来源:鑫智奖·2024第五届金融机构数智化转型优秀案例评选
获奖单位:潍坊银行
荣获奖项:网络影响力TOP10优秀案例奖
一、项目背景及目标
近年来,黑客活动日趋频繁,网站后门、网络钓鱼、恶意程序、拒绝服务攻击、勒索病毒攻击等事件呈大幅增长态势,直接影响企业网络安全,阻碍企业健康发展。针对特定目标有组织的高级可持续威胁攻击日益增多,网络信息系统安全也将面临严峻挑战。上级监管部门对金融行业安全管理能力和水平要求越来越高,人民银行、银保监会、公安机关等部门多次明确要求,金融机构应具备常态化网络安全防护能力。
金融网络安全事关经济社会发展,事关社会安全稳定。当前,我行正在加快推进数字化转型,在以数字化、智能化促进业务快速发展和经营管理水平提升的同时,必须要加强网络安全管理工作,从全局的角度统筹发展和安全,实现高质量发展和高水平安全的良性互动,达到发展和安全的动态平衡。为进一步提升我行网络安全防护能力和水平,我行按照统一规划、协调联动、全面防控和保障安全的原则,建立完善、合理和有效的网络安全管理机制,抓好全行网络安全管控,从网络安全多个方面加强技术防护,切实增强安全监测能力、安全管理能力、安全运营能力和应急处突能力,构建全方位网络安全防御体系。
二、创新点
1.在网络安全防御体系建设中,充分考虑人员的重要性,在分行、管辖行层面和支行层面分别设立科技专管员,具体负责本单位内部网络安全的政策传达、督导与管理工作,形成总-分-支三级联动,加强对本单位、第三方外包人员的网络安全宣传和管理工作,共同做好全行网络安全保障工作。
2.我行部署流量监测与分析系统、病毒防护系统、态势感知平台等,在网络安全防护建设过程中,我行充分利用各系统之间联合分析功能,联动防御网络、病毒攻击,切实提升应急、响应能力。
三、项目技术方案
项目建设分别从加强网络安全管理和加强网络技术防护等方面综合考虑建设规划,统筹物理安全、网络安全、主机安全、终端安全、应用安全、数据安全各个方面,突出“人防”+“技防”+“物防”+“制防”四位一体防护措施,全面优化网络安全防护体系,对全行网络安全防护工作做到识别、保护、检测、响应和恢复的闭环管理,形成多维一体的安全防护格局,全方位构筑安全防线:
3.1加强网络安全管理
3.1.1压实网络安全管理工作责任制
我行优化完善网络安全管理工作组织架构,成立网络安全工作领导小组,将网络安全管理工作从经营层上升至行党委层面,统筹推进并组织实施全行网络安全建设发展规划,定期组织网络安全工作督导检查和问题排查,提升全行网络安全防护能力;各机构各部门成立本单元内的网络安全管理组织,签订网络安全责任书,确保责任落实到位,形成一体化、全方位的领导机制和上下沟通协调机制,为全行网络安全工作提供坚实的组织保障,全面落实网络安全管理工作责任制。
3.1.2建立健全网络安全管理制度
以《网络安全法》《数据安全法》等法律法规和监管制度为依据,不断建立健全我行网络安全管理相关制度,构建完善、合理和有效的网络安全管理机制;根据法律法规和监管要求,对各项信息科技管理制度进行修订和完善,将网络安全和信息安全管理融入到信息科技工作的各个方面,实现发展和安全兼顾,有效提升我行信息科技制度的规范性、有效性和全面性,为全行网络安全工作提供坚实的制度保障。
3.1.3形成常态化网络安全培训机制
为确保员工能够及时掌握最新的安全管理政策要求,具备相应的安全知识储备,提升员工网络安全风险意识、全局意识和责任意识,我行定期开展网络安全培训工作,形成常态化的网络安全培训机制:一是丰富培训资源获取途径,及时掌握最新的网络安全管理政策,学习同业及先进单位网络安全管理经验,尤其加强网络安全管理人员的知识理论学习,适时引入外部培训资源,确保培训素材实效新、覆盖全、内容实、理论深。二是定期做好全行网络安全培训与转培训工作,确保培训内容能够及时、准确传达到每位员工。三是培训过后要开展培训内容考试,保证员工能够充分理解培训内容,切实提升网络安全意识和能力。
3.1.4定期开展资产梳理和风险排查工作
信息科技部组织做好全行网络和重要系统资产梳理、风险排查与问题整改等工作,摸清家底,查找漏洞,补齐短板,化解风险。资产梳理和风险排查工作无死角、无盲区,建立问题台账,做销号管理,确保网络安全管理措施到位,网络安全防护技术到位。各机构各部门根据全行统一规划和部署,积极配合信息科技部开展全行网络和重要系统资产梳理、风险排查与问题整改工作,及时堵塞系统漏洞,化解风险隐患,切实提高全行网络安全防护能力。
3.1.5持续做好网络和信息安全检查工作
我行每年定期组织信息安全检查工作,对分支机构日常办公中网络安全相关要求执行情况进行检查和督导(主要包括机房安全、应急供电、终端病毒防护、网络准入、密码复杂度、设备可用性、互联网行为管控等方面),针对发现的问题要求分支机构及时整改。通过安全检查,可以有效识别网络安全问题,提高网络安全和防护能力:一是信息科技部根据法律法规、监管要求、行业规范牵头组织制定、健全和完善检查标准,明确检查的范围和具体内容,在全行下发,形成网络和信息安全检查的行内标准。二是各机构各部门根据标准要求,开展本单元内部的自查与整改工作,及时发现问题并进行整改,确保符合要求。三是信息科技部在各机构各部门自查整改的基础上,定期组织进行全行网络和信息安全检查,各机构各部门要根据全行统一规划和部署,积极配合,查摆问题,建立台账,销号管理。
3.1.6强化应急处突能力
完善全行网络安全事件应急响应体系,强化应急处突能力:一是按计划开展基础设施和业务系统的应急演练和应急处置工作,提升值班人员和信息系统管理员应急处置能力,通过演练评估现有应急预案完备性,优化压缩应急处置流程,建立快捷高效的紧急决策机制,确保发生重大网络安全事件时,能够按程序及时报告并处理有关情况。二是进一步规范值班管理,加强值守,保持联络通畅,关键岗位、关键时间节点要实行7×24小时在岗值班。三是做好信息系统安全监测,对于重要信息系统,做到日巡检、周分析、月评估,切实提高网络安全防护能力。四是员工日常办公时刻留意异常现象和行为,发现病毒入侵、恶意攻击等网络安全事件时第一时间向信息科技部反馈,在专业人员的指导下做好应急处置工作。五是做好应急技术支持和资源准备工作,对接供电部门、通信线路运营商和外部合作厂商,做好电力供应、通信线路保障和重要备品备件的储备,协调厂商和服务商随时做好应急技术支持。
3.2加强网络技术防护
3.2.1强化物理安全防护
我行建设生产中心、同城应用级灾备中心和异地数据级灾备中心,形成较为完善的“两地三中心”灾备体系,建设完成供电系统、动力环境监控系统、安保系统等,保障机房基础设施的稳定运行。
3.2.2强化网络安全防护
我行网络划分不同的安全区域,我行与联盟、人行、外联单位网络边界处部署防火墙、入侵防御设备;为增强边界安全,在人行和外联单位防火墙上增加防恶意代码模块,对恶意代码进行识别和阻断;边界防火墙做地址转换,对内部网络真实IP进行隐藏,做端口级的访问控制,只允许外部单位访问必需的业务端口;边界处入侵防御设备根据规则库对网络流量进行分析识别,对网络访问根据级别采取通过、重发、丢弃、阻断等措施。边界处网络流量通过流量镜像网进行采集汇总,输出至态势感知平台,由态势感知平台对流量进行进一步的全面感知、分析和威胁预警,可对主流的勒索病毒、挖矿分析、弱口令检测、口令爆破等攻击进行告警。我行互联网部署防火墙、入侵防御系统、防病毒过滤网关、威胁情报网关、上网行为管理、日志审计系统,在实现传统互联网边界安全防护的基础上,加强互联网安全设备日志的存储与审计,在发生安全事件时可以进行溯源取证,对终端上网行为进行有效管控,防范僵尸木马和蠕虫等威胁攻击,实现威胁的自动发现和自动阻断,确保出口流量安全。
3.2.3强化终端和主机安全防护
我行建设卡巴斯基终端病毒防护系统和亚信端点安全管理系统,对计算机进行病毒查杀,提升终端的安全性。部署桌面管理系统,对办公计算机终端进行全面管理,实现对终端的安全管控。搭建移动设备管理平台,实现对移动终端的检测和管控。部署主机安全防护系统,加强对虚拟化、容器云以及物理机等服务器资源的安全管理与防护,同时注重信创环境安全。加强主机弱口令、服务漏洞管控,提升安全预测、防御、监控和响应能力,增强服务器整体安全管理水平。
3.2.4强化应用安全防护
我行部署漏洞扫描系统,新系统及存量系统变更上线前对信息系统进行漏洞扫描。同时,我行每年聘请国内知名安全厂商定期对互联网应用系统开展渗透性测试工作,发现漏洞及时修复,提升我行互联网应用系统的安全性,保障业务的安全稳定运行。
我行信息系统建设和安全保障按照同步规划、同步建设、同步使用“三同步”原则,在系统需求、设计、开发、测试、运行、下线,不同阶段关注不同的安全内容,比如开发阶段严格遵守代码的安全开发规范进行开发,在测试阶段做好系统的漏洞扫描和渗透性测试工作,确保系统安全可用。
3.2.5强化数据安全防护
统筹行内和外部数据,做好数据分类分级、数据脱敏和数据防泄漏等工作,按照数据从获取到传输再到销毁全生命周期的数据安全管理,根据行内实际情况和外部监管要求,对移动存储介质的使用做强管控,使用认证介质,禁止使用个人介质拷贝数据,对移动存储介质的存储行为进行审计,做到全行办公终端及时清理客户数据,防范客户信息泄露,将数据安全和个人信息保护工作做实、做细。
四、项目过程管理
2023年1月,启动网络安全防御体系建设项目。
2023年3月,完成网络安全防御体系建设规划。
2023年6月,完成网络安全现状分析及实施路径设计。
2023年12月,完成网络安全制度修订,实现物理安全、网络安全、主机安全、终端安全、应用安全、数据安全方面防御手段升级。
2024年1月至今,持续开展网络安全运营工作。
五、运营情况
项目建设完成以来,我行网络安全整体平稳,全行员工共同做好网络安全防护工作,为全行数字化转型和业务的提供了稳定的发展环境。
六、项目成效
我行完成了网络安全防御体系建设,形成了全行上下网络安全联动工作机制,全面提升网络安全防护能力和水平。
七、经验总结
网络安全保护工作任重而道远,在行党委的坚强领导下,在总行信息科技部和各部室、各分支机构领导、同事的积极参与和大力支持下,潍坊银行形成了左右协调、上下联动的全方位网络安全防御体系,项目经验收获丰富:
1.网络安全防护不是几个人、几个部门的事,需要全员参与,做好顶层设计,站在全行发展的高度,统一谋划、统一部署、统一推进、统一实施;
2.管理和技术缺一不可,需要综合组织保障、制度约束、人员培训、设备防御、技术防护、三方联动、应急保障等各方面共同保障网络安全;
3.做好动态调整,在项目建设过程,发现网络安全防护新技术、新应用、新方法,经论证测试可行,及时调整策略,将新技术、新应用、新方法应用到项目建设中来,确保目标顺利达成。
下一步,潍坊银行将继续探索网络安全防护新技术、新应用,提升网络安全防护能力,进一步完善体制机制,探索出一套适合中小型银行网络安全防御体系,为中小型银行网络安全防御体系建设贡献力量。
更多金融科技案例和金融数据智能优秀解决方案,请在数字金融创新知识服务平台-金科创新社案例库、选型库查看。