信息安全基線保護管理應用

前言：尋找寫作靈感？中文期刊網用心挑選的信息安全基線保護管理應用，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

近年來，隨著金融業等級保護工作的逐步落實，銀行業金融機構陸續完成了本單位信息系統等級保護定級備案，等級測評及安全建設整改工作。但由于銀行業金融機構具有分支機構多、分布廣，信息系統應用復雜、定級范圍廣以及安全人員管理水平參差不齊等特點，給定級保護后續管理工作增加了難度，如何持續做好信息系統等級保護工作，鞏固等級保護工作成效，建立等級保護工作長效管理機制，已成為金融監管機構關注的問題。本文主要結合安全基線在基層人民銀行等級保護中的實踐，探討安全基線技術在等級保護管理中的應用。

一、銀行業金融機構信息系統等級保護現狀

人民銀行作為我國中央銀行，承擔著指導協調我國金融業信息安全工作的職責。2010年以來，人民銀行為全面落實國家信息安全等級保護制度，制定了《金融行業信息系統信息安全等級保護實施指引》、《金融行業信息系統信息安全等級保護測評指南》、《金融行業信息安全等級保護測評服務安全指引》三項行業標準，建立了金融業等級保護標準規范體系。在此基礎上，人民銀行圍繞定級、備案、安全建設整改、等級測評和監督檢查等五個規定動作，在人民銀行及銀行業全面部署實施信息安全等級保護工作,截至目前，全國銀行業金融機構已基本完成重要信息系統的定級、備案和測評整改工作，等級保護工作取得了長足進步，信息系統的安全防護水平得到了全面提升，推動了金融業信息化建設和業務發展，但在等級保護執行過程中也面臨以下一些困難：一是金融機構分支機構多、分布廣，總部對分支機構等級保護工作的可控管理水平有限。二是金融機構信息系統數量多、運行環境復雜，定級范圍廣且標準不統一，加大了等級保護的運維難度。三是部分銀行分支機構沒有認識到信息系統等級保護工作的重要性，等級保護工作流于形式，使等級保護工作未能真正落到實處。四是缺少如何將信息安全等級保護工作與信息安全日常保障工作、風險測評等安全管理工作相結合的有效技術手段。引入安全基線管理機制，充分利用基線技術的特點和優勢,去化解當前金融機構等級保護所面臨的問題，不失為一種有效的解決辦法?，F就安全基線在基層人民銀行等級保護中的應用實踐為例，談談安全基線技術在加強等級保護管理，促進長效管理機制形成中所發揮的作用。

二、安全基線在基層人民銀行等級保護管理中的應用

1.人民銀行信息安全基線概述

人民銀行安全基線建立在《人民銀行信息安全綜合規范》基礎之上，《人民銀行信息安全綜合規范》主要吸收了金融行業信息系統信息安全等級保護及人民銀行內部多類制度安全管理要求項,涉及總行、省級行、地市中支、縣支行4級機構，包含機房環境、網絡安全、應用安全、保密技術管理、信息安全管理、安全運維等10個方面的內容，涵蓋了人民銀行所有信息系統等級保護定級管理要求，是人民銀行信息系統需要滿足的安全管理要求。它是由一組安全配置項組成，形成了針對不同信息系統的詳細CheckList及操作指南，為人民銀行分支行建立本單位的安全基線提供了統一規范。人民銀行分支行結合本單位最佳安全實踐，通過對《人民銀行信息安全綜合規范》進行篩選、檢測、配平等操作，最終形成符合各單位實際情況、本地化的安全基線。

2.安全基線在基層人民銀行等級保護管理中的應用過程

人民銀行分支行的安全基線包含了本單位已定級信息系統安全管理的各項要求，通過對安全基線進行管理，能夠促進等級保護各項措施的落實。安全基線在基層人民銀行等級保護中的應用過程可分為三部分：建立安全基線、安全基線的檢測與控制、基線度量與報告。

（1）建立安全基線。人民銀行分支機構在綜合考慮本單位等級保護定級管理要求及企業自身安全建設發展需求基礎之上，對IT設備及業務系統的安全目標進行識別和梳理，并對照《人民銀行信息安全綜合規范》進行篩選，分離出不適用項，并對剩余適用本單位的配置項進行安全檢測、配合平等操作，形成了符合本單位實際情況的一組安全配置項，即本單位的初始安全基線。初始安全基線被上級管理部門批準確認后，形成本單位的安全基線，變為受控狀態，作為當前時期的安全基準點，不允許隨便更改。

（2）安全基線的檢測與控制。安全基線建立后，將定期對目標業務開展合規性檢測，找出不符合項，并通過整改、加固等措施，消除安全風險，逐步達到安全基線標準要求。隨著業務的不斷調整變化，對已建立的安全基線進行評估，整理出需要補充、維護和完善配置項后，提出“變更請求”（checkrequest），在變更請求得到批準的情況下，允許配置項從安全基線中檢出（實施check-out），待變更完成，并經評審后，確認無誤，方可重新進入安全基線，使其恢復到受控狀態，從而實現安全基線動態更新。對安全基線的檢測與控制，可以有效監控各單位等級保護管理整體安全狀態，跟蹤信息系統等級保護工作中的未達標項，把未達標項納入信息安全基線控制范圍，通過對本單位信息安全基線的定期檢測和整改，可以逐步提升信息系統等級保護的安全保障能力。

（3）基線度量與報告。對本單位安全基線檢測后得到的數據是安全基線配置項的狀態表，它反映了本單位在某一時點上的整體信息安全狀態，是信息安全總體水平的量化表述，可以度量企業安全現狀與安全基線之間的差距，為后續的整改提供依據。人民銀行分支機構的安全基線是上級單位管理決策的重要依據之一，安全基線建立后，實行季報制度，每個季度向上級行上報本轄區的安全基線報告，人民銀行總行安全管理部門則可以不定期查看分支機構的安全基線報告，方便了解分支機構的整體安全狀況及安全變動趨勢。

3.安全基線在基層人民銀行等級保護管理中的應用效果

（1）實現了信息安全工作可控、可管、可操作。通過安全基線技術，將本單位信息安全管理工作統一轉化為一組可操作的配置項，便于數據匯總和分析安全變動趨勢，可以有效監控本單位的整體信息安全狀態，跟蹤整改未達標的信息安全要求、消除存在的信息安全隱患。

（2）綜合了多方運維管理內容。安全基線實際上已經綜合了等級保護、風險評估、內部管理制度等多方面的管理要求，與人民銀行信息安全保障工作有機結合，建立了集中統一的安全運維管理體系。

（3）提升等級保護測評符合率。安全基線管理，通過采用“填平補齊”的方式，逐步完善各單位安全狀況，較全面地解決各單位（特別是技術力量比較薄弱的分支機構）中存在的信息安全管理問題，能有效提升各單位等級保護測評符合率。

（4）促進了安全長效機制形成。安全基線管理過程遵循“生命環”管理體系，通過對安全基線的定期檢查、更新、報告及風險跟蹤，周而復始，持續改進，形成螺旋上升的良性循環態勢，促進了安全長效機制形成。

綜上所述，通過引入安全基線技術，建立一個涵蓋等級保護管理要求的安全基線，并定期對安全基線進行度量和控制，將為我國金融企業等級保護工作進入新常態，促進等級保護長效管理機制的形成，提供了一種可行的解決思路。

作者：唐先勇 單位：中國人民銀行黃岡市中心支行