武汉农村商业银行信息科技部总经理 李喆
相对于农商行的区域性特色、网点分布及资金相对有限等特点,大型金融机构的信息安全建设并不完全适用于农商行。信息安全是遵循典型“短板效应”的领域,在中小型银行“两地三中心”的建设已日臻完备、且数据中心端安全体系已逐渐成型的情况之下,中小银行需要建设一种适合自身特色的分支行信息安全管理体系,以补齐信息安全体系中相对薄弱的“短板”。
武汉农商行按照国家金融信息安全要求,勇于探索,积极拥抱新技术,坚定不移地推进分支行信息安全体系建设,在实践中探索出一套适合中小银行分支行信息安全管理体系的有效方法。
中小银行分支行信息安全体系建设实践
参照国内外金融行业信息安全的最佳实践,结合武汉农商行的实际情况,武汉农商行构建全面的分支行信息安全体系,涵盖安全管理体系、安全技术体系、安全基础设施体系三个方面,从分支行业务实际出发,遵循风险管理的理念,在信息科技战略规划的基础上,全面指导分支行信息安全工作。
1.分支行安全管理体系。在安全管理组织方面,一是构建从安全决策层、安全管理层、安全合规层、安全审计层到安全执行层的安全组织框架;二是在分支行设立20多个信息安全兼职人员,负责分支行信息安全的执行落实;三是建立分支行定期会议机制,季度、年度信息安全工作例会,全体分支行信息安全人员参加。
在安全管理制度方面,一是健全信息安全管理制度,编写完成20多项信息安全管理制度;二是加强和保卫部、营运管理部等部门的横向衔接,齐抓共管,共同敦促分支行落实安全保卫管理制度;三是明确分支行信息安全岗位和人员的管理责任,定期开展信息安全内部审计与外部安全评估,防止信息泄露和滥用。
在安全培训管理方面,一是强化网络安全意识培训,制定相应管理要求与惩戒机制;二是建立和完善了“总行-一级分支行-网点”三级教育培训机制;三是定期举行分支行信息安全培训,增强信息安全意识、提高网络及硬件设备管理水平。
在安全运维管理方面,一是制定《武汉农村商业银行分支行机房建设标准及管理规范》统一网点机房新建及改造技术标准,确保机房设备安全稳定运行;二是采用一体化机柜建设方案,减少科技人员网点现场巡检工作量,更好地支持网点业务转型和发展;三是及时跟进事件管理和问题管理,改进措施纳入问题管理跟踪督促。
在安全合规管理方面,一是明确分支需要遵守的合规安全制度,并进行全覆盖的检查,检查采用远程与现场结合的方式,合规检查情况纳入当年度分支行考核;二是开展分支检查并全覆盖,确保分支管理要求落地。
2.分支行安全技术体系。在物理和环境安全方面,建立分支机房建设标准及管理规范,对机房建筑及装修、供配电系统、UPS供电系统等8个方面进行规范,保证分支行信息系统安全可靠地运行。
在网络和通信安全方面,一是分支行网络统一规划、统一设计、统一实施、统一管理,在网点端生产网络严格与办公网、互联网实行物理隔离,对生产网络的访问实施严格的权限控制;二是加强分支行互联网、外联网接入的管理,分支行外联网接入统一上收到总行,互联网接入由总行统一管理;三是积极推进安全可控技术在分支行应用,分支行网络和安全设备实现100%国产化全覆盖。
在设备和计算安全方面,一是实现分支行生产终端、办公终端、互联网上网终端的安全分离,降低了信息泄露风险;二是加强终端系统账号口令管理,制定明确的账号口令管理策略,加强口令管理,保护终端安全;三是覆盖分支行的桌面安全管理系统、防病毒等安全产品,不得擅自修改安全产品的配置、变更IP地址及其他重要参数。
在数据和备份安全方面,一是建立分支行人员数据操作管理制度,对数据的生成、传递、传输、导出、备份、归档、保存、迁移、转储、恢复、销毁等环节进行管理和控制,确保数据安全,以满足系统恢复、业务处理和监管的要求;二是逐步完善敏感信息保护机制,规范互联网环境下使用敏感数据的行为;三是全面建成“两地三中心”架构,灾备基础设施趋于完备,分支行安全生产保障能力稳步增强;四是所有分支行网点通过4G无线备份网络接入常熟异地灾备中心,实现通信链路的容灾备份。
3.分支行安全基础设施体系。在机房运维区安全方面,一是加强对分支行机房场地、设备、设施、环境等的管理,实施7×24小时实时视频监控,严格的门禁管理等安全措施;二是加强设备维护管理,网点、机房等设备维护操作,必须由行员操作或在行员监控下完成,做到双人复核。
图 武汉农商行分支行信息安全体系框架
在现金业务区安全方面,一是安装出入口控制和紧急报警装置,只允许授权人员在规定时间内进出并记录所有出入人员、出入时间等信息;二是安装视频安防监控装置,实时监视、记录现金支付交易全过程;三是加强柜员终端安全防护,从操作终端管控层面有效地保障数据安全。
在非现金业务区安全方面,一是安装视频安防监控装置,加强巡检、监控等安保措施;二是梳理无线网络部署情况,确保辖内无线网络与办公网、生产网、测试网物理隔离,禁止私自搭建无线网络;三是强化网口、USB接口物理防控,不得暴露网线、USB口。
在离行自助服务区安全方面,一是加强ATM环境运行进程管理,只有明确允许的进程才能在ATM上运行,安装更新程序时需要经过审核,确认没有安全问题后才允许运行;二是加强离行自助服务设备密码密钥管理,密码密钥的生成、分发与传递、注入、保管、更新、销毁等整个生命周期的管理管理。
新趋势下中小银行分支行信息安全
思考和展望
新技术发展和金融业态变革带来新机遇,武汉农商行积极探索新兴技术在金融领域安全应用,从多个方面增强分支行风险防控能力。
1.利用工具化手段和移动技术更便捷开展信息安全工作。利用工具化手段和移动技术,建立分支行信息安全评级机制和统一运维机制,更便捷的开展分支行信息安全工作。
2. 利用SD-WAN技术实现视频网和办公网严格物理隔离。利用SD-WAN(广域软件定义网络)技术,搭建视频监控专网,将视频监控网从现有办公网专线剥离,实现与银行业务流隔离,从严标准构建物理和网络边界。
3.利用桌面虚拟化技术构建分支行安全终端环境。利用桌面虚拟化技术,在总行数据中心搭建桌面云统一管理平台,网点仅需部署瘦终端,利用桌面云系统外发文件审计、USB控制等功能,保障用户网银体验、员工办公等分支行终端环境的安全,确保用户数据不会外泄。
4.利用NTA技术建立分支行网络攻击监测感知平台。利用NAT(网络流量分析)技术,动态监测分析分支行网络流量和网络实体行为,实现分支行风险全局感知和预判预警,提升重大网络威胁和突发事件的应对能力。
