当前位置:安全服务 \ 安全征文作品展
中国光大银行宁波分行重大节假日活动网络安全保障经验交流
新闻来源:中国光大银行宁波分行 范晗琤
发布人:计算机安全协会
点击率:452
发布日期:2019.09.20

随着金融业务和金融科技的发展,金融行业业务已经高度信息化、自动化、流程化,向客户提供的所有服务和日常运营基本都依赖信息系统开展。信息科技风险作为唯一可能导致全部金融业务瞬间瘫痪的风险,越来越受到运营主体和监管单位的重视。特别是近年来,外部安全态势日益复杂严峻,“双十一”、“双十二”乃至G20峰会、国庆庆典等活动对网络安全保障要求也很高,如何最大限度地确保重大节假日期间分行各信息系统稳定安全运行,有效保证业务连续性,尽量避免各类网络攻击、业务中断乃至舆情应急等事件的发生,中国光大银行宁波分行在总行与公安、银保监等监管机构的指导下,通过分行信息科技部各位同事的努力,未出现一起信息安全运行事件。这里简单做个回顾,把期间的一些失误和收获的经验做个小结。
一、成立专业保障小组、充分引起管理层重视
  节假日信息安全保障活动相对日常工作来讲,往往时间比较紧迫,覆盖面广,责任重大,必须第一时间向管理层做好汇报和沟通。由信息科技部门对照保障要求,细化工作方案,工作方案是否取得管理层特别是分行网络安全第一责任人的支持是非常重要的。一般的工作计划会包括成立相应的组织、动员、自查与整改、检查督导、活动保障、事后总结等各个过程,其中的组织和动员过程由管理层配合去推动,在整个保障活动相关的工作落实、资源保障方面会比较有成效。尤其是组织这块,确保把业务部门、业务管理部门、信息科技部门负责人一并纳入应急保障领导工作组。另外,视具体保障任务成立专项工作小组,一般是科技部门骨干组成的技术保障组,业务管理部门骨干组成的业务保障组,其它还有资源保障组、专家工作组等。在领导工作组下实行统一管理、统一指挥、各级分别负责。
二、编制可行计划、确保各项保障工作落到实处

为确保最终圆满完成网络安全保障,一般需要确保各个计划安排能够执行到位,从计划启动时间到整个活动结束,合理评估计划各环节可能需要的工作量与时间段,编制工作方案由领导小组审议通过后通过内网通知等形式分发至全行,一旦确定必须严格按时间表推进。一般的,由领导小组组织开展涉及全行的动员会上,一方面就保障要求与目标进行宣贯,同时应就具体分工与计划安排开展讲解。必要情况下,各工作小组如有涉及全行性工作内容,应就细化的工作方案分别进行讲解,以确保一线自查、检查与配合人员对保障要求达成共识,并具备一定的能力水平。在整个保障活动期间,务必提高警惕,同时做好个人信息安全防护,对各类疑似网络安全攻击的现象、可能有损分行信息科技运行环境的各类事件第一时间向工作小组报告。

三、做好全体动员、提升全员意识,紧张有序做好网络安全防范
  分行网络安全保障工作具体经办部门是信息科技部,就具体检查工具与要求,对节假日活动信息安全保障活动通过工作方案督促各单位、各部门按照工作要求落实。在行内发文通知完成动员启动
会议后,立即安排执行。对照分行信息科技运行环境实际,做出如下安排:

1、第一阶段:自查与整改阶段

对分行主管、使用的系统、设备开展全面的自查和整改工作,重点是互联网及移动应用所存在的业务或技术安全隐患和漏洞、各类终端安全防护及数据安全规范的执行情况。排查范围为所有分行互联网及移动应用系统(包括互联网应用系统、移动应用系统(含APP)、微信小程序、基于微信公众号的移动服务等)和办公及生产设备,其中互联网及移动应用系统包括自建(业务部门提出需求,由分行信息科技部实施建设,在行内进行生产运维管理的互联网及移动应用系统)、委托(业务部门提出需求,委托第三方公司实施建设,在我行进行生产运维管理的互联网及移动应用系统)、托管(业务部门提出需求,委托第三方公司实施建设,在第三方公司进行生产运维管理的互联网及移动应用系统)三种类型;办公及生产设备包括信息系统开发测试、运维相关设备、业务生产终端(含自助设备)、办公终端(含客服及外包职场)。

各部、室、支行分别安排专人负责自查整改工作:1)、前述互联网及移动应用系统的梳理,于5个工作日内将相关系统梳理情况报分行信息科技部联系人,信息科技部将配合业务主管部门分别对技术和业务检查点组织排查和整改。对于业务部门自行委托建设或运维的系统,由委托建设或运维的业务部门负责并组织全部检查点的排查和整改,需将系统具体信息报信息科技部备案,信息科技部给予配合;2)、单位内部终端安全防护及数据安全执行情况排查。防泄密、准入等终端安全防护软件安装及相关登录账户检查;办公终端数据安全检查;数据保险箱的使用情况统计;业务管理部门需对业务管理系统用户(如CECM、个贷、国结、OA、票据、对公网银等)账户与权限及时清理,报送存量账户清单。检查结果于5个工作日内前报送分行科技部联系人。

信息科技部负责前述办公及生产设备的自查等工作,具体在以下几个方面开展:1)、设备与系统安全基线:根据总行下发最新版安全基线标准,对辖内所有服务器、网络设备、业务生产终端(含自助设备)、办公终端、哑终端、业务开发测试与运维终端等进行检查和实施;2)、例外策略梳理:在办公桌面系统、防泄密系统、生产防病毒系统、办公防病毒系统中梳理例外策略清单,并以分行各部、室、支行为单位,书面确认例外策略交分行科技部备查;3)、安排专人对分行科技运行环境如机房基础设施、终端安全软件安装情况(准入、防病毒、防泄密、桌面管理、数据保险箱等软件)与终端安全基线配置和补丁更新情况、网络防护情况(重点包括网络架构、边界划分与边界防火墙控制策略有效性、异常流量监测、容量评估、网络设备基线配置、无线网络隔离及私建)、系统管理(系统安全基线、堡垒机托管、系统访问控制、漏洞补丁更新补丁)、重要应用(冗余账户清理,特别是分行等保备案系统重点查控风险暴露敞口、应用服务器补丁等)、应急操作手册与应急预案管理、应急资源检查(内外部:包括外部专家、外包合作方、物业等)等各方面进行自查与整改。每周定期向领导小组组长汇报自查工作情况,以查促改,边查边改,督促分行各单位顺利实施保障前自查工作。三、检查整改务求完善,就整改措施作适当性评估, 

2、第二阶段:整改与检查阶段

为巩固自查工作成果,分行抽调科技、业务相关骨干组成联合检查小组,对第一阶段的检查和整改的情况进行检查。主要是对第一阶段未完成整改的问题持续整改,或相关问题暂无条件及时完成整改的,需要综合评估风险大小与暴露面,通过缓释措施或应急管理实现基本的控制。

3、重要活动期间保障

为防止不可控的风险,重大活动期间设置变更停歇期,并在活动期间安排科技部门技术骨干加强值班巡检。特别是充分应用科技手段提升运行活动状况的监控,如应用流量分析系统、恶意流量侦测系统对分行生产、办公、三分接入域的异常流量进行识别与处置,每日跟踪IDS和上级行、银保监与公安等监管机构通报的应用与系统漏洞,必要时实施紧急变更更新相关补丁。对分行重要系统和应用等加强日常巡检与配置变更比对。收取处置网点异常报告,执行平安零报告制度等。确保活动期间任何威胁事件能第一时间响应并处置。
  安全保障活动是个动态过程,如何避免万无一失,不可能也不尽必要。最重要的是,所有参与活动的人能在整个保障活动过程中能有效识别威胁风险,通过积极的作为,合理的安排,最终确保整个计划成功落实。这方面,常见的妨碍保障活动的影响因素主要有:1)不合理的计划安排,比如时间分配和工作重点模糊,导致重点风险隐患没有及时得到处置,或进度受到影响:2)风险排查不尽全面,对监控工具过于依赖、路径依赖等导致有些系统和应用层面的漏洞得不到及时揭露,或科技外包活动中的潜在风险未作识别,这时候如果没有有效的风险缓释措施,风险敞口就相对较大。

以上是我行常规重大节假日活动网络安全保障总结的一点经验与思考,还有许多需要改进的工作机制和工作方法,希望能够通过持续的改进,逐步形成有效的常规化、标准化的操作手册,进一步提升保障能力与防护水平。

上一篇:政府行业重大活动网络安保工作实践与做法
下一篇:宁波轨道交通"HW2019"网络安全攻防演练活动经验总结
【打印此页】【返回顶部】【关闭本页】
宁波市计算机信息网络安全协会   版权所有 2011-2016   ICP备案号:浙ICP备06028402号   网站维护商:宁波公众
联系电话:0574-87815766/87815706    传真:0574-87815706
EMAIL:nbaqxh@163.com