信息中心
寶利信通金融業行業解決方案
第 1 章 我國金融行業的現狀和業務特點
隨著加入WTO的臨近,金融行業加快了改革和重組的步伐,面對國內外的競爭,各行加大了科技的資金投入,不斷完善網絡結構,紛紛推出高技術含量的客戶服務項目,爭取客戶,吸收存款,多占市場份額。
因此,爭取客戶使各金融機構展開了競爭的行動。競爭的加劇使各金融機構各施所能,推出網上銀行、手機銀行、電子商務、網上證券交易等服務,隨著電子商務(E-Commerce)、銀行信息化建設(Intranet/Internet/Extranet)、虛擬專用網(VPN)等的興起,網絡改造的逐漸深入,各金融機構內部網絡已經形成了一個基于TCP/IP,網絡設備多種多樣的一個復雜的全國性的復雜的廣域網,同時,金融機構內部的網絡系統安全也越來越直接的地涉及到生產領域,與經濟效益和經濟利益也越來越緊密的聯系在了一起,金融業務的特殊性和實時性以及保密性又要求不能有任何一點的失誤,如何設計一個好的,高效的,經濟的,風險最低的安全網絡系統已成為亟待解決的大問題。
金融業務由于其覆蓋范圍廣,服務范圍極寬,所以具有以下特點:
· 安全性
金融機構是經營貨幣的特殊企業。其基本性質決定了在辦理過程中必須有高度的安全性,而辦理過程對客戶來說是相對透明的,這就要求銀行的網絡,系統具有高度的安全性。
· 方便性
隨著各種金融業務的放開,各金融機構之間的競爭愈來愈激烈,而能夠給客戶提供最大方便者,必定會取得勝利,服務快捷正是銀行的口號之一,而隨著中國市場經濟的進一步發展,只有高度的電子化,網絡化,才能在這場競爭中立于不敗之地。比如各行大力發展的全國電子聯行,網上銀行服務以及各種中間業務便是如此。
第 2 章 金融業信息安全的威脅
1. 對內部人員的充分信任,特別是對于內部信息科技人員的充分信任,而且沒有可靠的管理手段往往是出現內部高科技犯罪的開始。
2. 雖然制定了一系列信息安全規定,但是沒有一個科學的評估方法和管理,無法對系統的安全和漏洞進行量化的分析和科學的管理,結果往往是事與愿違。
3. 業務系統操作人員安全管理薄弱,口令系統混亂,安全性差。雖然有加密機,只要能物理的接觸到營業終端,就能很容易的實現到主機系統的越權訪問。
4. 加密機的黑箱設計,算法的不公開給黑客的遠程攻擊造成了困難,也使得算法和設計上的缺陷不易被監察,而對有心人來說,也許解密和仿冒并不困難。
5. 分組協議里的閉合用戶群并不安全,信任關系可能被黑客利用。
6. 有的同城清算、聯行系統可能被攻破和滲透。
7. 應用軟件的潛在設計缺陷。
8. 主機系統存在安全漏洞。
由于電子商務的發展,現在不少銀行開始將一部分業務邏輯放到Internet上,而且隨著新業務發展需要,單人臨柜制、金融綜合網、網上銀行服務、電子支付、金融票據電子化等等,今后幾年內將迅速形成一個以開放協議為主流復雜網絡應用環境,來自外部和內部的攻擊將不斷增加.這就對金融系統的安全性提出了更高的要求。
第 3 章 金融業信息安全需求
金融行業在考慮安全過程中主要需要考慮包含貫穿始終的安全策略、安全評估和安全管理;而在技術層面上需要考慮實體的物理安全,網絡的基礎結構、網絡層的安全、操作系統平臺的安全、應用平臺的安全,以及在此基礎之上的應用數據的安全。
上述多個方面,既是一種防護基礎,也是相互促進的,同時,也是一個循環遞進的工程,需要不斷的自我完善和增強,才能夠形成一套合理有效的整體安全防護系統。
總體來講,金融行業業務支撐網的安全需求包括如下幾個部分:
· 策略安全,包括安全的范圍、等級、公司的政策、標準。
· 安全評估,包括威脅評估、漏洞評估、制度評估。
· 物理安全,包括門禁系統、防靜電防磁、防火防盜、多路供電。
· 系統安全,包括系統漏洞掃描、系統加固、系統入侵偵測和響應、主機訪問控制、集中認證。
· 網絡安全,包括網絡漏洞掃描、網絡入侵偵測和響應、路由器訪問控制列表(ACL)、集中認證、防火墻、VLAN、QoS、路由欺騙、地址欺騙。
· 應用和數據庫安全,包括數據庫漏洞掃描,數據庫安全管理。
· 數據和內容安全,包括網絡和網關式病毒掃描服務、VPN加密。
寶利信通為中國金融業提供信息安全解決方案,將詳細分析當前金融界的總體信息安全現狀,總體信息安全需求,提出從總體安全策略的建立到完整信息安全體系建立,包括緊急相應制度、隊伍建立的所有內容的完整解決方案,成為中國金融業可靠的安全顧問,為中國金融業總體業務安全安全提供堅強的后盾。
第 4 章 解決方案的目標
"需要強調的是,不存在完全可靠的安全措施。但是,必須確保針對這些基礎設施的危害具有間斷性、暫時性、可管理性和物理隔離性的特點,并且確保這些危害對美國利益的威脅程度最低。" --- 摘自美國《保護網絡空間的國家戰略》
在網絡安全防御和攻擊的"角力"過程中,沒有永遠的勝者。這體現在幾個方面:沒有完美、永遠正確的安全策略;沒有萬無一失的安全產品;沒有永遠不犯錯誤的安全專家。。。
網絡安全的水平體現在:使用經濟上得益的投資來控制網絡安全威脅在可以忍受的水平,挫敗策略規劃中的威脅方。
基于上面的出發點,我們設計的整個方案的完整實施將保證客戶網絡達到以下幾個目標:
建立全網的策略、管理、組織和安全技術體系。參照后面的描述,建立起結合實際業務情況和安全需求的策略并通過相應的管理、組織、和技術體系進行落實和跟進。
實現關鍵業務的6個重要安全屬性:機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、可靠性(Reliability)、認證性(Authenticity)、審計性 (Accountability)。體現在對關鍵業務和數據的訪問、修改、編輯、創建等過程都通過了嚴格的加密和認證措施,所有關鍵業務相關的網絡活動被記錄和審查。
實現關鍵業務的"全程全網"安全事件可視化(Visualization)。體現在全網關鍵業務和數據相關的網絡事件可以非常直觀地可視化回放,保證安全策略沒有被違反,有能力進行事后的分析和追查,提供可以"呈堂"的證據。
全網的安全風險處于可管理、可控制狀態下。對網絡安全風險的不間斷的評估和控制措施調整,使得全網的整體安全狀況和風險情況以定性或半定量的形式及時展現出來。幫助企業管理層和客戶建立信心。
保證全網的"抗打擊能力"處于國內領先地位。在網絡攻擊、自然災害、災難、恐怖事件以及其它不可預見的威脅出現時,全網關鍵業務有能力進行迅速的響應和恢復。幫助自己的客戶建立信心,從而提高企業的信譽和效益。
保證全網相關業務活動在網絡安全方面的法律法規符合性。在整個企業的技術和商務活動中,都將建立法律法規符合性審核制度,保證企業的商業信譽和利益不受傷害。
第 5 章 解決方案
從前面的分析來看,我們綜合目前金融行業面臨的所有的風險和問題,主要集中以下三個方面:
缺乏統一的安全規劃和安全職責部門,缺乏技術手段,統一的部署安全策略,響應安全事故,控制安全風險。
盡管已經采用了一些安全措施,但是目前安全措施的采用還是嚴重不足的,存在大量這樣、那樣的風險和漏洞。
安全管理仍然存在大幅度改進的空間,安全意識培訓、安全策略和業務連續性計劃都必須逐步完成并實施。
與此相對應的,我們建議針對這三個方面問題采取三種針對性的解決方案:
其一,我們強烈建議建設安全管理中心(SOC),進行統一集中的網絡安全管理
其二,建設安全防護體系:從安全產品和服務方面對現有網絡和數據的保護進行加強
其三,從管理方面進行策略、組織機構和管理考核制度方面執行安全考慮。
5.1 安全管理中心(SOC)
傳統的安全管理方式是將分散在各地、不同種類系統就近分別管理,這樣導致安全信息互不相通,安全策略難以保持一致。這種傳統的管理運行方式是許許多多安全隱患形成的根源。
安全管理中心是針對傳統管理方式的一種重大變革。它將關鍵設備的運行管理權利集中到一起,通過高度密集的管理產品和手段,將分散在各地區、不同業務網絡上面的各種安全產品有機的結成一個整體。
我們建議的安全管理中心(SOC)所涉及的安全管理管理范圍包括:
· 所有的基于IP的網絡和應用系統的安全:包括生產網絡本身、中間業務系統、各種核心業務系統以及內部管理信息系統、辦公系統等。
· 所有安全產品組成的安全體系的實時管理和監控都應當受到SOC的管理。
· 所有非安全產品的關鍵應用系統均應該通過一定途徑將安全相關信息輸送到安全運行中心中,保證及時安全時間的發現、分析和響應。
· 負責協同高層領導,制定和實施企業長期安全目標和策略,并將其分解為中期和短期策略,負責日常安全配置和維護。
5.2 安全產品和服務
雖然金融系統的網絡中已經部署了一些網絡安全產品,但是這些產品沒有形成體系,尚有許多薄弱環節沒有覆蓋到,不少安全產品沒有得到有效利用。為了實現全面的安全目標,需要全面考慮對于安全產品和服務的部署需求,實現"全網"安全的目標。
根據上面的分析,我們建議有重點地按照下面的策略來布署安全產品以大幅度提升全網的安全水平,寶利信通有能力就如下幾方面提供全面的技術解決方案:
· 配置(增加)更為先進的防火墻和入侵檢測系統,來增強已有的訪問控制和審計響應手段;
· 構建節點間的VPN體系,保護在廣域網間傳輸的金融數據的安全;
· 完善的反病毒體系來增強全網的抗病毒和蠕蟲攻擊能力;
· 布署全網統一的風險評估軟件和安全信息庫,提升全網的安全審計和風險管理能力;
· 布署集中的認證服務器和相應軟件(帶有高可靠性冗余設計),來提高全網的認證和訪問控制能力;
· 在關鍵業務和數據網段布署國際先進的事件分析軟件,提高對安全事件的分析、定位、追查等能力,提高全網的安全事件可視化水平;
· 在全網范圍內布署適當的、基于PKI體系的加密、數字簽名和安全認證產品和技術,提高全網關鍵業務的保密性、完整性、可靠性以及抗抵賴等安全屬性
· 在安全運行中心布署集中的安全管理軟件,集中監視全網關鍵設備和安全應用的運行狀態和安全事件。
文章作者:IT365
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄