近些年來(lái)各類(lèi)信息安全事件層出不窮、有組織有目的網(wǎng)絡(luò )攻擊事件已成為新常態(tài)，這種情況在金融行業(yè)尤為突出。一方面由于財務(wù)公司屬于非銀行金融機構，本身具有“多金”的屬性；另一方面財務(wù)公司相對于商業(yè)銀行而言，其信息科技及安全防護能力與銀行相比存在差距，各類(lèi)不法分子一直對這個(gè)行業(yè)虎視眈眈。公司經(jīng)過(guò)多年的建設及不斷完善，已基本構建了一套適合公司信息化發(fā)展相適應的安全保障體系，并在實(shí)際運營(yíng)過(guò)程中取得了良好效果。

1 建設思路

1.1 網(wǎng)絡(luò )安全保障體系建設指導思想

公司網(wǎng)絡(luò )安全保障體系建設思想是以業(yè)務(wù)連續性運行保障為出發(fā)點(diǎn)，圍繞公司生產(chǎn)經(jīng)營(yíng)過(guò)程中產(chǎn)生的重要數據以及重要信息系統為保護核心，堅持“安全第一、積極應對、預防為先、防護與演練并重”的總體方針，以技術(shù)手段為支撐，圍繞信息和信息系統全生命周期，逐步建立由安全管理組織、制度體系、安全運行體系和技術(shù)防護手段構成的具有公司特色自主創(chuàng )新和可拓展的安全體系，保障公司“國際化創(chuàng )新型一流財務(wù)公司”戰略的實(shí)施。

1.2 網(wǎng)絡(luò )安全保障體系建設依據

公司網(wǎng)絡(luò )安全保障體系的建設主要依據以下管理規定：

1、《信息安全等級保護管理辦法》（公通字）[2007]43號文發(fā)布，明確了信息安全等級化的相關(guān)政策標準和規范。

2、中國銀監會(huì )發(fā)布《關(guān)于印發(fā)商業(yè)銀行業(yè)務(wù)連續性監管指引的通知》（銀監發(fā)[2011]104號），明確了各商業(yè)銀行及非銀行金融機構加強風(fēng)險管理，提高業(yè)務(wù)連續性管理能力。

3、中國銀監會(huì )發(fā)布《關(guān)于應用安全可控信息技術(shù)加強銀行網(wǎng)絡(luò )安全和信息化建設指導意見(jiàn)》（銀監發(fā)[2014]39號），明確了建立應用安全可控的信息技術(shù)長(cháng)效機制，不斷加強銀行業(yè)網(wǎng)絡(luò )安全保障能力。

4、《中華人民共和國網(wǎng)絡(luò )安全法》，明確各系統需按照信息安全等級保護標準建設。

5、《信息安全技術(shù)網(wǎng)絡(luò )等級保護基本要求》（等保2.0），明確了現階段網(wǎng)絡(luò )安全的新形勢、新變化及新技術(shù)、新應用的安全建設要求。

1.3 網(wǎng)絡(luò )安全保障體系建設原則

1、構建與公司信息化建設相適應的安全體系原則。應綜合考慮需求、風(fēng)險與代價(jià)的平衡關(guān)系，構建與現階段信息化建設相適應的安全體系，杜絕安全設備的簡(jiǎn)單冗余堆砌和不部署安全設備的情況。

2、分區分級原則。以應用系統為主導，科學(xué)劃分安全防護等級，并依據安全等級進(jìn)行安全建設和管理。

3、技術(shù)與管理相結合原則。安全技術(shù)與運行管理機制有效結合。

4、授權最小化原則。只授予主體和客體必要的權限，而不要過(guò)度授權。

5、易操作性原則。

1.4 網(wǎng)絡(luò )安全保障體系建設步驟

構建網(wǎng)絡(luò )安全保障體系是一個(gè)長(cháng)期疊加不斷優(yōu)化的過(guò)程。在此過(guò)程中，由于網(wǎng)絡(luò )安全技術(shù)難度相對高且更新快、安全廠(chǎng)商技術(shù)實(shí)現路徑差異大等特點(diǎn)，因此我們在安全體系建設上需要按照“統一規劃、分步實(shí)施、整合優(yōu)化”的步驟實(shí)施。一方面安全體系要統一規劃，分清輕重緩急、有重點(diǎn)的分步推進(jìn)；另一方面則要根據公司業(yè)務(wù)及信息科技發(fā)展，適度調整規劃和建設重點(diǎn)，以應對新的安全隱患。

1.5 網(wǎng)絡(luò )安全保障體系構建思路

公司網(wǎng)絡(luò )安全保障體系構建思路主要采用信息系統安全等級保護差異化的思想，從安全管理、安全技術(shù)、安全標準、安全工作體系四個(gè)領(lǐng)域出發(fā)構建與公司信息化階段相匹配的安全保障體系。其中本文重點(diǎn)講解的網(wǎng)絡(luò )安全管理體系涵蓋組織機構、制度、人員、系統建設運維、安全風(fēng)險評估、安全企業(yè)文化建設等7個(gè)方面。如圖1。

2 網(wǎng)絡(luò )安全管理體系

網(wǎng)絡(luò )安全建設三分靠技術(shù)，七分靠管理。公司網(wǎng)絡(luò )安全管理體系是網(wǎng)絡(luò )安全策略落地的關(guān)鍵和靈魂，主要涵蓋安全組織機構、安全制度體系、安全預警監測、安全風(fēng)險評估、安全建設與運維、安全應急及安全企業(yè)文化建設等七個(gè)部分。

2.1 建立統一的安全組織機構

建立有效的網(wǎng)絡(luò )安全組織機構、落實(shí)具體的安全職責是支撐網(wǎng)絡(luò )安全保障體系的基礎。網(wǎng)絡(luò )安全工作需要公司領(lǐng)導和全體員工的積極參與。公司建立了由決策層、管理層和執行層構成的安全組織架構。并以發(fā)文的形式成立網(wǎng)絡(luò )安全與信息化領(lǐng)導小組、網(wǎng)絡(luò )安全與信息化辦公室、信息化應急處置工作組。公司總經(jīng)理?yè)尉W(wǎng)絡(luò )安全與信息化領(lǐng)導小組組長(cháng)并履行網(wǎng)絡(luò )安全第一責任人職責，公司所有部門(mén)負責人擔任信息化領(lǐng)導小組組員。網(wǎng)絡(luò )安全與信息化辦公室掛靠信息管理部。信息化應急處置工作組下設信息安全專(zhuān)崗并配備專(zhuān)人，同時(shí)在各個(gè)部門(mén)設立信息安全應急聯(lián)系人。

2.2 層層壓實(shí)網(wǎng)絡(luò )安全責任

網(wǎng)絡(luò )安全要健康發(fā)展，責任擔當首當其沖。公司在制度中明確了安全責任不能外包，嚴格按照“誰(shuí)主管誰(shuí)負責，誰(shuí)運行誰(shuí)負責，誰(shuí)使用誰(shuí)負責”的原則，逐級落實(shí)網(wǎng)絡(luò )安全責任并采用簽訂網(wǎng)絡(luò )安全責任書(shū)的形式予以明確。在監管層面，由公司主管網(wǎng)絡(luò )安全的領(lǐng)導與監管機構簽訂網(wǎng)絡(luò )安全責任書(shū)；在集團層面，公司網(wǎng)絡(luò )安全工作指標納入集團公司年度考核范圍，實(shí)行一票否決制。在公司層面，信息化管理部門(mén)作為網(wǎng)絡(luò )安全執行部門(mén)與公司簽訂網(wǎng)絡(luò )安全責任狀；在員工層面，針對信息化專(zhuān)業(yè)人員和外包服務(wù)人員簽訂網(wǎng)絡(luò )安全責任書(shū)。

2.3 制定網(wǎng)絡(luò )安全制度體系

建立覆蓋機房、網(wǎng)絡(luò )、信息化資產(chǎn)、信息安全、運行維護、服務(wù)外包等內容的安全管理制度體系，涵蓋從信息系統規劃到運維全生命周期管理。在安全專(zhuān)項制度中明確了信息安全建設從宏觀(guān)方針到微觀(guān)操作的三層支撐體系。第一層是明確公司信息安全總體方針、目標與原則。第二層是落實(shí)公司信息安全總體方針、實(shí)現公司信息安全總目標的支撐內容，涵蓋制度、應急預案等。第三層是各類(lèi)操作手冊、工作流程規范等，是安全管理制度、應急預案的細化，主要涵蓋安全技術(shù)規范、信息化流程清單、信息安全應急操作手冊等。

2.4 落實(shí)安全運行體系

網(wǎng)絡(luò )安全管理重在落實(shí)。公司安全運行體系主要包括安全監測與預警、安全風(fēng)險評估、安全日常運維、安全事件應急處理、安全企業(yè)文化建設5個(gè)方面。

2.4.1 安全監測與預警

安全監測與預警是預防安全事件發(fā)生的重要手段，是安全工作從被動(dòng)防御向主動(dòng)轉化的關(guān)鍵。公司目前主要是采用自動(dòng)化監控設備并輔以人工審核的監測預警機制。安全專(zhuān)崗每天收集國家信息安全漏洞共享平臺及監管機構等發(fā)布的安全風(fēng)險提示、已部署的安全設備監測到的可疑事件、公司主機、網(wǎng)絡(luò )設備及通用軟件廠(chǎng)商的補丁發(fā)布情況等，針對發(fā)現的風(fēng)險預警和已確認的風(fēng)險漏洞組織系統廠(chǎng)商或信息安全專(zhuān)業(yè)服務(wù)廠(chǎng)商制定信息安全策略并組織實(shí)施。針對機房物理環(huán)境防水、防火、防盜、溫濕度控制、網(wǎng)絡(luò )連通性等基礎環(huán)境的風(fēng)險監控和預警主要采用自動(dòng)化監控設備輔以每日兩次的人工巡檢模式。

針對發(fā)布的預警信息和已確認的風(fēng)險漏洞建立信息安全事件每日登記表和編制網(wǎng)絡(luò )與信息系統安全運營(yíng)月報，將信息安全事件跟蹤處置情況納入信息安全月報進(jìn)行管理，實(shí)現所有漏洞的閉環(huán)管理。

2.4.2 安全風(fēng)險評估 

公司安全風(fēng)險評估主要采取自主常態(tài)化風(fēng)險評估和外部專(zhuān)業(yè)服務(wù)廠(chǎng)商專(zhuān)業(yè)評估兩種方式。自主常態(tài)化風(fēng)險評估主要通過(guò)已部署的漏洞掃描設備，在保證漏洞規則庫為最新的前提下，每月初對公司所有設備進(jìn)行漏洞掃描，針對發(fā)現的問(wèn)題及時(shí)開(kāi)展整改。外部專(zhuān)業(yè)服務(wù)廠(chǎng)商專(zhuān)業(yè)風(fēng)險評估主要是定期組織信息安全服務(wù)廠(chǎng)商開(kāi)展重要信息系統的滲透測試、風(fēng)險漏洞掃描、配置核查等工作。通過(guò)制定風(fēng)險評估方案，規范風(fēng)險評估流程，在專(zhuān)業(yè)服務(wù)廠(chǎng)商的指導下，逐漸培養出公司自身的安全風(fēng)險評估隊伍，逐步實(shí)現向自評估為主的安全風(fēng)險評估轉變。

2.4.3 安全日常運維

日常安全運維是保障信息資源安全穩定的基礎。公司已建立起了以風(fēng)險管控為主線(xiàn)，以安全效益為導向，以信息化為技術(shù)手段的運維機制。在管理層面，明確了所運維服務(wù)需編制運維服務(wù)單并明確運維操作內容、操作步驟、風(fēng)險評估及應急措施等，且運維服務(wù)單在審批同意后方能實(shí)施。在技術(shù)層面，采用機房運行監控平臺、網(wǎng)管平臺、綜合日志分析平臺、數據庫審計系統等專(zhuān)業(yè)化的監控設備輔以每日兩次人工巡檢校驗的模式。在運維模式方面，封閉互聯(lián)網(wǎng)遠程服務(wù)，所有的運維服務(wù)操作只能通過(guò)固定的已部署了堡壘機的終端上進(jìn)行操作。在運維審計方面，信息安全專(zhuān)崗定期通過(guò)堡壘機、綜合日志審計系統、數據庫審計系統對運維人員的操作行為進(jìn)行內控審計。

2.4.4 安全事件應急處置

公司安全事件應急區分常態(tài)化和專(zhuān)業(yè)化兩種不同的形式。面對常態(tài)化的應急處置事件，公司主要采取五方面的保障措施，一是發(fā)布公司信息安全應急響應管理辦法，明確網(wǎng)絡(luò )安全事件分類(lèi)、分級、響應報告、應急處置要求等。二是發(fā)布信息安全專(zhuān)項應急預案。三是建立涵蓋監管機構應急管理組織、公司內部應急管理組織、軟硬件設備商、信息安全服務(wù)廠(chǎng)商、業(yè)務(wù)系統廠(chǎng)商的應急處理聯(lián)系表并每年定期開(kāi)展修訂。四是編制公司信息安全應急操作手冊，按照信息安全事件分類(lèi)分級，明確各個(gè)崗位應急處置規范及要求等。五是每年定期開(kāi)展應急預案的培訓和演練工作。通過(guò)模擬不同等級的信息安全事件，讓參與演練的員工掌握不同等級信息安全事件的應急流程及注意事項，演練前模擬真實(shí)的演練環(huán)境，編制詳細的演練方案，演練完成后進(jìn)行演練情況分析及總結。

面對有組織的、專(zhuān)業(yè)化網(wǎng)絡(luò )攻擊應急處置事件，公司目前采取的主要措施是與專(zhuān)業(yè)的信息安全服務(wù)廠(chǎng)商簽訂信息安全專(zhuān)業(yè)服務(wù)協(xié)議，在發(fā)生惡意攻擊的情況下，可以及時(shí)獲得廠(chǎng)商的應急處置，有效降低安全危害和風(fēng)險損失。

2.4.5 安全企業(yè)文化建設

在網(wǎng)絡(luò )安全中，人是最薄弱的環(huán)節。公司在推進(jìn)信息安全企業(yè)文化建設方面，主要采取的措施包括常態(tài)化工作和專(zhuān)項工作。常態(tài)化工作主要包括：每年組織2次全員信息安全培訓、每年開(kāi)展一次公司信息化專(zhuān)業(yè)人員安全技能考試、每年開(kāi)展一次全員信息安全考試。通過(guò)培訓加考試的模式將員工是否參加培訓、是否提交請假事由、是否連續兩年缺席培訓作為信息安全減分的重要依據，同時(shí)將信息安全培訓分值與考試分值匯總得出員工本年度的信息安全總成績(jì)，作為個(gè)人信息安全履職的主要依據并歸檔保存。在信息安全文化建設專(zhuān)項工作方面，充分利用各種途徑向公司領(lǐng)導作信息安全專(zhuān)題匯報，加深公司領(lǐng)導對當前信息安全態(tài)勢的認知和公司信息安全現狀的理解，促使領(lǐng)導干部真正意識到信息安全的重要性和開(kāi)展信息安全工作的必要性。

3 實(shí)踐效果

經(jīng)過(guò)多年的實(shí)踐和積累，公司已建立了較完善的符合行業(yè)特色的網(wǎng)絡(luò )安全保障體系并在實(shí)際的應用中取得了良好的效果。公司自開(kāi)業(yè)至今，未發(fā)生一起網(wǎng)絡(luò )安全事件，在監管機構的現場(chǎng)檢查中給予了口頭表?yè)P，在集團公司組織的網(wǎng)絡(luò )安全檢查中給予公司“集團領(lǐng)先水平”的評價(jià)。在專(zhuān)業(yè)攻防實(shí)踐方面，無(wú)論是外部信息安全廠(chǎng)商在熟知公司網(wǎng)絡(luò )安全架構的前提下進(jìn)行的網(wǎng)絡(luò )滲透攻擊還是由公安部組織的國家網(wǎng)絡(luò )安全部隊專(zhuān)業(yè)化的網(wǎng)絡(luò )攻擊，公司立體化的安全保障體系均經(jīng)受住了考驗。

3.1 信息安全服務(wù)廠(chǎng)商專(zhuān)業(yè)安全風(fēng)險評估

為有效驗證公司安全保障體系的防護效果，暴露公司重要信息系統隱藏的深層次的安全漏洞，公司在2018年組織了國內知名的信息安全廠(chǎng)商對公司網(wǎng)絡(luò )及重要信息系統進(jìn)行滲透測試、漏洞掃描、配置核查等工作。其中滲透測試完全模擬黑客攻擊的方式，采用不限路徑、限定時(shí)間（非工作日期間）的攻擊策略、除對系統有重大風(fēng)險的滲透技術(shù)暫不采用外，基本覆蓋了市場(chǎng)上主流的滲透技術(shù)手段。信息安全廠(chǎng)商3名具有專(zhuān)業(yè)安全滲透資質(zhì)的高級工程師，在掌握公司網(wǎng)絡(luò )結構的情況下，在一周的時(shí)間內未完成公司安全防護體系的突破。為保障本次風(fēng)險評估真正能發(fā)現隱藏的漏洞，公司調整了滲透攻擊方式，采用攻擊方深入防火墻內側檢驗信息系統暴露出來(lái)的安全漏洞，經(jīng)過(guò)檢測公司信息系統暴露了部分可控的安全風(fēng)險。在此次風(fēng)險評估中，公司整體網(wǎng)絡(luò )安全狀況被評為“比較安全”。

3.2 2019年度公安部網(wǎng)絡(luò )安全攻防演習

2019年5月至6月，公司參加了由公安部組織的2019年度網(wǎng)絡(luò )安全攻防實(shí)戰演習。在演習期間未發(fā)現公司網(wǎng)絡(luò )和信息系統被攻破的情況，累計封堵可疑攻擊源600余個(gè)，攔截網(wǎng)絡(luò )攻擊330余萬(wàn)次、累計向全體員工發(fā)布攻防演習通知2次、安全預警8次和重要提醒3次、累計向9臺個(gè)人終端用戶(hù)發(fā)布預警提示并完成風(fēng)險整改、在完成自身安全防護的同時(shí)，協(xié)助其它4家單位完成13次安全預警事件的監測和處置工作。

4 結束語(yǔ)

眾所周知，網(wǎng)絡(luò )安全問(wèn)題的多樣性和多變性決定了安全工作是一項長(cháng)期性工作，網(wǎng)絡(luò )安全體系構建既不是固定模式的一成不變，也不可能一次解決一勞永逸，必須與時(shí)俱進(jìn)，公司已建立起的綜合立體化網(wǎng)絡(luò )安全保障體系也將持續優(yōu)化、不斷改進(jìn)，不斷適應未來(lái)可能出現的安全挑戰。由于時(shí)間倉促，文章中難免存在表述不到位或高度不夠等問(wèn)題，不妥之處請給予批評指正。

參考文獻

[1] 中華人民共和國國家標準信息安全技術(shù)信息系統安全等級保護實(shí)施指南

[2] GB/T28448-2012 信息安全技術(shù) 信息系統安全等級保護測評要求

[3] JRT 0071-2012 金融行業(yè)信息安全等級保護實(shí)施指引

[4] 李秀賓.淺談新形勢下金融保險企業(yè)縱深防御信息安全體系的構建 中國人壽保險股份有限公司.2016

來(lái)源：電力科技創(chuàng )新