基層央行互聯網及其他專網網絡管理保障能力提升研究

李堅

（中國人民銀行武漢分行，湖北武漢 430071）

1 引言

作為人民銀行網絡基礎設施的組成部分，人民銀行分支機構互聯網建設隨著人民銀行信息基礎設施的發展而不斷演進[1-2]。2002年人民銀行總行就網絡管理相關工作做出部署，明確基層央行開展互聯網管理的總體要求并采取了相關措施，此后隨著中國人民銀行互聯網郵件系統、人民銀行互聯網培訓系統等總行統一建設互聯網應用的依次上線，進一步提升了基層央行對互聯網的使用需求。2021年，范一飛副行長明確指出，要打造接入廣覆蓋、安全有保障、體驗更智能的互聯網視頻會議系統，滿足全系統多元化辦公需求，總行科技司也按此要求印發相關文件,要求分支機構組織做好“成方會議”推廣應用相關工作[3],由此互聯網在基層央行業務履職中的基礎支撐作用進一步強化。與此同時，近年來基層央行根據各類履職活動的需要，還陸續存在為保障業務履職工作正常開展而接入其他專網進行信息傳輸的情況，在此基礎上加強和改進網絡管理，提升網絡管理保障能力，確保互聯網及其他專網安全穩定運行對保障基層央行業務開展及對外服務顯得更為重要。

2 當前互聯網及其他專網網絡管理保障工作存在的問題

2.1 網絡管理頂層制度需要更新完善

由于人民銀行互聯網及其他專網管理和運維體制機制方面的原因，當前人民銀行原有的互聯網總體管理相關制度因制定時間較早，在網絡安全管理體系、用戶主體責任、終端日常管理要求、網絡運維規則、網絡線路與公網IP地址管理和應用等方面內容較為單薄。同時因為在總行層面上暫未出臺針對其他專網的網絡管理制度，未明確對其他專網建設、終端接入及日常維護的要求，導致對其他專網管理的制度化、精細化水平仍有待提高，與當前基層央行互聯網及其他專網網絡建設發展的實際情況和科技隊伍日常運維管理實踐不相適應。特別是由于相關制度內關于技術防護措施應用等網絡安全領域的內容相對簡單，難以有效為防控互聯網及其他專網入網終端遭受外部攻擊或被控制用于“挖礦”等網絡安全事件的發生提供有效的制度管理依據，也不便于基層央行信息科技部門按照相關工作制度開展互聯網與其他專網的日常技術維護或進行網絡基礎設施建設改造。

2.2 終端安全管理有待加強

隨著基層央行互聯網與其他專網網絡基礎設施建設及應用的推進，基層央行互聯網及其他專網入網終端數目及用戶數目均呈現顯著增長的趨勢，與人民銀行業務網已實現與互聯網隔離的現狀不同，互聯網及其他非涉密專網開放性更強，入網終端受到外部來源網絡攻擊的風險更大，因此做好互聯網及其他專網入網終端的安全管理已成為基層央行日常網絡安全保障工作的重要組成部分。然而與人民銀行業務網已于2017年完成一體化終端安全管理系統部署[4]，實現對業務網全網入網終端的實時管理及操作審計的現狀不同的是，目前在基層央行互聯網及其他專網入網終端安全防護方面總行尚未部署統一的安全防護和行為審計工具，也缺乏對相關領域安全防護產品進行配置、部署和使用的專門工作指引，在一定程度上增大了基層央行科技人員開展互聯網及其他專網終端從入網、維護直至退網全生命周期管理所需的工作量，制約了加強入網終端安全防護相關工作的開展，不利于基層央行科技部門通過技術手段對互聯網及其他專網入網終端、網絡出口的安全防護實現實時威脅感知及有效管理。

2.3 行為審計能力尚需提升

在當前運維實踐當中，鑒于基層央行獲得的接入互聯網公網IP地址數量通常相對有限，難以滿足與行內用戶及入網終端設備一一對應的需求，為此常通過在行內建設局域網，并通過基于網絡地址轉換(NAT)的方式實現局域網內設備訪問互聯網，致使局域網內多個IP地址同時對應互聯網上的單個公網IP地址。在多個局域網IP地址對應同一公網IP地址的情況下，這些局域網IP地址在互聯網公網一側被探測到的IP地址完全一致，僅憑公網IP地址信息難以將局域網內不同用戶的行為區分開來，進一步增大了區分具體用戶聯網行為的難度，為實現對入網終端進行有效行為審計、精細化管理增加了障礙，不利于對內部局域網區域的數據安全提供有效保護。

3 提升互聯網及其他專網網絡管理保障能力的政策建議

3.1 做好互聯網及其他專網網絡管理制度頂層設計

網絡管理制度建設是改進和完善網絡管理保障工作的重要組成部分，為進一步規范基層央行互聯網及其他專網管理保障工作，不斷提升互聯網及其他專網日常運維及網絡線路管理水平，建議盡快出臺適用于人民銀行全行的互聯網及其他專網網絡管理制度，通過加強頂層設計、強化制度約束的措施助推基層央行互聯網及其他專網網絡管理保障和風險防控水平不斷提升。

一是明確對日常管理維護流程的工作要求。通過制度建設進一步細化對終端設備管理使用臺賬建設、網絡管理員人員配備、入網設備安全認證、用于網絡建設和運行維護過程所需網絡產品和服務的要求，加強對入網終端使用人主體責任方面的制度約束，明確利用互聯網或其他專網開展遠程辦公活動的過程中涉及的安全生產底線與信息泄露紅線[5]。通過細化完善網絡建設與管理運維要求，提高網絡運維管理基礎工作制度化、規范化水平。

二是以制度建設加強和改進網絡線路管理保障相關工作。互聯網及各類其他專網線路對網絡正常運行和提供服務起著重要作用，網絡線路管理工作是基層央行互聯網和其他專網網絡運維工作的重要組成部分，通過在網絡管理制度中明確對互聯網及其他專網網絡線路管理的要求，特別是針對當前基層央行辦公場所現狀，進一步明確多單位共用網絡線路場景下對共用線路的其他單位的管理要求，有助于不斷提升基層央行互聯網及其他專網網絡線路運維管理保障工作水平，防范化解可能出現的潛在聲譽風險。

三是加強對互聯網及其他專網入網終端的制度管理措施。基層央行互聯網及其他專網入網終端數量多、分布廣，是網絡安全防護的重點。通過進一步明確入網終端設備不得使用來源不明、未經授權的軟件和介質，不得安裝與虛擬貨幣相關的各類錢包和挖礦軟件的要求；增加入網終端使用人對入網設備做好病毒查殺和操作系統補丁安裝，不得使用國際互聯網或其他專網參與虛擬貨幣“挖礦”或交易活動的明確管理要求，加強和改進對互聯網及其他專網入網終端的日常使用管理，防范由于終端管理漏洞引發更大范圍網絡安全事件的風險。

3.2 進一步加強入網終端網絡安全管理

一是推進互聯網及其他專網入網終端設備更新工作。入網終端設備是基層央行互聯網及其他專網網絡的重要組成部分，數量較多、涉及用戶廣泛。通過充分發揮總行調撥設備具有的獨特優勢，對互聯網及其他專網在用入網終端開展替換升級工作，將在用終端當中的老舊設備更新替換為總行調撥的新設備，能夠有效提升互聯網及其他專網入網終端設備的科技自立自強水平，從而增強互聯網及其他專網入網終端自身具有的網絡安全風險防護能力，更好地抵御被遠程控制用于進行“挖礦”活動等各類內外部網絡攻擊，從終端節點層面提升基層央行的互聯網及其他專網網絡管理保障能力。

二是合理劃分網絡區域，加強區域間訪問控制策略管理。根據局域網內網絡設備、終端等基礎設施之間的邏輯關系、物理位置等基本要素，在權衡安全防護水平與運維工作量的基礎上，通過VLAN等技術加強對互聯網及其他專網局域網不同區域的分區分域管理，按照邊界清晰、用途明確的原則劃分在用入網終端設備接入網段，從網絡層面擴充局域網內部的網絡安全防護縱深，提升對互聯網及其他專網入網終端訪問控制權限的精細化管理程度，收縮互聯網及其他專網入網終端的安全暴露面，進而防范網絡安全風險在局域網內部擴散。

三是探索應用終端安全管理軟件加強互聯網入網終端設備管理。針對基層央行信息科技運維隊伍人力資源有限，日常工作較為繁重的特點，通過引入軟硬件兼容性、易用性均較強的終端安全管理平臺軟件，提升對互聯網入網終端管理的信息化、精細化程度，增強對終端安全態勢的實施監控管理能力。通過在終端安全管理軟件控制端制定并對互聯網入網終端開啟入網終端設備安全管理策略，精細化做好入網終端設備分組及終端基本信息錄入維護，配合終端準入白名單管控等措施，進一步確保轄內互聯網入網終端設備均能被集中識別，實現網絡準入策略、終端安全防護策略在入網終端上的全覆蓋，及時阻斷惡意軟件爆發傳播路徑，確保惡意軟件感染風險在單位局域網內不積累、不擴散、不升級。

3.3 科技賦能不斷提升技術治網能力

一是探索上網行為管理工具的應用。上網行為管理工具通過對進出相應網絡接口數據包的深度解析和過濾，可以實現訪問控制、帶寬管理、監控審計、統計分析、安全強化等功能[6]。其中訪問控制功能既可根據應用類型實現對在網用戶進行Web頁面、文件傳輸、IM聊天、P2P下載等不同類別應用訪問操作的控制，還可基于用戶終端設備的IP和MAC地址信息進行終端綁定，防止未經授權審批的電子設備違規接入網絡，以技術措施確保終端準入制度得到有效執行；帶寬管理可實現針對線路的流量控制、針對應用的流量控制、基于URL或者文件的流量控制、基于用戶或終端IP的流量控制等功能，通過對不同類型業務流合理配置及應用流量保障策略，能夠更好地提高對不同終端、不同類型應用所需網絡帶寬的基本保障能力；監控審計可實現對網絡流量中包含的URL、發帖、郵件等內容進行實時監控和審計，通過設置內容過濾條件進一步提高針對數據安全事件的實時監控、早期預警和準確溯源能力，更好地保護局域網區域內的數據資源，防范化解潛在的數據泄露風險[7]；報表統計可根據應用流量排名、歷史流量排名等形式將上網行為信息分類統計后以數據中心、對比報表等形式可視化直觀展現，便于運維管理人員及時掌握網絡運行態勢，調整優化管理策略；安全強化包括防火墻、網關殺毒等，通過數據過濾和網絡訪問規則配置，及時發現并阻斷外部遠程入侵、“挖礦”等網絡安全風險事件，防止外部數據流當中的惡意代碼進入單位局域網區域，增強網絡安全防范能力。通過對網絡內用戶終端、網絡應用、帶寬流量等實現可視可控，統一管理，有效提升互聯網網絡的安全管理和風險防控水平。

二是探索運用新技術優化互聯網及其他專網網絡連接方式。結合軟件定義網絡（SDN）等新技術的推廣應用，通過網絡架構優化升級不斷整合網絡線路，運用SDN技術等方式匯聚轄內分支行的互聯網流量，實現一定區域內人民銀行分支機構互聯網的集中一點接入[8]，以集中單位互聯網出口，縮小分支行在互聯網上的風險暴露面，同時依托實現網絡線路整合，加強對分支機構互聯網線路的集中管理，提升在網絡線路租賃采購方面的議價能力，推動人民銀行分支機構網絡線路租賃統談統簽和提速降費工作取得更大成效。同時依托SDN技術對流量的識別和調度功能，實現對不同類型業務對應網絡流量的精細化管理和控制，便于基層央行科技部門對于單終端無節制占用互聯網帶寬導致網絡出現擁堵的違規行為進行技術限制，進一步優化正常用戶上網體驗，保障互聯網的連接暢通。