基层央行互联网及其他专网网络管理保障能力提升研究

李坚

（中国人民银行武汉分行，湖北武汉 430071）

1 引言

作为人民银行网络基础设施的组成部分，人民银行分支机构互联网建设随着人民银行信息基础设施的发展而不断演进[1-2]。2002年人民银行总行就网络管理相关工作做出部署，明确基层央行开展互联网管理的总体要求并采取了相关措施，此后随着中国人民银行互联网邮件系统、人民银行互联网培训系统等总行统一建设互联网应用的依次上线，进一步提升了基层央行对互联网的使用需求。2021年，范一飞副行长明确指出，要打造接入广覆盖、安全有保障、体验更智能的互联网视频会议系统，满足全系统多元化办公需求，总行科技司也按此要求印发相关文件,要求分支机构组织做好“成方会议”推广应用相关工作[3],由此互联网在基层央行业务履职中的基础支撑作用进一步强化。与此同时，近年来基层央行根据各类履职活动的需要，还陆续存在为保障业务履职工作正常开展而接入其他专网进行信息传输的情况，在此基础上加强和改进网络管理，提升网络管理保障能力，确保互联网及其他专网安全稳定运行对保障基层央行业务开展及对外服务显得更为重要。

2 当前互联网及其他专网网络管理保障工作存在的问题

2.1 网络管理顶层制度需要更新完善

由于人民银行互联网及其他专网管理和运维体制机制方面的原因，当前人民银行原有的互联网总体管理相关制度因制定时间较早，在网络安全管理体系、用户主体责任、终端日常管理要求、网络运维规则、网络线路与公网IP地址管理和应用等方面内容较为单薄。同时因为在总行层面上暂未出台针对其他专网的网络管理制度，未明确对其他专网建设、终端接入及日常维护的要求，导致对其他专网管理的制度化、精细化水平仍有待提高，与当前基层央行互联网及其他专网网络建设发展的实际情况和科技队伍日常运维管理实践不相适应。特别是由于相关制度内关于技术防护措施应用等网络安全领域的内容相对简单，难以有效为防控互联网及其他专网入网终端遭受外部攻击或被控制用于“挖矿”等网络安全事件的发生提供有效的制度管理依据，也不便于基层央行信息科技部门按照相关工作制度开展互联网与其他专网的日常技术维护或进行网络基础设施建设改造。

2.2 终端安全管理有待加强

随着基层央行互联网与其他专网网络基础设施建设及应用的推进，基层央行互联网及其他专网入网终端数目及用户数目均呈现显著增长的趋势，与人民银行业务网已实现与互联网隔离的现状不同，互联网及其他非涉密专网开放性更强，入网终端受到外部来源网络攻击的风险更大，因此做好互联网及其他专网入网终端的安全管理已成为基层央行日常网络安全保障工作的重要组成部分。然而与人民银行业务网已于2017年完成一体化终端安全管理系统部署[4]，实现对业务网全网入网终端的实时管理及操作审计的现状不同的是，目前在基层央行互联网及其他专网入网终端安全防护方面总行尚未部署统一的安全防护和行为审计工具，也缺乏对相关领域安全防护产品进行配置、部署和使用的专门工作指引，在一定程度上增大了基层央行科技人员开展互联网及其他专网终端从入网、维护直至退网全生命周期管理所需的工作量，制约了加强入网终端安全防护相关工作的开展，不利于基层央行科技部门通过技术手段对互联网及其他专网入网终端、网络出口的安全防护实现实时威胁感知及有效管理。

2.3 行为审计能力尚需提升

在当前运维实践当中，鉴于基层央行获得的接入互联网公网IP地址数量通常相对有限，难以满足与行内用户及入网终端设备一一对应的需求，为此常通过在行内建设局域网，并通过基于网络地址转换(NAT)的方式实现局域网内设备访问互联网，致使局域网内多个IP地址同时对应互联网上的单个公网IP地址。在多个局域网IP地址对应同一公网IP地址的情况下，这些局域网IP地址在互联网公网一侧被探测到的IP地址完全一致，仅凭公网IP地址信息难以将局域网内不同用户的行为区分开来，进一步增大了区分具体用户联网行为的难度，为实现对入网终端进行有效行为审计、精细化管理增加了障碍，不利于对内部局域网区域的数据安全提供有效保护。

3 提升互联网及其他专网网络管理保障能力的政策建议

3.1 做好互联网及其他专网网络管理制度顶层设计

网络管理制度建设是改进和完善网络管理保障工作的重要组成部分，为进一步规范基层央行互联网及其他专网管理保障工作，不断提升互联网及其他专网日常运维及网络线路管理水平，建议尽快出台适用于人民银行全行的互联网及其他专网网络管理制度，通过加强顶层设计、强化制度约束的措施助推基层央行互联网及其他专网网络管理保障和风险防控水平不断提升。

一是明确对日常管理维护流程的工作要求。通过制度建设进一步细化对终端设备管理使用台账建设、网络管理员人员配备、入网设备安全认证、用于网络建设和运行维护过程所需网络产品和服务的要求，加强对入网终端使用人主体责任方面的制度约束，明确利用互联网或其他专网开展远程办公活动的过程中涉及的安全生产底线与信息泄露红线[5]。通过细化完善网络建设与管理运维要求，提高网络运维管理基础工作制度化、规范化水平。

二是以制度建设加强和改进网络线路管理保障相关工作。互联网及各类其他专网线路对网络正常运行和提供服务起着重要作用，网络线路管理工作是基层央行互联网和其他专网网络运维工作的重要组成部分，通过在网络管理制度中明确对互联网及其他专网网络线路管理的要求，特别是针对当前基层央行办公场所现状，进一步明确多单位共用网络线路场景下对共用线路的其他单位的管理要求，有助于不断提升基层央行互联网及其他专网网络线路运维管理保障工作水平，防范化解可能出现的潜在声誉风险。

三是加强对互联网及其他专网入网终端的制度管理措施。基层央行互联网及其他专网入网终端数量多、分布广，是网络安全防护的重点。通过进一步明确入网终端设备不得使用来源不明、未经授权的软件和介质，不得安装与虚拟货币相关的各类钱包和挖矿软件的要求；增加入网终端使用人对入网设备做好病毒查杀和操作系统补丁安装，不得使用国际互联网或其他专网参与虚拟货币“挖矿”或交易活动的明确管理要求，加强和改进对互联网及其他专网入网终端的日常使用管理，防范由于终端管理漏洞引发更大范围网络安全事件的风险。

3.2 进一步加强入网终端网络安全管理

一是推进互联网及其他专网入网终端设备更新工作。入网终端设备是基层央行互联网及其他专网网络的重要组成部分，数量较多、涉及用户广泛。通过充分发挥总行调拨设备具有的独特优势，对互联网及其他专网在用入网终端开展替换升级工作，将在用终端当中的老旧设备更新替换为总行调拨的新设备，能够有效提升互联网及其他专网入网终端设备的科技自立自强水平，从而增强互联网及其他专网入网终端自身具有的网络安全风险防护能力，更好地抵御被远程控制用于进行“挖矿”活动等各类内外部网络攻击，从终端节点层面提升基层央行的互联网及其他专网网络管理保障能力。

二是合理划分网络区域，加强区域间访问控制策略管理。根据局域网内网络设备、终端等基础设施之间的逻辑关系、物理位置等基本要素，在权衡安全防护水平与运维工作量的基础上，通过VLAN等技术加强对互联网及其他专网局域网不同区域的分区分域管理，按照边界清晰、用途明确的原则划分在用入网终端设备接入网段，从网络层面扩充局域网内部的网络安全防护纵深，提升对互联网及其他专网入网终端访问控制权限的精细化管理程度，收缩互联网及其他专网入网终端的安全暴露面，进而防范网络安全风险在局域网内部扩散。

三是探索应用终端安全管理软件加强互联网入网终端设备管理。针对基层央行信息科技运维队伍人力资源有限，日常工作较为繁重的特点，通过引入软硬件兼容性、易用性均较强的终端安全管理平台软件，提升对互联网入网终端管理的信息化、精细化程度，增强对终端安全态势的实施监控管理能力。通过在终端安全管理软件控制端制定并对互联网入网终端开启入网终端设备安全管理策略，精细化做好入网终端设备分组及终端基本信息录入维护，配合终端准入白名单管控等措施，进一步确保辖内互联网入网终端设备均能被集中识别，实现网络准入策略、终端安全防护策略在入网终端上的全覆盖，及时阻断恶意软件爆发传播路径，确保恶意软件感染风险在单位局域网内不积累、不扩散、不升级。

3.3 科技赋能不断提升技术治网能力

一是探索上网行为管理工具的应用。上网行为管理工具通过对进出相应网络接口数据包的深度解析和过滤，可以实现访问控制、带宽管理、监控审计、统计分析、安全强化等功能[6]。其中访问控制功能既可根据应用类型实现对在网用户进行Web页面、文件传输、IM聊天、P2P下载等不同类别应用访问操作的控制，还可基于用户终端设备的IP和MAC地址信息进行终端绑定，防止未经授权审批的电子设备违规接入网络，以技术措施确保终端准入制度得到有效执行；带宽管理可实现针对线路的流量控制、针对应用的流量控制、基于URL或者文件的流量控制、基于用户或终端IP的流量控制等功能，通过对不同类型业务流合理配置及应用流量保障策略，能够更好地提高对不同终端、不同类型应用所需网络带宽的基本保障能力；监控审计可实现对网络流量中包含的URL、发帖、邮件等内容进行实时监控和审计，通过设置内容过滤条件进一步提高针对数据安全事件的实时监控、早期预警和准确溯源能力，更好地保护局域网区域内的数据资源，防范化解潜在的数据泄露风险[7]；报表统计可根据应用流量排名、历史流量排名等形式将上网行为信息分类统计后以数据中心、对比报表等形式可视化直观展现，便于运维管理人员及时掌握网络运行态势，调整优化管理策略；安全强化包括防火墙、网关杀毒等，通过数据过滤和网络访问规则配置，及时发现并阻断外部远程入侵、“挖矿”等网络安全风险事件，防止外部数据流当中的恶意代码进入单位局域网区域，增强网络安全防范能力。通过对网络内用户终端、网络应用、带宽流量等实现可视可控，统一管理，有效提升互联网网络的安全管理和风险防控水平。

二是探索运用新技术优化互联网及其他专网网络连接方式。结合软件定义网络（SDN）等新技术的推广应用，通过网络架构优化升级不断整合网络线路，运用SDN技术等方式汇聚辖内分支行的互联网流量，实现一定区域内人民银行分支机构互联网的集中一点接入[8]，以集中单位互联网出口，缩小分支行在互联网上的风险暴露面，同时依托实现网络线路整合，加强对分支机构互联网线路的集中管理，提升在网络线路租赁采购方面的议价能力，推动人民银行分支机构网络线路租赁统谈统签和提速降费工作取得更大成效。同时依托SDN技术对流量的识别和调度功能，实现对不同类型业务对应网络流量的精细化管理和控制，便于基层央行科技部门对于单终端无节制占用互联网带宽导致网络出现拥堵的违规行为进行技术限制，进一步优化正常用户上网体验，保障互联网的连接畅通。