淺談銀行資訊系統的安全問題
摘要:資訊化在銀行業的廣泛而深入的應用使資訊系統成為銀行關鍵 業務正常運作的重要支撐平臺,如果資訊系統出現了故障,勢必引起 業務中斷、資訊阻隔,可能導致一個銀行的區域性甚至整體癱瘓。資訊系 統安全已經成為關係到銀行業務能否順利開展的重要因素.
關鍵詞:銀行資訊 資訊系統 安全問題
前言
銀行資訊系統的安全保障要以縝密的分析為前提,制定詳細的對策, 充分利用安全技術、安全產品來實現安全措施。本文以泰安農村信用 社為例闡述銀行資訊保安問題.
1.資訊保安分析
銀行資訊系統具有服務範圍廣泛,平臺複雜多樣,業務品種不斷 更新的特點。因此銀行資訊系統龐大而複雜,資訊保安涉及方面眾多, 我們大體可以按照安全管理、資訊資產與環境、主機系統、網路系統、 日常運維五個方面進行分析.
1.1安全管理問題分析.
泰安農村信用社資訊系統一貫重視系統安全,但對與系統安全的 管理仍處於比較傳統的模式,即一種靜態的、區域性的、少數人負責的、 突擊式的、事後糾正式的管理方式;安全管理偏重對業務的保障,在內 部管理上相對比較鬆散;一些安全管理策略和制度規範比較巨集觀,在 可操作性和實效性上還值得進一步探討與改進.
1.2資訊資產與環境問題分析.
泰安農信資訊系統依照相關的規定進行建設。目前還需要改進的 問題為包括物理環境的單點故障隱患及不可抗力因素導致的系統安 全的風險;對資訊資產的保護缺乏資訊資產分類體系,無法實現對設 備的購置、維修、報廢等環節的實時管理.
1.3主機系統問題分析 資訊中心的主機上存放大量的業務資料,對全轄提供資料服務及 技術支援,保證轄內計算機系統全年365天、全天24小時不間斷運 行,因此主機採用高可用性和全冗餘結構的主機系統,配置磁碟陣列 儲存資料.
目前面臨維護錯誤和操作失誤、未經授權訪問和操作、許可權濫用、 硬體故障、資料庫本身存在的安全漏洞等威脅.
1.4網路系統問題分析 現行銀行計算機網路是銀行計算機資訊系統中最易受攻擊又最 難以防範的薄弱環節,為了保障網路安全,目前採取的的措施有增加 防火牆,對連線科技中心主機全部做了限制,安裝了IDS入侵檢測系 統。還存在以下問題:主交換機雖然劃分了VLAN,但劃分VLAN數量 少,無法滿足業務高速發展需要;辦公網現在沒有邏輯劃分;在省市和 市縣之間沒有實施QOS策略,存在一定網路擁塞的風險.
1.5日常運維問題分析 目前日常運維工作繁重,日常運維只是通過已有的書面的操作流 程進行操作,無法記錄操作結果,對日常運維缺乏審計性;機房主要依 靠人工巡查等手段進行監控,存在不能及時發現問題的隱患。對於登 陸資訊系統的網點櫃員身份驗證停留在“使用者名稱+密碼”階段,存在非 法入侵的安全隱患.
2.資訊保安風險識別
通過對泰安農村信用社進行資訊資產識別,逐項進行風險評估, 並制訂風險控制措施.
2.1確定資產風險等級 全面瞭解泰安農信資訊系統安全現狀,採用定性與定量相結合的 方法,並依據標準要求充分考慮到資產的安全價值、威脅、薄弱點、威 脅發生的可能性、威脅造成的潛在響應等因素,將各個資產所面臨的 眾多威脅因素統一起來描述.
2.2明確風險控制方法 根據風險評估表,對該資產已經識別出的風險點,在現有的控制 措施之外,進一步提出解決該風險點的新方法或新措施,以使風險降 低到可接受的程度,並明確責任人,制定一個切實可行的風險處理計 劃。
3.資訊保安問題解決
根據風險評估的結果及風險控制方案,依照安全管理體系的要求 對準備階段中涉及的各類問題集中解決,使得在資訊系統受到侵襲 時,確保業務持續開展並將損失降到最低程度.
3.1安全管理的安全實現 針對目前泰安農信資訊系統在安全管理方面存在的問題,資訊安 全人員仔細分析問題,提出問題解決方案如下.
3.1.1明確指出系統中每位員工的責權問題.
3.1.2建立較完善的資訊科技制度體系,明確泰安農信資訊系統 工作流程,避免管理混亂.
3.1.3建立規範的資訊系統風險防控和應急處置流程,逐步提高 突發事件的應急能力.
3.2資訊資產與環境的安全實現 針對目前泰安農信資訊系統在資訊資產與環境方面存在的問題, 資訊保安人員仔細分析問題,提出如下問題解決方案.
3.2.1引入“計算機裝置管理系統”軟體,規範裝置管理。對裝置的 購置、維修、報廢等環節的管理的問題進行跟蹤記錄.
3.2.2對銀行裝置與物理環境進行容災規劃,實施容災系統。對通 訊線路及硬體裝置進行冗餘備份;對重要資料制定完善的備份規則.
3.3主機系統的安全實現 針對目前泰安農信資訊系統在主機系統方面存在的問題,資訊安 全人員仔細分析問題,提出如下問題解決方案.
3.3.1開發備份配置軟體,儲存每次設定變更情況,使設定變更有 跡可循.
3.3.2為保證資料資訊保安,採用雙機熱備、重要資料遠端備份、 異地存放等多種措施避免系統風險.
3.3.3應用“運維安全管理系統”對操作員的操作進行限制,杜絕 由於操作使用者許可權過大而造成的安全隱患.
3.4網路資訊的安全實現 主要包括信用社內部資料傳輸線路的安全實現、第三方接入的安 全實現等。泰安農信採用SDH線路進行組網;通過端點隔離方式實現 業務和辦公網路分離;通過整體路由規劃和QOS規劃實現對各業務 資料流的控制;內網配置了多套防火牆,實現對內網的通訊訪問的控 制與隔離.
3.5日常運維的安全實現 針對目前泰安農信資訊系統在日常運維方面存在的問題,資訊安 全人員仔細分析問題,提出如下問題解決方案.
3.5.1建立網路化的運維機制。探索建立科技服務聯動網.
3.5.2分析日常工作流程,開發“電子日誌系統”,確保日常工作不 會遺漏,並記錄操作員日常操作,保證操作過程的可審計性.
3.5.3建立機房自動監控系統,實時監控放置、裝置的執行狀態及 工作引數,發現部件故障或引數異常,及時報警,並可記錄歷史資料和 報警時間.
3.5.4對營業網點操作櫃員加強身份驗證,防範非法入侵.
4.結論
對於泰安農村信用社來說,雖然威脅到業務連續運營的各種風險 將永遠存在,但是,只要清醒地評估分析這些風險,同時建立應對風險 的完善機制,全行上下形成業務連續性管理的企業文化,不斷加強災 備建設與應急演練,風險將被有效地分散與排除.