银行网络信息安全保密的风险制约分析
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实 信息安全
务 栏目编辑:梁春丽 E- mail:lianglizi505@163.com
银行网络信息安全保密的风险制约分析
■ 中国人民银行烟台市中心支行 王 斌
随着综合国力的不断增强和网络信息技术的迅速 发展,我国已经成为境内外窃密活动的重点目标。国家 就信息安全保密方面的高风险问题,相继通报了多起 党政机关泄密、窃密案件,安全保密形势可谓十分严 峻。前段时间发生的“力拓间谍案”引发了对我国《保密 法》的修订关注。如何加强银行网络信息制度建设,防 范和化解潜在的泄密风险,是新形势下银行网络信息 安全保密工作的重点。
71 2010 年第4 期
FINANCIAL COMPUTER OF HUANAN
3. 以防护、检测、响应、恢复为核心,对信息安全保 密的相关组织和个人进行工作考评,并通过标准化、流 程化的方式加以持续改进,使银行信息安全保密能力 随着信息化建设的进展不断提高。
(四)构建规范的银行信息安全保密的服务支持体系 信息安全保密的服务支持体系,主要是由技术检 查服务、调查取证服务、风险管理服务、系统测评服务、 应急响应服务和咨询培训服务组成的。各银行可以用 安全评估服务了解自身的安全性,通过引入银行应急 响应服务能及时有效地处理重大失泄密事件,采用对 紧急事件、安全漏洞和最新补丁、最新防护技术及措 施、国家的安全保密政策法规和安全标准等安全通告 服务来对窃密威胁提前预警,做到“事前有准备,事后 有措施,事中有监察”。同时还要根据各银行信息系统 和网络的安全保密需求,在制定其安全保密服务策略 时,从物理安全保密策略、系统或网络的访问控制策 略、信息的加密策略、系统及网络的安全管理策略、人 员安全管理策略、内容监管策略等方面入手,确定详细 的操作或运行规程、技术标准和安全解决方案,从源头 上杜绝各类失泄密事件的发生。
一、银行网络信息安全保密面临的严峻形势 目前,各家银行业务都已进入网络信息时代,网络 信息系统具有提高工作效率、降低银行管理成本、共享 业务资源等多项优势,但其潜在的风险性和不安全性 也越来越突出。 (一)存在诸多泄密隐患,导致网络窃密活动猖獗 信息技术的发展可谓日新月异,网络系统的开放 性、计算机病毒、电磁辐射、数据的明文传输、进口的关 键设备及技术、开放远程访问等种种不安全隐患,形成 了一个多层次、全方位的立体窃密和侦测信息网络;再 加上对银行涉密网络采取有效的防范措施不足,致使 境内外敌对势力利用高科技化的网络分析工具,可以 实时窃取到各银行网络上的信息,甚至可以获得系统 网络设备的超级用户口令,从而轻易地进入网络信息 系统,进行破坏与窃密活动。 (二)安全保密策略和机制存在管理风险 现有的安全管理重在保密技术管理,而极大地忽 视了保密风险管理,同时在制度管理和网络管理等方 面也存在很多问题,要么是管理制度不健全,落实不到 位;要么是一些重要的网络监管不力,这都给失窃密和 遭受网络攻击带来了人为的隐患。 1. 针对网络信息系统的安全保密,国家和各银行 都颁布和制定了相应的法规和办法。由于某些银行保 密意识不强,网络安全保密管理机构与策略形同虚设, 重要涉密部门在涉密信息系统的管理与技术防范上存 在明显的隐患和漏洞,使银行行业秘密、资产安全受到 严重威胁;规章制度执行不力,增加了泄密的风险;信
2. 应在健全组织体系、管理体系、服务体系和制度 (技术标准及规范)体系的基础上,规范数据备份、密钥 管理、访问授权、风险控制、身份认证、应急响应、系统 及应用安全等管理方案,努力提高系统漏洞扫描、信息 内容监控、安全风险评估、入侵事件检测、病毒预防治 理、系统安全审计、网络边界防护等方面的技术水平, 最大限度地保证银行资产的安全性。
3. 银行涉密网和非涉密网混用,在管理与技术层 面上没能实施必要的物理隔离措施。有些小的银行机 构涉密计算机违规上互联网和在互联网的计算机上处 理涉密信息的现象较为严重。
4. 疏于对涉密便携设备、移动存储介质等的管理。 未按照保密规定的要求作出密级标志,并集中统一管 理;有的涉密笔记本电脑Байду номын сангаас涉密介质还违规使用互联 网,存在着严重的泄密隐患。
“三分靠技术,七分靠管理”,要从技术管理、制度 管理、资产管理和风险管理等方面,加强安全保密的管 理力度,充分认识到做好保密工作的复杂性、长期性和 艰巨性,始终做到警钟长鸣,时刻绷紧安全保密这根 弦,使管理成为网络信息安全保密工作的重中之重,构 建网络信息安全保密防范体系。
1. 将技术、管理与标准规范结合起来,以安全保密 策略和服务为支持,既是信息安全保密工作效益与效率 的体现,又能反映出当前信息安全保密工作是否到位。
息情报往往获取在偶然之中,而泄密也在无意之间。 2. 银行业务涉密信息上网及人员管理把关不严,
违反保密规章制度。部分领导和涉密人员网络安全保 密意识不强,没有把网络安全保密作为自己工作的一 部分,缺乏网络信息安全保密基本常识;经常性教育管 理不到位,有章不循,没有严格审查涉密信息上网等。 这些现象都可能带来泄密隐患。
三、新形势下银行网络信息系统安全保密工作 的几点建议
(一)要建立、健全银行安全保密制度 从补齐、补短入手,明确银行领导及涉密人员的安 全保密责任;着力解决对保密政策法规不了解、安全保 密意识淡薄,防范措施不到位、失泄密等现象;严格落 实经常性教育制度,要做到内容全面具体、实在管用, 使涉密人员真正掌握保密法规和防范技能,不断强化 保密意识;严格考核制度,确保教育内容入脑入心。 (二)增加银行信息网络的高科技投入,配备保密 技术装备,着力解决网络系统本身的安全问题 根据网络信息系统窃密和泄密的特点,加大保密 工作的经费投入,首先要加大科技投入,添置先进的网
5. 银行设备更换和维修管理不到位。对更换下来 的涉密计算机只作文件删除或对硬盘格式化,没有进 行技术处理;对设备中存有的涉密信息不经处理或不 按要求监督维修,容易造成泄密。
(三)安全保密的标准陈旧、体系不规范 目前使用信息安全保密的规范标准,主要是由许 多年前国家和各银行自定的相关安全技术标准构成, 这些技术标准和规范涉及到物理场所、电磁环境、通 信、计算机、网络、数据等不同的对象,涵盖信息获取、 存储、处理、传输、利用和销毁等整个网络生命周期。既 有对信息载体的相关安全保密防护规定,也有对人员 的管理和操作要求。这些陈旧的标准随着科技的进步 产生了许多不同的新标准,造成了对各银行的网络安 全保密的建设和检测标准不尽相同。同时,造成网络安 全保密管理内容丰富,形式多样,但防范功能一般,技 术含量不高,投资较大。 (四)安全保密的服务支持体系不健全 在银行信息系统和网络规划与建设的初期,有些 银行没有进行专业的安全风险评估与分析,仅仅是通 过某个网络公司及本银行内部的安全设计规范,只做 到防火、防水、防震、防爆炸和防止外来人员进行物理
络硬件,高品质的消磁仪、粉碎机等设备,做到设备常 更新、软件常升级、人员常培训,这是保密工作顺利开 展的基础;其次,应提升保密人员的待遇,建立奖惩机 制,激发保密人员的工作热情,增强保密人员的工作主 动性和积极性,使信息安全保密工作从被动接受变成 自觉履行,改进和提高现有的安全保密措施的效益。
(三) 根据网络信息系统安全保密最新的标准,继 续加强技术、管理、保障三维一体的防范体系
其次,在调查取证、应急响应等方面,对突发性的 泄密事件虽然能够快速反应,但信息系统及网络管理 人员的法规意识、安全技能和防范意识不足,缺乏必要 的专业应对措施与处理能力。
二、网络信息系统窃密和泄密的特点及风险分析 网络信息系统窃密和泄密具有高科技化、隐蔽性 好、危害性大的特点。 (一)高科技化 网络信息系统中的硬件设备和软件通常采用了大 量高精尖的技术成果,没有很高的技术水平和专业知 识是无法取得网络信息系统内的保密资料的。因此,信 息系统的窃密和泄密人员,通常具有较强的计算机水 平和专业知识,其中技术高超的黑客,能轻而易举地获 取信息系统的数据或破坏系统。 (二)隐蔽性好 网络信息系统中的各种信息资料的表现形式都是 电磁信息,而电磁信息的窃取和泄漏对原始信息资料 不会产生任何影响,只是对原始信息资料的复制。因 此,窃密和泄密活动一般不会留下任何痕迹,发生泄密 事件后,找到幕后元凶并不是一件容易的事情。 (三)危害性大 网络信息系统中存储有大量重要信息和数据资 料,一旦泄密,可通过网络迅速传播,其速度相比病毒 传播有过之而无不及。
70 2010 年第4 期 FINANCIAL COMPUTER OF HUANAN
信息安全 实
务
栏目编辑:梁春丽 E- mail:lianglizi505@163.com
上的盗取和破坏等简单的安全措施;而对于在信息系 统或网络的运营管理过程中出现的保密风险,采取的 控制风险措施往往不规范;没能有效地提高信息安全 保密的效益和针对性,把系统或网络的安全可观性、可 控性置之度外。
务 栏目编辑:梁春丽 E- mail:lianglizi505@163.com
银行网络信息安全保密的风险制约分析
■ 中国人民银行烟台市中心支行 王 斌
随着综合国力的不断增强和网络信息技术的迅速 发展,我国已经成为境内外窃密活动的重点目标。国家 就信息安全保密方面的高风险问题,相继通报了多起 党政机关泄密、窃密案件,安全保密形势可谓十分严 峻。前段时间发生的“力拓间谍案”引发了对我国《保密 法》的修订关注。如何加强银行网络信息制度建设,防 范和化解潜在的泄密风险,是新形势下银行网络信息 安全保密工作的重点。
71 2010 年第4 期
FINANCIAL COMPUTER OF HUANAN
3. 以防护、检测、响应、恢复为核心,对信息安全保 密的相关组织和个人进行工作考评,并通过标准化、流 程化的方式加以持续改进,使银行信息安全保密能力 随着信息化建设的进展不断提高。
(四)构建规范的银行信息安全保密的服务支持体系 信息安全保密的服务支持体系,主要是由技术检 查服务、调查取证服务、风险管理服务、系统测评服务、 应急响应服务和咨询培训服务组成的。各银行可以用 安全评估服务了解自身的安全性,通过引入银行应急 响应服务能及时有效地处理重大失泄密事件,采用对 紧急事件、安全漏洞和最新补丁、最新防护技术及措 施、国家的安全保密政策法规和安全标准等安全通告 服务来对窃密威胁提前预警,做到“事前有准备,事后 有措施,事中有监察”。同时还要根据各银行信息系统 和网络的安全保密需求,在制定其安全保密服务策略 时,从物理安全保密策略、系统或网络的访问控制策 略、信息的加密策略、系统及网络的安全管理策略、人 员安全管理策略、内容监管策略等方面入手,确定详细 的操作或运行规程、技术标准和安全解决方案,从源头 上杜绝各类失泄密事件的发生。
一、银行网络信息安全保密面临的严峻形势 目前,各家银行业务都已进入网络信息时代,网络 信息系统具有提高工作效率、降低银行管理成本、共享 业务资源等多项优势,但其潜在的风险性和不安全性 也越来越突出。 (一)存在诸多泄密隐患,导致网络窃密活动猖獗 信息技术的发展可谓日新月异,网络系统的开放 性、计算机病毒、电磁辐射、数据的明文传输、进口的关 键设备及技术、开放远程访问等种种不安全隐患,形成 了一个多层次、全方位的立体窃密和侦测信息网络;再 加上对银行涉密网络采取有效的防范措施不足,致使 境内外敌对势力利用高科技化的网络分析工具,可以 实时窃取到各银行网络上的信息,甚至可以获得系统 网络设备的超级用户口令,从而轻易地进入网络信息 系统,进行破坏与窃密活动。 (二)安全保密策略和机制存在管理风险 现有的安全管理重在保密技术管理,而极大地忽 视了保密风险管理,同时在制度管理和网络管理等方 面也存在很多问题,要么是管理制度不健全,落实不到 位;要么是一些重要的网络监管不力,这都给失窃密和 遭受网络攻击带来了人为的隐患。 1. 针对网络信息系统的安全保密,国家和各银行 都颁布和制定了相应的法规和办法。由于某些银行保 密意识不强,网络安全保密管理机构与策略形同虚设, 重要涉密部门在涉密信息系统的管理与技术防范上存 在明显的隐患和漏洞,使银行行业秘密、资产安全受到 严重威胁;规章制度执行不力,增加了泄密的风险;信
2. 应在健全组织体系、管理体系、服务体系和制度 (技术标准及规范)体系的基础上,规范数据备份、密钥 管理、访问授权、风险控制、身份认证、应急响应、系统 及应用安全等管理方案,努力提高系统漏洞扫描、信息 内容监控、安全风险评估、入侵事件检测、病毒预防治 理、系统安全审计、网络边界防护等方面的技术水平, 最大限度地保证银行资产的安全性。
3. 银行涉密网和非涉密网混用,在管理与技术层 面上没能实施必要的物理隔离措施。有些小的银行机 构涉密计算机违规上互联网和在互联网的计算机上处 理涉密信息的现象较为严重。
4. 疏于对涉密便携设备、移动存储介质等的管理。 未按照保密规定的要求作出密级标志,并集中统一管 理;有的涉密笔记本电脑Байду номын сангаас涉密介质还违规使用互联 网,存在着严重的泄密隐患。
“三分靠技术,七分靠管理”,要从技术管理、制度 管理、资产管理和风险管理等方面,加强安全保密的管 理力度,充分认识到做好保密工作的复杂性、长期性和 艰巨性,始终做到警钟长鸣,时刻绷紧安全保密这根 弦,使管理成为网络信息安全保密工作的重中之重,构 建网络信息安全保密防范体系。
1. 将技术、管理与标准规范结合起来,以安全保密 策略和服务为支持,既是信息安全保密工作效益与效率 的体现,又能反映出当前信息安全保密工作是否到位。
息情报往往获取在偶然之中,而泄密也在无意之间。 2. 银行业务涉密信息上网及人员管理把关不严,
违反保密规章制度。部分领导和涉密人员网络安全保 密意识不强,没有把网络安全保密作为自己工作的一 部分,缺乏网络信息安全保密基本常识;经常性教育管 理不到位,有章不循,没有严格审查涉密信息上网等。 这些现象都可能带来泄密隐患。
三、新形势下银行网络信息系统安全保密工作 的几点建议
(一)要建立、健全银行安全保密制度 从补齐、补短入手,明确银行领导及涉密人员的安 全保密责任;着力解决对保密政策法规不了解、安全保 密意识淡薄,防范措施不到位、失泄密等现象;严格落 实经常性教育制度,要做到内容全面具体、实在管用, 使涉密人员真正掌握保密法规和防范技能,不断强化 保密意识;严格考核制度,确保教育内容入脑入心。 (二)增加银行信息网络的高科技投入,配备保密 技术装备,着力解决网络系统本身的安全问题 根据网络信息系统窃密和泄密的特点,加大保密 工作的经费投入,首先要加大科技投入,添置先进的网
5. 银行设备更换和维修管理不到位。对更换下来 的涉密计算机只作文件删除或对硬盘格式化,没有进 行技术处理;对设备中存有的涉密信息不经处理或不 按要求监督维修,容易造成泄密。
(三)安全保密的标准陈旧、体系不规范 目前使用信息安全保密的规范标准,主要是由许 多年前国家和各银行自定的相关安全技术标准构成, 这些技术标准和规范涉及到物理场所、电磁环境、通 信、计算机、网络、数据等不同的对象,涵盖信息获取、 存储、处理、传输、利用和销毁等整个网络生命周期。既 有对信息载体的相关安全保密防护规定,也有对人员 的管理和操作要求。这些陈旧的标准随着科技的进步 产生了许多不同的新标准,造成了对各银行的网络安 全保密的建设和检测标准不尽相同。同时,造成网络安 全保密管理内容丰富,形式多样,但防范功能一般,技 术含量不高,投资较大。 (四)安全保密的服务支持体系不健全 在银行信息系统和网络规划与建设的初期,有些 银行没有进行专业的安全风险评估与分析,仅仅是通 过某个网络公司及本银行内部的安全设计规范,只做 到防火、防水、防震、防爆炸和防止外来人员进行物理
络硬件,高品质的消磁仪、粉碎机等设备,做到设备常 更新、软件常升级、人员常培训,这是保密工作顺利开 展的基础;其次,应提升保密人员的待遇,建立奖惩机 制,激发保密人员的工作热情,增强保密人员的工作主 动性和积极性,使信息安全保密工作从被动接受变成 自觉履行,改进和提高现有的安全保密措施的效益。
(三) 根据网络信息系统安全保密最新的标准,继 续加强技术、管理、保障三维一体的防范体系
其次,在调查取证、应急响应等方面,对突发性的 泄密事件虽然能够快速反应,但信息系统及网络管理 人员的法规意识、安全技能和防范意识不足,缺乏必要 的专业应对措施与处理能力。
二、网络信息系统窃密和泄密的特点及风险分析 网络信息系统窃密和泄密具有高科技化、隐蔽性 好、危害性大的特点。 (一)高科技化 网络信息系统中的硬件设备和软件通常采用了大 量高精尖的技术成果,没有很高的技术水平和专业知 识是无法取得网络信息系统内的保密资料的。因此,信 息系统的窃密和泄密人员,通常具有较强的计算机水 平和专业知识,其中技术高超的黑客,能轻而易举地获 取信息系统的数据或破坏系统。 (二)隐蔽性好 网络信息系统中的各种信息资料的表现形式都是 电磁信息,而电磁信息的窃取和泄漏对原始信息资料 不会产生任何影响,只是对原始信息资料的复制。因 此,窃密和泄密活动一般不会留下任何痕迹,发生泄密 事件后,找到幕后元凶并不是一件容易的事情。 (三)危害性大 网络信息系统中存储有大量重要信息和数据资 料,一旦泄密,可通过网络迅速传播,其速度相比病毒 传播有过之而无不及。
70 2010 年第4 期 FINANCIAL COMPUTER OF HUANAN
信息安全 实
务
栏目编辑:梁春丽 E- mail:lianglizi505@163.com
上的盗取和破坏等简单的安全措施;而对于在信息系 统或网络的运营管理过程中出现的保密风险,采取的 控制风险措施往往不规范;没能有效地提高信息安全 保密的效益和针对性,把系统或网络的安全可观性、可 控性置之度外。