中小商业银行信息安全体系构架思路2009-03-24CBSi中国·PChome.net类型:转载来源:睿商在线中小银行所面临的信息安全风险大多数中小商业银行网络系统是于近几年规划建设实施的生产、办公、通信综合系统网络。随着银行业务范围的不断扩展,业务应用的不断深入,IT需求不断增加,网络系统逐步显现出可管理性差、攻击防护设备老化等安全隐患,监管部门也进行了信息安全风险的相关提示。为此,结合呼和浩特市商业银行的现状,谈一谈中小商业银行信息安全体系建设的思路。一、中小银行所面临的信息安全风险随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式。随着网络技术在金融行业的全面应用,大大提高了金融行业的业务处理效率和管理水平,促成了各项创新的金融业务的开展,改善了整个金融行业的经营环境,增强了金融信息的可靠性,使金融服务于社会的手段更趋现代化。但是,同其他任何行业一样,网络安全风险伴随着网络技术在金融行业的全面应用而全面笼罩在金融行业的每个业务角落。金融行业IT系统由于涉及信息的敏感性自然会成为内部和外部黑客攻击的目标,面临的网络安全风险叙述如下八类:1、非法访问:现有网络设备本身具备一定的访问控制能力,而这些访问控制强度较弱,攻击者可以在任一终端利用现有的大量攻击工具发起攻击;另一方面金融行业(如银行)开发的很多增值业务、代理业务,存在大量与外界互连的接口,外部网络可能会通过这些接口攻击银行,造成巨大损失。2、失密和窃密:利用搭线窃听窃收,使用协议分析仪器窃收计算机系统的操作密码,破解系统的核心密码,窃取用户帐号、密码等;或利用间谍软件获得敏感的金融信息。3、信息篡改:利用信息篡改攻击手段,非授权改变金融交易传输过程、存储过程中的信息。4、内部人员破坏:内部人员熟悉金融行业网络系统的应用业务和薄弱环节,可以比较容易地篡改系统数据、泄露信息和破坏系统的软硬件。5、黑客入侵:利用黑客技术非法侵入金融行业的网络系统,调阅各种资料,篡改他人的资料,破坏系统运行,或者进行有目的的金融犯罪活动。6、假冒和伪造:假冒和伪造是金融行业网络系统中经常遇见的攻击手段。如伪造各类业务信息,未授权篡改数据,改变业务信息流的次序、时序、流向,破坏金融信息的完整性,假冒合法用户实施金融欺诈等。7、蠕虫、病毒泛滥:蠕虫、病毒泛滥可能导致金融行业的重要信息遭到损坏,或者导致金融行业网络系统瘫痪。8、拒绝服务:拒绝服务攻击使金融行业的电子商务网站无法为客户提供正常服务,造成经济损失,同时也使行业形象受到损害。二、中小银行信息安全体系建设的目标根据上述中小银行所面临的信息安全风险,我认为中小银行信息安全体系建设的目标是通过建立完善的信息安全管理制度和智能、深度的安全防御技术手段,构建一个管理手段与技术手段相结合的全方位、多层次、可动态发展的纵深安全防范体系,来实现信息系统的可靠性、保密性、完整性、有效性、不可否认性,为金融业务的发展提供一个坚实的信息系统基础保障。信息安全防范体系的覆盖范围是整个信息系统。中小银行信息安全建设的主要工作内容有:1、建立银行信息安全管理组织架构,专门负责信息系统的安全管理和监督。2、制订金融安全策略和安全管理制度。安全管理部门结合银行信息系统的实际情况,制订合理的安全策略,对信息资源进行安全分级,划分不同安全等级的安全域,进行不同等级的保护。制订并执行各种安全制度和应急恢复方案,保证信息系统的安全运行。这些包括:密码管理制度、数据加密规范、身份认证规范、区域划分原则及访问控制策略、病毒防范制度、安全监控制度、安全审计制度、应急反应机制、安全系统升级制度等。3、设计并实施技术手段,技术手段要包括外网边界防护、内网区域划分与访问控制、端点准入、内网监控与管理、移动办公接入、拨号安全控制、病毒防范、安全审计、漏洞扫描与补丁管理等诸多方面安全措施。4、建立安全运维管理中心,集中监控安全系统的运行情况,集中处理各种安全事件;统一制订安全系统升级策略,并及时对安全系统进行升级,以保证提高安全体系防护能力。三、中小...
