中国建设银行管理信息安全分析

漳州师范学院

中国建设银行

信息系统安全管理分析2012—2013学年第一学期

课程名称：信息管理系统

任课教师：周斌

学号：101206133

姓名：苏维景

专业：市场营销专业

班级：10营销（1）班

提交日期：2013年 1月 10 日

目录

前言 (3)

一、建设银行信息系统现状 (3)

二、建设银行系统安全分析 (5)

（一）目前建行计算机信息系统的安全主要面临以下威胁： (5)

（二）银行信息的脆弱和威胁源于以下几个方面的原因： (6)

三、风险解决和防范 (7)

（一）网络安全的多层保护 (7)

（二）内外子网的安全防护 (8)

（三）信息安全技术防范策略 (8)

结束语 (11)

前言

随着计算机网络技术的飞速发展，信息技术正在以惊人的速度渗透到金融行业的各个领域。但信息技术同时又是一把“双刃剑”，它既为银行经营管理带来巨大发展机遇的同时，也带来了严峻的挑战，网络信息的安全性变得日益重要起来。特别是如同瘟疫般的计算机病毒及危害公共安全的恶意代码的广泛传播，损失惊人的计算机犯罪案件迅速增长，迫使我们必须冷静地研究和解决银行信息系统的安全问题。本学期通过对信息管理系统的理论的学习，在金融行业中选取“中国建设银行”为例对其信息系统的现状、面临的安全威胁以及风险解决防范进行简要的分析。

一、建设银行信息系统现状

中国建设银行是以中长期信贷业务为特色的国有商业银行，主要承担集中办理国家基本建设预算拨款和企业自筹资金拨付、监督资金合理使用、对施工企业发放短期贷款、办理基本业务结算业务职责，以及信贷资金贷款、居民储蓄存款、外汇业务、信用卡业务，以及政策性房改金融和个人住房抵押贷款等多种业务，曾《银行家》杂志全球1000家大银行排名中位居第65位。面对风起云涌信息革命浪潮和日趋激烈市场竞争，中国建设银行采用世界主流企业级通讯、协同计算和

Internet/Intranet平台Lotus Domino/Notes，成功构建起覆盖全国30多个省和10多个计划单列市共400多个城市管理信息服务网--总行信息服务站，全面实现了从总行到市级分行以及部分县级分行信息共享、实时发布和查询检索，有效提高了全行工作效率。

“十一五”期间建行信息安全建设成绩

2005年，建行实现了全行数据大集中，有力地支持建行重组上市、促进业务快速增长和业务创新，与此同时，信息系统自身风险和内外部攻击的风险也不断积聚，信息安全已不再是传统的防病毒、防火墙、入侵检测“三大件”，系统化进行信息安全建设已迫在眉睫。为此，“十一五”期间，建行从信息安全组织建设、完善信息安

全技术保障体系、构建开发安全和运维安全管理流程、持续开展信息安全文化建设等方面，全面推进全行信息安全体系建设。

1.建立健全全行信息安全管理组织体系

遵循监管部门信息科技管理要求，结合行内组织职能划分，建行构建了全面的信息安全管理组织，形成了“三个层面，三条防线”安全管理体系。

2.明确信息安全管理目标和策略，完善信息安全制度体系

“方向明晰是成功的基础”，建行十分注重整体信息安全管理策略建设。遵循监管要求，结合自身实际，建行确立了全行信息安全管理目标：一是有效保护信息及信息处理环境，支持业务持续运营；二是提高应对新型信息安全威胁的能力，支持业务创新；三是保护客户信息和资金安全，维护建行声誉；四是提高合规管理能力，满足监管要求。制定了“全面管理、预防为主、分级保护、合规审慎”的信息安全管理原则，确定了信息资产的等级划分策略，明确了对不同等级信息资产的信息安全管理偏好，为信息安全管理指明了方向。

3.以国家等级安全保护要求为指导，构建等级化信息科技安全技术保障体系

全面落实国家信息系统安全等级保护要求，根据国家信息安全等级划分标准，制定信息系统安全技术基线，明确了不同安全等级信息系统安全保护要求，编写了信息系统安全技术选用指南，明确了实现信息系统安全要求的技术实现方法，编写了信息系统安全产品选用指南，明确了信息技术所需安全产品的选用原则，从而建立了从需求、安全设计到安全实现的整体安全建设流程。

4.借鉴国际标准，完善信息

系统安全开发和运维管理流程在信息系统开发管理方面，对项目开发管理的可行性研究、需求分析、立项评审、编码安全、测试、投产上线等全过程进行了规范管理。在项目立项环节，加强方案的架构审核和安全评审，严格执行信息安全技术架构原则；在软件开发环节，大力推广使用代码检测技术和漏洞测试工具，提高软件编码质量，防范软件开发过程中存在的风险和漏洞。在测试管理上，成立了测试团队，负责跨系统的连接测试、集成的功能和性能测试以及上线版本检验测试，并对网上银行等重点系统开展安全渗透性测试。在投产上线前，强化上线集中审核制度，加强上线前的审核和控制，防范上线过程中和上线后出现的系统运行风险。

5.持续开展信息安全管理文化建设，提高员工安全意识和安全技能

人是信息安全管理中最重要的因素，建行始终坚持员工合规管理和安全培训两手抓。加强合规管理，以流程管理引导员工做正确的事，以严格制度促使员工规避风险。加强信息安全知识培训，培训开发人员安全编码能力，提高软件安全质量；编印员工信息安全知识手册、信息安全实务手册及相关课件，开展全行信息安全知识竞赛，传递信息安全基础知识和基础技能，提高员工安全应用信息系统的能力；加强银监会风险提示宣传和内部风险警示教育，以典型事件教育、提升全员信息安全意识，以常规化的培训教育，促进信息安全管理文化的建设，营造“人人参与，全员共进”的良好信息安全管理氛围，保障建行信息系统的安全运营。

二、建设银行系统安全分析

（一）目前建行计算机信息系统的安全主要面临以下威胁：

1、计算机病毒。伴随着计算机技术的推广普及，计算机病毒也在不断地发展演变，其危害越来越大。目前的特点是：流行广泛、种类繁多、潜伏期长、网络传播、破坏力大，对计算机信息系统的安全构成了长期与现实的威胁。它像灰色的幽灵将自己附在其他程序上，在这些程序运行时进人到系统中进行扩散。计算机感染上病毒后，轻则使系统上运行效率下降，重则造成系统死机或毁坏，使部分文件或全部数据丢失，甚至造成计算机主板等硬件的损坏。

2、黑客攻击和间谍软件。这是计算机网络所面临的最大威胁。此类攻击又可以分为2种：一种是网络攻击，以各种方式有选择地破坏对方信息的有效性和完整性；另一类是网络侦察，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得银行重要的机密信息。与计算机病毒不同，间谍软件的主要目的不在于对系统造成破坏，而是窃取系统或是用户信息。它可以监视用户行为，或是发布广告，修改系统设置，威胁用户隐私和计算机安全，并可能不同程度的影响系统性能。

3、垃圾邮件。一些人利用电子邮件地址的“公开性”和系统的“可广播性”进行商业、宗教、政治等活动，把自己的电子邮件强行“推入”别人的电子邮箱，强迫他人接受垃圾邮件。垃圾电子邮件消耗网络资源，充斥电子邮件。据报道仅MSN、Hotmail