yǔ)
人行成都通過(guò)建立“統(tǒng)一展示、集中管理、共享數(shù)據(jù)、量化考核、高效溝通”五位一體的安全管理平臺(tái),有效規(guī)范了網(wǎng)絡(luò)安全日常管理,豐富完善了網(wǎng)絡(luò)安全管理體系,充分調(diào)動(dòng)了各級(jí)機(jī)構(gòu)的工作積極性,切實(shí)保障了各項(xiàng)管理措施得到有效落實(shí),在實(shí)際工作取得了良好成效。
參考文獻(xiàn):
[1]王永紅.切實(shí)加強(qiáng)金融信息安全管理提升金融信息安全保障水平[J].中國(guó)信息安全,2013.
[2]陳小娟.我國(guó)銀行信息安全風(fēng)險(xiǎn)管理體系研究[D].江蘇:蘇州大學(xué),2013.
[3]JR/T0071—2012.金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引[S].中國(guó)人民銀行,2012.
作者:劉宇 單位:中國(guó)人民銀行成都分行
【網(wǎng)絡(luò)安全規(guī)范化管理現(xiàn)況與實(shí)踐論文】相關(guān)文章:
勞動(dòng)用工規(guī)范化管理及實(shí)踐論文07-01
建設(shè)工程項(xiàng)目管理教學(xué)現(xiàn)況論文07-07
高職教師培訓(xùn)規(guī)范化管理的探索與實(shí)踐論文07-02
防雷工作規(guī)范化管理的探索論文06-30
網(wǎng)絡(luò)安全與管理論文04-01
網(wǎng)絡(luò)安全管理設(shè)計(jì)與實(shí)現(xiàn)論文07-03
土地收購(gòu)儲(chǔ)備規(guī)范化管理研究論文07-01
消毒供應(yīng)中心規(guī)范化管理措施論文07-01
家蠶上簇規(guī)范化管理探討論文06-29