強化外部測評管理，提升金融網(wǎng)絡安全保障能力

丁光華

當前，全球網(wǎng)絡安全形勢日益嚴峻，銀行機構信息系統(tǒng)安全事件時有發(fā)生，且一些事件對銀行業(yè)務連續(xù)性產生了重要影響，壓力與挑戰(zhàn)與日劇增。《中華人民共和國網(wǎng)絡安全法》于2017年6月1日起正式實施，網(wǎng)絡安全管理邁入法治化階段，要求重要網(wǎng)絡和系統(tǒng)的運營者采取技術措施和其它必要措施，保障網(wǎng)絡安全、穩(wěn)定運行，同時要求關鍵信息基礎設施的運營者應當自行或者委托網(wǎng)絡安全服務機構對網(wǎng)絡的安全性和可能存在的風險進行評估。人民銀行是金融核心信息基礎設施的運營者，在加強自身網(wǎng)絡信息化建設管理的基礎上，依托外部第三方專業(yè)力量開展測評，全面摸清重要生產系統(tǒng)的狀況和薄弱環(huán)節(jié)，不斷優(yōu)化網(wǎng)絡安全管理，對于保障人民銀行重要網(wǎng)絡和應用系統(tǒng)安全穩(wěn)定運行尤為重要。本文在對測評工作進行綜合分析的基礎上，結合項目管理實踐，探索思考依托外部測評提升金融網(wǎng)絡安全保障能力的方式和路徑。

一、測評工作概述

評估系統(tǒng)是否存在潛在風險和缺陷，做到事前預防、消除隱患，實現(xiàn)風險防范關口前移，是提升網(wǎng)絡安全管理能力的關鍵環(huán)節(jié)。結合省級人民銀行網(wǎng)絡安全管理要求，目前主要采用內部檢查評估和外部測評相結合的方式強化安全管理。內部檢查評估由單位網(wǎng)絡安全管理人員擬定方案，實施評估，日常系統(tǒng)建設、運維等安全管理制度的執(zhí)行落實是重點，主要方式包括定期網(wǎng)絡安全檢查、專項檢查、重要時期網(wǎng)絡安全檢查評估等，屬于自我糾正自我完善;外部測評，是根據(jù)國家和行業(yè)相關標準、規(guī)范，由第三方安全專業(yè)服務機構實施評估，專業(yè)程度高、技術性強、涵蓋面寬，是落實國家網(wǎng)絡安全監(jiān)管的重要內容，也是評估系統(tǒng)潛在風險和缺陷的重要手段。目前外部測評開展的主要方式包括等級保護測評和風險評估。

等級保護測評是按照國家管理規(guī)范和技術標準，對未涉及國家秘密的信息系統(tǒng)安全等級保護狀況進行檢測評估的活動，旨在評估系統(tǒng)的安全防護是否滿足國家等級保護要求，是落實國家信息安全等級保護制度的關鍵環(huán)節(jié)。人民銀行結合行業(yè)特點制定了《金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引》《金融行業(yè)信息系統(tǒng)信息安全等級保護測評指南》等行業(yè)標準，指導規(guī)范行業(yè)等級保護測評工作，一般測評涵蓋物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全等內容。

風險評估是依據(jù)國家《信息技術信息安全風險評估規(guī)范》（GB/T 20984-2007）等，從風險管理角度對信息系統(tǒng)的各種安全因素進行定性與定量分析，主要以系統(tǒng)業(yè)務連續(xù)性和數(shù)據(jù)安全為核心，對被評估對象的資產、威脅和脆弱性進行有效識別和分析，包括資產識別與分析、威脅識別與分析、脆弱性識別與分析、風險識別與分析等過程，最后得出評估結果，并提出有針對性的改進措施。

二、測評項目標準化管理實踐

省級人民銀行運行系統(tǒng)屬于重要金融基礎設施，涉及資金清算、金融信息處理、內部管理等方面，在實踐過程中，根據(jù)系統(tǒng)安全管理目標、要求和依據(jù)的不同，綜合開展重要網(wǎng)絡和應用系統(tǒng)等級保護測評和風險評估，運用外部測評推動安全管理能力建設提升。為確保測評工作高效開展，在遵從信息化項目外包管理相關要求的基礎上，應嚴格從實施安全、測評效用、整改高效等方面強化全周期的標準化項目管理。

（一）項目安全風險管理

測評項目是對信息系統(tǒng)的深入分析和測試，方法包括訪談、檢查和測試等，項目安全風險管理尤為重要。首先，測評單位確定是關鍵，負責測評單位應具有相應資質，團隊過硬、信譽好，具有行業(yè)重要系統(tǒng)測評實施經(jīng)驗，符合安全保密要求，并應嚴格履行相應保密職責。其次，測評實施安全保障是重點，應確保實施工作不影響系統(tǒng)穩(wěn)定運行，不降低系統(tǒng)服務質量，且不引起新的風險，特別是對脆弱性掃描和滲透性測試等重要測試工作，應充分進行論證，合理確定工具、范圍、操作時間，如對重要系統(tǒng)服務器應在非業(yè)務高峰期或系統(tǒng)負載較輕的時候進行掃描，避免對業(yè)務的影響，確保實施過程安全、信息保密安全。

（二）項目質量效用管理

測評對象一般包括業(yè)務應用系統(tǒng)軟件、服務器及存儲設備，網(wǎng)絡通信設備（路由器和交換機）、安全設備（防火墻等）、PC客戶端、機房場地環(huán)境以及相關的運維管理人員和文檔資料，涵蓋技術和管理，且與具體的銀行業(yè)務應用密切相關，測評單位及測評人員應熟悉行業(yè)系統(tǒng)架構及應用情況，測評前應進行充分詳細的調研，明確評估的內容、方法、實施流程，測評過程中應充分有效的與運維人員、安全管理人員等溝通協(xié)調，確保測評能有效反應系統(tǒng)的現(xiàn)狀，客觀全面評估系統(tǒng)運行管理的潛在風險及隱患，提出的安全整改建議符合單位客觀實際情況，確保效用最大化。

（三）項目成果運用管理

測評報告是最終項目成果，目的是發(fā)現(xiàn)系統(tǒng)風險和薄弱環(huán)節(jié)，但這不是網(wǎng)絡安全管理的終點，高效開展問題整改，提升系統(tǒng)運行穩(wěn)健性才是最終目標。對于測評發(fā)現(xiàn)的問題，應按照整改建議，以科學性、先進性和安全性為原則，按照立行立改、管理和技術并重的要求，擬定整改方案，明確整改措施、整改計劃，必要時組織整改方案可行性評估，并通過專項會議、清單管理等方式，推動具備條件的風險問題及時整改落實。在整改過程中，應統(tǒng)籌風險等級、實施難度、實施條件等因素，對問題整改進行分類管理，如對于安全管理、制度建設等方面的問題，應結合單位情況，修訂完善制度規(guī)范，嚴格抓好落實，及時整改;對于主機應用、網(wǎng)絡架構等方面的問題，若因系統(tǒng)建設、產品成熟度等客觀原因限制不能及時整改且風險較低的，也應制定中長期整改計劃，同時加強應急管理，做好應急資源準備。

三、下一步工作思考

當前金融科技邁入新的歷史時期，信息系統(tǒng)跨單位、跨行業(yè)的互聯(lián)互通日益明顯，系統(tǒng)邊界逐漸模糊，系統(tǒng)間、業(yè)務間關聯(lián)風險突出，且網(wǎng)絡攻擊呈專業(yè)化、團隊化發(fā)展，攻防兩端能力的較量日益尖銳，為加強測評工作對單位重要網(wǎng)絡和應用系統(tǒng)安全保障的支撐能力，需要從保障體系建設、結果轉化運用、拓展合作等方面進一步完善測評工作管理。

（一）進一步完善保障體系建設

隨著云計算、人工智能、區(qū)塊鏈、大數(shù)據(jù)等新興技術的發(fā)展與運用，在優(yōu)化金融資源配置、促進金融業(yè)務發(fā)展的同時，也產生了新的安全風險和挑戰(zhàn)。為確保測評效用最大化，測評工作保障體系也應適時優(yōu)化完善，在傳統(tǒng)設備資產安全管理、防護技術管理的基礎上，應更加關注服務安全、業(yè)務數(shù)據(jù)安全，在梳理網(wǎng)絡邊界的基礎上，應更注重厘清數(shù)據(jù)流、業(yè)務流，IT運維人員和業(yè)務管理人員需緊密配合，深度協(xié)同;同時應調整角度，做好測評工作宣傳解釋，優(yōu)化完善與測評實施人員溝通配合機制，建立完善重要系統(tǒng)日常運維管理知識庫、安全事件處置知識庫，變被動接受測評為主動參與測評，進一步完善保障體系建設。

（二）深入推動成果多層次轉化運用

在高效開展測評問題整改、提升安全保障能力的同時，應完善測評成果轉化運用，建立統(tǒng)一化的問題風險清單，促進信息在不同部門、不同崗位人員的有效共享，并以風險防范為導向，立足全局，修訂完善信息化建設、管理等相關制度規(guī)范，避免已發(fā)現(xiàn)問題在不同系統(tǒng)重復出現(xiàn)，避免相似問題在新建系統(tǒng)中出現(xiàn)，促進測評成果在事前防范中的轉化應用。同時深化跨單位、跨行業(yè)的測評工作交流機制，實現(xiàn)案例、知識、管理等有效及時共享，并在系統(tǒng)互聯(lián)互通的重點領域，探索聯(lián)合測評、協(xié)同測評等工作機制，合力共筑安全防線，促進測評成果在事中完善的轉化運用。

（三）持續(xù)拓展與安全服務機構合作深度

當前，信息技術快速迭代，安全防護技術和產品發(fā)展往往相對滯后，且攻防兩端力量懸殊較大，在做好單位部門安全管理的同時，應以測評工作為基礎，不斷豐富拓展與第三方專業(yè)安全服務機構合作的內容及形式，如開展重要時期保障、威脅情報分享、應急響應、網(wǎng)絡安全攻防技能培訓、聯(lián)合應急演練等合作，以合作增進溝通理解，提升測評工作效用，以合作促進安全隊伍建設，提升網(wǎng)絡安全應急準備能力。

綜上，通過外部安全專業(yè)測評，評估風險，發(fā)現(xiàn)系統(tǒng)技術和管理等方面存在的風險和隱患，滿足國家網(wǎng)絡安全監(jiān)管要求，提升風險應對和處置能力，是系統(tǒng)運營單位完善網(wǎng)絡安全管理的重要路徑。對測評項目管理的探索，有利于提升測評效用，有利于持續(xù)推動金融網(wǎng)絡安全保障能力建設，具有一定實踐意義。

參考文獻：

[1]朱利妍.等級測評中的問題與建議[J].網(wǎng)絡安全和信息化，2018（7）.

[2]方言.金融科技不斷糾緊的安全神經(jīng)[J].中國信息安全，2017（7）.

[3]王笑，成林芳，翟亞紅.信息安全風險評估服務資質認證發(fā)現(xiàn)[J].信息安全研究，2018（10）.

（作者單位：中國人民銀行昆明中心支行科技處）