李堅

（中國人民銀行武漢分行，湖北武漢 430071）

1 引言

作為人民銀行網(wǎng)絡(luò)基礎(chǔ)設(shè)施的組成部分，人民銀行分支機構(gòu)互聯(lián)網(wǎng)建設(shè)隨著人民銀行信息基礎(chǔ)設(shè)施的發(fā)展而不斷演進[1-2]。2002年人民銀行總行就網(wǎng)絡(luò)管理相關(guān)工作做出部署，明確基層央行開展互聯(lián)網(wǎng)管理的總體要求并采取了相關(guān)措施，此后隨著中國人民銀行互聯(lián)網(wǎng)郵件系統(tǒng)、人民銀行互聯(lián)網(wǎng)培訓(xùn)系統(tǒng)等總行統(tǒng)一建設(shè)互聯(lián)網(wǎng)應(yīng)用的依次上線，進一步提升了基層央行對互聯(lián)網(wǎng)的使用需求。2021年，范一飛副行長明確指出，要打造接入廣覆蓋、安全有保障、體驗更智能的互聯(lián)網(wǎng)視頻會議系統(tǒng)，滿足全系統(tǒng)多元化辦公需求，總行科技司也按此要求印發(fā)相關(guān)文件,要求分支機構(gòu)組織做好“成方會議”推廣應(yīng)用相關(guān)工作[3],由此互聯(lián)網(wǎng)在基層央行業(yè)務(wù)履職中的基礎(chǔ)支撐作用進一步強化。與此同時，近年來基層央行根據(jù)各類履職活動的需要，還陸續(xù)存在為保障業(yè)務(wù)履職工作正常開展而接入其他專網(wǎng)進行信息傳輸?shù)那闆r，在此基礎(chǔ)上加強和改進網(wǎng)絡(luò)管理，提升網(wǎng)絡(luò)管理保障能力，確?；ヂ?lián)網(wǎng)及其他專網(wǎng)安全穩(wěn)定運行對保障基層央行業(yè)務(wù)開展及對外服務(wù)顯得更為重要。

2 當前互聯(lián)網(wǎng)及其他專網(wǎng)網(wǎng)絡(luò)管理保障工作存在的問題

2.1 網(wǎng)絡(luò)管理頂層制度需要更新完善

由于人民銀行互聯(lián)網(wǎng)及其他專網(wǎng)管理和運維體制機制方面的原因，當前人民銀行原有的互聯(lián)網(wǎng)總體管理相關(guān)制度因制定時間較早，在網(wǎng)絡(luò)安全管理體系、用戶主體責任、終端日常管理要求、網(wǎng)絡(luò)運維規(guī)則、網(wǎng)絡(luò)線路與公網(wǎng)IP地址管理和應(yīng)用等方面內(nèi)容較為單薄。同時因為在總行層面上暫未出臺針對其他專網(wǎng)的網(wǎng)絡(luò)管理制度，未明確對其他專網(wǎng)建設(shè)、終端接入及日常維護的要求，導(dǎo)致對其他專網(wǎng)管理的制度化、精細化水平仍有待提高，與當前基層央行互聯(lián)網(wǎng)及其他專網(wǎng)網(wǎng)絡(luò)建設(shè)發(fā)展的實際情況和科技隊伍日常運維管理實踐不相適應(yīng)。特別是由于相關(guān)制度內(nèi)關(guān)于技術(shù)防護措施應(yīng)用等網(wǎng)絡(luò)安全領(lǐng)域的內(nèi)容相對簡單，難以有效為防控互聯(lián)網(wǎng)及其他專網(wǎng)入網(wǎng)終端遭受外部攻擊或被控制用于“挖礦”等網(wǎng)絡(luò)安全事件的發(fā)生提供有效的制度管理依據(jù)，也不便于基層央行信息科技部門按照相關(guān)工作制度開展互聯(lián)網(wǎng)與其他專網(wǎng)的日常技術(shù)維護或進行網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)改造。

2.2 終端安全管理有待加強

隨著基層央行互聯(lián)網(wǎng)與其他專網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)及應(yīng)用的推進，基層央行互聯(lián)網(wǎng)及其他專網(wǎng)入網(wǎng)終端數(shù)目及用戶數(shù)目均呈現(xiàn)顯著增長的趨勢，與人民銀行業(yè)務(wù)網(wǎng)已實現(xiàn)與互聯(lián)網(wǎng)隔離的現(xiàn)狀不同，互聯(lián)網(wǎng)及其他非涉密專網(wǎng)開放性更強，入網(wǎng)終端受到外部來源網(wǎng)絡(luò)攻擊的風險更大，因此做好互聯(lián)網(wǎng)及其他專網(wǎng)入網(wǎng)終端的安全管理已成為基層央行日常網(wǎng)絡(luò)安全保障工作的重要組成部分。然而與人民銀行業(yè)務(wù)網(wǎng)已于2017年完成一體化終端安全管理系統(tǒng)部署[4]，實現(xiàn)對業(yè)務(wù)網(wǎng)全網(wǎng)入網(wǎng)終端的實時管理及操作審計的現(xiàn)狀不同的是，目前在基層央行互聯(lián)網(wǎng)及其他專網(wǎng)入網(wǎng)終端安全防護方面總行尚未部署統(tǒng)一的安全防護和行為審計工具，也缺乏對相關(guān)領(lǐng)域安全防護產(chǎn)品進行配置、部署和使用的專門工作指引，在一定程度上增大了基層央行科技人員開展互聯(lián)網(wǎng)及其他專網(wǎng)終端從入網(wǎng)、維護直至退網(wǎng)全生命周期管理所需的工作量，制約了加強入網(wǎng)終端安全防護相關(guān)工作的開展，不利于基層央行科技部門通過技術(shù)手段對互聯(lián)網(wǎng)及其他專網(wǎng)入網(wǎng)終端、網(wǎng)絡(luò)出口的安全防護實現(xiàn)實時威脅感知及有效管理。

2.3 行為審計能力尚需提升

在當前運維實踐當中，鑒于基層央行獲得的接入互聯(lián)網(wǎng)公網(wǎng)IP地址數(shù)量通常相對有限，難以滿足與行內(nèi)用戶及入網(wǎng)終端設(shè)備一一對應(yīng)的需求，為此常通過在行內(nèi)建設(shè)局域網(wǎng)，并通過基于網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的方式實現(xiàn)局域網(wǎng)內(nèi)設(shè)備訪問互聯(lián)網(wǎng)，致使局域網(wǎng)內(nèi)多個IP地址同時對應(yīng)互聯(lián)網(wǎng)上的單個公網(wǎng)IP地址。在多個局域網(wǎng)IP地址對應(yīng)同一公網(wǎng)IP地址的情況下，這些局域網(wǎng)IP地址在互聯(lián)網(wǎng)公網(wǎng)一側(cè)被探測到的IP地址完全一致，僅憑公網(wǎng)IP地址信息難以將局域網(wǎng)內(nèi)不同用戶的行為區(qū)分開來，進一步增大了區(qū)分具體用戶聯(lián)網(wǎng)行為的難度，為實現(xiàn)對入網(wǎng)終端進行有效行為審計、精細化管理增加了障礙，不利于對內(nèi)部局域網(wǎng)區(qū)域的數(shù)據(jù)安全提供有效保護。

3 提升互聯(lián)網(wǎng)及其他專網(wǎng)網(wǎng)絡(luò)管理保障能力的政策建議

3.1 做好互聯(lián)網(wǎng)及其他專網(wǎng)網(wǎng)絡(luò)管理制度頂層設(shè)計

網(wǎng)絡(luò)管理制度建設(shè)是改進和完善網(wǎng)絡(luò)管理保障工作的重要組成部分，為進一步規(guī)范基層央行互聯(lián)網(wǎng)及其他專網(wǎng)管理保障工作，不斷提升互聯(lián)網(wǎng)及其他專網(wǎng)日常運維及網(wǎng)絡(luò)線路管理水平，建議盡快出臺適用于人民銀行全行的互聯(lián)網(wǎng)及其他專網(wǎng)網(wǎng)絡(luò)管理制度，通過加強頂層設(shè)計、強化制度約束的措施助推基層央行互聯(lián)網(wǎng)及其他專網(wǎng)網(wǎng)絡(luò)管理保障和風險防控水平不斷提升。

一是明確對日常管理維護流程的工作要求。通過制度建設(shè)進一步細化對終端設(shè)備管理使用臺賬建設(shè)、網(wǎng)絡(luò)管理員人員配備、入網(wǎng)設(shè)備安全認證、用于網(wǎng)絡(luò)建設(shè)和運行維護過程所需網(wǎng)絡(luò)產(chǎn)品和服務(wù)的要求，加強對入網(wǎng)終端使用人主體責任方面的制度約束，明確利用互聯(lián)網(wǎng)或其他專網(wǎng)開展遠程辦公活動的過程中涉及的安全生產(chǎn)底線與信息泄露紅線[5]。通過細化完善網(wǎng)絡(luò)建設(shè)與管理運維要求，提高網(wǎng)絡(luò)運維管理基礎(chǔ)工作制度化、規(guī)范化水平。

二是以制度建設(shè)加強和改進網(wǎng)絡(luò)線路管理保障相關(guān)工作?；ヂ?lián)網(wǎng)及各類其他專網(wǎng)線路對網(wǎng)絡(luò)正常運行和提供服務(wù)起著重要作用，網(wǎng)絡(luò)線路管理工作是基層央行互聯(lián)網(wǎng)和其他專網(wǎng)網(wǎng)絡(luò)運維工作的重要組成部分，通過在網(wǎng)絡(luò)管理制度中明確對互聯(lián)網(wǎng)及其他專網(wǎng)網(wǎng)絡(luò)線路管理的要求，特別是針對當前基層央行辦公場所現(xiàn)狀，進一步明確多單位共用網(wǎng)絡(luò)線路場景下對共用線路的其他單位的管理要求，有助于不斷提升基層央行互聯(lián)網(wǎng)及其他專網(wǎng)網(wǎng)絡(luò)線路運維管理保障工作水平，防范化解可能出現(xiàn)的潛在聲譽風險。

三是加強對互聯(lián)網(wǎng)及其他專網(wǎng)入網(wǎng)終端的制度管理措施?；鶎友胄谢ヂ?lián)網(wǎng)及其他專網(wǎng)入網(wǎng)終端數(shù)量多、分布廣，是網(wǎng)絡(luò)安全防護的重點。通過進一步明確入網(wǎng)終端設(shè)備不得使用來源不明、未經(jīng)授權(quán)的軟件和介質(zhì)，不得安裝與虛擬貨幣相關(guān)的各類錢包和挖礦軟件的要求；增加入網(wǎng)終端使用人對入網(wǎng)設(shè)備做好病毒查殺和操作系統(tǒng)補丁安裝，不得使用國際互聯(lián)網(wǎng)或其他專網(wǎng)參與虛擬貨幣“挖礦”或交易活動的明確管理要求，加強和改進對互聯(lián)網(wǎng)及其他專網(wǎng)入網(wǎng)終端的日常使用管理，防范由于終端管理漏洞引發(fā)更大范圍網(wǎng)絡(luò)安全事件的風險。

3.2 進一步加強入網(wǎng)終端網(wǎng)絡(luò)安全管理

一是推進互聯(lián)網(wǎng)及其他專網(wǎng)入網(wǎng)終端設(shè)備更新工作。入網(wǎng)終端設(shè)備是基層央行互聯(lián)網(wǎng)及其他專網(wǎng)網(wǎng)絡(luò)的重要組成部分，數(shù)量較多、涉及用戶廣泛。通過充分發(fā)揮總行調(diào)撥設(shè)備具有的獨特優(yōu)勢，對互聯(lián)網(wǎng)及其他專網(wǎng)在用入網(wǎng)終端開展替換升級工作，將在用終端當中的老舊設(shè)備更新替換為總行調(diào)撥的新設(shè)備，能夠有效提升互聯(lián)網(wǎng)及其他專網(wǎng)入網(wǎng)終端設(shè)備的科技自立自強水平，從而增強互聯(lián)網(wǎng)及其他專網(wǎng)入網(wǎng)終端自身具有的網(wǎng)絡(luò)安全風險防護能力，更好地抵御被遠程控制用于進行“挖礦”活動等各類內(nèi)外部網(wǎng)絡(luò)攻擊，從終端節(jié)點層面提升基層央行的互聯(lián)網(wǎng)及其他專網(wǎng)網(wǎng)絡(luò)管理保障能力。

二是合理劃分網(wǎng)絡(luò)區(qū)域，加強區(qū)域間訪問控制策略管理。根據(jù)局域網(wǎng)內(nèi)網(wǎng)絡(luò)設(shè)備、終端等基礎(chǔ)設(shè)施之間的邏輯關(guān)系、物理位置等基本要素，在權(quán)衡安全防護水平與運維工作量的基礎(chǔ)上，通過VLAN等技術(shù)加強對互聯(lián)網(wǎng)及其他專網(wǎng)局域網(wǎng)不同區(qū)域的分區(qū)分域管理，按照邊界清晰、用途明確的原則劃分在用入網(wǎng)終端設(shè)備接入網(wǎng)段，從網(wǎng)絡(luò)層面擴充局域網(wǎng)內(nèi)部的網(wǎng)絡(luò)安全防護縱深，提升對互聯(lián)網(wǎng)及其他專網(wǎng)入網(wǎng)終端訪問控制權(quán)限的精細化管理程度，收縮互聯(lián)網(wǎng)及其他專網(wǎng)入網(wǎng)終端的安全暴露面，進而防范網(wǎng)絡(luò)安全風險在局域網(wǎng)內(nèi)部擴散。

三是探索應(yīng)用終端安全管理軟件加強互聯(lián)網(wǎng)入網(wǎng)終端設(shè)備管理。針對基層央行信息科技運維隊伍人力資源有限，日常工作較為繁重的特點，通過引入軟硬件兼容性、易用性均較強的終端安全管理平臺軟件，提升對互聯(lián)網(wǎng)入網(wǎng)終端管理的信息化、精細化程度，增強對終端安全態(tài)勢的實施監(jiān)控管理能力。通過在終端安全管理軟件控制端制定并對互聯(lián)網(wǎng)入網(wǎng)終端開啟入網(wǎng)終端設(shè)備安全管理策略，精細化做好入網(wǎng)終端設(shè)備分組及終端基本信息錄入維護，配合終端準入白名單管控等措施，進一步確保轄內(nèi)互聯(lián)網(wǎng)入網(wǎng)終端設(shè)備均能被集中識別，實現(xiàn)網(wǎng)絡(luò)準入策略、終端安全防護策略在入網(wǎng)終端上的全覆蓋，及時阻斷惡意軟件爆發(fā)傳播路徑，確保惡意軟件感染風險在單位局域網(wǎng)內(nèi)不積累、不擴散、不升級。

3.3 科技賦能不斷提升技術(shù)治網(wǎng)能力

一是探索上網(wǎng)行為管理工具的應(yīng)用。上網(wǎng)行為管理工具通過對進出相應(yīng)網(wǎng)絡(luò)接口數(shù)據(jù)包的深度解析和過濾，可以實現(xiàn)訪問控制、帶寬管理、監(jiān)控審計、統(tǒng)計分析、安全強化等功能[6]。其中訪問控制功能既可根據(jù)應(yīng)用類型實現(xiàn)對在網(wǎng)用戶進行Web頁面、文件傳輸、IM聊天、P2P下載等不同類別應(yīng)用訪問操作的控制，還可基于用戶終端設(shè)備的IP和MAC地址信息進行終端綁定，防止未經(jīng)授權(quán)審批的電子設(shè)備違規(guī)接入網(wǎng)絡(luò)，以技術(shù)措施確保終端準入制度得到有效執(zhí)行；帶寬管理可實現(xiàn)針對線路的流量控制、針對應(yīng)用的流量控制、基于URL或者文件的流量控制、基于用戶或終端IP的流量控制等功能，通過對不同類型業(yè)務(wù)流合理配置及應(yīng)用流量保障策略，能夠更好地提高對不同終端、不同類型應(yīng)用所需網(wǎng)絡(luò)帶寬的基本保障能力；監(jiān)控審計可實現(xiàn)對網(wǎng)絡(luò)流量中包含的URL、發(fā)帖、郵件等內(nèi)容進行實時監(jiān)控和審計，通過設(shè)置內(nèi)容過濾條件進一步提高針對數(shù)據(jù)安全事件的實時監(jiān)控、早期預(yù)警和準確溯源能力，更好地保護局域網(wǎng)區(qū)域內(nèi)的數(shù)據(jù)資源，防范化解潛在的數(shù)據(jù)泄露風險[7]；報表統(tǒng)計可根據(jù)應(yīng)用流量排名、歷史流量排名等形式將上網(wǎng)行為信息分類統(tǒng)計后以數(shù)據(jù)中心、對比報表等形式可視化直觀展現(xiàn)，便于運維管理人員及時掌握網(wǎng)絡(luò)運行態(tài)勢，調(diào)整優(yōu)化管理策略；安全強化包括防火墻、網(wǎng)關(guān)殺毒等，通過數(shù)據(jù)過濾和網(wǎng)絡(luò)訪問規(guī)則配置，及時發(fā)現(xiàn)并阻斷外部遠程入侵、“挖礦”等網(wǎng)絡(luò)安全風險事件，防止外部數(shù)據(jù)流當中的惡意代碼進入單位局域網(wǎng)區(qū)域，增強網(wǎng)絡(luò)安全防范能力。通過對網(wǎng)絡(luò)內(nèi)用戶終端、網(wǎng)絡(luò)應(yīng)用、帶寬流量等實現(xiàn)可視可控，統(tǒng)一管理，有效提升互聯(lián)網(wǎng)網(wǎng)絡(luò)的安全管理和風險防控水平。

二是探索運用新技術(shù)優(yōu)化互聯(lián)網(wǎng)及其他專網(wǎng)網(wǎng)絡(luò)連接方式。結(jié)合軟件定義網(wǎng)絡(luò)（SDN）等新技術(shù)的推廣應(yīng)用，通過網(wǎng)絡(luò)架構(gòu)優(yōu)化升級不斷整合網(wǎng)絡(luò)線路，運用SDN技術(shù)等方式匯聚轄內(nèi)分支行的互聯(lián)網(wǎng)流量，實現(xiàn)一定區(qū)域內(nèi)人民銀行分支機構(gòu)互聯(lián)網(wǎng)的集中一點接入[8]，以集中單位互聯(lián)網(wǎng)出口，縮小分支行在互聯(lián)網(wǎng)上的風險暴露面，同時依托實現(xiàn)網(wǎng)絡(luò)線路整合，加強對分支機構(gòu)互聯(lián)網(wǎng)線路的集中管理，提升在網(wǎng)絡(luò)線路租賃采購方面的議價能力，推動人民銀行分支機構(gòu)網(wǎng)絡(luò)線路租賃統(tǒng)談統(tǒng)簽和提速降費工作取得更大成效。同時依托SDN技術(shù)對流量的識別和調(diào)度功能，實現(xiàn)對不同類型業(yè)務(wù)對應(yīng)網(wǎng)絡(luò)流量的精細化管理和控制，便于基層央行科技部門對于單終端無節(jié)制占用互聯(lián)網(wǎng)帶寬導(dǎo)致網(wǎng)絡(luò)出現(xiàn)擁堵的違規(guī)行為進行技術(shù)限制，進一步優(yōu)化正常用戶上網(wǎng)體驗，保障互聯(lián)網(wǎng)的連接暢通。