构建全方位网络安全管理体系 助力网络强国建设.pdf

1、构建全方位网络安全管理体系助力网络强国建设文中国人民财产保险股份有限公司副总裁戈张道明网络安全工作面临的形势与挑战网络安全面临的形势日趋严峻复杂。外部威胁日益严重，全球范围内各种网络攻击活动层出不穷，“斯诺登事件”“俄乌冲突引发网络武器库泄露”等安全事件表明，网络安全已成为国与国之间竞争博奔的重要组成，且呈现愈演愈烈之势。传统网络安全风险仍然突出，病毒木马传播、漏洞安全隐患等网络安全事件和威胁日趋频繁，数据泄露事件层出不穷。新技术带来新风险，在提高网络安全风险监测与防御能力的同时，因其自身存在的脆弱性、可解释性等安全隐患，也无可避免地带来了新的安全风险。面对新形势，国家相继张道明出台数据安全法

2、个人信息保护法关工商管理硕士，中国人民财产保险股份有限公键信息基础设施安全保护条例，为网络司党委委员、执行董事、副总裁、财务负责人，兼安全工作的开展奠定了坚实基础。任中国保险行业协会保险科技专业委员会副主人保财险组织机构庞大、信息系统复任委员。曾任中国人民财产保险股份有限公司江西省分公司党委书记、总经理，广东省分公司党委书记、总经理，中国人民财产保险股份有限公司总裁助理。在中国保险行业拥有2 5年管理工作经验。络安全是国家安全的重要组成部网分。习近平总书记强调，没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。如何处理好网络安全与发展的关系，成为摆在我们面前的

3、现实课题。体系建设，坚决守好国家关键信息基础设施网络安全阵地。1.架构为纲，构建网络安全工作全景图结合网络安全监管形势以及公司科技架构升级规划，人保财险强化网络安全顶层设计，持续建设完善责任清晰、制度健全、场景覆盖全面的网络安全框架体系。一方面，从数据安全、应用开发安全、基础环境安全等层面强化网络安全技术能力建设，优化丰富安全风险监测和管控手段，完善网络安全防护体系。另一方面，整合外部安全力量和内部安全运行数据，构建“纵向贯通，横向协同”的一体化网络安全运营体系，将安全运营工作常态化、体系化、实战化。与此同时，配套完善相关制度规范，在依法合规开展网络安全工作的基础上，健全安全管理的组织、制度、

4、杂、网络边界分散、风险点位众多，风险流程及监督评价机制。暴露面大；人保集团内科技基础设施进一2.观念为本，压实网络安全管理步集中化，使得人保财险与其他子公司信组织与责任息系统、网络环境的结合点更多、更紧密。明确安全管理组织保障与职责。人保财险将网络安全上升到公司治理层面，综人保财险网络安全工作实践合业务管理和科技手段积极防范化解网络人保财险高度重视网络安全工作，主安全风险。公司成立网络安全领导小组，动适应形势变化，依照关键信息基础设施将网络安全作为“一把手”工程，公司党保护和网络安全等级保护技术标准开展网委书记、总裁担任组长，并作为网络安全络安全规划建设，落实“三化六防”措施，第一责任人，信息

5、科技分管领导作为网络加大网络安全资金投入、加强网络安全人安全直接责任人。网络安全领导小组负责才队伍建设、加快纵深网络安全综合防御公司网络安全、数据安全、个人信息保护、29观点ViewpointI栏目编辑：郑岩信息科技风险管理、业务连续性管理、信息科技外包风险管理、供应链风险管理等领域策略的审议决策，确保其与公司业务战略规划的一致性。宣导培育安全文化。人保财险每年开展“网络安全宣传周”活动，通过参观线上展厅、内网专题频道、线下有奖问答等多种形式面向全体员工开展宣贯，全面普及网络安全知识；经常性举办网络安全专业技术培训，印发员工信息安全手册，提升安全观念意识，提供安全实践指导。多次参加国家网络安全

6、攻防演习，以战代训、实战练兵，通过专项任务持续加强相关岗位人员的协同合作与能力培养，广泛凝聚网络安全工作共识，形成保障合力。3.防护为器，夯实网络安全公共能力开展数据安全治理。发布数据安全管理规定，从数据的分类分级、识别和标识、获取和使用、运维、销毁等层面提出安全要求。采用防火墙、入侵检测系统、恶意代码防护系统、数据库审计、应用数据审计、数据泄露防护、数据脱敏、文档加密授权等多种技术手段，加强数据安全保护。强化个人信息保护，发布客户信息安全管理办法客户信息管理办法，开展“巩固客户个人信息保护机制”专项行动，构筑保障公司和客户利益的防线。落实应用开发安全。在开发建设初期介入安全管控，通过部署集中

7、的代码仓库、组件仓库，对代码和应用组件实施集中管理，定期进行源代码和组件扫描审计。推进在DevOps开发流水线集成代码审计、组件审计和APP加固等工具，将安全管控刚性嵌入开发流程，降低上线后漏洞发现和整改成本。强化应用安全访问控制，通过建设统一身份认证平台实现统一的认证和鉴权，增强移动APP的安全加固防护，严格管控应用系统之间的互访互联。加强账号访问安全管控。开展账号权限清理专项工作，规范权限管理，守住系统操作第一道防线，压实员工安全责任。实现用户账号“一键授权，一键收权”，强制推广应用动态安全令牌认证机制，探索建立HR岗位与系统岗位的关联关系，促进权限配置工作的集中化和智能化。坚守基础环境安

8、全底线。在网络边界部署异构安全监控和防护设备，多维度、多层级实施监控防护；部署全流量分析设备，还原网络攻击流量，对于疑似安全事件进行追踪溯源和调查取证。对于DMZ区、骨干网、核心网、办公网等重要网络节点，根据实际业务需求严格收敛系统跨安全区域访问关系，实现网络通信可信可控。业务核心区计算环境启用全面安全管控机制，部署日志审计、堡垒主机、主机防火墙、防病毒系统等，主动防御内网核心主机安全隐患。强化终端安全管理。全国推广终端软件白名单机制，优化黑名单软件管控策略，保障终端软件安全合规。建设云桌面系统，加强终端安全防护、互联网访问、即时通讯、文档共享安全。邮件网关加强钓鱼邮件拦截，防病毒网关检测下载

9、文件沙箱，桌面管理系统检查微信文件格式，互联网访问代理启用白名单机制阻断回连。4.协同为要，提高网络安全应急处置能力提升实战化安全检测响应能力。依托态势感知平台，实现APT设备、WAF、IDS、防病毒等告警数据汇总分析，自动获取漏洞扫描报告对资产风险值进行标识，对接运维流程系统实现安全告警工单自动触发与流转，自动驱动防火墙封禁恶意互联网IP。通过安全自动化响应编排，自动获取外部安全漏洞情报，发现风险并研判处置。严格供应链安全管理。发布信息科技产品供应链安全管理办法，持续开展供应链风险监控与排查，严格控制新系统建设或原系统升级过程中对第三方组件（含开源组件）的引入，重点针对老旧系统替换升级存在安

10、全风险的组件，逐步解决遗留的开源组件风险隐惠。加强外包风险管理，制定信息科技外包风险管理办法，发布外包人员管理“十项新规”，加强外包人员安全教育和违规责任考核；定期组织供应商开展联动应急演练，针对重要领域供应商开展尽职调查和风险评估。5.监督为尺，形成网络安全管理闭环人保财险建立网络安全监督审计机制，落实信息科技风险内部监督审计职责和人力配置，通过安全监控、安全评估、安全处置和安全管控等环节，对风险实行闭环管理。制定7 2 4小时网络安全监控规则，实时对告警日志进行监控分析，发现及处置各类疑似攻击事件。根据资产重要性和漏洞危害程度，定期开展包括漏洞扫描、基线检查、渗透测试在内的安全评估工作。制定安全事件处置流程，实现安全、运维和研发岗位人员的紧密协同和联动，并通过安全考核机制促进安全风险整改。在数字化转型的关键时期，人保财险将秉持科技赋能理念，深入应用科技创新技术，持续强化构建纵深防御的网络安全防护体系，大力提升网络安全运营自动化和智能化水平，保障公司和业务系统安全稳定运行。同时，各金融机构应以全面推进数字化转型为契机，加强网络安全意识、提升网络安全能力、强化网络安全治理，共同筑牢金融行业网络安全防线，防范化解金融网络安全重大风险，推动金融行业高质量发展，为国家经济社会发展营造安全稳定的金融数字化环境。金30