网络安全规范化管理现况与实践论文.docxVIP

网络安全规范化管理现况与实践论文 摘要：为了解决单位内部和行业之间网络安全管理和指导中存在的诸如管理分散、效率低下等问题，人民银行成都分行创新建设了以“统一展示、集中管理、共享数据、量化考核、高效沟通”为主要诉求的“五位一体”安全管理平台，平台实现了对内外部安全监控数据和管理文档的统一采集、统一分析和统一展现，实现了日常安全管理工作规范化高效管理。 关键词：五位一体；网络安全；规范化；安全管理平台 引言 网络安全管理是科技管理工作的立基之本，也是信息化建设可持续发展的有力保障。近年来，人民银行以“规范先行、架构管控、技术管理、加强协调”为主线，坚持安全与发展并重的原则，通过不断完善网络安全基础设施建设，规范网络安全管理制度，建立健全网络安全保障体系，有效提升了网络安全综合保障水平。 1安全管理现状及困境 人民银行成都分行（以下简称“人行成都分行”）在网络安全管理中坚持技术和管理两手抓，近年来相继建设并升级了防病毒、防入侵、防外联、补丁分发、网络准入、漏洞扫描和流量分析等安全管理控制系统，同时组织开展了全省人民银行信息系统等级保护、科技专项治理、安全基线检查、应急能力评估等管理工作，并配合内审部门开展了科技综合管理审计、信息技术审计等，通过一系列专项工作进一步加强了安全技术保障，完善了安全管理体系。人行成都分行在做好自身安全管理工作的同时，还肩负着指导、协调辖内金融业机构网络安全工作的职责。比如建立了辖内银行业信息安全协调机制，制定了《四川省银行业金融机构信息安全管理指引》，督促各银行机构每年做好等级保护、风险评估、应急演练等工作，同时与相关管理部门形成了跨部门的协调机制和工作方案，进一步强化了对全省银行业机构的指导与服务，切实提高了四川省金融网络安全保障能力。但是在日常的安全管理工作中，仍然存在一些亟待解决的问题：一是已有的安全系统均各自独立、缺乏整合联动，安全管理员每天需要逐一登录系统查看监控报警情况，管理效率低下，容易发生遗漏。二是安全基础管理工作繁杂而琐碎，大部分日常管理文档材料的处理、汇总、统计、归档等流程都需人工处理，消耗了大量人力和时间，工作质量和工作效率低下。比如一个地市业务人员制作数字证书需要亲自将纸质的申请表分别提交到分行业务部门和科技部门审核，并现场制作领取，至少会消耗一整天时间。三是定期开展的网络安全日常工作没有实现自动化、电子化管理，难以做到深度、立体的综合分析，整体上也缺乏有效的横向联动和历史回溯，工作成果的信息共享程度较低，不能实现安全管理数据深层次利用。四是对于辖内各单位工作完成情况及完成质量缺乏有效记录，考核时难免会出现漏评、错评，并通过印象或记忆评分的情况，丧失了考核的’权威性和客观性。五是缺乏高效率的信息通报、工作沟通的渠道，电话、微信可以进行快速和简单的交流，但是正式的事件通报、工作部署、意见收集等只能通过内部邮件沟通，反馈时效、处理效率都大打折扣。 2解决办法及实现方式 针对网络安全管理中的痛点，人行成都分行以“规范管理、提升效率”为出发点，以“统一展示、集中管理、共享数据、量化考核、高效沟通”为切入点，建设了覆盖全省人民银行及银行业金融机构的信息安全综合管理平台（以下简称“安全管理平台”），实现了人行成都分行安全管理各项工作智能化和有序化，切实提升了网络安全标准化和规范化管理。系统建设基于J2EE架构，使用人员通过web方式登录访问系统。系统主要功能模块及实现方式如图1所示。 2.1信息安全系统管理 该模块包括安全系统监控统一展示、病毒处理、入侵事件处理、数字证书管理等八个子模块。主要功能一是系统定时从各安全系统抽取数据，按照指定方式展示在统一监控界面中，同时可对病毒事件、入侵事件、非法外联事件等按地区、时间和类别进行统计，并提供重大安全事件处理反馈功能。二是提供数字证书电子化申请、审批、归档、统计汇总等功能。三是完成漏洞扫描、移动介质登记等其他安全系统文档资料归档。 2.2信息安全工作管理 该模块分为人民银行信息安全工作管理和金融机构信息安全管理。主要功能如下：一是可构建动态管理的等级保护、安全基线、风险评估等多级指标库并要求指定单位开展检查自评，可自动汇总填报内容并按要求展示；可显示某单位每月、每季、每年的指标变化情况，以及不同单位对比情况；还可汇总收集全省人民银行应急演练、安全检查、风险排查、信息报送等日常安全报告和文档。二是银行机构可动态维护本单位基本信息，报送应急演练、等级保护、自主可控、外包管理、重大事项等工作报告和重要材料；并按照风险评估规范数据库模板，每年按此模板开展两次风险评估并填报相关内容。三是系统自动汇总收集安全系统和安全工作中发现的问题、隐患、风险，并按照类