統籌規劃，綜合治理，保護農業銀行網絡安全

信息技術的快速發展和普及，尤其是開放的網絡環境帶來的信息資源的快速流動和充分共享，深刻地改變了金融行業的傳統經營模式。

中國農業銀行作為我國主要的綜合性金融服務商之一，借助信息化浪潮再次起航。經過三十余載不懈努力，農業銀行建立起了龐大的信息網絡，覆蓋了全行2.4萬個營業機構、17萬柜員、400萬臺自助設備，服務于百萬法人客戶、數億個人客戶。在大力推進信息化建設的同時，農業銀行深刻地認識到，優秀的銀行首先必須是安全的銀行。因此，農業銀行一直高度重視網絡安全保護工作，從策略、技術和管理三個方面構建網絡安全防護體系，全力保障農業銀行網絡的安全穩定運行。

策略層面管控，明確網絡安全工作方向

為了明確網絡安全工作的總體要求，農業銀行制定了多項網絡安全基本策略，并始終堅持執行，主要包括以下幾個方面：一是積極穩妥地推進信息化建設安全可控策略，在采購網絡軟硬件產品、尤其是安全設備時以“安全可控”作為優先考慮因素，同時還積極參與到國家主導的信息技術安全可控研究工作中；二是實現了數據中心異地災備策略，由位于上海的數據中心本部和位于北京的數據中心備援測試中心分別承擔生產中心和備份中心的任務；三是在通訊線路保障方面，農業銀行采用雙運營商雙線路的策略，實現通訊線路備份，確保一條線路發生故障時網絡通訊不會中斷；四是采取企業內網和互聯網物理隔離策略，按照不同的需求實施不同的保護措施，保障網絡環境的安全。

技術層面防護，建設網絡安全保障硬實力

農業銀行按照快速響應和多方協同兩個原則，逐步引入網絡安全防護技術措施，不斷完善網絡安全技術防護體系：

1、防御系統快速響應

構建安全事件應急響應體系，對農業銀行網絡中的突發事件進行監測、響應、處理、恢復、取證和跟蹤。一旦發現網絡遭受入侵，力爭在第一時間內阻斷入侵行為，快速恢復網絡，降低入侵行為對網絡造成的不良影響。與此同時，對入侵全過程進行調查取證，獲取入侵相關證據。

2、多方配合的協同防御機制

對安全設備和網絡設備實施聯動控制，通過協調網絡訪問控制、入侵行為檢測、用戶身份認證、上網行為檢測等多維度安全防御手段，共同防范網絡威脅。

農業銀行采取了多項技術措施保障網絡基礎架構安全，主要包括架構安全、訪問控制、安全審計、邊界完整性檢測、入侵防范、惡意代碼防范、網絡設備防護以及網絡安全支撐技術平臺八個方面：

架構安全：根據承載業務安全需求的不同，將網絡劃分為多個不同的安全區域，有針對性地采取不同的安全防護措施，有效地分散網絡的運行維護風險和安全攻擊風險。

訪問控制：制定了嚴格的網絡訪問控制規則，重點在安全區域的邊界從網絡應用、物理接入等多方面設計和實施訪問控制策略，根據需求對網絡訪問權限進行限制，降低未經授權的網絡使用風險。

安全審計：通過對企業內網的監控和審計，通過定期匯總和分析網絡流量和行為數據，及時發現網絡中存在的各種安全威脅和異常行為事件。

邊界完整性檢測：對于開放性較強的網絡區域，通過在終端實施全面安全防護，嚴格控制非法接入和非法外連，持續改善內網安全狀態，全面提升內外網合規管理水平。

入侵防范：通過部署網絡監控設備，在各個不可信任的網絡區域構建全面的入侵檢測系統，并建立專門的工作團隊，分析、處置和集中管理安全設備報警日志，及時響應外部網絡入侵事件。

惡意代碼防范：引入了層級安全防護體系，結合不同網絡安全區域的安全要求，部署了動態安全防護機制和防范措施，盡最大可能降低惡意代碼對網絡安全的威脅。

網絡設備防護：建立了完善的網絡設備管理體系，全面覆蓋在身份認證、身份鑒別、遠程管理和帶外管理等方面的權限管理要求，并制訂和實施網絡設備訪問權限控制策略，提高網絡設備的安全性。

網絡安全支撐技術平臺：通過部署網絡安全管理平臺，利用統一事件關聯分析，有效整合內部信息資源，實現了網絡內部資產可視化，將與應用系統關聯的產品統一對應，確保在發生安全風險時能夠快速定位和解決問題。

管理層面保障，營造網絡安全管理軟環境

在綜合運用各種技術手段保護網絡安全的同時，農業銀行還采取了多項管理措施，從制度建設、機制保障、多方協作入手，為網絡安全保護工作營造良好的軟環境。

1、不斷健全網絡安全管理制度體系

農業銀行不斷根據安全形勢變化和自身發展需要，補充完善網絡安全相關制度，為網絡安全管理工作建章立制，明確網絡監、管、控等各方面要求，規范運維操作和流程，預防威脅網絡穩定運行的事件發生。

2、建立較為完備的應急響應機制

為了提高預防和控制網絡突發事件的能力和水平，切實保證網絡承載業務的運行連續性，提升信息系統應急管理能力，農業銀行組織開展了應急管理體系建設，制定了《信息系統應急管理工作實施細則》、《信息系統應急與災備數據備份管理規程》等一系列應急工作相關制度，并建立了一整套完善的信息系統突發事件應急預案，其中包括了網絡系統分冊，并定期組織演練。

通過應急管理體系的建設，農業銀行建立了一個有效的故障響應機制，充分調動技術人員和第三方服務商的相應資源，對故障進行快速響應，減輕或消除突發事件的影響，確保農業銀行的網絡安全。

3、積極開展全面的專業合作

農業銀行與多方機構展開深度合作，以保障網絡安全。首先，農業銀行與多家國家信息安全專業機構建立了戰略合作關系，聘請技術人員定期對農業銀行網絡進行監測和測試。第二，農業銀行與網絡運營商建立了全面合作關系，共同對抗大規模的網絡攻擊，對攻擊流量進行清洗。第三，與國內外安全廠商不定期舉行各種形式的技術交流，及時掌握信息安全環境變化形勢和技術發展趨勢。

目前，網絡安全保護已經不再是企業自主行為，而是上升為國家戰略，在國家的統籌規劃下以國家意志推進。農業銀行作為一家大型國有商業銀行，將積極響應國家號召，緊跟網絡強國戰略，以安全保發展，以發展促安全，承擔起國有企業的社會責任。在未來的工作中，農業銀行將會繼續秉承“科學發展、追求卓越”的奮斗理念，扎實工作，攻堅克難，全力維護網絡安全，為最廣大的客戶提供更為便捷、高效和安全的金融服務。

（作者簡介：石劍飛 中國農業銀行總行科技與產品管理局網絡管理處高級專員

王兆陽 中國農業銀行總行科技與產品管理局網絡管理處高級專員

萬適 中國農業銀行總行科技與產品管理局信息安全與風險管理處高級專員）