等级保护整改项目
Projects & Cases
包头农村商银行股份有限公司(以下简称“包头农商银行”)前身是有着60多年历史的包头市郊区农村信用社。2013年12月27日,经中国银行业监督管理委员会批准,成为地方性股份制商业银行,是包头市首家农村商业银行。
在国家《网络安全法》施行后,第二十一条明确规定国家实行网络安全等级保护制度:“网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。”对信息系统的安全措施、防病毒、防入侵、安全监管、安全运维及安全保护等级等做出了详细规定。
针对包头农商银行的信息安全等级保护工作中存在“缺乏定级标准”、“定级备案不规范”、“整改建设不合理”等问题,省联社启动了整改与复测工作。在此背景下,包头农商银行开展了等级保护安全保障体系建设工作,以提升信息系统安全防护水平,并满足相关监管要求。
包头农商银行的网络主要由核心网、管理网和互联网三大重要区域组成,根据《信息安全等级保护建设指南》,此次系统定级为二级,整体网络按照二级要求进行安全建设。我们结合包头农商银行的实际情况,从技术、管理、服务三个层面,对核心网、管理网和互联网业务系统的安全进行整改和建设,形成完善的等级保护安全保障体系,以符合国家银监会和省联社对包头农商银行信息化等级保护工作的要求。等级保护安全保障体系是在包头农商银行前期安全建设的基础上建设技术体系和管理体系,并在安全建设过程中进行相应的风险评估、安全加固、安全培训等安全服务。具体包括:
安全技术体系建设 安全技术体系是通过相应的安全技术手段补足,控制策略细化等措施弥补等保基本要求之间的差距,并围绕防范来自内部、外部的攻击及病毒等安全威胁等进行建设。通过下一代防火墙、入侵防御、漏洞扫描、安全审计、病毒防护、Web防篡改、终端安全管理等基础安全产品的部署和设置,在统一安全策略的基础上,实现安全运营。
安全管理体系建设 安全管理体系包括总体策略、规章制度、法律法规、安全标准。本次安全建设为包头农商银行设计总体安全策略以及安全管理制度,并通过多次培训保障相关制度的落地。
安全服务体系建设 为适应上述安全体系的建设,灵畅信息提供了专业的安全服务团队参与到项目的建设过程中,将网络安全风险评估工作贯穿到信息系统的整个生命周期中,并结合安全加固、安全预警和应急处置服务,保障银行信息系统的持续、安全、稳定运行。
通过等级保护测评可及时发现信息系统安全状况并制定方案进行整改,当信息系统完全达到安全保护能力要求时,信息系统就基本可做到“进不来、拿不走、改不了、看不懂、跑不了、可审计、打不垮”。
实施信息安全等级保护整改工作能够有效地提高单位信息和信息系统安全建设的整体水平,通过采用访问控制、入侵防御、安全审计、防病毒、终端管理等多种技术和措施,实现业务应用的可用性、完整性和保密性保护,并在此基础上实现综合集中的安全管理,并充分考虑各种技术的组合和功能的互补性,合理利用措施,从外到内形成一个纵深的安全防御体系。
通过对安全技术体系,安全管理体系和安全运行体系建设,使包头农商银行的信息系统安全保障水平符合《信息安全等级保护建设指南》的要求,并通过等级保护测评,达到目的。保障了单位的重要信息资源和重要信息系统的安全。
