关键信息基础设施安全保护条例
-
2023年3月18日发(作者:照片尺寸对照表)372021.12中国金融电脑
专题
SpecialTopic
贯彻落实《关键信息基础设施安全保护
条例》,提升关键信息基础设施保护能力
北京农商银行始终高度重视网络信息安全,将根据《关键信息基础设施安全保护
条例》及相关实施细则组织开展关键信息基础设施的识别和认定,切实做好关键信息
基础设施全面保护,确保网络和信息系统安全稳定运行,支持全行各项业务稳健发展。
北京农商银行运行维护中心总经理肖国彬
2021年7月30日,国务院总理李克强签署国务院令,
公布《关键信息基础设施安全保护条例》(以下简称《条
例》),自2021年9月1日起施行。
《条例》的发布实施是我国网络安全体系化管理的
里程碑事件,标志着我国关键信息基础设施保护工作从
此有章可循、有规可依。学习好、贯彻好《条例》,对
维护国家网络安全、保障关键信息基础设施平稳运行具
有重要意义,是当前我国金融业科技工作的重要任务。
一、《条例》内容解读
1.明确关键信息基础设施范围和职责分工
《条例》明确指出,公共通信和信息服务、能源、
交通、水利、金融、公共服务、电子政务、国防科技
工业等重要行业和领域的重要网络设施、信息系统属
于关键信息基础设施,国家对关键信息基础设施实行
重点保护。
《条例》确定了以国家网信部门、国务院公安部门、
北京农商银行运行维护中心总经理肖国彬
Copyright©博看网htsReserved.
38FINANCIALCOMPUTEROFCHINA
SPECIAL
TOPIC
关键信息基础设施保护工作部门(以下简称“保护工作
部门”)及关键信息基础设施运营者(以下简称“运营
者”)为主体的三层架构的关键信息基础设施安全综合
保护责任体系。
2.明确关键信息基础设施认定机制
《条例》指出保护工作部门结合本行业、本领域实
际,根据网络设施和信息系统等重要程度及遭到破坏、
丧失功能或者数据泄露可能带来的危害程度、对其他行
业和领域的关联性影响等因素制定关键信息基础设施认
定规则;关键信息基础设施发生较大变化,可能影响其
认定结果的,运营者应当及时将相关情况报告保护工作
部门。建立认定机制、持续开展评估是进行关键信息基
础设施安全保护的基础和前提,金融行业关键信息基础
设施实施细则的出台将有力指导、规范金融行业关键信
息基础设施的设定和持续性管理。
3.明确运营者责任义务和工作内容
《条例》明确了运营者在关键信息基础设施综合保
护中的主体责任地位。一是在运维管理层面,安全保护
措施应当与关键信息基础设施同步规划、同步建设、同
步使用,每年至少进行一次网络安全检测和风险评估,
及时报告重大网络安全事件和网络安全威胁。二是在制
度规范和组织架构层面,应当建立健全网络安全保护制
度,保障人力、财力、物力投入;设置专门的安全管理
机构,并对其负责人和关键岗位人员进行安全背景审查。
三是在安全保护层面,建立健全网络安全管理、评价考
核制度,制定关键信息基础设施安全保护计划;组织推
动网络安全防护能力建设,开展网络安全监测、检测和
风险评估;制定本单位应急预案,定期开展应急演练,
处置网络安全事件;认定网络安全关键岗位,组织开展
网络安全工作考核;组织网络安全教育、培训;建立健
全个人信息和数据安全保护制度,履行个人信息和数据
安全保护责任。四是在网络产品和服务提供者层面,运
营者应当优先采购安全可信的网络产品和服务,明确网
络产品和服务提供者的技术支持和安全保密义务与责
任,并对履行情况进行监督。
4.明确相关部门法律责任
《条例》对运营者未履行安全保护主体责任、相关
网络安全服务机构和有关部门失职或渎职及其他违法行
为、有关主管部门及工作人员未能依法依规履行职责等
情况,明确了处罚、处分、追究刑事责任等处理措施。
对实施非法侵入、干扰、破坏关键信息基础设施,危害
其安全活动的组织和个人,依法予以处罚。
二、北京农商银行相关实践和探索
北京农商银行始终高度重视网络信息安全,不断加
强关键信息基础设施运维管理,提升关键信息基础设施
保护能力。
1.加强对关键信息基础设施的认识和领导
北京农商银行始终坚持加强党的领导,坚持高标准
政治站位,统筹发展和安全,不断提高政治判断力、政
治领悟力、政治执行力,把网络安全、数据安全、基础
设施安全列入党委重要议事日程,研究制定、指导实施
信息安全有关重大方针政策,统筹决策信息安全重大事
项和重要工作。北京农商银行成立了由党委书记任组长、
主管行领导任副组长的信息科技管理委员会,定期听
取信息安全工作汇报,统筹推动全行信息安全体系建
设,完善信息安全管理体制机制。此外,北京农商银
行还成立了覆盖信息科技部、软件开发中心、运行维
护中心的信息安全工作小组,定期召开轮值工作会议,
组织推动安全体系评估及加固、漏洞整改等信息安全
重点工作。
2.不断完善关键信息基础设施管理体制机制
一是结合《中华人民共和国网络安全法》《中华人
民共和国数据安全法》《条例》等法律法规、监管要求,
以及内外部检查、信息安全咨询等情况,每年年初组织
信息科技制度修订,完善信息安全管理制度。二是引入
银行业头部企业信息安全咨询服务,整体评估信息安全
薄弱环节,组织加强桌面安全、主机安全、流量监测和
Copyright©博看网htsReserved.
392021.12中国金融电脑
专题
SpecialTopic
溯源处置、一键式封禁、蜜罐等监测,并制定了相应的
防护措施。
3.安全保护措施同步规划、同步建设、同步使用
一是将信息安全纳入网络设备和信息系统规划、建
设、运维全生产周期管理,在规划层面,将信息安全评
审作为技术评审的重要环节;在建设层面,对新建和重
大改造的重要信息系统、面向互联网客户的信息系统进
行代码扫描、动态安全测试和渗透测试;在运维层面,
将漏洞扫描系统直接接入各安全区域进行全面扫描,最
大程度发现网络设施、信息系统的漏洞并组织整改;定
期组织等保测评、渗透测试,并根据测评情况组织安全
加固。二是在2021年投产的新核心银行系统建设过程
中,全面梳理身份认证、权限及访问控制、安全审计、
密码安全、数据安全、抗抵赖性、国密算法、客户信息
保护等安全规范,构建灵活、高效的密钥管理及服务安
全体系,确保新核心银行系统安全、可控。
4.提高关键信息基础设施的可用性
一是规范前端、应用、数据库及灾备架构,以集群
架构取代HA架构,以NAS取代GPFS,数据库采用成
熟可靠的MAA架构,杜绝架构单点风险,确保架构高
可用性。二是规范操作系统、中间件和数据库等版本,
定期评估可接受版本和推荐版本,结合版本生命周期组
织基础软件版本升级,杜绝版本停止服务支持的风险。
三是建设架构简单、易于维护、灵活调度同城双活与异
地灾备相结合的“两地三中心”灾备体系,渠道接入采
用域名解析实现客户端接入流量调度,支付结算类系统
同时接入人行、银联、农信银双中心,同城双中心之间
应用尽量不交叉访问,中心内部通过应用服务网关实现
应用系统之间的调度,核心、柜面、手机银行、互联网
支付、二代支付等22套重要应用系统及重要支撑系统
实现同城双活运行。异地灾备实现核心、柜面应用级灾
备,保障柜面业务连续性。在此基础上,每年组织开展“真
切换、真接管”同城灾备演练,重要信息系统和重要支
撑系统切换并连续运行一周时间,有效检验同城灾备接
管能力。
5.提升关键信息基础设施的自动化水平
一是全面应用云计算、虚拟化、多租户等技术,
发挥弹性扩展、快速供给、故障自动隔离等优势,实
现PC服务器、小型机、数据库资源复用,使生产环境
云化比例达到51.36%、开发测试云化比例达到95%。
二是全面实施运维投产、巡检和应急自动化,在新一
代核心银行系统投产期间,126套系统实现版本投产自
动化,投产平均耗时为542秒,较手工部署时间节约
92%以上;基于目标主机命令输入、捕获输出结果并判
断的工作方式实现应用系统深度巡检,一方面取代ECC
值班手工巡检工作,另一方面解决现有系统监控扩展性
不足的问题,并实现集群系统应用版本一致性比对;全
面推广常见问题处置、安全封禁、本地应急、灾备切换
自动化,以“一键式”同城灾备切换演练为例,切换用
时是手工方式的1/3,同城灾备切换时间平均小于10分
钟,大幅提升了业务连续性管理水平。
6.加强关键信息基础设施人员配备和培养
一是在信息科技部、软件开发中心、运行维护中心
分别设置信息安全岗位,统筹管理、开发、运维安全管
理工作。二是通过社会招聘与校园招聘相结合的方式,
配备了符合信息安全管理、开发、运维需求的专业化人
才队伍,建立7×24小时安全运维体系,实时监控、分
析和处置信息安全事件。三是积极参与北京市安全防护
行动以及农信系统攻防竞赛,并在内部组织攻防对抗演
练,通过实战培训和锻炼人才。
后续,北京农商银行将根据《条例》及相关实施细
则组织开展关键信息基础设施的识别和认定,切实做好
关键信息基础设施全面保护,确保网络和信息系统安全
稳定运行,支持全行各项业务稳健发展。
Copyright©博看网htsReserved.