銀行信息安全

1、、銀行信息安全威脅隨著銀行信息建設(shè)的深入發(fā)展，銀行全面進入了業(yè)務(wù)系統(tǒng)整合、數(shù)據(jù)大集中的 新的發(fā)展階段，經(jīng)營的集約化和數(shù)據(jù)的集中化趨勢一方面順應(yīng)了銀行業(yè)務(wù)發(fā)展的要求， 但是另一方面不可避免地導(dǎo)致了信息安全風(fēng)險的集中。銀行信息系統(tǒng)存在的信息安全威 脅主要包括 來自互聯(lián)網(wǎng)的風(fēng)險、外部機構(gòu)的風(fēng)險、不信任網(wǎng)絡(luò)的風(fēng)險、機構(gòu)內(nèi)部的風(fēng)險、災(zāi)難性風(fēng) 險等五部分。二、信息安全建設(shè)的原則及等級劃分（ 一 ） 信息安全原則信息安全是一項結(jié)合規(guī)劃、管理、技術(shù)等多種因素的系統(tǒng)工程，是一個持續(xù)、動態(tài)發(fā)展 的過程。技術(shù)是安全的主體，管理是安全的靈魂。只有將有效的安全管理實踐自始至終 貫徹落實于信息安全當中，網(wǎng)絡(luò)安全的長期性和

2、穩(wěn)定性才能有所保證。信息安全的原則：明確責任，共同保護；依照標準，自行保護；同步建設(shè)，動態(tài)調(diào)整； 指導(dǎo)監(jiān)督，重點保護。（ 二 ） 、信息安全等級介紹 信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息和公開信息， 以及存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的 信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。 根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，遭到破壞后對國 家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度，針對 信息的保密性、完整性和可用性要求及信息系統(tǒng)必須達到的基本安

3、全保護水平等因素， 信息系統(tǒng)的安全保護共分為五等級：第一級為自主保護級第二級為指導(dǎo)保護級第三級為監(jiān)督保護級第四級為強制保護級 第五級為?？乇Ｗo級（三） 、信息安全等級評估決定信息系統(tǒng)重要性等級時應(yīng)考慮以下因素：1、系統(tǒng)所屬類型，即信息系統(tǒng)的安全利益主體。2、信息系統(tǒng)主要處理的業(yè)務(wù)信息類別。3、系統(tǒng)服務(wù)范圍，包括服務(wù)對象和服務(wù)網(wǎng)絡(luò)覆蓋范圍。4、業(yè)務(wù)依賴程度，或以手工作業(yè)替代信息系統(tǒng)處理業(yè)務(wù)的程度。 三、信息安全規(guī)劃內(nèi)容（一） 、信息安全體系及其特點 信息安全體系包括安全管理體系和安全技術(shù)體系，兩者是保障信息系統(tǒng)安全不可分割的 兩個部分，大多數(shù)情況下，技術(shù)和管理要求互相提供支撐以確保各自功能的正確

4、實現(xiàn)。 構(gòu)建安全管理體系的主要目的是管理信息系統(tǒng)中各種角色的活動。通過文檔化的管理體 系，從政策、制度、規(guī)范、流程以及日志等方面監(jiān)督、控制各類角色在系統(tǒng)日常運行維 護工作中的各種活動。安全管理體系是由安全管理組織、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理和安全 審計管理 5 個部分組成。安全技術(shù)體系的主要目的是為信息系統(tǒng)提供各種技術(shù)安全機制，主要是通過在信息系統(tǒng) 中部署軟硬件并正確地配置其安全功能來實現(xiàn)。安全技術(shù)體系是由基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全 5 個層面 組成。（二 ）、建立信息安全管理體系（簡稱ISMS），具體內(nèi)容如下：計劃（PLAN :建立ISMS。建立ISM

5、S的政策、目標、過程及相關(guān)程序以管理風(fēng)險及改 進信息安全，使結(jié)果與組織整體政策和目標相一致。執(zhí)行（DO :實施與執(zhí)行ISMS ISMS的政策、控制措施、過程與流程的實施與操作。 查核（CHECK :監(jiān)督與審查ISMS。依據(jù)ISMS政策、目標及實際經(jīng)驗，以評鑒與測量 （適當時 ） 過程績效，并將結(jié)果回報給管理層加以審查。行動（ACT :維持與改進ISMS。依據(jù)內(nèi)部ISMS稽核與管理層審查或其它相關(guān)信息結(jié)果 采取矯正與預(yù)防措施，以達成信息安全管理系統(tǒng)的持續(xù)改進。（三 ） 、規(guī)劃實施內(nèi)容1、信息安全組織建設(shè) 信息安全管理組織建設(shè)是在組織內(nèi)部建立跨部門的信息安全協(xié)調(diào)溝通機制，以便在組織 內(nèi)管理信息安全

6、，識別與外部組織相關(guān)的安全風(fēng)險，定義和分配信息安全職責，定期對 信息安全工作進行評審。在銀行建立信息安全管理委員會，從組織架構(gòu)的層面推動信息安全規(guī)劃的實施，該機構(gòu) 的主要職責包括:推動信息系統(tǒng)安全保障體系建設(shè)；周期性地對系統(tǒng)信息安全風(fēng)險進行 識別和評估；保護商業(yè)秘密和技術(shù)機密，維護企業(yè)的利益；制定信息系統(tǒng)的安全策略， 提高企業(yè)的抗風(fēng)險能力。2、人員安全管理 人員安全管理是指在全體員工范圍內(nèi)提高信息安全防范意識，普及信息安全管理知識， 落實各項安全管理制度，群策群力共同保障信息系統(tǒng)安全。人員安全管理主要通過全員安全教育培訓(xùn)的方式來實現(xiàn)，培訓(xùn)的方式可分為三類: 管理層安全意識教育:針對管理層的安全

7、意識教育培訓(xùn)，幫助管理層了解國家在信息安 全方面的政策，提高對安全工作的認識，從而能夠指導(dǎo)安全建設(shè)工作。技術(shù)人員安全技能培訓(xùn):學(xué)習(xí)安全管理理論知識和安全技術(shù)知識，從而具有掌握安全管 理理念、掌握安全產(chǎn)品操作維護和安全事件處理的能力，維護信息系統(tǒng)的安全。普通員工的安全意識培訓(xùn):對廣大信息系統(tǒng)用戶進行安全意識教育培訓(xùn)，提高大家的安 全意識，讓全體員工都意識到信息安全工作的重要性，共同維護網(wǎng)絡(luò)和信息安全。3、系統(tǒng)建設(shè)管理 在信息系統(tǒng)集成項目、軟件開發(fā)項目中考慮信息安全。進行安全需求分析和規(guī)劃，系統(tǒng) 開發(fā)需要進行輸入數(shù)據(jù)的驗證、處理過程的信息完整性、輸出數(shù)據(jù)的確認，以防止應(yīng)用 系統(tǒng)信息的錯誤、丟失、未

8、授權(quán)的修改或誤用。通過加密手段保護重要信息的機密性、 完整性。確保系統(tǒng)文件的安全，建立軟件開發(fā)規(guī)范，實施變更控制。4、系統(tǒng)運維管理 加強信息系統(tǒng)的日常操作維護管理。逐步建立和完善文檔化的操作流程、規(guī)范變更管理 流程，實施職責分離、分離開發(fā)、測試、生產(chǎn)環(huán)境。對第三方服務(wù)交付提出要求，確保 第三方提供的服務(wù)符合協(xié)議的要求。系統(tǒng)規(guī)劃需要考慮未來容量和性能要求，對項目建 設(shè)按照標準進行驗收。制定數(shù)據(jù)備份策略，確保信息的完整性和可用性?？刂乒芾硪苿?介質(zhì)的使用和處置方式。確保與外部組織交換信息的安全，為 7*24 小時業(yè)務(wù)提供安全保 障措施。監(jiān)控系統(tǒng)運行狀況，對系統(tǒng)的異常運行情況及時預(yù)警。記錄和管理系統(tǒng)

9、日志、 操作日志，確保系統(tǒng)運行的可審核。5、安全審計管理建立信息安全事故報告流程，確保使用持續(xù)有效的方法管理信息安全事故。確保信息系 統(tǒng)符合法律法規(guī)要求，定期進行信息安全檢查工作，及時發(fā)現(xiàn)存在的安全問題并持續(xù)有 效地改進。6、基礎(chǔ)設(shè)施安全 基礎(chǔ)設(shè)施安全是指保護機房環(huán)境和設(shè)備實體的安全，防止對基礎(chǔ)設(shè)施的非法使用、物理 破壞或被盜，保障設(shè)備正常運行所必需的電源、溫度、濕度、防水、防塵等運行環(huán)境。 基礎(chǔ)設(shè)施安全規(guī)劃內(nèi)容： 對中心機房及其基礎(chǔ)設(shè)施，要堅決搞好基本環(huán)境建設(shè)，要有完整的防雷電設(shè)施，且有嚴 格的防電磁干擾設(shè)施，要搞好防水防火的預(yù)防工作。主機房電源要有完整的雙回路備份 機制，配置發(fā)電機、UPS

10、等設(shè)施。在中心機房設(shè)置安全邊界、物理進入控制，防范外部和 環(huán)境威脅，防止對辦公場所和信息的非授權(quán)訪問和破壞。建立和完善視頻監(jiān)控系統(tǒng)和紅 外線防盜系統(tǒng)， 監(jiān)控基礎(chǔ)設(shè)施的運行情況和使用情況。并對機房環(huán)境和實體設(shè)備進行檢修，定期實行災(zāi) 難備份系統(tǒng)切換演習(xí)。7、網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是通過硬件、軟件等安全控制形式來保障數(shù)據(jù)、語音、圖像、傳真等信息在 網(wǎng)絡(luò)傳輸過程中的安全，提高安全域和安全區(qū)之間網(wǎng)絡(luò)通訊的私密性、完整性和可靠 性。網(wǎng)絡(luò)安全規(guī)劃內(nèi)容：建設(shè)和完善防火墻安全體系，隔離安全區(qū)域，強化網(wǎng)絡(luò)安全策略， 對網(wǎng)絡(luò)訪問進行監(jiān)控審計，防止內(nèi)部信息的外泄。建設(shè) IPS 入侵檢測系統(tǒng)，通過特定的檢 測技術(shù)識別出惡意攻

11、擊的行為，并及時阻斷攻擊行為、保護網(wǎng)絡(luò)安全。通過VLAN劃分網(wǎng)絡(luò)，隔離兩個不同的網(wǎng)絡(luò)安全域。通過物理級、網(wǎng)絡(luò)級、系統(tǒng)級多種認證手段，對網(wǎng)絡(luò) 中的用戶訪問權(quán)限進行控制，確認使用者的身份及權(quán)限。記錄和管理網(wǎng)絡(luò)日志，保證網(wǎng) 絡(luò)安全的可審計性。通過 SSL安全連接機制，保障網(wǎng)上銀行等外部 WE連接的安全。8、主機安全 主機系統(tǒng)的安全目標是保障主機平臺系統(tǒng)高效、優(yōu)質(zhì)運行，防止主機系統(tǒng)遭受外部和內(nèi)部的破壞和濫用，避免和降低由于主機系統(tǒng)的問題對業(yè)務(wù)系統(tǒng)造成的影響；協(xié)助應(yīng)用 進行訪問控制和安全審計。主機安全規(guī)劃內(nèi)容：完善主機系統(tǒng)安全管理，嚴格管理系統(tǒng)賬戶、有效控制系統(tǒng)服務(wù)， 優(yōu)化系統(tǒng)的安全配置，啟用系統(tǒng)必要的

12、安全控制措施、避免系統(tǒng)發(fā)生故障或遭受攻擊。定 期對主機的安全進行評估，檢測主機的安全配置和存在的安全漏洞，及時修補，增強主 機的抗攻擊能力。 提高主機入侵防護能力，安裝基于主機的入侵防護系統(tǒng)，防范入侵攻擊和誤 操作行為的發(fā)生。根據(jù)業(yè)務(wù)需要對系統(tǒng)進行冗余設(shè)計，提高主機系統(tǒng)的抗風(fēng)險能力。記 錄和管理主機系統(tǒng)日志，以便日后對系統(tǒng)進行有效的日志跟蹤審計。建設(shè)同城異地災(zāi)備中心，定期進行災(zāi)備系統(tǒng)切換演習(xí)。9、應(yīng)用安全 應(yīng)用安全指使用應(yīng)用系統(tǒng)進行處理業(yè)務(wù)交易和工作過程的安全。 應(yīng)用安全規(guī)劃內(nèi)容：完善操作員身份認證機制，檢查操作員登錄的合法性，加強密碼管 理，督促操作員定期更新密碼，保證操作員密碼的安全性。制

13、定和完善系統(tǒng)操作員等級 和角色管理體系，嚴格控制操作員對各類交易應(yīng)用功能的使用權(quán)限。通過業(yè)務(wù)復(fù)核機制， 對關(guān)鍵業(yè)務(wù)數(shù)據(jù)進行校驗，保證業(yè)務(wù)數(shù)據(jù)的合法性。通過業(yè)務(wù)授權(quán)機制，實現(xiàn)對關(guān)鍵業(yè)務(wù)的監(jiān)控，有效控制業(yè)務(wù)風(fēng)險。建立自動預(yù)警機制，實時監(jiān)控 ATM POS電話銀行、網(wǎng) 上銀行等自助交易渠道的運行情況，對系統(tǒng)運行過程中的異常情況及時告警。完善軟 件開發(fā)流程，制定符合銀行實際情況的軟件配置管理體制與軟件質(zhì)量保證機制，保證軟 件功能模塊符合業(yè)務(wù)功能需求。10、數(shù)據(jù)安全 數(shù)據(jù)安全是指保證數(shù)據(jù)的機密性、完整性、一致性、可用性、不可抵賴性，避免數(shù)據(jù)的 泄密、破壞、纂改、丟失。數(shù)據(jù)安全規(guī)劃內(nèi)容：在操作終端上，通過關(guān)鍵數(shù)據(jù)域合法性檢查、敏感數(shù)據(jù)屏蔽保證數(shù) 據(jù)的合法性與機密性。在數(shù)據(jù)傳輸過程中，通過鏈路加密，節(jié)點加密，端到端加密在通 信的三個不同層次保證數(shù)據(jù)的安全，通過數(shù)據(jù)傳輸中間件保證數(shù)據(jù)的