商业银行重要时期信息安全保障服务方案
发布时间:2011-01-21   作者:启明星辰

1 概述

 

随着银行业务及网络规模的逐步扩大,重要时期信息系统安全面临严峻考验。

 

在近期颁布的《中国人民银行关于加强银行网络安全防范工作的通知》(银发[2008]159号文)中,进一步对网络模拟攻击测试提出了要求,并把保障银行网络安全运行提到了“讲政治”的高度。

 

为了防范银行信息科技风险,防止重要时期重大网络安全事件的发生,并落实人民银行、银监会等行业主管部门的监管要求,促进银行网银系统在重要期间安全、稳健、高效地运行。通过实施重要安保方案,我们可以及时发现银行网上银行业务系统的安全隐患,防止来自内部和外部的恶意攻击事件,并及时进行应急响应与安全事件处理,为网银业务全程保驾护航,以增强银行网上银行系统的抗风险能力,防止系统发生重大安全事件。

 

2 重要时期安保服务方案

 

启明星辰所提供的重要信息安全服务方案是一个“基于不同级别的混合过程”的保驾工作,即保驾过程是针对不同的威胁和事件级别,表现为不同的过程模式。其主要特点包括:

在正常态(较低威胁和事件级别)的保驾过程中,是表现为基本的运行维护流程,主要包括:基本运行、检查监控、小问题调整。

当威胁和事件的级别较高时,保驾过程进入一个快速并行,并改进过程,尽快将威胁和事件的级别降低下来。

当威胁和事件的级别如果提升到极高的水平,或者较高级别的威胁和事件持续时间过长,保驾过程就将进入一个紧急处理状态,进入应急响应过程。

 

2.1 现场职守安全保障

 

启明星辰公司提供安全技术工程师到现场值守,提供IDS安全监控、IDS事件检测分析、验证与处理等服务内容,主要负责:

在重要期间协助银行进行网上银行系统的安全运维、分析与检查、及提出安全建议等;

 

通过IDS进行安全事件的实时监控,并及时分析IDS安全事件日志和网络流量等情况;

对异常事件,包括病毒木马、SQL注入、跨站脚本等网银常见攻击等事件进行分析、验证、处理和上报,以便监控人员及时响应,确保系统正常运行。

 

2.1.1 运维报告内容

 

安全运维报告将对安全监控、IDS日志分析、事件与漏洞验证、事件与漏洞处理结果等进行记录总结,以备后查和后续处理,同时通过报告让银行了解自身信息系统的安全状况。

 

2.1.2 服务成效

 

通过现场职守安全保障服务可达到以下效果:

完善与优化IDS运维状况;

加强网银系统安全事件的检测与监控,及时发现网银系统中潜在的安全漏洞隐患;

通过对IDS告警日志的分析与验证,可发现并明确定位重要期间外部安全攻击事件以及发现网银系统安全漏洞状况,以便能在第一时间进行处理与修补;

第一时间防御外部对网银系统的攻击

通过安全巡检及早发现网银系统网络安全隐患。

 

2.2 木马和漏洞监控

 

网站挂马是网站类系统严重的安全事件,特别是对于银行金融业网站,一旦出现网页挂马和网页恶意代码现象,对于使用网上银行者是极大的威胁,将给银行的信誉造成了非常严重的恶劣影响,严重影响网银用户对银行系统安全的信心。另外在重要这个特殊时期,这类严重的网页挂马事件还存在严重的政治影响风险,应专门针对性地重点对待。

 

2.2.1 服务内容与方式

 

木马和漏洞监控是依托自动化安全检测平台和专业网站防护专家团队,对客户的网页进行木马检查和远程网页漏洞检查,其主要内容如下:

 

2.2.1.1 远程网页木马检查服务

检查互联网网站WEB页面是否已经存在网页挂马

通过专业人员核实后标明网页木马所在的网页链接

按照合同约定的服务周期提供《网页木马检查报告》

 

2.2.1.2 远程网页漏洞检查服务

检查互联网网站是否存在WEB程序安全漏洞

标明漏洞类型和存在的网页链接

按照合同约定的服务周期提供《网站漏洞检查报告》

 

通过木马和漏洞监控可以检查和发现网银网站的安全问题,能够将网站管理人员从繁重的日常网站维护工作中解放出来,有效地防范、降低银行网站所面临的政治压力、经济损失和数据泄密等安全风险。

 

2.2.2 服务成效

 

通过服务可以做到达到如下效果:

 

检测当前流行的挂马行为

 

能够覆盖包括:Iframe框架挂马、JS文件挂马、JS变形加密等十余种目前的主要挂马方式,通过在自动化的安全检查平台沙箱虚拟环境中充分暴露其行为模式,有效的定位网页木马所在的位置。

 

识别常见的Web应用漏洞

 

包括那些WASC所分类定义的Web应用威胁,例如SQL注入、跨网站脚本攻击以及缓存溢出等攻击。

 

提供准确的标准化检测报告

 

最终交付的检测报告是在自动化检测的结果基础上,通过安全专家的实际审核后形成的。这样的流程有效的避免了误报发生的可能性,确保检测结果的真实性。

 

专家级的木马清除方案和漏洞修复建议

 

当最终交付的检测报告发现网站存在网页挂马现象或者网上银行应用程序漏洞,安全专家还会在报告中提出专家级木马清楚方案和漏洞修复建议。银行可以根据报告内容进行网站安全应急处理。

 

2.3 重要时期应急响应

 

2.3.1 应急响应

 

为加强重要期间,信息系统的风险应急和处置,应急响应服务即对突发的信息安全事件提供响应服务,通过启明星辰应急响应小组的技术支持,协助银行对事件进行及时处理。

 

2.3.1.1 PDCERF流程

 

事件管理生命周期:


事件管理过程包含多个步骤,从最初的准备工作到最终的事后处理。初始阶段包括建立和培训事件响应小组,获取必要的工具和资源。在准备阶段,组织根据渗透测试的结果,通过实施一系列的安全控制措施,降低安全事件发生的概率,但剩余风险是不可避免的。在检测阶段,负责对安全破坏行为进行检测,以及时向组织报告安全事件的发生。组织通过采取抑制、恢复等措施,限制安全事件的影响程度和影响范围。在事件处理完毕后,组织应当就事件的起因、后果、造成的损失以及今后的改进措施等提交报告。事件处理的生命周期如上图所示,下面详细介绍这些步骤。

 

2.3.1.2 服务描述

 

在重要期间,当银行的网上银行系统发生紧急情况,启明星辰在接到紧急事件报告后,将启动应急响应服务体系,提供安全专家紧急出动响应服务,包括远程应急响应和现场应急响应。安全专家将尽可能快的赶到现场,恢复网络的正常工作,并协助检查入侵来源,提供事故分析报告和安全建议及服务,为银行提供及时、全面的安全问题解决方案。

 

2.3.1.2.1 事件响应原则

 

在项目实施的全部过程中,我们将依照下以原则:实时原则,规范性原则,最小性原则,保密性原则。 

 

2.3.1.2.2 事件响应范围

 

安全事件是指在银行网上银行业务系统出现的影响业务正常运行的任何异常事件,以及安全咨询,病毒库升级,产品升级等事件。

 

2.3.1.3 服务内容

 

应急响应根据对事件进行处理的地点分为:远程应急响应和现场应急响应。

 

2.3.1.3.1 远程应急响应

 

远程应急响应是指启明星辰工程师在接到银行相关人员通过电话、Email、传真方式的请求后,如果无法通过相同的方式为客户解决问题,经与网络相关人员确认后,网络相关人员提供主机或设备的临时支持账号,由启明星辰工程师远程登陆主机进行检测和服务,问题解决后出具详细的应急响应服务报告。

 

如远程系统无法登陆,或无法通过远程访问的方式替客户解决问题,银行确认后,转到本地应急响应流程,同时此次远程响应无效,归于现场应急响应类型。

 

2.3.1.3.2 现场应急响应

 

现场应急响应是指启明星辰委派相关技术专家在第一时间赶往银行网络事发地点,在现场查找事发原因并协助解决相应问题,并出具详细的应急响应服务报告。

 

2.3.2 服务成效

 

通过详细的应急响应预案,对不同种类的威胁选用不同的解决方法,对不同级别的事件采用不同的响应流程,使应急响应工作确实可落实,并在关键时刻缩短事件的处理时间。

 

在重要期间,应急响应服务可以在网银系统遭受外部恶意攻击事件时,迅速、合理地响应和处置的重要环节,通过预先制定的可操作的紧急行动方案,安全专家丰富的的应急经验,可以最大程度减少重大事件对网上银行业务系统造成的损失和影响。

 

3 典型成功案例

 

启明星辰在中国工商银行、国家外汇管理局、中国建设银行、中国光大银行、北京银行等均客户均有相关典型成功案例。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号