文 / 中国农业银行数据中心 林鹏 张志峰 孙英明

　　林鹏，现任中国农业银行数据中心党委委员、纪委书记，兼任信息安全领导小组副组长及园区综治领导小组副组长。

　　随着互联网与传统行业的不断融合，信息安全形势日趋复杂和严峻。本文通过对“互联网+”下的信息安全现状及形势进行分析，提出存在的问题和解决措施，从意识、管理、技术、交流合作等层面提出风险应对措施，为提升“互联网+”下的信息安全管理水平奠定了理论基础。

　　“互联网+”下的信息安全日益重要

　　大数据时代，以IT技术为生产工具、以数据为生产资料，互联网与传统行业的深度融合模式已经形成。在海量信息的产生、收集、传输、存储、访问、销毁等过程中，信息安全贯穿始终，只有控制好每一环节，保证信息的保密性、完整性和服务可用性，企业方能长足发展创新、立于不败之地；如若不然，安全底线失守，信息安全事件演化带来的业务影响、资金损失、声誉风险等，将给企业带来巨大损失甚至是致命危害。

　　1.面临的威胁挑战。随着互联网的繁荣发展，信息安全形势日趋复杂严峻。一是面临的网络威胁越来越严重。除了传统的SQL注入、DDOS等常见攻击，APT高级持续威胁等新型攻击方式也愈演愈烈，据统计，国内银行一年遭受的网络攻击次数就高达上千万次。二是新技术、新架构带来新风险。相比传统封闭式系统，开放式系统漏洞更多，更容易遭受攻击；云计算技术引入新风险，个别应用的安全短板甚至会影响整个云平台的安全。三是信息泄漏和滥用问题日益严峻。大数据依托海量数据集中，一旦泄漏危害不堪设想，2017年仅Equifax一家机构泄露的美国公民私人信息就高达1.43亿条。《数据泄露水平指数调查报告》显示，2017年全球被泄或被盗的数据为26亿条，同比增加88%，其中涉及金融服务的财务、账号数据泄露数量巨大，这为企业尤其是银行数据保护敲响了警钟。

　　2.信息安全的重要性。当今网络和信息系统已经成为整个经济社会的神经中枢，遭受攻击破坏、发生重大安全事件，将导致能源、交通、通信、金融等基础设施瘫痪，造成灾难性后果，国家经济安全和公共利益将受到严重危害。以农行为例，随着信息技术的发展，日均交易量从10年前的0.46亿笔增长至现在的近5亿笔，其中电子渠道交易占比高达97%。如果受到网络攻击或感染病毒，就可能对8.64亿账户的安全造成影响，平均每停机1秒就有5000余笔交易无法进行，这对国计民生的影响是不言而喻的。“互联网+”时代下，无论对国家、企业还是个人来说，信息安全都至关重要，做好信息安全管控刻不容缓。

　　3.国家战略需要和法律法规要求。基于国内外复杂网络安全形势，国家于2014年2月成立中央网络安全和信息化领导小组，国家主席习近平亲自担任组长，并于2018年3月改为中央网络安全和信息化委员会。网络安全被提升至国家安全战略的新高度。为推动网络空间法治建设，《中华人民共和国网络安全法》于2017年6月正式生效，对包括银行业在内的各家组织机构的信息安全与风险管理提出了许多新要求。实施一周年以来，境内感染恶意程序的主机数量减少26.1%，移动互联网恶意程序数量增速减缓，网络安全治理收效显著。

　　“互联网+”时代的信息安全风险应对措施

　　1.风险应对基本策略。为有效应对“互联网+”下的信息安全挑战，满足法律和监管要求，主动适应市场、环境、技术的变化，我们认为做好这项工作，首先要采取以下几点策略。

　　审慎合规：从合法、合规角度出发，守住安全底线，重点防范信息泄漏和滥用，确保不发生长时间、大范围的信息安全事件。

　　理性安全：不追求绝对的安全，兼顾安全与成本，避免无限制的安全阻碍新技术的使用和业务的创新，安全要为业务服务。

　　快速响应：施行IT、业务一体化的监测、分析与处置，实现提前预警预判，快速消除信息安全风险隐患。

　　合作共治：监管部门、企业、安全机构加强合作交流，建立信息安全情报合作分享机制，打造“互联网+”信息安全生态，共享信息安全成果。

　　2.风险应对具体措施。基于上述策略，各机构还应积极做好具体应对措施。

　　（1）落实《国家网络空间安全战略》，增强风险意识和危机意识。互联网不是“安全岛”，而是“是非地”，各种风险隐藏其中。任何机构和个人，都必须充分认识当前网络空间安全形势的严峻性、复杂性和危险性，严格落实国家网信办发布的《国家网络空间安全战略》，充分估计互联网的安全风险，积极应对，科学规划，统筹安排，确保信息安全，让互联网为我所用，为企业发展提供有力支撑。

　　（2）牢固树立法制观念，增强合法合规意识。《网络安全法》的实施，把信息安全上升到法律层面，法律条款既适用于各机构，也适用于个人与责任人员。信息安全做不好就是违法，轻则罚款、重则需承担刑事责任。不论从机构角度，还是个人角度，做好信息安全工作势在必行。我们必须增强法制观念，依法合规建立配套管控策略，落实具体管控措施，才能健康可持续发展。

　　（3）适时审慎引入新技术新架构，加强信息安全技术防范。随着云计算、大数据等新技术的不断发展和应用，信息安全工作也应紧随新技术的方向发展。一是针对互联网时代新型外部攻击方式多、来源广、影响大的特点，引入数据防泄漏、云端恶意代码防范等新安全技术，弥补开放式系统架构漏洞多的弱点。二是构建基于大数据的安全运营中心，实现安全态势的全维度智能感知、可视化展现及前瞻性预测。三是综合运用应用安全检测、云综合日志审计，引入同态加密等技术，适应云计算环境特点，在保证用户体验的前提下，有效破解云环境的安全难题。

　　（4）重视信息安全管理，构建规范制度体系和高效操作流程。信息安全“三分靠技术，七分靠管理”。各机构应积极建立专业高效权威的信息安全组织。一是在高管层设置CISO（首席信息安全官）统领信息安全工作。二是组建横跨科技、业务、法律、公共关系等部门的信息安全团队，统筹制订安全策略，发挥各专业优势，针对安全问题实现一体化的整体快速响应。三是推行标准化管理体系，借助国际先进管理技术理念和最佳实践，形成规范管理制度和流程，带动技术研究革新，为信息安全工作提供有力保障。

　　（5）加强交流和研究合作，打造“互联网+”信息安全生态。信息有国界，信息安全无国界。各机构应加强国际、国家、行业等各层面的交流合作，共营互联网信息安全。一是推动设立行业网络信息安全平台，与CNCERT、CVE等安全组织合作，为行业内的安全事件及时发现、快速预警和协调处置提供服务。二是建立与第三方安全机构、信息安全企业的常态化交流机制，准确把握信息安全前沿动向，交流安全防护工作经验。三是加强对优秀信息安全企业技术专业优势的运用，尝试引进试用，强化安全防护。四是要深化“产学研用”的合作对接，积极尝试国产技术产品，形成“产学研用”一体化的良性循环。

　　（6）加强培训宣贯，营造信息安全文化。从一个组织生产、管理、传播及保护信息的各个环节来看，都是人在起决定性作用，应当把幕后主角“人”纳入信息安全的定义中去，把建立“人力防火墙”看作是实现有效信息安全的基础。通过引导团队形成共同的态度、认识和价值观，建立规范的思维和行为模式，营造“信息安全，人人有责”的企业文化氛围，从而使员工成为企业信息安全的一道“最可靠防线”，实现组织信息系统的长治久安。

　　农行数据中心的信息安全管理实践

　　为应对互联网下的安全威胁，中国农业银行数据中心按照上述策略与工作思路，重点从安全管理、安全技术、实体安全三个方面来加强信息安全保障。

　　1.不断强化规范化管理，加强内外部联络交流，形成稳定高效的信息安全管控体系。一是加强组织领导。成立信息安全工作领导小组，定期专题研究部署安全工作，强化统筹指导。二是狠抓制度、流程、规范等基础管理工作。引入ISO20000、ISO27001国际先进标准，成为四大行首家通过“双认证”的数据中心。近10年持续实践改进，实现生产运行工作流程化、操作规范化、管理高效化。三是注重宣贯教育。开展案例警示教育、信息安全竞赛、业界专家专题讲座，引导员工牢固树立法治观念和合规意识。四是大胆探索实践，打造富有科技运维特色的“三线一网格”管理模式。“三线”是指党建线、纪检线、合规线，是落实党委主体责任、纪委监督责任，强化安全合规的重要条线和关键环节。“一网格”是指员工行为管理网格化责任体系。这一管理模式核心是强化合规管控，以监督员工行为、思想状况、合规操作等为切入点，建立规范管理、防范风险的长效机制，为操作风险预警提供有力抓手。五是深化检查审计开展，积极推动问题整改。全面检查和专项检查相结合，广挖、深挖风险隐患；固化整改流程，切实督促措施执行，保障整改有力有效。六是建立完善内外部沟通联动机制。定期与监管单位交流研讨，跟进最新监管要求；联络工行、中行、百度等单位交流研讨，拓展工作思路。

　　2.持续完善信息安全防护技术措施，构建纵深立体、全面覆盖的技术防护体系。一是实现全覆盖终端安全管理。引入先进终端防护系统，实现统一安全策略配置、补丁下发、外设管理及网络准入控制等功能，有效阻挡非法终端入网、病毒感染传播等威胁。二是开展全网段信息系统漏洞管理。定期对所有信息系统和终端进行漏洞评估，及时处置信息安全漏洞。三是实现全自动安全态势感知。部署集中安全审计平台，实现每日近10亿条日志的有效管理，挖掘内部违规操作、感知外部攻击威胁，提升行为审计和威胁阻断效率。四是加强威胁情报分析。对接威胁情报平台，实现分钟级更新获取最新威胁信息，对攻击根据恶意程度和风险等级进行分级管理、分类处置，增强安全分析能力。五是实现一体化用户集中管理。实现对主机、开放、网络用户的集中管控，所有用户通过特权账号管理系统登录，用户权限的使用均经审批，所有行为都有留痕，有效保证用户操作行为安全。

　　3.落实实体安全“七化”工作措施，保障基础环境安全稳定。一是建立“系统化”安保管理体系。设立数据中心园区社会治安综合治理安全工作领导小组，建立全方位、多层级的消防、安防、人防和物防安全体系，做到“定位、定岗、定人、定责”。二是推行“准军事化”安保管理。执勤保安7×24小时标准军姿站岗；定期检查与突击检查相结合，加强对保安在岗及履职情况的督查。三是导入“标准化”体系。建立安保制度，固化工作流程；定期开展消防安全培训和应急演练，增强员工风险处置能力。四是执行“精细化”管控。机房实行门禁、人脸识别、指纹和保安确认“四重”认证，机房作业实行流程审批、视频实时跟踪、现场监管等多道防控。五是抓好“常态化”基础管理。持续完善各类突发事件应急预案及场景，应急管理和培训做到经常化。六是实施“专业化”技防系统管理。园区消防、监控和门禁三大技防系统7×24小时稳定运行；定期与消防单位开展联合消防实战演练，提高技防系统专业管理水平。七是开展“多元化”综合治理工作。安保审批流程自动化，进出机房作业、物品出门、外协人员信息内部联网；建立要害岗位人员电子台账，关注员工涉外活动；多媒介传导安全知识，提高员工安全意识和防护能力。

　　通过安全管理、安全技术和实体安全“三”管齐下，农行数据中心生产运行在业内处于领先水平，未发生重大信息安全事件，未造成重大客户信息泄露或资金损失，为业务经营与发展提供有力支撑。　　

责任编辑：韩希宇