一、金融行業信息安全概述
金融行業信息化系統經過多年的發展建設,目前信息化程度已達到了較高水平。信息技術在提高管理水平、促進業務創新、提升企業競爭力方面發揮著日益重要的作用。隨著銀行信息化的深入發展,銀行業務系統對信息技術的高度依賴,銀行業網絡信息安全問題也日益嚴重,新的安全威脅不斷涌現,并且由于其數據的特殊性和重要性,更成為黑客攻擊的重要對象,針對金融信息網絡的計算機犯罪的案件呈逐年上升趨勢,特別是銀行全面進入業務系統整合、數據大集中的新的發展階段,以及銀行卡、網上銀行、電子商務、網上證券交易等新的產品和新一代業務系統的迅速發展,現在不少銀行開始將部分業務放到互聯網上,今后幾年內將迅速形成一個以基于TCP/IP協議為主的復雜的、全國性的網絡應用環境,來自外部和內部的信息安全風險將不斷增加,這就對金融系統的安全性提出了更高的要求,金融信息安全對金融行業穩定運行、客戶權益乃至國家經濟金融安全、社會穩定都具有越來越重要的意義。金融業迫切需要建設主動的、深層的、立體的信息安全保障體系,保障業務系統的正常運轉,保障企業經營使命的順利實現。
二、金融業安全風險及需求分析
金融行業典型網絡拓撲如下,通常為一個層次化的互聯廣域網體系結構:
2、1金融行業風險分析
金融行業網絡系統面臨的風險復雜多樣,既有來自外部的,也有來自內部的。可以概括為以下三個大的方面:
·組織方面的風險。缺乏統一的安全規劃和安全職責部門;
·技術方面的風險。安全保護措施不充分。盡管已經采用了一些安全技術和安全產品,但是目前安全技
術的采用是不足的,存在大量這樣、那樣的風險和漏洞;
·管理方面的風險。安全管理有待提高,安全意識培訓、安全策略和業務連續性計劃都需要完善和加
強;
具體風險分析如下:
·缺乏對內部用戶的行為控制和行為監管,表現在對內部人員的過分信任,沒有可靠的管理手段往往是
出現內部高科技犯罪的開始。
·雖然制定了一系列信息安全規定,但是沒有一個科學的評估方法和管理手段,無法對系統的安全狀況
進行量化的分析和科學的管理,結果往往是事與愿違。
·缺乏專業的安全組織結構和明確的管理流程(如應急響應流程)。
·業務系統操作人員安全管理薄弱,口令系統混亂,安全性差。
·部分同城清算、聯行系統保護脆弱,可能被攻破和滲透。
·開放的TCP/IP協議的的先天設計缺陷,易于遭受IP欺騙攻擊和各種拒絕服務攻擊。
·操作系統和應用軟件系統存在大量安全漏洞。
·蠕蟲、病毒、垃圾郵件、間諜軟件帶來的數據破壞和泄露風險。
·大量的、分散的安全資源的整合和集中管理問題,以及海量安全事件和告警需要的大量人力資源處理
帶來的管理和成本風險。
2、2金融行業需求分析
綜合分析金融行業所面臨的各種安全風險,安氏領信建議金融行業建設一個包括安全組織體系、安全管理體系和安全技術體系的全面安全保障體系,包含貫穿始終的安全策略、風險評估、安全管理,以及終端用戶行為監管;而在技術層面上需要考慮綜合采取多種保護措施,保護網絡和安全域邊界、網絡及基礎設施、終端計算環境的安全、以及進行安全運行中心等支撐性安全設施的建設。
總體來講,金融行業的信息安全需求包括如下幾個方面:
·策略安全,包括信息安全的范圍、等級、政策、標準、規章制度、流程等等。
·系統安全,包括自動補丁管理、系統弱點評估、系統加固、系統入侵檢測和響應、主機訪問控制、網
絡準入控制和強制認證等等。
·網絡安全,包括網絡漏洞掃描、網絡入侵檢測和響應、路由器訪問控制列表(ACL)、AAAA、防火墻、
VLAN、QoS等等。
·數據和內容安全,包括網絡和網關防病毒、通信加密、內容過濾、防垃圾郵件等等。
·安全運行中心,覆蓋資產管理、威脅管理、風險管理、問題管理、知識庫管理等等方面,起到信息安
全支撐性基礎設施的作用。
三、安氏領信為銀行構筑全面安全保障體系
建設目標:滿足金融行業的機密性、完整性、可用性、可控性、不可否認性等安全需求; 建設原則:擴展性、前瞻性、先進性、整體性、標準性、主動性、投資保護、法律法規符合性原則;
建設內容:
1、安全管理和組織體系
2、安全技術體系
3、終端用戶行為監管體系
4、安全運行中心建設
3、1安全管理和組織體系建設
安全管理體系通過建立健全安全管理組織機構和人員配備,提高安全管理人員的安全意識和技術水平,完善各種安全策略和安全機制,利用多種安全技術實施和網絡安全管理實現對網絡的多層保護,減小網絡受到攻擊的可能性,防范網絡安全事件的發生,提高對安全事件的反應處理能力,并在網絡安全事件發生時盡量減少事件造成的損失。
安全組織體系主要包括組織的建立、組織和人員的管理制度、日常管理的運作流程、以及人員的篩選、教育培訓等等。
3、2安全技術體系建設
安全技術體系的核心是構建一個主動防御、深層防御、立體防御的安全技術保障平臺。通過綜合采用世界領先的技術和產品,加強對風險的控制和管理,將保護對象分成網絡基礎設施、網絡邊界、終端計算環境、以及支撐性基礎設施等多個防御領域,在這些領域上綜合實現預警、保護、檢測、響應、恢復等多個安全環節,從而為網絡及信息系統提供全方位、多層次的防護。即使在攻擊者成功地破壞了某個保護機制的情況下,其它保護機制依然能夠提供附加的保護,達到進不來、看不懂、改不了、拿不走、打不垮的效果。
網絡邊界防御體系
邊界防護采用的主要產品和技術包括:
·訪問控制
·入侵檢測/入侵防御
·通信加密(VPN)
·網關防病毒
·流量整形
·反垃圾郵件
·內容過濾
終端安全管理體系
終端安全管理體系采用的主要產品和技術包括:
·終端資產管理,實時了解終端資產信息以及資產信息變動情況
·自動補丁管理,自動打補丁,修補系統漏洞,主動防御未知威脅;
·主機訪問控制,對進出終端的流量進行嚴格的訪問控制;
·主機入侵防護,檢測來自于網絡內部和外部的入侵和攻擊;
3、3終端用戶行為監管體系建設
國際權威研究機構的調查表明,內部發生的安全事件占全部安全事件的70%甚至更多,包括無意識的誤操作,以及惡意的監聽、嗅探、掃描等等行為,都給信息安全帶來極大風險。由于金融行業的特殊性,對內部人員的行為控制和行為監管尤為重要,因此我們建議金融用戶建設終端用戶的行為監管控制體系,以規范和檢查終端用戶的行為與法律法規、內部策略和流程的符合程度,確保沒有違規事件發生。終端用戶行為監管體系采用的主要技術和產品包括:
·安全狀態完整性檢查和自動修復,對終端用戶的安全策略符合性進行檢查,對符合安全策略的用戶可
以接入網絡進行后繼的訪問操作,對不符合安全策略的用戶(例如沒有安裝最新的系統補丁、沒有
升級病毒特征庫)則可以進行自動修復,以提升其安全級別;
·網絡準入控制和強制認證,確保用戶終端在接入網絡之前達到了目標網絡安全策略規定的安全級別,
不會在訪問網絡資源時引入潛在的安全風險;
·外設使用控制,對用戶終端的外設使用進行控制,避免因使用外設可能引起的病毒感染以及數據泄漏
的風險;
·終端用戶行為審計,對終端用戶的行為進行控制和審計,實時了解終端運行狀況和安全狀況;
3、4安全運行中心建設
傳統的安全管理方式是將分散在各地、不同種類系統就近分別管理,這樣導致安全信息互不相通,安全策略難以保持一致。這種傳統的管理運行方式是許許多多安全隱患形成的根源。 安全運行中心是針對傳統管理方式的一種重大變革。它將關鍵設備的運行管理權利集中到一起,通過高度密集的管理產品和手段,將分散在各地區、不同業務網絡上面的各種安全產品有機的結成一個整體。安全運行中心使全網的安全風險處于可管理、可控制狀態下。對網絡安全風險的不間斷的評估和控制措施調整,使得全網的整體安全狀況和風險情況以定性或定量的形式及時展現出來,給企業管理者和客戶提供信心。
我們建議金融網絡系統建設安全運行中心(SOC),作為金融網絡的一種支撐性基礎設施,實現風險的集中管理和實時呈現,將信息安全管理融入企業的業務體系和運營流程之中,實現信息安全從成本中心到利潤中心的轉變,為企業的運營提供強有力的安全保障。
安全運行中心主要包括三個部分:安全風險管理中心、安全維護中心和安全知識中心,具體實現了以下的用戶功能模塊:
·風險查看
·資產管理
·脆弱性管理
·安全事件管理
·安全任務單管理
·安全預警管理
·安全設備管理
·安全評價管理
·報表管理
·策略管理
·系統管理
·安全知識管理
安全運行中心建議管理范圍包括:
·所有的基于IP的網絡設備和應用系統的安全:包括金融網絡系統中包含的各個信息系統、相關的路由
器、交換機等網絡設備,以及重要的服務器和主機。
·所有安全產品組成的安全體系的實時管理和監控都應當受到集中安全管理平臺的管理,管理對象包括
防火墻,入侵檢測系統,防病毒網關,終端安全管理系統、認證授權系統等等。
·所有非安全產品的關鍵應用系統均應該通過一定途徑將安全相關信息輸送到安全運行中心中,保證及
時安全時間的發現、分析和響應。
·負責協同管理階層,制定和實施金融網絡系統的安全目標和策略,支持日常安全配置和維護。
安全運行中心在技術方面,主要需要完成以下幾個功能:
·基于資產的風險管理
·集中的安全策略管理
·集中的安全配置管理
·幫助實現全網實時各種安全事件的檢測、相關分析和可視化
·作為全網安全體系的中樞,發揮寶貴的“專家智慧”資源,統一指揮各種安全事件下的響應和恢復
