A行根据实际情况,本着以安全保发展、以发展促安全的指导思想,需进一步加强信息安全工作的统筹规划能力,进一步明确信息安全工作的责任和关系,逐步建立起技术、管理和运营等多层次的信息安全技术体系,完善策略、制度、规范等安全要素,适度安全,注重实效,合理推进信息安全管理体系建设。
1.信息安全总体规划设计原则
为落实好信息安全保障工作,A行信息安全的总体规划及建设将遵循以下原则:
1)统筹规划,联动协调。从全行信息安全保障的总体高度出发,系统规划和建设A行信息安全技术体系,同时明确各部门、各分行等相关单位的安全责任,加强横向沟通和协调,指导全行建立联动协调的安全防范和响应机制。
2)资源共享,注重实效。要从A行信息安全的实际情况出发,综合平衡安全成本与风险,优化信息安全资源配置,适度安全,注重实效,合理进行信息安全体系建设。
3)分级保护,突出重点。落实信息安全等级保护国策,大力推进信息安全等级保护建设;根据信息系统应用业务的重要程度及实际安全需求,实行分级、分类、分阶段保护;加强对A行重要信息系统的日常检查力度,保障信息安全和系统安全正常运行,维护国家金融安全。
4)广泛参与,齐管共建。信息安全是一项全员参与的系统工程,通过各种手段宣传和普及信息安全意识及常识,广泛组织和动员全行共同参与信息安全技术体系建设工作。
2.信息安全规划总体目标
本次信息安全规划的总体目标是:形成与A行信息化发展规划相配套、与业务发展目标相适应的信息安全管理体系,保障A行软件开发、生产运行、网络建设全生命周期的信息安全,确保各类信息安全技术机制与措施健全和完善,全行信息安全意识和基本防范能力进一步提高,为A行信息科技稳定发展提供有效的信息安全技术。
3.信息安全规划蓝图
为确保本次信息安全规划总体目标的顺利达成,特拟定了A行分阶段的发展蓝图:
1)2015—2016年为信息安全技术体系全面建立阶段。在这一年当中,A行将完成各项信息安全基础设施和平台化建设工作,同时各分行的信息安全技术体系建设也基本到位,初步形成具有主动防御能力的信息安全技术体系。
2)2017—2018年为信息安全管理体系整合阶段。在这一年当中,A行将对前一阶段完成的信息安全基础做进一步修改和完善,通过各项信息安全运营机制和管理制度,提高信息安全的整体防御能力,全面建成较为完善的信息安全管理体系。
3)2019年为A行信息安全持续改进阶段。通过上述两阶段的建设工作,确保A行所有信息系统应全面达到整体安全防护要求,服务好A行各项信息科技发展的需求,为实现业务发展战略提供坚实的信息安全技术支撑和管理控制,为信息安全下一次规划打好坚实基础。
4.信息安全典型系统规划
为实现A行信息安全总体目标,确保信息安全任务得以落实,A行在2015—2019年期间的信息安全建设包括了下述主要信息安全系统和体系的建设。
1)风险可视化预警平台。安全管理最大的问题是不知道问题在哪里,何处不安全,以及对安全事件演变的趋势判断。风险可视化预警平台的建设目标就是通过对大量业务系统、安全设备、网络设备所产生的海量数据进行采集和分析,以及根据历史发生事件的数据挖掘和趋势判断,从各种单一的安全事件向统一的关联分析过渡,实现面向业务的安全监控,主动发现网络和操作异常行为,加强应急措施和应对能力,及时阻止各类违规行为的发生,综合研判信息安全事件所产生的影响,并为A行战略规划和战略决策提供必要的依据及参考。
通过风险可视化预警平台的建设,有效覆盖总行和30多家分行的生产网络、办公网络和互联网络区域,对A行现有网络中部署的网络设备(如路由器、交换机)、安全设备(防火墙、IDS、漏洞扫描)、业务服务器等所有设备产生的日志进行统一的采集和甄别,以及对全网数据流和网络行为的过滤和分析,并通过可定义的事件对象和类型,将所有设备产生的安全事件加以关联分析,最终得出当前信息安全的总体态势。安全人员将这些网络和日志信息组合到一个可重用的和标准化的数据框架,能够获得全面的风险态势感知能力,并迅速而有效地应对各类未知的高级威胁。(www.xing528.com)
2)数据防泄密平台。A行目前已经建成了较为完善的信息科技系统,如核心业务系统、客户信息管理系统、办公系统、财务系统,这些系统的数据主要集中存储在数据库中。但在实际工作过程中仍有部分资料散落在员工的计算机设备上,有时需要对系统中的数据进行再加工,这些都不可避免的导致在员工的计算机设备上存储敏感数据,安全风险较高,容易出现丢失、泄露、病毒损坏、非法获取等情况。同时,A行员工也多需要回家处理各类遗留的工作,这也会存在将关键或敏感信息数据泄漏到外部的风险。
为此,A行数据防泄密平台将采取“隔、审、密”的机制来确保数据全生命周期的安全,本项目所需技术手段包括安全桌面、文档加密及授权管理、文件集中存储管理、计算机硬盘加密四类。在建设数据防泄密安全保护体系的过程中,将从在线数据、在线—离线转化、离线数据三个方面着手建设全流程的数据安全防护体系,建成贯穿数据产生、存储、传递、使用、销毁全流程的数据安全防护体系。
3)密码技术应用平台。依托新核心系统再造项目,A行密码技术应用平台已经初具规模,它不仅仅是一个产品或系统的建设,更是一个安全体系和应用安全架构的建设。目前A行密码技术应用平台已经初步建成,构建起了安全基础设施平台、用户安全平台及客户安全平台等三大技术支撑平台,目前正在不断完善和优化当中。
其中,安全基础设施平台是基础并支撑后两个平台,包括安全的基础服务、安全设备及密钥服务等;用户安全平台则侧重服务于行内员工为用户的各类应用系统,主要提供对用户的标识管理、认证支撑功能;而客户安全平台则主要服务于银行客户为用户的应用系统,如网络银行系统、电话银行系统等。用户安全平台和客户安全平台具有许多相似性,但主要差别在于服务于不同用户对象。目前客户安全平台已经建成了支持多种安全机制和认证方式的综合认证系统,包括IC卡功能支持、OTP认证支持、PKI证书认证支持、手机认证码支持、密码认证支持等。其中,IC卡密钥管理系统、数据准备系统、OTP密钥管理系统等已经初具规模,后续进行适应性改造,扩展对国有算法(SM2/SM3/SM4)的支持,以及对新型金融支付工具的管理功能,可快速地提供相关安全服务,确保新型金融支付工具的安全性、保证在交易过程中遵循相关安全技术标准和规范。
密码技术是信息安全核心要素,密码技术的应用是一个循序渐进的过程,其建设目标是服务好业务发展、服务好信息安全。A行一直非常重视国产自主知识产权密码技术的应用,不断推进国产密码算法应用工作和试点示范项目,积极创新新型金融支付工具。
4)安全基础设施。信息安全基础设施具有投资规模大、技术要求高的特点,为达到资源共享、合理投资的目的,信息科技部规划建立和完善包括主动恶意代码检测、防DDoS攻击、全局入侵检测及监控、安全事件响应和跟踪在内的全行性信息安全基础防御体系,建立起覆盖全行的信息安全监控和服务网络,提高基于内容安全的监测分析和疏导处置能力,有效控制不良信息的扩散,并通过统一、规范的信息安全基础设施,为风险可视化预警平台提供各类信息安全基础数据单元。
5)移动智能终端安全管理系统。A行目前开发的基于智能终端的应用已经超过3个,应用推广后行内采购的移动设备数量将达到3000台左右,软件开发、设备购置和通信的费用总额在2000万人民币以上。目前这些设备没有进行有效的设备和应用发布方面的安全管理,手工台账方式不能做到实时性和有效性。通过移动智能终端安全管理系统的建设,能够对A自购的移动智能终端设备进行安全管理。
国内移动智能终端服务在迅速发展的同时,原先在PC电脑上上演的信息安全问题也在移动终端上再次发生,设备制造商、网络服务商、应用服务提供商和最终客户都已经意识到此问题,并且因为移动智能设备的便利性和时时在线属性,导致其所面临的信息安全风险更为严重。
A行移动智能终端安全管理系统建成后,将作为全行统一的安全管理平台,对总分行各条线购置的智能设备和开发的移动应用软件进行统一安全策略管理,可以监控到设备的越狱等不合理使用行为,能够在设备遗失、被盗时远程擦除关键应用和数据,能够实时控制移动设备开展业务的范围,确保A行的移动金融业务合规开展,整体提升A行对移动智能终端的信息安全管控能力。
6)安全管理体系重检与规划。2008年A行通过信息安全管理体系规划咨询项目,逐渐形成一套较为完整的信息安全管理工作模式,使得信息安全各项工作有序展开。但伴随信息安全技术的发展和A行业务发展战略及科技战略的变化,科技工作将围绕全面风险管理、全面质量管理和全面架构管理展开,现有的信息安全管理体系已经不能适应和满足管理变化的要求,同时在信息安全实践工作中,原有体系也逐渐反映出一些体系设计层面的问题。
为应对当前内外部信息安全管理的挑战,进一步提升A行信息安全管理能力,信息科技计划启动信息安全管理体系重检与规划项目,重检A行现有信息安全管理体系,规划A行未来信息安全管理工作蓝图。该项目主要工作内容有:
①全面重检并完善现有管理体系,规划新战略期的信息安全重点工作。
②打造全面科技风险管理向下的信息安全管理工作机制。
③制定信息安全技术架构视图和架构应用规范。
④制定信息安全评审模板和实施流程。
⑤对信息安全重点领域,如电子银行安全、数据安全等进行重点规划。
通过上述工作,将逐步建成与A行当前业务和科技战略发展要求相适应的信息安全管理体系,为实现A行的业务和信息技术的运行提供一个安全稳定的发展环境。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。