淺談銀行信息系統(tǒng)的安全問(wèn)題

　　摘要：信息化在銀行業(yè)的廣泛而深入的應(yīng)用使信息系統(tǒng)成為銀行關(guān)鍵 業(yè)務(wù)正常運(yùn)作的重要支撐平臺(tái)，如果信息系統(tǒng)出現(xiàn)了故障，勢(shì)必引起 業(yè)務(wù)中斷、信息阻隔，可能導(dǎo)致一個(gè)銀行的局部甚至整體癱瘓。信息系 統(tǒng)安全已經(jīng)成為關(guān)系到銀行業(yè)務(wù)能否順利開展的重要因素.

　　關(guān)鍵詞：銀行信息 信息系統(tǒng) 安全問(wèn)題

　　前言

　　銀行信息系統(tǒng)的安全保障要以縝密的分析為前提，制定詳細(xì)的對(duì)策， 充分利用安全技術(shù)、安全產(chǎn)品來(lái)實(shí)現(xiàn)安全措施。本文以泰安農(nóng)村信用 社為例闡述銀行信息安全問(wèn)題.

　　1.信息安全分析

　　銀行信息系統(tǒng)具有服務(wù)范圍廣泛，平臺(tái)復(fù)雜多樣，業(yè)務(wù)品種不斷 更新的特點(diǎn)。因此銀行信息系統(tǒng)龐大而復(fù)雜，信息安全涉及方面眾多， 我們大體可以按照安全管理、信息資產(chǎn)與環(huán)境、主機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、 日常運(yùn)維五個(gè)方面進(jìn)行分析.

　　1.1安全管理問(wèn)題分析.

　　泰安農(nóng)村信用社信息系統(tǒng)一貫重視系統(tǒng)安全，但對(duì)與系統(tǒng)安全的 管理仍處于比較傳統(tǒng)的模式，即一種靜態(tài)的、局部的、少數(shù)人負(fù)責(zé)的、 突擊式的、事后糾正式的管理方式;安全管理偏重對(duì)業(yè)務(wù)的保障，在內(nèi) 部管理上相對(duì)比較松散;一些安全管理策略和制度規(guī)范比較宏觀，在 可操作性和實(shí)效性上還值得進(jìn)一步探討與改進(jìn).

　　1.2信息資產(chǎn)與環(huán)境問(wèn)題分析.

　　泰安農(nóng)信信息系統(tǒng)依照相關(guān)的規(guī)定進(jìn)行建設(shè)。目前還需要改進(jìn)的 問(wèn)題為包括物理環(huán)境的單點(diǎn)故障隱患及不可抗力因素導(dǎo)致的系統(tǒng)安 全的風(fēng)險(xiǎn);對(duì)信息資產(chǎn)的保護(hù)缺乏信息資產(chǎn)分類體系，無(wú)法實(shí)現(xiàn)對(duì)設(shè) 備的購(gòu)置、維修、報(bào)廢等環(huán)節(jié)的實(shí)時(shí)管理.

　　1.3主機(jī)系統(tǒng)問(wèn)題分析 信息中心的主機(jī)上存放大量的業(yè)務(wù)數(shù)據(jù)，對(duì)全轄提供數(shù)據(jù)服務(wù)及 技術(shù)支持，保證轄內(nèi)計(jì)算機(jī)系統(tǒng)全年365天、全天24小時(shí)不間斷運(yùn) 行，因此主機(jī)采用高可用性和全冗余結(jié)構(gòu)的主機(jī)系統(tǒng)，配置磁盤陣列 存儲(chǔ)數(shù)據(jù).

　　目前面臨維護(hù)錯(cuò)誤和操作失誤、未經(jīng)授權(quán)訪問(wèn)和操作、權(quán)限濫用、 硬件故障、數(shù)據(jù)庫(kù)本身存在的安全漏洞等威脅.

　　1.4網(wǎng)絡(luò)系統(tǒng)問(wèn)題分析 現(xiàn)行銀行計(jì)算機(jī)網(wǎng)絡(luò)是銀行計(jì)算機(jī)信息系統(tǒng)中最易受攻擊又最 難以防范的薄弱環(huán)節(jié),為了保障網(wǎng)絡(luò)安全，目前采取的的措施有增加 防火墻，對(duì)連接科技中心主機(jī)全部做了限制，安裝了IDS入侵檢測(cè)系 統(tǒng)。還存在以下問(wèn)題：主交換機(jī)雖然劃分了VLAN，但劃分VLAN數(shù)量 少，無(wú)法滿足業(yè)務(wù)高速發(fā)展需要;辦公網(wǎng)現(xiàn)在沒(méi)有邏輯劃分;在省市和 市縣之間沒(méi)有實(shí)施QOS策略，存在一定網(wǎng)絡(luò)擁塞的風(fēng)險(xiǎn).

　　1.5日常運(yùn)維問(wèn)題分析 目前日常運(yùn)維工作繁重，日常運(yùn)維只是通過(guò)已有的書面的操作流 程進(jìn)行操作，無(wú)法記錄操作結(jié)果，對(duì)日常運(yùn)維缺乏審計(jì)性;機(jī)房主要依 靠人工巡查等手段進(jìn)行監(jiān)控，存在不能及時(shí)發(fā)現(xiàn)問(wèn)題的隱患。對(duì)于登 陸信息系統(tǒng)的網(wǎng)點(diǎn)柜員身份驗(yàn)證停留在“用戶名+密碼”階段，存在非 法入侵的安全隱患.

　　2.信息安全風(fēng)險(xiǎn)識(shí)別

　　通過(guò)對(duì)泰安農(nóng)村信用社進(jìn)行信息資產(chǎn)識(shí)別，逐項(xiàng)進(jìn)行風(fēng)險(xiǎn)評(píng)估， 并制訂風(fēng)險(xiǎn)控制措施.

　　2.1確定資產(chǎn)風(fēng)險(xiǎn)等級(jí) 全面了解泰安農(nóng)信信息系統(tǒng)安全現(xiàn)狀，采用定性與定量相結(jié)合的 方法，并依據(jù)標(biāo)準(zhǔn)要求充分考慮到資產(chǎn)的安全價(jià)值、威脅、薄弱點(diǎn)、威 脅發(fā)生的可能性、威脅造成的潛在響應(yīng)等因素，將各個(gè)資產(chǎn)所面臨的 眾多威脅因素統(tǒng)一起來(lái)描述.

　　2.2明確風(fēng)險(xiǎn)控制方法 根據(jù)風(fēng)險(xiǎn)評(píng)估表，對(duì)該資產(chǎn)已經(jīng)識(shí)別出的風(fēng)險(xiǎn)點(diǎn)，在現(xiàn)有的控制 措施之外，進(jìn)一步提出解決該風(fēng)險(xiǎn)點(diǎn)的新方法或新措施，以使風(fēng)險(xiǎn)降 低到可接受的程度，并明確責(zé)任人，制定一個(gè)切實(shí)可行的風(fēng)險(xiǎn)處理計(jì) 劃。

　　3.信息安全問(wèn)題解決

　　根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果及風(fēng)險(xiǎn)控制方案，依照安全管理體系的要求 對(duì)準(zhǔn)備階段中涉及的各類問(wèn)題集中解決，使得在信息系統(tǒng)受到侵襲 時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度.

　　3.1安全管理的安全實(shí)現(xiàn) 針對(duì)目前泰安農(nóng)信信息系統(tǒng)在安全管理方面存在的問(wèn)題，信息安 全人員仔細(xì)分析問(wèn)題，提出問(wèn)題解決方案如下.

　　3.1.1明確指出系統(tǒng)中每位員工的責(zé)權(quán)問(wèn)題.

　　3.1.2建立較完善的信息科技制度體系，明確泰安農(nóng)信信息系統(tǒng) 工作流程，避免管理混亂.

　　3.1.3建立規(guī)范的信息系統(tǒng)風(fēng)險(xiǎn)防控和應(yīng)急處置流程，逐步提高 突發(fā)事件的應(yīng)急能力.

　　3.2信息資產(chǎn)與環(huán)境的安全實(shí)現(xiàn) 針對(duì)目前泰安農(nóng)信信息系統(tǒng)在信息資產(chǎn)與環(huán)境方面存在的問(wèn)題， 信息安全人員仔細(xì)分析問(wèn)題，提出如下問(wèn)題解決方案.

　　3.2.1引入“計(jì)算機(jī)設(shè)備管理系統(tǒng)”軟件，規(guī)范設(shè)備管理。對(duì)設(shè)備的 購(gòu)置、維修、報(bào)廢等環(huán)節(jié)的管理的問(wèn)題進(jìn)行跟蹤記錄.

　　3.2.2對(duì)銀行設(shè)備與物理環(huán)境進(jìn)行容災(zāi)規(guī)劃，實(shí)施容災(zāi)系統(tǒng)。對(duì)通 訊線路及硬件設(shè)備進(jìn)行冗余備份;對(duì)重要數(shù)據(jù)制定完善的備份規(guī)則.

　　3.3主機(jī)系統(tǒng)的安全實(shí)現(xiàn) 針對(duì)目前泰安農(nóng)信信息系統(tǒng)在主機(jī)系統(tǒng)方面存在的問(wèn)題，信息安 全人員仔細(xì)分析問(wèn)題，提出如下問(wèn)題解決方案.

　　3.3.1開發(fā)備份配置軟件，保存每次設(shè)置變更情況，使設(shè)置變更有 跡可循.

　　3.3.2為保證數(shù)據(jù)信息安全，采用雙機(jī)熱備、重要數(shù)據(jù)遠(yuǎn)程備份、 異地存放等多種措施避免系統(tǒng)風(fēng)險(xiǎn).

　　3.3.3應(yīng)用“運(yùn)維安全管理系統(tǒng)”對(duì)操作員的操作進(jìn)行限制，杜絕 由于操作用戶權(quán)限過(guò)大而造成的安全隱患.

　　3.4網(wǎng)絡(luò)信息的安全實(shí)現(xiàn) 主要包括信用社內(nèi)部數(shù)據(jù)傳輸線路的安全實(shí)現(xiàn)、第三方接入的安 全實(shí)現(xiàn)等。泰安農(nóng)信采用SDH線路進(jìn)行組網(wǎng);通過(guò)端點(diǎn)隔離方式實(shí)現(xiàn) 業(yè)務(wù)和辦公網(wǎng)絡(luò)分離;通過(guò)整體路由規(guī)劃和QOS規(guī)劃實(shí)現(xiàn)對(duì)各業(yè)務(wù) 數(shù)據(jù)流的控制;內(nèi)網(wǎng)配置了多套防火墻，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)的通訊訪問(wèn)的控 制與隔離.

　　3.5日常運(yùn)維的安全實(shí)現(xiàn) 針對(duì)目前泰安農(nóng)信信息系統(tǒng)在日常運(yùn)維方面存在的問(wèn)題，信息安 全人員仔細(xì)分析問(wèn)題，提出如下問(wèn)題解決方案.

　　3.5.1建立網(wǎng)絡(luò)化的運(yùn)維機(jī)制。探索建立科技服務(wù)聯(lián)動(dòng)網(wǎng).

　　3.5.2分析日常工作流程，開發(fā)“電子日志系統(tǒng)”，確保日常工作不 會(huì)遺漏，并記錄操作員日常操作，保證操作過(guò)程的可審計(jì)性.

　　3.5.3建立機(jī)房自動(dòng)監(jiān)控系統(tǒng)，實(shí)時(shí)監(jiān)控放置、設(shè)備的運(yùn)行狀態(tài)及 工作參數(shù)，發(fā)現(xiàn)部件故障或參數(shù)異常，及時(shí)報(bào)警，并可記錄歷史數(shù)據(jù)和 報(bào)警時(shí)間.

　　3.5.4對(duì)營(yíng)業(yè)網(wǎng)點(diǎn)操作柜員加強(qiáng)身份驗(yàn)證，防范非法入侵.

　　4.結(jié)論

　　對(duì)于泰安農(nóng)村信用社來(lái)說(shuō)，雖然威脅到業(yè)務(wù)連續(xù)運(yùn)營(yíng)的各種風(fēng)險(xiǎn) 將永遠(yuǎn)存在，但是，只要清醒地評(píng)估分析這些風(fēng)險(xiǎn)，同時(shí)建立應(yīng)對(duì)風(fēng)險(xiǎn) 的完善機(jī)制，全行上下形成業(yè)務(wù)連續(xù)性管理的企業(yè)文化，不斷加強(qiáng)災(zāi) 備建設(shè)與應(yīng)急演練，風(fēng)險(xiǎn)將被有效地分散與排除.