銀行信息安全管理基礎知識銀行信息安全管理基礎知識銀行信息安全管理基礎知識xxx公司銀行信息安全管理基礎知識文件編號：文件日期：修訂次數：第1.0次更改批準審核制定方案設計，管理制度銀行信息安全管理基礎知識銀行信息安全威脅隨著銀行信息建設的深入發(fā)展，銀行全面進入了業(yè)務系統整合、數據大集中的新的發(fā)展階段，經營的集約化和數據的集中化趨勢一方面順應了銀行業(yè)務發(fā)展的要求，但是另一方面不可避免地導致了信息安全風險的集中。銀行信息系統存在的信息安全威脅主要包括：來自互聯網的風險、外部機構的風險、不信任網絡的風險、機構內部的風險、災難性風險等五部分。信息安全建設的原則及等級劃分信息安全原則信息安全是一項結合規(guī)劃、管理、技術等多種因素的系統工程，是一個持續(xù)、動態(tài)發(fā)展的過程。技術是安全的主體，管理是安全的靈魂。只有將有效的安全管理實踐自始至終貫徹落實于信息安全當中，網絡安全的長期性和穩(wěn)定性才能有所保證。信息安全的原則：明確責任，共同保護；依照標準，自行保護；同步建設，動態(tài)調整；指導監(jiān)督，重點保護。(二)信息安全等級介紹信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息和公開信息，以及存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發(fā)生的信息安全事件分等級響應、處置。根據信息和信息系統在國家安全、經濟建設、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度，針對信息的保密性、完整性和可用性要求及信息系統必須達到的基本安全保護水平等因素，信息系統的安全保護共分為五等級：第一級為自主保護級第二級為指導保護級第三級為監(jiān)督保護級第四級為強制保護級第五級為專控保護級信息安全等級評估決定信息系統重要性等級時應考慮以下因素：1、系統所屬類型，即信息系統的安全利益主體。2、信息系統主要處理的業(yè)務信息類別。3、系統服務范圍，包括服務對象和服務網絡覆蓋范圍。4、業(yè)務依賴程度，或以手工作業(yè)替代信息系統處理業(yè)務的程度。信息安全規(guī)劃內容信息安全體系及其特點信息安全體系包括安全管理體系和安全技術體系，兩者是保障信息系統安全不可分割的兩個部分，大多數情況下，技術和管理要求互相提供支撐以確保各自功能的正確實現。構建安全管理體系的主要目的是管理信息系統中各種角色的活動。通過文檔化的管理體系，從政策、制度、規(guī)范、流程以及日志等方面監(jiān)督、控制各類角色在系統日常運行維護工作中的各種活動。安全管理體系是由安全管理組織、人員安全管理、系統建設管理、系統運維管理和安全審計管理5個部分組成。安全技術體系的主要目的是為信息系統提供各種技術安全機制，主要是通過在信息系統中部署軟硬件并正確地配置其安全功能來實現。安全技術體系是由基礎設施安全、網絡安全、主機安全、應用安全和數據安全5個層面組成。建立信息安全管理體系（簡稱ISMS），具體內容如下：計劃（PLAN）：建立ISMS。建立ISMS的政策、目標、過程及相關程序以管理風險及改進信息安全，使結果與組織整體政策和目標相一致。執(zhí)行（DO）：實施與執(zhí)行ISMS。ISMS的政策、控制措施、過程與流程的實施與操作。查核（CHECK）：監(jiān)督與審查ISMS。依據ISMS政策、目標及實際經驗，以評鑒與測量（適當時）過程績效，并將結果回報給管理層加以審查。行動（ACT）：維持與改進ISMS。依據內部ISMS稽核與管理層審查或其它相關信息結果采取矯正與預防措施，以達成信息安全管理系統的持續(xù)改進。規(guī)劃實施內容信息安全組織建設信息安全管理組織建設是在組織內部建立跨部門的信息安全協調溝通機制，以便在組織內管理信息安全，識別與外部組織相關的安全風險，定義和分配信息安全職責，定期對信息安全工作進行評審。在銀行建立信息安全管理委員會，從組織架構的層面推動信息安全規(guī)劃的實施，該機構的主要職責包括：推動信息系統安全保障體系建設；周期性地對系統信息安全風險進行識別和評估；保護商業(yè)秘密和技術機密，維護企業(yè)的利益；制定信息系統的安全策略，提高企業(yè)的抗風險能力。人員安全管理人員安全管理是指在全體員工范圍內提高信息安全防范意識，普及信息安全管理知識，落實各項安全管理制度，群策群力共同保障信息系統安全。人員安全管理主要通過全員安全教育培訓的方式來實現，培訓的方式可分為三類：1）管理層安全意識教育：針對管理層的安全意識教育培訓，幫助管理層了解國家在信息安全方面的政策，提高對安全工作的認識，從而能夠指導安全建設工作。2）技術人員安全技能培訓：學習安全管理理論知識和安全技術知識，從而具有掌握安全管理理念、掌握安全產品操作維護和安全事件處理的能力，維護信息系統的安全。3）普通員工的安全意識培訓：對廣大信息系統用戶進行安全意識教育培訓，提高大家的安全意識，讓全體員工都意識到信息安全工作的重要性，共同維護網絡和信息安全。系統建設管理在信息系統集成項目、軟件開發(fā)項目中考慮信息安全。進行安全需求分析和規(guī)劃，系統開發(fā)需要進行輸入數據的驗證、處理過程的信息完整性、輸出數據的確認，以防止應用系統信息的錯誤、丟失、未授權的修改或誤用。通過加密手段保護重要信息的機密性、完整性。確保系統文件的安全，建立軟件開發(fā)規(guī)范，實施變更控制。系統運維管理加強信息系統的日常操作維護管理。逐步建立和完善文檔化的操作流程、規(guī)范變更管理流程，實施職責分離、分離開發(fā)、測試、生產環(huán)境。對第三方服務交付提出要求，確保第三方提供的服務符合協議的要求。系統規(guī)劃需要考慮未來容量和性能要求，對項目建設按照標準進行驗收。制定數據備份策略，確保信息的完整性和可用性。控制管理移動介質的使用和處置方式。確保與外部組織交換信息的安全，為7*24小時業(yè)務提供安全保障措施。監(jiān)控系統運行狀況，對系統的異常運行情況及時預警。記錄和管理系統日志、操作日志，確保系統運行的可審核。安全審計管理建立信息安全事故報告流程，確保使用持續(xù)有效的方法管理信息安全事故。確保信息系統符合法律法規(guī)要求，定期進行信息安全檢查工作，及時發(fā)現存在的安全問題并持續(xù)有效地改進?；A設施安全基礎設施安全是指保護機房環(huán)境和設備實體的安全，防止對基礎設施的非法使用、物理破壞或被盜，保障設備正常運行所必需的電源、溫度、濕度、防水、防塵等運行環(huán)境。基礎設施安全規(guī)劃內容：對中心機房及其基礎設施，要堅決搞好基本環(huán)境建設，要有完整的防雷電設施，且有嚴格的防電磁干擾設施，要搞好防水防火的預防工作。主機房電源要有完整的雙回路備份機制，配置發(fā)電機、UPS等設施。在中心機房設置安全邊界、物理進入控制，防范外部和環(huán)境威脅，防止對辦公場所和信息的非授權訪問和破壞。建立和完善視頻監(jiān)控系統和紅外線防盜系統，監(jiān)控基礎設施的運行情況和使用情況。并對機房環(huán)境和實體設備進行檢修，定期實行災難備份系統切換演習。網絡安全網絡安全是通過硬件、軟件等安全控制形式來保障數據、語音、圖像、傳真等信息在網絡傳輸過程中的安全，提高安全域和安全區(qū)之間網絡通訊的私密性、完整性和可靠性。網絡安全規(guī)劃內容：建設和完善防火墻安全體系，隔離安全區(qū)域，強化網絡安全策略，對網絡訪問進行監(jiān)控審計，防止內部信息的外泄。建設IPS入侵檢測系統，通過特定的檢測技術識別出惡意攻擊的行為，并及時阻斷攻擊行為、保護網絡安全。通過VLAN劃分網絡，隔離兩個不同的網絡安全域。通過物理級、網絡級、系統級多種認證手段，對網絡中的用戶訪問權限進行控制，確認使用者的身份及權限。記錄和管理網絡日志，保證網絡安全的可審計性。通過SSL安全連接機制，保障網上銀行等外部WEB連接的安全。主機安全主機系統的安全目標是保障主機平臺系統高效、優(yōu)質運行，防止主機系統遭受外部和內部的破壞和濫用，避免和降低由于主機系統的問題對業(yè)務系統造成的影響；協助應用進行訪問控制和安全審計。主機安全規(guī)劃內容：完善主機系統安全管理，嚴格管理系統賬戶、有效控制系統服務，優(yōu)化系統的安全配置，啟用系統必要的安全控制措施、避免系統發(fā)生故障或遭受攻擊。定期對主機的安全進行評估，檢測主機的安全配置和存在的安全漏洞，及時修補，增強主機的抗攻擊能力。提高主機入侵防護能力，安裝基于主機的入侵防護系統，防范入侵攻擊和誤操作行為的發(fā)生。根據業(yè)務需要對系統進行冗余設計，提高主機系統的抗風險能力。記錄和管理主機系統日志，以便日后對系統進行有效的日志跟蹤審計。建設同城異地災備中心，定期進行災備系統切換演習。應用安全應用安全指使用應用系統進行處理業(yè)務交易和工作過程的安全。應用安全規(guī)劃內容：完善操作員身份認證機制，檢查操作員登錄的合法性，加強密碼管理，督促操作員定期更新密碼，保證操作員密碼的安全性。制定和完善系統操作員等級和角色管理體系，嚴格控制操作員對各類交易應用功能的使用權限。通過業(yè)務復核機制，對關鍵業(yè)務數據進行校驗，保證業(yè)務數據的合法性。通過業(yè)務授權機制，實現對關鍵業(yè)務的監(jiān)控，有效控制業(yè)務風險。建立自動預警機制，實時監(jiān)控ATM、POS、電話銀行、網上銀行等自助交易渠道的運行情況，對系統運行過程中的異常情況及時告警。完善軟件開發(fā)流程，制定符合銀行實際情況的軟件配置管理體制與軟件質量保證機制，保證軟件功能模塊符合業(yè)務功能需求。數據安全數據安全是指保證數據的機密性、完整性、一致性、可用性、不可抵賴性，避免數據的泄密、破壞、纂改、丟失。數據安全規(guī)劃內容：在操作終端上，通過關鍵數據域合法性檢查、敏感數據屏蔽保證數據的合法性與機密性。在數據傳輸過程中，通過鏈路加密，節(jié)點加密，端到端加密在通信的三個不同層次保證數據的安全，通過數據傳輸中間件保證數據的