信息科技风险管理整体解决方案
发布时间:2011-01-21   作者:启明星辰

一、 需求分析


2009年3月3日银监会下发了《中国银监会关于印发<商业银行信息科技风险管理指引>的通知》(银监发【2009】19号),明确要求商业银行加强信息科技风险管理,并提出“银监会依法对商业银行的信息科技风险管理实施监督检查”。对于如何吻合监管要求,如何更加有效的实现信息科技风险管理,如何化被动监管为主动适应都是迫在眉睫的需求。


在全球经济一体化的今天,特别是面对金融危机,我国的商业银行要参与到全球经济体系中,就必须符合国际通行的规定,而这些规定都对运用信息技术、加强内部控制提出了不同程度的要求。


二、 总体设计


启明星辰在信息科技风险整体解决方案中,实施的是信息安全管理体系的规划、实施、运行以及改进的过程。实施中遵循生命周期模型PDCA,把整体过程划分如下几个阶段:

 

 
规划:安全规划,制定安全管理策略及相关规范、制订信息安全体系实施计划、安全技术风险解决方案等;


设计和调整:当做完解决方案实施后,将通过后期评估检查安全工程实施的有效性及与规划的偏移量针对性的做出相应的调整部署;


设计策略:信息科技风险管理的目标是落实监管机构要求,建立有效的信息科技风险管理机制,识别风险,完善制度,实现信息科技风险管理工作规范化、常规化,形成长效机制。

 

信息科技安全体系框架


银监19号文信息科技风险管理体系框架要求如下图所示,主要从信息科技治理、信息科技风险管理、信息安全、开发测试维护、信息科技运行、外包、业务连续性等方面进行。最后对内审、外审提出了要求,总体架构图如下。

 

根据银监19号文要求,启明星辰公司结合ISO13335及IATF创建了信息安全保障体系框架模型如下图所示:
 

 

在建设信息安全保障体系时,需要分析资产和业务,资产面临的威胁,从而从管理与技术两个方面构建安全措施:


资产和业务:包括硬件资产、软件资产及数据和各项业务;

 

威胁:来自外部和内部的对企业信息资产和业务存在潜在危害的事件;


安全措施:企业为了保护资产和业务而安排和部署的防护措施。

 

在此基础上,我们展开采用PPT模型来进行信息科技风险管理:
 

 

安全管理框架包括安全策略、安全组织管理和安全运作管理三个层面,称为POO管理架构:

 

 
Policy安全策略是由最高方针制定的一系列文件,结合有效的发布、执行和定期的回顾机制保证其对系统安全的指导和支持作用。Organization安全组织明确安全工作中的角色和责任,以保证在组织内部开展和控制系统安全的实施。Operation安全运作管理是整个系统安全框架的执行环节。通过明确安全运作的周期和各阶段的内容,保证安全框架的有效性。

 

三、安全技术风险解决方案

 

IDS监控

 

用于保护总行关键业务主机及服务器所在的网段以及外联网、互联网、测试网的区域。建立部署入侵检测系统,对上述网段的安全状态进行监控。

 

我们采用入侵检测系统,对生产网、测试网、外联网、互联网进行实时监控与响应,它集成了在线网络入侵监测、入侵即时处理、离线入侵分析、入侵侦测查询、报告生成等多项功能的分布式计算机安全系统,不仅能即时监控网络资源运行状况,为网络管理员及时提供网络入侵预警和防范解决方案,还使得对于检查黑客入侵,变得有迹可寻,为用户采取进一步行动提供了强有力的技术支持,大大加强了对恶意黑客的威慑力量。

 

链路加密系统

 

目前,银行生产数据远程备份通常有两条备份线路,我们建议部署VPN防火墙或加密机对数据备份的链路进行加密。

 

我们推荐使用一体化安全网关或加密机来实现对备份链路的传输进行加密。保证所有在网络上传输的重要数据信息,必须使用VPN系统对网上的重要数据进行加密处理。加密后的数据不仅能够保护数据的私密性,还具有信息身份认证功能和抗攻击功能,其他人无法将伪造的信息在VPN隧道上传输;并且即使他人截获了数据信息,也无法对加密的信息进行破解。

 

运维操作的安全审计

 

无论是内部运维人员还是第三方代维人员,基于传统的维护方式,都是直接采用系统账号完成系统级别的认证即可进行维护操作。随着系统的不断庞大,运维人员与系统账号之间的交叉关系越来越复杂,一个账号多个人同时使用,是多对一的关系,账号不具有唯一性,系统账号的密码策略很难执行,密码修改要通知所有知道这个账号的人,如果有人离职或部门调动,密码需要立即修改,如果密码泄露无法追查,如果有误操作或者恶意操作,无法追查到责任人。建议部署运维操作审计系统,对运维人员的操作进行审计,解决多人共用帐号无法追查到责任人的问题。

 

我们建议选择安全审计系统,对网络设备、安全设备、主机系统、应用系统以及数据库系统维护工作的统一管理。项目建设的关键思路有两项:首先是为各支撑系统建立统一的访问控制入口,在关键访问入口上进行严格控制;其次是在业务操作过程中将自然人账号与实际业务操作进行关联,从而实现操作的实名制。

  

主机和数据库的审计系统

 

如何有效地监控设备厂商和代维人员的操作行为,并进行严格的审计银行面临的一个关键问题。由内部员工和第三方运维护人员的违规操作导致的安全问题变得日益突出;因此需要保证重要/关键服务器和关键数据的安全并效地控制操作风险,以便进行事后追查。 建议部署主机和数据库安全审计系统,以达到合规管理的目的。我们建议选择安全审计系统。

  

系统安全


如今,越来越多的安全漏洞被发现,而利用这些漏洞的安全事件数量也日益上升。因此,在安全事件层出不穷的今天,漏洞问题更需要被特别关注。做好漏洞管理工作,是在构建信息安全体系时需要重点考虑甚至优先考虑的问题。建议部署漏洞扫描系统,对主机、网络设备、数据库等定期进行安全扫描以发现存在的漏洞问题并予以修复。

 

终端安全

 

目前,银行的网络终端越来越多,办公网络经常会存在个别计算机终端疏于打操作系统安全补丁、防病毒软件未及时升级、防火墙规则设置过于宽松、可以随意下载和安装不明软件、滥用网络资源、网络终端非法外联、外来电脑随便接入等现象,这使得计算机终端自身存在大量的安全漏洞和管理真空地带。建议部署终端安全管理系统,解决日常工作中面临的诸多安全问题。

  

网络管理和安全管理

 

IT系统已经成为了银行业务运营的重要支撑,然而应用系统数量和种类的不断增加,其软硬件运行环境的复杂度也在不断提高,无论其中哪个环节出了问题,都将对整体业务产生重大影响。 如何加强IT应用系统的运行监控,达到更有效的管理,从而保障整个IT应用系统的稳定、高效、不间断运转,提供高可用性的IT服务,成为摆在信息技术部门面前的新课题。

  

四、安全管理风险解决方案

 

建立健全风险管理体系需要依据国家各项相关标准法规和行内现有的规范、制度,应该包括风险管理策略、管理办法、实施细则与流程、工作手册等各个层次,涉及组织、运营、技术等各个层面,涵盖信息系统的整个生命周期,风险管理体系内容如下:

 

 
如上所示:风险管理体系共分四层:

 

a) 第一层为风险管理策略,是所有其它策略与规定的最高依据,本策略必须符合国家及行业的监管要求;

 

b) 第二层为管理办法,具体规定了信息科技某个方面的风险管理要求;

 

c) 第三层则是技术流程、细则与技术手册,是管理办法的细化;

 

d) 第四层是相关的表单记录;

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号