!""#年#月$"日
第#期%&』(』)&(*)+,-./01+%2.(』(』3
4.*3$",!""#』+3#
華南金融電腦
!"!"
銀行資訊保安規劃概述
!廣州市農村信用合作聯社
馬希佳一、銀行資訊保安威脅
隨著銀行資訊建設的深入發展,銀行全面進入了業務系統整合、資料大集中的新的發展階段,經營的集約化和資料的集中化趨勢一方面順應了銀行業務發展的要求,但是另一方面不可避免地導致了資訊保安風險的集中。
銀行資訊系統存在的資訊保安威脅主要包括來自網際網路的風險、外部機構的風險、不信任網路的風險、機構內部的風險、災難性風險等五部分。
二、資訊保安建設的原則及等級劃分5一6、資訊保安原則
資訊保安是一項結合規劃、管理、技術等多種因素的系統工程,是乙個持續、動態發展的過程。技術是安全的主體,管理是安全的靈魂。只有將有效的安全管理實踐自始至終貫徹落實於資訊保安當中,網路安全的長期性和穩定性才能有所保證。
資訊保安的原則:明確責任,共同保護;依照標準,自行保護;同步建設,動態調整;指導監督,重點保護。
5二6、資訊保安等級介紹
資訊保安等級保護是指對國家秘密資訊、法人和其他組織及公民的專有資訊和公開資訊,以及儲存、傳輸、處理這些資訊的資訊系統分等級實行安全保護,對資訊系統中使用的資訊保安產品實行按等級管理,對資訊系統中發生的資訊保安事件分等
級響應、處置。根據資訊和資訊系統在****、經濟建設、社會生活中的重要程度,遭到破壞後對****、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度,針對資訊的保密性、完整性和可用性要求及資訊系統必須達到的基本安全保護水平等因素,資訊系統的安全保護共分為五等級:
第一級為自主保護級第二級為指導保護級第**為監督保護級第四級為強制保護級第五級為專控保護級5三6、資訊保安等級評估
決定資訊系統重要性等級時應考慮以下因素:$3系統所屬型別,即資訊系統的安全利益主體。
!3資訊系統主要處理的業務資訊類別。
73系統服務範圍,包括服務物件和服務網路覆蓋範圍。
83業務依賴程度,或以手工作業替代資訊系統處理業務的程度。
三、資訊保安規劃內容5一6、資訊保安體系及其特點
資訊保安體系包括安全管理體系和安全技術體系,兩者是保障資訊系統安全不可分割的兩個部分,大多數情況下,技術和管理要求互相提供支撐
網路與安全技術
!""#年#月$"日
第#期01+%2.(』(』3
4.*3$",!""#』+3#
華南金融電腦
!"!"
以確保各自功能的正確實現。
構建安全管理體系的主要目的是管理資訊系統中各種角色的活動。通過文件化的管理體系,從政策、制度、規範、流程以及日誌等方面監督、控制各類角色在系統日常執行維護工作中的各種活動。
安全管理體系是由安全管理組織、人員安全管理、系統建設管理、系統運維管理和安全審計管理5個部分組成。
安全技術體系的主要目的是為資訊系統提供各種技術安全機制,主要是通過在資訊系統中部署軟硬體並正確地配置其安全功能來實現。
安全技術體系是由基礎設施安全、網路安全、主機安全、應用安全和資料安全5個層面組成。
6二7、資訊保安建設方**參照國際標準&8+$##99:&8+!#""$資訊保安管理標準,建立資訊保安管理體系(簡稱&8,8),具體內容如下:
計畫(-*(』):建立&8,8。建立&8,8的政策、目標、過程及相關程式以管理風險及改進資訊保安,使結果與組織整體政策和目標相一致。
執行(;+):實施與執行&8,8。&8,8的政策、控制措施、過程與流程的實施與操作。
查核()20)<):監督與審查&8,8。依據&8,8政策、目標及實際經驗,以評鑑與測量6適當時7過程績效,並將結果回報給管理層加以審查。
行動(()/)
:維持與改進&8,8。依據內部&8,8審核與管理層審查或其它相關資訊結果採取矯正與預防措施,以達成資訊保安管理系統的持續改進。
6三7、規劃實施內容
$3資訊保安組織建設
資訊保安管理組織建設是在組織內部建立跨部門的資訊保安協調溝通機制,以便在組織內管理資訊保安,識別與外部組織相關的安全風險,定義和分配資訊保安職責,定期對資訊保安工作進行評審。
在銀行建立資訊保安管理委員會,從組織架構的層面推動資訊保安規劃的實施,該機構的主要職責包括:推動資訊系統安全保障體系建設;周期性地對系統資訊保安風險進行識別和評估;保護商業秘密和技術機密,維護企業的利益;制定資訊系統的安全策略,提高企業的抗風險能力。
!3人員安全管理
人員安全管理是指在全體員工範圍內提高資訊保安防範意識,普及資訊保安管理知識,落實各項安全管理制度,群策群力共同保障資訊系統安全。
人員安全管理主要通過全員安全教育培訓的方式來實現,培訓的方式可分為三類:
管理層安全意識教育:針對管理層的安全意識教育培訓,幫助管理層了解國家在資訊保安方面的政策,提高對安全工作的認識,從而能夠指導安全建設工作。
技術人員安全技能培訓:學習安全管理理論知識和安全技術知識,從而具有掌握安全管理理念、掌握安全產品操作維護和安全事件處理的能力,維護資訊系統的安全。
普通員工的安全意識培訓:對廣大資訊系統使用者進行安全意識教育培訓,提高大家的安全意識,讓全體員工都意識到資訊保安工作的重要性,共同維護網路和資訊保安。
=3系統建設管理
在資訊系統整合專案、軟體開發專案中考慮資訊保安。進行安全需求分析和規劃,系統開發需要進行輸入資料的驗證、處理過程的資訊完整性、輸出資料的確認,以防止應用系統資訊的錯誤、丟失、未授權的修改或誤用。通過加密手段保護重要資訊的機密性、完整性。
確保系統檔案的安全,建立軟體開發規範,實施變更控制。
>3系統運維管理
加強資訊系統的日常操作維護管理。
逐步建立和完善文件化的操作流程、規範變更管理流程,實施職責分離、分離開發、測試、生產環境。
對第三方服務交付提出要求,確保第三方提供的服務符合協議的要求。
系統規劃需要考慮未來容量和效能要求,對專案建設按照標準進行驗收。
制定資料備份策略,確保資訊的完整性和可用性。控制管理移動介質的使用和處置方式。確保與外部組織交換資訊的安全,為#$!>小時業務提供安全保障措施。
監控系統執行狀況,對系統的異常運**況及時預警。
記錄和管理系統日誌、操作日誌,確保系統執行的可審核。
53安全審計管理
建立資訊保安事故報告流程,確保使用持續有效的方法管理資訊保安事故。
確保資訊系統符合法律法規要求,定期進行資訊保安檢查工作,及時發現存在的安全問題並持續有效地改進。
?3基礎設施安全
基礎設施安全是指保護機房環境和裝置實體
網路與安全技術
!""#年#月$"日
第#期01+%2.(』(』3
4.*3$",!""#』+3#
華南金融電腦
!!!!
的安全,防止對基礎設施的非法使用、物理破壞或被盜,保障裝置正常執行所必需的電源、溫度、濕度、防水、防塵等執行環境。
基礎設施安全規劃內容:對中心機房及其基礎設施,要堅決搞好基本環境建設,要有完整的防雷電設施,且有嚴格的防電磁干擾設施,要搞好防水防火的預防工作。主機房電源要有完整的雙迴路備份機制,配置發電機、.
-5等設施。在中心機房設定安全邊界、物理進入控制,防範外部和環境威脅,防止對辦公場所和資訊的非授權訪問和破壞。建立和完善**監控系統和紅外線防盜系統,監控基礎設施的運**況和使用情況。
並對機房環境和實體裝置進行檢修,定期實行災難備份系統切換演習。
#3網路安全
網路安全是通過硬體、軟體等安全控制形式來保障資料、語音、影象、傳真等資訊在網路傳輸過程中的安全,提高安全域和安全區之間網路通訊的私密性、完整性和可靠性。
網路安全規劃內容:建設和完善防火牆安全體系,隔離安全區域,強化網路安全策略,對網路訪問進行監控審計,防止內部資訊的外洩。
建設&-5入侵檢測系統,通過特定的檢測技術識別出惡意攻擊的行為,並及時阻斷攻擊行為6保護網路安全。
通過7*(』劃分網路,隔離兩個不同的網路安全域。
通過物理級、網路級、系統級多種認證手段,對網路中的使用者訪問許可權進行控制,確認使用者的身份及許可權。
記錄和管理網路日誌,保證網路安全的可審計性。通過55*安全連線機制,保障網上銀行等外部809連線的安全。
:3主機安全
主機系統的安全目標是保障主機平台系統高效、優質執行,防止主機系統遭受外部和內部的破壞和濫用,避免和降低由於主機系統的問題對業務系統造成的影響;協助應用進行訪問控制和安全審計。
主機安全規劃內容:完善主機系統安全管理,嚴格管理系統賬戶、有效控制系統服務,優化系統的安全配置,啟用系統必要的安全控制措施6避免系統發生故障或遭受攻擊。
定期對主機的安全進行評估,檢測主機的安全配置和存在的安全漏洞,及時修補,增強主機的抗攻擊能力。
提高主機入侵防護能力,安裝基於主機的入侵
防護系統,防範入侵攻擊和誤操作行為的發生。
根據業務需要對系統進行冗餘設計,提高主機系統的抗風險能力。
記錄和管理主機系統日誌,以便日後對系統進行有效的日誌跟蹤審計。
建設同城異地災備中心,定期進行災備系統切換演習。
;3應用安全
應用安全指使用應用系統進行處理業務交易和工作過程的安全。
應用安全規劃內容:完善操作員身份認證機制,檢查操作員登入的合法性,加強密碼管理,督促操作員定期更新密碼,保證操作員密碼的安全性。
制定和完善系統操作員等級和角色管理體系,嚴格控制操作員對各類交易應用功能的使用許可權。
通過業務複核機制,對關鍵業務資料進行校驗,保證業務資料的合法性。
通過業務授權機制,實現對關鍵業務的監控,有效控制業務風險。
建立自動預警機制,實時監控(/,、-+5、**銀行、網上銀行等自助交易渠道的運**況,對系統執行過程中的異常情況及時告警。
完善軟體開發流程,制定符合銀行實際情況的軟體配置管理體制與軟體質量保證機制,保證軟體功能模組符合業務功能需求。
$"3資料安全
資料安全是指保證資料的機密性、完整性、一致性、可用性、不可抵賴性,避免資料的洩密、破壞、纂改、丟失。
資料安全規劃內容:在操作終端上,通過關鍵資料域合法性檢查、敏感資料遮蔽保證資料的合法性與機密性。
在資料傳輸過程中,通過鏈路加密,節點加密,端到端加密在通訊的三個不同層次保證資料的安全,通過資料傳輸中介軟體保證資料的完整性和一致性。
在資料庫層面,通過訪問控制軟體(
如)),5)監控、記錄資料庫操作,分類管理資料庫日誌檔案以便日後對資料庫操作進行審計,制定合適的磁碟冗餘陣列(1(&<)儲存方案提高資料的容錯能力,通過遠端異地雙機熱備份提高資料的抗風險能力,制定相應的備份恢復策略以及應急計畫,保證資料在遭遇破壞之後能夠迅速地恢復。
對於存放在資料倉儲的歷史資料,涉及商業機密的資料,必須制定訪問控制機制限制操作員對資料的隨意訪問。
=責任編輯》黃劍豐?
網路與安全技術
資訊化戰略規劃概述
要確立與企業戰略目標相一致的企業資訊化戰略規劃目標,並以支撐和推動企業戰略目標的實現作為價值核心。資訊化戰略規劃的範圍控制要緊密圍繞如何提公升企業的核心競爭力來進行,切忌面面俱到。資訊化戰略規劃目標的制定要具有強有力的業務結合性,深入分析和結合企業不同時期的發展要求,將建設目標分解為合理可行的階段性...
資訊保安規劃綜述
資訊保安 體系框架 第一部分綜述 目錄1 概述 4 1.1 資訊保安建設思路 4 1.2 資訊保安建設內容 6 1.2.1 建立管理組織機構 6 1.2.2 物理安全建設 6 1.2.3 網路安全建設 6 1.2.4 系統安全建設 7 1.2.5 應用安全建設 7 1.2.6 系統和資料備份管理 7...
銀行個人理財業務概述習題
一 銀行個人理財業務的概念和分類 1.個人理財概述 2.銀行個人理財業務概念 例題1 多選題 下列關於個人理財的說法正確的有 a.個人理財業務服務物件是個人和家庭 b.個人理財業務是一般性業務諮詢服務 c.個人理財業務主要側重於諮詢顧問和代客理財服務d.個人理財業務是建立在委託 關係基礎之上的銀行業...