今日頭條
官方微信
官方抖音
資訊頻道本文結合國家電投集團財務有限公司(以下簡稱“公司”)網(wǎng)絡安全工作實踐,以公司重要信息系統(tǒng)及數(shù)據(jù)為保障核心,提出由安全管理、安全技術、安全標準、安全工作體系組成的綜合立體化網(wǎng)絡安全保障防線,重點講解網(wǎng)絡安全管理體系的建設實踐,關于技術層面安全保障內容不在本文中描述。最后通過公司開展的一系列網(wǎng)絡安全攻防實踐,驗證此體系的科學性和有效性,可以為財務公司等非銀行金融機構提供參考和借鑒。
近些年來各類信息安全事件層出不窮、有組織有目的網(wǎng)絡攻擊事件已成為新常態(tài),這種情況在金融行業(yè)尤為突出。一方面由于財務公司屬于非銀行金融機構,本身具有“多金”的屬性;另一方面財務公司相對于商業(yè)銀行而言,其信息科技及安全防護能力與銀行相比存在差距,各類不法分子一直對這個行業(yè)虎視眈眈。公司經(jīng)過多年的建設及不斷完善,已基本構建了一套適合公司信息化發(fā)展相適應的安全保障體系,并在實際運營過程中取得了良好效果。
1 建設思路
1.1 網(wǎng)絡安全保障體系建設指導思想
公司網(wǎng)絡安全保障體系建設思想是以業(yè)務連續(xù)性運行保障為出發(fā)點,圍繞公司生產(chǎn)經(jīng)營過程中產(chǎn)生的重要數(shù)據(jù)以及重要信息系統(tǒng)為保護核心,堅持“安全第一、積極應對、預防為先、防護與演練并重”的總體方針,以技術手段為支撐,圍繞信息和信息系統(tǒng)全生命周期,逐步建立由安全管理組織、制度體系、安全運行體系和技術防護手段構成的具有公司特色自主創(chuàng)新和可拓展的安全體系,保障公司“國際化創(chuàng)新型一流財務公司”戰(zhàn)略的實施。
1.2 網(wǎng)絡安全保障體系建設依據(jù)
公司網(wǎng)絡安全保障體系的建設主要依據(jù)以下管理規(guī)定:
1、《信息安全等級保護管理辦法》(公通字)[2007]43號文發(fā)布,明確了信息安全等級化的相關政策標準和規(guī)范。
2、中國銀監(jiān)會發(fā)布《關于印發(fā)商業(yè)銀行業(yè)務連續(xù)性監(jiān)管指引的通知》(銀監(jiān)發(fā)[2011]104號),明確了各商業(yè)銀行及非銀行金融機構加強風險管理,提高業(yè)務連續(xù)性管理能力。
3、中國銀監(jiān)會發(fā)布《關于應用安全可控信息技術加強銀行網(wǎng)絡安全和信息化建設指導意見》(銀監(jiān)發(fā)[2014]39號),明確了建立應用安全可控的信息技術長效機制,不斷加強銀行業(yè)網(wǎng)絡安全保障能力。
4、《中華人民共和國網(wǎng)絡安全法》,明確各系統(tǒng)需按照信息安全等級保護標準建設。
5、《信息安全技術網(wǎng)絡等級保護基本要求》(等保2.0),明確了現(xiàn)階段網(wǎng)絡安全的新形勢、新變化及新技術、新應用的安全建設要求。
1.3 網(wǎng)絡安全保障體系建設原則
1、構建與公司信息化建設相適應的安全體系原則。應綜合考慮需求、風險與代價的平衡關系,構建與現(xiàn)階段信息化建設相適應的安全體系,杜絕安全設備的簡單冗余堆砌和不部署安全設備的情況。
2、分區(qū)分級原則。以應用系統(tǒng)為主導,科學劃分安全防護等級,并依據(jù)安全等級進行安全建設和管理。
3、技術與管理相結合原則。安全技術與運行管理機制有效結合。
4、授權最小化原則。只授予主體和客體必要的權限,而不要過度授權。
5、易操作性原則。
1.4 網(wǎng)絡安全保障體系建設步驟
構建網(wǎng)絡安全保障體系是一個長期疊加不斷優(yōu)化的過程。在此過程中,由于網(wǎng)絡安全技術難度相對高且更新快、安全廠商技術實現(xiàn)路徑差異大等特點,因此我們在安全體系建設上需要按照“統(tǒng)一規(guī)劃、分步實施、整合優(yōu)化”的步驟實施。一方面安全體系要統(tǒng)一規(guī)劃,分清輕重緩急、有重點的分步推進;另一方面則要根據(jù)公司業(yè)務及信息科技發(fā)展,適度調整規(guī)劃和建設重點,以應對新的安全隱患。
1.5 網(wǎng)絡安全保障體系構建思路
公司網(wǎng)絡安全保障體系構建思路主要采用信息系統(tǒng)安全等級保護差異化的思想,從安全管理、安全技術、安全標準、安全工作體系四個領域出發(fā)構建與公司信息化階段相匹配的安全保障體系。其中本文重點講解的網(wǎng)絡安全管理體系涵蓋組織機構、制度、人員、系統(tǒng)建設運維、安全風險評估、安全企業(yè)文化建設等7個方面。如圖1。 2 網(wǎng)絡安全管理體系 網(wǎng)絡安全建設三分靠技術,七分靠管理。公司網(wǎng)絡安全管理體系是網(wǎng)絡安全策略落地的關鍵和靈魂,主要涵蓋安全組織機構、安全制度體系、安全預警監(jiān)測、安全風險評估、安全建設與運維、安全應急及安全企業(yè)文化建設等七個部分。 2.1 建立統(tǒng)一的安全組織機構 建立有效的網(wǎng)絡安全組織機構、落實具體的安全職責是支撐網(wǎng)絡安全保障體系的基礎。網(wǎng)絡安全工作需要公司領導和全體員工的積極參與。公司建立了由決策層、管理層和執(zhí)行層構成的安全組織架構。并以發(fā)文的形式成立網(wǎng)絡安全與信息化領導小組、網(wǎng)絡安全與信息化辦公室、信息化應急處置工作組。公司總經(jīng)理擔任網(wǎng)絡安全與信息化領導小組組長并履行網(wǎng)絡安全第一責任人職責,公司所有部門負責人擔任信息化領導小組組員。網(wǎng)絡安全與信息化辦公室掛靠信息管理部。信息化應急處置工作組下設信息安全專崗并配備專人,同時在各個部門設立信息安全應急聯(lián)系人。 2.2 層層壓實網(wǎng)絡安全責任 網(wǎng)絡安全要健康發(fā)展,責任擔當首當其沖。公司在制度中明確了安全責任不能外包,嚴格按照“誰主管誰負責,誰運行誰負責,誰使用誰負責”的原則,逐級落實網(wǎng)絡安全責任并采用簽訂網(wǎng)絡安全責任書的形式予以明確。在監(jiān)管層面,由公司主管網(wǎng)絡安全的領導與監(jiān)管機構簽訂網(wǎng)絡安全責任書;在集團層面,公司網(wǎng)絡安全工作指標納入集團公司年度考核范圍,實行一票否決制。在公司層面,信息化管理部門作為網(wǎng)絡安全執(zhí)行部門與公司簽訂網(wǎng)絡安全責任狀;在員工層面,針對信息化專業(yè)人員和外包服務人員簽訂網(wǎng)絡安全責任書。 2.3 制定網(wǎng)絡安全制度體系 建立覆蓋機房、網(wǎng)絡、信息化資產(chǎn)、信息安全、運行維護、服務外包等內容的安全管理制度體系,涵蓋從信息系統(tǒng)規(guī)劃到運維全生命周期管理。在安全專項制度中明確了信息安全建設從宏觀方針到微觀操作的三層支撐體系。第一層是明確公司信息安全總體方針、目標與原則。第二層是落實公司信息安全總體方針、實現(xiàn)公司信息安全總目標的支撐內容,涵蓋制度、應急預案等。第三層是各類操作手冊、工作流程規(guī)范等,是安全管理制度、應急預案的細化,主要涵蓋安全技術規(guī)范、信息化流程清單、信息安全應急操作手冊等。 2.4 落實安全運行體系 網(wǎng)絡安全管理重在落實。公司安全運行體系主要包括安全監(jiān)測與預警、安全風險評估、安全日常運維、安全事件應急處理、安全企業(yè)文化建設5個方面。 2.4.1 安全監(jiān)測與預警 安全監(jiān)測與預警是預防安全事件發(fā)生的重要手段,是安全工作從被動防御向主動轉化的關鍵。公司目前主要是采用自動化監(jiān)控設備并輔以人工審核的監(jiān)測預警機制。安全專崗每天收集國家信息安全漏洞共享平臺及監(jiān)管機構等發(fā)布的安全風險提示、已部署的安全設備監(jiān)測到的可疑事件、公司主機、網(wǎng)絡設備及通用軟件廠商的補丁發(fā)布情況等,針對發(fā)現(xiàn)的風險預警和已確認的風險漏洞組織系統(tǒng)廠商或信息安全專業(yè)服務廠商制定信息安全策略并組織實施。針對機房物理環(huán)境防水、防火、防盜、溫濕度控制、網(wǎng)絡連通性等基礎環(huán)境的風險監(jiān)控和預警主要采用自動化監(jiān)控設備輔以每日兩次的人工巡檢模式。 針對發(fā)布的預警信息和已確認的風險漏洞建立信息安全事件每日登記表和編制網(wǎng)絡與信息系統(tǒng)安全運營月報,將信息安全事件跟蹤處置情況納入信息安全月報進行管理,實現(xiàn)所有漏洞的閉環(huán)管理。 2.4.2 安全風險評估 公司安全風險評估主要采取自主常態(tài)化風險評估和外部專業(yè)服務廠商專業(yè)評估兩種方式。自主常態(tài)化風險評估主要通過已部署的漏洞掃描設備,在保證漏洞規(guī)則庫為最新的前提下,每月初對公司所有設備進行漏洞掃描,針對發(fā)現(xiàn)的問題及時開展整改。外部專業(yè)服務廠商專業(yè)風險評估主要是定期組織信息安全服務廠商開展重要信息系統(tǒng)的滲透測試、風險漏洞掃描、配置核查等工作。通過制定風險評估方案,規(guī)范風險評估流程,在專業(yè)服務廠商的指導下,逐漸培養(yǎng)出公司自身的安全風險評估隊伍,逐步實現(xiàn)向自評估為主的安全風險評估轉變。 2.4.3 安全日常運維 日常安全運維是保障信息資源安全穩(wěn)定的基礎。公司已建立起了以風險管控為主線,以安全效益為導向,以信息化為技術手段的運維機制。在管理層面,明確了所運維服務需編制運維服務單并明確運維操作內容、操作步驟、風險評估及應急措施等,且運維服務單在審批同意后方能實施。在技術層面,采用機房運行監(jiān)控平臺、網(wǎng)管平臺、綜合日志分析平臺、數(shù)據(jù)庫審計系統(tǒng)等專業(yè)化的監(jiān)控設備輔以每日兩次人工巡檢校驗的模式。在運維模式方面,封閉互聯(lián)網(wǎng)遠程服務,所有的運維服務操作只能通過固定的已部署了堡壘機的終端上進行操作。在運維審計方面,信息安全專崗定期通過堡壘機、綜合日志審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)對運維人員的操作行為進行內控審計。 2.4.4 安全事件應急處置 公司安全事件應急區(qū)分常態(tài)化和專業(yè)化兩種不同的形式。面對常態(tài)化的應急處置事件,公司主要采取五方面的保障措施,一是發(fā)布公司信息安全應急響應管理辦法,明確網(wǎng)絡安全事件分類、分級、響應報告、應急處置要求等。二是發(fā)布信息安全專項應急預案。三是建立涵蓋監(jiān)管機構應急管理組織、公司內部應急管理組織、軟硬件設備商、信息安全服務廠商、業(yè)務系統(tǒng)廠商的應急處理聯(lián)系表并每年定期開展修訂。四是編制公司信息安全應急操作手冊,按照信息安全事件分類分級,明確各個崗位應急處置規(guī)范及要求等。五是每年定期開展應急預案的培訓和演練工作。通過模擬不同等級的信息安全事件,讓參與演練的員工掌握不同等級信息安全事件的應急流程及注意事項,演練前模擬真實的演練環(huán)境,編制詳細的演練方案,演練完成后進行演練情況分析及總結。 面對有組織的、專業(yè)化網(wǎng)絡攻擊應急處置事件,公司目前采取的主要措施是與專業(yè)的信息安全服務廠商簽訂信息安全專業(yè)服務協(xié)議,在發(fā)生惡意攻擊的情況下,可以及時獲得廠商的應急處置,有效降低安全危害和風險損失。 2.4.5 安全企業(yè)文化建設 在網(wǎng)絡安全中,人是最薄弱的環(huán)節(jié)。公司在推進信息安全企業(yè)文化建設方面,主要采取的措施包括常態(tài)化工作和專項工作。常態(tài)化工作主要包括:每年組織2次全員信息安全培訓、每年開展一次公司信息化專業(yè)人員安全技能考試、每年開展一次全員信息安全考試。通過培訓加考試的模式將員工是否參加培訓、是否提交請假事由、是否連續(xù)兩年缺席培訓作為信息安全減分的重要依據(jù),同時將信息安全培訓分值與考試分值匯總得出員工本年度的信息安全總成績,作為個人信息安全履職的主要依據(jù)并歸檔保存。在信息安全文化建設專項工作方面,充分利用各種途徑向公司領導作信息安全專題匯報,加深公司領導對當前信息安全態(tài)勢的認知和公司信息安全現(xiàn)狀的理解,促使領導干部真正意識到信息安全的重要性和開展信息安全工作的必要性。 3 實踐效果 經(jīng)過多年的實踐和積累,公司已建立了較完善的符合行業(yè)特色的網(wǎng)絡安全保障體系并在實際的應用中取得了良好的效果。公司自開業(yè)至今,未發(fā)生一起網(wǎng)絡安全事件,在監(jiān)管機構的現(xiàn)場檢查中給予了口頭表揚,在集團公司組織的網(wǎng)絡安全檢查中給予公司“集團領先水平”的評價。在專業(yè)攻防實踐方面,無論是外部信息安全廠商在熟知公司網(wǎng)絡安全架構的前提下進行的網(wǎng)絡滲透攻擊還是由公安部組織的國家網(wǎng)絡安全部隊專業(yè)化的網(wǎng)絡攻擊,公司立體化的安全保障體系均經(jīng)受住了考驗。 3.1 信息安全服務廠商專業(yè)安全風險評估 為有效驗證公司安全保障體系的防護效果,暴露公司重要信息系統(tǒng)隱藏的深層次的安全漏洞,公司在2018年組織了國內知名的信息安全廠商對公司網(wǎng)絡及重要信息系統(tǒng)進行滲透測試、漏洞掃描、配置核查等工作。其中滲透測試完全模擬黑客攻擊的方式,采用不限路徑、限定時間(非工作日期間)的攻擊策略、除對系統(tǒng)有重大風險的滲透技術暫不采用外,基本覆蓋了市場上主流的滲透技術手段。信息安全廠商3名具有專業(yè)安全滲透資質的高級工程師,在掌握公司網(wǎng)絡結構的情況下,在一周的時間內未完成公司安全防護體系的突破。為保障本次風險評估真正能發(fā)現(xiàn)隱藏的漏洞,公司調整了滲透攻擊方式,采用攻擊方深入防火墻內側檢驗信息系統(tǒng)暴露出來的安全漏洞,經(jīng)過檢測公司信息系統(tǒng)暴露了部分可控的安全風險。在此次風險評估中,公司整體網(wǎng)絡安全狀況被評為“比較安全”。 3.2 2019年度公安部網(wǎng)絡安全攻防演習 2019年5月至6月,公司參加了由公安部組織的2019年度網(wǎng)絡安全攻防實戰(zhàn)演習。在演習期間未發(fā)現(xiàn)公司網(wǎng)絡和信息系統(tǒng)被攻破的情況,累計封堵可疑攻擊源600余個,攔截網(wǎng)絡攻擊330余萬次、累計向全體員工發(fā)布攻防演習通知2次、安全預警8次和重要提醒3次、累計向9臺個人終端用戶發(fā)布預警提示并完成風險整改、在完成自身安全防護的同時,協(xié)助其它4家單位完成13次安全預警事件的監(jiān)測和處置工作。 4 結束語 眾所周知,網(wǎng)絡安全問題的多樣性和多變性決定了安全工作是一項長期性工作,網(wǎng)絡安全體系構建既不是固定模式的一成不變,也不可能一次解決一勞永逸,必須與時俱進,公司已建立起的綜合立體化網(wǎng)絡安全保障體系也將持續(xù)優(yōu)化、不斷改進,不斷適應未來可能出現(xiàn)的安全挑戰(zhàn)。由于時間倉促,文章中難免存在表述不到位或高度不夠等問題,不妥之處請給予批評指正。 參考文獻 [1] 中華人民共和國國家標準信息安全技術信息系統(tǒng)安全等級保護實施指南 [2] GB/T28448-2012 信息安全技術 信息系統(tǒng)安全等級保護測評要求 [3] JRT 0071-2012 金融行業(yè)信息安全等級保護實施指引 [4] 李秀賓.淺談新形勢下金融保險企業(yè)縱深防御信息安全體系的構建 中國人壽保險股份有限公司.2016
北京市公安局海淀分局備案號:11010802023656號