郭光：加强关键信息基础设施保护，守护金融系统安全运行 - 网安

河北省农村信用社作为河北省规模最大、范围最广、客户最多的银行业金融机构，一直以来高度重视关键信息基础设施保护工作，多措并举推进机房安全、网络安全、数据安全、终端安全、密码安全等信息安全保护措施。

河北省农村信用社联合社

金融科技服务中心副总经理郭光

落实“一把手”负责制，各层级职责明确

河北省联社高度重视关键信息基础设施安全工作，成立了领导小组，省联社理事长作为网络安全责任第一责任人，负责对重大网络与信息安全事项进行研究决策。省联社成立信息科技管理委员会，完善信息科技“三道防线”建设工作，保证省联社高层、风险、审计等部门在网络和信息安全工作中的充分协作充分履职。金融科技服务中心负责关键信息基础设施安全落实，统筹安排与之相关的具体工作。全省建立健全了省、市、县三级网络安全和关键信息基础设施安全管理架构，同样采取“一把手”负责制，明确了各层级、岗位安全责任，确保辖内信息安全保障工作。

严格履职，确保各项工作落实到位

为更好落实《关键信息基础设施安全保护条例》要求，近期，河北省联社金融科技服务中心设立了安全管理办公室，在原工作基础上强化了关键信息基础设施安全管理相应职能，配合金融行业监管部门进行关键信息基础设施种类和范围的筛选、识别、认定，及时通报公安部门，负责关键信息基础设施各项安全管理和检查工作。安全管理办公室成立以来，初步识别了河北省联社辖内关键信息基础设施（含机房、网络、主机设备、重要业务系统及重要数据信息等）；建立了关键信息制度管理体系、安全防护策略和防护流程指南；制订了关键信息基础设施安全保护计划，同时组织了多场全省员工信息安全意识专项培训，取得了良好效果。

主动防御，加强机房设施安全管控

机房是保障信息科技服务的关键基础设施，为改变“以人为主”的被动式安全管理方式，加强主动性、自动化、智能化、流程化管控，河北省联社建立了一体化运维监控服务平台，对机房电力系统、温湿度控制系统、消防系统、全省网络系统、主机硬件系统、数据库中间件、业务应用系统等进行全方位、自动化巡检与监控，通过ECC大屏展示、声光电告警、短信告警、手机APP告警等多种形式，实现主动式IT安全运维，提高运维效率和服务质量。

为切实保障机房环境及人员安全，杜绝未授权人员非法闯入、尾随进入、超时操作、行为异常等不当行为发生，河北省联社建设了机房综合安防管理平台，实现机房人员进出的动态管理；利用机器深度学习和人脸识别技术，主动实时抓拍人脸信息，智能分析机房内人员行为，全方位掌握人员活动轨迹和在岗情况，发现异常及时预警。今年，按防疫要求在机房出入口增加测温识别，为疫情防护保驾护航。

因需施策，全面提升数据安全防护水平

随着银行业信息化进程的加快，数据安全已成为金融信息发展战略中的关键部分，金融机构不仅要严防精心策划的外部攻击，还要防范来自内部人员的操作风险，通过对数据的分级管理和上下游各个环节安全防控，数据安全防控水平有了较大提升。

结合当前监管要求，河北省联社建立了敏感数据定义和分类、分级标准，发布了《数据管理办法》《数据安全管理办法》《数据使用管理细则》《数据备份恢复管理实施细则》等一系列规章制度，对数据全生命周期进行了全面安全管理。在生产环境部署数据安全管理系统，建立数据拷入、拷出审批流程和敏感字段自定义审计功能，如数据存在敏感信息自动告警，通过主管领导审批后方可拷出，杜绝敏感数据信息非法流出的风险。

根据行业主管部门要求，对重要系统生产数据存储和传输提出了明确要求，密码、银行卡磁道信息、银行卡芯片信息、指纹、人脸等生物鉴别信息等4级数据要实现加密存储，以上4级数据和账号、名称、证件信息、交易金额等3级数据实现加密传输。河北省联社建立了统一的密码安全服务平台，为各重要业务系统提供全方位的加密服务，可实现3级、4级数据加密传输及4级数据加密存储的要求，保护数据存储、数据传输的机密性、完整性和不可抵赖性。

数据库是信息化数据的主要载体，如何防范操作风险是摆在面前的一道难题，除完善的制度管理外还需要利用技术手段防控。河北省联社部署了数据审计和管控系统，基于精确协议分析、完全SQL解析、参数化匹配、长语句解析、多语句解析和应用关联技术，快速定位异常点和异常行为，支持20多种检索条件，多重钻取分析追溯风险来源。对于外部应用系统访问，实现了漏洞攻击检测、SQL注入检测等400多种默认规则；对于内部的应用系统访问，实现了应用关联审计和应用关联规则，追溯应用账户安全；对于外部发起的数据库漏洞攻击、恶意SQL注入行为、非法业务登录、高危SQL操作和批量数据下载提供实时的风险告警。

相较于外部风险，内部风险虽然发生几率小，但危害性更大。河北省联社通过技术手段对内部关键系统、关键数据进行了防篡改保护，采用国产密码算法对关键数据进行加密保护，生成数据鉴别码，在关键信息修改前后进行校验，达到数据完整性保护的目的，有效阻断人为恶意修改数据的风险。实现核心业务系统、信贷管理系统中存款余额、存款利息、贷款授信额度、本金等多个关键数据的防篡改保护。

内控外防，切实保障网络安全

河北省联社近年来加大了网络安全防护力度，建设完成态势感知与情报共享平台，将防火墙、入侵防御系统、抗DDOS攻击设备、WEB防火墙等安全设备威胁日志进行综合分析，识别潜在威胁，抵御网络渗透，快速发现异常流量、异常行为。部署了流量分析系统，对省中心内部网络流量和省市广域网流量进行实时收集、分析，准确评估网络带宽负载能力，实现网络带宽资源的精细化管理，及时定位网络异常流量，从攻击事件、资产安全、追踪溯源、运行监测等多个维度进行安全态势呈现，提供更为精准的威胁分析能力，为研判、决策和网络安全保障提供有效的基础支撑。同时与人行态势感知与情报共享平台实时联动，接收威胁情报，跟踪网络安全态势，建立具有对抗性、主动性、动态性的网络安全防御体系，保障数字化业务发展。

为培养和提高河北省农村信用社网络安全从业人员的网络安全意识，建设网络安全人才体系，开展了多轮次网络安全技能培训，普及网络安全基础知识，重点讲授CTF、AWD等安全攻防技术，提升网络安全基本技能，让安全技术人员快速、系统、全面的掌握网络、系统、安全和攻防技术。建设了用于网络安全学习和实践的网络安全实训平台和实战训练靶场，组建攻击团队和防护团队，以实战化攻防验证网络安全配置基线的有效性，检验中间件、应用系统的健壮性，分析经验与不足，进一步完善网络安全监测措施、应急响应机制及预案等，强化信息系统安全建设与防护工作。

固定终端、移动终端及各类业务办理设备是河北农信为广大客户提供优质服务的触角延伸，也是最容易被利用和攻击的对象。为应对当前严峻的安全形势，河北省联社采用终端管理一体化解决方案，重点突出终端及业务办理设备的准入认证、病毒防护、桌面管理和数据防泄密4类功能，阻断非法终端和设备访问。有效查杀病毒、蠕虫、木马等，抵御高级可持续性威胁（APT），保护操作系统、文件系统安全，实现漏洞扫描、补丁分发、移动存储管控、应用程序识别与控制、网络安全防护、非法外联控制、外设使用控制、账号密码安全监测、本地安全策略加固、安全行为审计、安全基线检查等。正在建设的设备安全认证管理系统采用区块链技术，利用分布式数据存储、可靠的加密算法和共识机制，对设备从厂商发货、入库、出库、准入、认证、报修报废等全生命周期进行安全管理，杜绝非法设备接入使用，形成全省农信合法业务设备视图，保障业务交易的安全性和可靠性。