银行信息安全
一、银行信息安全威胁
随着银行信息建设的深入发展,银行全面进入了业务系统整合、数据大集中的新的发展阶段,经营的集约化和数据的集中化趋势一方面顺应了银行业务发展的要求,但是另一方面不可避免地导致了信息安全风险的集中。银行信息系统存在的信息安全威胁主要包括
来自互联网的风险、外部机构的风险、不信任网络的风险、机构内部的风险、灾难性风险等五部分。
二、信息安全建设的原则及等级划分
(一)信息安全原则
信息安全是一项结合规划、管理、技术等多种因素的系统工程,是一个持续、动态发展的过程。技术是安全的主体,管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证。
信息安全的原则:明确责任,共同保护;依照标准,自行保护;同步建设,动态调整;指导监督,重点保护。
(二)、信息安全等级介绍
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息和公开信息,以及存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其
他组织的合法权益的危害程度,针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本安全保护水平等因素,信息系统的安全保护共分为五等级:第一级为自主保护级
第二级为指导保护级
第三级为监督保护级
第四级为强制保护级
第五级为专控保护级
(三)、信息安全等级评估
决定信息系统重要性等级时应考虑以下因素:
1、系统所属类型,即信息系统的安全利益主体。
2、信息系统主要处理的业务信息类别。
3、系统服务范围,包括服务对象和服务网络覆盖范围。
4、业务依赖程度,或以手工作业替代信息系统处理业务的程度。
三、信息安全规划内容
(一)、信息安全体系及其特点
信息安全体系包括安全管理体系和安全技术体系,两者是保障信息系统安全不可分割的两个部分,大多数情况下,技术和管理要求互相提供支撑以确保各自功能的正确实现。构建安全管理体系的主要目的是管理信息系统中各种角色的活动。通过文档化的管理体系,从政策、制度、规范、流程以及日志等方面监督、控制各类角色在系统日常运行维护工作中的各种活动。
安全管理体系是由安全管理组织、人员安全管理、系统建设管理、系统运维管理和安全审计管理5个部分组成。
安全技术体系的主要目的是为信息系统提供各种技术安全机制,主要是通过在信息系统中部署软硬件并正确地配置其安全功能来实现。
安全技术体系是由基础设施安全、网络安全、主机安全、应用安全和数据安全 5 个层面组成。
(二)、建立信息安全管理体系(简称ISMS),具体内容如下:
计划(PLAN):建立ISMS。建立ISMS 的政策、目标、过程及相关程序以管理风险及改进信息安全,使结果与组织整体政策和目标相一致。
执行(DO):实施与执行ISMS。ISMS 的政策、控制措施、过程与流程的实施与操作。
查核(CHECK):监督与审查ISMS。依据ISMS政策、目标及实际经验,以评鉴与测量(适当时)过程绩效,并将结果回报给管理层加以审查。
行动(ACT):维持与改进ISMS。依据内部ISMS稽核与管理层审查或其它相关信息结果采取矫正与预防措施,以达成信息安全管理系统的持续改进。
(三)、规划实施内容
1、信息安全组织建设
信息安全管理组织建设是在组织内部建立跨部门的信息安全协调沟通机制,以便在组织内管理信息安全,识别与外部组织相关的安全风险,定义和分配信息安全职责,定期对信息安全工作进行评审。
在银行建立信息安全管理委员会,从组织架构的层面推动信息安全规划的实施,该机构的主要职责包括:推动信息系统安全保障体系建设;周期性地对系统信息安全风险进行识别和评估;保护商业秘密和技术机密,维护企业的利益;制定信息系统的安全策略,提高企业的抗风险能力。
2、人员安全管理
人员安全管理是指在全体员工范围内提高信息安全防范意识,普及信息安全管理知识,落实各项安全管理制度,群策群力共同保障信息系统安全。
人员安全管理主要通过全员安全教育培训的方式来实现,培训的方式可分为三类:
管理层安全意识教育:针对管理层的安全意识教育培训,帮助管理层了解国家在信息安全方面的政策,提高对安全工作的认识,从而能够指导安全建设工作。技术人员安全技能培训:学习安全管理理论知识和安全技术知识,从而具有掌握安全管理理念、掌握安全产品操作维护和安全事件处理的能力,维护信息系统的安全。
普通员工的安全意识培训:对广大信息系统用户进行安全意识教育培训,提高大家的安全意识,让全体员工都意识到信息安全工作的重要性,共同维护网络和信息安全。
3、系统建设管理
在信息系统集成项目、软件开发项目中考虑信息安全。进行安全需求分析和规划,系统开发需要进行输入数据的验证、处理过程的信息完整性、输出数据的确认,以防止应用系统信息的错误、丢失、未授权的修改或误用。通过加密手段保护重要信息的机密性、完整性。确保系统文件的安全,建立软件开发规范,实施变更控制。
4、系统运维管理
加强信息系统的日常操作维护管理。逐步建立和完善文档化的操作流程、规范变更管理流程,实施职责分离、分离开发、测试、生产环境。对第三方服务交付提出要求,确保第三方提供的服务符合协议的要求。系统规划需要考虑未来容量和性能要求,对项目建设按照标准进行验收。制定数据备份策略,确保信息的完整性和可用性。控制管理移动介质的使用和处置方式。确保与外部组织交换信息的安全,为7*24 小时业务提供安全保障措施。监控系统运行状况,对系统的异常运行情况及时预警。记录和管理系统日志、操作日志,确保系统运行的可审核。
5、安全审计管理
建立信息安全事故报告流程,确保使用持续有效的方法管理信息安全事故。确保信息系统符合法律法规要求,定期进行信息安全检查工作,及时发现存在的安全问题并持续有效地改进。
6、基础设施安全
基础设施安全是指保护机房环境和设备实体的安全,防止对基础设施的非法使用、物理破坏或被盗,保障设备正常运行所必需的电源、温度、湿度、防水、防尘等运行环境。
基础设施安全规划内容:
对中心机房及其基础设施,要坚决搞好基本环境建设,要有完整的防雷电设施,且有严格的防电磁干扰设施,要搞好防水防火的预防工作。主机房电源要有完整的双回路备份机制,配置发电机、UPS等设施。在中心机房设置安全边界、物理进入控制,防范外部和环境威胁,防止对办公场所和信息的非授权访问和破坏。建立和完善视频监控系统和红外线防盗系统,
监控基础设施的运行情况和使用情况。并对机房环境和实体设备进行检修,定期实行灾难备份系统切换演习。
7、网络安全
网络安全是通过硬件、软件等安全控制形式来保障数据、语音、图像、传真等信息在网络传输过程中的安全,提高安全域和安全区之间网络通讯的私密性、完整性和可靠性。
网络安全规划内容:建设和完善防火墙安全体系,隔离安全区域,强化网络安全策略,对网络访问进行监控审计,防止内部信息的外泄。建设IPS入侵检测系统,通过特定的检测技术识别出恶意攻击的行为,并及时阻断攻击行为、保护网络安全。通过VLAN划分网络,隔离两个不同的网络安全域。通过物理级、网络级、系统级多种认证手段,对网络中的用户访问权限进行控制,确认使用者的身份及权限。记录和管理网络日志,保证网络安全的可审计性。通过SSL安全连接机制,保障网上银行等外部WEB连接的安全。
8、主机安全
主机系统的安全目标是保障主机平台系统高效、优质运行,防止主机系统遭受外部和内部的破坏和滥用,避免和降低由于主机系统的问题对业务系统造成的影响;协助应用进行访问控制和安全审计。
主机安全规划内容:完善主机系统安全管理,严格管理系统账户、有效控制系统服务,优化系统的安全配置,启用系统必要的安全控制措施、避免系统发生故障或遭受攻击。定期对主机的安全进行评估,检测主机的安全配置和存在的安全漏洞,及时修补,增强主机的抗
攻击能力。提高主机入侵防护能力,安装基于主机的入侵防护系统,防范入侵攻击和误操作行为的发生。根据业务需要对系统进行冗余设计,提高主机系统的抗风险能力。记录和管理主机系统日志,以便日后对系统进行有效的日志跟踪审计。建设同城异地灾备中心,定期进行灾备系统切换演习。
9、应用安全
应用安全指使用应用系统进行处理业务交易和工作过程的安全。
应用安全规划内容:完善操作员身份认证机制,检查操作员登录的合法性,加强密码管理,督促操作员定期更新密码,保证操作员密码的安全性。制定和完善系统操作员等级和角色管理体系,严格控制操作员对各类交易应用功能的使用权限。通过业务复核机制,对关键业务数据进行校验,保证业务数据的合法性。通过业务授权机制,实现对关键业务的监控,有效控制业务风险。建立自动预警机制,实时监控ATM、POS、电话银行、网上银行等自助交易渠道的运行情况,对系统运行过程中的异常情况及时告警。完善软件开发流程,制定符合银行实际情况的软件配置管理体制与软件质量保证机制,保证软件功能模块符合业务功能需求。
10、数据安全
数据安全是指保证数据的机密性、完整性、一致性、可用性、不可抵赖性,避免数据的泄密、破坏、纂改、丢失。
数据安全规划内容:在操作终端上,通过关键数据域合法性检查、敏感数据屏蔽
保证数据的合法性与机密性。在数据传输过程中,通过链路加密,节点加密,端到端加密在通信的三个不同层次保证数据的安全,通过数据传输中间件保证数据的完整性和一致性。在数据库层面,通过访问控制软件(如CCMS)监控、记录数据库操作,分类管理数据库日志文件以便日后对数据库操作进行审计,制定合适的磁盘冗余阵列(RAID )存储方案提高数据的容错能力,通过远程异地双机热备份提高数据的抗风险能力,制定相应的备份恢复策略以及应急计划,保证数据在遭遇破坏之后能够迅速地恢复。对于存放在数据仓库的历史数据,涉及商业机密的数据,必须制定访问控制机制限制操作员对数据的随意访问。