信息化觀察網(wǎng)

武漢農(nóng)村商業(yè)銀行信息科技部總經(jīng)理 李喆

相對(duì)于農(nóng)商行的區(qū)域性特色、網(wǎng)點(diǎn)分布及資金相對(duì)有限等特點(diǎn)，大型金融機(jī)構(gòu)的信息安全建設(shè)并不完全適用于農(nóng)商行。信息安全是遵循典型“短板效應(yīng)”的領(lǐng)域，在中小型銀行“兩地三中心”的建設(shè)已日臻完備、且數(shù)據(jù)中心端安全體系已逐漸成型的情況之下，中小銀行需要建設(shè)一種適合自身特色的分支行信息安全管理體系，以補(bǔ)齊信息安全體系中相對(duì)薄弱的“短板”。

武漢農(nóng)商行按照國家金融信息安全要求，勇于探索，積極擁抱新技術(shù)，堅(jiān)定不移地推進(jìn)分支行信息安全體系建設(shè)，在實(shí)踐中探索出一套適合中小銀行分支行信息安全管理體系的有效方法。

中小銀行分支行信息安全體系建設(shè)實(shí)踐

參照國內(nèi)外金融行業(yè)信息安全的最佳實(shí)踐，結(jié)合武漢農(nóng)商行的實(shí)際情況，武漢農(nóng)商行構(gòu)建全面的分支行信息安全體系，涵蓋安全管理體系、安全技術(shù)體系、安全基礎(chǔ)設(shè)施體系三個(gè)方面，從分支行業(yè)務(wù)實(shí)際出發(fā)，遵循風(fēng)險(xiǎn)管理的理念，在信息科技戰(zhàn)略規(guī)劃的基礎(chǔ)上，全面指導(dǎo)分支行信息安全工作。

1.分支行安全管理體系。在安全管理組織方面，一是構(gòu)建從安全決策層、安全管理層、安全合規(guī)層、安全審計(jì)層到安全執(zhí)行層的安全組織框架；二是在分支行設(shè)立20多個(gè)信息安全兼職人員，負(fù)責(zé)分支行信息安全的執(zhí)行落實(shí)；三是建立分支行定期會(huì)議機(jī)制，季度、年度信息安全工作例會(huì)，全體分支行信息安全人員參加。

在安全管理制度方面，一是健全信息安全管理制度，編寫完成20多項(xiàng)信息安全管理制度；二是加強(qiáng)和保衛(wèi)部、營運(yùn)管理部等部門的橫向銜接，齊抓共管，共同敦促分支行落實(shí)安全保衛(wèi)管理制度；三是明確分支行信息安全崗位和人員的管理責(zé)任，定期開展信息安全內(nèi)部審計(jì)與外部安全評(píng)估，防止信息泄露和濫用。

在安全培訓(xùn)管理方面，一是強(qiáng)化網(wǎng)絡(luò)安全意識(shí)培訓(xùn)，制定相應(yīng)管理要求與懲戒機(jī)制；二是建立和完善了“總行-一級(jí)分支行-網(wǎng)點(diǎn)”三級(jí)教育培訓(xùn)機(jī)制；三是定期舉行分支行信息安全培訓(xùn)，增強(qiáng)信息安全意識(shí)、提高網(wǎng)絡(luò)及硬件設(shè)備管理水平。

在安全運(yùn)維管理方面，一是制定《武漢農(nóng)村商業(yè)銀行分支行機(jī)房建設(shè)標(biāo)準(zhǔn)及管理規(guī)范》統(tǒng)一網(wǎng)點(diǎn)機(jī)房新建及改造技術(shù)標(biāo)準(zhǔn)，確保機(jī)房設(shè)備安全穩(wěn)定運(yùn)行；二是采用一體化機(jī)柜建設(shè)方案，減少科技人員網(wǎng)點(diǎn)現(xiàn)場巡檢工作量，更好地支持網(wǎng)點(diǎn)業(yè)務(wù)轉(zhuǎn)型和發(fā)展；三是及時(shí)跟進(jìn)事件管理和問題管理，改進(jìn)措施納入問題管理跟蹤督促。

在安全合規(guī)管理方面，一是明確分支需要遵守的合規(guī)安全制度，并進(jìn)行全覆蓋的檢查，檢查采用遠(yuǎn)程與現(xiàn)場結(jié)合的方式，合規(guī)檢查情況納入當(dāng)年度分支行考核；二是開展分支檢查并全覆蓋，確保分支管理要求落地。

2.分支行安全技術(shù)體系。在物理和環(huán)境安全方面，建立分支機(jī)房建設(shè)標(biāo)準(zhǔn)及管理規(guī)范，對(duì)機(jī)房建筑及裝修、供配電系統(tǒng)、UPS供電系統(tǒng)等8個(gè)方面進(jìn)行規(guī)范，保證分支行信息系統(tǒng)安全可靠地運(yùn)行。

在網(wǎng)絡(luò)和通信安全方面，一是分支行網(wǎng)絡(luò)統(tǒng)一規(guī)劃、統(tǒng)一設(shè)計(jì)、統(tǒng)一實(shí)施、統(tǒng)一管理，在網(wǎng)點(diǎn)端生產(chǎn)網(wǎng)絡(luò)嚴(yán)格與辦公網(wǎng)、互聯(lián)網(wǎng)實(shí)行物理隔離，對(duì)生產(chǎn)網(wǎng)絡(luò)的訪問實(shí)施嚴(yán)格的權(quán)限控制；二是加強(qiáng)分支行互聯(lián)網(wǎng)、外聯(lián)網(wǎng)接入的管理，分支行外聯(lián)網(wǎng)接入統(tǒng)一上收到總行，互聯(lián)網(wǎng)接入由總行統(tǒng)一管理；三是積極推進(jìn)安全可控技術(shù)在分支行應(yīng)用，分支行網(wǎng)絡(luò)和安全設(shè)備實(shí)現(xiàn)100%國產(chǎn)化全覆蓋。

在設(shè)備和計(jì)算安全方面，一是實(shí)現(xiàn)分支行生產(chǎn)終端、辦公終端、互聯(lián)網(wǎng)上網(wǎng)終端的安全分離，降低了信息泄露風(fēng)險(xiǎn)；二是加強(qiáng)終端系統(tǒng)賬號(hào)口令管理，制定明確的賬號(hào)口令管理策略，加強(qiáng)口令管理，保護(hù)終端安全；三是覆蓋分支行的桌面安全管理系統(tǒng)、防病毒等安全產(chǎn)品，不得擅自修改安全產(chǎn)品的配置、變更IP地址及其他重要參數(shù)。

在數(shù)據(jù)和備份安全方面，一是建立分支行人員數(shù)據(jù)操作管理制度，對(duì)數(shù)據(jù)的生成、傳遞、傳輸、導(dǎo)出、備份、歸檔、保存、遷移、轉(zhuǎn)儲(chǔ)、恢復(fù)、銷毀等環(huán)節(jié)進(jìn)行管理和控制，確保數(shù)據(jù)安全，以滿足系統(tǒng)恢復(fù)、業(yè)務(wù)處理和監(jiān)管的要求；二是逐步完善敏感信息保護(hù)機(jī)制，規(guī)范互聯(lián)網(wǎng)環(huán)境下使用敏感數(shù)據(jù)的行為；三是全面建成“兩地三中心”架構(gòu)，災(zāi)備基礎(chǔ)設(shè)施趨于完備，分支行安全生產(chǎn)保障能力穩(wěn)步增強(qiáng)；四是所有分支行網(wǎng)點(diǎn)通過4G無線備份網(wǎng)絡(luò)接入常熟異地災(zāi)備中心，實(shí)現(xiàn)通信鏈路的容災(zāi)備份。

3.分支行安全基礎(chǔ)設(shè)施體系。在機(jī)房運(yùn)維區(qū)安全方面，一是加強(qiáng)對(duì)分支行機(jī)房場地、設(shè)備、設(shè)施、環(huán)境等的管理，實(shí)施7×24小時(shí)實(shí)時(shí)視頻監(jiān)控，嚴(yán)格的門禁管理等安全措施；二是加強(qiáng)設(shè)備維護(hù)管理，網(wǎng)點(diǎn)、機(jī)房等設(shè)備維護(hù)操作，必須由行員操作或在行員監(jiān)控下完成，做到雙人復(fù)核。

圖 武漢農(nóng)商行分支行信息安全體系框架

在現(xiàn)金業(yè)務(wù)區(qū)安全方面，一是安裝出入口控制和緊急報(bào)警裝置，只允許授權(quán)人員在規(guī)定時(shí)間內(nèi)進(jìn)出并記錄所有出入人員、出入時(shí)間等信息；二是安裝視頻安防監(jiān)控裝置，實(shí)時(shí)監(jiān)視、記錄現(xiàn)金支付交易全過程；三是加強(qiáng)柜員終端安全防護(hù)，從操作終端管控層面有效地保障數(shù)據(jù)安全。

在非現(xiàn)金業(yè)務(wù)區(qū)安全方面，一是安裝視頻安防監(jiān)控裝置，加強(qiáng)巡檢、監(jiān)控等安保措施；二是梳理無線網(wǎng)絡(luò)部署情況，確保轄內(nèi)無線網(wǎng)絡(luò)與辦公網(wǎng)、生產(chǎn)網(wǎng)、測試網(wǎng)物理隔離，禁止私自搭建無線網(wǎng)絡(luò)；三是強(qiáng)化網(wǎng)口、USB接口物理防控，不得暴露網(wǎng)線、USB口。

在離行自助服務(wù)區(qū)安全方面，一是加強(qiáng)ATM環(huán)境運(yùn)行進(jìn)程管理,只有明確允許的進(jìn)程才能在ATM上運(yùn)行，安裝更新程序時(shí)需要經(jīng)過審核，確認(rèn)沒有安全問題后才允許運(yùn)行；二是加強(qiáng)離行自助服務(wù)設(shè)備密碼密鑰管理，密碼密鑰的生成、分發(fā)與傳遞、注入、保管、更新、銷毀等整個(gè)生命周期的管理管理。

新趨勢下中小銀行分支行信息安全

思考和展望

新技術(shù)發(fā)展和金融業(yè)態(tài)變革帶來新機(jī)遇，武漢農(nóng)商行積極探索新興技術(shù)在金融領(lǐng)域安全應(yīng)用，從多個(gè)方面增強(qiáng)分支行風(fēng)險(xiǎn)防控能力。

1.利用工具化手段和移動(dòng)技術(shù)更便捷開展信息安全工作。利用工具化手段和移動(dòng)技術(shù)，建立分支行信息安全評(píng)級(jí)機(jī)制和統(tǒng)一運(yùn)維機(jī)制，更便捷的開展分支行信息安全工作。

2. 利用SD-WAN技術(shù)實(shí)現(xiàn)視頻網(wǎng)和辦公網(wǎng)嚴(yán)格物理隔離。利用SD-WAN(廣域軟件定義網(wǎng)絡(luò))技術(shù)，搭建視頻監(jiān)控專網(wǎng)，將視頻監(jiān)控網(wǎng)從現(xiàn)有辦公網(wǎng)專線剝離，實(shí)現(xiàn)與銀行業(yè)務(wù)流隔離，從嚴(yán)標(biāo)準(zhǔn)構(gòu)建物理和網(wǎng)絡(luò)邊界。

3.利用桌面虛擬化技術(shù)構(gòu)建分支行安全終端環(huán)境。利用桌面虛擬化技術(shù)，在總行數(shù)據(jù)中心搭建桌面云統(tǒng)一管理平臺(tái)，網(wǎng)點(diǎn)僅需部署瘦終端，利用桌面云系統(tǒng)外發(fā)文件審計(jì)、USB控制等功能，保障用戶網(wǎng)銀體驗(yàn)、員工辦公等分支行終端環(huán)境的安全，確保用戶數(shù)據(jù)不會(huì)外泄。

4.利用NTA技術(shù)建立分支行網(wǎng)絡(luò)攻擊監(jiān)測感知平臺(tái)。利用NAT(網(wǎng)絡(luò)流量分析)技術(shù)，動(dòng)態(tài)監(jiān)測分析分支行網(wǎng)絡(luò)流量和網(wǎng)絡(luò)實(shí)體行為，實(shí)現(xiàn)分支行風(fēng)險(xiǎn)全局感知和預(yù)判預(yù)警，提升重大網(wǎng)絡(luò)威脅和突發(fā)事件的應(yīng)對(duì)能力。