借鑒P2DR模型優(yōu)化基層外匯局信息安全管理研究

武蓉蓉

摘要：近年來，伴隨著云計算、大數(shù)據(jù)、人工智能等各種新技術(shù)、新模式、新業(yè)態(tài)的不斷涌現(xiàn)，各類信息安全問題日益凸顯，對傳統(tǒng)的科技管理方式提出新的挑戰(zhàn)。2017 年6 月，《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）正式實施，也對信息安全工作提出了更高要求。很多基層外匯管理局也充分認識到新形勢下信息安全工作的重要性和復(fù)雜性，近年來進行了大量有益的探索和實踐。但是由于信息安全工作頭緒多、管理力量不集中，導(dǎo)致缺乏系統(tǒng)化、規(guī)范化管理。本文在歸納總結(jié)基層外匯管理局信息安全管理中存在問題的基礎(chǔ)上，借鑒了美國ISS公司提出的P2DR（Policy Protection Detection Response）模型管理思路，探討了對基層外匯局信息安全管理工作的優(yōu)化路徑，對系統(tǒng)化、規(guī)范化管理具有一定指導(dǎo)和借鑒意義。

關(guān)鍵詞：P2DR模型 基層外匯管理局 信息安全

隨著云計算、大數(shù)據(jù)、人工智能等各種新技術(shù)、新模式、新業(yè)態(tài)的不斷涌現(xiàn)，以及國務(wù)院“放管服”改革的深入推進，信息安全呈現(xiàn)出“跨地區(qū)、跨行業(yè)、跨部門”特點，涉及范圍越來越廣，眾多因素和變量均處于“不確定”狀態(tài)，使得信息安全管理日趨復(fù)雜。黨的十八大以來，以習(xí)近平同志為核心的黨中央高度重視網(wǎng)絡(luò)安全和信息化工作，黨的十九大報告更是對做好網(wǎng)絡(luò)安全和信息化工作提出了新要求。很多基層外匯管理局（以下簡稱基層外匯局）充分認識到新形勢下信息安全工作的重要性和復(fù)雜性，近年來進行了大量有益的探索和實踐，但是由于信息安全工作頭緒多、管理力量不集中，導(dǎo)致缺乏系統(tǒng)化、規(guī)范化管理，與新形勢下信息安全管理要求尚有差距。

一、基層外匯局信息安全管理存在的問題

（一）缺乏系統(tǒng)化的信息安全管理體系

相對于日益嚴峻的信息安全形勢，基層外匯局信息安全管理工作仍停留在傳統(tǒng)的“被動式、粗放型”管理模式，缺乏系統(tǒng)性、全局性、標準化的管理體系。安全管理制度建設(shè)落后于信息化發(fā)展水平，安全管理手段自動化程度低、適應(yīng)性差。

（二）存在“重技術(shù)、輕管理”現(xiàn)象

受傳統(tǒng)觀念的影響，大部分基層外匯局簡單認為信息安全是一種單純的技術(shù)問題，只是技術(shù)部門的事情，存在著過分依賴技術(shù)、輕視管理的現(xiàn)象，缺乏部門間協(xié)作管理。

（三）預(yù)警處置能力有待加強

基層外匯局風(fēng)險預(yù)警意識薄弱，風(fēng)險識別、評估、檢測手段和方法不充足，主動預(yù)防網(wǎng)絡(luò)安全威脅的人員不足，快速協(xié)調(diào)處置安全事件能力和經(jīng)驗相對薄弱。

（四）缺乏“全生命周期”信息安全管理

近年來，部分基層外匯局探索研發(fā)小型應(yīng)用系統(tǒng)，以提升科技服務(wù)水平，但是未將信息安全管理貫穿于信息系統(tǒng)需求分析、系統(tǒng)設(shè)計、研發(fā)、測試、上線、運維和退出等全生命周期中，存在“重開發(fā)、重應(yīng)用、輕安全”的問題，容易產(chǎn)生信息安全風(fēng)險隱患。

（五）對外信息安全管理有待加強

隨著跨部門、跨地區(qū)、跨行業(yè)間系統(tǒng)與數(shù)據(jù)的互聯(lián)共享，以及外包形式的生產(chǎn)管理和技術(shù)支持模式日趨普遍化，對加強信息安全、防止數(shù)據(jù)泄露等管理要求越來越高，但基層外匯局對外部的信息安全管理卻相對薄弱。

二、P2DR模型的管理理念

P2DR（Policy Protection Detection Response）模型是一種動態(tài)安全管理模型，由美國ISS公司提出，主要包含四部分：Policy （安全策略）、Protection（防護）、 Detection（檢測）、 Response（響應(yīng)），其中引入了Time（時間）概念，防護、檢測和響應(yīng)組成了一個較完整的、動態(tài)的安全循環(huán)，在安全策略的指導(dǎo)下保證信息安全。

（一）安全策略

安全策略是模型的核心，主要通過制定一系列的安全管理制度、安全管理策略，明確信息安全管理的主要目的、管理力度，權(quán)衡安全性與便利性、運行性能等。

（二）防護

防護是安全保障體系的“第一道防線”，是模型的重要組成部分，一方面通過安全管理技術(shù)和方法來預(yù)防安全事件發(fā)生，防止惡意威脅;另一方面，通過信息安全培訓(xùn)教育，提升操作人員安全意識和防范技能，防止意外威脅。

（三）檢測

檢測是整個模型動態(tài)性的體現(xiàn)，通過持續(xù)地監(jiān)測網(wǎng)絡(luò)和信息系統(tǒng)，主動發(fā)現(xiàn)新的風(fēng)險點和薄弱點，及時做出循環(huán)反饋，從而持續(xù)優(yōu)化模型的防御能力，與防護系統(tǒng)形成互補，成為安全保障體系的“第二道防線”。

（四）響應(yīng)

當發(fā)現(xiàn)安全漏洞或發(fā)生信息安全事件時，通過啟動應(yīng)急響應(yīng)或恢復(fù)處置，及時解決信息安全事件，將系統(tǒng)風(fēng)險降到最低。

（五）時間

P2DR模型中引入時間概念來衡量系統(tǒng)的安全性和安全防護能力。模式認為信息安全的所有活動，包括攻擊、防護、檢測和響應(yīng)都有時間成本。模型假設(shè)防護、檢測和響應(yīng)時間分別為Pt、Dt、Rt，系統(tǒng)安全條件為：Pt>Dt+Rt。即“及時的監(jiān)測和響應(yīng)的系統(tǒng)就是安全的”。

三、借鑒P2DR思路優(yōu)化基層外匯局信息安全管理

基層外匯局可以借鑒P2DR模型的管理思路，從安全策略、防護、檢測和響應(yīng)四方面加強轄區(qū)信息安全管理工作，構(gòu)筑全局性、系統(tǒng)性、標準化的信息安全管理體系。

（一）策略：完善制度建設(shè)，確保操作有章可循

信息安全管理制度是安全防護、檢測和響應(yīng)環(huán)節(jié)的重要依據(jù)，是信息安全管理工作的基礎(chǔ)，主要包括信息安全規(guī)章制度和操作規(guī)范策略。基層外匯局應(yīng)首先根據(jù)國際、國內(nèi)網(wǎng)絡(luò)安全態(tài)勢、外匯改革不同階段的外匯業(yè)務(wù)監(jiān)管需求，確定信息安全管理目標、標準和水平。其次，依照“查漏補缺、逐步優(yōu)化”的原則，開展制度建立、修訂和完善工作，促進信息安全管理由之前的經(jīng)驗式、粗放型管理向科學(xué)化、規(guī)范化、專業(yè)化方向發(fā)展。制定涵蓋標準化管理、網(wǎng)絡(luò)運維、計算機安全管理、數(shù)據(jù)安全保護、人員管理、場地管理、外包管理等信息安全管理規(guī)定，確保內(nèi)容全覆蓋。同時，針對自建信息系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)，建立從立項、建設(shè)、上線、運行、下線等全生命周期管理制度和實施規(guī)范，逐步消除風(fēng)險隱患。三是邀請第三方機構(gòu)，對制度的合理性和可操作性進行評審，確保規(guī)章制度、操作規(guī)程切實有效。

（二）防護：筑牢安全防護體系，提升防護能力

“三分技術(shù)，七分管理”，基層外匯局應(yīng)建立以“技術(shù)防范為核心，管理防范為支持，意識防范為前提”的安全防護體系，提高信息系統(tǒng)的安全防護能力。一是構(gòu)建網(wǎng)絡(luò)設(shè)備防護體系。嚴格依據(jù)安全等級保護要求，在網(wǎng)絡(luò)設(shè)備上設(shè)置安全訪問策略，滿足多層次網(wǎng)絡(luò)訪問需求，提升網(wǎng)絡(luò)安全保護水平。二是強化身份認證管理。身份認證是最基礎(chǔ)的安全管理，基礎(chǔ)外匯局應(yīng)建立以制度規(guī)范為保障，以CA數(shù)字證書和加密簽名等技術(shù)手段為支撐的身份認證體系，確保用戶行為的可追蹤。三是強化客戶端安全管理。通過安裝“一體化安全終端”、非法外聯(lián)、補丁分發(fā)等安全軟件，規(guī)范用戶管理要求，防范客戶端安全風(fēng)險。四是加強基礎(chǔ)場地管理。對重要網(wǎng)絡(luò)設(shè)施存放的物理環(huán)境，配備門禁、環(huán)境監(jiān)測、消防、安全保衛(wèi)等防護措施，防范安全風(fēng)險。五是加強人員安全教育。強化對業(yè)務(wù)人員的安全教育、技術(shù)培訓(xùn)，使得業(yè)務(wù)人員能夠正確使用系統(tǒng)，防止意外威脅。

（三）檢測：強化信息安全檢測，及時發(fā)覺安全隱患

檢測作為信息安全管理體系“第二道防線”，主要依托技術(shù)手段、安全審計等措施，分析信息安全狀態(tài)，及時發(fā)現(xiàn)新的威脅、風(fēng)險前兆和系統(tǒng)薄弱點。基層外匯局可以從監(jiān)督檢查體系、安全檢查評估和應(yīng)急演練三方面強化檢測能力。一是嘗試建立監(jiān)督檢查體系，以信息安全風(fēng)險管理為出發(fā)點，結(jié)合廉政風(fēng)險防控和信息化審計，建立覆蓋信息系統(tǒng)立項、建設(shè)、測試、上線、運行、下線等全生命周期以及日常運維、網(wǎng)絡(luò)安全的檢查流程，形成定期檢查、監(jiān)督整改的良性循環(huán)，提高預(yù)警能力。二是制定信息安全評估指標。結(jié)合轄區(qū)實際情況，制定科學(xué)合理的評價標準，通過年度信息安全檢查、內(nèi)部審計，定期評估組織機構(gòu)設(shè)置、信息安全管理制度、信息安全管理技術(shù)等方面的合理性和有效性，及時發(fā)現(xiàn)排查風(fēng)險隱患和管理漏洞。三是對不同等級的信息系統(tǒng)和網(wǎng)絡(luò)制定不同的應(yīng)急演練預(yù)案，進一步明確相關(guān)機構(gòu)和人員的職責(zé);組織全方位、多角度的應(yīng)急演練，及時評估應(yīng)急培訓(xùn)效果，同時，要針對突發(fā)情況制定響應(yīng)的安全處置策略，提高應(yīng)急響應(yīng)能力。

（四）響應(yīng)：強化安全管理隊伍建設(shè)，提升響應(yīng)能力

響應(yīng)是對檢測發(fā)現(xiàn)的漏洞或事件及時處置，將安全風(fēng)險降到最低狀態(tài)，而人員是響應(yīng)的根本保障。基層外匯局一方面應(yīng)注重自身科技隊伍能力建設(shè)，樹立正確的人才培養(yǎng)觀，完善人才培養(yǎng)機制，從信息安全保障、信息安全管理、信息安全法規(guī)、政策與標準知識等方面加強人員的信息安全專業(yè)人才培養(yǎng)，做好突發(fā)事件時人員和技術(shù)儲備。另一方面充分利用外部技術(shù)力量提升響應(yīng)能力，暢通與設(shè)備技術(shù)支持部門的合作渠道，加強運維保障合作，為復(fù)雜應(yīng)急處理提供技術(shù)支持。三是探索引入專業(yè)安全服務(wù)機構(gòu)，協(xié)助處置安全風(fēng)險和安全整改問題，為網(wǎng)絡(luò)和信息安全、生產(chǎn)系統(tǒng)安全保駕護航。

作者單位：國家外匯管理局寧夏分局