银行信息安全设计方案：略论银行信息安全体系之构建.docVIP

银行信息安全论文：略论银行信息安全体系之构建 ［摘要］银行信息系统安全存在的隐患主要来自于机构内部、互联网以及灾难性风险等方面。参照国际信息安全管理标准ISO17799/ISO27001，建立信息安全管理体系刻不容缓。除此之外，还应建立健全保障机制，依托法律法规，融合技术与管理，定期进行信息安全检查，全方位地实现银行信息网络的安全构建。 ［关键词］银行信息安全；安全体系构建；银行网络；ISMS；检测与防护 信息安全是指以防止被黑客恶意攻击和意外事故为目的，对信息基础设施、应用服务和信息内容的保密性、完整性、可用性、可控性和不可否认性进行安全保护。它包含了信息环境、信息网络和通信基础设施、媒体、数据、信息内容、信息应用等多方面的安全需求。我国银行信息化发展现已全面进入以业务系统整合、数据大集中为特征的新阶段，随着信息技术的发展，出现了更多的对信息系统安全的威胁，其形式、手段和途径在不断地变化，信息安全已成为迫在眉睫的问题。当银行对信息技术人员的依赖程度越来越高时，也使信息技术风险变得异常突出，信息安全保障的形势也更加严峻。这就要求银行业必须加强对自身漏洞的检测、监控和处理，形成快速反应能力。然而认识不到位，安全防范意识淡薄，安全工作仅仅局限于个别部门和岗位则是各银行普遍存在的问题。因此，亟需完善银行信息安全法规和技术标准，通过标准化建设，保证应用系统符合总体安全策略和安全要求。 1银行信息安全体系架构银行信息安全体系包括安全管理体系和安全技术体系，两者是保障信息系统安全不可分割的两个部分，大多数情况下，技术和管理要求互相提供支撑以确保各自动能的正确实现。构建安全管理体系的主要目的是管理信息系统中的各种角色的活动。通过文档化的管理体系，从政策、制度、规范、流程以及日志等方面监督，控制各类角色在系统日常运行维护中的各种活动。建立安全技术体系的主要目的是为信息系统提供各种技术安全机制，通过在信息系统中部署软硬件并加以正确的配置，实现它所应有的安全功能。［1］ 2银行信息安全系统的防患要素及其构建原则银行信息系统安全存在的隐患主要来自于机构内部、互联网以及灾难性风险等方面。不法之徒利用科技手段侵入银行电子系统盗取资金的危害最大。因此，不但要以高科技手段建立一个严谨的网络安全体系，而且要从意识上乃至于制度上使这个体系更具完整性、稳定性和持续性，形成一个坚不可破的铁壁铜墙。银行信息安全建设是一项结合规划、管理、技术等多种因素的系统工程，是一个持续性的动态发展的过程，它由安全管理和安全技术两大要素构成，两者互相依赖、相互支撑，缺一不可地共同实现银行信息网络体系的安全。只有将有效的安全管理自始至终贯彻落实于信息安全体系的建设之中，银行信息安全体系的长期性和稳定性才能得到有效保证。而要实现这一目标，就必须要有相应的制度作为保障。因此，在相关法律法规的框架下制定出一个基本的信息安全策略是当务之急。有研究者提出，其基本原则应该是：明确责任，共同保护；依照标准，自行保护；同步建设，动态调整；指导监督，重点保护；持之以恒，定期查验。［1］有了这样一个原则，才能使安全体系建设有一个较高的保障水平，才能有条不紊而且井然有序地面对各种突发性事件，并采取相应的保护措施。 3银行信息安全体系的建设、保护及规范化管理以盈利为目的网络犯罪，主要是针对电子商务、在线交易、电子银行等业务实施犯罪的活动。跨部门网间互联、内部业务网与国际互联网互联的需求急剧增加，使安全控制变得十分复杂。必须建立信息安全保障体系，才能抵御各种侵入者，使得银行各项业务始终经受住安全的考验。 3．1信息安全体系的建设笔者认为，建立信息安全管理体系应该参照国际信息安全管理标准ISOl7799/ISO27001（Information Security Man-agement System简称ISMS），并且要确立ISMS政策、目标、过程及相关程序，使整体结构、最终效果与目标相一致，促进信息安全管理系统的不断完善。［1］信息安全技术体系的构建应在技术管理的协调制约下，按照“全局性、综合性、均衡性”的原则进行实施，以确保网络信息系统中各种网络设备、通信平台、应用系统、用户及环境的安全，有序和可制约性。［2］ 3．2信息安全体系的保护信息安全体系的构建与保护是相互关联、不可分割的两个组成部分。只有采取有效的保护手段，实施有力的保护措施，才能消除信息安全体系中存在的隐患，构建比较完善的信息安全保障体系，确保银行业高效、安全运转，为促进国民经济全面协调、可持续发展提供有力的保障。保护措施中除了考虑采用防火墙隔离各安全区域外，还可以从以下几个方面加以实施：（1）对关键的一些路径进行深入检测防护。深度检测防御是为了检测网络系统中违反安全策略的行为。违反安全策略的行为有入侵和滥用两种。［2］即非法用户的违规行为和用