基层银行信息系统安全规划设计和实施探析.doc

基层银行信息系统安全规划设计和实施探析 　　摘 要：银行的信息系统建设纵深化发展的趋势越来越明显，银行现在已经全面地进入了其业务的系统整合与数据集中的全新发展阶段。这种集约化经营数据不断集中的趋势，从一方面来讲是适应银行业务不断发展的要求，但是从另一方面来讲，却使银行信息系统的安全风险也集中起来，增加了安全的隐患。具体来讲基层银行信息系统的安全隐患主要包括互联网风险和外部机构风险以及不信任网络风险和结构内部风险，同时还包括灾难性的风险等五种安全隐患。本文将对基层银行信息系统安全规划设计与实施进行研究。 关键词：基层银行；信息系统安全；规划设计；实施 中图分类号：TP311.52 1 基层银行的信息系统遇到的主要安全威胁 由于银行的信息系统建设一直在不断地向纵深处发展，银行已经全面地进入了其业务的系统整合与数据集中的全新发展阶段。这种集约化经营数据不断集中的趋势，从一方面来讲是适应银行业务不断发展的要求，但是从另一方面来讲，却使银行信息系统的安全风险也集中起来，增加了安全的隐患。具体来讲基层银行信息系统的安全隐患主要包括互联网风险和外部机构风险以及不信任网络风险和结构内部风险，同时还包括灾难性的风险等五种安全隐患。 2 基层银行的信息系统安全规划设计与实施的主要原则和等级划分 2.1 基层银行的信息系统安全规划设计与实施的主要原则 银行的信息系统安全是一个涉及到规划与管理以及技术等很多因素的具有系统性的工程，其属于一种不断持续发展和动态发展的进程。对于基层银行的信息系统安全规划设计与实施来说。技术是实现安全保障的主体性因素，而管理是具备安全保障的灵魂性因素。在安全规划与设计中，只有把具有科学性与合理性的管理贯彻落实在信息安全的维护之中，才能够实现网络安全在稳定性与长期性方面的保证。而银行信息系统安全的具体原则主要包括了明确责任与安全保护并举，依照标准和自行保护同时进行，同步建设与动态调整相互促进，指导监督和重点保护齐头并进四条原则。 2.2 关于基层银行的信息系统安全等级的介绍 银行信息系统的安全等级具体指的是对于国家级别的秘密信息和法人以及替他组织和公民专有的信息与公开的信息，同时还包括存储和传输以及处理此类信息涉及到的信息系统的等级，对这些等级实施安全保护，对信息系统里面使用到的信息安全类产品进行一定安全等级的管理，对于信息系统里面出现的信息安全类事件需要分等级地进行回应和处置。依据信息系统和信息对于国家的安全和经济建设以及社会生活所起作用的重要性，在其遭到破坏以后就国家安全和社会秩序以及公共利益和公民，还包括法人以及其他各种组织在合法权益方面的危害性来讲，针对相关信息保密程度和完整程度以及实用性要求和信息系统所要达到的基本性安全保护的水准等因素，笔者总结出信息系统安全保护的五个等级：第一个等级是自主保护，第二个等级是指导保护，第三个等级是监督保护，第四个等级是强制保护，第五个等级是专控保护。 2.3 银行信息系统安全等级的评估 在对银行信息系统安全等级考量需要考虑到以下几个因素：第一个因素是安全系统的类型，也就是信息系统安全利益的主体。第二个因素是信息系统所要处理业务信息的类别。第三个因素是信息系统服务的范围，主要包括了其服务的对象与服务网络所涉及到的范围。第四个因素是信息系统业务依赖的程度，也就是手工作业可以替代信息系统进行业务处理的程度。 3 基层银行的信息系统安全设计规划和实施的主要内容 3.1 基层银行信息系统的安全体系和特点 基层银行信息的安全体系主要包含安全管理的体系与安全技术的体系，这两者对于银行信息系统安全维护来说，是两个不能分割的部分，通常情况下的技术与管理需要相互之间提供一定的支撑，以此来确保两种功能的有效实现。对安全管理的体系进行构建，其主要是出于信息系统里面各种角色的管理。以一种管理体系文档化的形式，监督和控制各种角色的种种活动，主要是在系统通常运行的维护工作过程中，主要涉及到各种政策和制度以及规范和流程，同时还包括日志方面的监督与控制。这种安全管理体系的组成部分通常分为五个部分，主要是安全管理的组织与人员的安全管理，系统建设的安全管理，系统运维的安全管理以及安全审计的管理。就安全技术的体系来讲，其主要功能是对信息系统提供技术安全类的机制设施，其实现形式是信息系统里面部署相应的软件与硬件，同时对其以正确的形式配置系统的安全功能，以此来实现。安全技术的体系组成部分也是五个部分，主要包括基础设施的安全和网络安全以及主机安全和应用安全，同时还有数据的安全。 3.2 基层银行的信息系统安全建设的方法论 依据国家标准的ISO17799/ISO27001中的信息安全维护的管理标准建立起信息安全的管理体系，其具体内容