信息中心
天融信銀行系統安全防護解決方案
1.銀行信息系統概述
銀行系統包括人民銀行、銀監會以及下屬個部門和各國有商業銀行、股份制銀行、政策銀行以及銀聯等銀行機構的信息系統,其安全狀況直接關系到國家經濟形式和國計民生。銀行業務信息化在全國范圍內是走在前面的。從規劃的角度看,銀行的信息與網絡安全建設與銀行的整個電子化、信息化和網絡化密切相關,把金融風險監管現代化和金融電子化、信息化和網絡化風險的監管密切結合起來,是搞好銀行與信息與網絡安全建設的根本思路。
(1).銀行網絡行為和內容的安全情況銀行網絡行為與內容的安全問題實際是銀行風險監管的問題,銀行風險監管既要檢查銀行和客戶人員在現實世界中的人與銀行業務相關的行為結果,又要檢查網絡虛擬世界中用戶、系統和代理的行為,實際上要對銀行監管實行監管現代化的建設和銀行信息化實行監管。銀行行為與內容的監管可分為三個級別:第一個級別主要對行為的可信性、有效性、完整性、連續性、保密性以及內容的可信性、保密性和完整性進行基礎性監管;第二級別是依照巴賽爾資本協議的要求對風險實行分類監管;第三級別是完成企業的綜合性風險監管,包括實現資金流量、流向監管。
(2).銀行企業業務運營信息化安全情況對于各商業銀行,主要涉及銀行價值管理信息系統、資源管理信息系統、銀行產品服務管理信息系統、銀行風險監管系統、銀行客戶管理信息系統、銀行電子商務公共渠道管理系統(網絡銀行系統、銀行自助系統等)、銀行電子商務大客戶渠道管理系統、銀行網關和辦公系統、銀行管理中心、銀行運營中心系統(呼叫服務中心、電子票據中心、信息交換中心等)、銀行開發中心系統以及災備中心系統等。對于這些業務信息系統,由于銀行系統有高度的安全意識,領導重視,銀行系統的安全工作開展的較早,制定了相關的標準和規范,進行了安全規劃并部分進行了實施。廣泛的采用了防火墻、入侵檢測系統、加密等關鍵安全產品建立了基礎的安全防護和監控系統,但由于缺乏資金,使得安全建設仍然存在很多不足,存在許多安全隱患和問題。
(3).銀行網絡系統安全情況當前銀行網絡系統安全問題重要表現在數據大集中后的安全,其特點是數據服務大集中,前置通信中心強大的和眾多本地與遠端終端的中心體系結構。突出的問題是應急災備系統建設、體系內多系統之間的隔離、生產專網與公網隔離、訪問行為控制、國外外包服務、關鍵節點安全、大規模入侵檢測和防護、進口社保的遠程控制和隱蔽通道、安全培訓等方面問題。其中電子陰魂大公共渠道和銀行與大客戶渠道安全與連接問題,是銀行信息化安全建設、風險監管建設的重要內容。總體來說隨著我國金融改革的進行,各個銀行紛紛將競爭的焦點集中到服務手段上,不斷加大電子化建設投入,擴大計算機網絡規模和應用范圍。但是,應該看到,電子化在給銀行帶來利益的同時,也給銀行帶來了新的安全問題,并且,這個問題現在顯得越來越緊迫。原因主要有三個:一是伴隨我國經濟體制改革,特別是金融體制改革的深入、對外開放的擴大,金融風險迅速增大。防范和化解金融風險成了各級政府和金融部門非常關注的問題。二是當前計算機應用日益廣泛、計算機日趨網絡化,系統的安全性漏洞也隨之增加。多年以來,銀行迫于競爭的壓力,不斷擴大電子化網點、推出電子化新品種,忽略了計算機管理制度和安全措施的建設,使計算機安全問題日益突出。三是計算機知識日益普及,金融網絡向國際化發展,計算機犯罪技術也在不斷提高,利用計算機犯罪的案件呈逐年上升趨勢,這也迫切要求銀行信息系統具有更高的安全防范體系。
2.銀行信息系統安全分析及建議
目前銀行用戶關注的信息化安全問題主要是客戶隱私、用戶權益、信息內容安全和客戶可信接入銀行網等問題。具體如下:
全面整合銀行信息化安全建設,在此基礎上建立銀行信息安全保障、應急和監管系統。銀行系統應在考慮建設信息安全保障體系的同時,圍繞標準控制與管理中心的建設,以及數據與內容安全、計算環境安全、邊界安全、信息基礎設施安全、數字證書、災備、業務行為監管以及服務等方面進行安全建設。
以安全觀點再度審核銀行應用數據大集中的安全建設問題。同時對銀行的重點ISP、ICP的安全也應加以足夠的重視。
建立功能強大的網絡管理與標準化監管中心,這個中心要對數據管理、系統管理、網絡管理、安全管理、密鑰管理、內部人員行為監控、代理(agent)管理、網絡遠程服務監控和標準化執行實施統一監管。
銀行使用衛星通信的重要系統盡快實施多星、多轉發器備份、天地備份項目,為銀行系統通訊提供穩定可靠的環境。
專網與公網的隔離安全建設。
銀行外包服務安全建設。
安全檢測、監控、審計、追蹤和定位系統建設。
制定安全應急標準與安全應急培訓。
同時銀行信息系統安全性總的原則應該是:制度防內,技術防外。所謂“制度防內”,是要建立嚴密的計算機管理規章制度、運行規程,形成內部各層人員、各職能部門、各應用系統的相互制約關系,杜絕內部作案的可能性,并建立良好的故障處理反應機制,保障銀行信息系統的安全正常運行。“技術防外”主要是指從技術手段上加強安全措施,防止外部黑客的入侵。我們在不影響銀行正常業務與應用的基礎上建立銀行的安全防護體系,從而滿足銀行網絡系統環境要求。經過對銀行系統的安全風險和安全需求分析,我們提出通過部署防火墻子系統、VPN子系統、入侵檢測子系統、服務器核心防護子系統、防病毒子系統、日志審計子系統、內網監控子系統、安全管理等子系統,并通過統一的平臺進行集中管理。
文章作者:國脈電子政務網
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄