1. 银行行业安全保障体系的建设背景

　　随着我国金融改革的进行，各银行纷纷将竞争的焦点集中到服务手段上，不断加大信息化建设投入，扩大计算机网络规模和应用范围成为一种趋势，但是应该看到，信息化在给银行带来利益的同时，也给银行带来了新的安全问题。由于银行信息网络中处理、传输、存贮的都是金融信息，对其进行攻击将获得巨额的金钱；而且，对银行信息网络的攻击，可能造成对国家经济的直接损失。因此无论从银行信息网络的受关注程度，还是银行信息网络的重要性的角度，都导致银行信息网络的安全问题日益突出。

　　对于一般的商业银行，其重要的业务及其支持信息系统包括：

　　生产业务系统；

　　办公业务系统；

　　中间业务；

　　网上银行系统。

　　银行所有重要的业务无不建立在网络平台上，确保信息系统网络平台的安全性、可靠性将至关重要，同时银行业务及信息系统的复杂性决定了必须从安全策略、安全管理、安全运作和安全技术四个方面综合考虑。

　　2. 银行行业安全保障体系的建设目标

　　银行信息安全工作是针对银行各信息系统中存在的信息安全风险而开展的。银行的信息安全战略则是从银行的业务需求出发，遵从风险管理的理念，在银行信息技术战略规划的基础上，借鉴国际最佳实践经验，为全面指导银行的信息安全工作而制定的方针政策，并实现以下的建设目标

　　1、保障业务持续，促进业务发展(最终目标)

　　信息安全必须为业务服务，脱离业务的信息安全也就失去了其真正的意义。随着银行业务的发展，银行对信息系统的依赖越来越高，因此信息安全的重要性也就越来越突出。银行数据大集中工程项目的实施和全行业务数据的集中处理，使银行业务服务的连续性风险也随之集中。

　　另一方面，随着信息技术的飞速发展，信息技术已实现了从支持业务发展到促进业务发展的转变，信息安全的含义也从保障系统的稳定运行发展到全面促进业务开展。例如互联网的发展已使银行的业务开展突破了时间和空间的限制，大大推进了业务的发展，甚至在一定程度上已改变了业务模式。因此银行的信息安全建设必须能保证新技术运用的安全，使其能在保证安全的情况下发挥巨大的业务促进作用。

　　2、保证信息的机密性、完整性和可用性(直接目标)

　　信息机密是指信息仅可让授权获取的人士访问。

　　信息完整是指保护信息和处理方法的准确和完善。

　　信息可用是指确保授权人需要时可以获取信息和相应的资产。

　　信息安全必须保证信息的机密性、完整性和可用性，这是信息安全建设的重要目标。信息的保密性、完整性和可用性对保持银行的竞争优势、效益、法律法规符合性和商务形象都是至关重要的。银行的许多信息都高度机密，不允许外泄，也不允许未经授权的访问，如客户信息、交易信息等，如果不能保证信息的机密性，那不仅可能会被竞争对手所利用，还可能要负法律责任。

　　银行对信息的完整性也有很高的要求，如果业务信息不完整，甚至出错，那势必会引起业务的混乱，给银行带来很大的负面影响，信息的完整直接关系到信息是否可用，当部分和全部信息被破坏或丢失，导致信息的不可用时，对银行造成的冲击和损失将会是无法估量的。因此，银行信息安全的建设必须以保证信息的机密、完整和可用为战略目标，这是银行的需要，是业务发展的需要，也是所有客户的要求。

　　3. 银行行业安全保障体系的建设方案

　　信息安全保障体系包括以下四个领域：信息安全战略、信息安全管理、信息安全运作和信息安全技术，针对银行信息系统的特点，建议采取以下的总体框架：

图1 银行行业安全保障体系示意图

　　银行行业信息安全策略

　　信息安全策略是银行信息安全保障体系的核心，是银行信息安全工作的原则、宗旨、指导，为银行信息安全工作指明了方向。包括一系列的从银行计算机信息资产安全管理的角度出发，保护计算机信息资产，消除或降低风险而制订的各种纲领、制度、规范和操作流程的总和。

　　银行行业信息安全管理

　　银行信息安全管理体系是信息安全保障体系的一个重要组成部分。以银行行业总体安全策略为基础，从银行管理的层面出发，按照多层防护的思想，从管理的角度实现银行信息安全总体目标，具体包括：

　　认知——宣传教育：员工在信息安全方面的自我约束、自我控制，是信息安全管理体系的第一个层次。

　　组织——管理控制：信息安全管理控制是信息安全管理体系的第二个层次，其目的主要是通过完善组织架构，明确不同安全组织、不同安全角色的定位和职责以及相互关系，对信息安全风险进行控制管理。

　　审计——二次监督：审计监督是银行内部风险控制的重要组成部分。内部审计是银行内部控制的一种自我监督机制。信息安全审计一般是在信息安全管理控制的基础上，由银行内部相对独立的专职部门对信息安全管理控制的效果进行监督。

　　银行行业信息安全运作

　　信息安全运作体系的目标是构建银行信息安全的核心运作模式。运作框架的基础是风险管理的理念和持续改进的模式。风险管理的理念强调以可接受的成本识别、控制、降低或消除可能影响信息系统的各种安全风险。持续改进的模式要求银行动态地的管理信息安全相关的风险，遵循规划-实施-监控-改进的PDCA循环，不断地适应动态变化的环境。

　　针对银行信息系统，天融信建议整体运作体系框架由两大部分组成。顶部的四个箭头块代表了信息安全运作的目标模式和概念性流程。它以风险管理的四个环节作为运作的主线，描述了信息安全业务的基本运作模式。在其下面罗列了信息安全运作中的一些具体事物，是概念性流程在具体对象层次上的实现。

图2 信息安全运作体系框架

　　运作框架上半部分的概念性流程包括风险评估、规划实施、安全监控、响应恢复四个主要步骤。风险评估阶段确定银行的信息安全需求和可接受的残余风险；规划实施阶段将这些信息安全需求用具体的安全控制措施加以实现，将风险减少到可接受的程度；安全监控阶段对安全控制措施的有效运行进行监控跟踪，确保其能够持续地满足银行的信息安全需求，同时对残余风险可能引致的安全事件进行实时地监控；响应恢复阶段对已经发生的安全事件和突发事件以及重大灾难性事故进行快速响应和恢复，减少对银行业务的负面影响。

　　运作框架下半部分列举了具体对象层次上的主要的运作事务，是概念性流程的具体实现。信息安全的具体对象大致包括人员层、数据层、应用层、系统层、网络层和物理层等六个层次。信息安全运作的日常事务就发生这些对象层次上。具体对象层次上的运作管理应该符合概念性流程的框架，同时反应具体对象的特殊需求。信息安全运作的具体事务会有很多，在这个框架里只是罗列一部分主要的运作事务。

　　银行行业信息安全技术

　　针对银行行业信息系统的特点和应用系统的组成，通常采用的安全防护技术手段(或安全服务)分为身份认证、访问管理、加密、防恶意代码、加固、监控、审核跟踪和备份恢复等八类，如下图所示：

图3 信息安全技术手段

　　对于银行信息系统，信息安全保护重点的是主体对客体的访问过程。其中，对于主体和客体都需要进行身份认证，而对于整个访问过程需要进行访问管理，并辅以加密、防恶意代码和加固等技术手段。为提高整体的安全等级，对于整个访问过程需要进行审核跟踪和监控，并对意外安全事件进行响应和恢复。

　　身份认证(Identity and Authentication Management)

　　认证是通过对信息系统使用过程中的主客体进行鉴别，确认主客体的身份，并且给这些主客体赋予恰当的标志、标签、证书等。认证为下一步的授权工作打下基础。认证解决了主体本身的信用问题和客体对主体的访问的信任问题，是对用户身份和认证信息的生成、存储、同步、验证和维护的全生命周期的管理。

　　常见的解决方案是通过双因素身份认证，或者利用PKI CA证书实现统一的身份鉴别与授权，针对网上银行系统，可针对合法的储户下发CA证书，确保储户在利用网银进行交易过程中的安全；针对生产业务系统，在进行相关业务操作的过程中，可建立集中的双因素身份认证服务器或CA中心，对业务操作人员进行身份鉴别与访问授权；同样，在办公业务系统内，也可以采用类似的建设方案。

　　访问管理(Access Management)

　　指对各类系统资源的授权管理和访问控制。其中授权是指根据认证得到的主体的信息来判断该主体拥有怎样相应的权限，并将该权限赋予主体称之为授权。认证是授权的基础和依据，而主体经过了第一步的身份认证之后，都应遵循“不可旁路”的要求，必须通过授权这个关口才能进行任何的访问。

　　访问管理通常是银行系统安全保障体系建设的重点，常见的建设方案是在各系统的的关键节点处部署防火墙，防火墙能够针对访问数据包的源、目标地址、协议、端口、网络接口、流量、用户等信息，根据预先配置的访问控制规则，决定是否转发该数据包，并且技术领先的防火墙还能够与身份认证系统结合起来，进一步提升访问控制的精度。防火墙通常部署在银行广域网的纵向骨干节点、网银互联网出口、中间业务边界处，有些银行还将防火墙部署在生产网和业务网之间，进行隔离。

　　加密(Cryptograghy)

　　加密是指通过使用对称加密、公钥加密、单向散列等手段，对各系统中数据的机密性、完整性进行保护，并提高应用系统服务和数据访问的抗抵赖性。

　　对于银行的业务系统，由于系统内传输着比较多的敏感及秘密类信息，因此加密是非常必要的，常见加密系统包括MPLS VPN、IPSEC VPN及SSL VPN。

　　通常在银行纵向骨干网上，采取MPLS VPN及IPSEC VPN，确保信息在银行广域网内传递过程中的机密性和完整性；SSL VPN则主要是针对网银业务，由于网银业务的访问者分散在互联网上，因此无法采用IPSEC VPN的方式，这里使用SSL VPN是一种很好的选择，并且SSL VPN能够与CA认证结合，确保合法储户在身份被确认后，能够安全可靠地访问网银进行相关操作。

　　防恶意代码(Anti-Malicode)

　　恶意代码泛指能够在某个信息系统上执行未被授权操作的软件或固件。恶意代码可以分为五大类：病毒、蠕虫、特洛伊木马、移动代码、逻辑炸弹。各类恶意代码有不同的特点。防恶意代码就是通过建立预防、检测、隔离和清除机制，保护系统的安全。

　　由于恶意代码对系统会造成较大威胁，而逐渐被重视起来，针对银行系统，恶意代码会严重影响银行信息网络的正常运行，造成网络瘫痪，给银行带来直接的经济损失；常见防范恶意代码的建设方案包括：建立全面的病毒防护体系，包括网关层面、终端层面、服务器层面的全方位的病毒防范；通过内容过滤类产品，实现对木马、逻辑炸弹、移动代码、恶意脚本的过滤；通过入侵检测系统实现对典型攻击数据包的监测与报警。

　　加固(Hardening)

　　加固是指对客体(信息系统自身)的弱点进行加固的一种安全保护手段，是通过实施安全漏洞扫描、渗透性测试、安全补丁、关闭不必要的服务、对特定的攻击防范等技术或管理方法确保和增强系统自身的安全。加固的目的是尽量将系统自身弱点造成安全事故的可能性降至最低。

　　常见的解决方案就是通过安全隐患扫描或安全服务来实现，安全隐患扫描可针对银行系统进行探测，有效发觉系统、网络或应用方面存在的安全隐患，并且技术领先的隐患扫描系统能够针对发觉的安全隐患提出解决方案，使银行系统安全管理人员能够针对性地采取必要地补救措施；另外，安全加固服务则包含了上述所有过程，通过第三方专业安全服务厂商，可为银行系统提供长期的加固保障。

　　监控(Monitoring)

　　监控是指管理主体对客体的访问过程中，通过各类技术手段，对于主体的各种访问行为进行监控。确保主体在对客体的访问过程中的安全。

　　常见的解决方案就是建设银行系统的安全集中管理平台，该平台从安全信息管理的角度，捕获并跟踪系统内与安全相关的信息，并进行关联分析，从而发觉系统内潜在的安全隐患；并且以直观的报表形式提供给银行安全管理人员，使银行安全管理人员能够对银行信息网络的运行状态有全面和清楚的了解。

　　审核跟踪(Audit Trail)

　　审核跟踪是指一系列关于操作系统、应用和用户活动相关的计算机事件。它能够增进计算机系统的可审计性。对于一个计算机系统可能有几个审核跟踪，每个都针对特定的相关活动类型。对审核跟踪的记录可以保存在日志文件或相关的日志数据库中。

　　审计也是银行信息安全体系建设的重点，常见的解决方案包括基于安全事件的审计和基于日志的审计，前者是在银行信息网络的核心交换机上部署安全事件审计系统，该系统抓取网络中的访问数据包，进行记录和分析，并且可针对关键事件进行回放，使银行安全管理人员能够清楚的了解安全事件的发生过程；另外，日志审计系统能够集中收集银行信息网络关键环节中的日志信息，进行汇总和分析，从而发觉深层次的安全隐患；

　　备份恢复(Backup and Recovery)

　　信息安全的预防、保护控制措施不可能完全避免意外安全事件的发生，银行必须采取相应的措施最大限度地降低一旦发生的信息安全事件对业务造成的影响。银行应根据不同的业务需求和不同的信息资产价值，建立相应的响应恢复机制。这方面的技术主要表现在冗余、备份、容错等方面，常见的备份方案有本地备份和异地备份两种。

　　本地备份是在银行信息网络本地建立备份中心，利用光盘、磁盘柜等设备，将数据和系统存储起来，一旦发生故障就紧急进行恢复，方式有增量备份和完全备份两种，这种方案的优势就是备份简单，管理方便，但劣势是一旦出现物理性破坏，或者自然灾害，很可能同时毁坏运行系统和备份系统，备份就显得没有什么意义了；异地备份是本地备份的一种延续，做法是将数据和系统存放在较远的地方，备份的方式与本地备份类同，其优势就是在出现物理性破坏，包括自然灾害，在破坏本地系统后，依然能够从远端备份中心恢复数据。但是劣势是部署不灵活，需要单独考虑广域线路，而且投资高。

　　4.结束语

　　天融信认为银行信息安全保障体系的建设是一个体系化的工程，涉及信息安全策略体系、信息安全组织体系、信息安全技术体系、信息安全运作体系四个部分，其中信息安全策略体系是核心内容，其他各部分都是以策略体系为目标进行建设与实施；安全组织体系是安全工作的管理和实施体系，监督各种安全工作的开展，协调银行各部门在安全实施中的分工和合作，保证安全目标的实现；安全运作体系，是对安全生命周期中各个安全环节的要求，包括安全工程管理机制，安全预警机制、定期的安全风险识别和控制机制、应急响应机制和定期的安全培训机制等；安全技术体系是对实现银行信息安全的具体措施，银行安全安全策略、安全管理、安全运维必须依托相应的技术手段方可执行，技术体系包括了身份认证、访问管理、加密、防恶意代码、加固、监控、审核跟踪和备份恢复，是银行安全保障体系的重要支撑。