冠群金辰银行信息安全管理方案

精品文档精心整理精品文档可编辑的精品文档冠群金辰银行信息系统安全管理方案随着金融界向电子化、数字化、网络化的发展，各金融机构对计算机的重视程度越来越高，全球高新技术尤其是信息技术的发展，进一步提高了银行计算机的应用水平。1银行业务的发展和信息安全范畴的变迁随着金融界向电子化、数字化、网络化的发展，各金融机构对计算机的重视程度越来越高，全球高新技术尤其是信息技术的发展，进一步提高了银行计算机的应用水平。人们可以通过国际互联网随时随地进行信息交流、电子商务活动，银行既要保障有强固的银行内部业务网络，又要扩展业务，利用互联网、无线网等尽可能多的通讯途径对全国甚至全球个人实行24小时金融电子服务，许多银行也顺应形势相继推出了网上银行、自助银行、客户服务中心、手机银行等。同时，经营的集约化和数据的集中化趋势一方面顺应了银行业务发展的要求，避免了业务分散导致的业务风险，但是另一方面不可避免的导致了信息安全风险的集中。随着银行业务系统顺应趋势的开放和互连，其信息安全范畴已经突破了以业务系统物理隔离和协议隔离为基础的传统银行信息安全。我们必须在一个日趋开放的系统平台上重新审视银行的信息安全问题。金融系统（银行、保险、证券）是国家政策要求实施安全等级保护的11大类关键信息基础设施的重点系统。因此，如何建立一个高效的现代信息安全体系，日益成为突出的问题。2冠群金辰公司的主动防御安全策略冠群金辰公司具有多年的信息安全产品研发、工程实施和安全服务经验，在金融行业具有丰富的行业应用经验，并且对国外和国内的金融行业业务应用、信息安全策略、相关法律法规等有深刻的理解，具有独到的见解。根据对客户需求的详细调查分析，推出了以客户价值为中心，以3S为代表的安全理念，即SecuritySolution（安全方案），SecurityApplication（安全应用），SecurityService（安全服务）。安全方案是基于符合用户需求的自有产品和合作伙伴的优秀产品搭建的整体解决方案；安全应用则是基于用户的实际应用系统和业务系统的安全需要，将我们的安全方案进行定制和二次开发，以满足用户对业务系统和安全系统更高程度的整合需求；安全服务则是参照国际和国内信息安全管理和工程标准，并结合冠群金辰公司的服务经验积累提供的评估、设计、实施、管理、教育等一系列服务项目，以帮助用户在日趋严峻的安全环境中保持业务的顺利运行。经过对信息安全趋势的分析，我们认为在当前新的安全漏洞发现频率日益加快、安全攻击事件大幅度增加的状况下，局限于传统的被动（Reactive）防范策略是非常危险的。我们按照风险管理的思路，提出了主动（Proactive）防御策略，强调利用先进的技术、产品，配合以有效的管理方法和运维模式，避免入侵行为造成损害，并且有效防御新的安全漏洞造成的风险。脆弱性三维图可以帮助客户识别风险状况，选择采用适当有效的风险控制方法，达到成本和效益之间的平衡。冠群金辰公司倡导采用以主动防御为基础的纵深防御体系来进行银行安全保障体系的建立。第一：在整个受保护网络环境中的每一个环节上减少可能会被入侵者利用的突出的脆弱点；第二：对于关键的资源，使用多重防御策略来管理风险，以便在一层防御不够时，在理想情况下，另一层防御将会削弱对被保护资源的破坏。3.银行信息安全风险管理思路和技术建议银行信息安全问题不仅仅是技术上的问题，同样重要的是管理问题。2003年4月底正式挂牌的中国银监会5月份以第二号公告的形式，就巴塞尔新资本协议公开征求中国银行业界意见。新巴塞尔协议的实施势必大大提升银行业的整体业务风险管理水平。同样，在银行的信息安全领域也需要一种成熟的风险管理思路。这种风险管理的思想要贯穿在银行的每一个业务系统的生命周期阶段。对于每一个银行业务系统，比如柜台业务、资金清算等随着时间的发展都可以分为不同的阶段。按照NIST风险管理指南，这些阶段可以划分为系统规划阶段、系统开发阶段、系统实施阶段、系统运行阶段和系统废止阶段。根据银行业务系统各自的特点，其各阶段的具体内容会有所不同，但基本周期保持不变。所以与之相对应就产生了所谓系统安全的生命周期，即是将安全生命周期模型整合到系统生命周期模型上，一方面在系统生命周期各阶段提取安全需求，另一方面将安全生命周期的过程应用在系统生命周期各阶段，即在系统各阶段遵循安全的过程性开展相应安全工作。不同系统，各阶段的安全需求不同，安全工作展开的顺序也会有所不同。但是，它们的共同点就是需要同时从技术和管理两个方面着手进行风险管理，同时这两个方面不是孤立实施的，而是有机结合的。冠群金辰公司的银行业信息安全风险管理方案主要分为下面几个部分：第一，参照相关法律法规、金融行业相关规定、国内外信息安全标准等，为用户建立一套信息安全管理系统和业务持续性策略；第二，根据业务系统的需要，进行安全技术层面的实施，其中包括对银行现有设备和系统的加固、自有安全产品配置和实施、第三方安全产品配置和实施以及根据实际需求进行的专有安全系统开发和实施等。第三，提供需求分析、风险评估、安全审计、紧急响应等覆盖全系统生命周期的安全服务。冠群金辰公司拥有一支持有CCIE、CISSP、BS7799LA、CISP、SCSA等国际国内认证的专业安全服务队伍和专职的银行业务顾问小组，提供基于整体和业务的安全服务。由于银行系统业务种类众多，信息系统也千差万别，不同银行业务信息系统对性、完整性、可用性、可控性与可审查性也具有不同的要求，所以不可能采用一个相同的模式进行所有银行系统安全体系的设计。这里仅仅根据中国人民银行2001年发布的《银行信息系统安全技术规范》和中国人民银行2002年发布的关于加强银行数据集中安全工作的指导意见的260号文件，对于构成银行信息系统的几个关键层次进行示例分析，主要从技术角度对冠群金辰的解决方案进行简单介绍。3.1物理安全主要是按照国家标准GB50173-93、GB2887-89、GB9316-88等加强场地设防。计算机设备实体安全类中，首先要求场地环境条件的控制，对计算机网络的中心机房及其延伸点，要坚决搞好基本环境建设，要有完整的防雷电设施，且有严格的防电磁干扰设施，机房内要搞好防水防火的预防工作，对主机房电源要有完整的双回路备份机制。尤其是银行主机机房的物理安全保障措施一定要到位。同城异地备份甚至不同城市之间的灾备中心都是需要考虑的。另外，信息处理设备安全、媒体介质存放安全也是需要重点考虑的内容。3.2网络互连的隔离和网关病毒过滤随着银行业务的发展，业务主机不可避免地需要和外部系统互联。比如为了实现跨系统银行间资金汇划的电子联行系统采用的天地对接基本上建立在电信局的公共通信网上，开放的网络环境和网络协议为系统互联提供了方便，但同时也降低了系统的安全性。正在蓬勃兴起的银行中间业务的发展更是促进了不同行业之间的网络连通。有网络的连接是造成安全风险的重要源头，一定需要对不同安全级别的网络之间进行安全隔离。除了物理隔离外，逻辑隔离按照通讯方式有几种级别：双方网络互有通讯、单向通讯、按需通讯等。按照安全级别的要求可分为简单包过滤、状态包过滤、应用层代理、专有协议隔离等。冠群金辰公司的轩辕防火墙是集防火墙、VPN、流量管理等功能于一体的网络安全设备。它能通过Web浏览器或CLI及中央管理台集中管理，并且支持透明模式。轩辕防火墙产品能够满足银行系统中大部分的网络逻辑隔离要求。冠群金辰公司的赤霄KILL过滤网关是一个专用硬件设备，用于在银行网络之间过滤病毒。它能够高效率地过滤包含在、FTP以及SMTP协议中的计算机病毒，实现病毒的网络隔离，避免病毒在网络之间的扩散。该产品具有丰富和功能和优异的性能，在2002年一举获得了中国大IT媒体：《中国计算机报》和《计算机世界报》的编辑选择奖和年度产品奖，并在另一大专业媒体《网络世界》2003年5月12日发布的产品购买指南中得到高度评价，被称为"防病毒网关的佼佼者"，更于今年7月份又获得“网管员最信赖的防病毒产品”奖项。通过在银行内部、银行和第三方网络等网关处部署该产品，可以杜绝病毒最主要的传播途径，给被保护网络营造一个安全的计算环境。3.3数据传输加密当需要在非银行控制的公网上传输信息时，必须采用有效的措施对网络上传输的数据进行加密处理。冠群金辰公司的轩辕防火墙内置了基于IPSEC协议的VPN功能，能够方便地在网络边界处实现数据的加密传输，方便了银行不同分支部门之间的安全通信和远程办公。对于已经设置没有VPN功能的防火墙的网络，冠群金辰公司的软件VPN产品能够方便地部署在网络中的任意一台计算机上，实现网络内部的加密通信和远程安全访问。3.4网络入侵行为和蠕虫病毒的传播监控网络攻击的表现形式主要有两种：第一，人为入侵（包括内部和外部）；第二，蠕虫和病毒的网络渗透和传播。而且，目前这两种形式有逐渐趋于统一的趋势。对于这两种行为我们都要进行严格监控，并且需要统一在一个平台下进行关联监控，以更好的起到安全检测的目的。冠群金辰提供的干将/莫邪系列入侵检测系统能够在从百兆到千兆的网络中提供实时的入侵检测和病毒传播统一监控，也是唯一能够实现在同一个平台下进行入侵行为和蠕虫病毒传播的监控的安全系统。这样在银行网络中发生入侵行为或蠕虫传播时，管理员能够很快定位网络和系统问题所在，减少故障时间，降低损失。尤其是在结构复杂的网络中，利用干将/莫邪系列入侵检测系统提供的监控功能，管理员可以迅速定位被感染的服务器，控制传染源。3.5安全级别提升和分散授权原则在操作系统级的实施操作系统的安全是银行信息系统安全的重要方面。为了更加有效地避免金融犯罪，杜绝银行内部人员作案，银行要求采用的操作系统具有相当高的抗攻击能力，有必要时需要采用B1级别的安全操作系统，比如网上银行主机和关键业务主机系统。在人民银行发布的《银行计算机信息系统安全技术规范》中也明确了这一点。但是目前基本上所有的商用操作系统都是C2级的，不能满足银行的要求。如果采用专用的安全操作系统，势必需要对原有的应用程序进行改造，造成大量人力物力和财力的资源浪费。冠群金辰公司提供的龙渊服务器核心防护产品可以很好地解决这一问题，既能克服通用操作系统（包括Windows，Unix，Linux）的安全弊病，又能够和所有应用程序兼容，并且容易管理。它能够将大部分商用操作系统的安全等级提升到TCSECB1级，支持强制访问控制，在大幅度提升安全性的同时保护了用户原有投资。比如通过在银行业务主机上部署龙渊服务器核心防护，可以在一台主机上将管理员权限分成系统管理员、安全管理员、安全审计员以及其它一般性质的业务操作人员，并且同时取消操作系统的超级用户特权。这样，所有人员的动作都能够被互相监督，大大降低了内部人员作案的可能性。通过在关键的银行业务服务器上部署冠群金辰公司的龙渊服务器核心防护，安全管理员能够严格限定所有用户在该服务器上的任何操作，从时间、地点、访问方式等多个方面进行极细粒度的访问控制；并且其动态安全扩展（DSX）技术使得服务器能够高强度抵御未知的攻击类型，尤其是缓冲区溢出类型的攻击，从而避免了损失，为安全管理员赢得了宝贵的时间。这种防范措施对于Windows平台和UNIX、Linux平台都适用，并且不依赖特征库的升级即可完成防范功能。另外，通过该系统在本机上限定该计算机允许的网络通信类型，即使该计算机感染了蠕虫或被放置了木马程序，也无法对外发出违反预定安全策略的数据包，避免了可能导致的蠕虫传播和网络拥塞现象，降低了攻击后的影响。在最坏的情况下，即使入侵者已经获得了被攻击服务器的管理员账户和密码，龙渊服务器核心防护仍然能够保证该入侵者仅仅具有一个该系统上普通用户的权限，不能为所欲为，造成更大的损失和影响。这是传统的由防病毒、防火墙和入侵检测系统构成的安全防御体系所不能够实现的重要特点。该方案已经在全球著名银行，如花旗银行的系统中广泛采用。3.6其它安全设施网上银行的兴起决定了在整个银行的安全体系的建设中，确立一个稳固的身份认证机制是根本的前提条件。通过建立PKI/CA认证系统，可以确保各种人员、资源的身份，防止网络欺诈行为和交易抵赖行为。一个统一的网络防病毒体系是银行信息安全中的重要组成部分。冠群金辰公司作为国内防病毒软件厂商的先驱，其KILL防病毒系统已经在全国各行业广泛应用，尤其是网络防病毒系统更是国内厂商的佼佼者。KILL防病毒系统的技术已经非常成熟，在一个软件中集成了两个完全不同的防病毒引擎，能够对Windows95/98/NT/2000/XP、Linux、UNIX、Netware等多种平台进行病毒防护，并且可以通过集中的中央控制台完成软件安装、完全免费的特征码自动升级、病毒报警集中管理等工作，得到了广泛的用户认可。冠群金辰的承影漏洞扫描系统可以扫描各个计算机、网络设备，及时发现存在的安全漏洞，并且事先做出预防措施，是主动防御体系中不可或缺的一部分。利用安全信息管理（SIM）平台可以对银行网络内采用的所有安全相关的设备的报警信息和日志，甚至包括业务系统、应用系统的信息进行统一的汇总和关联性分析，降低管理成本，提高管理效率。精品文档精心整理精品文档可编辑的精品文档

危险品仓储安全管理制度1.仓库保管员应经培训考试合格方可上岗。2.物品入库严格按验收要求，核对进库物品规格、质量、危险标识和数量后方可入库。对无检验合格证和无危险标识的物品不得入库。3.建立仓库物资明细台帐，做好出入库登记，做到日清月结。4.危险物品的储存要严格执行危险物品的配装规定，对不可配装的危险物品必须严格隔离。禁忌物不得同库存放。剧毒品严格按照规定，专库存放，储存在规范的库房内；油漆、天那水等易燃液体必须专库储存；氧化性物质要与易燃液体或酸性腐蚀品分开储存。5.每种危险物品都应有明显的名称及标识，按垛分别存放。6.在仓库的主要位置设置警示标志，配置消防器材。7.垛堆距离应符合要求，货堆应距离地面15cm，堆距≥10cm，主通道≥180cm，支通道≥80cm，墙距≥30cm，柱距10cm。8.物品装卸、搬运应做到轻装轻放，严禁摔、碰、撞击、拖拉、倾倒和流动。9.保管人员应配备必要的防护用品、器具。10.包装容器应在国家定点厂家采购，容器应牢固密封，发现破损、泄漏、残缺、变形、变质，及时进行安全处理。11.库房内不准设立办公室、休息室，每天工作结束后，应进行安全检查，关闭窗户，切断电源方可离开。12.做好危险化学品的养护，做到以下几点：1>保持储存场所的温度不超过25℃，湿度不得超过85%。2>每天对储存仓库检查，检查内容：堆垛牢固，有无泄漏，有无异常，有无刺激性气体，包装有无破碎。3>检查消防设备是否完好。4>每次检查应做好记录。13.仓库严禁吸烟，违规罚款。14.保持储存场所清洁，散落的物品要及时按规定方法处理。

精品文档精心整理精品文档可编辑的精品文档所谓物料仓储管理制度体系，是指按照物料仓储管理系统构成的要求，将指导工作的原则性准则与方法进行高度概括性的汇总，从而形成一套行之有效、完整的管理制度体系。物料仓储管理制度是确保物料管理工作正常进行的坚实基础。建立物料仓储管理制度体系的思路最初来源于IS09000标准的管理方法。ISO9000文件系统中的重要文件之一就是质量手册，物料仓储管理制度体系实际上就是ISO9000质量手册在制造企业物料管理工作中的具体应用，它清晰、明确地规定了企业进行物料仓储管理的总原则。物料仓储管理系统的构成物料仓储管理系统是按照物料仓储管理的系统构成，汇总了指导性准则的管理制度。物料仓储系统的构成主要包括八个方面：物料分类、存量控制、成品仓储、滞料和废料、采购等五种管理和验收、仓储、物料收发等三种作业，物料仓储管理系统的各方面都具体规定了一系列的管理目标。其中，进行物料分类管理可以将物料规划得有条不紊，存量控制使得仓储的物料所占用的资金最少，对采购回来的物料进行验收后储存进仓库，完成负责物料的领发作业。「举例」某制造类企业为了更好地进行物料与仓储管理工作，建立了一系列规章制度来规范管理行为，包括企业物资消耗定额管理制度、用料预算和存量管理办法以及物料领用制度等，各项文件的具体内容如下：(一)企业物资消耗定额管理制度第一条物资消耗定额是国民经济中的一个重要技术经济指标，是正确确定物资需要量，编制物资供应计划的重要依据，是产品成本和经济等两种核算的基础。实行限额供料是有计划地合理利用和节约原材料的有效手段。第二条物资消耗定额应在保证产品质量的前提下，根据本厂生产的具体条件，结合产品结构和工艺要求，以理论计算和技术测定为主，以经验估计和统计分析为辅来制订最经济、合理的消耗定额。第三条物资消耗定额分工艺和非工艺消耗定额两部分：工艺消耗定额：主要原材料消耗定额-指构成产品实体的材料消耗，如六角钢、氧化铝等。工艺性辅助材料消耗-工艺需要耗用而又未构成产品实体的材料，如石蜡，苏州土等。非工艺性定额：指废品、材料代用、设备调整等三种损耗，但不包括途耗磅差、库耗等(此部分作仓库盘盈亏处理)。(二)用料预算方法：第一条由生产管理单位依生产及保养计划定期编制“材料预算及存量基准明细表”，拟定用料预算;第二条由生产管理单位依生产及保养计划的材料耗用基准，按科别(产品表)定期编制“材料预算及存量基准明细表”拟定用料预算，其杂务用品直接依过去实际领用数量，并考虑库存情况，拟定次月用料预算;第三条订货生产的用料，由生产管理单位依生产用料基准，逐批拟定产品用料预算，其它材料直接由使用单位定期拟定用料预算。(三)存量管理方法第一条物料管理单位依材料预算用量，交货所需时间