今日頭條
官方微信
官方抖音
資訊頻道本文結合國家電投集團財務有限公司(以下簡稱“公司”)網絡安全工作實踐,以公司重要信息系統及數據為保障核心,提出由安全管理、安全技術、安全標準、安全工作體系組成的綜合立體化網絡安全保障防線,重點講解網絡安全管理體系的建設實踐,關于技術層面安全保障內容不在本文中描述。最后通過公司開展的一系列網絡安全攻防實踐,驗證此體系的科學性和有效性,可以為財務公司等非銀行金融機構提供參考和借鑒。
近些年來各類信息安全事件層出不窮、有組織有目的網絡攻擊事件已成為新常態,這種情況在金融行業尤為突出。一方面由于財務公司屬于非銀行金融機構,本身具有“多金”的屬性;另一方面財務公司相對于商業銀行而言,其信息科技及安全防護能力與銀行相比存在差距,各類不法分子一直對這個行業虎視眈眈。公司經過多年的建設及不斷完善,已基本構建了一套適合公司信息化發展相適應的安全保障體系,并在實際運營過程中取得了良好效果。
1 建設思路
1.1 網絡安全保障體系建設指導思想
公司網絡安全保障體系建設思想是以業務連續性運行保障為出發點,圍繞公司生產經營過程中產生的重要數據以及重要信息系統為保護核心,堅持“安全第一、積極應對、預防為先、防護與演練并重”的總體方針,以技術手段為支撐,圍繞信息和信息系統全生命周期,逐步建立由安全管理組織、制度體系、安全運行體系和技術防護手段構成的具有公司特色自主創新和可拓展的安全體系,保障公司“國際化創新型一流財務公司”戰略的實施。
1.2 網絡安全保障體系建設依據
公司網絡安全保障體系的建設主要依據以下管理規定:
1、《信息安全等級保護管理辦法》(公通字)[2007]43號文發布,明確了信息安全等級化的相關政策標準和規范。
2、中國銀監會發布《關于印發商業銀行業務連續性監管指引的通知》(銀監發[2011]104號),明確了各商業銀行及非銀行金融機構加強風險管理,提高業務連續性管理能力。
3、中國銀監會發布《關于應用安全可控信息技術加強銀行網絡安全和信息化建設指導意見》(銀監發[2014]39號),明確了建立應用安全可控的信息技術長效機制,不斷加強銀行業網絡安全保障能力。
4、《中華人民共和國網絡安全法》,明確各系統需按照信息安全等級保護標準建設。
5、《信息安全技術網絡等級保護基本要求》(等保2.0),明確了現階段網絡安全的新形勢、新變化及新技術、新應用的安全建設要求。
1.3 網絡安全保障體系建設原則
1、構建與公司信息化建設相適應的安全體系原則。應綜合考慮需求、風險與代價的平衡關系,構建與現階段信息化建設相適應的安全體系,杜絕安全設備的簡單冗余堆砌和不部署安全設備的情況。
2、分區分級原則。以應用系統為主導,科學劃分安全防護等級,并依據安全等級進行安全建設和管理。
3、技術與管理相結合原則。安全技術與運行管理機制有效結合。
4、授權最小化原則。只授予主體和客體必要的權限,而不要過度授權。
5、易操作性原則。
1.4 網絡安全保障體系建設步驟
構建網絡安全保障體系是一個長期疊加不斷優化的過程。在此過程中,由于網絡安全技術難度相對高且更新快、安全廠商技術實現路徑差異大等特點,因此我們在安全體系建設上需要按照“統一規劃、分步實施、整合優化”的步驟實施。一方面安全體系要統一規劃,分清輕重緩急、有重點的分步推進;另一方面則要根據公司業務及信息科技發展,適度調整規劃和建設重點,以應對新的安全隱患。
1.5 網絡安全保障體系構建思路
公司網絡安全保障體系構建思路主要采用信息系統安全等級保護差異化的思想,從安全管理、安全技術、安全標準、安全工作體系四個領域出發構建與公司信息化階段相匹配的安全保障體系。其中本文重點講解的網絡安全管理體系涵蓋組織機構、制度、人員、系統建設運維、安全風險評估、安全企業文化建設等7個方面。如圖1。 2 網絡安全管理體系 網絡安全建設三分靠技術,七分靠管理。公司網絡安全管理體系是網絡安全策略落地的關鍵和靈魂,主要涵蓋安全組織機構、安全制度體系、安全預警監測、安全風險評估、安全建設與運維、安全應急及安全企業文化建設等七個部分。 2.1 建立統一的安全組織機構 建立有效的網絡安全組織機構、落實具體的安全職責是支撐網絡安全保障體系的基礎。網絡安全工作需要公司領導和全體員工的積極參與。公司建立了由決策層、管理層和執行層構成的安全組織架構。并以發文的形式成立網絡安全與信息化領導小組、網絡安全與信息化辦公室、信息化應急處置工作組。公司總經理擔任網絡安全與信息化領導小組組長并履行網絡安全第一責任人職責,公司所有部門負責人擔任信息化領導小組組員。網絡安全與信息化辦公室掛靠信息管理部。信息化應急處置工作組下設信息安全專崗并配備專人,同時在各個部門設立信息安全應急聯系人。 2.2 層層壓實網絡安全責任 網絡安全要健康發展,責任擔當首當其沖。公司在制度中明確了安全責任不能外包,嚴格按照“誰主管誰負責,誰運行誰負責,誰使用誰負責”的原則,逐級落實網絡安全責任并采用簽訂網絡安全責任書的形式予以明確。在監管層面,由公司主管網絡安全的領導與監管機構簽訂網絡安全責任書;在集團層面,公司網絡安全工作指標納入集團公司年度考核范圍,實行一票否決制。在公司層面,信息化管理部門作為網絡安全執行部門與公司簽訂網絡安全責任狀;在員工層面,針對信息化專業人員和外包服務人員簽訂網絡安全責任書。 2.3 制定網絡安全制度體系 建立覆蓋機房、網絡、信息化資產、信息安全、運行維護、服務外包等內容的安全管理制度體系,涵蓋從信息系統規劃到運維全生命周期管理。在安全專項制度中明確了信息安全建設從宏觀方針到微觀操作的三層支撐體系。第一層是明確公司信息安全總體方針、目標與原則。第二層是落實公司信息安全總體方針、實現公司信息安全總目標的支撐內容,涵蓋制度、應急預案等。第三層是各類操作手冊、工作流程規范等,是安全管理制度、應急預案的細化,主要涵蓋安全技術規范、信息化流程清單、信息安全應急操作手冊等。 2.4 落實安全運行體系 網絡安全管理重在落實。公司安全運行體系主要包括安全監測與預警、安全風險評估、安全日常運維、安全事件應急處理、安全企業文化建設5個方面。 2.4.1 安全監測與預警 安全監測與預警是預防安全事件發生的重要手段,是安全工作從被動防御向主動轉化的關鍵。公司目前主要是采用自動化監控設備并輔以人工審核的監測預警機制。安全專崗每天收集國家信息安全漏洞共享平臺及監管機構等發布的安全風險提示、已部署的安全設備監測到的可疑事件、公司主機、網絡設備及通用軟件廠商的補丁發布情況等,針對發現的風險預警和已確認的風險漏洞組織系統廠商或信息安全專業服務廠商制定信息安全策略并組織實施。針對機房物理環境防水、防火、防盜、溫濕度控制、網絡連通性等基礎環境的風險監控和預警主要采用自動化監控設備輔以每日兩次的人工巡檢模式。 針對發布的預警信息和已確認的風險漏洞建立信息安全事件每日登記表和編制網絡與信息系統安全運營月報,將信息安全事件跟蹤處置情況納入信息安全月報進行管理,實現所有漏洞的閉環管理。 2.4.2 安全風險評估 公司安全風險評估主要采取自主常態化風險評估和外部專業服務廠商專業評估兩種方式。自主常態化風險評估主要通過已部署的漏洞掃描設備,在保證漏洞規則庫為最新的前提下,每月初對公司所有設備進行漏洞掃描,針對發現的問題及時開展整改。外部專業服務廠商專業風險評估主要是定期組織信息安全服務廠商開展重要信息系統的滲透測試、風險漏洞掃描、配置核查等工作。通過制定風險評估方案,規范風險評估流程,在專業服務廠商的指導下,逐漸培養出公司自身的安全風險評估隊伍,逐步實現向自評估為主的安全風險評估轉變。 2.4.3 安全日常運維 日常安全運維是保障信息資源安全穩定的基礎。公司已建立起了以風險管控為主線,以安全效益為導向,以信息化為技術手段的運維機制。在管理層面,明確了所運維服務需編制運維服務單并明確運維操作內容、操作步驟、風險評估及應急措施等,且運維服務單在審批同意后方能實施。在技術層面,采用機房運行監控平臺、網管平臺、綜合日志分析平臺、數據庫審計系統等專業化的監控設備輔以每日兩次人工巡檢校驗的模式。在運維模式方面,封閉互聯網遠程服務,所有的運維服務操作只能通過固定的已部署了堡壘機的終端上進行操作。在運維審計方面,信息安全專崗定期通過堡壘機、綜合日志審計系統、數據庫審計系統對運維人員的操作行為進行內控審計。 2.4.4 安全事件應急處置 公司安全事件應急區分常態化和專業化兩種不同的形式。面對常態化的應急處置事件,公司主要采取五方面的保障措施,一是發布公司信息安全應急響應管理辦法,明確網絡安全事件分類、分級、響應報告、應急處置要求等。二是發布信息安全專項應急預案。三是建立涵蓋監管機構應急管理組織、公司內部應急管理組織、軟硬件設備商、信息安全服務廠商、業務系統廠商的應急處理聯系表并每年定期開展修訂。四是編制公司信息安全應急操作手冊,按照信息安全事件分類分級,明確各個崗位應急處置規范及要求等。五是每年定期開展應急預案的培訓和演練工作。通過模擬不同等級的信息安全事件,讓參與演練的員工掌握不同等級信息安全事件的應急流程及注意事項,演練前模擬真實的演練環境,編制詳細的演練方案,演練完成后進行演練情況分析及總結。 面對有組織的、專業化網絡攻擊應急處置事件,公司目前采取的主要措施是與專業的信息安全服務廠商簽訂信息安全專業服務協議,在發生惡意攻擊的情況下,可以及時獲得廠商的應急處置,有效降低安全危害和風險損失。 2.4.5 安全企業文化建設 在網絡安全中,人是最薄弱的環節。公司在推進信息安全企業文化建設方面,主要采取的措施包括常態化工作和專項工作。常態化工作主要包括:每年組織2次全員信息安全培訓、每年開展一次公司信息化專業人員安全技能考試、每年開展一次全員信息安全考試。通過培訓加考試的模式將員工是否參加培訓、是否提交請假事由、是否連續兩年缺席培訓作為信息安全減分的重要依據,同時將信息安全培訓分值與考試分值匯總得出員工本年度的信息安全總成績,作為個人信息安全履職的主要依據并歸檔保存。在信息安全文化建設專項工作方面,充分利用各種途徑向公司領導作信息安全專題匯報,加深公司領導對當前信息安全態勢的認知和公司信息安全現狀的理解,促使領導干部真正意識到信息安全的重要性和開展信息安全工作的必要性。 3 實踐效果 經過多年的實踐和積累,公司已建立了較完善的符合行業特色的網絡安全保障體系并在實際的應用中取得了良好的效果。公司自開業至今,未發生一起網絡安全事件,在監管機構的現場檢查中給予了口頭表揚,在集團公司組織的網絡安全檢查中給予公司“集團領先水平”的評價。在專業攻防實踐方面,無論是外部信息安全廠商在熟知公司網絡安全架構的前提下進行的網絡滲透攻擊還是由公安部組織的國家網絡安全部隊專業化的網絡攻擊,公司立體化的安全保障體系均經受住了考驗。 3.1 信息安全服務廠商專業安全風險評估 為有效驗證公司安全保障體系的防護效果,暴露公司重要信息系統隱藏的深層次的安全漏洞,公司在2018年組織了國內知名的信息安全廠商對公司網絡及重要信息系統進行滲透測試、漏洞掃描、配置核查等工作。其中滲透測試完全模擬黑客攻擊的方式,采用不限路徑、限定時間(非工作日期間)的攻擊策略、除對系統有重大風險的滲透技術暫不采用外,基本覆蓋了市場上主流的滲透技術手段。信息安全廠商3名具有專業安全滲透資質的高級工程師,在掌握公司網絡結構的情況下,在一周的時間內未完成公司安全防護體系的突破。為保障本次風險評估真正能發現隱藏的漏洞,公司調整了滲透攻擊方式,采用攻擊方深入防火墻內側檢驗信息系統暴露出來的安全漏洞,經過檢測公司信息系統暴露了部分可控的安全風險。在此次風險評估中,公司整體網絡安全狀況被評為“比較安全”。 3.2 2019年度公安部網絡安全攻防演習 2019年5月至6月,公司參加了由公安部組織的2019年度網絡安全攻防實戰演習。在演習期間未發現公司網絡和信息系統被攻破的情況,累計封堵可疑攻擊源600余個,攔截網絡攻擊330余萬次、累計向全體員工發布攻防演習通知2次、安全預警8次和重要提醒3次、累計向9臺個人終端用戶發布預警提示并完成風險整改、在完成自身安全防護的同時,協助其它4家單位完成13次安全預警事件的監測和處置工作。 4 結束語 眾所周知,網絡安全問題的多樣性和多變性決定了安全工作是一項長期性工作,網絡安全體系構建既不是固定模式的一成不變,也不可能一次解決一勞永逸,必須與時俱進,公司已建立起的綜合立體化網絡安全保障體系也將持續優化、不斷改進,不斷適應未來可能出現的安全挑戰。由于時間倉促,文章中難免存在表述不到位或高度不夠等問題,不妥之處請給予批評指正。 參考文獻 [1] 中華人民共和國國家標準信息安全技術信息系統安全等級保護實施指南 [2] GB/T28448-2012 信息安全技術 信息系統安全等級保護測評要求 [3] JRT 0071-2012 金融行業信息安全等級保護實施指引 [4] 李秀賓.淺談新形勢下金融保險企業縱深防御信息安全體系的構建 中國人壽保險股份有限公司.2016 來源:電力科技創新
北京市公安局海淀分局備案號:11010802023656號