金融行业信息化解决方案_0

金融行业信息化解决方案

一、金融行业信息安全概述

金融行业信息化系统经过多年的发展建设，目前信息化程度已达到了较高水平。信息技术在提高管理水平、促进业务创新、提升企业竞争力方面发挥着日益重要的作用。随着银行信息化的深入发展，银行业务系统对信息技术的高度依赖，银行业网络信息安全问题也日益严重，新的安全威胁不断涌现，并且由于其数据的特殊性和重要性，更成为黑客攻击的重要对象，针对金融信息网络的计算机犯罪的案件呈逐年上升趋势，特别是银行全面进入业务系统整合、数据大集中的新的发展阶段，以及银行卡、网上银行、电子商务、网上证券交易等新的产品和新一代业务系统的迅速发展，现在不少银行开始将部分业务放到互联网上，今后几年内将迅速形成一个以基于TCP/IP协议为主的复杂的、全国性的网络应用环境，来自外部和内部的信息安全风险将不断增加，这就对金融系统的安全性提出了更高的要求，金融信息安全对金融行业稳定运行、客户权益乃至国家经济金融安全、社会稳定都具有越来越重要的意义。金融业迫切需要建设主动的、深层的、立体的信息安全保障体系，保障业务系统的正常运转，保障企业经营使命的顺利实现。

二、金融业安全风险及需求分析

金融行业典型网络拓扑如下，通常为一个层次化的互联广域网体系结构：

2、1金融行业风险分析

金融行业网络系统面临的风险复杂多样，既有来自外部的，也有来自内部的。可以概括为以下三个大的方面：

 ·组织方面的风险。缺乏统一的安全规划和安全职责部门；

 ·技术方面的风险。安全保护措施不充分。尽管已经采用了一些安全技术和安全产品，但是目前安全技

术的采用是不足的，存在大量这样、那样的风险和漏洞；

 ·管理方面的风险。安全管理有待提高，安全意识培训、安全策略和业务连续性计划都需要完善和加

强；

具体风险分析如下：

 ·缺乏对内部用户的行为控制和行为监管，表现在对内部人员的过分信任，没有可靠的管理手段往往是

出现内部高科技犯罪的开始。

 ·虽然制定了一系列信息安全规定，但是没有一个科学的评估方法和管理手段，无法对系统的安全状况

进行量化的分析和科学的管理，结果往往是事与愿违。

 ·缺乏专业的安全组织结构和明确的管理流程（如应急响应流程）。

 ·业务系统操作人员安全管理薄弱，口令系统混乱，安全性差。

 ·部分同城清算、联行系统保护脆弱，可能被攻破和渗透。

 ·开放的TCP/IP协议的的先天设计缺陷，易于遭受IP欺骗攻击和各种拒绝服务攻击。

 ·操作系统和应用软件系统存在大量安全漏洞。

 ·蠕虫、病毒、垃圾邮件、间谍软件带来的数据破坏和泄露风险。

 ·大量的、分散的安全资源的整合和集中管理问题，以及海量安全事件和告警需要

的大量人力资源处理

带来的管理和成本风险。

2、2金融行业需求分析

综合分析金融行业所面临的各种安全风险，安氏领信建议金融行业建设一个包括安全组织体系、安全管理体系和安全技术体系的全面安全保障体系，包含贯穿始终的安全策略、风险评估、安全管理，以及终端用户行为监管；而在技术层面上需要考虑综合采取多种保护措施，保护网络和安全域边界、网络及基础设施、终端计算环境的安全、以及进行安全运行中心等支撑性安全设施的建设。

总体来讲，金融行业的信息安全需求包括如下几个方面：

 ·策略安全，包括信息安全的范围、等级、政策、标准、规章制度、流程等等。

 ·系统安全，包括自动补丁管理、系统弱点评估、系统加固、系统入侵检测和响应、主机访问控制、网

络准入控制和强制认证等等。

 ·网络安全，包括网络漏洞扫描、网络入侵检测和响应、路由器访问控制列表(ACL)、AAAA、防火墙、

VLAN、QoS等等。

 ·数据和内容安全，包括网络和网关防病毒、通信加密、内容过滤、防垃圾邮件等等。

 ·安全运行中心，覆盖资产管理、威胁管理、风险管理、问题管理、知识库管理等等方面，起到信息安

全支撑性基础设施的作用。

三、安氏领信为银行构筑全面安全保障体系

建设目标：满足金融行业的机密性、完整性、可用性、可控性、不可否认性等安全需求；建设原则：扩展性、前瞻性、先进性、整体性、标准性、主动性、投资保护、法律法规符合性原则；

建设内容：

1、安全管理和组织体系

2、安全技术体系

3、终端用户行为监管体系

4、安全运行中心建设

3、1安全管理和组织体系建设

安全管理体系通过建立健全安全管理组织机构和人员配备，提高安全管理人员的安全意识和技术水平，完善各种安全策略和安全机制，利用多种安全技术实施和网络安全管理实现对网络的多层保护，减小网络受到攻击的可能性，防范网络安全事件的发生，提高对安全事件的反应处理能力，并在网络安全事件发生时尽量减少事件造成的损失。

安全组织体系主要包括组织的建立、组织和人员的管理制度、日常管理的运作流程、以及人员的筛选、教育培训等等。

3、2安全技术体系建设

安全技术体系的核心是构建一个主动防御、深层防御、立体防御的安全技术保障平台。通过综合采用世界领先的技术和产品，加强对风险的控制和管理，将保护对象分成网络基础设施、网络边界、终端计算环境、以及支撑性基础设施等多个防御领域，在这些领域上综合实现预警、保护、检测、响应、恢复等多个安全环节，从而为网络及信息系统提供全方位、多层次的防护。即使在攻击者成功地破坏了某个保护机制的情况下，其它保护机制依然能够提供附加的保护，达到进不来、看不懂、改不了、拿不走、打不垮的效果。