基層央行互聯(lián)網(wǎng)及其他專網(wǎng)網(wǎng)絡(luò)管理保障能力提升研究

李堅

（中國人民銀行武漢分行，湖北武漢 430071）

1 引言

作為人民銀行網(wǎng)絡(luò)基礎(chǔ)設(shè)施的組成部分，人民銀行分支機(jī)構(gòu)互聯(lián)網(wǎng)建設(shè)隨著人民銀行信息基礎(chǔ)設(shè)施的發(fā)展而不斷演進(jìn)[1-2]。2002年人民銀行總行就網(wǎng)絡(luò)管理相關(guān)工作做出部署，明確基層央行開展互聯(lián)網(wǎng)管理的總體要求并采取了相關(guān)措施，此后隨著中國人民銀行互聯(lián)網(wǎng)郵件系統(tǒng)、人民銀行互聯(lián)網(wǎng)培訓(xùn)系統(tǒng)等總行統(tǒng)一建設(shè)互聯(lián)網(wǎng)應(yīng)用的依次上線，進(jìn)一步提升了基層央行對互聯(lián)網(wǎng)的使用需求。2021年，范一飛副行長明確指出，要打造接入廣覆蓋、安全有保障、體驗更智能的互聯(lián)網(wǎng)視頻會議系統(tǒng)，滿足全系統(tǒng)多元化辦公需求，總行科技司也按此要求印發(fā)相關(guān)文件,要求分支機(jī)構(gòu)組織做好“成方會議”推廣應(yīng)用相關(guān)工作[3],由此互聯(lián)網(wǎng)在基層央行業(yè)務(wù)履職中的基礎(chǔ)支撐作用進(jìn)一步強(qiáng)化。與此同時，近年來基層央行根據(jù)各類履職活動的需要，還陸續(xù)存在為保障業(yè)務(wù)履職工作正常開展而接入其他專網(wǎng)進(jìn)行信息傳輸?shù)那闆r，在此基礎(chǔ)上加強(qiáng)和改進(jìn)網(wǎng)絡(luò)管理，提升網(wǎng)絡(luò)管理保障能力，確保互聯(lián)網(wǎng)及其他專網(wǎng)安全穩(wěn)定運行對保障基層央行業(yè)務(wù)開展及對外服務(wù)顯得更為重要。

2 當(dāng)前互聯(lián)網(wǎng)及其他專網(wǎng)網(wǎng)絡(luò)管理保障工作存在的問題

2.1 網(wǎng)絡(luò)管理頂層制度需要更新完善

由于人民銀行互聯(lián)網(wǎng)及其他專網(wǎng)管理和運維體制機(jī)制方面的原因，當(dāng)前人民銀行原有的互聯(lián)網(wǎng)總體管理相關(guān)制度因制定時間較早，在網(wǎng)絡(luò)安全管理體系、用戶主體責(zé)任、終端日常管理要求、網(wǎng)絡(luò)運維規(guī)則、網(wǎng)絡(luò)線路與公網(wǎng)IP地址管理和應(yīng)用等方面內(nèi)容較為單薄。同時因為在總行層面上暫未出臺針對其他專網(wǎng)的網(wǎng)絡(luò)管理制度，未明確對其他專網(wǎng)建設(shè)、終端接入及日常維護(hù)的要求，導(dǎo)致對其他專網(wǎng)管理的制度化、精細(xì)化水平仍有待提高，與當(dāng)前基層央行互聯(lián)網(wǎng)及其他專網(wǎng)網(wǎng)絡(luò)建設(shè)發(fā)展的實際情況和科技隊伍日常運維管理實踐不相適應(yīng)。特別是由于相關(guān)制度內(nèi)關(guān)于技術(shù)防護(hù)措施應(yīng)用等網(wǎng)絡(luò)安全領(lǐng)域的內(nèi)容相對簡單，難以有效為防控互聯(lián)網(wǎng)及其他專網(wǎng)入網(wǎng)終端遭受外部攻擊或被控制用于“挖礦”等網(wǎng)絡(luò)安全事件的發(fā)生提供有效的制度管理依據(jù)，也不便于基層央行信息科技部門按照相關(guān)工作制度開展互聯(lián)網(wǎng)與其他專網(wǎng)的日常技術(shù)維護(hù)或進(jìn)行網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)改造。

2.2 終端安全管理有待加強(qiáng)

隨著基層央行互聯(lián)網(wǎng)與其他專網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)及應(yīng)用的推進(jìn)，基層央行互聯(lián)網(wǎng)及其他專網(wǎng)入網(wǎng)終端數(shù)目及用戶數(shù)目均呈現(xiàn)顯著增長的趨勢，與人民銀行業(yè)務(wù)網(wǎng)已實現(xiàn)與互聯(lián)網(wǎng)隔離的現(xiàn)狀不同，互聯(lián)網(wǎng)及其他非涉密專網(wǎng)開放性更強(qiáng)，入網(wǎng)終端受到外部來源網(wǎng)絡(luò)攻擊的風(fēng)險更大，因此做好互聯(lián)網(wǎng)及其他專網(wǎng)入網(wǎng)終端的安全管理已成為基層央行日常網(wǎng)絡(luò)安全保障工作的重要組成部分。然而與人民銀行業(yè)務(wù)網(wǎng)已于2017年完成一體化終端安全管理系統(tǒng)部署[4]，實現(xiàn)對業(yè)務(wù)網(wǎng)全網(wǎng)入網(wǎng)終端的實時管理及操作審計的現(xiàn)狀不同的是，目前在基層央行互聯(lián)網(wǎng)及其他專網(wǎng)入網(wǎng)終端安全防護(hù)方面總行尚未部署統(tǒng)一的安全防護(hù)和行為審計工具，也缺乏對相關(guān)領(lǐng)域安全防護(hù)產(chǎn)品進(jìn)行配置、部署和使用的專門工作指引，在一定程度上增大了基層央行科技人員開展互聯(lián)網(wǎng)及其他專網(wǎng)終端從入網(wǎng)、維護(hù)直至退網(wǎng)全生命周期管理所需的工作量，制約了加強(qiáng)入網(wǎng)終端安全防護(hù)相關(guān)工作的開展，不利于基層央行科技部門通過技術(shù)手段對互聯(lián)網(wǎng)及其他專網(wǎng)入網(wǎng)終端、網(wǎng)絡(luò)出口的安全防護(hù)實現(xiàn)實時威脅感知及有效管理。

2.3 行為審計能力尚需提升

在當(dāng)前運維實踐當(dāng)中，鑒于基層央行獲得的接入互聯(lián)網(wǎng)公網(wǎng)IP地址數(shù)量通常相對有限，難以滿足與行內(nèi)用戶及入網(wǎng)終端設(shè)備一一對應(yīng)的需求，為此常通過在行內(nèi)建設(shè)局域網(wǎng)，并通過基于網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的方式實現(xiàn)局域網(wǎng)內(nèi)設(shè)備訪問互聯(lián)網(wǎng)，致使局域網(wǎng)內(nèi)多個IP地址同時對應(yīng)互聯(lián)網(wǎng)上的單個公網(wǎng)IP地址。在多個局域網(wǎng)IP地址對應(yīng)同一公網(wǎng)IP地址的情況下，這些局域網(wǎng)IP地址在互聯(lián)網(wǎng)公網(wǎng)一側(cè)被探測到的IP地址完全一致，僅憑公網(wǎng)IP地址信息難以將局域網(wǎng)內(nèi)不同用戶的行為區(qū)分開來，進(jìn)一步增大了區(qū)分具體用戶聯(lián)網(wǎng)行為的難度，為實現(xiàn)對入網(wǎng)終端進(jìn)行有效行為審計、精細(xì)化管理增加了障礙，不利于對內(nèi)部局域網(wǎng)區(qū)域的數(shù)據(jù)安全提供有效保護(hù)。

3 提升互聯(lián)網(wǎng)及其他專網(wǎng)網(wǎng)絡(luò)管理保障能力的政策建議

3.1 做好互聯(lián)網(wǎng)及其他專網(wǎng)網(wǎng)絡(luò)管理制度頂層設(shè)計

網(wǎng)絡(luò)管理制度建設(shè)是改進(jìn)和完善網(wǎng)絡(luò)管理保障工作的重要組成部分，為進(jìn)一步規(guī)范基層央行互聯(lián)網(wǎng)及其他專網(wǎng)管理保障工作，不斷提升互聯(lián)網(wǎng)及其他專網(wǎng)日常運維及網(wǎng)絡(luò)線路管理水平，建議盡快出臺適用于人民銀行全行的互聯(lián)網(wǎng)及其他專網(wǎng)網(wǎng)絡(luò)管理制度，通過加強(qiáng)頂層設(shè)計、強(qiáng)化制度約束的措施助推基層央行互聯(lián)網(wǎng)及其他專網(wǎng)網(wǎng)絡(luò)管理保障和風(fēng)險防控水平不斷提升。

一是明確對日常管理維護(hù)流程的工作要求。通過制度建設(shè)進(jìn)一步細(xì)化對終端設(shè)備管理使用臺賬建設(shè)、網(wǎng)絡(luò)管理員人員配備、入網(wǎng)設(shè)備安全認(rèn)證、用于網(wǎng)絡(luò)建設(shè)和運行維護(hù)過程所需網(wǎng)絡(luò)產(chǎn)品和服務(wù)的要求，加強(qiáng)對入網(wǎng)終端使用人主體責(zé)任方面的制度約束，明確利用互聯(lián)網(wǎng)或其他專網(wǎng)開展遠(yuǎn)程辦公活動的過程中涉及的安全生產(chǎn)底線與信息泄露紅線[5]。通過細(xì)化完善網(wǎng)絡(luò)建設(shè)與管理運維要求，提高網(wǎng)絡(luò)運維管理基礎(chǔ)工作制度化、規(guī)范化水平。

二是以制度建設(shè)加強(qiáng)和改進(jìn)網(wǎng)絡(luò)線路管理保障相關(guān)工作。互聯(lián)網(wǎng)及各類其他專網(wǎng)線路對網(wǎng)絡(luò)正常運行和提供服務(wù)起著重要作用，網(wǎng)絡(luò)線路管理工作是基層央行互聯(lián)網(wǎng)和其他專網(wǎng)網(wǎng)絡(luò)運維工作的重要組成部分，通過在網(wǎng)絡(luò)管理制度中明確對互聯(lián)網(wǎng)及其他專網(wǎng)網(wǎng)絡(luò)線路管理的要求，特別是針對當(dāng)前基層央行辦公場所現(xiàn)狀，進(jìn)一步明確多單位共用網(wǎng)絡(luò)線路場景下對共用線路的其他單位的管理要求，有助于不斷提升基層央行互聯(lián)網(wǎng)及其他專網(wǎng)網(wǎng)絡(luò)線路運維管理保障工作水平，防范化解可能出現(xiàn)的潛在聲譽(yù)風(fēng)險。

三是加強(qiáng)對互聯(lián)網(wǎng)及其他專網(wǎng)入網(wǎng)終端的制度管理措施。基層央行互聯(lián)網(wǎng)及其他專網(wǎng)入網(wǎng)終端數(shù)量多、分布廣，是網(wǎng)絡(luò)安全防護(hù)的重點。通過進(jìn)一步明確入網(wǎng)終端設(shè)備不得使用來源不明、未經(jīng)授權(quán)的軟件和介質(zhì)，不得安裝與虛擬貨幣相關(guān)的各類錢包和挖礦軟件的要求；增加入網(wǎng)終端使用人對入網(wǎng)設(shè)備做好病毒查殺和操作系統(tǒng)補(bǔ)丁安裝，不得使用國際互聯(lián)網(wǎng)或其他專網(wǎng)參與虛擬貨幣“挖礦”或交易活動的明確管理要求，加強(qiáng)和改進(jìn)對互聯(lián)網(wǎng)及其他專網(wǎng)入網(wǎng)終端的日常使用管理，防范由于終端管理漏洞引發(fā)更大范圍網(wǎng)絡(luò)安全事件的風(fēng)險。

3.2 進(jìn)一步加強(qiáng)入網(wǎng)終端網(wǎng)絡(luò)安全管理

一是推進(jìn)互聯(lián)網(wǎng)及其他專網(wǎng)入網(wǎng)終端設(shè)備更新工作。入網(wǎng)終端設(shè)備是基層央行互聯(lián)網(wǎng)及其他專網(wǎng)網(wǎng)絡(luò)的重要組成部分，數(shù)量較多、涉及用戶廣泛。通過充分發(fā)揮總行調(diào)撥設(shè)備具有的獨特優(yōu)勢，對互聯(lián)網(wǎng)及其他專網(wǎng)在用入網(wǎng)終端開展替換升級工作，將在用終端當(dāng)中的老舊設(shè)備更新替換為總行調(diào)撥的新設(shè)備，能夠有效提升互聯(lián)網(wǎng)及其他專網(wǎng)入網(wǎng)終端設(shè)備的科技自立自強(qiáng)水平，從而增強(qiáng)互聯(lián)網(wǎng)及其他專網(wǎng)入網(wǎng)終端自身具有的網(wǎng)絡(luò)安全風(fēng)險防護(hù)能力，更好地抵御被遠(yuǎn)程控制用于進(jìn)行“挖礦”活動等各類內(nèi)外部網(wǎng)絡(luò)攻擊，從終端節(jié)點層面提升基層央行的互聯(lián)網(wǎng)及其他專網(wǎng)網(wǎng)絡(luò)管理保障能力。

二是合理劃分網(wǎng)絡(luò)區(qū)域，加強(qiáng)區(qū)域間訪問控制策略管理。根據(jù)局域網(wǎng)內(nèi)網(wǎng)絡(luò)設(shè)備、終端等基礎(chǔ)設(shè)施之間的邏輯關(guān)系、物理位置等基本要素，在權(quán)衡安全防護(hù)水平與運維工作量的基礎(chǔ)上，通過VLAN等技術(shù)加強(qiáng)對互聯(lián)網(wǎng)及其他專網(wǎng)局域網(wǎng)不同區(qū)域的分區(qū)分域管理，按照邊界清晰、用途明確的原則劃分在用入網(wǎng)終端設(shè)備接入網(wǎng)段，從網(wǎng)絡(luò)層面擴(kuò)充局域網(wǎng)內(nèi)部的網(wǎng)絡(luò)安全防護(hù)縱深，提升對互聯(lián)網(wǎng)及其他專網(wǎng)入網(wǎng)終端訪問控制權(quán)限的精細(xì)化管理程度，收縮互聯(lián)網(wǎng)及其他專網(wǎng)入網(wǎng)終端的安全暴露面，進(jìn)而防范網(wǎng)絡(luò)安全風(fēng)險在局域網(wǎng)內(nèi)部擴(kuò)散。

三是探索應(yīng)用終端安全管理軟件加強(qiáng)互聯(lián)網(wǎng)入網(wǎng)終端設(shè)備管理。針對基層央行信息科技運維隊伍人力資源有限，日常工作較為繁重的特點，通過引入軟硬件兼容性、易用性均較強(qiáng)的終端安全管理平臺軟件，提升對互聯(lián)網(wǎng)入網(wǎng)終端管理的信息化、精細(xì)化程度，增強(qiáng)對終端安全態(tài)勢的實施監(jiān)控管理能力。通過在終端安全管理軟件控制端制定并對互聯(lián)網(wǎng)入網(wǎng)終端開啟入網(wǎng)終端設(shè)備安全管理策略，精細(xì)化做好入網(wǎng)終端設(shè)備分組及終端基本信息錄入維護(hù)，配合終端準(zhǔn)入白名單管控等措施，進(jìn)一步確保轄內(nèi)互聯(lián)網(wǎng)入網(wǎng)終端設(shè)備均能被集中識別，實現(xiàn)網(wǎng)絡(luò)準(zhǔn)入策略、終端安全防護(hù)策略在入網(wǎng)終端上的全覆蓋，及時阻斷惡意軟件爆發(fā)傳播路徑，確保惡意軟件感染風(fēng)險在單位局域網(wǎng)內(nèi)不積累、不擴(kuò)散、不升級。

3.3 科技賦能不斷提升技術(shù)治網(wǎng)能力

一是探索上網(wǎng)行為管理工具的應(yīng)用。上網(wǎng)行為管理工具通過對進(jìn)出相應(yīng)網(wǎng)絡(luò)接口數(shù)據(jù)包的深度解析和過濾，可以實現(xiàn)訪問控制、帶寬管理、監(jiān)控審計、統(tǒng)計分析、安全強(qiáng)化等功能[6]。其中訪問控制功能既可根據(jù)應(yīng)用類型實現(xiàn)對在網(wǎng)用戶進(jìn)行Web頁面、文件傳輸、IM聊天、P2P下載等不同類別應(yīng)用訪問操作的控制，還可基于用戶終端設(shè)備的IP和MAC地址信息進(jìn)行終端綁定，防止未經(jīng)授權(quán)審批的電子設(shè)備違規(guī)接入網(wǎng)絡(luò)，以技術(shù)措施確保終端準(zhǔn)入制度得到有效執(zhí)行；帶寬管理可實現(xiàn)針對線路的流量控制、針對應(yīng)用的流量控制、基于URL或者文件的流量控制、基于用戶或終端IP的流量控制等功能，通過對不同類型業(yè)務(wù)流合理配置及應(yīng)用流量保障策略，能夠更好地提高對不同終端、不同類型應(yīng)用所需網(wǎng)絡(luò)帶寬的基本保障能力；監(jiān)控審計可實現(xiàn)對網(wǎng)絡(luò)流量中包含的URL、發(fā)帖、郵件等內(nèi)容進(jìn)行實時監(jiān)控和審計，通過設(shè)置內(nèi)容過濾條件進(jìn)一步提高針對數(shù)據(jù)安全事件的實時監(jiān)控、早期預(yù)警和準(zhǔn)確溯源能力，更好地保護(hù)局域網(wǎng)區(qū)域內(nèi)的數(shù)據(jù)資源，防范化解潛在的數(shù)據(jù)泄露風(fēng)險[7]；報表統(tǒng)計可根據(jù)應(yīng)用流量排名、歷史流量排名等形式將上網(wǎng)行為信息分類統(tǒng)計后以數(shù)據(jù)中心、對比報表等形式可視化直觀展現(xiàn)，便于運維管理人員及時掌握網(wǎng)絡(luò)運行態(tài)勢，調(diào)整優(yōu)化管理策略；安全強(qiáng)化包括防火墻、網(wǎng)關(guān)殺毒等，通過數(shù)據(jù)過濾和網(wǎng)絡(luò)訪問規(guī)則配置，及時發(fā)現(xiàn)并阻斷外部遠(yuǎn)程入侵、“挖礦”等網(wǎng)絡(luò)安全風(fēng)險事件，防止外部數(shù)據(jù)流當(dāng)中的惡意代碼進(jìn)入單位局域網(wǎng)區(qū)域，增強(qiáng)網(wǎng)絡(luò)安全防范能力。通過對網(wǎng)絡(luò)內(nèi)用戶終端、網(wǎng)絡(luò)應(yīng)用、帶寬流量等實現(xiàn)可視可控，統(tǒng)一管理，有效提升互聯(lián)網(wǎng)網(wǎng)絡(luò)的安全管理和風(fēng)險防控水平。

二是探索運用新技術(shù)優(yōu)化互聯(lián)網(wǎng)及其他專網(wǎng)網(wǎng)絡(luò)連接方式。結(jié)合軟件定義網(wǎng)絡(luò)（SDN）等新技術(shù)的推廣應(yīng)用，通過網(wǎng)絡(luò)架構(gòu)優(yōu)化升級不斷整合網(wǎng)絡(luò)線路，運用SDN技術(shù)等方式匯聚轄內(nèi)分支行的互聯(lián)網(wǎng)流量，實現(xiàn)一定區(qū)域內(nèi)人民銀行分支機(jī)構(gòu)互聯(lián)網(wǎng)的集中一點接入[8]，以集中單位互聯(lián)網(wǎng)出口，縮小分支行在互聯(lián)網(wǎng)上的風(fēng)險暴露面，同時依托實現(xiàn)網(wǎng)絡(luò)線路整合，加強(qiáng)對分支機(jī)構(gòu)互聯(lián)網(wǎng)線路的集中管理，提升在網(wǎng)絡(luò)線路租賃采購方面的議價能力，推動人民銀行分支機(jī)構(gòu)網(wǎng)絡(luò)線路租賃統(tǒng)談統(tǒng)簽和提速降費工作取得更大成效。同時依托SDN技術(shù)對流量的識別和調(diào)度功能，實現(xiàn)對不同類型業(yè)務(wù)對應(yīng)網(wǎng)絡(luò)流量的精細(xì)化管理和控制，便于基層央行科技部門對于單終端無節(jié)制占用互聯(lián)網(wǎng)帶寬導(dǎo)致網(wǎng)絡(luò)出現(xiàn)擁堵的違規(guī)行為進(jìn)行技術(shù)限制，進(jìn)一步優(yōu)化正常用戶上網(wǎng)體驗，保障互聯(lián)網(wǎng)的連接暢通。