近年来,随着金融业等级保护工作的逐步落实,银行业金融机构陆续完成了本单位信息系统等级保护定级备案,等级测评及安全建设整改工作。但由于银行业金融机构具有分支机构多、分布广,信息系统应用复杂、定级范围广以及安全人员管理水平参差不齐等特点,给定级保护后续管理工作增加了难度,如何持续做好信息系统等级保护工作,巩固等级保护工作成效,建立等级保护工作长效管理机制,已成为金融监管机构关注的问题。本文主要结合安全基线在基层人民银行等级保护中的实践,探讨安全基线技术在等级保护管理中的应用。
一、银行业金融机构信息系统等级保护现状
人民银行作为我国中央银行,承担着指导协调我国金融业信息安全工作的职责。2010年以来,人民银行为全面落实国家信息安全等级保护制度,制定了《金融行业信息系统信息安全等级保护实施指引》、《金融行业信息系统信息安全等级保护测评指南》、《金融行业信息安全等级保护测评服务安全指引》三项行业标准,建立了金融业等级保护标准规范体系。在此基础上,人民银行围绕定级、备案、安全建设整改、等级测评和监督检查等五个规定动作,在人民银行及银行业全面部署实施信息安全等级保护工作,截至目前,全国银行业金融机构已基本完成重要信息系统的定级、备案和测评整改工作,等级保护工作取得了长足进步,信息系统的安全防护水平得到了全面提升,推动了金融业信息化建设和业务发展,但在等级保护执行过程中也面临以下一些困难:一是金融机构分支机构多、分布广,总部对分支机构等级保护工作的可控管理水平有限。二是金融机构信息系统数量多、运行环境复杂,定级范围广且标准不统一,加大了等级保护的运维难度。三是部分银行分支机构没有认识到信息系统等级保护工作的重要性,等级保护工作流于形式,使等级保护工作未能真正落到实处。四是缺少如何将信息安全等级保护工作与信息安全日常保障工作、风险测评等安全管理工作相结合的有效技术手段。引入安全基线管理机制,充分利用基线技术的特点和优势,去化解当前金融机构等级保护所面临的问题,不失为一种有效的解决办法。现就安全基线在基层人民银行等级保护中的应用实践为例,谈谈安全基线技术在加强等级保护管理,促进长效管理机制形成中所发挥的作用。
二、安全基线在基层人民银行等级保护管理中的应用
1.人民银行信息安全基线概述
人民银行安全基线建立在《人民银行信息安全综合规范》基础之上,《人民银行信息安全综合规范》主要吸收了金融行业信息系统信息安全等级保护及人民银行内部多类制度安全管理要求项,涉及总行、省级行、地市中支、县支行4级机构,包含机房环境、网络安全、应用安全、保密技术管理、信息安全管理、安全运维等10个方面的内容,涵盖了人民银行所有信息系统等级保护定级管理要求,是人民银行信息系统需要满足的安全管理要求。它是由一组安全配置项组成,形成了针对不同信息系统的详细CheckList及操作指南,为人民银行分支行建立本单位的安全基线提供了统一规范。人民银行分支行结合本单位最佳安全实践,通过对《人民银行信息安全综合规范》进行筛选、检测、配平等操作,最终形成符合各单位实际情况、本地化的安全基线。
2.安全基线在基层人民银行等级保护管理中的应用过程
人民银行分支行的安全基线包含了本单位已定级信息系统安全管理的各项要求,通过对安全基线进行管理,能够促进等级保护各项措施的落实。安全基线在基层人民银行等级保护中的应用过程可分为三部分:建立安全基线、安全基线的检测与控制、基线度量与报告。
(1)建立安全基线。人民银行分支机构在综合考虑本单位等级保护定级管理要求及企业自身安全建设发展需求基础之上,对IT设备及业务系统的安全目标进行识别和梳理,并对照《人民银行信息安全综合规范》进行筛选,分离出不适用项,并对剩余适用本单位的配置项进行安全检测、配合平等操作,形成了符合本单位实际情况的一组安全配置项,即本单位的初始安全基线。初始安全基线被上级管理部门批准确认后,形成本单位的安全基线,变为受控状态,作为当前时期的安全基准点,不允许随便更改。
(2)安全基线的检测与控制。安全基线建立后,将定期对目标业务开展合规性检测,找出不符合项,并通过整改、加固等措施,消除安全风险,逐步达到安全基线标准要求。随着业务的不断调整变化,对已建立的安全基线进行评估,整理出需要补充、维护和完善配置项后,提出“变更请求”(checkrequest),在变更请求得到批准的情况下,允许配置项从安全基线中检出(实施check-out),待变更完成,并经评审后,确认无误,方可重新进入安全基线,使其恢复到受控状态,从而实现安全基线动态更新。对安全基线的检测与控制,可以有效监控各单位等级保护管理整体安全状态,跟踪信息系统等级保护工作中的未达标项,把未达标项纳入信息安全基线控制范围,通过对本单位信息安全基线的定期检测和整改,可以逐步提升信息系统等级保护的安全保障能力。
(3)基线度量与报告。对本单位安全基线检测后得到的数据是安全基线配置项的状态表,它反映了本单位在某一时点上的整体信息安全状态,是信息安全总体水平的量化表述,可以度量企业安全现状与安全基线之间的差距,为后续的整改提供依据。人民银行分支机构的安全基线是上级单位管理决策的重要依据之一,安全基线建立后,实行季报制度,每个季度向上级行上报本辖区的安全基线报告,人民银行总行安全管理部门则可以不定期查看分支机构的安全基线报告,方便了解分支机构的整体安全状况及安全变动趋势。
3.安全基线在基层人民银行等级保护管理中的应用效果
(1)实现了信息安全工作可控、可管、可操作。通过安全基线技术,将本单位信息安全管理工作统一转化为一组可操作的配置项,便于数据汇总和分析安全变动趋势,可以有效监控本单位的整体信息安全状态,跟踪整改未达标的信息安全要求、消除存在的信息安全隐患。
(2)综合了多方运维管理内容。安全基线实际上已经综合了等级保护、风险评估、内部管理制度等多方面的管理要求,与人民银行信息安全保障工作有机结合,建立了集中统一的安全运维管理体系。
(3)提升等级保护测评符合率。安全基线管理,通过采用“填平补齐”的方式,逐步完善各单位安全状况,较全面地解决各单位(特别是技术力量比较薄弱的分支机构)中存在的信息安全管理问题,能有效提升各单位等级保护测评符合率。
(4)促进了安全长效机制形成。安全基线管理过程遵循“生命环”管理体系,通过对安全基线的定期检查、更新、报告及风险跟踪,周而复始,持续改进,形成螺旋上升的良性循环态势,促进了安全长效机制形成。
综上所述,通过引入安全基线技术,建立一个涵盖等级保护管理要求的安全基线,并定期对安全基线进行度量和控制,将为我国金融企业等级保护工作进入新常态,促进等级保护长效管理机制的形成,提供了一种可行的解决思路。
作者:唐先勇 单位:中国人民银行黄冈市中心支行
