一、金融行業(yè)信息安全概述

金融行業(yè)信息化系統(tǒng)經(jīng)過(guò)多年的發(fā)展建設(shè)，目前信息化程度已達(dá)到了較高水平。信息技術(shù)在提高管理水平、促進(jìn)業(yè)務(wù)創(chuàng)新、提升企業(yè)競(jìng)爭(zhēng)力方面發(fā)揮著日益重要的作用。隨著銀行信息化的深入發(fā)展，銀行業(yè)務(wù)系統(tǒng)對(duì)信息技術(shù)的高度依賴(lài)，銀行業(yè)網(wǎng)絡(luò)信息安全問(wèn)題也日益嚴(yán)重，新的安全威脅不斷涌現(xiàn)，并且由于其數(shù)據(jù)的特殊性和重要性，更成為黑客攻擊的重要對(duì)象，針對(duì)金融信息網(wǎng)絡(luò)的計(jì)算機(jī)犯罪的案件呈逐年上升趨勢(shì)，特別是銀行全面進(jìn)入業(yè)務(wù)系統(tǒng)整合、數(shù)據(jù)大集中的新的發(fā)展階段，以及銀行卡、網(wǎng)上銀行、電子商務(wù)、網(wǎng)上證券交易等新的產(chǎn)品和新一代業(yè)務(wù)系統(tǒng)的迅速發(fā)展，現(xiàn)在不少銀行開(kāi)始將部分業(yè)務(wù)放到互聯(lián)網(wǎng)上，今后幾年內(nèi)將迅速形成一個(gè)以基于TCP/IP協(xié)議為主的復(fù)雜的、全國(guó)性的網(wǎng)絡(luò)應(yīng)用環(huán)境，來(lái)自外部和內(nèi)部的信息安全風(fēng)險(xiǎn)將不斷增加，這就對(duì)金融系統(tǒng)的安全性提出了更高的要求，金融信息安全對(duì)金融行業(yè)穩(wěn)定運(yùn)行、客戶權(quán)益乃至國(guó)家經(jīng)濟(jì)金融安全、社會(huì)穩(wěn)定都具有越來(lái)越重要的意義。金融業(yè)迫切需要建設(shè)主動(dòng)的、深層的、立體的信息安全保障體系，保障業(yè)務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn)，保障企業(yè)經(jīng)營(yíng)使命的順利實(shí)現(xiàn)。

二、金融業(yè)安全風(fēng)險(xiǎn)及需求分析

金融行業(yè)典型網(wǎng)絡(luò)拓?fù)淙缦拢ǔ橐粋€(gè)層次化的互聯(lián)廣域網(wǎng)體系結(jié)構(gòu)：

2、1金融行業(yè)風(fēng)險(xiǎn)分析

金融行業(yè)網(wǎng)絡(luò)系統(tǒng)面臨的風(fēng)險(xiǎn)復(fù)雜多樣，既有來(lái)自外部的，也有來(lái)自?xún)?nèi)部的。可以概括為以下三個(gè)大的方面：

·組織方面的風(fēng)險(xiǎn)。缺乏統(tǒng)一的安全規(guī)劃和安全職責(zé)部門(mén)；

·技術(shù)方面的風(fēng)險(xiǎn)。安全保護(hù)措施不充分。盡管已經(jīng)采用了一些安全技術(shù)和安全產(chǎn)品，但是目前安全技術(shù)的采用是不足的，存在大量這樣、那樣的風(fēng)險(xiǎn)和漏洞；

·管理方面的風(fēng)險(xiǎn)。安全管理有待提高，安全意識(shí)培訓(xùn)、安全策略和業(yè)務(wù)連續(xù)性計(jì)劃都需要完善和加強(qiáng)；

具體風(fēng)險(xiǎn)分析如下：

·缺乏對(duì)內(nèi)部用戶的行為控制和行為監(jiān)管，表現(xiàn)在對(duì)內(nèi)部人員的過(guò)分信任，沒(méi)有可靠的管理手段往往是出現(xiàn)內(nèi)部高科技犯罪的開(kāi)始。

·雖然制定了一系列信息安全規(guī)定，但是沒(méi)有一個(gè)科學(xué)的評(píng)估方法和管理手段，無(wú)法對(duì)系統(tǒng)的安全狀況進(jìn)行量化的分析和科學(xué)的管理，結(jié)果往往是事與愿違。

·缺乏專(zhuān)業(yè)的安全組織結(jié)構(gòu)和明確的管理流程（如應(yīng)急響應(yīng)流程）。

·業(yè)務(wù)系統(tǒng)操作人員安全管理薄弱，口令系統(tǒng)混亂，安全性差。

·部分同城清算、聯(lián)行系統(tǒng)保護(hù)脆弱，可能被攻破和滲透。

·開(kāi)放的TCP/IP協(xié)議的的先天設(shè)計(jì)缺陷，易于遭受IP欺騙攻擊和各種拒絕服務(wù)攻擊。

·操作系統(tǒng)和應(yīng)用軟件系統(tǒng)存在大量安全漏洞。

·蠕蟲(chóng)、病毒、垃圾郵件、間諜軟件帶來(lái)的數(shù)據(jù)破壞和泄露風(fēng)險(xiǎn)。

·大量的、分散的安全資源的整合和集中管理問(wèn)題，以及海量安全事件和告警需要的大量人力資源處理帶來(lái)的管理和成本風(fēng)險(xiǎn)。

2、2金融行業(yè)需求分析

綜合分析金融行業(yè)所面臨的各種安全風(fēng)險(xiǎn)，安氏領(lǐng)信建議金融行業(yè)建設(shè)一個(gè)包括安全組織體系、安全管理體系和安全技術(shù)體系的全面安全保障體系，包含貫穿始終的安全策略、風(fēng)險(xiǎn)評(píng)估、安全管理，以及終端用戶行為監(jiān)管；而在技術(shù)層面上需要考慮綜合采取多種保護(hù)措施，保護(hù)網(wǎng)絡(luò)和安全域邊界、網(wǎng)絡(luò)及基礎(chǔ)設(shè)施、終端計(jì)算環(huán)境的安全、以及進(jìn)行安全運(yùn)行中心等支撐性安全設(shè)施的建設(shè)。

總體來(lái)講，金融行業(yè)的信息安全需求包括如下幾個(gè)方面：

·策略安全，包括信息安全的范圍、等級(jí)、政策、標(biāo)準(zhǔn)、規(guī)章制度、流程等等。

·系統(tǒng)安全，包括自動(dòng)補(bǔ)丁管理、系統(tǒng)弱點(diǎn)評(píng)估、系統(tǒng)加固、系統(tǒng)入侵檢測(cè)和響應(yīng)、主機(jī)訪問(wèn)控制、網(wǎng)絡(luò)準(zhǔn)入控制和強(qiáng)制認(rèn)證等等。

·網(wǎng)絡(luò)安全，包括網(wǎng)絡(luò)漏洞掃描、網(wǎng)絡(luò)入侵檢測(cè)和響應(yīng)、路由器訪問(wèn)控制列表(ACL)、AAAA、防火墻、VLAN、QoS等等。

·數(shù)據(jù)和內(nèi)容安全，包括網(wǎng)絡(luò)和網(wǎng)關(guān)防病毒、通信加密、內(nèi)容過(guò)濾、防垃圾郵件等等。

·安全運(yùn)行中心，覆蓋資產(chǎn)管理、威脅管理、風(fēng)險(xiǎn)管理、問(wèn)題管理、知識(shí)庫(kù)管理等等方面，起到信息安全支撐性基礎(chǔ)設(shè)施的作用。

三、安氏領(lǐng)信為銀行構(gòu)筑全面安全保障體系

建設(shè)目標(biāo)：滿足金融行業(yè)的機(jī)密性、完整性、可用性、可控性、不可否認(rèn)性等安全需求； 建設(shè)原則：擴(kuò)展性、前瞻性、先進(jìn)性、整體性、標(biāo)準(zhǔn)性、主動(dòng)性、投資保護(hù)、法律法規(guī)符合性原則；

建設(shè)內(nèi)容：

1、安全管理和組織體系

2、安全技術(shù)體系

3、終端用戶行為監(jiān)管體系

4、安全運(yùn)行中心建設(shè)

3、1安全管理和組織體系建設(shè)

安全管理體系通過(guò)建立健全安全管理組織機(jī)構(gòu)和人員配備，提高安全管理人員的安全意識(shí)和技術(shù)水平，完善各種安全策略和安全機(jī)制，利用多種安全技術(shù)實(shí)施和網(wǎng)絡(luò)安全管理實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的多層保護(hù)，減小網(wǎng)絡(luò)受到攻擊的可能性，防范網(wǎng)絡(luò)安全事件的發(fā)生，提高對(duì)安全事件的反應(yīng)處理能力，并在網(wǎng)絡(luò)安全事件發(fā)生時(shí)盡量減少事件造成的損失。

安全組織體系主要包括組織的建立、組織和人員的管理制度、日常管理的運(yùn)作流程、以及人員的篩選、教育培訓(xùn)等等。

3、2安全技術(shù)體系建設(shè)

安全技術(shù)體系的核心是構(gòu)建一個(gè)主動(dòng)防御、深層防御、立體防御的安全技術(shù)保障平臺(tái)。通過(guò)綜合采用世界領(lǐng)先的技術(shù)和產(chǎn)品，加強(qiáng)對(duì)風(fēng)險(xiǎn)的控制和管理，將保護(hù)對(duì)象分成網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)邊界、終端計(jì)算環(huán)境、以及支撐性基礎(chǔ)設(shè)施等多個(gè)防御領(lǐng)域，在這些領(lǐng)域上綜合實(shí)現(xiàn)預(yù)警、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)等多個(gè)安全環(huán)節(jié)，從而為網(wǎng)絡(luò)及信息系統(tǒng)提供全方位、多層次的防護(hù)。即使在攻擊者成功地破壞了某個(gè)保護(hù)機(jī)制的情況下，其它保護(hù)機(jī)制依然能夠提供附加的保護(hù)，達(dá)到進(jìn)不來(lái)、看不懂、改不了、拿不走、打不垮的效果。

網(wǎng)絡(luò)邊界防御體系邊界防護(hù)采用的主要產(chǎn)品和技術(shù)包括：

·訪問(wèn)控制

·入侵檢測(cè)/入侵防御

·通信加密（VPN）

·網(wǎng)關(guān)防病毒

·流量整形

·反垃圾郵件

·內(nèi)容過(guò)濾

終端安全管理體系

終端安全管理體系采用的主要產(chǎn)品和技術(shù)包括：

·終端資產(chǎn)管理，實(shí)時(shí)了解終端資產(chǎn)信息以及資產(chǎn)信息變動(dòng)情況

·自動(dòng)補(bǔ)丁管理，自動(dòng)打補(bǔ)丁，修補(bǔ)系統(tǒng)漏洞，主動(dòng)防御未知威脅；

·主機(jī)訪問(wèn)控制，對(duì)進(jìn)出終端的流量進(jìn)行嚴(yán)格的訪問(wèn)控制；

·主機(jī)入侵防護(hù)，檢測(cè)來(lái)自于網(wǎng)絡(luò)內(nèi)部和外部的入侵和攻擊；

3、3終端用戶行為監(jiān)管體系建設(shè)

國(guó)際權(quán)威研究機(jī)構(gòu)的調(diào)查表明，內(nèi)部發(fā)生的安全事件占全部安全事件的70％甚至更多，包括無(wú)意識(shí)的誤操作，以及惡意的監(jiān)聽(tīng)、嗅探、掃描等等行為，都給信息安全帶來(lái)極大風(fēng)險(xiǎn)。由于金融行業(yè)的特殊性，對(duì)內(nèi)部人員的行為控制和行為監(jiān)管尤為重要，因此我們建議金融用戶建設(shè)終端用戶的行為監(jiān)管控制體系，以規(guī)范和檢查終端用戶的行為與法律法規(guī)、內(nèi)部策略和流程的符合程度，確保沒(méi)有違規(guī)事件發(fā)生。終端用戶行為監(jiān)管體系采用的主要技術(shù)和產(chǎn)品包括：

·安全狀態(tài)完整性檢查和自動(dòng)修復(fù)，對(duì)終端用戶的安全策略符合性進(jìn)行檢查，對(duì)符合安全策略的用戶可以接入網(wǎng)絡(luò)進(jìn)行后繼的訪問(wèn)操作，對(duì)不符合安全策略的用戶（例如沒(méi)有安裝最新的系統(tǒng)補(bǔ)丁、沒(méi)有升級(jí)病毒特征庫(kù)）則可以進(jìn)行自動(dòng)修復(fù)，以提升其安全級(jí)別；

·網(wǎng)絡(luò)準(zhǔn)入控制和強(qiáng)制認(rèn)證，確保用戶終端在接入網(wǎng)絡(luò)之前達(dá)到了目標(biāo)網(wǎng)絡(luò)安全策略規(guī)定的安全級(jí)別，不會(huì)在訪問(wèn)網(wǎng)絡(luò)資源時(shí)引入潛在的安全風(fēng)險(xiǎn)

·外設(shè)使用控制，對(duì)用戶終端的外設(shè)使用進(jìn)行控制，避免因使用外設(shè)可能引起的病毒感染以及數(shù)據(jù)泄漏的風(fēng)險(xiǎn)；

·終端用戶行為審計(jì)，對(duì)終端用戶的行為進(jìn)行控制和審計(jì)，實(shí)時(shí)了解終端運(yùn)行狀況和安全狀況；

3、4安全運(yùn)行中心建設(shè)

傳統(tǒng)的安全管理方式是將分散在各地、不同種類(lèi)系統(tǒng)就近分別管理，這樣導(dǎo)致安全信息互不相通，安全策略難以保持一致。這種傳統(tǒng)的管理運(yùn)行方式是許許多多安全隱患形成的根源。 安全運(yùn)行中心是針對(duì)傳統(tǒng)管理方式的一種重大變革。它將關(guān)鍵設(shè)備的運(yùn)行管理權(quán)利集中到一起，通過(guò)高度密集的管理產(chǎn)品和手段，將分散在各地區(qū)、不同業(yè)務(wù)網(wǎng)絡(luò)上面的各種安全產(chǎn)品有機(jī)的結(jié)成一個(gè)整體。安全運(yùn)行中心使全網(wǎng)的安全風(fēng)險(xiǎn)處于可管理、可控制狀態(tài)下。對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的不間斷的評(píng)估和控制措施調(diào)整，使得全網(wǎng)的整體安全狀況和風(fēng)險(xiǎn)情況以定性或定量的形式及時(shí)展現(xiàn)出來(lái)，給企業(yè)管理者和客戶提供信心。

我們建議金融網(wǎng)絡(luò)系統(tǒng)建設(shè)安全運(yùn)行中心（SOC），作為金融網(wǎng)絡(luò)的一種支撐性基礎(chǔ)設(shè)施，實(shí)現(xiàn)風(fēng)險(xiǎn)的集中管理和實(shí)時(shí)呈現(xiàn)，將信息安全管理融入企業(yè)的業(yè)務(wù)體系和運(yùn)營(yíng)流程之中，實(shí)現(xiàn)信息安全從成本中心到利潤(rùn)中心的轉(zhuǎn)變，為企業(yè)的運(yùn)營(yíng)提供強(qiáng)有力的安全保障。

安全運(yùn)行中心主要包括三個(gè)部分：安全風(fēng)險(xiǎn)管理中心、安全維護(hù)中心和安全知識(shí)中心，具體實(shí)現(xiàn)了以下的用戶功能模塊：

·風(fēng)險(xiǎn)查看

·資產(chǎn)管理

·脆弱性管理

·安全事件管理

·安全任務(wù)單管理

·安全預(yù)警管理

·安全設(shè)備管理

·安全評(píng)價(jià)管理

·報(bào)表管理

·策略管理

·系統(tǒng)管理

·安全知識(shí)管理

安全運(yùn)行中心建議管理范圍包括：

·所有的基于IP的網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的安全：包括金融網(wǎng)絡(luò)系統(tǒng)中包含的各個(gè)信息系統(tǒng)、相關(guān)的路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備，以及重要的服務(wù)器和主機(jī)。

·所有安全產(chǎn)品組成的安全體系的實(shí)時(shí)管理和監(jiān)控都應(yīng)當(dāng)受到集中安全管理平臺(tái)的管理，管理對(duì)象包括防火墻，入侵檢測(cè)系統(tǒng)，防病毒網(wǎng)關(guān)，終端安全管理系統(tǒng)、認(rèn)證授權(quán)系統(tǒng)等等。

·所有非安全產(chǎn)品的關(guān)鍵應(yīng)用系統(tǒng)均應(yīng)該通過(guò)一定途徑將安全相關(guān)信息輸送到安全運(yùn)行中心中，保證及時(shí)安全時(shí)間的發(fā)現(xiàn)、分析和響應(yīng)。

·負(fù)責(zé)協(xié)同管理階層，制定和實(shí)施金融網(wǎng)絡(luò)系統(tǒng)的安全目標(biāo)和策略，支持日常安全配置和維護(hù)。安全運(yùn)行中心在技術(shù)方面，主要需要完成以下幾個(gè)功能：

·基于資產(chǎn)的風(fēng)險(xiǎn)管理

·集中的安全策略管理

·集中的安全配置管理

·幫助實(shí)現(xiàn)全網(wǎng)實(shí)時(shí)各種安全事件的檢測(cè)、相關(guān)分析和可視化

·作為全網(wǎng)安全體系的中樞，發(fā)揮寶貴的“專(zhuān)家智慧”資源，統(tǒng)一指揮各種安全事件下的響應(yīng)和恢復(fù)