銀行信息安全管理基礎(chǔ)知識

銀行信息安全管理基礎(chǔ)知識銀行信息安全管理基礎(chǔ)知識銀行信息安全管理基礎(chǔ)知識xxx公司銀行信息安全管理基礎(chǔ)知識文件編號：文件日期：修訂次數(shù)：第1.0次更改批準(zhǔn)審核制定方案設(shè)計，管理制度銀行信息安全管理基礎(chǔ)知識銀行信息安全威脅隨著銀行信息建設(shè)的深入發(fā)展，銀行全面進(jìn)入了業(yè)務(wù)系統(tǒng)整合、數(shù)據(jù)大集中的新的發(fā)展階段，經(jīng)營的集約化和數(shù)據(jù)的集中化趨勢一方面順應(yīng)了銀行業(yè)務(wù)發(fā)展的要求，但是另一方面不可避免地導(dǎo)致了信息安全風(fēng)險的集中。銀行信息系統(tǒng)存在的信息安全威脅主要包括：來自互聯(lián)網(wǎng)的風(fēng)險、外部機構(gòu)的風(fēng)險、不信任網(wǎng)絡(luò)的風(fēng)險、機構(gòu)內(nèi)部的風(fēng)險、災(zāi)難性風(fēng)險等五部分。信息安全建設(shè)的原則及等級劃分信息安全原則信息安全是一項結(jié)合規(guī)劃、管理、技術(shù)等多種因素的系統(tǒng)工程，是一個持續(xù)、動態(tài)發(fā)展的過程。技術(shù)是安全的主體，管理是安全的靈魂。只有將有效的安全管理實踐自始至終貫徹落實于信息安全當(dāng)中，網(wǎng)絡(luò)安全的長期性和穩(wěn)定性才能有所保證。信息安全的原則：明確責(zé)任，共同保護(hù)；依照標(biāo)準(zhǔn)，自行保護(hù)；同步建設(shè)，動態(tài)調(diào)整；指導(dǎo)監(jiān)督，重點保護(hù)。(二)信息安全等級介紹信息安全等級保護(hù)是指對國家秘密信息、法人和其他組織及公民的專有信息和公開信息，以及存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度，針對信息的保密性、完整性和可用性要求及信息系統(tǒng)必須達(dá)到的基本安全保護(hù)水平等因素，信息系統(tǒng)的安全保護(hù)共分為五等級：第一級為自主保護(hù)級第二級為指導(dǎo)保護(hù)級第三級為監(jiān)督保護(hù)級第四級為強制保護(hù)級第五級為專控保護(hù)級信息安全等級評估決定信息系統(tǒng)重要性等級時應(yīng)考慮以下因素：1、系統(tǒng)所屬類型，即信息系統(tǒng)的安全利益主體。2、信息系統(tǒng)主要處理的業(yè)務(wù)信息類別。3、系統(tǒng)服務(wù)范圍，包括服務(wù)對象和服務(wù)網(wǎng)絡(luò)覆蓋范圍。4、業(yè)務(wù)依賴程度，或以手工作業(yè)替代信息系統(tǒng)處理業(yè)務(wù)的程度。信息安全規(guī)劃內(nèi)容信息安全體系及其特點信息安全體系包括安全管理體系和安全技術(shù)體系，兩者是保障信息系統(tǒng)安全不可分割的兩個部分，大多數(shù)情況下，技術(shù)和管理要求互相提供支撐以確保各自功能的正確實現(xiàn)。構(gòu)建安全管理體系的主要目的是管理信息系統(tǒng)中各種角色的活動。通過文檔化的管理體系，從政策、制度、規(guī)范、流程以及日志等方面監(jiān)督、控制各類角色在系統(tǒng)日常運行維護(hù)工作中的各種活動。安全管理體系是由安全管理組織、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理和安全審計管理5個部分組成。安全技術(shù)體系的主要目的是為信息系統(tǒng)提供各種技術(shù)安全機制，主要是通過在信息系統(tǒng)中部署軟硬件并正確地配置其安全功能來實現(xiàn)。安全技術(shù)體系是由基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全5個層面組成。建立信息安全管理體系（簡稱ISMS），具體內(nèi)容如下：計劃（PLAN）：建立ISMS。建立ISMS的政策、目標(biāo)、過程及相關(guān)程序以管理風(fēng)險及改進(jìn)信息安全，使結(jié)果與組織整體政策和目標(biāo)相一致。執(zhí)行（DO）：實施與執(zhí)行ISMS。ISMS的政策、控制措施、過程與流程的實施與操作。查核（CHECK）：監(jiān)督與審查ISMS。依據(jù)ISMS政策、目標(biāo)及實際經(jīng)驗，以評鑒與測量（適當(dāng)時）過程績效，并將結(jié)果回報給管理層加以審查。行動（ACT）：維持與改進(jìn)ISMS。依據(jù)內(nèi)部ISMS稽核與管理層審查或其它相關(guān)信息結(jié)果采取矯正與預(yù)防措施，以達(dá)成信息安全管理系統(tǒng)的持續(xù)改進(jìn)。規(guī)劃實施內(nèi)容信息安全組織建設(shè)信息安全管理組織建設(shè)是在組織內(nèi)部建立跨部門的信息安全協(xié)調(diào)溝通機制，以便在組織內(nèi)管理信息安全，識別與外部組織相關(guān)的安全風(fēng)險，定義和分配信息安全職責(zé)，定期對信息安全工作進(jìn)行評審。在銀行建立信息安全管理委員會，從組織架構(gòu)的層面推動信息安全規(guī)劃的實施，該機構(gòu)的主要職責(zé)包括：推動信息系統(tǒng)安全保障體系建設(shè)；周期性地對系統(tǒng)信息安全風(fēng)險進(jìn)行識別和評估；保護(hù)商業(yè)秘密和技術(shù)機密，維護(hù)企業(yè)的利益；制定信息系統(tǒng)的安全策略，提高企業(yè)的抗風(fēng)險能力。人員安全管理人員安全管理是指在全體員工范圍內(nèi)提高信息安全防范意識，普及信息安全管理知識，落實各項安全管理制度，群策群力共同保障信息系統(tǒng)安全。人員安全管理主要通過全員安全教育培訓(xùn)的方式來實現(xiàn)，培訓(xùn)的方式可分為三類：1）管理層安全意識教育：針對管理層的安全意識教育培訓(xùn)，幫助管理層了解國家在信息安全方面的政策，提高對安全工作的認(rèn)識，從而能夠指導(dǎo)安全建設(shè)工作。2）技術(shù)人員安全技能培訓(xùn)：學(xué)習(xí)安全管理理論知識和安全技術(shù)知識，從而具有掌握安全管理理念、掌握安全產(chǎn)品操作維護(hù)和安全事件處理的能力，維護(hù)信息系統(tǒng)的安全。3）普通員工的安全意識培訓(xùn)：對廣大信息系統(tǒng)用戶進(jìn)行安全意識教育培訓(xùn)，提高大家的安全意識，讓全體員工都意識到信息安全工作的重要性，共同維護(hù)網(wǎng)絡(luò)和信息安全。系統(tǒng)建設(shè)管理在信息系統(tǒng)集成項目、軟件開發(fā)項目中考慮信息安全。進(jìn)行安全需求分析和規(guī)劃，系統(tǒng)開發(fā)需要進(jìn)行輸入數(shù)據(jù)的驗證、處理過程的信息完整性、輸出數(shù)據(jù)的確認(rèn)，以防止應(yīng)用系統(tǒng)信息的錯誤、丟失、未授權(quán)的修改或誤用。通過加密手段保護(hù)重要信息的機密性、完整性。確保系統(tǒng)文件的安全，建立軟件開發(fā)規(guī)范，實施變更控制。系統(tǒng)運維管理加強信息系統(tǒng)的日常操作維護(hù)管理。逐步建立和完善文檔化的操作流程、規(guī)范變更管理流程，實施職責(zé)分離、分離開發(fā)、測試、生產(chǎn)環(huán)境。對第三方服務(wù)交付提出要求，確保第三方提供的服務(wù)符合協(xié)議的要求。系統(tǒng)規(guī)劃需要考慮未來容量和性能要求，對項目建設(shè)按照標(biāo)準(zhǔn)進(jìn)行驗收。制定數(shù)據(jù)備份策略，確保信息的完整性和可用性?？刂乒芾硪苿咏橘|(zhì)的使用和處置方式。確保與外部組織交換信息的安全，為7*24小時業(yè)務(wù)提供安全保障措施。監(jiān)控系統(tǒng)運行狀況，對系統(tǒng)的異常運行情況及時預(yù)警。記錄和管理系統(tǒng)日志、操作日志，確保系統(tǒng)運行的可審核。安全審計管理建立信息安全事故報告流程，確保使用持續(xù)有效的方法管理信息安全事故。確保信息系統(tǒng)符合法律法規(guī)要求，定期進(jìn)行信息安全檢查工作，及時發(fā)現(xiàn)存在的安全問題并持續(xù)有效地改進(jìn)?；A(chǔ)設(shè)施安全基礎(chǔ)設(shè)施安全是指保護(hù)機房環(huán)境和設(shè)備實體的安全，防止對基礎(chǔ)設(shè)施的非法使用、物理破壞或被盜，保障設(shè)備正常運行所必需的電源、溫度、濕度、防水、防塵等運行環(huán)境?；A(chǔ)設(shè)施安全規(guī)劃內(nèi)容：對中心機房及其基礎(chǔ)設(shè)施，要堅決搞好基本環(huán)境建設(shè)，要有完整的防雷電設(shè)施，且有嚴(yán)格的防電磁干擾設(shè)施，要搞好防水防火的預(yù)防工作。主機房電源要有完整的雙回路備份機制，配置發(fā)電機、UPS等設(shè)施。在中心機房設(shè)置安全邊界、物理進(jìn)入控制，防范外部和環(huán)境威脅，防止對辦公場所和信息的非授權(quán)訪問和破壞。建立和完善視頻監(jiān)控系統(tǒng)和紅外線防盜系統(tǒng)，監(jiān)控基礎(chǔ)設(shè)施的運行情況和使用情況。并對機房環(huán)境和實體設(shè)備進(jìn)行檢修，定期實行災(zāi)難備份系統(tǒng)切換演習(xí)。網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是通過硬件、軟件等安全控制形式來保障數(shù)據(jù)、語音、圖像、傳真等信息在網(wǎng)絡(luò)傳輸過程中的安全，提高安全域和安全區(qū)之間網(wǎng)絡(luò)通訊的私密性、完整性和可靠性。網(wǎng)絡(luò)安全規(guī)劃內(nèi)容：建設(shè)和完善防火墻安全體系，隔離安全區(qū)域，強化網(wǎng)絡(luò)安全策略，對網(wǎng)絡(luò)訪問進(jìn)行監(jiān)控審計，防止內(nèi)部信息的外泄。建設(shè)IPS入侵檢測系統(tǒng)，通過特定的檢測技術(shù)識別出惡意攻擊的行為，并及時阻斷攻擊行為、保護(hù)網(wǎng)絡(luò)安全。通過VLAN劃分網(wǎng)絡(luò)，隔離兩個不同的網(wǎng)絡(luò)安全域。通過物理級、網(wǎng)絡(luò)級、系統(tǒng)級多種認(rèn)證手段，對網(wǎng)絡(luò)中的用戶訪問權(quán)限進(jìn)行控制，確認(rèn)使用者的身份及權(quán)限。記錄和管理網(wǎng)絡(luò)日志，保證網(wǎng)絡(luò)安全的可審計性。通過SSL安全連接機制，保障網(wǎng)上銀行等外部WEB連接的安全。主機安全主機系統(tǒng)的安全目標(biāo)是保障主機平臺系統(tǒng)高效、優(yōu)質(zhì)運行，防止主機系統(tǒng)遭受外部和內(nèi)部的破壞和濫用，避免和降低由于主機系統(tǒng)的問題對業(yè)務(wù)系統(tǒng)造成的影響；協(xié)助應(yīng)用進(jìn)行訪問控制和安全審計。主機安全規(guī)劃內(nèi)容：完善主機系統(tǒng)安全管理，嚴(yán)格管理系統(tǒng)賬戶、有效控制系統(tǒng)服務(wù)，優(yōu)化系統(tǒng)的安全配置，啟用系統(tǒng)必要的安全控制措施、避免系統(tǒng)發(fā)生故障或遭受攻擊。定期對主機的安全進(jìn)行評估，檢測主機的安全配置和存在的安全漏洞，及時修補，增強主機的抗攻擊能力。提高主機入侵防護(hù)能力，安裝基于主機的入侵防護(hù)系統(tǒng)，防范入侵攻擊和誤操作行為的發(fā)生。根據(jù)業(yè)務(wù)需要對系統(tǒng)進(jìn)行冗余設(shè)計，提高主機系統(tǒng)的抗風(fēng)險能力。記錄和管理主機系統(tǒng)日志，以便日后對系統(tǒng)進(jìn)行有效的日志跟蹤審計。建設(shè)同城異地災(zāi)備中心，定期進(jìn)行災(zāi)備系統(tǒng)切換演習(xí)。應(yīng)用安全應(yīng)用安全指使用應(yīng)用系統(tǒng)進(jìn)行處理業(yè)務(wù)交易和工作過程的安全。應(yīng)用安全規(guī)劃內(nèi)容：完善操作員身份認(rèn)證機制，檢查操作員登錄的合法性，加強密碼管理，督促操作員定期更新密碼，保證操作員密碼的安全性。制定和完善系統(tǒng)操作員等級和角色管理體系，嚴(yán)格控制操作員對各類交易應(yīng)用功能的使用權(quán)限。通過業(yè)務(wù)復(fù)核機制，對關(guān)鍵業(yè)務(wù)數(shù)據(jù)進(jìn)行校驗，保證業(yè)務(wù)數(shù)據(jù)的合法性。通過業(yè)務(wù)授權(quán)機制，實現(xiàn)對關(guān)鍵業(yè)務(wù)的監(jiān)控，有效控制業(yè)務(wù)風(fēng)險。建立自動預(yù)警機制，實時監(jiān)控ATM、POS、電話銀行、網(wǎng)上銀行等自助交易渠道的運行情況，對系統(tǒng)運行過程中的異常情況及時告警。完善軟件開發(fā)流程，制定符合銀行實際情況的軟件配置管理體制與軟件質(zhì)量保證機制，保證軟件功能模塊符合業(yè)務(wù)功能需求。數(shù)據(jù)安全數(shù)據(jù)安全是指保證數(shù)據(jù)的機密性、完整性、一致性、可用性、不可抵賴性，避免數(shù)據(jù)的泄密、破壞、纂改、丟失。數(shù)據(jù)安全規(guī)劃內(nèi)容：在操作終端上，通過關(guān)鍵數(shù)據(jù)域合法性檢查、敏感數(shù)據(jù)屏蔽保證數(shù)據(jù)的合法性與機密性。在數(shù)據(jù)傳輸過程中，通過鏈路加密，節(jié)點加密，端到端加密在通信的三個不同層次保證數(shù)據(jù)的安全，通過數(shù)據(jù)傳輸中間件保證數(shù)據(jù)的