• 快捷搜索
  • 全站搜索

加强安全运行管理 提升农商行风控能力

2018-01-30 15:36:06作者:江苏省农村信用社联合社信息科技部总经理 傅晓三编辑:金融咨询网
开展安全要素信息关联分析,实现对信息资产及网络安全态势分析。采取响应处置,实现对安全威胁事件的预警管理。实现对安全态势的实时分析结果可视化展示,包括资产状态、恶意威胁事件和宏观安全态势展示。

江苏省农村信用社联合社作为全国农信改革试点的先行者和深化改革的推进者,自2003年起开展数据大集中,先后开展两代综合业务系统建设,采用主机架构,通过ISO20000体系认证,建成“两地三中心”灾备体系。同时,发挥行业服务管理职能,制订全省农商行信息科技工作标准及风险管理体制制度,探索云平台安全集中管理,提升信息安全水平。

图片1.jpg
江苏省农村信用社联合社信息科技部总经理 傅晓三

强化运维,做好灾备,加强省联社自身运行安全管理

        1.强化运维安全,实施ISO20000标准服务。信息科技运行管理水平,决定信息科技风险管理“第一道防线”的防控能力。为进一步完善现有运行管理流程,提高农商行信息科技服务水平,2010年江苏省联社全面推进ISO20000 IT服务质量认证建设,借鉴国际先进管理理念,通过细化工作流程、规范工作内容,全面提升IT服务的管理水平。为将国际标准与实际管理模式相结合,省联社进行充分调研、详细考察和详尽分析,通过大量调研以及对原有管理制度文档、系统进行阅读评估,从人员、技术、流程三个方面着手,将省联社现状与ISO标准进行比对,从而得出差距分析报告,提出27个改进课题。在差异评估的基础上,本着落地可行性、全员参与性、理解一致性和执行有效性的原则,开展流程建制和流程再造。

        省联社借助ISO20000管理框架,持续推进精细化管理,不断提升生产运行质量和服务水平,实现了IT生产运行管理的新跨越。同时,对ISO20000标准服务进行纵向延伸,以事件、问题管理流程为主线,构建省、县、网点三级运维快速响应体系,从而为全省农商行提供更加安全可靠的生产运行保障。

        2.建成两地三中心,实现重要系统灾备应用双活。江苏省联社自2008年起着手建设灾备系统,遵照“先同城后异地,先数据备份后应用双活”建设原则,2008年实现同城数据级灾备,2011年开展同城应用双活部署模式探索,2014年基本实现重要核心系统双活。2015年在继续拓展同城双活应用系统数量的同时,开始建设异地灾备中心,2015年底实现异地数据级备份,2016年5月同城新灾备中心投入使用。

        同城灾备:实现主要业务系统的数据级同城灾备和核心业务系统的应用级同城灾备,28个应用系统实现应用级灾备,其中16个系统实现双中心运行。RTO、RPO等灾备关键指标超出灾备规范5级要求,部分参数达到6级要求。

        异地灾备:异地灾备中心于2015年投入生产运行。生产数据实时地同步传输到同城灾备机房,再由同城灾备中心异步传输到异地灾备中心。

        灾备演练:2014年完成两次灾备演练,确定了灾备架构、技术切换流程和手册的有效性、正确性和完整性,全省22家农商行营业网点参演,验证了灾难切换过程中省联社数据中心与各网点的沟通协调机制。2015年完成第3次同城灾备桌面演练,进一步熟悉灾备流程,校验切换步骤与操作步骤。2016年对重要业务系统如网银,进行灾难恢复演练,验证灾备系统可靠性。

        在实现两地三中心的灾备系统建设目标后,未来将进一步扩大同城灾备应用双活建设范围,同时开展开放环境灾备自动化切换探索,计划在2017年内完成单个系统自动化切换演练,2018年完成全系统灾备切换演练。

        3.开展整网安全评估,建设信息安全态势感知体系。随着近年江苏省联社主机房和灾备机房搬迁,系统架构发生较大变化,为进一步提升生产网信息安全管理,省联社着手开展整网安全评估,从公网、数据中心内部和农商行网点3个角度,对主备两个数据中心生产网的物理、网络、系统、应用和管理5个层面开展评估;对开发测试网进行安全架构评估。

        物理层评估主要是对信息系统的机房进行评估。通过人工访谈和实地查看等评估方法,从机房位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应以及电磁保护等方面,对机房的设备设施和相应安全防护措施的安全性进行评估。网络层安全评估主要是对网络结构、网络出口、路由器和交换机、防火墙等网络设备的安全性进行评估,采用网络架构分析和人工安全检查等评估方法。系统层安全评估主要是对承载生产业务的应用主机服务器的操作系统进行安全性评估,采用安全漏洞扫描、人工安全检查等评估方法。应用层安全评估主要针电子银行系统开展安全评估。管理层安全评估主要是通过管理体系审核、管理问卷调查、安全顾问访谈、安全策略分析、安全审计等方式开展安全管理评估分析,包括信息安全方针、信息安全组织、人力资源管理、资产管理、供应商关系、业务连续性计划、安全事件管理、符合性等方面。

        随着互联网技术的发展,网络安全的问题日渐突出,仅仅依靠单一的网络安全防护技术已经不能满足网络安全的需求,迫切需要新的技术,及时发现网络中的异常事件,实时掌握网络安全状况。通过将各类日志汇总至安全态势感知平台,全天候、全方位感知网络安全态势,对网络的资源作出合理的安全加固,对外部的攻击与危害行为可以及时地发现并进行应急响应,构建基于全方位安全态势感知的安全管理体系,构建更安全、更便捷、更可靠的安全管控模式,全面提升安全管理的集中化、主动化、可视化和智能化,通过采集、分析、响应处置,并进行多维态势展示。开展网络、安全设备以及各类服务器的安全数据采集。开展安全要素信息关联分析,实现对信息资产及网络安全态势分析。采取响应处置,实现对安全威胁事件的预警管理。实现对安全态势的实时分析结果可视化展示,包括资产状态、恶意威胁事件和宏观安全态势展示。

        4.做好省联社信息安全日常工作。省联社专门设立信息安全管理团队,配备专职信息安全管理人员5人,持有国际信息系统审计师、注册信息安全专业人员等相关资质证书。开展检测、防护、技术和管理控制,以及连续性等7类日常安全管理工作,在边界安全、终端防护、威胁分析、脆弱性发现、数据防护等领域共25个技术项开展风险防控工作。其中检测工作主要包括:漏洞扫描及修复、基线配置核查及配置加固、数据备份介质恢复测试、日志分析以及互联网站、钓鱼网站和仿冒APP监控检查。防护工作主要包括:防病毒系统管理、防毒墙日志分析、WAF和ADS运维工作。技术控制工作主要包括运用桌面管理和运维审计平台进行安全防护,开展磁介质消磁工作。管理控制工作主要包括:变更流程安全审核和数据申请审批。测评及检查工作主要包括组织进行等保测评、员工操作行为检查和安全告警事件评估。连续性工作主要包括:组织灾备切换演练、HA切换演练、UPS及精密空调演练。另外还开展建立信息科技部安全管理制度体系、员工安全意识培训,以及密钥、证书期限管理等其它安全管理工作。

加强科技管理,提升农商行整体信息安全水平

        1.开展标准体系建设。江苏省联社下辖62家农村商业银行,各农商行信息科技发展水平不平衡:发达地区农商行科技人数超过100人、科技年度投入超过2个亿;个别农商行科技人数不足5人、科技年度投入不足300万。省联社承担农商行管理、指导、协调和服务职能,这就要求省联社信息科技部门要针对不同情况的农商行制订符合其实际情况的信息科技管理制度,以提升其信息科技风险管理能力和信息安全工作水平。

        自2009年起,省联社连续3年组织开展辖内农商行现场检查,通过检查发现农商行在基础环境、系统运维、软件开发和信息安全等方面存在较大不足。2012年,省联社编制发布《信息科技工作标准》。2013年,为适应全省各农商行信息科技发展不平衡的实际情况,细化分级要求,形成《信息科技工作标准指标表》,对信息科技的管理、环境、网络、系统、运行、开发和安全7个方面140个子项工作予以规范。以标准为依据,2014~2016年,每年组织12个检查组,开展全省62家农商行检查,检查结果作为省联社经营目标考核依据。2014年全省信息科技A+级2家、B+级13家、C+级42家、不达标5家,2016年全省A+级7家、B+级24家、C+级30家、不达标1家。通过标准建设和检查考核,促进全行业信息科技工作提升。

        2014年省联社开展全行业风险管理制度体系建设,编制发布《信息科技风险管理工作指标》,分治理、风险、安全、项目、运行、业务连续性、外包和审计8个模块、146个指标、412项要求。2015年,进一步提炼发布《信息科技风险管理制度体系》,制度体系包括1个策略和8个制度,细化明确农商行董事会、高管层、委员会、领导小组,以及相关部门信息科技风险管理要求,特别强调了风险、审计和业务部门在信息科技风险管理中的角色定位,进一步提升全行业信息科技风险管理水平。

        2.探索云平台集中安全管理。为适应互联网时代银行业务和技术发展形势,贯彻落实银监会“十三五”规划要求,提升全行业信息科技运行管理水平和系统支撑能力,省联社探索云计算技术,规划建设全行业公有共享云平台。农商行普遍科技人员较少,需要管理全行IT资源,包括基础环境、各类硬件和自建应用系统等,工作对象复杂、压力较大。将IT基础环境迁移至省联社云平台,可降低农商行科技部工作复杂度、工作压力和运维风险,同时避免使用其他公有云或行业云的数据安全问题。拟建立全行业公有共享云的互联网资源池,以SASS服务的方式支撑全省门户网站上收,后续将协助农商行将自建的互联网类应用,如微信平台、直销银行等迁移至互联网资源池内,提供统一的高等级的安全防护服务。

(文章来源:金融电子化杂志) 

扫码即可手机
阅读转发此文

本文评论

相关文章