中国S银行信息安全风险管理.doc

中国S银行信息安全风险管理 第3章 S银行信息安全风险管理现状及风险分析 3．1风险分析理论指导和方法 一、信息安全风险分类理论 瑞士信贷集团认为操作风险是指由于以不当或不足的方式操作业务而对业 务带来负面影响到风险。操作风险可具体表现为经营混乱失控出差错不当行为和 外部事件，但都不外乎以下五大类操作风险：组织、政策／过程、技术、人员、 外部。由于信息风险也是操作风险，信息风险的具体内容也包含在这五类中。 二、风险分析方法 风险识别的方法多种多样，本文主要采用分解分析法、漏洞扫描与渗透测试 法。 分解分析法：是指将一复杂的事物分解成简单的事物，将大的系统分解成具 体的要素，从中分析可能的风险和存在的威胁。即把信息安全风险分解为：组织 风险、人员风险、政策和运作风险、技术风险和外部风险进行分析。 漏洞扫描与渗透测试法是指对网络、系统、设备等进行漏洞扫描和渗透测试 发现存在的安全隐患。该方法主要是利用工具发现存在的技术风险。 3．2 S银行信息安全风险管理现状 一、建立了信息安全管理组织体系 中国S银行在信息科技大集中的发展战略和总体规划的指导下，到目前为止 己完成IT生产系统和数据物理集中的工作．成立了信息安全领导小组，组长由 总行分管信息科技的行长担任，成员由总行各主要业务管理部门总经理和一级分 行行长组成，承担全行信息安全管理的领导工作；成立了风险管理部，对全行的 操作风险进行统一管理；成立了稽核部对全行的操作风险进行审计。总行设信息 科技部下设开发、测试、运行、信息风险管理、综合管理等中心，其中信息风险 管理中心专职负责全行日常信息安全风险的识别、评估、监控、报告等工作，开 发、测试、运行分别承担各中心涉及到的信息风险的日常管理。各分行根据情况 设信息科技部，承担辖内行信息安全风险的日常管理，各支行根据情况设立电脑 科或科技管理员承担辖内网点信息安全的日常管理。 二、业务连续性保障体系基本建成 S银行在各级行建立了由应急领导、应急执行和应急保障等小组组成的应急 管理机构，其成员涵盖了全行主要相关业务部门，负责全行信息安全应急事件的 领导、指挥和协调，应急处置和应急所需人力和物力等资源保障。 为保障业务连续性，在远离总行所在地的A市建立了异地数据备份中心，以 应对低概率、高风险的灾难事件；在离总行较近的B市建立了异步的应用级数据 灾备中心，以应对高概率、低风险的信息科技灾难事件。 为避免在进行正常的业务操作时，遇到一些临时的紧急情况，如通讯断线、 操作系统瘫痪、业务数据库被破坏、UPS断电、应用系统重大故障等意外事件， 根据机房环境、应用系统的运行情况制订了较为完善的应急预备，明确了在突发 事件发生时所采取的具体应对措施与应急办法。对重要业务系统和网络系统，一 般每年都进行一定次数的应急演练，并形成演练报告，及时总结在演练过程中出 现的各类问题。 三、建立了较为完备的信息科技制度体系 S银行经过多年的建设，建立了纵向上包括办法、实施细则和操作规范等层 级，横向上包括运行管理、开发管理、测试管理、安全管理和综合管理等几个方 面的信息科技制度，基本涵盖了开发、测试、运行、安全、网络、资源、数据和 管理等科技风险管理内容，初步形成了较为完备的信息科技制度体系。 四、已建立良好的软、硬件设施 总行数据中心的基础设施建设基本符合国家机房建设A类标准；供电采用市 电双路供电，通过UPS接入，并自备有柴油发电机应急；机房空调系统采用机房 专用精密空调，基本满足了核心区域的恒温和恒湿要求；机房严格按照防火、防 雷、防水、防盗、防抢、防鼠害等要求进行了建设，同时为及时、有效地检测和 发现主机房硬件及环境的突发事件，机房还部署了各类监控系统；骨干网络线路 均采用二条不同运营商的双线互为冗余备份；骨干设备和系统也进行了双机热 备，保障了数据的安全性和可恢复性。 五、采取了大量信息安全保护技术措施 S银行行采用多个品牌的防火墙组成多道道异构防火墙系统，严格控制 Intemet访问的安全。在内网，通过对核心交换机的不同VLAN接口设置访问控 制列表，实现了内网各网段之间的隔离。总行内部网络在逻辑上划分为多个业务 区域，并对不同区域实行网段隔离和访问控制等措施。对计算机接入互联网通过 独立的物理通道，与其他生产及办公网络物理隔离。 制订了全行统一的防病毒管理策略，全行计算机均实现实时更新病毒库和自 动查杀各类病毒，构建一个相对稳固的病毒防范体系；在关键区域部署了入侵检 测等安全检测和防护系统，并由专人对可疑数据进行实时监控和管理。 系统软件和应用软件的升级和补丁都通过严密的测试，升级都经过严格的审 批和版本管理流程流程。用户对系统的访问均需经合法登录，并经授权后，才能 进行操作，并对操作过程等进行记录，便于事后审计。系统的变更均经过严格审 批，并经严格