强化外部测评管理,提升金融网络安全保障能力
来源:用户上传
作者:丁光华
当前,全球网络安全形势日益严峻,银行机构信息系统安全事件时有发生,且一些事件对银行业务连续性产生了重要影响,压力与挑战与日剧增。《中华人民共和国网络安全法》于2017年6月1日起正式实施,网络安全管理迈入法治化阶段,要求重要网络和系统的运营者采取技术措施和其它必要措施,保障网络安全、稳定运行,同时要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对网络的安全性和可能存在的风险进行评估。人民银行是金融核心信息基础设施的运营者,在加强自身网络信息化建设管理的基础上,依托外部第三方专业力量开展测评,全面摸清重要生产系统的状况和薄弱环节,不断优化网络安全管理,对于保障人民银行重要网络和应用系统安全稳定运行尤为重要。本文在对测评工作进行综合分析的基础上,结合项目管理实践,探索思考依托外部测评提升金融网络安全保障能力的方式和路径。
一、测评工作概述
评估系统是否存在潜在风险和缺陷,做到事前预防、消除隐患,实现风险防范关口前移,是提升网络安全管理能力的关键环节。结合省级人民银行网络安全管理要求,目前主要采用内部检查评估和外部测评相结合的方式强化安全管理。内部检查评估由单位网络安全管理人员拟定方案,实施评估,日常系统建设、运维等安全管理制度的执行落实是重点,主要方式包括定期网络安全检查、专项检查、重要时期网络安全检查评估等,属于自我纠正自我完善;外部测评,是根据国家和行业相关标准、规范,由第三方安全专业服务机构实施评估,专业程度高、技术性强、涵盖面宽,是落实国家网络安全监管的重要内容,也是评估系统潜在风险和缺陷的重要手段。目前外部测评开展的主要方式包括等级保护测评和风险评估。
等级保护测评是按照国家管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动,旨在评估系统的安全防护是否满足国家等级保护要求,是落实国家信息安全等级保护制度的关键环节。人民银行结合行业特点制定了《金融行业信息系统信息安全等级保护实施指引》《金融行业信息系统信息安全等级保护测评指南》等行业标准,指导规范行业等级保护测评工作,一般测评涵盖物理安全、网络安全、主机安全、应用安全、数据安全等内容。
风险评估是依据国家《信息技术信息安全风险评估规范》(GB/T 20984-2007)等,从风险管理角度对信息系统的各种安全因素进行定性与定量分析,主要以系统业务连续性和数据安全为核心,对被评估对象的资产、威胁和脆弱性进行有效识别和分析,包括资产识别与分析、威胁识别与分析、脆弱性识别与分析、风险识别与分析等过程,最后得出评估结果,并提出有针对性的改进措施。
二、测评项目标准化管理实践
省级人民银行运行系统属于重要金融基础设施,涉及资金清算、金融信息处理、内部管理等方面,在实践过程中,根据系统安全管理目标、要求和依据的不同,综合开展重要网络和应用系统等级保护测评和风险评估,运用外部测评推动安全管理能力建设提升。为确保测评工作高效开展,在遵从信息化项目外包管理相关要求的基础上,应严格从实施安全、测评效用、整改高效等方面强化全周期的标准化项目管理。
(一)项目安全风险管理
测评项目是对信息系统的深入分析和测试,方法包括访谈、检查和测试等,项目安全风险管理尤为重要。首先,测评单位确定是关键,负责测评单位应具有相应资质,团队过硬、信誉好,具有行业重要系统测评实施经验,符合安全保密要求,并应严格履行相应保密职责。其次,测评实施安全保障是重点,应确保实施工作不影响系统稳定运行,不降低系统服务质量,且不引起新的风险,特别是对脆弱性扫描和渗透性測试等重要测试工作,应充分进行论证,合理确定工具、范围、操作时间,如对重要系统服务器应在非业务高峰期或系统负载较轻的时候进行扫描,避免对业务的影响,确保实施过程安全、信息保密安全。
(二)项目质量效用管理
测评对象一般包括业务应用系统软件、服务器及存储设备,网络通信设备(路由器和交换机)、安全设备(防火墙等)、PC客户端、机房场地环境以及相关的运维管理人员和文档资料,涵盖技术和管理,且与具体的银行业务应用密切相关,测评单位及测评人员应熟悉行业系统架构及应用情况,测评前应进行充分详细的调研,明确评估的内容、方法、实施流程,测评过程中应充分有效的与运维人员、安全管理人员等沟通协调,确保测评能有效反应系统的现状,客观全面评估系统运行管理的潜在风险及隐患,提出的安全整改建议符合单位客观实际情况,确保效用最大化。
(三)项目成果运用管理
测评报告是最终项目成果,目的是发现系统风险和薄弱环节,但这不是网络安全管理的终点,高效开展问题整改,提升系统运行稳健性才是最终目标。对于测评发现的问题,应按照整改建议,以科学性、先进性和安全性为原则,按照立行立改、管理和技术并重的要求,拟定整改方案,明确整改措施、整改计划,必要时组织整改方案可行性评估,并通过专项会议、清单管理等方式,推动具备条件的风险问题及时整改落实。在整改过程中,应统筹风险等级、实施难度、实施条件等因素,对问题整改进行分类管理,如对于安全管理、制度建设等方面的问题,应结合单位情况,修订完善制度规范,严格抓好落实,及时整改;对于主机应用、网络架构等方面的问题,若因系统建设、产品成熟度等客观原因限制不能及时整改且风险较低的,也应制定中长期整改计划,同时加强应急管理,做好应急资源准备。
三、下一步工作思考
当前金融科技迈入新的历史时期,信息系统跨单位、跨行业的互联互通日益明显,系统边界逐渐模糊,系统间、业务间关联风险突出,且网络攻击呈专业化、团队化发展,攻防两端能力的较量日益尖锐,为加强测评工作对单位重要网络和应用系统安全保障的支撑能力,需要从保障体系建设、结果转化运用、拓展合作等方面进一步完善测评工作管理。
(一)进一步完善保障体系建设 随着云计算、人工智能、区块链、大数据等新兴技术的发展与运用,在优化金融资源配置、促进金融业务发展的同时,也产生了新的安全风险和挑战。为确保测评效用最大化,测评工作保障体系也应适时优化完善,在传统设备资产安全管理、防护技术管理的基础上,应更加关注服务安全、业务数据安全,在梳理网络边界的基础上,应更注重厘清数据流、业务流,IT运维人员和业务管理人员需紧密配合,深度协同;同时应调整角度,做好测评工作宣传解释,优化完善与测评实施人员沟通配合机制,建立完善重要系统日常运维管理知识库、安全事件处置知识库,变被动接受测评为主动参与测评,进一步完善保障体系建设。
(二)深入推动成果多层次转化运用
在高效开展测评问题整改、提升安全保障能力的同时,应完善测评成果转化运用,建立统一化的问题风险清单,促进信息在不同部门、不同岗位人员的有效共享,并以风险防范为导向,立足全局,修订完善信息化建设、管理等相关制度规范,避免已发现问题在不同系统重复出现,避免相似问题在新建系统中出现,促进测评成果在事前防范中的转化应用。同时深化跨单位、跨行业的测评工作交流机制,实现案例、知识、管理等有效及时共享,并在系统互联互通的重点领域,探索联合测评、协同测评等工作机制,合力共筑安全防线,促进测评成果在事中完善的转化运用。
(三)持续拓展与安全服务机构合作深度
当前,信息技术快速迭代,安全防护技术和产品发展往往相对滞后,且攻防两端力量悬殊较大,在做好单位部门安全管理的同时,应以测评工作为基础,不断丰富拓展与第三方专业安全服务机构合作的内容及形式,如开展重要时期保障、威胁情报分享、应急响应、网络安全攻防技能培训、联合应急演练等合作,以合作增进沟通理解,提升测评工作效用,以合作促进安全队伍建设,提升网络安全应急准备能力。
综上,通过外部安全专业测评,评估风险,发现系统技术和管理等方面存在的风险和隐患,满足国家网络安全监管要求,提升风险应对和处置能力,是系统运营单位完善网络安全管理的重要路径。对测评项目管理的探索,有利于提升測评效用,有利于持续推动金融网络安全保障能力建设,具有一定实践意义。
参考文献:
[1]朱利妍.等级测评中的问题与建议[J].网络安全和信息化,2018(7).
[2]方言.金融科技不断纠紧的安全神经[J].中国信息安全,2017(7).
[3]王笑,成林芳,翟亚红.信息安全风险评估服务资质认证发现[J].信息安全研究,2018(10).
(作者单位:中国人民银行昆明中心支行科技处)
转载注明来源:https://www.xzbu.com/3/view-15051136.htm