天融信银行系统安全防护解决方案

1.银行信息系统概述

银行系统包括人民银行、银监会以及下属个部门和各国有商业银行、股份制银行、政策银行以及银联等银行机构的信息系统,其安全状况直接关系到国家经济形式和国计民生。银行业务信息化在全国范围内是走在前面的。

从规划的角度看,银行的信息与网络安全建设与银行的整个电子化、信息化和网络化密切相关,把金融风险监管现代化和金融电子化、信息化和网络化风险的监管密切结合起来,是搞好银行与信息与网络安全建设的根本思路。

1.银行网络行为和内容的安全情况银行网络行为与内容的安全问题实际是银行风险监管的问题,银行风险监管既要检查银行和客户人员在现实世界中的人与银行业务相关的行为结果,又要检查网络虚拟世界中用户、系统和代理的行为,实际上要对银行监管实行监管现代化的建设和银行信息化实行监管。

银行行为与内容的监管可分为三个级别:第一个级别主要对行为的可信性、有效性、完整性、连续性、保密性以及内容的可信性、保密性和完整性进行基础性监管;第二级别是依照巴赛尔资本协议的要求对风险实行分类监管;第三级别是完成企业的综合性风险监管,包括实现资金流量、流向监管。

2.银行企业业务运营信息化安全情况对于各商业银行,主要涉及银行价值管理信息系统、资源管理信息系统、银行产品服务管理信息系统、银行风险监管系统、银行客户管理信息系统、银行电子商务公共渠道管理系统(网络银行系统、银行自助系统等)、银行电子商务大客户渠道管理系统、银行网关和办公系统、银行管理中心、银行运营中心系统(呼叫服务中心、电子票据中心、信息交换中心等)、银行开发中心系统以及灾备中心系统等。

对于这些业务信息系统,由于银行系统有高度的安全意识,领导重视,银行系统的安全工作开展的较早,制定了相关的标准和规范,进行了安全规划并部分进行了实施。广泛的采用了防火墙、入侵检测系统、加密等关键安全产品建立了基础的安全防护和监控系统,但由于缺乏资金,使得安全建设仍然存在很多不足,存在许多安全隐患和问题。

3.银行网络系统安全情况当前银行网络系统安全问题重要表现在数据大集中后的安全,其特点是数据服务大集中,前置通信中心强大的和众多本地与远端终端的中心体系结构。

突出的问题是应急灾备系统建设、体系内多系统之间的隔离、生产专网与公网隔离、访问行为控制、国外外包服务、关键节点安全、大规模入侵检测和防护、进口社保的远程控制和隐蔽通道、安全培训等方面问题。

其中电子大公共渠道和银行与大客户渠道安全与连接问题,是银行信息化安全建设、风险监管建设的重要内容。总体来说随着我国金融改革的进行,各个银行纷纷将竞争的焦点集中到服务手段上,不断加大电子化建设投入,扩大计算机网络规模和应用范围。但是,应该看到,电子化在给银行带来利益的同时,也给银行带来了新的安全问题,并且,这个问题现在显得越来越紧迫。

原因主要有三个:一是伴随我国经济体制改革,特别是金融体制改革的深入、对外开放的扩大,金融风险迅速增大。防范和化解金融风险成了各级政府和金融部门非常关注的问题。

二是当前计算机应用日益广泛、计算机日趋网络化,系统的安全性漏洞也随之增加。多年以来,银行迫于竞争的压力,不断扩大电子化网点、推出电子化新品种,忽略了计算机管理制度和安全措施的建设,使计算机安全问题日益突出。

三是计算机知识日益普及,金融网络向国际化发展,计算机犯罪技术也在不断提高,利用计算机犯罪的案件呈逐年上升趋势,这也迫切要求银行信息系统具有更高的安全防范体系。

2.银行信息系统安全分析及建议

目前银行用户关注的信息化安全问题主要是客户隐私、用户权益、信息内容安全和客户可信接入银行网等问题。具体如下:

全面整合银行信息化安全建设,在此基础上建立银行信息安全保障、应急和监管系统。银行系统应在考虑建设信息安全保障体系的同时,围绕标准控制与管理中心的建设,以及数据与内容安全、计算环境安全、边界安全、信息基础设施安全、数字证书、灾备、业务行为监管以及服务等方面进行安全建设。

以安全观点再度审核银行应用数据大集中的安全建设问题。同时对银行的重点ISP、ICP的安全也应加以足够的重视。

建立功能强大的网络管理与标准化监管中心,这个中心要对数据管理、系统管理、网络管理、安全管理、密钥管理、内部人员行为监控、代理(agent)管理、网络远程服务监控和标准化执行实施统一监管。

银行使用卫星通信的重要系统尽快实施多星、多转发器备份、天地备份项目,为银行系统通讯提供稳定可靠的环境。

专网与公网的隔离安全建设。

银行外包服务安全建设。

安全检测、监控、审计、追踪和定位系统建设。

制定安全应急标准与安全应急培训。

同时银行信息系统安全性总的原则应该是:制度防内,技术防外。所谓"制度防内",是要建立严密的计算机管理规章制度、运行规程,形成内部各层人员、各职能部门、各应用系统的相互制约关系,杜绝内部作案的可能性,并建立良好的故障处理反应机制,保障银行信息系统的安全正常运行。"技术防外"主要是指从技术手段上加强安全措施,防止外部黑客的入侵。

我们在不影响银行正常业务与应用的基础上建立银行的安全防护体系,从而满足银行网络系统环境要求。经过对银行系统的安全风险和安全需求分析,我们提出通过部署防火墙子系统、VPN子系统、入侵检测子系统、服务器核心防护子系统、防病毒子系统、日志审计子系统、内网监控子系统、安全管理等子系统,并通过统一的平台进行集中管理。