亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        強化外部測評管理,提升金融網(wǎng)絡(luò)安全保障能力

        2019-11-28 08:37:09丁光華
        時代金融 2019年28期
        關(guān)鍵詞:網(wǎng)絡(luò)安全系統(tǒng)管理

        丁光華

        當(dāng)前,全球網(wǎng)絡(luò)安全形勢日益嚴(yán)峻,銀行機構(gòu)信息系統(tǒng)安全事件時有發(fā)生,且一些事件對銀行業(yè)務(wù)連續(xù)性產(chǎn)生了重要影響,壓力與挑戰(zhàn)與日劇增?!吨腥A人民共和國網(wǎng)絡(luò)安全法》于2017年6月1日起正式實施,網(wǎng)絡(luò)安全管理邁入法治化階段,要求重要網(wǎng)絡(luò)和系統(tǒng)的運營者采取技術(shù)措施和其它必要措施,保障網(wǎng)絡(luò)安全、穩(wěn)定運行,同時要求關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險進(jìn)行評估。人民銀行是金融核心信息基礎(chǔ)設(shè)施的運營者,在加強自身網(wǎng)絡(luò)信息化建設(shè)管理的基礎(chǔ)上,依托外部第三方專業(yè)力量開展測評,全面摸清重要生產(chǎn)系統(tǒng)的狀況和薄弱環(huán)節(jié),不斷優(yōu)化網(wǎng)絡(luò)安全管理,對于保障人民銀行重要網(wǎng)絡(luò)和應(yīng)用系統(tǒng)安全穩(wěn)定運行尤為重要。本文在對測評工作進(jìn)行綜合分析的基礎(chǔ)上,結(jié)合項目管理實踐,探索思考依托外部測評提升金融網(wǎng)絡(luò)安全保障能力的方式和路徑。

        一、測評工作概述

        評估系統(tǒng)是否存在潛在風(fēng)險和缺陷,做到事前預(yù)防、消除隱患,實現(xiàn)風(fēng)險防范關(guān)口前移,是提升網(wǎng)絡(luò)安全管理能力的關(guān)鍵環(huán)節(jié)。結(jié)合省級人民銀行網(wǎng)絡(luò)安全管理要求,目前主要采用內(nèi)部檢查評估和外部測評相結(jié)合的方式強化安全管理。內(nèi)部檢查評估由單位網(wǎng)絡(luò)安全管理人員擬定方案,實施評估,日常系統(tǒng)建設(shè)、運維等安全管理制度的執(zhí)行落實是重點,主要方式包括定期網(wǎng)絡(luò)安全檢查、專項檢查、重要時期網(wǎng)絡(luò)安全檢查評估等,屬于自我糾正自我完善;外部測評,是根據(jù)國家和行業(yè)相關(guān)標(biāo)準(zhǔn)、規(guī)范,由第三方安全專業(yè)服務(wù)機構(gòu)實施評估,專業(yè)程度高、技術(shù)性強、涵蓋面寬,是落實國家網(wǎng)絡(luò)安全監(jiān)管的重要內(nèi)容,也是評估系統(tǒng)潛在風(fēng)險和缺陷的重要手段。目前外部測評開展的主要方式包括等級保護(hù)測評和風(fēng)險評估。

        等級保護(hù)測評是按照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對未涉及國家秘密的信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行檢測評估的活動,旨在評估系統(tǒng)的安全防護(hù)是否滿足國家等級保護(hù)要求,是落實國家信息安全等級保護(hù)制度的關(guān)鍵環(huán)節(jié)。人民銀行結(jié)合行業(yè)特點制定了《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)實施指引》《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)測評指南》等行業(yè)標(biāo)準(zhǔn),指導(dǎo)規(guī)范行業(yè)等級保護(hù)測評工作,一般測評涵蓋物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全等內(nèi)容。

        風(fēng)險評估是依據(jù)國家《信息技術(shù)信息安全風(fēng)險評估規(guī)范》(GB/T 20984-2007)等,從風(fēng)險管理角度對信息系統(tǒng)的各種安全因素進(jìn)行定性與定量分析,主要以系統(tǒng)業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全為核心,對被評估對象的資產(chǎn)、威脅和脆弱性進(jìn)行有效識別和分析,包括資產(chǎn)識別與分析、威脅識別與分析、脆弱性識別與分析、風(fēng)險識別與分析等過程,最后得出評估結(jié)果,并提出有針對性的改進(jìn)措施。

        二、測評項目標(biāo)準(zhǔn)化管理實踐

        省級人民銀行運行系統(tǒng)屬于重要金融基礎(chǔ)設(shè)施,涉及資金清算、金融信息處理、內(nèi)部管理等方面,在實踐過程中,根據(jù)系統(tǒng)安全管理目標(biāo)、要求和依據(jù)的不同,綜合開展重要網(wǎng)絡(luò)和應(yīng)用系統(tǒng)等級保護(hù)測評和風(fēng)險評估,運用外部測評推動安全管理能力建設(shè)提升。為確保測評工作高效開展,在遵從信息化項目外包管理相關(guān)要求的基礎(chǔ)上,應(yīng)嚴(yán)格從實施安全、測評效用、整改高效等方面強化全周期的標(biāo)準(zhǔn)化項目管理。

        (一)項目安全風(fēng)險管理

        測評項目是對信息系統(tǒng)的深入分析和測試,方法包括訪談、檢查和測試等,項目安全風(fēng)險管理尤為重要。首先,測評單位確定是關(guān)鍵,負(fù)責(zé)測評單位應(yīng)具有相應(yīng)資質(zhì),團(tuán)隊過硬、信譽好,具有行業(yè)重要系統(tǒng)測評實施經(jīng)驗,符合安全保密要求,并應(yīng)嚴(yán)格履行相應(yīng)保密職責(zé)。其次,測評實施安全保障是重點,應(yīng)確保實施工作不影響系統(tǒng)穩(wěn)定運行,不降低系統(tǒng)服務(wù)質(zhì)量,且不引起新的風(fēng)險,特別是對脆弱性掃描和滲透性測試等重要測試工作,應(yīng)充分進(jìn)行論證,合理確定工具、范圍、操作時間,如對重要系統(tǒng)服務(wù)器應(yīng)在非業(yè)務(wù)高峰期或系統(tǒng)負(fù)載較輕的時候進(jìn)行掃描,避免對業(yè)務(wù)的影響,確保實施過程安全、信息保密安全。

        (二)項目質(zhì)量效用管理

        測評對象一般包括業(yè)務(wù)應(yīng)用系統(tǒng)軟件、服務(wù)器及存儲設(shè)備,網(wǎng)絡(luò)通信設(shè)備(路由器和交換機)、安全設(shè)備(防火墻等)、PC客戶端、機房場地環(huán)境以及相關(guān)的運維管理人員和文檔資料,涵蓋技術(shù)和管理,且與具體的銀行業(yè)務(wù)應(yīng)用密切相關(guān),測評單位及測評人員應(yīng)熟悉行業(yè)系統(tǒng)架構(gòu)及應(yīng)用情況,測評前應(yīng)進(jìn)行充分詳細(xì)的調(diào)研,明確評估的內(nèi)容、方法、實施流程,測評過程中應(yīng)充分有效的與運維人員、安全管理人員等溝通協(xié)調(diào),確保測評能有效反應(yīng)系統(tǒng)的現(xiàn)狀,客觀全面評估系統(tǒng)運行管理的潛在風(fēng)險及隱患,提出的安全整改建議符合單位客觀實際情況,確保效用最大化。

        (三)項目成果運用管理

        測評報告是最終項目成果,目的是發(fā)現(xiàn)系統(tǒng)風(fēng)險和薄弱環(huán)節(jié),但這不是網(wǎng)絡(luò)安全管理的終點,高效開展問題整改,提升系統(tǒng)運行穩(wěn)健性才是最終目標(biāo)。對于測評發(fā)現(xiàn)的問題,應(yīng)按照整改建議,以科學(xué)性、先進(jìn)性和安全性為原則,按照立行立改、管理和技術(shù)并重的要求,擬定整改方案,明確整改措施、整改計劃,必要時組織整改方案可行性評估,并通過專項會議、清單管理等方式,推動具備條件的風(fēng)險問題及時整改落實。在整改過程中,應(yīng)統(tǒng)籌風(fēng)險等級、實施難度、實施條件等因素,對問題整改進(jìn)行分類管理,如對于安全管理、制度建設(shè)等方面的問題,應(yīng)結(jié)合單位情況,修訂完善制度規(guī)范,嚴(yán)格抓好落實,及時整改;對于主機應(yīng)用、網(wǎng)絡(luò)架構(gòu)等方面的問題,若因系統(tǒng)建設(shè)、產(chǎn)品成熟度等客觀原因限制不能及時整改且風(fēng)險較低的,也應(yīng)制定中長期整改計劃,同時加強應(yīng)急管理,做好應(yīng)急資源準(zhǔn)備。

        三、下一步工作思考

        當(dāng)前金融科技邁入新的歷史時期,信息系統(tǒng)跨單位、跨行業(yè)的互聯(lián)互通日益明顯,系統(tǒng)邊界逐漸模糊,系統(tǒng)間、業(yè)務(wù)間關(guān)聯(lián)風(fēng)險突出,且網(wǎng)絡(luò)攻擊呈專業(yè)化、團(tuán)隊化發(fā)展,攻防兩端能力的較量日益尖銳,為加強測評工作對單位重要網(wǎng)絡(luò)和應(yīng)用系統(tǒng)安全保障的支撐能力,需要從保障體系建設(shè)、結(jié)果轉(zhuǎn)化運用、拓展合作等方面進(jìn)一步完善測評工作管理。

        (一)進(jìn)一步完善保障體系建設(shè)

        隨著云計算、人工智能、區(qū)塊鏈、大數(shù)據(jù)等新興技術(shù)的發(fā)展與運用,在優(yōu)化金融資源配置、促進(jìn)金融業(yè)務(wù)發(fā)展的同時,也產(chǎn)生了新的安全風(fēng)險和挑戰(zhàn)。為確保測評效用最大化,測評工作保障體系也應(yīng)適時優(yōu)化完善,在傳統(tǒng)設(shè)備資產(chǎn)安全管理、防護(hù)技術(shù)管理的基礎(chǔ)上,應(yīng)更加關(guān)注服務(wù)安全、業(yè)務(wù)數(shù)據(jù)安全,在梳理網(wǎng)絡(luò)邊界的基礎(chǔ)上,應(yīng)更注重厘清數(shù)據(jù)流、業(yè)務(wù)流,IT運維人員和業(yè)務(wù)管理人員需緊密配合,深度協(xié)同;同時應(yīng)調(diào)整角度,做好測評工作宣傳解釋,優(yōu)化完善與測評實施人員溝通配合機制,建立完善重要系統(tǒng)日常運維管理知識庫、安全事件處置知識庫,變被動接受測評為主動參與測評,進(jìn)一步完善保障體系建設(shè)。

        (二)深入推動成果多層次轉(zhuǎn)化運用

        在高效開展測評問題整改、提升安全保障能力的同時,應(yīng)完善測評成果轉(zhuǎn)化運用,建立統(tǒng)一化的問題風(fēng)險清單,促進(jìn)信息在不同部門、不同崗位人員的有效共享,并以風(fēng)險防范為導(dǎo)向,立足全局,修訂完善信息化建設(shè)、管理等相關(guān)制度規(guī)范,避免已發(fā)現(xiàn)問題在不同系統(tǒng)重復(fù)出現(xiàn),避免相似問題在新建系統(tǒng)中出現(xiàn),促進(jìn)測評成果在事前防范中的轉(zhuǎn)化應(yīng)用。同時深化跨單位、跨行業(yè)的測評工作交流機制,實現(xiàn)案例、知識、管理等有效及時共享,并在系統(tǒng)互聯(lián)互通的重點領(lǐng)域,探索聯(lián)合測評、協(xié)同測評等工作機制,合力共筑安全防線,促進(jìn)測評成果在事中完善的轉(zhuǎn)化運用。

        (三)持續(xù)拓展與安全服務(wù)機構(gòu)合作深度

        當(dāng)前,信息技術(shù)快速迭代,安全防護(hù)技術(shù)和產(chǎn)品發(fā)展往往相對滯后,且攻防兩端力量懸殊較大,在做好單位部門安全管理的同時,應(yīng)以測評工作為基礎(chǔ),不斷豐富拓展與第三方專業(yè)安全服務(wù)機構(gòu)合作的內(nèi)容及形式,如開展重要時期保障、威脅情報分享、應(yīng)急響應(yīng)、網(wǎng)絡(luò)安全攻防技能培訓(xùn)、聯(lián)合應(yīng)急演練等合作,以合作增進(jìn)溝通理解,提升測評工作效用,以合作促進(jìn)安全隊伍建設(shè),提升網(wǎng)絡(luò)安全應(yīng)急準(zhǔn)備能力。

        綜上,通過外部安全專業(yè)測評,評估風(fēng)險,發(fā)現(xiàn)系統(tǒng)技術(shù)和管理等方面存在的風(fēng)險和隱患,滿足國家網(wǎng)絡(luò)安全監(jiān)管要求,提升風(fēng)險應(yīng)對和處置能力,是系統(tǒng)運營單位完善網(wǎng)絡(luò)安全管理的重要路徑。對測評項目管理的探索,有利于提升測評效用,有利于持續(xù)推動金融網(wǎng)絡(luò)安全保障能力建設(shè),具有一定實踐意義。

        參考文獻(xiàn):

        [1]朱利妍.等級測評中的問題與建議[J].網(wǎng)絡(luò)安全和信息化,2018(7).

        [2]方言.金融科技不斷糾緊的安全神經(jīng)[J].中國信息安全,2017(7).

        [3]王笑,成林芳,翟亞紅.信息安全風(fēng)險評估服務(wù)資質(zhì)認(rèn)證發(fā)現(xiàn)[J].信息安全研究,2018(10).

        (作者單位:中國人民銀行昆明中心支行科技處)

        猜你喜歡
        網(wǎng)絡(luò)安全系統(tǒng)管理
        棗前期管理再好,后期管不好,前功盡棄
        Smartflower POP 一體式光伏系統(tǒng)
        WJ-700無人機系統(tǒng)
        ZC系列無人機遙感系統(tǒng)
        北京測繪(2020年12期)2020-12-29 01:33:58
        網(wǎng)絡(luò)安全
        網(wǎng)絡(luò)安全人才培養(yǎng)應(yīng)“實戰(zhàn)化”
        上網(wǎng)時如何注意網(wǎng)絡(luò)安全?
        連通與提升系統(tǒng)的最后一塊拼圖 Audiolab 傲立 M-DAC mini
        “這下管理創(chuàng)新了!等7則
        雜文月刊(2016年1期)2016-02-11 10:35:51
        人本管理在我國國企中的應(yīng)用
        欧美日韩精品一区二区三区高清视频 | 日本精品一区二区高清| 色综合久久精品亚洲国产| 久久久精品波多野结衣| 亚洲色欲色欲大片WWW无码| 在线观看二区视频网站二区| 性欧美丰满熟妇xxxx性久久久| 青草视频在线播放| 中文亚洲爆乳av无码专区| 亚洲色图偷拍自拍亚洲色图| 亚洲成av人片一区二区密柚| 成人久久久久久久久久久| 欧美日韩亚洲成色二本道三区| 国产国语一级免费黄片| 亚洲欧美中文日韩在线v日本| 午夜无码国产理论在线| 久久国产精品视频影院| 人妻秘书被社长浓厚接吻| 99国产精品99久久久久久| 欧美mv日韩mv国产网站| 免费无遮挡毛片中文字幕| 成人免费播放视频影院| 免费观看交性大片| 97超级碰碰人妻中文字幕| 国产免费激情小视频在线观看| 偷拍美女上厕所一区二区三区| 巨胸喷奶水www视频网站| 国产成人久久精品区一区二区| 俺来也三区四区高清视频在线观看| 97成人精品国语自产拍| 亚洲av成人一区二区三区| 国产一区二区三区精品久久呦| 一本色道久久88加勒比—综合| 婷婷丁香五月激情综合| 国产成人精品日本亚洲18| 国产一区二区三区资源在线观看| 三级黄色片免费久久久| 国产激情内射在线影院| 亚洲aⅴ久久久噜噜噜噜| 亚洲不卡av一区二区三区四区| 免费高清av一区二区三区|