银行信息系统安全管理方案

银行信息系统安全管理方案

随着金融界向电子化、数字化、网络化的发展，各金融机构对计算机的重视程度越来越高，全球高新技术尤其是信息技术的发展，进一步提高了银行计算机的应用水平。

1银行业务的发展和信息安全范畴的变迁

随着金融界向电子化、数字化、网络化的发展，各金融机构对计算机的重视程度越来越高，全球高新技术尤其是信息技术的发展，进一步提高了银行计算机的应用水平。人们可以通过国际互联网随时随地进行信息交流、电子商务活动，银行既要保障有强固的银行内部业务网络，又要扩展业务，利用互联网、无线网等尽可能多的通讯途径对全国甚至全球个人实行24小时金融电子服务，许多银行也顺应形势相继推出了网上银行、自助银行、客户服务中心、手机银行等。同时，经营的集约化和数据的集中化趋势一方面顺应了银行业务发展的要求，避免了业务分散导致的业务风险，但是另一方面不可避免的导致了信息安全风险的集中。

随着银行业务系统顺应趋势的开放和互连，其信息安全范畴已经突破了以业务系统物理隔离和协议隔离为基础的传统银行信息安全。我们必须在一个日趋开放的系统平台上重新审视银行的信息安全问题。金融系统（银行、保险、证券）是国家政策要求实施安全等级保护的11大类关键信息基础设施的重点系统。因此，如何建立一个高效的现代信息安全体系，日益成为突出的问题。

2 冠群金辰公司的主动防御安全策略

冠群金辰公司具有多年的信息安全产品研发、工程实施和安全服务经验，在金融行业具有丰富的行业应用经验，并且对国外和国内的金融行业业务应用、信息安全策略、相关法律法规等有深刻的理解，具有独到的见解。

根据对客户需求的详细调查分析，推出了以客户价值为中心，以3S为代表的安全理念，即Security Solution（安全方案），Security Application（安全应用），Security Service（安全服务）。安全方案是基于符合用户需求的自有产品和合作伙伴的优秀产品搭建的整体解决方案；安全应用则是基于用户的实际应用系统和业务系统的安全需要，将我们的安全方案进行定制和二次开发，以满足用户对业务系统和安全系统更高程度的整合需求；安全服务则是参照国际和国内信息安全管理和工程标准，并结合冠群金辰公司的服务经验积累提供的评估、设计、实施、管理、教育等一系列服务项目，以帮助用户在日趋严峻的安全环境中保持业务的顺利运行。

经过对信息安全趋势的分析，我们认为在当前新的安全漏洞发现频率日益加快、安全攻击事件大幅度增加的状况下，局限于传统的被动（Reactive）防范策略是非常危险的。我们按照风险管理的思路，提出了主动（Proactive）防御策略，强调利用先进的技术、产品，配合以有效的管理方法和运维模式，避免入侵行为造成损害，并且有效防御新的安全漏洞造成的风险。脆弱性三维图可以帮助客户识别风险状况，选择采用适当有效的风险控制方法，达到成本和效益之间的平衡。

冠群金辰公司倡导采用以主动防御为基础的纵深防御体系来进行银行安全保障体系的建立。

第一：在整个受保护网络环境中的每一个环节上减少可能会被入侵者利用的突出的脆弱点；

第二：对于关键的资源，使用多重防御策略来管理风险，以便在一层防御不够时，在理想情况下，另一层防御将会削弱对被保护资源的破坏。

3.银行信息安全风险管理思路和技术建议

银行信息安全问题不仅仅是技术上的问题，同样重要的是管理问题。2003年4月底正式挂牌的中国银监会5月份以第二号公告的形式，就巴塞尔新资本协议公开征求中国银行业界意见。新巴塞尔协议的实施势必大大提升银行业的整体业务风险管理水平。同样，在银行的信息安全领域也需要一种成熟的风险管理思路。这种风险管理的思想要贯穿在银行的每一个业务系统的生命周期阶段。对于每一个银行业务系统，比如柜台业务、资金清算等随着时间的发展都可以分为不同的阶段。按照NIST风险管理指南，这些阶段可以划分为系统规划阶段、系统开发阶段、系统实施阶段、系统运行阶段和系统废止阶段。根据银行业务系统各自的特点，其各阶段的具体内容会有所不同，但基本周期保持不变。所以与之相对应就产生了所谓系统安全的生命周期，即是将安全生命周期模型整合到系统生命周期模型上，一方面在系统生命周期各阶段提取安全需求，另一方面将安全生命周期的过程应用在系统生命周期各阶段，即在系统各阶段遵循安全的过程性开

展相应安全工作。不同系统，各阶段的安全需求不同，安全工作展开的顺序也会有所不同。但是，它们的共同点就是需要同时从技术和管理两个方面着手进行风险管理，同时这两个方面不是孤立实施的，而是有机结合的。

冠群金辰公司的银行业信息安全风险管理方案主要分为下面几个部分：

第一，参照相关法律法规、金融行业相关规定、国内外信息安全标准等，为用户建立一套信息安全管理系统和业务持续性策略；

第二，根据业务系统的需要，进行安全技术层面的实施，其中包括对银行现有设备和系统的加固、自有安全产品配置和实施、第三方安全产品配置和实施以及根据实际需求进行的专有安全系统开发和实施等。

第三，提供需求分析、风险评估、安全审计、紧急响应等覆盖全系统生命周期的安全服务。冠群金辰公司拥有一支持有CCIE、CISSP、BS7799 LA、CISP、SCSA等国际国内认证的专业安全服务队伍和专职的银行业务顾问小组，提供基于整体和业务的安全服务。

由于银行系统业务种类众多，信息系统也千差万别，不同银行业务信息系统对机密性、完整性、可用性、可控性与可审查性也具有不同的要求，所以不可能采用一个相同的模式进行所有银行系统安全体系的设计。这里仅仅根据中国人民银行2001年发布的《银行信息系统安全技术规范》和中国人民银行2002年发布的关于加强银行数据集中安全工作的指导意见的260号文件，对于构成银行信息

系统的几个关键层次进行示例分析，主要从技术角度对冠群金辰的解决方案进行简单介绍。

3.1 物理安全

主要是按照国家标准GB50173-93、GB2887-89、GB9316-88等加强场地设防。计算机设备实体安全类中，首先要求场地环境条件的控制，对计算机网络的中心机房及其延伸点，要坚决搞好基本环境建设，要有完整的防雷电设施，且有严格的防电磁干扰设施，机房内要搞好防水防火的预防工作，对主机房电源要有完整的双回路备份机制。尤其是银行主机机房的物理安全保障措施一定要到位。同城异地备份甚至不同城市之间的灾备中心都是需要考虑的。另外，信息处理设备安全、媒体介质存放安全也是需要重点考虑的内容。

3.2 网络互连的隔离和网关病毒过滤

随着银行业务的发展，业务主机不可避免地需要和外部系统互联。比如为了实现跨系统银行间资金汇划的电子联行系统采用的天地对接基本上建立在电信局的公共通信网上，开放的网络环境和网络协议为系统互联提供了方便，但同时也降低了系统的安全性。正在蓬勃兴起的银行中间业务的发展更是促进了不同行业之间的网络连通。有网络的连接是造成安全风险的重要源头，一定需要对不同安全级别的网络之间进行安全隔离。除了物理隔离外，逻辑隔离按照通讯方式有几种级别：双方网络互有通讯、单向通讯、按需通讯等。按照安全级别的要求可分为简单包过滤、状态包过滤、应用层代理、专有协议隔离等。冠群金辰公司的