银行信息安全规划概述.doc

2012-07-19#2012-07-19#2012-07-19#银行信息安全规划概述!广州市农村信用合作联社马希佳一、银行信息安全威胁随着银行信息建设的深入发展，银行全面进入 了业务系统整合、数据大集中的新的发展阶段，经 营的集约化和数据的集中化趋势一方面顺应了银 行业务发展的要求，但是另一方面不可避免地导致 了信息安全风险的集中。银行信息系统存在的信息安全威胁主要包括 来自互联网的风险、外部机构的风险、不信任网络 的风险、机构内部的风险、灾难性风险等五部分。二、信息安全建设的原则及等级划分5 一 6 、信息安全原则 信息安全是一项结合规划、管理、技术等多种因素的系统工程，是一个持续、动态发展的过程。 技术是安全的主体，管理是安全的灵魂。只有将有 效的安全管理实践自始至终贯彻落实于信息安全 当 中 ， 网 络 安 全 的 长 期 性 和 稳 定 性 才 能 有 所 保 证。信息安全的原则：明确责任，共同保护；依照标 准，自行保护；同步建设，动态调整；指导监督，重点 保护。5 二 6 、信息安全等级介绍 信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息和公开信息，以及存 储、传输、处理这些信息的信息系统分等级实行安 全保护，对信息系统中使用的信息安全产品实行按 等级管理，对信息系统中发生的信息安全事件分等级响应、处置。根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国 家安全、社会秩序、公共利益以及公民、法人和其他 组织的合法权益的危害程度，针对信息的保密性、 完整性和可用性要求及信息系统必须达到的基本 安全保护水平等因素，信息系统的安全保护共分为 五等级：第一级为自主保护级 第二级为指导保护级 第三级为监督保护级 第四级为强制保护级 第五级为专控保护级5 三 6 、信息安全等级评估 决定信息系统重要性等级时应考虑以下因素：系统所属类型，即信息系统的安全利益主$3体。信息系统主要处理的业务信息类别。系统服务范围，包括服务对象和服务网络!373覆盖范围。业务依赖程度，或以手工作业替代信息系83统处理业务的程度。三、信息安全规划内容5 一 6 、信息安全体系及其特点信息安全体系包括安全管理体系和安全技术 体系，两者是保障信息系统安全不可分割的两个部 分，大多数情况下，技术和管理要求互相提供支撑2012-07-19#2012-07-19#4.#2*30$1，2!-#07+3-# 19#!# !# 年 # 月 $ 日 第 # 期%&()&(* )+,-./01 +% 2.(3以确保各自功能的正确实现。构建安全管理体系的主要目的是管理信息系 统中各种角色的活动。通过文档化的管理体系，从政 策、制度、规范、流程以及日志等方面监督、控制各类 角色在系统日常运行维护工作中的各种活动。安全管理体系是由安全管理组织、人员安全管 理、系统建设管理、系统运维管理和安全审计管理 5 个部分组成。安全技术体系的主要目的是为信息系统提供 各种技术安全机制，主要是通过在信息系统中部署 软硬件并正确地配置其安全功能来实现。安全技术体系是由基础设施安全、网络安全、 主机安全、应用安全和数据安全 5 个层面组成。6 二 7 、信息安全建设方法论参照国际标准 &8+$#99 : &8+!#$ 信息安全 管理标准，建立信息安全管理体系 （简称 &8,8），具 体内容如下：计划（-*(）：建立 &8,8。建立 &8,8 的政策、目 标、过程及相关程序以管理风险及改进信息安全， 使结果与组织整体政策和目标相一致。执行（;+）：实施与执行 &8,8。&8,8 的政策、控 制措施、过程与流程的实施与操作。查核 （)20)3加强信息系统的日常操作维护管理。逐步建立和完善文档化的操作流程、规范变更 管理流程，实施职责分离、分离开发、测试、生产环 境。对第三方服务交付提出要求，确保第三方提供 的服务符合协议的要求。系统规划需要考虑未来容量和性能要求，对项 目建设按照标准进行验收。制定数据备份策略，确保信息的完整性和可用性。 控制管理移动介质的使用和处置方式。 确保与外部组织交换信息的安全，为 #$! 小时业务提供安全保障措施。监控系统运行状况，对系统的异常运行情况及 时预警。记录和管理系统日志、操作日志，确保系统运 行的可审核。信息安全组织建设$3信息安全管理组织建设是在组织内部建立跨部门的信息安全协调沟通机制，以便在组织内管理 信息安全，识别与外部组织相关的安全风险，定义 和分配信息安全职责，定期对信息安全工作进行评 审。在银行建立信息安全管理委员会，从组织架构 的层面推动信息安全规划的实施，该机构的主要职 责包括：推动信息系统安全保障体系建设；周期性 地对系统信息安全风险进行识别和评估；保护商业 秘密和技术机密，维护企业的利益；制定信息系统 的安全策略，提高企业的抗风险能力。安全审计管理53建立信息安全事故报告流程，确保使用持续有效的方法管理信息安全事故。 确保信息系统符合法律法规要求，定期进行信息安全检查工作，及时发现存在的安全问题并持续 有效地改进。人员安全管理!3人员安全管理是指在全体员工范围内提高信息安全防范意识，普及信息安全管理知识，落实各 项安全管理制度，群策群力共同保障信息系统安 全。基础设施安全?3基础设施安全是指保护机房环境和设备实体!4.*3 $，!# +3 #!# 年 # 月 $ 日 第 # 期%&()&(* )+,-./01 +% 2.(3的安全，防止对基础设施的非法使用、物理破坏或被盗，保障设备正常运行所必需的电源、温度、湿 度、防水、防尘等运行环境。基础设施安全规划内容：对中心机房及其基 础设施，要坚决搞好基本环境建设，要有完整的防 雷电设施，且有严格的防电磁干扰设施，要搞好防 水防火的预防工作。主机房电源要有完整的双回 路备份机制，配置发电机、.-5 等设施。在中心机 房设置安全边界、物理进入控制，防范外部和环境 威胁，防止对办公场所和信息的非授权访问和破 坏。建立和完善视频监控系统和红外线防盗系统， 监控基础设施的运行情况和使用情况。并对机房 环境和实体设备进行检修，定期实行灾难备份系 统切换演习。#3 网络安全 网络安全是通过硬件、软件等安全控制形式来保障数据、语音、图像、传真等信息在网络传输过程 中的安全，提高安全域和安全区之间网络通讯的私密性、完整性和可靠性。 网络安全规划内容：建设和完善防火墙安全体系，隔离安全区域，强化网络安全策略，对网络访问 进行监控审计，防止内部信息的外泄。建设 &-5 入侵检测系统，通过特定的检测技术防护系统，防范入侵攻击和误操作行为的发生。根据业务需要对系统进行冗余设计，提高主机 系统的抗风险能力。记录和管理主机系统日志，以便日后对系统进 行有效的日志跟踪审计。建设同城异地灾备中心，定期进行灾备系统切 换演习。应用安全;3应用安全指使用应用系统进行处理业务交易和工作过程的安全。 应用安全规划内容：完善操作员身份认证机制，检查操作员登录的合法性，加强密码管理，督促操作 员定期更新密码，保证操作员密码的安全性。制定和完善系统操作员等级和角色管理体系，严 格控制操作员对各类交易应用功能的使用权限。通过业务复核机制，对关键业务数据进行校 验，保证业务数据的合法性。通过业务授权机制，实现对关键业务的监控， 有效控制业务风险。建立自动预警机制，实时监控 (/,、-+5、电话 银行、网上银行等自助交易渠道的运行情况，对系 统运行过程中的异常情况及时告警。完善软件开发流程，制定符合银行实际情况的 软件配置管理体制与软件质量保证机制，保证软件 功能模块符合业务功能需求。$3 数据安全 数据安全是指保证数据的机密性、完整性、一致性、可用性、不可抵赖性，避免数据的泄密、破坏、 纂改、丢失。数据安全规划内容：在操作终端上，通过关键 数据域合法性检查、敏感数据屏蔽保证数据的合法 性与机密性。在数据传输过程中，通过链路加密，节点加密， 端到端加密在通信的三个不同层次保证数据的安 全，通过数据传输中间件保证数据的完整性和一致性。在数据库层面，通过访问控制软件 （如 ),5） 监控、记录数据库操作，分类管理数据库日志文件以便日后对数据库操作进行审计，制定合适的磁盘冗余阵列 （1(& 黄剑丰 ?识别出恶意攻击的行为，并及时阻断攻击行为6护网络安全。保通过 7*( 划分网络，隔离两个不同的网络安全域。 通过物理级、网络级、系统级多种认证手段，对网络中的用户访问权限进行控制，确认使用者的身份及权限。 记录和管理网络日志，保证网络安全的可审计性。 通过 55* 安全连接机制，保障网上银行等外部809 连接的安全。主机安全:3主机系统的安全目标是保障主机平台系统高效、优质运行，防止主机系统遭受外部和内部的破 坏和滥用，避免和降低由于主机系统的问题对业务 系统造成的影响；协助应用进行访问控制和安全审 计。主机安全规划内容：完善主机系统安全管理， 严格管理系统账户、有效控制系统服务，优化系统的安全配置，启用系统必要的安全控制措施6系统发生故障或遭受攻击。避免定期对主机的安全进行评估，检测主机的安全配置和存在的安全漏洞，及时修补，增强主机的抗 攻击能力。提高主机入侵防护能力，安装基于主机的入侵!4.*3 $，!# +3 #Your request could not be processed because of a configuration error: Could not connect to LDAP