基层央行计算机网络安全运维现状及对策探讨

温云霞

摘 要：随着大数据、人工智能及云计算等新兴信息技术在人民银行信息化建设中的推广和应用，人民银行逐渐向“数字央行”转型。网络安全是“数字央行”建设的重要基础，新技术的应用、业务数据的集中、持续增长的网络安全威胁等对基层央行网络运维提出了更高的要求。而对于威胁情报掌控时效性、响应速度及准确性的不足是现在基层央行计算机网络安全运维的效率和质量的主要制约因素。而对信息安全态势主动感知和对网络安全威胁的快速、准确的定位有助于提高基层央行计算机网络安全防护能力。

关键词：网络安全;运维

一、基层央行网络安全运维现状

基层央行网络安全防控采用“技术”与“人工”相结合的方式。现已应用一套包含防火墙、入侵检测、漏洞扫描及一体化终端管理系统等较完善的网络安全管理体系，为网络及客户端安全筑起一道有效的保护屏障。安全防护产品自动化执行对各类安全威胁的监测和实时保护，获取并存储各类安全风险、日志及被保护终端信息，且具有一定的分析功能。但风险警报、一体化注册运行情况等一些实时性信息均为被动查询，一定程度上制约了网络安全运维的时效性。

人工负责对各类安全防护产品运行情况进行主动监测，对各类日志信息、风险事件提示信息、报警信息等，进行相关统计和关联性分析。另外，计算机客户端安全设置检查、一体化异常解决等均为人工方式。

二、基层央行网络安全运维中存在的问题

（一）安全防护管理实时消息获取滞后，时效性有待提高。现在使用的一体化管理系统及入侵监测系统（IDS）无实时消息推送功能，需人工不定时进行监测、查询。一是风险报警信息、未注册信息、病毒查杀软件信息等均由网络安全管理人员不定时主动查询，一定程度上会造成信息获取、问题解决滞后，产生风险隐患。二是市辖内全部业务网客户端一体化终端管理软件运行状态信息由市级一体化终端安全管理员通过管理平台统一进行管理，对一般计算机用户而言，无法及时了解其一体化终端管理软件运行状态及个人计算机安全情况，需由市级一体化终端安全管理员通过管理平台人工查询，告知其实际情况，降低了网络安全运维的时效性和效率。

（二）安全防护监测数据独立、不全面，缺乏有效分析，数据利用率较低。一方面，各类安全防护监测系统获取的监测信息独立存储、独立显示，形成数据“孤岛”。现对各数据的利用，暂主要集中在数据的查询、显示，数据的利用率较低。二是一体化管理平台中现主要涵盖的统计数据种类有设备信息、注册率信息、病毒覆盖率信息、审计报警信息等，各类数据独立显示，直观上无法发现各类数据间的关联性，平台无数据分析功能，一定程度上制约了实际问题的解决效率。在实际工作中，经手工对数据进行统计和分析时，发现已有统计数据在种类和详细性方面统计不全面，各类数据之间实际存在某种关联，但因不全面，不能客观准确发现其中的关联性，无法定位问题原因，导致重复性的工作。如：平台中无地市级未注册终端信息，在进行数据统计和分析时，无法统计一个统计期内终端未注册的次数及出现的概率，同时不能够对未注册原因进行关联性分析。经人工手工统计发现，在终端出现探头被卸载审计报警时，出现未注册情况概率较高，但平台无历史数据可供关联性分析。

（三）人工安全运维重复性工作多，运维效率有待提高。日常网络安全运维及检查仍以人工为主，辅以安全管理软件。人工需对各類常规性安全问题如安全软件运行、用户安全配置、系统补丁安装等进行维护。这些常规性问题发生概率较高，且具有反复性，人工需要重复进行较单一的维护工作。另外，在实际检查中，需要逐台进行维护和检查，增大了工作量，降低了工作效率。

（四）用户规范意识和信息安全风险意识仍较弱。在历次计算机网络安全检查中，都存在用户不按规范使用计算机情况。用户的不规范操作行为是内部计算机网络安全威胁的主要来源。同时，也加大了安全运维人员的工作量。对一些常见的如用户修改安全审计策略，将计算机口令修改为安全度低的弱口令;不安全的数据“摆渡”等问题，往往存在反复发生的情况，既带来了一定的风险隐患，又增加了安全运维人员的工作量。另外，用户的网络安全风险意识不强，有些用户对自己的计算机安全情况不重视，忽视安全防护软件的运行、升级情况，没有意识到网络安全威胁所带的严重后果。

三、基层央行网络安全运维管理对策探讨

（一）计算机网络安全智能运维，变被动感知为主动感知。一是将安全防护平台的人工主动查询转变为软件智能提示方式，确保网络安全威胁情况获取的及时性。二是运用智能运维（AIOps）方式及方法，将安全查杀、补丁分发安装、安全软件的升级等操作封装为程序，自动运行，既避免重复操作又提高了执行效率。三是建立数据智管理中心，减少数据“孤岛”。充分利用数据挖掘、关联性分析等大数据技术，统计分析各类历史数据，从中发现各类风险事件的特征、相互间的关联性等，主动感知信息风险态势，为风险的防控提供指导。

（二）服务整合分级管理，建立一体化终端综合管理系统。将业务终端的监测、标准设定、远程控制、检查等服务整合于现有一体化终端管理平台，并按属地分级管理，提高运维效率。首先，在现有一体化终端管理软件的管理员中增加县级管理员，对辖内计算机终端的管理按区域划分，提高计算机终端安全运维效率。其次，增加终端信息安全线上检查功能。用户导入终端安全策略检查项及标准，选定检查范围，可进行对终端的批量信息读取，进行比对。另外，可增加对计算机终端病毒防护软件的端对端管理，实现病毒软件的升级等线上控制。

（三）持续加大计算机网络安全知识的宣传，制定操作规范，规范用户行为。一是充分利用各类媒体和社交平台等，结合用户角色和实际需求，有针对性地进行计算机网络安全基础和风险防范知识宣传，切实提高各类用户的网络安全基本素养和风险防范意识。二是制定计算机设备的操作规范，明确各类不当或非法操作的界限及其造成的影响，明确各用户主体应承担的责任，逐渐规范各类用户计算机设备操作行为，从源头上防范非法外联和非授权USB等插拔性的移动存储介质的使用等安全事件，切实提高内部计算机网络安全。