柳州商行安全等级评审项目案例
来源:中国电子政务网 更新时间:2012-04-15

客户背景

柳州市商业银行作为一家地方性股份制商业银行,凭借其地域优势,短时间内迅速成长为柳州市金融行业效益最好、最富朝气的银行。柳州商业银行在经过长时间的探讨和技术开发后,近期准备运用先进的计算机网络技术,结合国内外银行最新运营模式,建立一个高效安全、易于扩充、易于维护、可发展的网上银行系统。以满足银行提高服务质量、丰富服务品种、降低运行风险、降低营运成本及业务不断发展变化的需求。

客户面临的挑战

随著银行业对计算机网络系统的依赖程度增加,金融产品的不断创新,新技术在给业务带来巨大方便、高效的同时,也带来了巨大的风险。网络安全问题不断暴露。而且,由于银行属于商业系统,都有一些各自的商业机密信息,如果这些涉密信息在网上传输过程中泄密,会造成巨大的损失。

中国人民银行监管部门对银行的卡业务系统、网络银行系统等依靠网络进行货币运营的业务有明确的安全要求,下发了《网上银行业务管理暂行办法》等通知。明确规定要对业务系统经过安全评估之后才能营业。今年网监处委托中华人民共和国公安部,依托公安部颁发的"信息系统安全等级保?quot;有关规定对各银行的卡系统和网银系统进行评估定级,要求达到公安部等级保护条令"第二等级-第三等级"。

柳州商业银行的卡系统和网银系统经过公安部的初步评审和长天公司的安全评估,从安全技术和安全管理两方面都没有达到等级保护条令第二等级的要求。

长天的解决方案

柳州商行本次项目实施的目的是要通过公安部信息保护二级评审,从而使网银系统和卡系统顺利投入使用。而长天此次作为安全方案设计和安全产品实施监督,有更加重要的目的-帮助柳州商行建立起完整的安全体系,并使之能够正常的运转,成为通过国内首个安全等级保护条令评审的金融机构。

长天将项目分为了几个阶段:

评估分析阶段:为了能够对柳州商行信息系统的安全现状有个清楚的认识,我们从安全技术(网络安全、系统安全、应用安全、物理安全)和安全管理体系分别进行了需求分析、风险分析。找出柳州商行存在的技术和管理上安全问题。,明确表述现时状态和目标之间的差距;

方案设计阶段:首先帮助柳州商行设计出安全体系框架,在此基础上形成安全体系建设方案,为达到目标给出有效的方法和步骤;

策略制订阶段:帮助柳州商行制订信息安全的方针政策和一系列安全管理制度,使柳州商行的信息安全管理体系从几乎没有到各方面都有法可依。

工程实施阶段:根据方案设计的框架,指导各安全产品厂家进行建设、调试并将整个系统投入使用。

运行管理阶段:帮助柳州商行建立和健全了安全运维组织,承担起正常状态下的维护和管理以及异常状态下的应急响应和异常处理

安全教育:对决策层、技术管理层、分析设计人员、工作执行人员等所有相关人员进行安全体系和安全等级保护方面的教育。

安全技术部分的方案包括以下的内容:

网络系统结构调整(区域重新划分、边界确定、网络地址重新分配、系统测试、网银业务系统业务联通性测试、中间业务联通性测试)

系统安全加固,包括操作系统和网络设备系统的安全配置和安全修复。

应用安全加固,包括数据库和网银业务的安全性配置等。

安全产品部署

指导完成了Netscreen和中网防火墙部署、启明星辰的IDS部署、RSA的SecureID部署、ACS部署、日志系统部署、漏洞扫描工具部署等

安全管理部分的方案包括以下内容:

安全策略--包括总体安全方针和各种指导策略、技术标准、管理标准等,是信息安全的最核心问题,是整个信息安全建设的依据;

安全运作--整个信息安全框架的执行环节。通过明确安全运作的制度和各部分管理制度,保证安全框架的有效性。包括了一系列的制度文件:风险管理系列制度、运维管理系列制度、业务连续性计划和工程建设系列制度。

安全组织--帮助商行建立安全组织,包括人员、组织和流程的建立

长天通过对"公安部等级保护条令"的仔细研究和深刻理解,同时凭借对国内外信息安全标准的熟悉,并参考这些主流的信息技术安全标准进行安全组织的建设、安全策略和管理制度的制定。参照标准包括:

《信息安全管理指南ISO13335.》

《信息安全管理业务规范BS7799》

《NIST SP800系列》

国家有关信息安全的规定

实施效果

项目的实施将对柳州市商业银行产生重大的积极的影响:

首先,确保柳州商行顺利通过了公安部信息安全等级保护二级评审,网银系统正式投入使用;

其次,改变过去网络区域单一、风险较高的状况。使信息网络安全系数整体提高,经营风险大幅度降低。

第三,有安全组织进行安全运维,有各项安全制度和策略指导安全生产。柳州商行的安全管理水平将大幅提高,风险指数也会长期维持在一个较好的区域。