強化外部測評管理，提升金融網絡安全保障能力

丁光華

當前，全球網絡安全形勢日益嚴峻，銀行機構信息系統安全事件時有發生，且一些事件對銀行業務連續性產生了重要影響，壓力與挑戰與日劇增?！吨腥A人民共和國網絡安全法》于2017年6月1日起正式實施，網絡安全管理邁入法治化階段，要求重要網絡和系統的運營者采取技術措施和其它必要措施，保障網絡安全、穩定運行，同時要求關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對網絡的安全性和可能存在的風險進行評估。人民銀行是金融核心信息基礎設施的運營者，在加強自身網絡信息化建設管理的基礎上，依托外部第三方專業力量開展測評，全面摸清重要生產系統的狀況和薄弱環節，不斷優化網絡安全管理，對于保障人民銀行重要網絡和應用系統安全穩定運行尤為重要。本文在對測評工作進行綜合分析的基礎上，結合項目管理實踐，探索思考依托外部測評提升金融網絡安全保障能力的方式和路徑。

一、測評工作概述

評估系統是否存在潛在風險和缺陷，做到事前預防、消除隱患，實現風險防范關口前移，是提升網絡安全管理能力的關鍵環節。結合省級人民銀行網絡安全管理要求，目前主要采用內部檢查評估和外部測評相結合的方式強化安全管理。內部檢查評估由單位網絡安全管理人員擬定方案，實施評估，日常系統建設、運維等安全管理制度的執行落實是重點，主要方式包括定期網絡安全檢查、專項檢查、重要時期網絡安全檢查評估等，屬于自我糾正自我完善;外部測評，是根據國家和行業相關標準、規范，由第三方安全專業服務機構實施評估，專業程度高、技術性強、涵蓋面寬，是落實國家網絡安全監管的重要內容，也是評估系統潛在風險和缺陷的重要手段。目前外部測評開展的主要方式包括等級保護測評和風險評估。

等級保護測評是按照國家管理規范和技術標準，對未涉及國家秘密的信息系統安全等級保護狀況進行檢測評估的活動，旨在評估系統的安全防護是否滿足國家等級保護要求，是落實國家信息安全等級保護制度的關鍵環節。人民銀行結合行業特點制定了《金融行業信息系統信息安全等級保護實施指引》《金融行業信息系統信息安全等級保護測評指南》等行業標準，指導規范行業等級保護測評工作，一般測評涵蓋物理安全、網絡安全、主機安全、應用安全、數據安全等內容。

風險評估是依據國家《信息技術信息安全風險評估規范》（GB/T 20984-2007）等，從風險管理角度對信息系統的各種安全因素進行定性與定量分析，主要以系統業務連續性和數據安全為核心，對被評估對象的資產、威脅和脆弱性進行有效識別和分析，包括資產識別與分析、威脅識別與分析、脆弱性識別與分析、風險識別與分析等過程，最后得出評估結果，并提出有針對性的改進措施。

二、測評項目標準化管理實踐

省級人民銀行運行系統屬于重要金融基礎設施，涉及資金清算、金融信息處理、內部管理等方面，在實踐過程中，根據系統安全管理目標、要求和依據的不同，綜合開展重要網絡和應用系統等級保護測評和風險評估，運用外部測評推動安全管理能力建設提升。為確保測評工作高效開展，在遵從信息化項目外包管理相關要求的基礎上，應嚴格從實施安全、測評效用、整改高效等方面強化全周期的標準化項目管理。

（一）項目安全風險管理

測評項目是對信息系統的深入分析和測試，方法包括訪談、檢查和測試等，項目安全風險管理尤為重要。首先，測評單位確定是關鍵，負責測評單位應具有相應資質，團隊過硬、信譽好，具有行業重要系統測評實施經驗，符合安全保密要求，并應嚴格履行相應保密職責。其次，測評實施安全保障是重點，應確保實施工作不影響系統穩定運行，不降低系統服務質量，且不引起新的風險，特別是對脆弱性掃描和滲透性測試等重要測試工作，應充分進行論證，合理確定工具、范圍、操作時間，如對重要系統服務器應在非業務高峰期或系統負載較輕的時候進行掃描，避免對業務的影響，確保實施過程安全、信息保密安全。

（二）項目質量效用管理

測評對象一般包括業務應用系統軟件、服務器及存儲設備，網絡通信設備（路由器和交換機）、安全設備（防火墻等）、PC客戶端、機房場地環境以及相關的運維管理人員和文檔資料，涵蓋技術和管理，且與具體的銀行業務應用密切相關，測評單位及測評人員應熟悉行業系統架構及應用情況，測評前應進行充分詳細的調研，明確評估的內容、方法、實施流程，測評過程中應充分有效的與運維人員、安全管理人員等溝通協調，確保測評能有效反應系統的現狀，客觀全面評估系統運行管理的潛在風險及隱患，提出的安全整改建議符合單位客觀實際情況，確保效用最大化。

（三）項目成果運用管理

測評報告是最終項目成果，目的是發現系統風險和薄弱環節，但這不是網絡安全管理的終點，高效開展問題整改，提升系統運行穩健性才是最終目標。對于測評發現的問題，應按照整改建議，以科學性、先進性和安全性為原則，按照立行立改、管理和技術并重的要求，擬定整改方案，明確整改措施、整改計劃，必要時組織整改方案可行性評估，并通過專項會議、清單管理等方式，推動具備條件的風險問題及時整改落實。在整改過程中，應統籌風險等級、實施難度、實施條件等因素，對問題整改進行分類管理，如對于安全管理、制度建設等方面的問題，應結合單位情況，修訂完善制度規范，嚴格抓好落實，及時整改;對于主機應用、網絡架構等方面的問題，若因系統建設、產品成熟度等客觀原因限制不能及時整改且風險較低的，也應制定中長期整改計劃，同時加強應急管理，做好應急資源準備。

三、下一步工作思考

當前金融科技邁入新的歷史時期，信息系統跨單位、跨行業的互聯互通日益明顯，系統邊界逐漸模糊，系統間、業務間關聯風險突出，且網絡攻擊呈專業化、團隊化發展，攻防兩端能力的較量日益尖銳，為加強測評工作對單位重要網絡和應用系統安全保障的支撐能力，需要從保障體系建設、結果轉化運用、拓展合作等方面進一步完善測評工作管理。

（一）進一步完善保障體系建設

隨著云計算、人工智能、區塊鏈、大數據等新興技術的發展與運用，在優化金融資源配置、促進金融業務發展的同時，也產生了新的安全風險和挑戰。為確保測評效用最大化，測評工作保障體系也應適時優化完善，在傳統設備資產安全管理、防護技術管理的基礎上，應更加關注服務安全、業務數據安全，在梳理網絡邊界的基礎上，應更注重厘清數據流、業務流，IT運維人員和業務管理人員需緊密配合，深度協同;同時應調整角度，做好測評工作宣傳解釋，優化完善與測評實施人員溝通配合機制，建立完善重要系統日常運維管理知識庫、安全事件處置知識庫，變被動接受測評為主動參與測評，進一步完善保障體系建設。

（二）深入推動成果多層次轉化運用

在高效開展測評問題整改、提升安全保障能力的同時，應完善測評成果轉化運用，建立統一化的問題風險清單，促進信息在不同部門、不同崗位人員的有效共享，并以風險防范為導向，立足全局，修訂完善信息化建設、管理等相關制度規范，避免已發現問題在不同系統重復出現，避免相似問題在新建系統中出現，促進測評成果在事前防范中的轉化應用。同時深化跨單位、跨行業的測評工作交流機制，實現案例、知識、管理等有效及時共享，并在系統互聯互通的重點領域，探索聯合測評、協同測評等工作機制，合力共筑安全防線，促進測評成果在事中完善的轉化運用。

（三）持續拓展與安全服務機構合作深度

當前，信息技術快速迭代，安全防護技術和產品發展往往相對滯后，且攻防兩端力量懸殊較大，在做好單位部門安全管理的同時，應以測評工作為基礎，不斷豐富拓展與第三方專業安全服務機構合作的內容及形式，如開展重要時期保障、威脅情報分享、應急響應、網絡安全攻防技能培訓、聯合應急演練等合作，以合作增進溝通理解，提升測評工作效用，以合作促進安全隊伍建設，提升網絡安全應急準備能力。

綜上，通過外部安全專業測評，評估風險，發現系統技術和管理等方面存在的風險和隱患，滿足國家網絡安全監管要求，提升風險應對和處置能力，是系統運營單位完善網絡安全管理的重要路徑。對測評項目管理的探索，有利于提升測評效用，有利于持續推動金融網絡安全保障能力建設，具有一定實踐意義。

參考文獻：

[1]朱利妍.等級測評中的問題與建議[J].網絡安全和信息化，2018（7）.

[2]方言.金融科技不斷糾緊的安全神經[J].中國信息安全，2017（7）.

[3]王笑，成林芳，翟亞紅.信息安全風險評估服務資質認證發現[J].信息安全研究，2018（10）.

（作者單位：中國人民銀行昆明中心支行科技處）