构建农发行纵深防御的信息安全体系
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
度整合, 促进技术与业务的良性互动, 实现银行业务和 信 息技术 的高度融合, 推进管理体制和机制的创新, 提 供全面的金融服务。
和三层 的攻击威胁, 针对计算机设备和线路的D o 攻 DS
目前, 农发行已上线运行综合业务系统 、 信贷管理
系统等多类大集中系统, 它们以覆盖全系统的计算机网
目
撕… 嗽 懈
构建农发行纵深防御的信息安全体系
■ 中国农 业发 展银 行总行 李 小庆
为适应可持续发展的需要, 中国农业发展银行 ( 以
下简 称农 发 行 ) 以打 造 现代 银 行 为 目 , , 标 加强 科 技 创
虑, 农发 行 现有 的信息 安全 系统 都面 临多方 面的挑 战 ,
( ) 二 缺少 访 问控 制和 信息安 全准 入 措施
多, 对信息安全管理 的要求越来越高 , 因此, 农发行建
立全方面的纵深防御安全体系刻不容缓。
目前 , 农发行缺乏相应的信息安全访问控制和准
一
.
信息安全面临的风险与挑战
人机制, 对于内部威胁来说, 完全是一个开放的信 息安
全, 迫切需要实施访问控制和信 息安全准入。 ( ) 三 无整体的端点安全防护措施
标 相结合, 避免重复投入、 重复建 设。 农发行在设计 纵 深 防御信息安全体系时, 应遵循 以下设计方法。
( ) 体 性 设 计 一 整
农发 行纵深 防御信息安全方案将运用系统工程的 观 点、 方法 , 农发行信息安全整体角度出发, 从 分析农 发 行信息安全的安全问题, 出一个具 有相当高度 、 提 可 扩展性的安全 解决方案 。 农发行信息安全 的实 际情 从 况看, 单纯依靠一种安全措施 , 并不能解决全部的安全 问题 。 而且一个较 好 的安全 体系往 往是多种安全技 术 综合应用的结果 。 纵深防御信息安全方案, 将从系统综
具 和建 立 及 时 响应 的管 理 机 制 。
二、 信息安全纵深防御体系构 建思路
信息安 全建设是 一个系统工程 , 发行信息安全 农
体 系建设 应按照 “ 统一规 划 、 统筹安排 , 统一标准 、 相 互 配套 ” 的原则进行 , 采用先 进的 “ 纵深 防御 ” 建设 思
想充分考虑整体和局部的利益 , 坚持近期 目 标与远期 目
击与更改配置等。 总结起来 , 农发行信 息 安全面临的风
险与挑战主要可分为以下几方面。
( ) 一 缺少 安 全 区域 的划分 和隔 离保 护 目 , 发 行 还 没 有对 信 息安 全 进 行 安 全 区域 的 前 农
络为支撑和载体, 系统前台和后 台依靠网络进行数据 传递和信息交流, 信息安全一旦出现问题 , 将会导致系
从 目前农 发行 的应用情况和信息安全结 构来看, 存在
的安全威 胁主要有: 未经授权而非法访问资源和未经 授权而非法使用信息安全资源, 病毒特别是针对信息
安 全进 行攻 击 的 蠕虫 病 毒 的威 胁 , 客 对 于 网络 二 层 黑பைடு நூலகம்
新, 借助业务流程重组, 进行技术资源 和业务资源的深
合 和纵 深 防御 的整 体角 度去 看 待 和 分 析 各 种 安 全 措 施
充分考虑今后业务和信息安全 发展的需求 , 避免 方案 单纯 因为对系统安 全要求的满足而成 为今后业务发展 的障碍 。 同时, 信息安 全系统 的安全技 术 和安 全管 理 密不可分, 安全方 案的设计必 须有与之 相适应 的管理 制度同步制定 , 并从管理 的角度评 估安 全设计方 案的 可操作性 。
6 ; 2 I
2 M叽职oH №N
软 栏- I 服 务 目 目梁一 件 ■ 编春m 辑丽a l : l
… … 一
E …
.an l i 0 1 3 c m : g i 5 5@ 3.o 6 com l i z 6
.
( ) 五 缺少安全监控机制和预警工具及机制 当前农发行 还没有对信息运行设备和信息安全事 件建立完善的安全监控 系统, 对于信 息安全隐患, 攻击 行为和由攻击引起的故障缺乏第一手 的资料和第一 时 间的响应。 因此 , 需要部署 一套完 整的信息安全监控 工
策略。
( 缺乏 配置 管 理工 具及管 理 制度 四)
农发行信息系统设备的配置文件 、 系统文件的备 份 和备 份介质的管理没有 明确的制度保障 , 配置 和系
统软件的备份、 版本维护缺少必要的保障措施。 设备配
置的备份主要依靠管理员手工方式来完成 , 但是对 于 备份及时更新以及安全保管存放, 缺少强制性措施。 当 信息安系统设备 因为信息安全 因素导致配置丢失或被 篡改 、 硬件损坏 、 系统 软件被破坏的情况 下, 信息系统 管理人员不能够迅速地恢复信 息系统 。
统受到攻击, 业务处理缓慢甚至中断, 由此可见, 信息 安全 风险是潜在最大的信息科 技风险。 随着业务的不 断发展, 信息系统规模不断扩大, 信息安全威胁不断增
划分, 信息安全结构扁平化, 无法进行相应的内部威胁 防御措 施的部署。 因此 , 需要进行信息安全域的划分, 这是进行信息安全设计 的重要前提和基本准则。
农 发 行 已在 大部 分 桌面 系统 上 , 署 了Sm ne或 部 y at c
当前 无 论 从 满足 业 务需 求 考 虑还 是 从安 全 方 面考
其他 厂家的防病 毒系统 , 但缺乏专门的病毒 管理 、 监
控、 报警和病 毒库更新分发的控制台以及终端平台加固
手段 。 从整体上来说 , 还缺乏完整的终端和相应的管理
( ) 三 多重保 护 设 计
的使用 , 注重一致性设 计。由于信息安全问题 应与整 并
个信息安全 的工作周期 ( 或生命 周期 ) 同时存在 , 制定 的安全体系结构必须与信息安全 的安全需 求相一致 。
信息安 全设 计 方 案应该 尽量 采用最 新 的安全 技 术, 实现安全管理 的自 动化 , 以减轻安全管理 的负担, 减 小 因为 管 理 上 的疏 漏 而造 成 系统 的安 全威 胁 。 同 时, 我们应 该清醒 地认识 到 , 何安 全保 护措 施都 不 任
和三层 的攻击威胁, 针对计算机设备和线路的D o 攻 DS
目前, 农发行已上线运行综合业务系统 、 信贷管理
系统等多类大集中系统, 它们以覆盖全系统的计算机网
目
撕… 嗽 懈
构建农发行纵深防御的信息安全体系
■ 中国农 业发 展银 行总行 李 小庆
为适应可持续发展的需要, 中国农业发展银行 ( 以
下简 称农 发 行 ) 以打 造 现代 银 行 为 目 , , 标 加强 科 技 创
虑, 农发 行 现有 的信息 安全 系统 都面 临多方 面的挑 战 ,
( ) 二 缺少 访 问控 制和 信息安 全准 入 措施
多, 对信息安全管理 的要求越来越高 , 因此, 农发行建
立全方面的纵深防御安全体系刻不容缓。
目前 , 农发行缺乏相应的信息安全访问控制和准
一
.
信息安全面临的风险与挑战
人机制, 对于内部威胁来说, 完全是一个开放的信 息安
全, 迫切需要实施访问控制和信 息安全准入。 ( ) 三 无整体的端点安全防护措施
标 相结合, 避免重复投入、 重复建 设。 农发行在设计 纵 深 防御信息安全体系时, 应遵循 以下设计方法。
( ) 体 性 设 计 一 整
农发 行纵深 防御信息安全方案将运用系统工程的 观 点、 方法 , 农发行信息安全整体角度出发, 从 分析农 发 行信息安全的安全问题, 出一个具 有相当高度 、 提 可 扩展性的安全 解决方案 。 农发行信息安全 的实 际情 从 况看, 单纯依靠一种安全措施 , 并不能解决全部的安全 问题 。 而且一个较 好 的安全 体系往 往是多种安全技 术 综合应用的结果 。 纵深防御信息安全方案, 将从系统综
具 和建 立 及 时 响应 的管 理 机 制 。
二、 信息安全纵深防御体系构 建思路
信息安 全建设是 一个系统工程 , 发行信息安全 农
体 系建设 应按照 “ 统一规 划 、 统筹安排 , 统一标准 、 相 互 配套 ” 的原则进行 , 采用先 进的 “ 纵深 防御 ” 建设 思
想充分考虑整体和局部的利益 , 坚持近期 目 标与远期 目
击与更改配置等。 总结起来 , 农发行信 息 安全面临的风
险与挑战主要可分为以下几方面。
( ) 一 缺少 安 全 区域 的划分 和隔 离保 护 目 , 发 行 还 没 有对 信 息安 全 进 行 安 全 区域 的 前 农
络为支撑和载体, 系统前台和后 台依靠网络进行数据 传递和信息交流, 信息安全一旦出现问题 , 将会导致系
从 目前农 发行 的应用情况和信息安全结 构来看, 存在
的安全威 胁主要有: 未经授权而非法访问资源和未经 授权而非法使用信息安全资源, 病毒特别是针对信息
安 全进 行攻 击 的 蠕虫 病 毒 的威 胁 , 客 对 于 网络 二 层 黑பைடு நூலகம்
新, 借助业务流程重组, 进行技术资源 和业务资源的深
合 和纵 深 防御 的整 体角 度去 看 待 和 分 析 各 种 安 全 措 施
充分考虑今后业务和信息安全 发展的需求 , 避免 方案 单纯 因为对系统安 全要求的满足而成 为今后业务发展 的障碍 。 同时, 信息安 全系统 的安全技 术 和安 全管 理 密不可分, 安全方 案的设计必 须有与之 相适应 的管理 制度同步制定 , 并从管理 的角度评 估安 全设计方 案的 可操作性 。
6 ; 2 I
2 M叽职oH №N
软 栏- I 服 务 目 目梁一 件 ■ 编春m 辑丽a l : l
… … 一
E …
.an l i 0 1 3 c m : g i 5 5@ 3.o 6 com l i z 6
.
( ) 五 缺少安全监控机制和预警工具及机制 当前农发行 还没有对信息运行设备和信息安全事 件建立完善的安全监控 系统, 对于信 息安全隐患, 攻击 行为和由攻击引起的故障缺乏第一手 的资料和第一 时 间的响应。 因此 , 需要部署 一套完 整的信息安全监控 工
策略。
( 缺乏 配置 管 理工 具及管 理 制度 四)
农发行信息系统设备的配置文件 、 系统文件的备 份 和备 份介质的管理没有 明确的制度保障 , 配置 和系
统软件的备份、 版本维护缺少必要的保障措施。 设备配
置的备份主要依靠管理员手工方式来完成 , 但是对 于 备份及时更新以及安全保管存放, 缺少强制性措施。 当 信息安系统设备 因为信息安全 因素导致配置丢失或被 篡改 、 硬件损坏 、 系统 软件被破坏的情况 下, 信息系统 管理人员不能够迅速地恢复信 息系统 。
统受到攻击, 业务处理缓慢甚至中断, 由此可见, 信息 安全 风险是潜在最大的信息科 技风险。 随着业务的不 断发展, 信息系统规模不断扩大, 信息安全威胁不断增
划分, 信息安全结构扁平化, 无法进行相应的内部威胁 防御措 施的部署。 因此 , 需要进行信息安全域的划分, 这是进行信息安全设计 的重要前提和基本准则。
农 发 行 已在 大部 分 桌面 系统 上 , 署 了Sm ne或 部 y at c
当前 无 论 从 满足 业 务需 求 考 虑还 是 从安 全 方 面考
其他 厂家的防病 毒系统 , 但缺乏专门的病毒 管理 、 监
控、 报警和病 毒库更新分发的控制台以及终端平台加固
手段 。 从整体上来说 , 还缺乏完整的终端和相应的管理
( ) 三 多重保 护 设 计
的使用 , 注重一致性设 计。由于信息安全问题 应与整 并
个信息安全 的工作周期 ( 或生命 周期 ) 同时存在 , 制定 的安全体系结构必须与信息安全 的安全需 求相一致 。
信息安 全设 计 方 案应该 尽量 采用最 新 的安全 技 术, 实现安全管理 的自 动化 , 以减轻安全管理 的负担, 减 小 因为 管 理 上 的疏 漏 而造 成 系统 的安 全威 胁 。 同 时, 我们应 该清醒 地认识 到 , 何安 全保 护措 施都 不 任