今日頭條
官方微信
官方抖音
資訊頻道本文結(jié)合國家電投集團(tuán)財務(wù)有限公司(以下簡稱“公司”)網(wǎng)絡(luò)安全工作實踐,以公司重要信息系統(tǒng)及數(shù)據(jù)為保障核心,提出由安全管理、安全技術(shù)、安全標(biāo)準(zhǔn)、安全工作體系組成的綜合立體化網(wǎng)絡(luò)安全保障防線,重點講解網(wǎng)絡(luò)安全管理體系的建設(shè)實踐,關(guān)于技術(shù)層面安全保障內(nèi)容不在本文中描述。最后通過公司開展的一系列網(wǎng)絡(luò)安全攻防實踐,驗證此體系的科學(xué)性和有效性,可以為財務(wù)公司等非銀行金融機(jī)構(gòu)提供參考和借鑒。
近些年來各類信息安全事件層出不窮、有組織有目的網(wǎng)絡(luò)攻擊事件已成為新常態(tài),這種情況在金融行業(yè)尤為突出。一方面由于財務(wù)公司屬于非銀行金融機(jī)構(gòu),本身具有“多金”的屬性;另一方面財務(wù)公司相對于商業(yè)銀行而言,其信息科技及安全防護(hù)能力與銀行相比存在差距,各類不法分子一直對這個行業(yè)虎視眈眈。公司經(jīng)過多年的建設(shè)及不斷完善,已基本構(gòu)建了一套適合公司信息化發(fā)展相適應(yīng)的安全保障體系,并在實際運(yùn)營過程中取得了良好效果。
1 建設(shè)思路
1.1 網(wǎng)絡(luò)安全保障體系建設(shè)指導(dǎo)思想
公司網(wǎng)絡(luò)安全保障體系建設(shè)思想是以業(yè)務(wù)連續(xù)性運(yùn)行保障為出發(fā)點,圍繞公司生產(chǎn)經(jīng)營過程中產(chǎn)生的重要數(shù)據(jù)以及重要信息系統(tǒng)為保護(hù)核心,堅持“安全第一、積極應(yīng)對、預(yù)防為先、防護(hù)與演練并重”的總體方針,以技術(shù)手段為支撐,圍繞信息和信息系統(tǒng)全生命周期,逐步建立由安全管理組織、制度體系、安全運(yùn)行體系和技術(shù)防護(hù)手段構(gòu)成的具有公司特色自主創(chuàng)新和可拓展的安全體系,保障公司“國際化創(chuàng)新型一流財務(wù)公司”戰(zhàn)略的實施。
1.2 網(wǎng)絡(luò)安全保障體系建設(shè)依據(jù)
公司網(wǎng)絡(luò)安全保障體系的建設(shè)主要依據(jù)以下管理規(guī)定:
1、《信息安全等級保護(hù)管理辦法》(公通字)[2007]43號文發(fā)布,明確了信息安全等級化的相關(guān)政策標(biāo)準(zhǔn)和規(guī)范。
2、中國銀監(jiān)會發(fā)布《關(guān)于印發(fā)商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引的通知》(銀監(jiān)發(fā)[2011]104號),明確了各商業(yè)銀行及非銀行金融機(jī)構(gòu)加強(qiáng)風(fēng)險管理,提高業(yè)務(wù)連續(xù)性管理能力。
3、中國銀監(jiān)會發(fā)布《關(guān)于應(yīng)用安全可控信息技術(shù)加強(qiáng)銀行網(wǎng)絡(luò)安全和信息化建設(shè)指導(dǎo)意見》(銀監(jiān)發(fā)[2014]39號),明確了建立應(yīng)用安全可控的信息技術(shù)長效機(jī)制,不斷加強(qiáng)銀行業(yè)網(wǎng)絡(luò)安全保障能力。
4、《中華人民共和國網(wǎng)絡(luò)安全法》,明確各系統(tǒng)需按照信息安全等級保護(hù)標(biāo)準(zhǔn)建設(shè)。
5、《信息安全技術(shù)網(wǎng)絡(luò)等級保護(hù)基本要求》(等保2.0),明確了現(xiàn)階段網(wǎng)絡(luò)安全的新形勢、新變化及新技術(shù)、新應(yīng)用的安全建設(shè)要求。
1.3 網(wǎng)絡(luò)安全保障體系建設(shè)原則
1、構(gòu)建與公司信息化建設(shè)相適應(yīng)的安全體系原則。應(yīng)綜合考慮需求、風(fēng)險與代價的平衡關(guān)系,構(gòu)建與現(xiàn)階段信息化建設(shè)相適應(yīng)的安全體系,杜絕安全設(shè)備的簡單冗余堆砌和不部署安全設(shè)備的情況。
2、分區(qū)分級原則。以應(yīng)用系統(tǒng)為主導(dǎo),科學(xué)劃分安全防護(hù)等級,并依據(jù)安全等級進(jìn)行安全建設(shè)和管理。
3、技術(shù)與管理相結(jié)合原則。安全技術(shù)與運(yùn)行管理機(jī)制有效結(jié)合。
4、授權(quán)最小化原則。只授予主體和客體必要的權(quán)限,而不要過度授權(quán)。
5、易操作性原則。
1.4 網(wǎng)絡(luò)安全保障體系建設(shè)步驟
構(gòu)建網(wǎng)絡(luò)安全保障體系是一個長期疊加不斷優(yōu)化的過程。在此過程中,由于網(wǎng)絡(luò)安全技術(shù)難度相對高且更新快、安全廠商技術(shù)實現(xiàn)路徑差異大等特點,因此我們在安全體系建設(shè)上需要按照“統(tǒng)一規(guī)劃、分步實施、整合優(yōu)化”的步驟實施。一方面安全體系要統(tǒng)一規(guī)劃,分清輕重緩急、有重點的分步推進(jìn);另一方面則要根據(jù)公司業(yè)務(wù)及信息科技發(fā)展,適度調(diào)整規(guī)劃和建設(shè)重點,以應(yīng)對新的安全隱患。
1.5 網(wǎng)絡(luò)安全保障體系構(gòu)建思路
公司網(wǎng)絡(luò)安全保障體系構(gòu)建思路主要采用信息系統(tǒng)安全等級保護(hù)差異化的思想,從安全管理、安全技術(shù)、安全標(biāo)準(zhǔn)、安全工作體系四個領(lǐng)域出發(fā)構(gòu)建與公司信息化階段相匹配的安全保障體系。其中本文重點講解的網(wǎng)絡(luò)安全管理體系涵蓋組織機(jī)構(gòu)、制度、人員、系統(tǒng)建設(shè)運(yùn)維、安全風(fēng)險評估、安全企業(yè)文化建設(shè)等7個方面。如圖1。 2 網(wǎng)絡(luò)安全管理體系 網(wǎng)絡(luò)安全建設(shè)三分靠技術(shù),七分靠管理。公司網(wǎng)絡(luò)安全管理體系是網(wǎng)絡(luò)安全策略落地的關(guān)鍵和靈魂,主要涵蓋安全組織機(jī)構(gòu)、安全制度體系、安全預(yù)警監(jiān)測、安全風(fēng)險評估、安全建設(shè)與運(yùn)維、安全應(yīng)急及安全企業(yè)文化建設(shè)等七個部分。 2.1 建立統(tǒng)一的安全組織機(jī)構(gòu) 建立有效的網(wǎng)絡(luò)安全組織機(jī)構(gòu)、落實具體的安全職責(zé)是支撐網(wǎng)絡(luò)安全保障體系的基礎(chǔ)。網(wǎng)絡(luò)安全工作需要公司領(lǐng)導(dǎo)和全體員工的積極參與。公司建立了由決策層、管理層和執(zhí)行層構(gòu)成的安全組織架構(gòu)。并以發(fā)文的形式成立網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組、網(wǎng)絡(luò)安全與信息化辦公室、信息化應(yīng)急處置工作組。公司總經(jīng)理擔(dān)任網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組組長并履行網(wǎng)絡(luò)安全第一責(zé)任人職責(zé),公司所有部門負(fù)責(zé)人擔(dān)任信息化領(lǐng)導(dǎo)小組組員。網(wǎng)絡(luò)安全與信息化辦公室掛靠信息管理部。信息化應(yīng)急處置工作組下設(shè)信息安全專崗并配備專人,同時在各個部門設(shè)立信息安全應(yīng)急聯(lián)系人。 2.2 層層壓實網(wǎng)絡(luò)安全責(zé)任 網(wǎng)絡(luò)安全要健康發(fā)展,責(zé)任擔(dān)當(dāng)首當(dāng)其沖。公司在制度中明確了安全責(zé)任不能外包,嚴(yán)格按照“誰主管誰負(fù)責(zé),誰運(yùn)行誰負(fù)責(zé),誰使用誰負(fù)責(zé)”的原則,逐級落實網(wǎng)絡(luò)安全責(zé)任并采用簽訂網(wǎng)絡(luò)安全責(zé)任書的形式予以明確。在監(jiān)管層面,由公司主管網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)與監(jiān)管機(jī)構(gòu)簽訂網(wǎng)絡(luò)安全責(zé)任書;在集團(tuán)層面,公司網(wǎng)絡(luò)安全工作指標(biāo)納入集團(tuán)公司年度考核范圍,實行一票否決制。在公司層面,信息化管理部門作為網(wǎng)絡(luò)安全執(zhí)行部門與公司簽訂網(wǎng)絡(luò)安全責(zé)任狀;在員工層面,針對信息化專業(yè)人員和外包服務(wù)人員簽訂網(wǎng)絡(luò)安全責(zé)任書。 2.3 制定網(wǎng)絡(luò)安全制度體系 建立覆蓋機(jī)房、網(wǎng)絡(luò)、信息化資產(chǎn)、信息安全、運(yùn)行維護(hù)、服務(wù)外包等內(nèi)容的安全管理制度體系,涵蓋從信息系統(tǒng)規(guī)劃到運(yùn)維全生命周期管理。在安全專項制度中明確了信息安全建設(shè)從宏觀方針到微觀操作的三層支撐體系。第一層是明確公司信息安全總體方針、目標(biāo)與原則。第二層是落實公司信息安全總體方針、實現(xiàn)公司信息安全總目標(biāo)的支撐內(nèi)容,涵蓋制度、應(yīng)急預(yù)案等。第三層是各類操作手冊、工作流程規(guī)范等,是安全管理制度、應(yīng)急預(yù)案的細(xì)化,主要涵蓋安全技術(shù)規(guī)范、信息化流程清單、信息安全應(yīng)急操作手冊等。 2.4 落實安全運(yùn)行體系 網(wǎng)絡(luò)安全管理重在落實。公司安全運(yùn)行體系主要包括安全監(jiān)測與預(yù)警、安全風(fēng)險評估、安全日常運(yùn)維、安全事件應(yīng)急處理、安全企業(yè)文化建設(shè)5個方面。 2.4.1 安全監(jiān)測與預(yù)警 安全監(jiān)測與預(yù)警是預(yù)防安全事件發(fā)生的重要手段,是安全工作從被動防御向主動轉(zhuǎn)化的關(guān)鍵。公司目前主要是采用自動化監(jiān)控設(shè)備并輔以人工審核的監(jiān)測預(yù)警機(jī)制。安全專崗每天收集國家信息安全漏洞共享平臺及監(jiān)管機(jī)構(gòu)等發(fā)布的安全風(fēng)險提示、已部署的安全設(shè)備監(jiān)測到的可疑事件、公司主機(jī)、網(wǎng)絡(luò)設(shè)備及通用軟件廠商的補(bǔ)丁發(fā)布情況等,針對發(fā)現(xiàn)的風(fēng)險預(yù)警和已確認(rèn)的風(fēng)險漏洞組織系統(tǒng)廠商或信息安全專業(yè)服務(wù)廠商制定信息安全策略并組織實施。針對機(jī)房物理環(huán)境防水、防火、防盜、溫濕度控制、網(wǎng)絡(luò)連通性等基礎(chǔ)環(huán)境的風(fēng)險監(jiān)控和預(yù)警主要采用自動化監(jiān)控設(shè)備輔以每日兩次的人工巡檢模式。 針對發(fā)布的預(yù)警信息和已確認(rèn)的風(fēng)險漏洞建立信息安全事件每日登記表和編制網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)營月報,將信息安全事件跟蹤處置情況納入信息安全月報進(jìn)行管理,實現(xiàn)所有漏洞的閉環(huán)管理。 2.4.2 安全風(fēng)險評估 公司安全風(fēng)險評估主要采取自主常態(tài)化風(fēng)險評估和外部專業(yè)服務(wù)廠商專業(yè)評估兩種方式。自主常態(tài)化風(fēng)險評估主要通過已部署的漏洞掃描設(shè)備,在保證漏洞規(guī)則庫為最新的前提下,每月初對公司所有設(shè)備進(jìn)行漏洞掃描,針對發(fā)現(xiàn)的問題及時開展整改。外部專業(yè)服務(wù)廠商專業(yè)風(fēng)險評估主要是定期組織信息安全服務(wù)廠商開展重要信息系統(tǒng)的滲透測試、風(fēng)險漏洞掃描、配置核查等工作。通過制定風(fēng)險評估方案,規(guī)范風(fēng)險評估流程,在專業(yè)服務(wù)廠商的指導(dǎo)下,逐漸培養(yǎng)出公司自身的安全風(fēng)險評估隊伍,逐步實現(xiàn)向自評估為主的安全風(fēng)險評估轉(zhuǎn)變。 2.4.3 安全日常運(yùn)維 日常安全運(yùn)維是保障信息資源安全穩(wěn)定的基礎(chǔ)。公司已建立起了以風(fēng)險管控為主線,以安全效益為導(dǎo)向,以信息化為技術(shù)手段的運(yùn)維機(jī)制。在管理層面,明確了所運(yùn)維服務(wù)需編制運(yùn)維服務(wù)單并明確運(yùn)維操作內(nèi)容、操作步驟、風(fēng)險評估及應(yīng)急措施等,且運(yùn)維服務(wù)單在審批同意后方能實施。在技術(shù)層面,采用機(jī)房運(yùn)行監(jiān)控平臺、網(wǎng)管平臺、綜合日志分析平臺、數(shù)據(jù)庫審計系統(tǒng)等專業(yè)化的監(jiān)控設(shè)備輔以每日兩次人工巡檢校驗的模式。在運(yùn)維模式方面,封閉互聯(lián)網(wǎng)遠(yuǎn)程服務(wù),所有的運(yùn)維服務(wù)操作只能通過固定的已部署了堡壘機(jī)的終端上進(jìn)行操作。在運(yùn)維審計方面,信息安全專崗定期通過堡壘機(jī)、綜合日志審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)對運(yùn)維人員的操作行為進(jìn)行內(nèi)控審計。 2.4.4 安全事件應(yīng)急處置 公司安全事件應(yīng)急區(qū)分常態(tài)化和專業(yè)化兩種不同的形式。面對常態(tài)化的應(yīng)急處置事件,公司主要采取五方面的保障措施,一是發(fā)布公司信息安全應(yīng)急響應(yīng)管理辦法,明確網(wǎng)絡(luò)安全事件分類、分級、響應(yīng)報告、應(yīng)急處置要求等。二是發(fā)布信息安全專項應(yīng)急預(yù)案。三是建立涵蓋監(jiān)管機(jī)構(gòu)應(yīng)急管理組織、公司內(nèi)部應(yīng)急管理組織、軟硬件設(shè)備商、信息安全服務(wù)廠商、業(yè)務(wù)系統(tǒng)廠商的應(yīng)急處理聯(lián)系表并每年定期開展修訂。四是編制公司信息安全應(yīng)急操作手冊,按照信息安全事件分類分級,明確各個崗位應(yīng)急處置規(guī)范及要求等。五是每年定期開展應(yīng)急預(yù)案的培訓(xùn)和演練工作。通過模擬不同等級的信息安全事件,讓參與演練的員工掌握不同等級信息安全事件的應(yīng)急流程及注意事項,演練前模擬真實的演練環(huán)境,編制詳細(xì)的演練方案,演練完成后進(jìn)行演練情況分析及總結(jié)。 面對有組織的、專業(yè)化網(wǎng)絡(luò)攻擊應(yīng)急處置事件,公司目前采取的主要措施是與專業(yè)的信息安全服務(wù)廠商簽訂信息安全專業(yè)服務(wù)協(xié)議,在發(fā)生惡意攻擊的情況下,可以及時獲得廠商的應(yīng)急處置,有效降低安全危害和風(fēng)險損失。 2.4.5 安全企業(yè)文化建設(shè) 在網(wǎng)絡(luò)安全中,人是最薄弱的環(huán)節(jié)。公司在推進(jìn)信息安全企業(yè)文化建設(shè)方面,主要采取的措施包括常態(tài)化工作和專項工作。常態(tài)化工作主要包括:每年組織2次全員信息安全培訓(xùn)、每年開展一次公司信息化專業(yè)人員安全技能考試、每年開展一次全員信息安全考試。通過培訓(xùn)加考試的模式將員工是否參加培訓(xùn)、是否提交請假事由、是否連續(xù)兩年缺席培訓(xùn)作為信息安全減分的重要依據(jù),同時將信息安全培訓(xùn)分值與考試分值匯總得出員工本年度的信息安全總成績,作為個人信息安全履職的主要依據(jù)并歸檔保存。在信息安全文化建設(shè)專項工作方面,充分利用各種途徑向公司領(lǐng)導(dǎo)作信息安全專題匯報,加深公司領(lǐng)導(dǎo)對當(dāng)前信息安全態(tài)勢的認(rèn)知和公司信息安全現(xiàn)狀的理解,促使領(lǐng)導(dǎo)干部真正意識到信息安全的重要性和開展信息安全工作的必要性。 3 實踐效果 經(jīng)過多年的實踐和積累,公司已建立了較完善的符合行業(yè)特色的網(wǎng)絡(luò)安全保障體系并在實際的應(yīng)用中取得了良好的效果。公司自開業(yè)至今,未發(fā)生一起網(wǎng)絡(luò)安全事件,在監(jiān)管機(jī)構(gòu)的現(xiàn)場檢查中給予了口頭表揚(yáng),在集團(tuán)公司組織的網(wǎng)絡(luò)安全檢查中給予公司“集團(tuán)領(lǐng)先水平”的評價。在專業(yè)攻防實踐方面,無論是外部信息安全廠商在熟知公司網(wǎng)絡(luò)安全架構(gòu)的前提下進(jìn)行的網(wǎng)絡(luò)滲透攻擊還是由公安部組織的國家網(wǎng)絡(luò)安全部隊專業(yè)化的網(wǎng)絡(luò)攻擊,公司立體化的安全保障體系均經(jīng)受住了考驗。 3.1 信息安全服務(wù)廠商專業(yè)安全風(fēng)險評估 為有效驗證公司安全保障體系的防護(hù)效果,暴露公司重要信息系統(tǒng)隱藏的深層次的安全漏洞,公司在2018年組織了國內(nèi)知名的信息安全廠商對公司網(wǎng)絡(luò)及重要信息系統(tǒng)進(jìn)行滲透測試、漏洞掃描、配置核查等工作。其中滲透測試完全模擬黑客攻擊的方式,采用不限路徑、限定時間(非工作日期間)的攻擊策略、除對系統(tǒng)有重大風(fēng)險的滲透技術(shù)暫不采用外,基本覆蓋了市場上主流的滲透技術(shù)手段。信息安全廠商3名具有專業(yè)安全滲透資質(zhì)的高級工程師,在掌握公司網(wǎng)絡(luò)結(jié)構(gòu)的情況下,在一周的時間內(nèi)未完成公司安全防護(hù)體系的突破。為保障本次風(fēng)險評估真正能發(fā)現(xiàn)隱藏的漏洞,公司調(diào)整了滲透攻擊方式,采用攻擊方深入防火墻內(nèi)側(cè)檢驗信息系統(tǒng)暴露出來的安全漏洞,經(jīng)過檢測公司信息系統(tǒng)暴露了部分可控的安全風(fēng)險。在此次風(fēng)險評估中,公司整體網(wǎng)絡(luò)安全狀況被評為“比較安全”。 3.2 2019年度公安部網(wǎng)絡(luò)安全攻防演習(xí) 2019年5月至6月,公司參加了由公安部組織的2019年度網(wǎng)絡(luò)安全攻防實戰(zhàn)演習(xí)。在演習(xí)期間未發(fā)現(xiàn)公司網(wǎng)絡(luò)和信息系統(tǒng)被攻破的情況,累計封堵可疑攻擊源600余個,攔截網(wǎng)絡(luò)攻擊330余萬次、累計向全體員工發(fā)布攻防演習(xí)通知2次、安全預(yù)警8次和重要提醒3次、累計向9臺個人終端用戶發(fā)布預(yù)警提示并完成風(fēng)險整改、在完成自身安全防護(hù)的同時,協(xié)助其它4家單位完成13次安全預(yù)警事件的監(jiān)測和處置工作。 4 結(jié)束語 眾所周知,網(wǎng)絡(luò)安全問題的多樣性和多變性決定了安全工作是一項長期性工作,網(wǎng)絡(luò)安全體系構(gòu)建既不是固定模式的一成不變,也不可能一次解決一勞永逸,必須與時俱進(jìn),公司已建立起的綜合立體化網(wǎng)絡(luò)安全保障體系也將持續(xù)優(yōu)化、不斷改進(jìn),不斷適應(yīng)未來可能出現(xiàn)的安全挑戰(zhàn)。由于時間倉促,文章中難免存在表述不到位或高度不夠等問題,不妥之處請給予批評指正。 參考文獻(xiàn) [1] 中華人民共和國國家標(biāo)準(zhǔn)信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實施指南 [2] GB/T28448-2012 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)測評要求 [3] JRT 0071-2012 金融行業(yè)信息安全等級保護(hù)實施指引 [4] 李秀賓.淺談新形勢下金融保險企業(yè)縱深防御信息安全體系的構(gòu)建 中國人壽保險股份有限公司.2016
北京市公安局海淀分局備案號:11010802023656號