武蓉蓉

摘要：近年來，伴隨著云計(jì)算、大數(shù)據(jù)、人工智能等各種新技術(shù)、新模式、新業(yè)態(tài)的不斷涌現(xiàn)，各類信息安全問題日益凸顯，對(duì)傳統(tǒng)的科技管理方式提出新的挑戰(zhàn)。2017 年6 月，《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）正式實(shí)施，也對(duì)信息安全工作提出了更高要求。很多基層外匯管理局也充分認(rèn)識(shí)到新形勢下信息安全工作的重要性和復(fù)雜性，近年來進(jìn)行了大量有益的探索和實(shí)踐。但是由于信息安全工作頭緒多、管理力量不集中，導(dǎo)致缺乏系統(tǒng)化、規(guī)范化管理。本文在歸納總結(jié)基層外匯管理局信息安全管理中存在問題的基礎(chǔ)上，借鑒了美國ISS公司提出的P2DR（Policy Protection Detection Response）模型管理思路，探討了對(duì)基層外匯局信息安全管理工作的優(yōu)化路徑，對(duì)系統(tǒng)化、規(guī)范化管理具有一定指導(dǎo)和借鑒意義。

關(guān)鍵詞：P2DR模型 基層外匯管理局 信息安全

隨著云計(jì)算、大數(shù)據(jù)、人工智能等各種新技術(shù)、新模式、新業(yè)態(tài)的不斷涌現(xiàn)，以及國務(wù)院“放管服”改革的深入推進(jìn)，信息安全呈現(xiàn)出“跨地區(qū)、跨行業(yè)、跨部門”特點(diǎn)，涉及范圍越來越廣，眾多因素和變量均處于“不確定”狀態(tài)，使得信息安全管理日趨復(fù)雜。黨的十八大以來，以習(xí)近平同志為核心的黨中央高度重視網(wǎng)絡(luò)安全和信息化工作，黨的十九大報(bào)告更是對(duì)做好網(wǎng)絡(luò)安全和信息化工作提出了新要求。很多基層外匯管理局（以下簡稱基層外匯局）充分認(rèn)識(shí)到新形勢下信息安全工作的重要性和復(fù)雜性，近年來進(jìn)行了大量有益的探索和實(shí)踐，但是由于信息安全工作頭緒多、管理力量不集中，導(dǎo)致缺乏系統(tǒng)化、規(guī)范化管理，與新形勢下信息安全管理要求尚有差距。

一、基層外匯局信息安全管理存在的問題

（一）缺乏系統(tǒng)化的信息安全管理體系

相對(duì)于日益嚴(yán)峻的信息安全形勢，基層外匯局信息安全管理工作仍停留在傳統(tǒng)的“被動(dòng)式、粗放型”管理模式，缺乏系統(tǒng)性、全局性、標(biāo)準(zhǔn)化的管理體系。安全管理制度建設(shè)落后于信息化發(fā)展水平，安全管理手段自動(dòng)化程度低、適應(yīng)性差。

（二）存在“重技術(shù)、輕管理”現(xiàn)象

受傳統(tǒng)觀念的影響，大部分基層外匯局簡單認(rèn)為信息安全是一種單純的技術(shù)問題，只是技術(shù)部門的事情，存在著過分依賴技術(shù)、輕視管理的現(xiàn)象，缺乏部門間協(xié)作管理。

（三）預(yù)警處置能力有待加強(qiáng)

基層外匯局風(fēng)險(xiǎn)預(yù)警意識(shí)薄弱，風(fēng)險(xiǎn)識(shí)別、評(píng)估、檢測手段和方法不充足，主動(dòng)預(yù)防網(wǎng)絡(luò)安全威脅的人員不足，快速協(xié)調(diào)處置安全事件能力和經(jīng)驗(yàn)相對(duì)薄弱。

（四）缺乏“全生命周期”信息安全管理

近年來，部分基層外匯局探索研發(fā)小型應(yīng)用系統(tǒng)，以提升科技服務(wù)水平，但是未將信息安全管理貫穿于信息系統(tǒng)需求分析、系統(tǒng)設(shè)計(jì)、研發(fā)、測試、上線、運(yùn)維和退出等全生命周期中，存在“重開發(fā)、重應(yīng)用、輕安全”的問題，容易產(chǎn)生信息安全風(fēng)險(xiǎn)隱患。

（五）對(duì)外信息安全管理有待加強(qiáng)

隨著跨部門、跨地區(qū)、跨行業(yè)間系統(tǒng)與數(shù)據(jù)的互聯(lián)共享，以及外包形式的生產(chǎn)管理和技術(shù)支持模式日趨普遍化，對(duì)加強(qiáng)信息安全、防止數(shù)據(jù)泄露等管理要求越來越高，但基層外匯局對(duì)外部的信息安全管理卻相對(duì)薄弱。

二、P2DR模型的管理理念

P2DR（Policy Protection Detection Response）模型是一種動(dòng)態(tài)安全管理模型，由美國ISS公司提出，主要包含四部分：Policy （安全策略）、Protection（防護(hù)）、 Detection（檢測）、 Response（響應(yīng)），其中引入了Time（時(shí)間）概念，防護(hù)、檢測和響應(yīng)組成了一個(gè)較完整的、動(dòng)態(tài)的安全循環(huán)，在安全策略的指導(dǎo)下保證信息安全。

（一）安全策略

安全策略是模型的核心，主要通過制定一系列的安全管理制度、安全管理策略，明確信息安全管理的主要目的、管理力度，權(quán)衡安全性與便利性、運(yùn)行性能等。

（二）防護(hù)

防護(hù)是安全保障體系的“第一道防線”，是模型的重要組成部分，一方面通過安全管理技術(shù)和方法來預(yù)防安全事件發(fā)生，防止惡意威脅;另一方面，通過信息安全培訓(xùn)教育，提升操作人員安全意識(shí)和防范技能，防止意外威脅。

（三）檢測

檢測是整個(gè)模型動(dòng)態(tài)性的體現(xiàn)，通過持續(xù)地監(jiān)測網(wǎng)絡(luò)和信息系統(tǒng)，主動(dòng)發(fā)現(xiàn)新的風(fēng)險(xiǎn)點(diǎn)和薄弱點(diǎn)，及時(shí)做出循環(huán)反饋，從而持續(xù)優(yōu)化模型的防御能力，與防護(hù)系統(tǒng)形成互補(bǔ)，成為安全保障體系的“第二道防線”。

（四）響應(yīng)

當(dāng)發(fā)現(xiàn)安全漏洞或發(fā)生信息安全事件時(shí)，通過啟動(dòng)應(yīng)急響應(yīng)或恢復(fù)處置，及時(shí)解決信息安全事件，將系統(tǒng)風(fēng)險(xiǎn)降到最低。

（五）時(shí)間

P2DR模型中引入時(shí)間概念來衡量系統(tǒng)的安全性和安全防護(hù)能力。模式認(rèn)為信息安全的所有活動(dòng)，包括攻擊、防護(hù)、檢測和響應(yīng)都有時(shí)間成本。模型假設(shè)防護(hù)、檢測和響應(yīng)時(shí)間分別為Pt、Dt、Rt，系統(tǒng)安全條件為：Pt>Dt+Rt。即“及時(shí)的監(jiān)測和響應(yīng)的系統(tǒng)就是安全的”。

三、借鑒P2DR思路優(yōu)化基層外匯局信息安全管理

基層外匯局可以借鑒P2DR模型的管理思路，從安全策略、防護(hù)、檢測和響應(yīng)四方面加強(qiáng)轄區(qū)信息安全管理工作，構(gòu)筑全局性、系統(tǒng)性、標(biāo)準(zhǔn)化的信息安全管理體系。

（一）策略：完善制度建設(shè)，確保操作有章可循

信息安全管理制度是安全防護(hù)、檢測和響應(yīng)環(huán)節(jié)的重要依據(jù)，是信息安全管理工作的基礎(chǔ)，主要包括信息安全規(guī)章制度和操作規(guī)范策略?；鶎油鈪R局應(yīng)首先根據(jù)國際、國內(nèi)網(wǎng)絡(luò)安全態(tài)勢、外匯改革不同階段的外匯業(yè)務(wù)監(jiān)管需求，確定信息安全管理目標(biāo)、標(biāo)準(zhǔn)和水平。其次，依照“查漏補(bǔ)缺、逐步優(yōu)化”的原則，開展制度建立、修訂和完善工作，促進(jìn)信息安全管理由之前的經(jīng)驗(yàn)式、粗放型管理向科學(xué)化、規(guī)范化、專業(yè)化方向發(fā)展。制定涵蓋標(biāo)準(zhǔn)化管理、網(wǎng)絡(luò)運(yùn)維、計(jì)算機(jī)安全管理、數(shù)據(jù)安全保護(hù)、人員管理、場地管理、外包管理等信息安全管理規(guī)定，確保內(nèi)容全覆蓋。同時(shí)，針對(duì)自建信息系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)，建立從立項(xiàng)、建設(shè)、上線、運(yùn)行、下線等全生命周期管理制度和實(shí)施規(guī)范，逐步消除風(fēng)險(xiǎn)隱患。三是邀請(qǐng)第三方機(jī)構(gòu)，對(duì)制度的合理性和可操作性進(jìn)行評(píng)審，確保規(guī)章制度、操作規(guī)程切實(shí)有效。

（二）防護(hù)：筑牢安全防護(hù)體系，提升防護(hù)能力

“三分技術(shù)，七分管理”，基層外匯局應(yīng)建立以“技術(shù)防范為核心，管理防范為支持，意識(shí)防范為前提”的安全防護(hù)體系，提高信息系統(tǒng)的安全防護(hù)能力。一是構(gòu)建網(wǎng)絡(luò)設(shè)備防護(hù)體系。嚴(yán)格依據(jù)安全等級(jí)保護(hù)要求，在網(wǎng)絡(luò)設(shè)備上設(shè)置安全訪問策略，滿足多層次網(wǎng)絡(luò)訪問需求，提升網(wǎng)絡(luò)安全保護(hù)水平。二是強(qiáng)化身份認(rèn)證管理。身份認(rèn)證是最基礎(chǔ)的安全管理，基礎(chǔ)外匯局應(yīng)建立以制度規(guī)范為保障，以CA數(shù)字證書和加密簽名等技術(shù)手段為支撐的身份認(rèn)證體系，確保用戶行為的可追蹤。三是強(qiáng)化客戶端安全管理。通過安裝“一體化安全終端”、非法外聯(lián)、補(bǔ)丁分發(fā)等安全軟件，規(guī)范用戶管理要求，防范客戶端安全風(fēng)險(xiǎn)。四是加強(qiáng)基礎(chǔ)場地管理。對(duì)重要網(wǎng)絡(luò)設(shè)施存放的物理環(huán)境，配備門禁、環(huán)境監(jiān)測、消防、安全保衛(wèi)等防護(hù)措施，防范安全風(fēng)險(xiǎn)。五是加強(qiáng)人員安全教育。強(qiáng)化對(duì)業(yè)務(wù)人員的安全教育、技術(shù)培訓(xùn)，使得業(yè)務(wù)人員能夠正確使用系統(tǒng)，防止意外威脅。

（三）檢測：強(qiáng)化信息安全檢測，及時(shí)發(fā)覺安全隱患

檢測作為信息安全管理體系“第二道防線”，主要依托技術(shù)手段、安全審計(jì)等措施，分析信息安全狀態(tài)，及時(shí)發(fā)現(xiàn)新的威脅、風(fēng)險(xiǎn)前兆和系統(tǒng)薄弱點(diǎn)。基層外匯局可以從監(jiān)督檢查體系、安全檢查評(píng)估和應(yīng)急演練三方面強(qiáng)化檢測能力。一是嘗試建立監(jiān)督檢查體系，以信息安全風(fēng)險(xiǎn)管理為出發(fā)點(diǎn)，結(jié)合廉政風(fēng)險(xiǎn)防控和信息化審計(jì)，建立覆蓋信息系統(tǒng)立項(xiàng)、建設(shè)、測試、上線、運(yùn)行、下線等全生命周期以及日常運(yùn)維、網(wǎng)絡(luò)安全的檢查流程，形成定期檢查、監(jiān)督整改的良性循環(huán)，提高預(yù)警能力。二是制定信息安全評(píng)估指標(biāo)。結(jié)合轄區(qū)實(shí)際情況，制定科學(xué)合理的評(píng)價(jià)標(biāo)準(zhǔn)，通過年度信息安全檢查、內(nèi)部審計(jì)，定期評(píng)估組織機(jī)構(gòu)設(shè)置、信息安全管理制度、信息安全管理技術(shù)等方面的合理性和有效性，及時(shí)發(fā)現(xiàn)排查風(fēng)險(xiǎn)隱患和管理漏洞。三是對(duì)不同等級(jí)的信息系統(tǒng)和網(wǎng)絡(luò)制定不同的應(yīng)急演練預(yù)案，進(jìn)一步明確相關(guān)機(jī)構(gòu)和人員的職責(zé);組織全方位、多角度的應(yīng)急演練，及時(shí)評(píng)估應(yīng)急培訓(xùn)效果，同時(shí)，要針對(duì)突發(fā)情況制定響應(yīng)的安全處置策略，提高應(yīng)急響應(yīng)能力。

（四）響應(yīng)：強(qiáng)化安全管理隊(duì)伍建設(shè)，提升響應(yīng)能力

響應(yīng)是對(duì)檢測發(fā)現(xiàn)的漏洞或事件及時(shí)處置，將安全風(fēng)險(xiǎn)降到最低狀態(tài)，而人員是響應(yīng)的根本保障?；鶎油鈪R局一方面應(yīng)注重自身科技隊(duì)伍能力建設(shè)，樹立正確的人才培養(yǎng)觀，完善人才培養(yǎng)機(jī)制，從信息安全保障、信息安全管理、信息安全法規(guī)、政策與標(biāo)準(zhǔn)知識(shí)等方面加強(qiáng)人員的信息安全專業(yè)人才培養(yǎng)，做好突發(fā)事件時(shí)人員和技術(shù)儲(chǔ)備。另一方面充分利用外部技術(shù)力量提升響應(yīng)能力，暢通與設(shè)備技術(shù)支持部門的合作渠道，加強(qiáng)運(yùn)維保障合作，為復(fù)雜應(yīng)急處理提供技術(shù)支持。三是探索引入專業(yè)安全服務(wù)機(jī)構(gòu)，協(xié)助處置安全風(fēng)險(xiǎn)和安全整改問題，為網(wǎng)絡(luò)和信息安全、生產(chǎn)系統(tǒng)安全保駕護(hù)航。

作者單位：國家外匯管理局寧夏分局