淺談銀行信息系統(tǒng)的安全問題
淺談銀行信息系統(tǒng)的安全問題
摘要:信息化在銀行業(yè)的廣泛而深入的應(yīng)用使信息系統(tǒng)成為銀行關(guān)鍵 業(yè)務(wù)正常運作的重要支撐平臺,如果信息系統(tǒng)出現(xiàn)了故障,勢必引起 業(yè)務(wù)中斷、信息阻隔,可能導致一個銀行的局部甚至整體癱瘓。信息系 統(tǒng)安全已經(jīng)成為關(guān)系到銀行業(yè)務(wù)能否順利開展的重要因素.
關(guān)鍵詞:銀行信息 信息系統(tǒng) 安全問題
前言
銀行信息系統(tǒng)的安全保障要以縝密的分析為前提,制定詳細的對策, 充分利用安全技術(shù)、安全產(chǎn)品來實現(xiàn)安全措施。本文以泰安農(nóng)村信用 社為例闡述銀行信息安全問題.
1.信息安全分析
銀行信息系統(tǒng)具有服務(wù)范圍廣泛,平臺復雜多樣,業(yè)務(wù)品種不斷 更新的特點。因此銀行信息系統(tǒng)龐大而復雜,信息安全涉及方面眾多, 我們大體可以按照安全管理、信息資產(chǎn)與環(huán)境、主機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、 日常運維五個方面進行分析.
1.1安全管理問題分析.
泰安農(nóng)村信用社信息系統(tǒng)一貫重視系統(tǒng)安全,但對與系統(tǒng)安全的 管理仍處于比較傳統(tǒng)的模式,即一種靜態(tài)的、局部的、少數(shù)人負責的、 突擊式的、事后糾正式的管理方式;安全管理偏重對業(yè)務(wù)的保障,在內(nèi) 部管理上相對比較松散;一些安全管理策略和制度規(guī)范比較宏觀,在 可操作性和實效性上還值得進一步探討與改進.
1.2信息資產(chǎn)與環(huán)境問題分析.
泰安農(nóng)信信息系統(tǒng)依照相關(guān)的規(guī)定進行建設(shè)。目前還需要改進的 問題為包括物理環(huán)境的單點故障隱患及不可抗力因素導致的系統(tǒng)安 全的風險;對信息資產(chǎn)的保護缺乏信息資產(chǎn)分類體系,無法實現(xiàn)對設(shè) 備的購置、維修、報廢等環(huán)節(jié)的實時管理.
1.3主機系統(tǒng)問題分析 信息中心的主機上存放大量的業(yè)務(wù)數(shù)據(jù),對全轄提供數(shù)據(jù)服務(wù)及 技術(shù)支持,保證轄內(nèi)計算機系統(tǒng)全年365天、全天24小時不間斷運 行,因此主機采用高可用性和全冗余結(jié)構(gòu)的主機系統(tǒng),配置磁盤陣列 存儲數(shù)據(jù).
目前面臨維護錯誤和操作失誤、未經(jīng)授權(quán)訪問和操作、權(quán)限濫用、 硬件故障、數(shù)據(jù)庫本身存在的安全漏洞等威脅.
1.4網(wǎng)絡(luò)系統(tǒng)問題分析 現(xiàn)行銀行計算機網(wǎng)絡(luò)是銀行計算機信息系統(tǒng)中最易受攻擊又最 難以防范的薄弱環(huán)節(jié),為了保障網(wǎng)絡(luò)安全,目前采取的的措施有增加 防火墻,對連接科技中心主機全部做了限制,安裝了IDS入侵檢測系 統(tǒng)。還存在以下問題:主交換機雖然劃分了VLAN,但劃分VLAN數(shù)量 少,無法滿足業(yè)務(wù)高速發(fā)展需要;辦公網(wǎng)現(xiàn)在沒有邏輯劃分;在省市和 市縣之間沒有實施QOS策略,存在一定網(wǎng)絡(luò)擁塞的風險.
1.5日常運維問題分析 目前日常運維工作繁重,日常運維只是通過已有的書面的操作流 程進行操作,無法記錄操作結(jié)果,對日常運維缺乏審計性;機房主要依 靠人工巡查等手段進行監(jiān)控,存在不能及時發(fā)現(xiàn)問題的隱患。對于登 陸信息系統(tǒng)的網(wǎng)點柜員身份驗證停留在“用戶名+密碼”階段,存在非 法入侵的安全隱患.
2.信息安全風險識別
通過對泰安農(nóng)村信用社進行信息資產(chǎn)識別,逐項進行風險評估, 并制訂風險控制措施.
2.1確定資產(chǎn)風險等級 全面了解泰安農(nóng)信信息系統(tǒng)安全現(xiàn)狀,采用定性與定量相結(jié)合的 方法,并依據(jù)標準要求充分考慮到資產(chǎn)的安全價值、威脅、薄弱點、威 脅發(fā)生的可能性、威脅造成的潛在響應(yīng)等因素,將各個資產(chǎn)所面臨的 眾多威脅因素統(tǒng)一起來描述.
2.2明確風險控制方法 根據(jù)風險評估表,對該資產(chǎn)已經(jīng)識別出的風險點,在現(xiàn)有的控制 措施之外,進一步提出解決該風險點的新方法或新措施,以使風險降 低到可接受的程度,并明確責任人,制定一個切實可行的風險處理計 劃。
3.信息安全問題解決
根據(jù)風險評估的結(jié)果及風險控制方案,依照安全管理體系的要求 對準備階段中涉及的各類問題集中解決,使得在信息系統(tǒng)受到侵襲 時,確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度.
3.1安全管理的安全實現(xiàn) 針對目前泰安農(nóng)信信息系統(tǒng)在安全管理方面存在的問題,信息安 全人員仔細分析問題,提出問題解決方案如下.
3.1.1明確指出系統(tǒng)中每位員工的責權(quán)問題.
3.1.2建立較完善的信息科技制度體系,明確泰安農(nóng)信信息系統(tǒng) 工作流程,避免管理混亂.
3.1.3建立規(guī)范的信息系統(tǒng)風險防控和應(yīng)急處置流程,逐步提高 突發(fā)事件的應(yīng)急能力.
3.2信息資產(chǎn)與環(huán)境的安全實現(xiàn) 針對目前泰安農(nóng)信信息系統(tǒng)在信息資產(chǎn)與環(huán)境方面存在的問題, 信息安全人員仔細分析問題,提出如下問題解決方案.
3.2.1引入“計算機設(shè)備管理系統(tǒng)”軟件,規(guī)范設(shè)備管理。對設(shè)備的 購置、維修、報廢等環(huán)節(jié)的管理的問題進行跟蹤記錄.
3.2.2對銀行設(shè)備與物理環(huán)境進行容災規(guī)劃,實施容災系統(tǒng)。對通 訊線路及硬件設(shè)備進行冗余備份;對重要數(shù)據(jù)制定完善的備份規(guī)則.
3.3主機系統(tǒng)的安全實現(xiàn) 針對目前泰安農(nóng)信信息系統(tǒng)在主機系統(tǒng)方面存在的問題,信息安 全人員仔細分析問題,提出如下問題解決方案.
3.3.1開發(fā)備份配置軟件,保存每次設(shè)置變更情況,使設(shè)置變更有 跡可循.
3.3.2為保證數(shù)據(jù)信息安全,采用雙機熱備、重要數(shù)據(jù)遠程備份、 異地存放等多種措施避免系統(tǒng)風險.
3.3.3應(yīng)用“運維安全管理系統(tǒng)”對操作員的操作進行限制,杜絕 由于操作用戶權(quán)限過大而造成的安全隱患.
3.4網(wǎng)絡(luò)信息的安全實現(xiàn) 主要包括信用社內(nèi)部數(shù)據(jù)傳輸線路的安全實現(xiàn)、第三方接入的安 全實現(xiàn)等。泰安農(nóng)信采用SDH線路進行組網(wǎng);通過端點隔離方式實現(xiàn) 業(yè)務(wù)和辦公網(wǎng)絡(luò)分離;通過整體路由規(guī)劃和QOS規(guī)劃實現(xiàn)對各業(yè)務(wù) 數(shù)據(jù)流的控制;內(nèi)網(wǎng)配置了多套防火墻,實現(xiàn)對內(nèi)網(wǎng)的通訊訪問的控 制與隔離.
3.5日常運維的安全實現(xiàn) 針對目前泰安農(nóng)信信息系統(tǒng)在日常運維方面存在的問題,信息安 全人員仔細分析問題,提出如下問題解決方案.
3.5.1建立網(wǎng)絡(luò)化的運維機制。探索建立科技服務(wù)聯(lián)動網(wǎng).
3.5.2分析日常工作流程,開發(fā)“電子日志系統(tǒng)”,確保日常工作不 會遺漏,并記錄操作員日常操作,保證操作過程的可審計性.
3.5.3建立機房自動監(jiān)控系統(tǒng),實時監(jiān)控放置、設(shè)備的運行狀態(tài)及 工作參數(shù),發(fā)現(xiàn)部件故障或參數(shù)異常,及時報警,并可記錄歷史數(shù)據(jù)和 報警時間.
3.5.4對營業(yè)網(wǎng)點操作柜員加強身份驗證,防范非法入侵.
4.結(jié)論
對于泰安農(nóng)村信用社來說,雖然威脅到業(yè)務(wù)連續(xù)運營的各種風險 將永遠存在,但是,只要清醒地評估分析這些風險,同時建立應(yīng)對風險 的完善機制,全行上下形成業(yè)務(wù)連續(xù)性管理的企業(yè)文化,不斷加強災 備建設(shè)與應(yīng)急演練,風險將被有效地分散與排除.