郭光:加強關鍵信息基礎設施保護,守護金融系統安全運行
河北省農村信用社作為河北省規模最大、范圍最廣、客戶最多的銀行業金融機構,一直以來高度重視關鍵信息基礎設施保護工作,多措并舉推進機房安全、網絡安全、數據安全、終端安全、密碼安全等信息安全保護措施。
河北省農村信用社聯合社
金融科技服務中心副總經理 郭光
落實“一把手”負責制,各層級職責明確
河北省聯社高度重視關鍵信息基礎設施安全工作,成立了領導小組,省聯社理事長作為網絡安全責任第一責任人,負責對重大網絡與信息安全事項進行研究決策。省聯社成立信息科技管理委員會,完善信息科技“三道防線”建設工作,保證省聯社高層、風險、審計等部門在網絡和信息安全工作中的充分協作充分履職。金融科技服務中心負責關鍵信息基礎設施安全落實,統籌安排與之相關的具體工作。全省建立健全了省、市、縣三級網絡安全和關鍵信息基礎設施安全管理架構,同樣采取“一把手”負責制,明確了各層級、崗位安全責任,確保轄內信息安全保障工作。
嚴格履職,確保各項工作落實到位
為更好落實《關鍵信息基礎設施安全保護條例》要求,近期,河北省聯社金融科技服務中心設立了安全管理辦公室,在原工作基礎上強化了關鍵信息基礎設施安全管理相應職能,配合金融行業監管部門進行關鍵信息基礎設施種類和范圍的篩選、識別、認定,及時通報公安部門,負責關鍵信息基礎設施各項安全管理和檢查工作。安全管理辦公室成立以來,初步識別了河北省聯社轄內關鍵信息基礎設施(含機房、網絡、主機設備、重要業務系統及重要數據信息等);建立了關鍵信息制度管理體系、安全防護策略和防護流程指南;制訂了關鍵信息基礎設施安全保護計劃,同時組織了多場全省員工信息安全意識專項培訓,取得了良好效果。
主動防御,加強機房設施安全管控
機房是保障信息科技服務的關鍵基礎設施,為改變“以人為主”的被動式安全管理方式,加強主動性、自動化、智能化、流程化管控,河北省聯社建立了一體化運維監控服務平臺,對機房電力系統、溫濕度控制系統、消防系統、全省網絡系統、主機硬件系統、數據庫中間件、業務應用系統等進行全方位、自動化巡檢與監控,通過ECC大屏展示、聲光電告警、短信告警、手機APP告警等多種形式,實現主動式IT安全運維,提高運維效率和服務質量。
為切實保障機房環境及人員安全,杜絕未授權人員非法闖入、尾隨進入、超時操作、行為異常等不當行為發生,河北省聯社建設了機房綜合安防管理平臺,實現機房人員進出的動態管理;利用機器深度學習和人臉識別技術,主動實時抓拍人臉信息,智能分析機房內人員行為,全方位掌握人員活動軌跡和在崗情況,發現異常及時預警。今年,按防疫要求在機房出入口增加測溫識別,為疫情防護保駕護航。
因需施策,全面提升數據安全防護水平
隨著銀行業信息化進程的加快,數據安全已成為金融信息發展戰略中的關鍵部分,金融機構不僅要嚴防精心策劃的外部攻擊,還要防范來自內部人員的操作風險,通過對數據的分級管理和上下游各個環節安全防控,數據安全防控水平有了較大提升。
結合當前監管要求,河北省聯社建立了敏感數據定義和分類、分級標準,發布了《數據管理辦法》《數據安全管理辦法》《數據使用管理細則》《數據備份恢復管理實施細則》等一系列規章制度,對數據全生命周期進行了全面安全管理。在生產環境部署數據安全管理系統,建立數據拷入、拷出審批流程和敏感字段自定義審計功能,如數據存在敏感信息自動告警,通過主管領導審批后方可拷出,杜絕敏感數據信息非法流出的風險。
根據行業主管部門要求,對重要系統生產數據存儲和傳輸提出了明確要求,密碼、銀行卡磁道信息、銀行卡芯片信息、指紋、人臉等生物鑒別信息等4級數據要實現加密存儲,以上4級數據和賬號、名稱、證件信息、交易金額等3級數據實現加密傳輸。河北省聯社建立了統一的密碼安全服務平臺,為各重要業務系統提供全方位的加密服務,可實現3級、4級數據加密傳輸及4級數據加密存儲的要求,保護數據存儲、數據傳輸的機密性、完整性和不可抵賴性。
數據庫是信息化數據的主要載體,如何防范操作風險是擺在面前的一道難題,除完善的制度管理外還需要利用技術手段防控。河北省聯社部署了數據審計和管控系統,基于精確協議分析、完全SQL解析、參數化匹配、長語句解析、多語句解析和應用關聯技術,快速定位異常點和異常行為,支持20多種檢索條件,多重鉆取分析追溯風險來源。對于外部應用系統訪問,實現了漏洞攻擊檢測、SQL注入檢測等400多種默認規則;對于內部的應用系統訪問,實現了應用關聯審計和應用關聯規則,追溯應用賬戶安全;對于外部發起的數據庫漏洞攻擊、惡意SQL注入行為、非法業務登錄、高危SQL操作和批量數據下載提供實時的風險告警。
相較于外部風險,內部風險雖然發生幾率小,但危害性更大。河北省聯社通過技術手段對內部關鍵系統、關鍵數據進行了防篡改保護,采用國產密碼算法對關鍵數據進行加密保護,生成數據鑒別碼,在關鍵信息修改前后進行校驗,達到數據完整性保護的目的,有效阻斷人為惡意修改數據的風險。實現核心業務系統、信貸管理系統中存款余額、存款利息、貸款授信額度、本金等多個關鍵數據的防篡改保護。
內控外防,切實保障網絡安全
河北省聯社近年來加大了網絡安全防護力度,建設完成態勢感知與情報共享平臺,將防火墻、入侵防御系統、抗DDOS攻擊設備、WEB防火墻等安全設備威脅日志進行綜合分析,識別潛在威脅,抵御網絡滲透,快速發現異常流量、異常行為。部署了流量分析系統,對省中心內部網絡流量和省市廣域網流量進行實時收集、分析,準確評估網絡帶寬負載能力,實現網絡帶寬資源的精細化管理,及時定位網絡異常流量,從攻擊事件、資產安全、追蹤溯源、運行監測等多個維度進行安全態勢呈現,提供更為精準的威脅分析能力,為研判、決策和網絡安全保障提供有效的基礎支撐。同時與人行態勢感知與情報共享平臺實時聯動,接收威脅情報,跟蹤網絡安全態勢,建立具有對抗性、主動性、動態性的網絡安全防御體系,保障數字化業務發展。
為培養和提高河北省農村信用社網絡安全從業人員的網絡安全意識,建設網絡安全人才體系,開展了多輪次網絡安全技能培訓,普及網絡安全基礎知識,重點講授CTF、AWD等安全攻防技術,提升網絡安全基本技能,讓安全技術人員快速、系統、全面的掌握網絡、系統、安全和攻防技術。建設了用于網絡安全學習和實踐的網絡安全實訓平臺和實戰訓練靶場,組建攻擊團隊和防護團隊,以實戰化攻防驗證網絡安全配置基線的有效性,檢驗中間件、應用系統的健壯性,分析經驗與不足,進一步完善網絡安全監測措施、應急響應機制及預案等,強化信息系統安全建設與防護工作。
固定終端、移動終端及各類業務辦理設備是河北農信為廣大客戶提供優質服務的觸角延伸,也是最容易被利用和攻擊的對象。為應對當前嚴峻的安全形勢,河北省聯社采用終端管理一體化解決方案,重點突出終端及業務辦理設備的準入認證、病毒防護、桌面管理和數據防泄密4類功能,阻斷非法終端和設備訪問。有效查殺病毒、蠕蟲、木馬等,抵御高級可持續性威脅(APT),保護操作系統、文件系統安全,實現漏洞掃描、補丁分發、移動存儲管控、應用程序識別與控制、網絡安全防護、非法外聯控制、外設使用控制、賬號密碼安全監測、本地安全策略加固、安全行為審計、安全基線檢查等。正在建設的設備安全認證管理系統采用區塊鏈技術,利用分布式數據存儲、可靠的加密算法和共識機制,對設備從廠商發貨、入庫、出庫、準入、認證、報修報廢等全生命周期進行安全管理,杜絕非法設備接入使用,形成全省農信合法業務設備視圖,保障業務交易的安全性和可靠性。
