商业银行信息安全工作报告Word格式文档下载.docx
《商业银行信息安全工作报告Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《商业银行信息安全工作报告Word格式文档下载.docx(8页珍藏版)》请在冰点文库上搜索。
11月,通过对体系执行情况的外部审核。
通过体系文件的不断完善及审核工作的连续开展,明晰了汉东农商银行信息安全工作的规范标准,完善了日常信息化工作的安全流程,为提升信息安全水平、加固信息安全防线、防控信息安全风险奠定了制度和体系基础。
(二)不断提升等级保护建设水平
信息系统安全等级保护建设工作是增强信息系统安全保护整体性、针对性和时效性的重要手段,也是国家和人行对于各商业银行信息安全工作的一贯要求。
2021年,汉东农商银行根据《中国人民银行关于进一步推动银行业信息安全等级保护工作的通知》及《中国人民银行科技司关于做好辖区内银行业信息安全等级保护工作的通知》等文件精神和要求,在业务系统项目建设过程中,全面落实相关等保建设规范。
对云机房业务平台组织开展等保测评工作,从应用、主机、网络、数据、通讯等角度进一步提升系统整体安全水平。
(三)切实落实网络安全重保机制
2021年的“两会”是全党全国人民政治生活中的一件大事。
为确保“两会”期间系统信息安全,汉东农商银行认真践行重保机制,严肃落实保障工作。
在会议召开前,积极组织开展设备巡检和互联网应用专题防护,加强网站和外包人员管理,完善信息安全保障和应急计划。
在会议期间,成立专项保障小组,负责每日跟进信息科技风险排查及安全保障,并向人民银行及银监局报送安全保障情况。
会议期间,未发生任何网络安全风险事件。
二、抓管理,重落实,切实保障新中心项目安全建设
(一)全程跟踪IT项目安全开发
积极在自研项目建设过程中探索安全开发新模式,引入全生命周期安全开发理念,在项目研发的各个阶段落实安全策略和措施。
在项目前期安全需求分析和安全设计的基础上,2021年重点落实安全编码和安全测试相关工作,多措并举提升代码安全质量。
一是落实安全编码指南。
参照省联社《Java、C++、Android安全编码指南》,并面向开发人员开展3次安全编码专题培训,重点讲解了编码规范、常见问题及安全写法。
二是开展源代码审计。
采用“自动化扫描+人工复核”的方式对约440万行代码进行全面审计。
对发现的漏洞开展整改、修复工作。
截止9月初,所有代码审计缺陷已整改完毕。
三是落地系统安全测试。
综合使用自动化测试工具、黑盒白盒测试方法及人工复测等多种手段,全面检查新建系统安全需求落实情况和软件安全质量。
截止9月底,所有安全测试缺陷已全部整改完毕。
(二)全力保障IT项目安全上线
一是组织开展IT项目投产上线风险评估。
6月份,组建专题评估小组,从机房基础设施、网络、主机、应用系统、数据安全、外包管理、应急预案和业务连续性、投产准备、其他风险等九大方面开展评估工作,形成《业务系统项目风险评估报告》。
评估中未发现高中危风险点,所有发现的低危风险点均已在上线前整改到位。
二是统筹落实投产前安全准备工作。
加强信息系统安全巡检,全面检查在用堡垒机、防病毒系统、介质管理系统运行情况,加强备件备品管理。
提前落实堡垒机系统参数配置工作,共计配置用户229条、设备376台、权限1741条。
结合投产总控流程,细致分析各阶段操作风险点,针对性的提出应急预案,汇总制定投产上线安全策略和措施。
三是切实保障项目投产万无一失。
系统上线过程中,安全人员24小时上岗备勤,全力保障新中心项目顺利投产。
同时,加强对应用系统、网络设备、服务器等运行情况的跟踪监控,持续关注系统投产后的安全运行态势。
(三)全面实施项目现场安全综合管理
综合运用技术、管理手段,在项目现场构建纵深立体、全面覆盖的信息安全防护体系。
一是实现数据安全全管控。
在项目现场统一部署终端管理软件,通过管理所有终端USB接口和无线网卡,确保测试数据不外泄,扎紧扎牢数据防线。
二是实现病毒防范全覆盖。
在全面部署防病毒软件的基础上,适时优化配置策略,定期对终端机、虚拟云桌面、服务器落实病毒查杀和补丁更新,有效提升各类设备防病毒能力。
三是实现安全态势全跟踪。
在现场部署网络安全设备,综合采用网络流量和应用日志数据,全面了解现场网络安全态势,准确把握安全变化动向。
四是实现安全人员参与机制。
在各子项目组和职能组设置安全员,负责现场安全工作的沟通协调及本小组内安全措施的落实跟进,效果良好。
三、夯基础,提效能,持续提升安全生产运维水平
(一)主动开展移动应用加固工作
为积极响应《网络安全法》《数据安全法》及《移动互联网应用程序信息服务管理规定》的要求,2021年重点加强移动应用安全的防护和加固,工作对象为已上线的农易贷、商易贷客户端。
一是开展安全检测和加固。
全年共实施工具检测12次,发现并整改21处漏洞;
人工渗透测试1次,发现并整改13处漏洞。
以上漏洞已全部整改完毕。
完成APP兼容性测试2次,测试机型涵盖目前市场上华为、小米、OPPO、vivo等主流机型共300余款。
加强APP兼容性适配,兼容性从91.74%提高至99.9%。
二是监测应用市场APP的下载使用情况。
开展20次安卓版APP渠道来源监测,未发现APP被篡改、二次打包或仿冒等异常情况,联系第三方应用市场下架风险应用1次。
图1APP漏洞整改分布统计
(二)有序提升网站群系统服务水平
截止目前,汉东农商银行网站群系统共承载全省99家农商银行和9家村镇银行门户网站的运行。
2021年,汉东农商银行针对网站群系统的运行管理持续调优。
一是组织编写了《汉东农商银行网站群系统应急预案》和《应急故障处置手册》,为网站应急事件处理提供规范指导。
二是优化硬件配置,对站群管理主机进行了资源扩容升级,提升了网站访问速度和用户使用体验。
三是针对网站系统开展渗透测试,共发现9处漏洞,均已完成了整改加固。
四是强化服务意识,通过服务热线、网络咨询、远程协助等手段提升全省农商银行网站管理人员的业务能力,全年累计提供服务近千次。
2021年全年,网站群系统运行稳定,月平均访问量达37万余次。
(三)深入加强互联网安全监测能力
针对当前互联网网站安全事件频发的现状,汉东农商银行积极运用技术手段,对手机银行、网上银行、门户网站及OA系统等14个在用站点、系统及全省农商银行网站群系统中96家农商银行、村镇银行门户网站落实7*24小时监测,并积极扩充安全漏洞预警渠道,不断优化应用逻辑和监控策略,实时了解各系统运行状态,保障生产平稳运行。
2021年,共监测3起网站可用性事件,接收国家信息安全漏洞共享平台发布的安全漏洞4条,均已及时处置和修复。
同时,全面加强钓鱼网站处置力度。
自2017年底起,互联网上仿冒汉东农商银行系统网站的现象逐渐凸显。
汉东农商银行主动联系相关单位,打通了针对钓鱼假冒网站的监测、甄别和关停的各个环节,有效提升处置钓鱼假冒网站的时效。
2021年全年,共申请关闭农商银行钓鱼假冒网站474个,有效防范钓鱼假冒网站对客户的欺诈和诱骗,切实保护了广大客户的资金安全。
(四)有效优化安全生产管理策略
一是不断优化堡垒机管控措施。
通过明晰堡垒机管理员权限,明确堡垒机管理员操作责任,规范后台操作的合规性和可审核性;
同时,根据人员变动情况及时调整堡垒机访问权限。
2021年,堡垒机访问日志共计97744条,其中成功访问日志99643条,占日志总数的91.71%;
访问失败9101条,失败原因为认证失败或授权失败。
二是持续加大防病毒工作力度。
目前,已在全行13294台Windows终端上部署金山防病毒软件。
全年共查杀病毒946972次,完成高发病毒终端处置221台次,协助6家农商银行完成频发病毒的处置。
同时,积极开展勒索病毒专项排查。
针对汉东农商银行生产服务器,通过配置核查和漏洞扫描等方式逐一检查,整改关闭了部分服务器的高危服务和敏感端口。
针对部署在农商银行的生产服务器,以通知方式告知开展自查工作,并提供技术支持。
经全系统排查,未发现服务器中毒的情况。
图22021年度每月病毒处置情况
三是持续关注各类防护日志。
在防范互联网攻击方面,互联网Web攻击均被WAF设备阻断。
其中,SYNFlood(拒绝服务的一种方式)攻击占日志总数的99.4%,主要是由于部分互联网用户无目的扫描所致,对服务器未构成威胁。
在数据库审计方面,全年共针对管理业务区、外联业务区等34个系统的数据库开展安全审计,共产生审计记录1126.4万条,未发现非法用户攻击数据库现象。
四、抓学习,强素质,有序开展信息安全宣传及培训
(一)积极开展科技安全主题宣传
4月份,组织全省农商银行开展“科技创新,强国富民”的科技活动周宣传活动,展示各行金融科技在助力精准扶贫脱贫、服务“三农”、服务小微企业等方面取得的成效,突出宣传金融科技带来的新技术及新产品。
9月份,组织全系统农商银行开展“网络安全为人民,网络安全靠人民”的网络安全周宣传活动,通过普及各类金融网络安全风险,有效提高客户日常风险防范能力。
在两次宣传活动中,全系统农商银行充分发挥点多面广、人熟地熟的优势,综合利用手机客户端、微信等新兴线上渠道开展活动宣传,进社区、进农村、进企业、进校园,收获了良好的宣传效果和社会口碑。
图3网络安全周现场宣传
(二)持续举办信息安全专题培训
在加强安全宣传力度的同时,积极开展各类安全培训,提升全员安全意识及技术防范水平。
2021年,以全省农村商业银行信息科技培训以及新员工培训为契机,组织开展全辖网络安全培训4次,培训人员1000余人次。
通过邀请业内信息安全专家就信息安全政策解读、网络安全法、常见信息安全漏洞与处置等内容开展专题培训,进一步帮助农商银行管理层及新员工了解国家信息安全政策导向,提升网络安全意识,增强应对防范网络安全风险的能力。
五、理思路,明方向,积极直面新的安全风险与挑战
一是外部安全形势日益严峻。
近几年,我们正从“传统信息安全”迈入“大安全”时代,信息安全的内涵和外延正在悄然发生变化,传统安全边界以及防护模式正逐渐失效。
新的网络攻击手段层出不穷,零日漏洞、APT等高级攻击手段被频繁利用,勒索病毒、挖矿病毒等新兴病毒在2021年出现爆发式增长。
二是数据安全保护亟须加强。
大数据与金融行业的深度融合,催生了数字金融服务的新生态、新气象。
大数据在为金融机构创造价值、带来转型机遇的同时,也使金融机构面临着更加严峻的安全风险。
一方面,数据安全威胁日益凸显,窃取、泄露、滥用、劫持等数据安全事件频发;
另一方面,海量数据和非结构化数据的大量出现,使得现有数据存储方案的安全防护能力面临挑战。
三是信息安全人才依旧不足。
当前,信息安全技术更迭越来越快,分工越来越细,涉及的安全域也越来越多。
但全系统信息安全专业人员严重匮乏,基层农商银行信息技术人员需要同时承担网络管理和信息系统管理等诸多工作任务,网络安全前沿技术学习难以兼顾,安全防范意识也亟待提升。
六、高站位,重实效,综合布局22年度信息安全工作
2022年,我们将乘着“新中心、新机房”两大工程顺利投产的东风,不断探索更为全面的安全管控体系,筑牢网络安全屏障,构建多面联动的信息安全新形态。
一是纲举目张,继续做好顶层设计。
遵照监管和人行政策要求,结合全系统信息安全工作实际,主动适应新一代核心业务系统上线后的新变化、新情况,推动等级保护的报备及测评工作。
努力形成从技术到管理、从日常防范到全网联动的安全合力,实现信息安全工作与日常信息化建设工作的无缝对接。
二是扎实推进,持续加强数据安全管理措施。
明确数据安全治理目标,梳理数据全生命周期的使用阶段和存在风险,研究基于“云、网、端”三类环境的数据安全使用策略,全方位监控、审计及防护涉及敏感内容的数据存储、传输、使用过程。
将“风险可控”嵌入到数据价值链各个环节中,实现“价值创造、运营合规、风险可控”三位一体的和谐统一。
三是抢先抓早,持续实践信息安全新技术、新理念。
完成网络智能安全识别平台建设工作,提升对网络空间威胁的实时检测和全局感知能力,实现对全网安全态势的整体把握。
探索量子传输等新兴技术在信息安全领域的运用,以服务“三农”为宗旨,以具体业务场景为依托,不断提升全系统信息安全技术水平。
2022年1月14日
升级会员 