金融行业信息化系统经过多年的发展建设,目前信息化程度已达到了较高水准。信息技术在提高管理上的水准、促进业务创新、提升企业竞争力方面发挥着日益重要的作用。随着银行信息化的深入发展,银行业务系统对信息技术的高度依赖,银行业网络信息安全问题也日益严重,新的安全威胁不断涌现,并且由于其数据的特殊性和重要性,更成为黑客攻击的重要对象,针对金融信息网络的计算机犯罪的案件呈逐年上升趋势,特别是银行全方面进入业务系统整合、数据大集中的新的发展阶段,以及银行卡、网上银行、电子商务、网上证券交易等新的产品和新一代业务系统的迅速发展,现在不少银行开始将部分业务放到网络上,今后几年内将迅速形成一个以基于TCP/IP协议为主的复杂的、全国性的网络应用环境,来自外部和内部的信息安全风险将持续不断的增加,这就对金融系统的安全性提出了更高的要求,金融信息安全对金融行业稳定运行、客户权益乃至国家经济金融安全、社会稳定都具有逐渐重要的意义。金融业迫切地需要建设主动的、深层的、立体的信息安全保障体系,保障业务系统的正常运转,保障企业经营使命的顺利实现。
金融行业网络系统面临的风险复杂多样,既有来自外部的,也有来自内部的。可以概括为以下三个大的方面:
·技术方面的风险。安全保护的方法不充分。尽管已经采用了一些安全技术和安全产品,但是目前安全技
·管理方面的风险。安全管理有待提升,安全意识培训、安全策略和业务连续性计划都需要完善和加
·缺乏对内部用户的行为控制和行为监管,表现在对内部人员的过分信任,没有可靠的管理手段往往是
·虽然制定了一系列信息安全规定,但没一个科学的评估方法和管理手段,无法对系统的安全状况
·缺乏专业的安全组织架构和明确的管理流程(如应急响应流程)。
·业务系统操作人员安全管理薄弱,口令系统混乱,安全性差。
·开放的TCP/IP协议的的先天设计缺陷,易于遭受IP欺骗攻击和各种拒绝服务攻击。
·蠕虫、病毒、垃圾邮件、间谍软件带来的数据破坏和泄露风险。
·大量的、分散的安全资源的整合和集中管理问题,以及海量安全事件和告警需要的大量人力资源处理
综合分析金融行业所面临的各种安全风险,安氏领信建议金融行业建设一个包括安全组织体系、安全管理体系和安全技术体系的全面安全保障体系,包含贯穿始终的安全策略、风险评估、安全管理,以及最终用户行为监管;而在技术层面上需要仔细考虑综合采取多种保护的方法,保护网络和安全域边界、网络及基础设施、终端计算环境的安全、以及进行安全运行中心等支撑性安全设施的建设。
·策略安全,包括信息安全的范围、等级、政策、标准、规章制度、流程等等。
·系统安全,包括自动补丁管理、系统弱点评估、系统加固、系统入侵检测和响应、主机访问控制、网
·网络安全,包括网络漏洞扫描、网络入侵检测和响应、路由器访问控制列表(ACL)、AAAA、防火墙、
·数据和内容安全,包括网络和网关防病毒、通信加密、内容过滤、防垃圾邮件等等。
·安全运行中心,覆盖资产管理、威胁管理、风险管理、问题管理、知识库管理等等方面,起到信息安
建设目标:满足金融行业的机密性、完整性、可用性、可控性、毋庸置疑性等安全需求; 建设原则:扩展性、前瞻性、先进性、整体性、标准性、主动性、投资保护、法律和法规符合性原则;
安全管理体系通过建立健全安全管理组织机构和人员配备,提高安全管理人员的安全意识和技术水平,完善各种安全策略和安全机制,利用多种安全技术实施和网络安全管理实现对网络的多层保护,减小网络受到攻击的可能性,防范网络安全事件的发生,提高对安全事件的反应解决能力,并在网络安全事件发生时最好能够降低事件造成的损失。
安全组织体系最重要的包含组织的建立、组织和人员的管理制度、日常管理的运作流程、以及人员的筛选、教育培训等等。
安全技术体系的核心是构建一个主动防御、深层防御、立体防御的安全技术保障平台。通过综合采用世界领先的技术和产品,加强对风险的控制和管理,将保护对象分成网络基础设施、网络边界、终端计算环境、以及支撑性基础设施等多个防御领域,在这些领域上综合实现预警、保护、检测、响应、恢复等多个安全环节,从而为网络及信息系统提供全方位、多层次的防护。即使在攻击者成功地破坏了某个保护机制的情况下,其它保护机制依然可提供附加的保护,达到进不来、看不懂、改不了、拿不走、打不垮的效果。
·终端资产管理,实时了解终端资产信息以及资产信息变动情况
·自动补丁管理,自动打补丁,修补系统漏洞,主动防御未知威胁;
·主机入侵防护,检测来自于网络内部和外部的入侵和攻击;
国际权威研究机构的调查表明,内部发生的安全事件占全部安全事件的70%甚至更多,包括无意识的误操作,以及恶意的监听、嗅探、扫描等等行为,都给信息安全带来极大风险。由于金融行业的特殊性,对内部人员的行为控制和行为监管特别的重要,因此我们提议金融用户建设终端用户的行为监管控制体系,以规范和检查终端用户的行为与法律和法规、内部策略和流程的符合程度,确保没有违规事件发生。最终用户行为监督管理体系采用的主要技术和产品包括:
·安全状态完整性检查和自动修复,对终端用户的安全策略符合性进行全方位检查,对符合安全策略的用户可
以接入网络进行后继的访问操作,对不符合安全策略的用户(例如没安装最新的系统补丁、没有
·网络准入控制和强制认证,确保用户终端在接入网络之前达到了目标网络安全策略规定的安全级别,
·外设使用控制,对用户终端的外设使用来控制,避免因使用外设可能会导致的病毒感染以及数据泄漏
·终端用户行为审计,对终端用户的行为来控制和审计,实时了解终端运作状况和安全状况;
传统的安全管理方式是将分散在各地、不一样的种类系统就近分别管理,这样导致安全信息互不相通,安全策略难以保持一致。这种传统的管理运行方式是许许多多安全风险隐患形成的根源。 安全运行中心是针对传统管理方式的一种重大变革。它将关键设备的运行管理权利集中到一起,通过高度密集的管理产品和手段,将分散在各地区、不同业务网络上面的各种安全产品有机的结成一个整体。安全运行中心使全网的安全风险处于可管理、可控制状态下。对网络安全风险的不间断的评估和控制措施调整,使得全网的整体安全状况和风险情况以定性或定量的形式及时体现出来,给企业管理者和客户提供信心。
我们建议金融网络系统建设安全运行中心(SOC),作为金融网络的一种支撑性基础设施,实现风险的集中管理和实时呈现,将信息安全管理融入企业的业务体系和运营流程之中,实现信息安全从成本中心到利润中心的转变,为企业的运营提供强有力的安全保障。
安全运行中心最重要的包含三个部分:安全风险管理中心、安全维护中心和安全知识中心,具体实现了以下的用户功能模块:
·所有的基于IP的网络设备和应用系统的安全:包括金融网络系统中包含的各个信息系统、相关的路由
·所有安全产品组成的安全体系的实时管理和监控都应当受到集中安全管理平台的管理,管理对象包括
·所有非安全产品的关键应用系统均应该通过一定途径将安全相关信息输送到安全运行中心中,保证及
·负责协同管理阶层,制定和实施金融网络系统的安全目标和策略,支持日常安全配置和维护。
·帮助实现全网实时各种安全事件的检测、相关分析和可视化
·作为全网安全体系的中枢,发挥宝贵的“专家智慧”资源,统一指挥各种安全事件下的响应和恢复