应 用 摘 要

　　随着我国金融改革的进行，各银行纷纷将竞争的焦点集中到服务手段上，不断加大信息化建设投入，扩大计算机网络规模和应用范围成为一种趋势，但是应该看到，信息化在给银行带来利益的同时，也给银行带来了新的安全问题。

　　应 用 领 域

　　金融

　　方 案 内 容

　　由于银行信息网络中处理、传输、存贮的都是金融信息，对其进行攻击将获得巨额的金钱;而且，对银行信息网络的攻击，可能造成对国家经济的直接损失。因此无论从银行信息网络的受关注程度，还是银行信息网络的重要性的角度，都导致银行信息网络的安全问题日益突出。

　　银行信息安全工作是针对银行各信息系统中存在的信息安全风险而开展的。银行的信息安全战略则是从银行的业务需求出发，遵从风险管理的理念，在银行信息技术战略规划的基础上，借鉴国际最佳实践经验，为全面指导银行的信息安全工作而制定的方针政策，并实现以下的建设目标：1、保障业务持续，促进业务发展;2、保证信息的机密性、完整性和可用性。

　　信息安全保障体系包括以下四个领域：信息安全战略、信息安全管理、信息安全运作和信息安全技术，针对银行信息系统的特点，建议采取以下的总体框架：

　　针对银行信息系统，天融信建议整体运作体系框架由两大部分组成。顶部的四个箭头块代表了信息安全运作的目标模式和概念性流程。它以风险管理的四个环节作为运作的主线，描述了信息安全业务的基本运作模式。在其下面罗列了信息安全运作中的一些具体事物，是概念性流程在具体对象层次上的实现。

　　运作框架上半部分的概念性流程包括风险评估、规划实施、安全监控、响应恢复四个主要步骤。风险评估阶段确定银行的信息安全需求和可接受的残余风险;规划实施阶段将这些信息安全需求用具体的安全控制措施加以实现，将风险减少到可接受的程度;安全监控阶段对安全控制措施的有效运行进行监控跟踪，确保其能够持续地满足银行的信息安全需求，同时对残余风险可能引致的安全事件进行实时地监控;响应恢复阶段对已经发生的安全事件和突发事件以及重大灾难性事故。

　　技 术 路 线

　　银行行业信息安全技术

　　针对银行行业信息系统的特点和应用系统的组成，通常采用的安全防护技术手段(或安全服务)分为身份认证、访问管理、加密、防恶意代码、加固、监控、审核跟踪和备份恢复等八类，如下图所示：

　　对于银行信息系统，信息安全保护重点的是主体对客体的访问过程。其中，对于主体和客体都需要进行身份认证，而对于整个访问过程需要进行访问管理，并辅以加密、防恶意代码和加固等技术手段。为提高整体的安全等级，对于整个访问过程需要进行审核跟踪和监控，并对意外安全事件进行响应和恢复。

　　其 他

　　天融信认为银行信息安全保障体系的建设是一个体系化的工程，涉及信息安全策略体系、信息安全组织体系、信息安全技术体系、信息安全运作体系四个部分，其中信息安全策略体系是核心内容，其他各部分都是以策略体系为目标进行建设与实施;安全组织体系是安全工作的管理和实施体系，监督各种安全工作的开展，协调银行各部门在安全实施中的分工和合作，保证安全目标的实现;安全运作体系，是对安全生命周期中各个安全环节的要求，包括安全工程管理机制，安全预警机制、定期的安全风险识别和控制机制、应急响应机制和定期的安全培训机制等;安全技术体系是对实现银行信息安全的具体措施，银行安全安全策略、安全管理、安全运维必须依托相应的技术手段方可执行，技术体系包括了身份认证、访问管理、加密、防恶意代码、加固、监控、审核跟踪和备份恢复，是银行安全保障体系的重要支撑。