信息技术基础架构库(Information Technology Infrastructure Library,ITIL)是全球公认的一系列信息技术服务管理的最佳实践,它由英国中央计算机与电信局创建,旨在满足将信息技术应用于商业领域的发展要求。
从2010年开始,商业银行按照ITIL规范进行生产运行流程制度体系建设,建立了较为规范、全面的事件管理、问题管理、变更管理、应急处置等运维管理流程,并制定了相应的管理制度。有很多商业银行在ITIL实践基础上,通过了信息技术服务管理体系标准ISO 20000认证。
在运维体系建设中,要从真实金融场景出发,用数字化手段打造可商业化运营的新产品、新模式、新业态,为客户、员工和社会创造新价值。
商业银行的事件管理流程通过工具覆盖至支行网点层面,包括报告、受理与分派、处理、反馈、回访、评价等完整的事件管理流程环节。能够高效支持从一线网点日常业务异常到数据中心各类故障事件的处置。可以通过智能机器人的使用,实现所有业务异常报障处理时间的大幅下降。
商业银行的问题管理流程通过工具覆盖全行,包括报告、审核、分派、处理、反馈、反馈确认、提出人确认、回顾分析等完整的问题管理流程环节。从事件流程、变更流程、新系统上线流程、应急流程以及日常巡检等方面萃取问题,并由专职问题流程经理进行问题处理进展跟踪。同时,制定了重点问题识别标准,对重点问题进行特殊跟踪。
商业银行的变更管理流程通过工具覆盖全行,包括申请、审核、计划制订、评审、审批、实施、反馈、总结分析等完整的变更管理流程环节。通过与堡垒机、门禁系统,以及自动化平台的整合,实现了变更审批与相关高权用户、变更区门禁的自动化精细授权联动,实现了自动化变更的自动化触发。
商业银行的应急管理流程包括应急处置管理、应急预案管理、应急演练管理。
在应急处置管理方面,实现精细化的应急管理,对每个应急进行事后分析,发现改进点。在此基础上,大力推进应急操作自动化,实现应急组织专业化,建立应急视频会议系统,搭建应急线上管理平台实现应急过程线上化记录,及相关信息的全景展示。
在应急预案管理方面,建立应急预案新建、修订、废止的全生命周期管理机制。通过与新系统上线流程、事件流程、应急流程、变更流程、系统下线流程的衔接,实现应急预案新建、修订、废止的识别。
在应急演练管理方面,建立了基于场景的,包括计划、组织、跟踪、总结的完整的应急演练管理机制。演练方式包括生产实操演练与桌面演练。每年年初由应急管理流程经理组织制订全年应急演练目标及具体计划,全年演练须达到所有重要信息系统所有场景全覆盖、所有重要基础设施(机房、网络、存储)所有重要场景演练全覆盖;由应急流程经理负责跟踪演练计划的完成情况,在演练后将演练发现的问题纳入问题流程进行解决跟踪。
商业银行所常用基础软硬件产品包括操作系统、关系数据库、中间件、路由器、交换机、负载均衡器、防火墙、TLS卸载设备、密码机等。为加强商业银行信息系统的安全管理,应明确各类基础软硬件产品应当遵循的基础安全配置规范和要求,防控因基本安全措施缺失而造成的风险。
通常,商业银行总行信息技术管理部作为安全基线的主管部门,负责制定和维护信息系统安全基线管理办法,明确基线管理的相关要求等相关工作;软件开发中心作为执行部门,负责应用开发、常用应用开发平台主推版本清单的制定、发布和维护,以及对应基础安全配置规范或模板的制定、发布和维护等相关工作;数据中心作为执行部门,负责常用基础软、硬件产品主推版本和型号清单的制定、发布和维护,以及对应基础安全配置规范或模板的制定、发布和维护等相关工作。
针对关系数据库,根据安全配置基线,选择合理的软件版本,经测试后安装必须安装的补丁文件;删除或禁用非必需的默认用户;根据关系数据库用途,对系统默认安装的功能和组件进行剪裁,卸载或禁用非必需的功能或组件;及时清理过期用户、角色和用户组;使用非操作系统超级管理员用户启动和维护数据库;启用用户密码策略,防止选用弱密码,包括:
(1)宜启用密码复杂度策略。
(2)应选用安全的密码,避免使用弱密码。
(3)应避免重复使用相同的密码。
(4)禁止空密码用户登录。