淺談銀行信息系統的安全問題

淺談銀行信息系統的安全問題

　　摘要：信息化在銀行業(yè)的廣泛而深入的應用使信息系統成為銀行關鍵 業(yè)務正常運作的重要支撐平臺，如果信息系統出現了故障，勢必引起 業(yè)務中斷、信息阻隔，可能導致一個銀行的局部甚至整體癱瘓。信息系 統安全已經成為關系到銀行業(yè)務能否順利開展的重要因素.

　　關鍵詞：銀行信息 信息系統 安全問題

　　前言

　　銀行信息系統的安全保障要以縝密的分析為前提，制定詳細的對策， 充分利用安全技術、安全產品來實現安全措施。本文以泰安農村信用 社為例闡述銀行信息安全問題.

　　1.信息安全分析

　　銀行信息系統具有服務范圍廣泛，平臺復雜多樣，業(yè)務品種不斷 更新的特點。因此銀行信息系統龐大而復雜，信息安全涉及方面眾多， 我們大體可以按照安全管理、信息資產與環(huán)境、主機系統、網絡系統、 日常運維五個方面進行分析.

　　1.1安全管理問題分析.

　　泰安農村信用社信息系統一貫重視系統安全，但對與系統安全的 管理仍處于比較傳統的模式，即一種靜態(tài)的、局部的、少數人負責的、 突擊式的、事后糾正式的管理方式;安全管理偏重對業(yè)務的保障，在內 部管理上相對比較松散;一些安全管理策略和制度規(guī)范比較宏觀，在 可操作性和實效性上還值得進一步探討與改進.

　　1.2信息資產與環(huán)境問題分析.

　　泰安農信信息系統依照相關的規(guī)定進行建設。目前還需要改進的 問題為包括物理環(huán)境的單點故障隱患及不可抗力因素導致的系統安 全的風險;對信息資產的保護缺乏信息資產分類體系，無法實現對設 備的購置、維修、報廢等環(huán)節(jié)的實時管理.

　　1.3主機系統問題分析 信息中心的主機上存放大量的業(yè)務數據，對全轄提供數據服務及 技術支持，保證轄內計算機系統全年365天、全天24小時不間斷運 行，因此主機采用高可用性和全冗余結構的主機系統，配置磁盤陣列 存儲數據.

　　目前面臨維護錯誤和操作失誤、未經授權訪問和操作、權限濫用、 硬件故障、數據庫本身存在的安全漏洞等威脅.

　　1.4網絡系統問題分析 現行銀行計算機網絡是銀行計算機信息系統中最易受攻擊又最 難以防范的薄弱環(huán)節(jié),為了保障網絡安全，目前采取的的措施有增加 防火墻，對連接科技中心主機全部做了限制，安裝了IDS入侵檢測系 統。還存在以下問題：主交換機雖然劃分了VLAN，但劃分VLAN數量 少，無法滿足業(yè)務高速發(fā)展需要;辦公網現在沒有邏輯劃分;在省市和 市縣之間沒有實施QOS策略，存在一定網絡擁塞的風險.

　　1.5日常運維問題分析 目前日常運維工作繁重，日常運維只是通過已有的書面的操作流 程進行操作，無法記錄操作結果，對日常運維缺乏審計性;機房主要依 靠人工巡查等手段進行監(jiān)控，存在不能及時發(fā)現問題的隱患。對于登 陸信息系統的網點柜員身份驗證停留在“用戶名+密碼”階段，存在非 法入侵的安全隱患.

　　2.信息安全風險識別

　　通過對泰安農村信用社進行信息資產識別，逐項進行風險評估， 并制訂風險控制措施.

　　2.1確定資產風險等級 全面了解泰安農信信息系統安全現狀，采用定性與定量相結合的 方法，并依據標準要求充分考慮到資產的安全價值、威脅、薄弱點、威 脅發(fā)生的可能性、威脅造成的潛在響應等因素，將各個資產所面臨的 眾多威脅因素統一起來描述.

　　2.2明確風險控制方法 根據風險評估表，對該資產已經識別出的風險點，在現有的控制 措施之外，進一步提出解決該風險點的新方法或新措施，以使風險降 低到可接受的程度，并明確責任人，制定一個切實可行的風險處理計 劃。

　　3.信息安全問題解決

　　根據風險評估的結果及風險控制方案，依照安全管理體系的要求 對準備階段中涉及的各類問題集中解決，使得在信息系統受到侵襲 時，確保業(yè)務持續(xù)開展并將損失降到最低程度.

　　3.1安全管理的安全實現 針對目前泰安農信信息系統在安全管理方面存在的問題，信息安 全人員仔細分析問題，提出問題解決方案如下.

　　3.1.1明確指出系統中每位員工的責權問題.

　　3.1.2建立較完善的信息科技制度體系，明確泰安農信信息系統 工作流程，避免管理混亂.

　　3.1.3建立規(guī)范的信息系統風險防控和應急處置流程，逐步提高 突發(fā)事件的應急能力.

　　3.2信息資產與環(huán)境的安全實現 針對目前泰安農信信息系統在信息資產與環(huán)境方面存在的問題， 信息安全人員仔細分析問題，提出如下問題解決方案.

　　3.2.1引入“計算機設備管理系統”軟件，規(guī)范設備管理。對設備的 購置、維修、報廢等環(huán)節(jié)的管理的問題進行跟蹤記錄.

　　3.2.2對銀行設備與物理環(huán)境進行容災規(guī)劃，實施容災系統。對通 訊線路及硬件設備進行冗余備份;對重要數據制定完善的備份規(guī)則.

　　3.3主機系統的安全實現 針對目前泰安農信信息系統在主機系統方面存在的問題，信息安 全人員仔細分析問題，提出如下問題解決方案.

　　3.3.1開發(fā)備份配置軟件，保存每次設置變更情況，使設置變更有 跡可循.

　　3.3.2為保證數據信息安全，采用雙機熱備、重要數據遠程備份、 異地存放等多種措施避免系統風險.

　　3.3.3應用“運維安全管理系統”對操作員的操作進行限制，杜絕 由于操作用戶權限過大而造成的安全隱患.

　　3.4網絡信息的安全實現 主要包括信用社內部數據傳輸線路的安全實現、第三方接入的安 全實現等。泰安農信采用SDH線路進行組網;通過端點隔離方式實現 業(yè)務和辦公網絡分離;通過整體路由規(guī)劃和QOS規(guī)劃實現對各業(yè)務 數據流的控制;內網配置了多套防火墻，實現對內網的通訊訪問的控 制與隔離.

　　3.5日常運維的安全實現 針對目前泰安農信信息系統在日常運維方面存在的問題，信息安 全人員仔細分析問題，提出如下問題解決方案.

　　3.5.1建立網絡化的運維機制。探索建立科技服務聯動網.

　　3.5.2分析日常工作流程，開發(fā)“電子日志系統”，確保日常工作不 會遺漏，并記錄操作員日常操作，保證操作過程的可審計性.

　　3.5.3建立機房自動監(jiān)控系統，實時監(jiān)控放置、設備的運行狀態(tài)及 工作參數，發(fā)現部件故障或參數異常，及時報警，并可記錄歷史數據和 報警時間.

　　3.5.4對營業(yè)網點操作柜員加強身份驗證，防范非法入侵.

　　4.結論

　　對于泰安農村信用社來說，雖然威脅到業(yè)務連續(xù)運營的各種風險 將永遠存在，但是，只要清醒地評估分析這些風險，同時建立應對風險 的完善機制，全行上下形成業(yè)務連續(xù)性管理的企業(yè)文化，不斷加強災 備建設與應急演練，風險將被有效地分散與排除.