探析銀行信息系統(tǒng)安全問題

1、<p>　　探析銀行信息系統(tǒng)安全問題</p><p>　　摘要：信息化在銀行業(yè)的廣泛而深入的應用使信息系統(tǒng)成為銀行關鍵 業(yè)務正常運作的重要支撐平臺，如果信息系統(tǒng)出現(xiàn)了故障，勢必引起 業(yè)務中斷、信息阻隔，可能導致一個銀行的局部甚至整體癱瘓。信息系 統(tǒng)安全已經(jīng)成為關系到銀行業(yè)務能否順利開展的重要因素.</p><p>　　關鍵詞：銀行信息 信息系統(tǒng) 安全問題</p>&

2、lt;p><b>　　前言</b></p><p>　　銀行信息系統(tǒng)的安全保障要以縝密的分析為前提，制定詳細的對策， 充分利用安全技術、安全產(chǎn)品來實現(xiàn)安全措施。本文以泰安農(nóng)村信用 社為例闡述銀行信息安全問題.</p><p>　　1．信息安全分析 銀行信息系統(tǒng)具有服務范圍廣泛，平臺復雜多樣，業(yè)務品種不斷 更新的特點。因此銀行信息系統(tǒng)龐大而復雜，信息安全涉及方面眾

3、多， 我們大體可以按照安全管理、信息資產(chǎn)與環(huán)境、主機系統(tǒng)、網(wǎng)絡系統(tǒng)、 日常運維五個方面進行分析.</p><p>　　1.1安全管理問題分析.</p><p>　　泰安農(nóng)村信用社信息系統(tǒng)一貫重視系統(tǒng)安全，但對與系統(tǒng)安全的 管理仍處于比較傳統(tǒng)的模式，即一種靜態(tài)的、局部的、少數(shù)人負責的、 突擊式的、事后糾正式的管理方式；安全管理偏重對業(yè)務的保障，在內(nèi) 部管理上相對比較松散；一些安全管理策略和制

4、度規(guī)范比較宏觀，在 可操作性和實效性上還值得進一步探討與改進.</p><p>　　1.2信息資產(chǎn)與環(huán)境問題分析.</p><p>　　泰安農(nóng)信信息系統(tǒng)依照相關的規(guī)定進行建設。目前還需要改進的 問題為包括物理環(huán)境的單點故障隱患及不可抗力因素導致的系統(tǒng)安 全的風險；對信息資產(chǎn)的保護缺乏信息資產(chǎn)分類體系，無法實現(xiàn)對設 備的購置、維修、報廢等環(huán)節(jié)的實時管理.</p><p&g

5、t;　　1.3主機系統(tǒng)問題分析 信息中心的主機上存放大量的業(yè)務數(shù)據(jù)，對全轄提供數(shù)據(jù)服務及 技術支持，保證轄內(nèi)計算機系統(tǒng)全年365天、全天24小時不間斷運 行，因此主機采用高可用性和全冗余結構的主機系統(tǒng)，配置磁盤陣列 存儲數(shù)據(jù).</p><p>　　目前面臨維護錯誤和操作失誤、未經(jīng)授權訪問和操作、權限濫用、 硬件故障、數(shù)據(jù)庫本身存在的安全漏洞等威脅.</p><p>　　1.4網(wǎng)絡系統(tǒng)問題分

6、析 現(xiàn)行銀行計算機網(wǎng)絡是銀行計算機信息系統(tǒng)中最易受攻擊又最 難以防范的薄弱環(huán)節(jié),為了保障網(wǎng)絡安全，目前采取的的措施有增加 防火墻，對連接科技中心主機全部做了限制，安裝了IDS入侵檢測系 統(tǒng)。還存在以下問題：主交換機雖然劃分了VLAN，但劃分VLAN數(shù)量 少，無法滿足業(yè)務高速發(fā)展需要；辦公網(wǎng)現(xiàn)在沒有邏輯劃分；在省市和 市縣之間沒有實施QOS策略，存在一定網(wǎng)絡擁塞的風險.</p><p>　　1.5日常運維問題分析

7、目前日常運維工作繁重，日常運維只是通過已有的書面的操作流 程進行操作，無法記錄操作結果，對日常運維缺乏審計性；機房主要依 靠人工巡查等手段進行監(jiān)控，存在不能及時發(fā)現(xiàn)問題的隱患。對于登 陸信息系統(tǒng)的網(wǎng)點柜員身份驗證停留在“用戶名+密碼”階段，存在非 法入侵的安全隱患.</p><p>　　2.信息安全風險識別 通過對泰安農(nóng)村信用社進行信息資產(chǎn)識別，逐項進行風險評估， 并制訂風險控制措施.</p>&l

8、t;p>　　2.1確定資產(chǎn)風險等級 全面了解泰安農(nóng)信信息系統(tǒng)安全現(xiàn)狀，采用定性與定量相結合的 方法，并依據(jù)標準要求充分考慮到資產(chǎn)的安全價值、威脅、薄弱點、威 脅發(fā)生的可能性、威脅造成的潛在響應等因素，將各個資產(chǎn)所面臨的 眾多威脅因素統(tǒng)一起來描述.</p><p>　　2.2明確風險控制方法 根據(jù)風險評估表，對該資產(chǎn)已經(jīng)識別出的風險點，在現(xiàn)有的控制 措施之外，進一步提出解決該風險點的新方法或新措施，以使風險降

9、 低到可接受的程度，并明確責任人，制定一個切實可行的風險處理計 劃。3.信息安全問題解決 根據(jù)風險評估的結果及風險控制方案，依照安全管理體系的要求 對準備階段中涉及的各類問題集中解決，使得在信息系統(tǒng)受到侵襲 時，確保業(yè)務持續(xù)開展并將損失降到最低程度.</p><p>　　3.1安全管理的安全實現(xiàn) 針對目前泰安農(nóng)信信息系統(tǒng)在安全管理方面存在的問題，信息安 全人員仔細分析問題，提出問題解決方案如下.</p>

10、;<p>　　3.1.1明確指出系統(tǒng)中每位員工的責權問題.</p><p>　　3.1.2建立較完善的信息科技制度體系，明確泰安農(nóng)信信息系統(tǒng) 工作流程，避免管理混亂.</p><p>　　3.1.3建立規(guī)范的信息系統(tǒng)風險防控和應急處置流程，逐步提高 突發(fā)事件的應急能力.</p><p>　　3.2信息資產(chǎn)與環(huán)境的安全實現(xiàn) 針對目前泰安農(nóng)信信息系統(tǒng)在信息

11、資產(chǎn)與環(huán)境方面存在的問題， 信息安全人員仔細分析問題，提出如下問題解決方案.</p><p>　　3.2.1引入“計算機設備管理系統(tǒng)”軟件，規(guī)范設備管理。對設備的 購置、維修、報廢等環(huán)節(jié)的管理的問題進行跟蹤記錄.</p><p>　　3.2.2對銀行設備與物理環(huán)境進行容災規(guī)劃，實施容災系統(tǒng)。對通 訊線路及硬件設備進行冗余備份；對重要數(shù)據(jù)制定完善的備份規(guī)則.</p><p

12、>　　3.3主機系統(tǒng)的安全實現(xiàn) 針對目前泰安農(nóng)信信息系統(tǒng)在主機系統(tǒng)方面存在的問題，信息安 全人員仔細分析問題，提出如下問題解決方案.</p><p>　　3.3.1開發(fā)備份配置軟件，保存每次設置變更情況，使設置變更有 跡可循.</p><p>　　3.3.2為保證數(shù)據(jù)信息安全，采用雙機熱備、重要數(shù)據(jù)遠程備份、 異地存放等多種措施避免系統(tǒng)風險.</p><p>

13、　　3.3.3應用“運維安全管理系統(tǒng)”對操作員的操作進行限制，杜絕 由于操作用戶權限過大而造成的安全隱患.</p><p>　　3.4網(wǎng)絡信息的安全實現(xiàn) 主要包括信用社內(nèi)部數(shù)據(jù)傳輸線路的安全實現(xiàn)、第三方接入的安 全實現(xiàn)等。泰安農(nóng)信采用SDH線路進行組網(wǎng)；通過端點隔離方式實現(xiàn) 業(yè)務和辦公網(wǎng)絡分離；通過整體路由規(guī)劃和QOS規(guī)劃實現(xiàn)對各業(yè)務 數(shù)據(jù)流的控制；內(nèi)網(wǎng)配置了多套防火墻，實現(xiàn)對內(nèi)網(wǎng)的通訊訪問的控 制與隔離.<

14、;/p><p>　　3.5日常運維的安全實現(xiàn) 針對目前泰安農(nóng)信信息系統(tǒng)在日常運維方面存在的問題，信息安 全人員仔細分析問題，提出如下問題解決方案.</p><p>　　3.5.1建立網(wǎng)絡化的運維機制。探索建立科技服務聯(lián)動網(wǎng).</p><p>　　3.5.2分析日常工作流程，開發(fā)“電子日志系統(tǒng)”，確保日常工作不 會遺漏，并記錄操作員日常操作，保證操作過程的可審計性.<

15、;/p><p>　　3.5.3建立機房自動監(jiān)控系統(tǒng)，實時監(jiān)控放置、設備的運行狀態(tài)及 工作參數(shù)，發(fā)現(xiàn)部件故障或參數(shù)異常，及時報警，并可記錄歷史數(shù)據(jù)和 報警時間.</p><p>　　3.5.4對營業(yè)網(wǎng)點操作柜員加強身份驗證，防范非法入侵.</p><p>　　4.結論 對于泰安農(nóng)村信用社來說，雖然威脅到業(yè)務連續(xù)運營的各種風險 將永遠存在，但是，只要清醒地評估分析這些風險，