当前位置:电子银行 > 正文
农信系统网络安全管理困境与破局之策

  目前,网络安全的涵义已经由传统、狭义上的安全,扩展到由计算机或其他信息终端及相关设备组成的一整套系统的广义的安全。互联网、云计算、物联网等新兴技术的广泛应用,把全球带入了“地球村”万物互联的时代,网络已经成为每一个人学习、工作和生活的必要载体。网络安全涉及到每一个人、每一个家庭、每一个单位,其重要性越来越凸显。

  一、我国网络安全形势严峻

  国家层面。

  据统计,全球因网络攻击每年造成的经济损失达4000多亿美元。我国是受网络攻击的重灾区。面对网络攻击愈演愈烈的严峻形势,国家高度重视,不断强化顶层设计和网络空间防御能力建设,成立了国家网络安全和信息化领导小组,明确树立了“没有网络安全就没有国家安全,没有信息化就没有现代化”的网络安全观。2016年12月,我国发布国家网络空间安全战略,2017年6月,正式实施《中华人民共和国网络安全法》。

  金融行业层面。

  金融是国家重要的核心竞争力,金融安全是国家安全的重要组成部分,网络安全是金融安全的重要内容之一。金融系统受到网络攻击的损失和危害尤其需要引起高度重视和警醒。近年来,金融行业因网络安全问题较频繁地出现业务中断、信息泄露、资金损失等一些突发事件。例如,北京亦庄某数据中心供电中断导致数十家银行业务中断;“5•26侵犯公民个人信息案”泄露公民银行个人信息257万条、资金损失达230万元。

  对此,监管部门先后出台了网络安全、客户信息保护、业务连续性管理、外包管理等一系列规定,进一步加大监管问责力度。银监会每年定期开展网络安全治理和检查督导,聘请专业公司对各银行的互联网应用进行漏洞扫描,建立通报机制,下发风险提示,对问题严重的机构采取约谈、监管处罚等强制措施。同时,银监会将网络安全管理纳入金融机构信息科技监管评级,分值占比越来越重,问责力度越来越大。

  农信系统层面。

  目前,农信社普遍构建了集传统业务和新兴业务于一体,覆盖同城、异地和跨行的统一的科技平台,业务发展多依赖于平台支撑,网络安全已经成为全系统重要的安全保障线。从山东来看,省联社围绕科技平台安全保障做了大量工作,建立了自上而下的安全管理组织架构和安全管理团队,构建了科技、风险、审计部门组成的“三道防线”,以及科技、业务、保障条线构成的业务连续性管理体系。

  制定了包括信息安全、风险评估、外包管理、网络管理等在内的较为完善的科技制度体系,上线了运维审计、IT资产管理、交易监控等安全辅助系统,每年组织开展检查评估、科技审计、安全培训、应急演练等安全管理工作。总体上看,山东农信系统整体运行状况基本平稳,安全形势基本可控。

  二、农信社网络安全管理存在的突出问题

  安全意识与严峻的安全形势不匹配。

  一是普遍存在“重发展创新、轻安全管理”现象,产品和服务创新积极,但网络安全这根弦没有绷紧。有的机构只建系统,安全要求考虑不足,部分系统未经安全评估就上线运行。

  二是网络安全投入不足。既有资金投入不足导致设备更新不及时问题,也有科技人员配备不足导致不合规兼岗问题。

  三是缺乏整体意识。一些人认为法人机构独立经营,必须自担风险。事实上,农信系统作为一个整体,单家机构出现风险,有可能波及整个系统。

  安全管理水平与安全要求不匹配。

  一是“三道防线”作用不强。省联社科技条线作用初步发挥,风险条线、审计条线还需进一步提升工作质效。

  二是制度落实不到位。监管部门和省联社围绕安全管理出台了一系列制度办法,但有的法人机构随意变通、选择性执行,出现问题推诿扯皮、避重就轻,未能严肃追责,制度的刚性约束力不够。

  三是部分领域安全管控不到位。系统建设存在未批先建、未及时备案、上线前未评测、未定期开展安全评估等问题,存在较大的安全隐患;法人机构终端安全管理不到位,存在安装使用盗版软件、与工作无关软件的问题;部分机构不按要求安装使用桌面安全软件、内外网设备混用;忽视客户信息等重要数据的保护,存在使用互联网传输内部数据、在外网机器和移动介质存放数据资料、混用系统账号等问题。个别机构过度依赖业务外包,未建立或未完善业务外包管理机制。

  安全技术手段与加强防御体系建设的要求不匹配。

  一是缺少网络准入控制措施。目前,有的机构未部署内网准入系统,无法有效控制外部设备接入内部网络及内部设备违规外联行为。

  二是终端防护亟待加强。部分机构现有的桌面安全管理系统在终端补丁管理、防病毒管理、移动介质管理等方面存在不足,无法满足当前安全管控的需要。

  三是缺少有效的防数据泄露技术手段,无法对内部网络数据的拷贝过程、数据流向进行有效控制。四是网络架构需要优化。随着第三方网络接入的不断增加,原有的网络架构和管控措施已不能满足当前的需要,需进一步优化调整网络架构,强化网络边界的防护能力。五是安全监控手段不足。多数法人机构缺少有效的安全监控手段,无法对辖内网络安全情况进行持续、有效的监控,应急响应能力不足,发现问题不能及时有效处置。

  三、做好网络安全管理的各项工作

  持续强化全员网络安全意识。网络安全事故多源于机构内部人员的错误和失误,应将人员管理作为网络安全管理的核心来抓,把提高人员的安全意识作为一项基础性工作来抓。首先,高管层要率先垂范,将网络安全理念融入经营管理决策之中。其次,应以人为本,全面提升员工的网络安全意识。坚持在干中学、学中干,将网络安全教育融入日常工作,采取多种方式加大培训力度,有针对性地解决问题,守住安全底线和红线。省联社应加强执纪问责,对违规违纪问题从严从快查处,维护制度办法的刚性;法人机构应“以点带面”,充分利用制作网络安全操作手册、举行网络安全知识竞赛、进行在线考试等形式,普及网络安全知识,补齐理念短板。

  完善网络安全管理机制。

  一是加强对网络安全的组织领导。对网络安全管理实行“一把手”负主责、分管领导抓落实的机制,采取有效措施,切实支持和保障网络安全工作的顺利开展。出现问题则评先评优一票否决。

  二是加强网络安全制度建设。省联社应做好网络安全制度顶层设计,制订和发布新版科技工作规范、信息安全基线、开发安全管理等制度规范,指导法人机构严格按照制度开展工作。法人机构应根据制度要求,结合自身实际出台操作细则,明确终端管理、数据保护、外包等工作的责任人。

  三是加强检查监督和执纪问责。建立常态化检查监督机制,将安全检查与日常监督相结合,对发现的问题进行严肃追责,建立问题整改追踪机制,定期督导,确保问题得到有效整改。省联社可采取全面检查和专项抽查相结合的方式,加大网络安全检查力度。法人机构每年应对全部网点进行一次检查。

  四是加强人才队伍建设。高度重视信息科技人才的培养和使用,完善人才激励机制,避免出现科技人员违规兼岗、专业不对口的现象。

  提升网络安全管理水平。

  一是在网络方面,省联社应根据全省网络安全现状和发展需求,强化网络规划设计,构建分层控制、动态适应的网络架构。建立全省网络安全管理技术规范,明确内部网络、互联网、无线网络管理要求,加快推进广域网络改造,引入网络准入系统。法人机构应加强网络边界管理,落实边界防护措施,形成常态化、规范化的网络安全管理体系。

  二是在终端防护方面,研究引入新的桌面安全管理工具,提高补丁管理、病毒防护、移动介质管理能力,保证计算机安全。法人机构应落实软件正版化和配置标准化要求,切实提高末端防护能力。

  三是信息安全基线管理,省联社制定安全基线管理制度,法人机构按要求将基线管理相关规定落到实处。

  四是在外包管理方面,工作外包但管理责任不能外包。做好外包商准入、外包人员管理、服务评价、风险评估等相关工作。

  五是在开发测试方面,高度重视开发期间的安全管理工作。省联社推进统一的特色业务管理平台建设,为法人机构提供统一的开发测试环境。法人机构加强数据脱敏、开发质量、上线前后的风险评估管理,严格控制开发和生产环境的设备接入,确保环境安全。

  六是加强应急能力建设。省联社加快推进灾备体系建设,满足重要信息系统业务连续性管理要求。法人机构强化应急能力建设,定期组织应急预案培训和应急演练,建立应急管理的长效机制。在应急管理方面,应有底线思维,预案及关键环节要演练到位,真正做到临危不惧、忙而不乱。

  扎实做好网络安全保障工作。

  一是开展网络安全专项检查。省联社对各法人机构开展现场检查,督促其落实管理要求;法人机构对辖内开展一次专项检查,深入排查并整改存在的风险隐患。

  二是做好运行维护工作。加强日常运维管理,严格落实值班、带班制度和操作规程,严密监控重要系统、重要基础设施的运行状态,及时加固、修复系统漏洞和薄弱环节。

  三是做好互联网应用安全管理。加强对门户网站、互联网应用的安全监测,及时发现攻击行为,堵塞安全漏洞。

  四是加强网络舆情管理。严格执行“零事件”报告制度,密切关注突发事件,一旦发生重大突发网络安全事件,必须第一时间向省联社报告,并按规定向当地监管部门报告,严禁虚报、迟报和漏报。五是开展全员安全教育培训,对网络安全管理工作进行全面部署,切实提高安全意识,改进和加强网络安全管理,防范重大网络安全事故。

相关链接:

作者:孙开连 来源:中国农村金融杂志社 发布时间:2018-03-08 07:32:36
 
 
  我要发表留言  查看所有评论
 

*
 限制字数显示剩余字数,最大长度: 500 还剩: 500
用户名:
       尊重网上道德,承担一切因您的行为而直接或间接导致的民事或刑事法律责任