论文部分内容阅读
信息技术的快速发展和普及,尤其是开放的网络环境带来的信息资源的快速流动和充分共享,深刻地改变了金融行业的传统经营模式。
中国农业银行作为我国主要的综合性金融服务商之一,借助信息化浪潮再次起航。经过三十余载不懈努力,农业银行建立起了庞大的信息网络,覆盖了全行2.4万个营业机构、17万柜员、400万台自助设备,服务于百万法人客户、数亿个人客户。在大力推进信息化建设的同时,农业银行深刻地认识到,优秀的银行首先必须是安全的银行。因此,农业银行一直高度重视网络安全保护工作,从策略、技术和管理三个方面构建网络安全防护体系,全力保障农业银行网络的安全稳定运行。
策略层面管控,明确网络安全工作方向
为了明确网络安全工作的总体要求,农业银行制定了多项网络安全基本策略,并始终坚持执行,主要包括以下几个方面:一是积极稳妥地推进信息化建设安全可控策略,在采购网络软硬件产品、尤其是安全设备时以“安全可控”作为优先考虑因素,同时还积极参与到国家主导的信息技术安全可控研究工作中;二是实现了数据中心异地灾备策略,由位于上海的数据中心本部和位于北京的数据中心备援测试中心分别承担生产中心和备份中心的任务;三是在通讯线路保障方面,农业银行采用双运营商双线路的策略,实现通讯线路备份,确保一条线路发生故障时网络通讯不会中断;四是采取企业内网和互联网物理隔离策略,按照不同的需求实施不同的保护措施,保障网络环境的安全。
技术层面防护,建设网络安全保障硬实力
农业银行按照快速响应和多方协同两个原则,逐步引入网络安全防护技术措施,不断完善网络安全技术防护体系:
1、防御系统快速响应
构建安全事件应急响应体系,对农业银行网络中的突发事件进行监测、响应、处理、恢复、取证和跟踪。一旦发现网络遭受入侵,力争在第一时间内阻断入侵行为,快速恢复网络,降低入侵行为对网络造成的不良影响。与此同时,对入侵全过程进行调查取证,获取入侵相关证据。
2、多方配合的协同防御机制
对安全设备和网络设备实施联动控制,通过协调网络访问控制、入侵行为检测、用户身份认证、上网行为检测等多维度安全防御手段,共同防范网络威胁。
农业银行采取了多项技术措施保障网络基础架构安全,主要包括架构安全、访问控制、安全审计、边界完整性检测、入侵防范、恶意代码防范、网络设备防护以及网络安全支撑技术平台八个方面:
架构安全:根据承载业务安全需求的不同,将网络划分为多个不同的安全区域,有针对性地采取不同的安全防护措施,有效地分散网络的运行维护风险和安全攻击风险。
访问控制:制定了严格的网络访问控制规则,重点在安全区域的边界从网络应用、物理接入等多方面设计和实施访问控制策略,根据需求对网络访问权限进行限制,降低未经授权的网络使用风险。
安全审计:通过对企业内网的监控和审计,通过定期汇总和分析网络流量和行为数据,及时发现网络中存在的各种安全威胁和异常行为事件。
边界完整性检测:对于开放性较强的网络区域,通过在终端实施全面安全防护,严格控制非法接入和非法外连,持续改善内网安全状态,全面提升内外网合规管理水平。
入侵防范:通过部署网络监控设备,在各个不可信任的网络区域构建全面的入侵检测系统,并建立专门的工作团队,分析、处置和集中管理安全设备报警日志,及时响应外部网络入侵事件。
恶意代码防范:引入了层级安全防护体系,结合不同网络安全区域的安全要求,部署了动态安全防护机制和防范措施,尽最大可能降低恶意代码对网络安全的威胁。
网络设备防护:建立了完善的网络设备管理体系,全面覆盖在身份认证、身份鉴别、远程管理和带外管理等方面的权限管理要求,并制订和实施网络设备访问权限控制策略,提高网络设备的安全性。
网络安全支撑技术平台:通过部署网络安全管理平台,利用统一事件关联分析,有效整合内部信息资源,实现了网络内部资产可视化,将与应用系统关联的产品统一对应,确保在发生安全风险时能够快速定位和解决问题。
管理层面保障,营造网络安全管理软环境
在综合运用各种技术手段保护网络安全的同时,农业银行还采取了多项管理措施,从制度建设、机制保障、多方协作入手,为网络安全保护工作营造良好的软环境。
1、不断健全网络安全管理制度体系
农业银行不断根据安全形势变化和自身发展需要,补充完善网络安全相关制度,为网络安全管理工作建章立制,明确网络监、管、控等各方面要求,规范运维操作和流程,预防威胁网络稳定运行的事件发生。
2、建立较为完备的应急响应机制
为了提高预防和控制网络突发事件的能力和水平,切实保证网络承载业务的运行连续性,提升信息系统应急管理能力,农业银行组织开展了应急管理体系建设,制定了《信息系统应急管理工作实施细则》、《信息系统应急与灾备数据备份管理规程》等一系列应急工作相关制度,并建立了一整套完善的信息系统突发事件应急预案,其中包括了网络系统分册,并定期组织演练。
通过应急管理体系的建设,农业银行建立了一个有效的故障响应机制,充分调动技术人员和第三方服务商的相应资源,对故障进行快速响应,减轻或消除突发事件的影响,确保农业银行的网络安全。
3、积极开展全面的专业合作
农业银行与多方机构展开深度合作,以保障网络安全。首先,农业银行与多家国家信息安全专业机构建立了战略合作关系,聘请技术人员定期对农业银行网络进行监测和测试。第二,农业银行与网络运营商建立了全面合作关系,共同对抗大规模的网络攻击,对攻击流量进行清洗。第三,与国内外安全厂商不定期举行各种形式的技术交流,及时掌握信息安全环境变化形势和技术发展趋势。
目前,网络安全保护已经不再是企业自主行为,而是上升为国家战略,在国家的统筹规划下以国家意志推进。农业银行作为一家大型国有商业银行,将积极响应国家号召,紧跟网络强国战略,以安全保发展,以发展促安全,承担起国有企业的社会责任。在未来的工作中,农业银行将会继续秉承“科学发展、追求卓越”的奋斗理念,扎实工作,攻坚克难,全力维护网络安全,为最广大的客户提供更为便捷、高效和安全的金融服务。
(作者简介:石剑飞 中国农业银行总行科技与产品管理局网络管理处高级专员
王兆阳 中国农业银行总行科技与产品管理局网络管理处高级专员
万适 中国农业银行总行科技与产品管理局信息安全与风险管理处高级专员)
中国农业银行作为我国主要的综合性金融服务商之一,借助信息化浪潮再次起航。经过三十余载不懈努力,农业银行建立起了庞大的信息网络,覆盖了全行2.4万个营业机构、17万柜员、400万台自助设备,服务于百万法人客户、数亿个人客户。在大力推进信息化建设的同时,农业银行深刻地认识到,优秀的银行首先必须是安全的银行。因此,农业银行一直高度重视网络安全保护工作,从策略、技术和管理三个方面构建网络安全防护体系,全力保障农业银行网络的安全稳定运行。
策略层面管控,明确网络安全工作方向
为了明确网络安全工作的总体要求,农业银行制定了多项网络安全基本策略,并始终坚持执行,主要包括以下几个方面:一是积极稳妥地推进信息化建设安全可控策略,在采购网络软硬件产品、尤其是安全设备时以“安全可控”作为优先考虑因素,同时还积极参与到国家主导的信息技术安全可控研究工作中;二是实现了数据中心异地灾备策略,由位于上海的数据中心本部和位于北京的数据中心备援测试中心分别承担生产中心和备份中心的任务;三是在通讯线路保障方面,农业银行采用双运营商双线路的策略,实现通讯线路备份,确保一条线路发生故障时网络通讯不会中断;四是采取企业内网和互联网物理隔离策略,按照不同的需求实施不同的保护措施,保障网络环境的安全。
技术层面防护,建设网络安全保障硬实力
农业银行按照快速响应和多方协同两个原则,逐步引入网络安全防护技术措施,不断完善网络安全技术防护体系:
1、防御系统快速响应
构建安全事件应急响应体系,对农业银行网络中的突发事件进行监测、响应、处理、恢复、取证和跟踪。一旦发现网络遭受入侵,力争在第一时间内阻断入侵行为,快速恢复网络,降低入侵行为对网络造成的不良影响。与此同时,对入侵全过程进行调查取证,获取入侵相关证据。
2、多方配合的协同防御机制
对安全设备和网络设备实施联动控制,通过协调网络访问控制、入侵行为检测、用户身份认证、上网行为检测等多维度安全防御手段,共同防范网络威胁。
农业银行采取了多项技术措施保障网络基础架构安全,主要包括架构安全、访问控制、安全审计、边界完整性检测、入侵防范、恶意代码防范、网络设备防护以及网络安全支撑技术平台八个方面:
架构安全:根据承载业务安全需求的不同,将网络划分为多个不同的安全区域,有针对性地采取不同的安全防护措施,有效地分散网络的运行维护风险和安全攻击风险。
访问控制:制定了严格的网络访问控制规则,重点在安全区域的边界从网络应用、物理接入等多方面设计和实施访问控制策略,根据需求对网络访问权限进行限制,降低未经授权的网络使用风险。
安全审计:通过对企业内网的监控和审计,通过定期汇总和分析网络流量和行为数据,及时发现网络中存在的各种安全威胁和异常行为事件。
边界完整性检测:对于开放性较强的网络区域,通过在终端实施全面安全防护,严格控制非法接入和非法外连,持续改善内网安全状态,全面提升内外网合规管理水平。
入侵防范:通过部署网络监控设备,在各个不可信任的网络区域构建全面的入侵检测系统,并建立专门的工作团队,分析、处置和集中管理安全设备报警日志,及时响应外部网络入侵事件。
恶意代码防范:引入了层级安全防护体系,结合不同网络安全区域的安全要求,部署了动态安全防护机制和防范措施,尽最大可能降低恶意代码对网络安全的威胁。
网络设备防护:建立了完善的网络设备管理体系,全面覆盖在身份认证、身份鉴别、远程管理和带外管理等方面的权限管理要求,并制订和实施网络设备访问权限控制策略,提高网络设备的安全性。
网络安全支撑技术平台:通过部署网络安全管理平台,利用统一事件关联分析,有效整合内部信息资源,实现了网络内部资产可视化,将与应用系统关联的产品统一对应,确保在发生安全风险时能够快速定位和解决问题。
管理层面保障,营造网络安全管理软环境
在综合运用各种技术手段保护网络安全的同时,农业银行还采取了多项管理措施,从制度建设、机制保障、多方协作入手,为网络安全保护工作营造良好的软环境。
1、不断健全网络安全管理制度体系
农业银行不断根据安全形势变化和自身发展需要,补充完善网络安全相关制度,为网络安全管理工作建章立制,明确网络监、管、控等各方面要求,规范运维操作和流程,预防威胁网络稳定运行的事件发生。
2、建立较为完备的应急响应机制
为了提高预防和控制网络突发事件的能力和水平,切实保证网络承载业务的运行连续性,提升信息系统应急管理能力,农业银行组织开展了应急管理体系建设,制定了《信息系统应急管理工作实施细则》、《信息系统应急与灾备数据备份管理规程》等一系列应急工作相关制度,并建立了一整套完善的信息系统突发事件应急预案,其中包括了网络系统分册,并定期组织演练。
通过应急管理体系的建设,农业银行建立了一个有效的故障响应机制,充分调动技术人员和第三方服务商的相应资源,对故障进行快速响应,减轻或消除突发事件的影响,确保农业银行的网络安全。
3、积极开展全面的专业合作
农业银行与多方机构展开深度合作,以保障网络安全。首先,农业银行与多家国家信息安全专业机构建立了战略合作关系,聘请技术人员定期对农业银行网络进行监测和测试。第二,农业银行与网络运营商建立了全面合作关系,共同对抗大规模的网络攻击,对攻击流量进行清洗。第三,与国内外安全厂商不定期举行各种形式的技术交流,及时掌握信息安全环境变化形势和技术发展趋势。
目前,网络安全保护已经不再是企业自主行为,而是上升为国家战略,在国家的统筹规划下以国家意志推进。农业银行作为一家大型国有商业银行,将积极响应国家号召,紧跟网络强国战略,以安全保发展,以发展促安全,承担起国有企业的社会责任。在未来的工作中,农业银行将会继续秉承“科学发展、追求卓越”的奋斗理念,扎实工作,攻坚克难,全力维护网络安全,为最广大的客户提供更为便捷、高效和安全的金融服务。
(作者简介:石剑飞 中国农业银行总行科技与产品管理局网络管理处高级专员
王兆阳 中国农业银行总行科技与产品管理局网络管理处高级专员
万适 中国农业银行总行科技与产品管理局信息安全与风险管理处高级专员)