屈盛知

隨著我國信息化的快速發(fā)展，我國銀行業(yè)快速向線上化、移動(dòng)化方向轉(zhuǎn)型，信息化程度已成為銀行業(yè)競(jìng)爭(zhēng)的重要指標(biāo)。商業(yè)銀行大力建設(shè)手機(jī)銀行、網(wǎng)上銀行、直銷銀行等系統(tǒng)，將其作為業(yè)務(wù)延伸的重要渠道，信息化有力地支撐了銀行業(yè)務(wù)的快速發(fā)展，特別是云計(jì)算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等一系列技術(shù)先后取得重大突破，并逐步應(yīng)用到各種金融業(yè)務(wù)場(chǎng)景中，極大地促進(jìn)了金融創(chuàng)新，但也帶來新的網(wǎng)絡(luò)安全問題。分布式拒絕服務(wù)攻擊（即：DDoS攻擊）、高級(jí)可持續(xù)威脅攻擊（即：APT攻擊）、社會(huì)工程學(xué)、撞庫攻擊等手法不斷推陳出新，金融行業(yè)成為網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)。據(jù)最新發(fā)布的《全球關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全狀態(tài)分析報(bào)告》顯示，33.1%的網(wǎng)絡(luò)攻擊事件發(fā)生在金融領(lǐng)域，是占比最高的領(lǐng)域。商業(yè)銀行必須建設(shè)符合自身實(shí)際的網(wǎng)絡(luò)安全防御體系，通過技術(shù)、管理等方面，全方位應(yīng)對(duì)包括外部威脅和內(nèi)部漏洞等各類網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

福建省農(nóng)村信用社聯(lián)合社（以下簡(jiǎn)稱“福建農(nóng)信”）自2005年成立以來，承擔(dān)著對(duì)福建省內(nèi)67家農(nóng)信社（農(nóng)商行）“管理，指導(dǎo)，協(xié)調(diào)，服務(wù)”的職責(zé)，在信息系統(tǒng)建設(shè)方面統(tǒng)籌推進(jìn)，積極開拓，取得了巨大進(jìn)步，帶領(lǐng)全省農(nóng)信成為福建農(nóng)村金融服務(wù)的主力軍。 但由于歷史的原因，福建農(nóng)信在信息化進(jìn)程及網(wǎng)絡(luò)安全保護(hù)水平上與國內(nèi)大型商業(yè)銀行相比仍存在一定差距。分析近年來在網(wǎng)絡(luò)安全建設(shè)方面的薄弱環(huán)節(jié)，結(jié)合福建農(nóng)信在網(wǎng)絡(luò)安全方面探索實(shí)踐經(jīng)驗(yàn)，本文提出了從縱深防御、收斂防御、重點(diǎn)防御、主動(dòng)防御等四個(gè)方面進(jìn)行網(wǎng)絡(luò)安全防御的建設(shè)思路，以構(gòu)建具有農(nóng)信特色的多層次網(wǎng)絡(luò)安全防御體系。

福建農(nóng)信網(wǎng)絡(luò)安全痛點(diǎn)分析

近年來隨著福建農(nóng)信各項(xiàng)業(yè)務(wù)的快速發(fā)展，福建農(nóng)信也在不斷加大對(duì)信息科技建設(shè)的投入，提升對(duì)網(wǎng)絡(luò)安全的管控力度，并專門成立了網(wǎng)絡(luò)安全管理專職部門，為“科技引領(lǐng)業(yè)務(wù)”保駕護(hù)航。但是由于在網(wǎng)絡(luò)安全建設(shè)方面積累時(shí)間短，人才短缺等問題，網(wǎng)絡(luò)安全保護(hù)還存在依靠“堆產(chǎn)品、壘高墻”現(xiàn)象，網(wǎng)絡(luò)安全防御缺乏體系化。

（一）管理制度規(guī)范制定容易落地難

目前，福建農(nóng)信開展了ISO27001信息安全管理體系建設(shè)，按照公安機(jī)關(guān)要求開展等級(jí)保護(hù)等工作，以提升網(wǎng)絡(luò)安全管理水平。但實(shí)踐中存在ISO27001認(rèn)證容易落地難，等級(jí)保護(hù)工作基本達(dá)標(biāo)，但短板不少，核心問題是缺乏可以落地的技術(shù)手段。

（二）專職團(tuán)隊(duì)人少事雜綜合素質(zhì)欠缺

省聯(lián)社及行社專職從事網(wǎng)絡(luò)安全工作的員工數(shù)量有限，且部分員工的專業(yè)知識(shí)儲(chǔ)備不足。隨著網(wǎng)絡(luò)安全形勢(shì)的日趨嚴(yán)峻，網(wǎng)絡(luò)安全已經(jīng)上升為國家戰(zhàn)略，網(wǎng)絡(luò)安全人員缺口越來越大。另一方面，“合規(guī)”是網(wǎng)絡(luò)安全工作的基本要求，但不少機(jī)構(gòu)的網(wǎng)絡(luò)安全部門還承擔(dān)著大量合規(guī)管理的職能，對(duì)內(nèi)需要對(duì)接風(fēng)險(xiǎn)管理、內(nèi)部審計(jì)部門，對(duì)外需要配合銀保監(jiān)、公安、國安等監(jiān)管部門的各類檢查。網(wǎng)絡(luò)安全專業(yè)知識(shí)儲(chǔ)備不夠、素質(zhì)參差不齊、工作內(nèi)容龐雜，一定程度上給網(wǎng)絡(luò)安全相關(guān)規(guī)范要求的落實(shí)貫徹增加了難度。

（三）技術(shù)防御手段和理念亟待加強(qiáng)

技術(shù)防御手段網(wǎng)絡(luò)安全通過“老三樣”加強(qiáng)對(duì)網(wǎng)絡(luò)層面的安全，即通過防火墻對(duì)服務(wù)端口進(jìn)行屏蔽，通過旁路部署IDS（即入侵檢測(cè)系統(tǒng)）對(duì)網(wǎng)絡(luò)流量進(jìn)行分析，通過部署防病毒軟件實(shí)現(xiàn)病毒防護(hù)。這些措施都側(cè)重于不斷的“堆產(chǎn)品、壘高墻”，面對(duì)層出不窮的網(wǎng)絡(luò)攻擊，無法有效進(jìn)行實(shí)時(shí)檢測(cè)和阻斷，特別是針對(duì)應(yīng)用層的滲透和攻擊，更無法知曉整網(wǎng)信息安全態(tài)勢(shì)，不能形成立體的、有效的防護(hù)。

（四）綜合網(wǎng)絡(luò)安全管理門戶建設(shè)不足

網(wǎng)絡(luò)安全工作涉及的點(diǎn)多面廣，通過手工管理各類安全問題和漏洞，無法形成閉環(huán)，效率不高，更無法通過各類安全問題洞察全局風(fēng)險(xiǎn)，采取應(yīng)急措施和有效應(yīng)對(duì)策略，解決網(wǎng)絡(luò)系統(tǒng)運(yùn)營中存在的問題。在建立健全信息安全體系的時(shí)候，還是需要重視對(duì)統(tǒng)一的網(wǎng)絡(luò)安全管理門戶的建立，加強(qiáng)對(duì)網(wǎng)絡(luò)安全的統(tǒng)一管理。

福建農(nóng)信網(wǎng)絡(luò)安全防御體系構(gòu)建

針對(duì)網(wǎng)絡(luò)安全建設(shè)方面的痛點(diǎn)，福建農(nóng)信從縱深防御、收斂防御、重點(diǎn)防御、主動(dòng)防御四個(gè)方面發(fā)力，構(gòu)建多層次的網(wǎng)絡(luò)安全防御體系。首先，構(gòu)建信息安全管理體系，打造縱深防御層。以ISO27001、等級(jí)保護(hù)安全點(diǎn)為基礎(chǔ)，形成完備可執(zhí)行的網(wǎng)絡(luò)安全制度建設(shè)，以網(wǎng)絡(luò)安全評(píng)測(cè)審計(jì)為手段，以網(wǎng)絡(luò)安全指標(biāo)度量為依據(jù)，實(shí)現(xiàn)網(wǎng)絡(luò)安全建設(shè)PDCA良性循環(huán)，構(gòu)筑一個(gè)涵蓋開發(fā)運(yùn)維等安全領(lǐng)域的縱深信息安全管理體系，建設(shè)一個(gè)可落地管理體系的綜合網(wǎng)絡(luò)安全管理平臺(tái)。其次，構(gòu)建收斂的防御層，集中管控互聯(lián)網(wǎng)出入口、信息資產(chǎn)暴露面收斂防御面，減少被攻擊的邊界范圍。再次，集中力量重點(diǎn)防御常見薄弱點(diǎn)，區(qū)分防御的輕重緩急，因材施策，避免“眉毛胡子一把抓”，形成高風(fēng)險(xiǎn)高防御的重點(diǎn)防御層。最后，打造主動(dòng)防御層，通過定期紅藍(lán)對(duì)抗、欺騙防御等方式主動(dòng)出擊，以攻為守，穩(wěn)步提高網(wǎng)絡(luò)安全防御水平。通過四個(gè)方面統(tǒng)籌推進(jìn)，逐步形成一個(gè)多層網(wǎng)絡(luò)安全防御體系（如圖1）。

（一）縱深防御，構(gòu)筑安全管理體系

1.統(tǒng)籌各類安全要求，固化安全關(guān)注內(nèi)容

福建農(nóng)信信息安全管理體系綜合了監(jiān)管部門、風(fēng)險(xiǎn)審計(jì)部門、各行社及ISO27001、等級(jí)保護(hù)等多方面網(wǎng)絡(luò)安全要求，以ISO27001體系和等級(jí)保護(hù)要求為基礎(chǔ)，綜合監(jiān)管、風(fēng)險(xiǎn)審計(jì)及行社實(shí)際，梳理網(wǎng)絡(luò)安全關(guān)注點(diǎn)。以ISO27001安全域?yàn)榛A(chǔ)，梳理合并舊制度、制定新制度，統(tǒng)一管理網(wǎng)絡(luò)安全制度，將梳理出的網(wǎng)絡(luò)安全點(diǎn)全部融入各類網(wǎng)絡(luò)安全制度中，形成了省聯(lián)社網(wǎng)絡(luò)安全制度四級(jí)文件。

2.融入當(dāng)前運(yùn)轉(zhuǎn)流程，減少體系執(zhí)行阻力

網(wǎng)絡(luò)安全防御若新建流程，定會(huì)增加全體員工的負(fù)擔(dān)，久之必?zé)o法有效執(zhí)行。福建農(nóng)信將其充分融入已有的CMMI3、ISO20000流程和員工日常工作，避免“兩張皮”。參考安全開發(fā)生命周期概念，將網(wǎng)絡(luò)安全點(diǎn)融入到各階段中，并通過研發(fā)體系的質(zhì)量保證工作，實(shí)現(xiàn)安全工作和研發(fā)流程的無縫對(duì)接，如需求分析階段進(jìn)行安全需求識(shí)別，構(gòu)建開發(fā)階段進(jìn)行安全編碼審計(jì)，投產(chǎn)階段進(jìn)行網(wǎng)絡(luò)安全評(píng)估等。結(jié)合ISO20000運(yùn)維體系的實(shí)際情況，在ISO20000流程中加入物理安全管控點(diǎn)、網(wǎng)絡(luò)安全管控點(diǎn)、系統(tǒng)安全管控點(diǎn)、應(yīng)用安全管控點(diǎn)、數(shù)據(jù)安全管控點(diǎn)等，實(shí)現(xiàn)了運(yùn)維流程安全點(diǎn)把控。

3.依托審計(jì)度量制度，促進(jìn)防御體系閉環(huán)

無法執(zhí)行的制度等于沒有制度，無法度量的制度是沒有生命力的制度。福建農(nóng)信依據(jù)年度網(wǎng)絡(luò)安全工作計(jì)劃，實(shí)施省聯(lián)社網(wǎng)絡(luò)安全點(diǎn)評(píng)測(cè)審計(jì)和行社網(wǎng)絡(luò)安全點(diǎn)評(píng)測(cè)審計(jì)，以評(píng)促改。省聯(lián)社網(wǎng)絡(luò)安全點(diǎn)測(cè)評(píng)審計(jì)包括研發(fā)體系流程中的需求安全評(píng)估、代碼漏洞掃描、投產(chǎn)安全評(píng)估等，包括運(yùn)維體系流程中的主機(jī)安全評(píng)估、試運(yùn)行期安全評(píng)估等例行安全測(cè)評(píng)，也包含無線Wi-Fi檢查、端口開放檢查、互聯(lián)網(wǎng)使用情況等專項(xiàng)檢查。以安全點(diǎn)評(píng)測(cè)、檢查結(jié)果為基礎(chǔ)，參考ISO27004標(biāo)準(zhǔn)要求，結(jié)合自身實(shí)際逐步構(gòu)建了網(wǎng)絡(luò)安全度量體系，選取關(guān)鍵網(wǎng)絡(luò)安全點(diǎn)進(jìn)行度量，度量工作通過計(jì)劃加檢查、糾正預(yù)防措施驗(yàn)證、審計(jì)監(jiān)控回顧、信息安全事故統(tǒng)計(jì)等定性與定量結(jié)合的方式實(shí)現(xiàn)，按照度量結(jié)果查找根因，改進(jìn)網(wǎng)絡(luò)安全控制措施，推動(dòng)網(wǎng)絡(luò)安全制度的優(yōu)化，度量結(jié)果最終促進(jìn)在防御體系的改進(jìn)。通過計(jì)劃、實(shí)施、總結(jié)、改進(jìn)的方式實(shí)現(xiàn)了網(wǎng)絡(luò)安全防護(hù)體系的良性循環(huán)。

（二）收斂防御，收緊把牢安全出入口

收斂直接暴露給攻擊者的攻擊面，減少攻擊概率，守住安全出入口。福建農(nóng)信通過互聯(lián)網(wǎng)資產(chǎn)定期核查、互聯(lián)網(wǎng)出入口集中管控、終端邊界集中管控、無線Wi-Fi及LED大屏集中管控、第三方接入集中管控等方式收斂防御范圍。定期收集全網(wǎng)域名資產(chǎn)，從官網(wǎng)入手獲取福建農(nóng)信所屬的頂級(jí)域名，對(duì)頂級(jí)域名進(jìn)行子域名挖掘，然后對(duì)對(duì)應(yīng)的資產(chǎn)進(jìn)行端口和服務(wù)探測(cè)。定期收集歷史DNS解析記錄，搜索曾經(jīng)被記錄的屬于福建農(nóng)信資產(chǎn)的數(shù)據(jù)。監(jiān)測(cè)敏感泄露信息，包括公開社工庫泄露信息收集，代碼托管網(wǎng)站泄露信息收集等。通過集中管控互聯(lián)網(wǎng)出入口，避免多口出入，將各行社接入互聯(lián)網(wǎng)的需求納入省聯(lián)社管控之下，減少遭受網(wǎng)絡(luò)攻擊的路徑。加強(qiáng)對(duì)終端的集中管控，部署專業(yè)的終端管控軟件，實(shí)現(xiàn)對(duì)U盤等移動(dòng)存儲(chǔ)介質(zhì)接入的統(tǒng)一審核，嚴(yán)格杜絕終端同時(shí)接入不同網(wǎng)絡(luò)的情況。加強(qiáng)對(duì)Wi-Fi、LED大屏的管理，杜絕私自部署網(wǎng)絡(luò)，全部Wi-Fi均需要進(jìn)行審批，并強(qiáng)化Wi-Fi網(wǎng)絡(luò)密碼管理。各個(gè)LED大屏均落實(shí)到人，LED內(nèi)容發(fā)布需要嚴(yán)格審核。嚴(yán)格審核第三方接入的安全性，避免第三方接入風(fēng)險(xiǎn)。

（三）重點(diǎn)防御，高度關(guān)注薄弱環(huán)節(jié)

在縱深防御和收斂防御面的基礎(chǔ)上，福建農(nóng)信從實(shí)際出發(fā)，總結(jié)出一些常見但又影響較大的網(wǎng)絡(luò)安全點(diǎn)進(jìn)行重點(diǎn)防御，集中“優(yōu)勢(shì)兵力”重點(diǎn)防御常見薄弱點(diǎn)，主要包括弱口令攻擊、郵件服務(wù)器攻擊、主機(jī)漏洞攻擊、社會(huì)工程攻擊等。此類風(fēng)險(xiǎn)點(diǎn)常見多發(fā)且危害較大的，需要重點(diǎn)關(guān)注。通過技術(shù)和管理雙管齊下，并執(zhí)行“三分技術(shù)七分管理”的理念。制定高強(qiáng)度密碼策略，加大信息安全培訓(xùn)，并引導(dǎo)員工設(shè)置“復(fù)雜、好記”的口令，比如一首古詩的首字母加個(gè)人容易記憶部分，在滿足口令強(qiáng)度的同時(shí)，降低了因員工抵觸而產(chǎn)生的阻力。同時(shí)定期進(jìn)行弱口令檢查，制定各類賬號(hào)的口令強(qiáng)度規(guī)范，并使用自動(dòng)化工具對(duì)常見應(yīng)用進(jìn)行弱口令探測(cè)等。部署基于主機(jī)型入侵檢測(cè)系統(tǒng)HIDS，實(shí)現(xiàn)對(duì)關(guān)鍵主機(jī)的精準(zhǔn)防御，作為入侵防御的最后一道防線，對(duì)主機(jī)進(jìn)行探針式的掃描，建立自內(nèi)而外的白盒視角，精準(zhǔn)發(fā)現(xiàn)弱密碼賬戶等漏洞，實(shí)時(shí)檢查主機(jī)系統(tǒng)的賬號(hào)、服務(wù)、端口，定期形成主機(jī)安全風(fēng)險(xiǎn)報(bào)告。針對(duì)社會(huì)工程攻擊，制定了“十二不準(zhǔn)”工作要求，從辦公室物理安全、U盤管控、終端使用、互聯(lián)網(wǎng)訪問等方面做出明確規(guī)定，并定期檢查，不斷宣貫，嚴(yán)格落實(shí)。

（四）主動(dòng)防御，以攻為守保安全

一手抓主動(dòng)防御技術(shù)，一手抓攻防團(tuán)隊(duì)。通過主動(dòng)防御技術(shù)擾亂攻擊者視角，混淆攻擊者的視聽，以假亂真，讓攻擊者無法分辨被攻擊系統(tǒng)的真?zhèn)?，進(jìn)而大量消耗攻擊者的精力和時(shí)間，從心理上磨滅攻擊者的意志，讓其主動(dòng)放棄攻擊目標(biāo)；通過攻防團(tuán)隊(duì)，鍛煉信息安全防守團(tuán)隊(duì)，挖掘真實(shí)漏洞，主動(dòng)發(fā)現(xiàn)問題。部署基于攻擊欺騙的蜜罐系統(tǒng)，通過在黑客必經(jīng)之路上構(gòu)造陷阱，混淆其攻擊目標(biāo)，精確感知黑客攻擊的行為，將攻擊火力引入隔離的蜜罐系統(tǒng)，從而保護(hù)真實(shí)的資產(chǎn)。通過蜜罐系統(tǒng)記錄攻擊行為，獲取攻擊者的網(wǎng)絡(luò)身份信息、指紋信息，對(duì)攻擊者及攻擊行為進(jìn)行取證和溯源，及時(shí)阻斷攻擊。在福建農(nóng)信系統(tǒng)內(nèi)，參考大行做法，組建一支攻防隊(duì)伍，通過內(nèi)部攻防雙方的自我搏擊，形成安全防御能力螺旋式提升的內(nèi)生動(dòng)力，逐步擺脫依賴監(jiān)管通報(bào)等被動(dòng)式防御模式，實(shí)現(xiàn)以攻促防、攻防相長。團(tuán)隊(duì)成員來自省聯(lián)社和行社的一線技術(shù)人才，他們既熟悉銀行業(yè)務(wù)又精通攻防技術(shù)。他們有承擔(dān)防守重任的“紅軍”、模擬實(shí)際黑客的“藍(lán)軍”，也有負(fù)責(zé)演習(xí)導(dǎo)調(diào)、全程指導(dǎo)活動(dòng)總結(jié)的“紫軍”。他們?nèi)粘＜缲?fù)網(wǎng)絡(luò)安全運(yùn)維，通過定期的內(nèi)部紅藍(lán)紫對(duì)抗演練、CTF比賽和專項(xiàng)培訓(xùn)，穩(wěn)步提升福建農(nóng)信的信息安全防護(hù)水平。

福建農(nóng)信網(wǎng)絡(luò)安全防御體系落地

在逐步構(gòu)建、完善網(wǎng)絡(luò)安全防御體系的同時(shí)，福建農(nóng)信從多方面強(qiáng)化體系落地，一是通過網(wǎng)絡(luò)安全綜合管理平臺(tái)落地規(guī)章制度和安全事務(wù)管理，實(shí)現(xiàn)安全管理工作電子化、流程化；二是通過三層的網(wǎng)絡(luò)安全組織將安全工作融入員工日常工作中去，解決單靠網(wǎng)絡(luò)安全人員單打獨(dú)斗的狀態(tài)；三是通過部署欺騙防御系統(tǒng)、態(tài)勢(shì)感知平臺(tái)、全流量監(jiān)測(cè)系統(tǒng)等逐步提升網(wǎng)絡(luò)安全感知能力和防御能力。并將網(wǎng)絡(luò)安全宣傳貫穿網(wǎng)絡(luò)安全的全流程，通過定期安全意識(shí)宣貫培訓(xùn)，及時(shí)固化安全成果。

1.網(wǎng)絡(luò)安全綜合管理平臺(tái)落地安全管理

針對(duì)網(wǎng)絡(luò)安全管理落地難的痛點(diǎn)，福建農(nóng)信研發(fā)了網(wǎng)絡(luò)安全綜合管理平臺(tái)，該平臺(tái)包括安全漏洞管理、安全事件管理、安全事務(wù)管理、安全審計(jì)管理、安全監(jiān)管管理、威脅情報(bào)管理、系統(tǒng)資產(chǎn)管理等功能，實(shí)現(xiàn)了網(wǎng)絡(luò)安全管理的集中化、自動(dòng)化、智能化。通過平臺(tái)將各類監(jiān)管要求進(jìn)行統(tǒng)一管理，大幅提高了網(wǎng)絡(luò)安全管理效率，也有效解決了網(wǎng)絡(luò)安全人員疲于應(yīng)對(duì)監(jiān)管的困境，實(shí)現(xiàn)網(wǎng)絡(luò)安全防御體系的真落地。

2.網(wǎng)絡(luò)安全組織保障安全事務(wù)處置

網(wǎng)絡(luò)安全組織由決策層、管理層、執(zhí)行層組成（如圖3所示）。決策層審核、批準(zhǔn)網(wǎng)絡(luò)安全總體戰(zhàn)略及規(guī)劃；管理層主要由科技部領(lǐng)導(dǎo)及安全經(jīng)理組成，部署網(wǎng)絡(luò)安全專項(xiàng)審計(jì)和安全業(yè)務(wù)審計(jì)、監(jiān)督工作，審查、監(jiān)控并處理各類網(wǎng)絡(luò)安全事件，執(zhí)行網(wǎng)絡(luò)安全管理內(nèi)部審核與評(píng)審管理等；執(zhí)行層由安全科及各科室、各行社信息安全員組成，負(fù)責(zé)網(wǎng)絡(luò)安全工作的實(shí)施、落實(shí)、協(xié)調(diào)等工作。通過建立分工明確的安全組織，推動(dòng)全員參與網(wǎng)絡(luò)安全，一定程度上解決了網(wǎng)絡(luò)安全人員匱乏問題，推動(dòng)安全事務(wù)有序處置。

3.安全宣傳培訓(xùn)固化信息安全成果

員工信息安全意識(shí)的高低，是網(wǎng)絡(luò)防護(hù)水平的直接體現(xiàn)。信息安全意識(shí)的提升，又進(jìn)一步提升網(wǎng)絡(luò)安全防護(hù)的成效。福建農(nóng)信充分認(rèn)識(shí)到信息安全意識(shí)宣傳的重要性，設(shè)置專人專崗針對(duì)不同層級(jí)、不同信息安全要求，開展網(wǎng)絡(luò)安全培訓(xùn)教育。針對(duì)高管層，重點(diǎn)加強(qiáng)安全理念、形勢(shì)、共識(shí)方面的教育培訓(xùn)，引導(dǎo)領(lǐng)導(dǎo)層對(duì)網(wǎng)絡(luò)安全形勢(shì)的持續(xù)重視與關(guān)注；針對(duì)開發(fā)運(yùn)維人員，開展安全開發(fā)基線培訓(xùn)、運(yùn)維安全專題培訓(xùn)，提高其安全意識(shí)和安全技能。通過宣貫網(wǎng)絡(luò)安全規(guī)章制度，定期組織各類網(wǎng)絡(luò)安全培訓(xùn)、網(wǎng)絡(luò)安全活動(dòng)周、安全知識(shí)競(jìng)賽、線上網(wǎng)絡(luò)安全意識(shí)測(cè)評(píng)等活動(dòng)，及時(shí)將網(wǎng)絡(luò)安全防御成果固化，增強(qiáng)全員的信息安全意識(shí)。

結(jié)論

當(dāng)前商業(yè)銀行面臨著前所未有的網(wǎng)絡(luò)安全形勢(shì)，銀行如果發(fā)生網(wǎng)絡(luò)安全事件則可能直接影響公眾利益、社會(huì)穩(wěn)定，甚至影響國家經(jīng)濟(jì)的穩(wěn)定運(yùn)行。本文通過分析福建農(nóng)信在網(wǎng)絡(luò)安全建設(shè)中遇到的問題，結(jié)合自身實(shí)際，提出了一種網(wǎng)絡(luò)安全防御體系建設(shè)方案，通過縱深防御、收斂防御、重點(diǎn)防御、主動(dòng)防御的理念，一定程度上解決了福建農(nóng)信在網(wǎng)絡(luò)安全防控方面的一些痛點(diǎn)，為金融機(jī)構(gòu)的網(wǎng)絡(luò)安全建設(shè)工作提供了思路。