文 / 中國農業銀行數據中心 林鵬 張志峰 孫英明

　　林鵬，現任中國農業銀行數據中心黨委委員、紀委書記，兼任信息安全領導小組副組長及園區綜治領導小組副組長。

　　隨著互聯網與傳統行業的不斷融合，信息安全形勢日趨復雜和嚴峻。本文通過對“互聯網+”下的信息安全現狀及形勢進行分析，提出存在的問題和解決措施，從意識、管理、技術、交流合作等層面提出風險應對措施，為提升“互聯網+”下的信息安全管理水平奠定了理論基礎。

　　“互聯網+”下的信息安全日益重要

　　大數據時代，以IT技術為生產工具、以數據為生產資料，互聯網與傳統行業的深度融合模式已經形成。在海量信息的產生、收集、傳輸、存儲、訪問、銷毀等過程中，信息安全貫穿始終，只有控制好每一環節，保證信息的保密性、完整性和服務可用性，企業方能長足發展創新、立于不敗之地；如若不然，安全底線失守，信息安全事件演化帶來的業務影響、資金損失、聲譽風險等，將給企業帶來巨大損失甚至是致命危害。

　　1.面臨的威脅挑戰。隨著互聯網的繁榮發展，信息安全形勢日趨復雜嚴峻。一是面臨的網絡威脅越來越嚴重。除了傳統的SQL注入、DDOS等常見攻擊，APT高級持續威脅等新型攻擊方式也愈演愈烈，據統計，國內銀行一年遭受的網絡攻擊次數就高達上千萬次。二是新技術、新架構帶來新風險。相比傳統封閉式系統，開放式系統漏洞更多，更容易遭受攻擊；云計算技術引入新風險，個別應用的安全短板甚至會影響整個云平臺的安全。三是信息泄漏和濫用問題日益嚴峻。大數據依托海量數據集中，一旦泄漏危害不堪設想，2017年僅Equifax一家機構泄露的美國公民私人信息就高達1.43億條?！稊祿孤端街笖嫡{查報告》顯示，2017年全球被泄或被盜的數據為26億條，同比增加88%，其中涉及金融服務的財務、賬號數據泄露數量巨大，這為企業尤其是銀行數據保護敲響了警鐘。

　　2.信息安全的重要性。當今網絡和信息系統已經成為整個經濟社會的神經中樞，遭受攻擊破壞、發生重大安全事件，將導致能源、交通、通信、金融等基礎設施癱瘓，造成災難性后果，國家經濟安全和公共利益將受到嚴重危害。以農行為例，隨著信息技術的發展，日均交易量從10年前的0.46億筆增長至現在的近5億筆，其中電子渠道交易占比高達97%。如果受到網絡攻擊或感染病毒，就可能對8.64億賬戶的安全造成影響，平均每停機1秒就有5000余筆交易無法進行，這對國計民生的影響是不言而喻的?！盎ヂ摼W+”時代下，無論對國家、企業還是個人來說，信息安全都至關重要，做好信息安全管控刻不容緩。

　　3.國家戰略需要和法律法規要求?；趪鴥韧鈴碗s網絡安全形勢，國家于2014年2月成立中央網絡安全和信息化領導小組，國家主席習近平親自擔任組長，并于2018年3月改為中央網絡安全和信息化委員會。網絡安全被提升至國家安全戰略的新高度。為推動網絡空間法治建設，《中華人民共和國網絡安全法》于2017年6月正式生效，對包括銀行業在內的各家組織機構的信息安全與風險管理提出了許多新要求。實施一周年以來，境內感染惡意程序的主機數量減少26.1%，移動互聯網惡意程序數量增速減緩，網絡安全治理收效顯著。

　　“互聯網+”時代的信息安全風險應對措施

　　1.風險應對基本策略。為有效應對“互聯網+”下的信息安全挑戰，滿足法律和監管要求，主動適應市場、環境、技術的變化，我們認為做好這項工作，首先要采取以下幾點策略。

　　審慎合規：從合法、合規角度出發，守住安全底線，重點防范信息泄漏和濫用，確保不發生長時間、大范圍的信息安全事件。

　　理性安全：不追求絕對的安全，兼顧安全與成本，避免無限制的安全阻礙新技術的使用和業務的創新，安全要為業務服務。

　　快速響應：施行IT、業務一體化的監測、分析與處置，實現提前預警預判，快速消除信息安全風險隱患。

　　合作共治：監管部門、企業、安全機構加強合作交流，建立信息安全情報合作分享機制，打造“互聯網+”信息安全生態，共享信息安全成果。

　　2.風險應對具體措施?；谏鲜霾呗?，各機構還應積極做好具體應對措施。

　?。?）落實《國家網絡空間安全戰略》，增強風險意識和危機意識?；ヂ摼W不是“安全島”，而是“是非地”，各種風險隱藏其中。任何機構和個人，都必須充分認識當前網絡空間安全形勢的嚴峻性、復雜性和危險性，嚴格落實國家網信辦發布的《國家網絡空間安全戰略》，充分估計互聯網的安全風險，積極應對，科學規劃，統籌安排，確保信息安全，讓互聯網為我所用，為企業發展提供有力支撐。

　?。?）牢固樹立法制觀念，增強合法合規意識?！毒W絡安全法》的實施，把信息安全上升到法律層面，法律條款既適用于各機構，也適用于個人與責任人員。信息安全做不好就是違法，輕則罰款、重則需承擔刑事責任。不論從機構角度，還是個人角度，做好信息安全工作勢在必行。我們必須增強法制觀念，依法合規建立配套管控策略，落實具體管控措施，才能健康可持續發展。

　?。?）適時審慎引入新技術新架構，加強信息安全技術防范。隨著云計算、大數據等新技術的不斷發展和應用，信息安全工作也應緊隨新技術的方向發展。一是針對互聯網時代新型外部攻擊方式多、來源廣、影響大的特點，引入數據防泄漏、云端惡意代碼防范等新安全技術，彌補開放式系統架構漏洞多的弱點。二是構建基于大數據的安全運營中心，實現安全態勢的全維度智能感知、可視化展現及前瞻性預測。三是綜合運用應用安全檢測、云綜合日志審計，引入同態加密等技術，適應云計算環境特點，在保證用戶體驗的前提下，有效破解云環境的安全難題。

　?。?）重視信息安全管理，構建規范制度體系和高效操作流程。信息安全“三分靠技術，七分靠管理”。各機構應積極建立專業高效權威的信息安全組織。一是在高管層設置CISO（首席信息安全官）統領信息安全工作。二是組建橫跨科技、業務、法律、公共關系等部門的信息安全團隊，統籌制訂安全策略，發揮各專業優勢，針對安全問題實現一體化的整體快速響應。三是推行標準化管理體系，借助國際先進管理技術理念和最佳實踐，形成規范管理制度和流程，帶動技術研究革新，為信息安全工作提供有力保障。

　?。?）加強交流和研究合作，打造“互聯網+”信息安全生態。信息有國界，信息安全無國界。各機構應加強國際、國家、行業等各層面的交流合作，共營互聯網信息安全。一是推動設立行業網絡信息安全平臺，與CNCERT、CVE等安全組織合作，為行業內的安全事件及時發現、快速預警和協調處置提供服務。二是建立與第三方安全機構、信息安全企業的常態化交流機制，準確把握信息安全前沿動向，交流安全防護工作經驗。三是加強對優秀信息安全企業技術專業優勢的運用，嘗試引進試用，強化安全防護。四是要深化“產學研用”的合作對接，積極嘗試國產技術產品，形成“產學研用”一體化的良性循環。

　?。?）加強培訓宣貫，營造信息安全文化。從一個組織生產、管理、傳播及保護信息的各個環節來看，都是人在起決定性作用，應當把幕后主角“人”納入信息安全的定義中去，把建立“人力防火墻”看作是實現有效信息安全的基礎。通過引導團隊形成共同的態度、認識和價值觀，建立規范的思維和行為模式，營造“信息安全，人人有責”的企業文化氛圍，從而使員工成為企業信息安全的一道“最可靠防線”，實現組織信息系統的長治久安。

　　農行數據中心的信息安全管理實踐

　　為應對互聯網下的安全威脅，中國農業銀行數據中心按照上述策略與工作思路，重點從安全管理、安全技術、實體安全三個方面來加強信息安全保障。

　　1.不斷強化規范化管理，加強內外部聯絡交流，形成穩定高效的信息安全管控體系。一是加強組織領導。成立信息安全工作領導小組，定期專題研究部署安全工作，強化統籌指導。二是狠抓制度、流程、規范等基礎管理工作。引入ISO20000、ISO27001國際先進標準，成為四大行首家通過“雙認證”的數據中心。近10年持續實踐改進，實現生產運行工作流程化、操作規范化、管理高效化。三是注重宣貫教育。開展案例警示教育、信息安全競賽、業界專家專題講座，引導員工牢固樹立法治觀念和合規意識。四是大膽探索實踐，打造富有科技運維特色的“三線一網格”管理模式?！叭€”是指黨建線、紀檢線、合規線，是落實黨委主體責任、紀委監督責任，強化安全合規的重要條線和關鍵環節?！耙痪W格”是指員工行為管理網格化責任體系。這一管理模式核心是強化合規管控，以監督員工行為、思想狀況、合規操作等為切入點，建立規范管理、防范風險的長效機制，為操作風險預警提供有力抓手。五是深化檢查審計開展，積極推動問題整改。全面檢查和專項檢查相結合，廣挖、深挖風險隱患；固化整改流程，切實督促措施執行，保障整改有力有效。六是建立完善內外部溝通聯動機制。定期與監管單位交流研討，跟進最新監管要求；聯絡工行、中行、百度等單位交流研討，拓展工作思路。

　　2.持續完善信息安全防護技術措施，構建縱深立體、全面覆蓋的技術防護體系。一是實現全覆蓋終端安全管理。引入先進終端防護系統，實現統一安全策略配置、補丁下發、外設管理及網絡準入控制等功能，有效阻擋非法終端入網、病毒感染傳播等威脅。二是開展全網段信息系統漏洞管理。定期對所有信息系統和終端進行漏洞評估，及時處置信息安全漏洞。三是實現全自動安全態勢感知。部署集中安全審計平臺，實現每日近10億條日志的有效管理，挖掘內部違規操作、感知外部攻擊威脅，提升行為審計和威脅阻斷效率。四是加強威脅情報分析。對接威脅情報平臺，實現分鐘級更新獲取最新威脅信息，對攻擊根據惡意程度和風險等級進行分級管理、分類處置，增強安全分析能力。五是實現一體化用戶集中管理。實現對主機、開放、網絡用戶的集中管控，所有用戶通過特權賬號管理系統登錄，用戶權限的使用均經審批，所有行為都有留痕，有效保證用戶操作行為安全。

　　3.落實實體安全“七化”工作措施，保障基礎環境安全穩定。一是建立“系統化”安保管理體系。設立數據中心園區社會治安綜合治理安全工作領導小組，建立全方位、多層級的消防、安防、人防和物防安全體系，做到“定位、定崗、定人、定責”。二是推行“準軍事化”安保管理。執勤保安7×24小時標準軍姿站崗；定期檢查與突擊檢查相結合，加強對保安在崗及履職情況的督查。三是導入“標準化”體系。建立安保制度，固化工作流程；定期開展消防安全培訓和應急演練，增強員工風險處置能力。四是執行“精細化”管控。機房實行門禁、人臉識別、指紋和保安確認“四重”認證，機房作業實行流程審批、視頻實時跟蹤、現場監管等多道防控。五是抓好“常態化”基礎管理。持續完善各類突發事件應急預案及場景，應急管理和培訓做到經?；?。六是實施“專業化”技防系統管理。園區消防、監控和門禁三大技防系統7×24小時穩定運行；定期與消防單位開展聯合消防實戰演練，提高技防系統專業管理水平。七是開展“多元化”綜合治理工作。安保審批流程自動化，進出機房作業、物品出門、外協人員信息內部聯網；建立要害崗位人員電子臺賬，關注員工涉外活動；多媒介傳導安全知識，提高員工安全意識和防護能力。

　　通過安全管理、安全技術和實體安全“三”管齊下，農行數據中心生產運行在業內處于領先水平，未發生重大信息安全事件，未造成重大客戶信息泄露或資金損失，為業務經營與發展提供有力支撐?！　?/P>

責任編輯：韓希宇