信息安全是金融行业永远的话题

信息安全是金融行业永远的话题安全是金融行业永远的话题。金融信息系统外应用系统相互牵连、使用对象多样化、安全风险的多方位、信息可靠性、保密性要求高等特征构成了金融系统的突出特点。 国际金融危机以来，金融系统的风险控制和监管被提到了前所未有的高度。如何利用信息技术的优势加强金融机构的内部控制，提高金融监管和服务水平，防范和化解金融风险，促进金融改革和创新，从而推动我国经济社会的发展，是当前我国金融业信息化建设面临的重大问题。 大多数中小商业银行网络系统是于近几年规划建设实施的生产、办公、通信综合系统网络。随着银行业务范围的不断扩展，业务应用的不断深入，IT 需求不断增加，网络系统逐步显现出可管理性差、攻击防护设备老化等安全隐患，监管部门也进行了信息安全风险的相关提示。 一、中小银行所面临的信息安全风险 随着计算机技术和通讯技术的飞速发展，网络正逐步改变着人们的工作方式和生活方式。随着网络技术在金融行业的全面应用，大大提高了金融行业的业务处理效率和管理水平，促成了各项创新的金融业务的开展，改善了整个金融行业的经营环境，增强了金融信息的可靠性，使金融服务于社会的手段更趋现代化。但是，同其他任何行业一样，网络安全风险伴随着网络技术在金融行业的全面应用而全面笼罩在金融行业的每个业务角落。 金融行业IT 系统由于涉及信息的敏感性自然会成为内部和外部黑客攻击的目标，面临的网络安全风险叙述如下八类： 1、非法访问：现有网络设备本身具备一定的访问控制能力，而这些访问控制强度较弱，攻击者可以在任一终端利用现有的大量攻击工具发起攻击；另一方面金融行业（如银行）开发的很多增值业务、代理业务，存在大量与外界互连的接口，外部网络可能会通过这些接口攻击银行，造成巨大损失。 2、失密和窃密：利用搭线窃听窃收，使用协议分析仪器窃收计算机系统的操作密码，破解系统的核心密码，窃取用户帐号、密码等；或利用间谍软件获得敏感的金融信息。 3、信息篡改：利用信息篡改攻击手段，非授权改变金融交易传输过程、存储过程中的信息。 4、内部人员破坏：内部人员熟悉金融行业网络系统的应用业务和薄弱环节，可以比较容易地篡改系统数据、泄露信息和破坏系统的软硬件。 5、黑客入侵：利用黑客技术非法侵入金融行业的网络系统，调阅各种资料，篡改他人的资料，破坏系统运行，或者进行有目的的金融犯罪活动。 6、假冒和伪造：假冒和伪造是金融行业网络系统中经常遇见的攻击手段。如伪造各类业务信息，未授权篡改数据，改变业务信息流的次序、时序、流向，破坏金融信息的完整性，假冒合法用户实施金融欺诈等。 7、蠕虫、病毒泛滥：蠕虫、病毒泛滥可能导致金融行业的重要信息遭到损坏，或者导致金融行业网络系统瘫痪。 8、拒绝服务：拒绝服务攻击使金融行业的电子商务网站无法为客户提供正常服务，造成经济损失，同时也使行业形象受到损害。二、中小银行信息安全现状及需求分析 下面以某家城市商业银行的网络及应用现状，分析在不同层次的安全需求，进而揭示大部分中小银行所具有共性。 (一) 网络层 为保证网络数据传输的可靠性和安全性，网络层存在的安全风险主要包括以下几个方面： 1、 网络结构以及网络数据流通模式的风险： 现有主要的网络结构为星形、树形、环形以及网状，随着网络节点间的连接密度的增加，整个网络提供的线路冗余能力也会增加，提供的网络数据的流动模式会更灵活，整个网络可靠性和可用性也会大大的增加。呼和浩特市商业银行现有的网络结构，能够满足数据流动模式的需求，为了保证网络系统的可靠性，可以采取的有效可行的措施是加强网络设备和线路备份措施的实施。 2、 网络设备安全有效配置的风险： 网络设备是网络数据传输的核心，是整个网络的基础设施，各种网络设备本身的安全与可靠性以及这些设备上应用策略的安全都需要进行合理的配置才能够保证。 3、 来自不同安全域的访问控制的风险： 网络结构越来越复杂，接入网络的用户也越来越多，必须能够在不同的网络区域之间采取一定的控制措施，有效控制不同的网络区域之间的网络通信，以此来控制网络元素间的互访能力，避免网络滥用，同时实现安全风险的有效的隔离，把安全风险隔离在相对比较独立以及比较小的网络区域。 4、网络攻击行为的检测和防范的风险： 基于网络协议的缺陷，尤其是TCP/IP 协议的开放特性，带来了非常大的安全风险，常见的IP 地址窃取、IP 地址假冒，网络端口扫描以及危害非常大的拒绝服务攻击（DOS、DDOS）等，必须能够对这些攻击行为进行有效的深度防御。 5、网络数据传输的机密性和完整性的风险： 网络数据在传输的过程中，很可能被通过各种方式窃取，因此保证数据在传输的过程中机密性（保证数据传递的信息不被第三方获得），完整性（保证数据在传递过程中不被人修改）是非常重要的，尤其是在传递的信息的价值不断提高情况下。(二)用户层 1、用户操作系统平台安全漏洞的风险： 大部分的网络攻击行为以及网络病毒的传播都是由于操作系统平台本身存在的安全漏洞，微软不断发布系统补丁即是明证，因此必须有效避免系统漏洞造成的安全风险，同时对操作系统的安全机制进行合理的配置。 2、用户主机遭受网络病毒攻击的风险： 网络给病毒的传播提供了很好的路径，网络病毒传播速度之快、危害之大是令人吃惊的，特别是流行的一些蠕虫病毒，更是防不胜防，因此必须建设全面的网络防病毒系统，层层设防，逐层把关，堵住病毒传播的各种可能途径。 3、针对用户主机网络攻击的安全风险： 目前Internet 上有各种完善的网络攻击工具，在局域网的环境下，这种攻击会更加有效，针对的目标会更加明确，据统计，有97的攻击是来自内部的攻击，而且内部攻击成功的概率要远远高于来自于Internet 的攻击，造成的后果也严重的多。 4、用户网络访问行为有效控制的风险： 首先需要对用户接入网络的能力进行控制，同时需要更细粒度的访问控制，尤其是对Internet 资源的访问控制，比如应该能够控制内部用户访问Internet 的什么网站。在此基础之上，必须能够进行缜密的行为审计管理。 (三)业务层 1、服务器及数据存储系统的可用性风险： 业务系统的可靠性和可用性是网络安全的一个很重要特性，必须保证业务系统硬件平台（主要是大量的服务器）以及数据硬件平台（主要是存储系统）的可靠性。 2、操作系统和网络服务平台的安全风险： 通过对各种流行的网络攻击行为的分析，可以发现绝大多数的攻击是利用各种操作系统和一些网络服务平台存在的一些已公开的安全漏洞发起，因此，杜绝各种操作系统和网络服务平台的已公开的安全漏洞，可以在很大程度上防范系统攻击的发生。 3、用户身份认证及资源访问权限的控制： 由于网络中的各个应用系统上有很多信息是提供给不同权限用户查阅的，不同级别、不同部门、不同人员能够访问的资源都不一样，因此需要严格区分用户的身份，设置合理的访问权限，保证信息可以在被有效控制下共享。 4、用户对业务访问的有效的记录和审计： 业务系统必须能够对用户的各种访问行为进行详细的记录，以便进行事后查证。三、中小银行信息安全体系建设的思路 金融系统的网络应用比较复杂，对安全的要求也很高，根据中小银行所面临的风险以及上述安全现状和需求，在信息安全体系建设过程中应该关注以下几个方面。 第一、进行网络安全区域设计 网络安全区域设计是网络安全建设的基础，其他的网络安全建设措施全部都是基于这个基本设计展开的。当然要根据银行的实际情况进行划分，例如根据呼和浩特市商业银行网络和应用的现状，可以进行如下安全区域的划分： 数据中心区：由呼和浩特市商业银行生产服务群构成，是呼和浩特市商业银行一切生产活动的基础。这个区域的安全性要求最高，对业务连续性要求也最高。要求不能随便进行任何可能影响业务的操作，包括为服务器打补丁，管理起来也最为复杂。 外联边界区：与外联单位进行中间业务服务器构成的安全区域。与外联单位一般采用专线连接，由于业务具有一定的保护手段，对业务连续性要求不如数据中心区。 外联服务区：开展对外服务的服务器所在的安全区域。由于直接与公网连接，同时又是比较敏感的金融业务，因此安全性要求非常高，对业务连续性要求也较高。同时也最容易遭受包括DoS/DDoS 攻击在内的来自互联网的威胁。 内网办公区：办公服务器所在的安全区域，主要用于内部OA 系统等应用。对安全的要求较前面讲的各个安全区域低，业务持续性要求也相对较低。多采用Windows 服务器，比较容易遭受病毒等威胁的影响。 网络管理区：网管业务开展的区域，由网管类服务器和网管工作站构成。封闭性较强，这个区域的安全与否直接关系到网络的稳定运行，某些方面的要求可能还要高于内网办公区。 分支机构区：所有分支机构共同构成的安全区域，一般采用专线接入数据中心。对数据中心来说这个区域属于外网，一般是另外单独考虑这个区域内各个节点的安全。 第二、以安全为核心规划网络 现有网络大多是以连通性作为中心进行设计的，而很少考虑安全性。例如最典型的网络三层架构模型（核心层、汇聚层、接入层架构）中，网络是向核心层集中的而并没有考虑同一层不同节点之间的安全隔离问题。而在网络安全改造中首先需要改变的就是将以连通性为中心的设计思路转变为以安全为中心的设计思路。并按照以安全为核心的设计思路的要求对网络进行重新设计，这就好比要有好的网络贴身保镖。 第三、用防火墙隔离各安全区域 防火墙作为不同网络或网络安全域之间信息的出入口，能根据安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。第四、对关键路径进行深度检测防护 深度检测防御是为了检测计算机网络中违反安全策略行为。一般认为违反安全策略的行为有入侵和滥用，深度检测防御可以识别出任何不希望有的活动，从而限制这些活动，以保护系统的安全。深度检测防御的应用目的是在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。 第五、对终端进行安全访问控制 目前，针对病毒、蠕虫的防御体系还是以孤立的单点防御为主，并不能有效应对病毒和蠕虫的威胁，主要表现在被动防御、单点防御、分散管理。只有从用户的接入终端进行安全控制，才能够从源头上防御威胁，而分散管理的安全体系无法彻底解决病毒和操作系统漏洞带来的网络安全威胁，只有集中管理、强制终端用户执行，才能够起到统一策略、全局防范的效果。 第六、全网部署防病毒系统 在所有计算机安全威胁中，计算机病毒是最为严重的，它发生的频率高、损失大、潜伏性强、覆盖面广。由于Internet 技术及信息技术的普及和发展，病毒的传染速度越来越快。在银行内部的办公系统、协同系统的使用，使得病毒在银行内部的传染速度加快，各个员工在共享信息的同时，有可能共享病毒。因此全网部署防病毒系统就显得非常重要。 第七、根据实际需要部署其他安全系统 以上的安全系统部署基本可以涵盖一般性网络安全需求，但是很多特殊的应用也需要特别的应用保护系统。例如：移动办公VPN 系统、补丁管理系统、反垃圾邮件系统、漏洞扫描工具、网络流量监测与审计等等。 第八、建立科学的安全管理机制 前面七个方面是从技术手段上考虑的思路，而信息安全体系的建设必须管理、技术两手抓。从管理方面考虑，首先要提高意识，时时刻刻具备防微杜渐的意识；其次要完善制度，“三份技术七分管理”，完善的信息安全管理制度是IT 系统安全的基础保证。由于自身的能力制约，中小银行可以考虑聘请第三方专家与银行相关人员组成联合小组，借鉴相关企业的管理经验，进行信息安全咨询服务，共同制定银行的信息安全管理制度；同时信息安全建设并不是一蹴而就建设完成的，是分步实施、循序渐进的过程，应该定期进行相关的安全评估，为不同阶段信息安全建设提供参考。四、安全体系全员参与 目前金融机构已经从传统的资产负债经营转向风险经营，一个完善的金融机构必须构建一个覆盖业务各个维度的风险经营管理体系。从小的方面来说，可以是一个较为完整的安全体系。 对于小范围安全体系，在这里我们可以先看看巴塞尔协议，流动性风险、市场风险和操作风险，已经覆盖了金融机构运营的各个角度和维度。 对于信息风险(安全)我们可以从操作风险的角度来审视，由于目前IT应用已经涉及到金融的各个业务和办公领域，对于IT带来的风险管理已经是金融运营不可切割的一部分。所以，我们认为对于金融机构的风险管理体系(或安全体系)应该是一个从业务部门到技术部门都必须参与控制的过程。 不管从巴塞尔协议，还是我国商业银行风险指引都要求我国银行构建一个完整的风险管理体系。我们认为信息科技安全体系应该是一个从需求、设计、上线、运维到下线，一个全生命周期的风险(安全)管理体系，涉及与各环境相关的业务部门和科技部门。通常来说7分管理3分技术，在这里强调一下管理的重要性，我们认为管理不仅仅是人员、岗位、角色的管理，也包含着策略和流程。如下图所示： 故而我们建议对于金融信息科技风险管理(安全管理)体系的目标是围绕业务发展，紧密结合业务发展战略，利用科技手段构建风险防范平台，锻造精细风险管理能力，深化风险防范建设，为促进金融机构发展提供可靠保障。 围绕目标在金融机构的各个部门从方针政策、人员到策略、流程直至技术防控措施全方位、全视角构建风险管理体系(安全体系)。 随着技术的发展和业务的扩展，银行的核心业务系统和后台管理系统要进行不断的升级换代，在此基础上的安全防御系统也要调整配合。 五、从2个角度去看待这样的工作1.全生命周期的配合 风险防控是对IT系统全生命周期的管理。不是单独的一个环节。由于业务发展需要，对银行IT系统不断更新和换代这是正常的。这样需要IT风险管理也是要动态、同步跟进系统建设。 2.PDCA,即使IT系统不进行更新和换代，由于漏洞的发现和黑客技术的更新，同样也需要风险管理的及时跟进。 所以说IT风险管理比IT系统更新换代更需要敏捷性。 对于一个良好的银行机构不仅需要IT风险管理的同步更新，同时也需要风险管控部门及时对风险拨备进行更新。 六、将新技术纳入风险防控体系 在这个竞争激烈的年代，银行必须通过不断的业务创新来发展自己的业务，那么对于现在不断发展的技术来说，是金融创新的辅