银行信息安全实践与思考.docx

银行信息安全实践与思考.docx

《银行信息安全实践与思考.docx》由会员分享，可在线阅读，更多相关《银行信息安全实践与思考.docx（9页珍藏版）》请在冰豆网上搜索。

银行信息安全实践与思考

个人中心

充值卡/VIP激活通道

字母检索

ABCDEFGHIJKLMNOPQRSTUVWXYZ0-9

杂志首页>>中国金融电脑建设银行信息安全实践与思考

来源:

中国金融电脑

关键字:

建设银行,信息安全,实践,思考

建行一直践行“以客户为中心”的理念，全力打造让客户放心的金融服务平台，在人民银行、银监会等监管部门的指导下，按照高管层“确保全行生产系统安全、稳定、持续运行”的要求，加大信息安全技术投入，完善信息安全管理流程，加强人员安全意识和安全技能提升，有效应对人为因素、信息系统自身缺陷、自然因素带来的不利影响，有力地保障了建行业务稳健发展和创新。

　　中国建设银行股份有限公司（以下简称“建行”）一直践行“以客户为中心”的理念，全力打造让客户放心的金融服务平台，在人民银行、银监会等监管部门的指导下，按照高管层“确保全行生产系统安全、稳定、持续运行”的要求，加大信息安全技术投入，完善信息安全管理流程，加强人员安全意识和安全技能提升，有效应对人为因素、信息系统自身缺陷、自然因素带来的不利影响，有力地保障了建行业务稳健发展和创新。

　　一、“十一五”期间建行信息安全建设成绩

　　2005年，建行实现了全行数据大集中，有力地支持建行重组上市、促进业务快速增长和业务创新，与此同时，信息系统自身风险和内外部攻击的风险也不断积聚，信息安全已不再是传统的防病毒、防火墙、入侵检测“三大件”，系统化进行信息安全建设已迫在眉睫。

为此，“十一五”期间，建行从信息安全组织建设、完善信息安全技术保障体系、构建开发安全和运维安全管理流程、持续开展信息安全文化建设等方面，全面推进全行信息安全体系建设。

　　1.高层推动，建立健全全行信息安全管理组织体系

　　遵循监管部门信息科技管理要求，结合行内组织职能划分，建行构建了全面的信息安全管理组织，形成了“三个层面，三条防线”安全管理体系。

三个层面是指，董事会负责制定全行信息安全管理战略、负责定期听取全行信息安全管理情况报告；高管层负责明确内部信息安全管理职责，负责重大信息安全管理决策；总行各业务部门和各级分行作为信息安全执行层，负责具体落实全行信息安全战略和决策。

三条防线是指，执行层面中信息科技管理部门及相关业务部门是信息安全的第一道防线，信息科技管理部门负责制定信息安全管理制度、开发部署信息技术保障体系、提供信息安全管理咨询服务等，部内设安全管理处，承担日常信息安全管理工作；风险管理部门是信息安全管理的第二道防线，负责监管要求的传递和业务连续性管理工作，内设操作风险管理处和业务连续管理处，从事业务操作风险管理相关工作；审计部是安全管理的第三道防线，负责全行安全管理情况监督评价，内设IT审计处负责全行IT审计工作。

　　安全管理人员配置上，全行92人具有信息安全专业证书（CISP），94人具有国际IT审计证书（CISA）。

　　2.明确信息安全管理目标和策略，完善信息安全制度体系

　　“方向明晰是成功的基础”，建行十分注重整体信息安全管理策略建设。

遵循监管要求，结合自身实际，建行确立了全行信息安全管理目标：

一是有效保护信息及信息处理环境，支持业务持续运营；二是提高应对新型信息安全威胁的能力，支持业务创新；三是保护客户信息和资金安全，维护建行声誉；四是提高合规管理能力，满足监管要求。

制定了“全面管理、预防为主、分级保护、合规审慎”的信息安全管理原则，确定了信息资产的等级划分策略，明确了对不同等级信息资产的信息安全管理偏好，为信息安全管理指明了方向。

　　在信息安全管理策略的指引下，建行结合信息科技检查以及内外部审计意见，组织完善信息安全制度框架体系，按照“全面防范，重点突出”的原则，先后制定发布了一系列涉及物理安全、网络安全、系统安全、桌面安全、应用安全、数据安全、开发安全、运行安全、风险评估、风险处置和应急管理、IT审计等方面的信息安全管理制度。

具体内容包括：

按照银监会《商业银行信息科技风险管理指引》，组织制定了配套的信息安全和业务连续性管理的政策、管理办法、操作规范和指南，构建了全行信息安全管理整体框架，明确了信息安全管理对象、管理角色及各对象全生命周期的安全管理要求，规范运维中的安全管理行为；统一全行安全评估的尺度和方法；明确应急管理要求，实行信息系统责任事故的责任认定，在员工行为准则中明确了违反信息科技管理原则的处罚办法。

　　通过上述工作，初步建立了以政策、制度、标准为导向的信息安全管理体系，建立了涵盖开发、运维、合规、治理全方位的信息安全管理制度体系。

　　3.以国家等级安全保护要求为指导，构建等级化信息科技安全技术保障体系

　　全面落实国家信息系统安全等级保护要求，根据国家信息安全等级划分标准，制定信息系统安全技术基线，明确了不同安全等级信息系统安全保护要求，编写了信息系统安全技术选用指南，明确了实现信息系统安全要求的技术实现方法，编写了信息系统安全产品选用指南，明确了信息技术所需安全产品的选用原则，从而建立了从需求、安全设计到安全实现的整体安全建设流程。

　　构建了信息系统安全技术架构，明确了信息系统共有安全技术基础平台的建设原则，明确了信息系统建设中使用基础平台的策略，为安全技术整合、优化提供了方向，为全行信息系统安全技术应用提供了指导原则。

目前，已采用共性任务集中建设的策略构建全行性安全基础平台。

统一开发了用户认证授权管理平台，面向全行网络、系统和应用提供统一身份认证和权限控制服务；统一开发了加密安全管理平台，为各应用系统提供加密服务；全行引进部署了数据安全传递和安全销毁工具，为全行重要生产数据提供覆盖全生命周期的统一安全策略、数据访问控制和数据防泄露等服务；在应用系统运维管理方面，建设运维安全管理平台、日志管理与安全事件监控系统，提供统一的运维操作授权、监控和审计等服务。

　　遵循等级化安全技术架构，建行采用纵深防御的策略构建信息运维安全保障体系，与电信、公安等部门建立协防机制，借助国家力量防范恶性及大规模攻击行为；统一规划互联网、外联网安全防护标准，部署防护墙、入侵检查系统、信息过滤系统、行为检测系统，防范边界风险隐患；加强网上银行安全威胁发展趋势的跟踪、分析和研究，推动新技术新产品在网上银行等互联网系统中的应用，加强安全渗透测试和假冒建行网站的检测。

合理划分内部网络区域，有效隔离生产网、办公网和测试网；统一部署构建桌面安全防护体系，为全行计算机终端提供统一的病毒防范和漏洞补丁管理等服务。

推进作业调度系统，改变通过手工或系统命令调度的方式，建设自动化运维管理平台，实现日常IT运维中重复性工作“自动化、集约化、规范化”，避免人为操作带来的安全隐患，建立运维监控系统，实现系统设备全方面动态监控。

　　采用全生命周期管理策略构建软件安全开发体系，建立软件安全需求识别模型和需求审核机制，把好软件安全需求审核关；制定软件安全编码指南，引入软件代码安全扫描工具，把好软件研制关；引入Web应用系统等渗透测试工具，建立软件安全测试流程和渗透扫描机制，把好软件上线管理关。

　　通过上述安全措施，建行初步建立了涵盖软件开发安全、运维安全的技术保障体系。

　　4.借鉴国际标准，完善信息

　　系统安全开发和运维管理流程在信息系统开发管理方面，对项目开发管理的可行性研究、需求分析、立项评审、编码安全、测试、投产上线等全过程进行了规范管理。

在项目立项环节，加强方案的架构审核和安全评审，严格执行信息安全技术架构原则；在软件开发环节，大力推广使用代码检测技术和漏洞测试工具，提高软件编码质量，防范软件开发过程中存在的风险和漏洞。

在测试管理上，成立了测试团队，负责跨系统的连接测试、集成的功能和性能测试以及上线版本检验测试，并对网上银行等重点系统开展安全渗透性测试。

在投产上线前，强化上线集中审核制度，加强上线前的审核和控制，防范上线过程中和上线后出现的系统运行风险。

　　全面深入开展运行精细化管理，加强系统运维计划管理。

推广ITIL管理流程，对系统运维工作进行全面梳理，明确主要问题和薄弱环节，部署系统运维计划管理系统，加强变更操作过程控制，完善变更审核流程等措施，控制变更操作风险；制定系统数据备份策略，建立备份数据验证环境，提高数据安全保障能力；细化系统运行事件分类，建立事件处理知识库，提高运行事件响应处理能力；优化岗位设置，细化岗位职责、报告路线、任职资格和绩效考核指标，不断提高运维人员的工作责任心。

　　5.持续开展信息安全管理文化建设，提高员工安全意识和安全技能

　　人是信息安全管理中最重要的因素，建行始终坚持员工合规管理和安全培训两手抓。

加强合规管理，以流程管理引导员工做正确的事，以严格制度促使员工规避风险。

加强信息安全知识培训，培训开发人员安全编码能力，提高软件安全质量；编印员工信息安全知识手册、信息安全实务手册及相关课件，开展全行信息安全知识竞赛，传递信息安全基础知识和基础技能，提高员工安全应用信息系统的能力；加强银监会风险提示宣传和内部风险警示教育，以典型事件教育、提升全员信息安全意识，以常规化的培训教育，促进信息安全管理文化的建设，营造“人人参与，全员共进”的良好信息安全管理氛围，保障建行信息系统的安全运营。

　　二、全面提升IT内控水平

　　系统复杂性、过度依赖外包及制度执行力不足是影响IT内控能力的关键因素，建行从加强架构管控和系统整合、加强自主运维和自主开发、加强信息科技检查等方面控制上述不利因素，全面提升IT内控能力。

　　1．加强架构管控和系统整合

　　建行从全行发展战略的高度，依据IT规划、架构标准以及现有的资源和能力，不断强化企业级架构的管控，规划、设计了企业级应用架构、数据架构、技术架构和安全架构。

积极协调相关部门共同推动需求整合，在企业架构指导下进行具体系统的实施，并通过架构管控落实信息安全政策、标准和技术实现。

　　2．加强IT队伍建设，提高自主开发和运维能力

　　加强全行信息技术条线人员流动，从各中心选拔经验丰富的优秀人才充实管理队伍，新进员工补充到开发一线，形成合理的开发和管理梯队；适度调度分行开发人员参与总行项目的开发工作，优化全行信息技术资源配备。

参照国际一流和国内最佳做法，建立IT自主开发、自主运维能力模型，量化IT自主开发、自主运维评价指标，组织开展IT自主开发、自主运维能力评价和考核，引导鼓励员工自主开发、自主运维，确保信息系统核心能力、安全生产运行等关键环节掌握在本行技术人员手中。

　　3．定期开展信息科技检查

　　为促进IT制度落实，规范IT合规的检查管理，组织制定印发了《中国建设银行信息科技工作检查管理办法》和《中国建设银行一级分行信息科技工作检查标准》，明确了全行信息科技检查范围、检查对象、检查频率及检查标准，并由总行信息技术管理部领导亲自带队开展现场检查，指导整改，将检查发现问题和经验交流结果通报全行，促进了信息科技各项制度的落实，有效防范了操作风险。

　　三、打造安全的基础环境，持续引入IT风险管控新技术

　　造成系统风险和业务风险的主要因素是信息系统基础环境隐患和信息系统自身稳定性不足。

控制系统风险和业务风险需要打造安全的IT基础环境、需要提高信息系统自身的安全能力、需要持续引入IT风险管控工具和信息安全管控技术。

　　1．大力改善基础设施

　　近年来，建行持续推进灾备中心建设，组织制定了IT服务连续性建设近、中、远期目标，明确了生产与灾备中心布局策略及总、分行信息系统灾备建设策略，确定信息系统灾备分级及恢复策略，完成了IT系统灾备总体方案，明确了灾备体系实施路径。

　　目前，总行符合国家最新A类机房标准的机房已投入运行，改善了数据中心运行环境；投入大量资金用于分行机房改造、设备更新，消除了机房容量不足、设备老化、电力保障薄弱、缺乏双回路等隐患，改善了全行IT运