冠群金辰银行信息系统安全管理计划(doc 10)文档.doc

冠群金辰银行信息系统安全管理方案 随着金融界向电子化、数字化、网络化的发展，各金融机构对计算机的重视程度越来越高，全球高新技术尤其是信息技术的发展，进一步提高了银行计算机的应用水平。 　 1银行业务的发展和信息安全范畴的变迁 　　随着金融界向电子化、数字化、网络化的发展，各金融机构对计算机的重视程度越来越高，全球高新技术尤其是信息技术的发展，进一步提高了银行计算机的应用水平。人们可以通过国际互联网随时随地进行信息交流、电子商务活动，银行既要保障有强固的银行内部业务网络，又要扩展业务，利用互联网、无线网等尽可能多的通讯途径对全国甚至全球个人实行24小时金融电子服务，许多银行也顺应形势相继推出了网上银行、自助银行、客户服务中心、手机银行等。同时，经营的集约化和数据的集中化趋势一方面顺应了银行业务发展的要求，避免了业务分散导致的业务风险，但是另一方面不可避免的导致了信息安全风险的集中。 　　随着银行业务系统顺应趋势的开放和互连，其信息安全范畴已经突破了以业务系统物理隔离和协议隔离为基础的传统银行信息安全。我们必须在一个日趋开放的系统平台上重新审视银行的信息安全问题。金融系统（银行、保险、证券）是国家政策要求实施安全等级保护的11大类关键信息基础设施的重点系统。因此，如何建立一个高效的现代信息安全体系，日益成为突出的问题。 　　2 冠群金辰公司的主动防御安全策略 　 冠群金辰公司具有多年的信息安全产品研发、工程实施和安全服务经验，在金融行业具有丰富的行业应用经验，并且对国外和国内的金融行业业务应用、信息安全策略、相关法律法规等有深刻的理解，具有独到的见解。 　　根据对客户需求的详细调查分析，推出了以客户价值为中心，以3S为代表的安全理念，即Security Solution（安全方案），Security Application（安全应用），Security Service（安全服务）。安全方案是基于符合用户需求的自有产品和合作伙伴的优秀产品搭建的整体解决方案；安全应用则是基于用户的实际应用系统和业务系统的安全需要，将我们的安全方案进行定制和二次开发，以满足用户对业务系统和安全系统更高程度的整合需求；安全服务则是参照国际和国内信息安全管理和工程标准，并结合冠群金辰公司的服务经验积累提供的评估、设计、实施、管理、教育等一系列服务项目，以帮助用户在日趋严峻的安全环境中保持业务的顺利运行。 　　经过对信息安全趋势的分析，我们认为在当前新的安全漏洞发现频率日益加快、安全攻击事件大幅度增加的状况下，局限于传统的被动（Reactive）防范策略是非常危险的。我们按照风险管理的思路，提出了主动（Proactive）防御策略，强调利用先进的技术、产品，配合以有效的管理方法和运维模式，避免入侵行为造成损害，并且有效防御新的安全漏洞造成的风险。脆弱性三维图可以帮助客户识别风险状况，选择采用适当有效的风险控制方法，达到成本和效益之间的平衡。 　　冠群金辰公司倡导采用以主动防御为基础的纵深防御体系来进行银行安全保障体系的建立。 　　第一：在整个受保护网络环境中的每一个环节上减少可能会被入侵者利用的突出的脆弱点； 　　第二：对于关键的资源，使用多重防御策略来管理风险，以便在一层防御不够时，在理想情况下，另一层防御将会削弱对被保护资源的破坏。 　　3.银行信息安全风险管理思路和技术建议 　　银行信息安全问题不仅仅是技术上的问题，同样重要的是管理问题。2003年4月底正式挂牌的中国银监会5月份以第二号公告的形式，就巴塞尔新资本协议公开征求中国银行业界意见。新巴塞尔协议的实施势必大大提升银行业的整体业务风险管理水平。同样，在银行的信息安全领域也需要一种成熟的风险管理思路。这种风险管理的思想要贯穿在银行的每一个业务系统的生命周期阶段。对于每一个银行业务系统，比如柜台业务、资金清算等随着时间的发展都可以分为不同的阶段。按照NIST风险管理指南，这些阶段可以划分为系统规划阶段、系统开发阶段、系统实施阶段、系统运行阶段和系统废止阶段。根据银行业务系统各自的特点，其各阶段的具体内容会有所不同，但基本周期保持不变。所以与之相对应就产生了所谓系统安全的生命周期，即是将安全生命周期模型整合到系统生命周期模型上，一方面在系统生命周期各阶段提取安全需求，另一方面将安全生命周期的过程应用在系统生命周期各阶段，即在系统各阶段遵循安全的过程性开展相应安全工作。不同系统，各阶段的安全需求不同，安全工作展开的顺序也会有所不同。但是，它们的共同点就是需要同时从技术和管理两个方面着手进行风险管理，同时这两个方面不是孤立实施的，而是有机结合的。 　　冠群金辰公司的银行业信息安全风险管理方案主要分为下面几个部分： 　　第一， 参照相关法律法规、金融行业相关规定、国内外信息安全标准等，为用户建立一套信息安