一、金融行業(yè)信息安全概述

金融行業(yè)信息化系統(tǒng)經(jīng)過多年的發(fā)展建設(shè)，目前信息化程度已達(dá)到了較高水平。信息技術(shù)在提高管理水平、促進(jìn)業(yè)務(wù)創(chuàng)新、提升企業(yè)競爭力方面發(fā)揮著日益重要的作用。隨著銀行信息化的深入發(fā)展，銀行業(yè)務(wù)系統(tǒng)對(duì)信息技術(shù)的高度依賴，銀行業(yè)網(wǎng)絡(luò)信息安全問題也日益嚴(yán)重，新的安全威脅不斷涌現(xiàn)，并且由于其數(shù)據(jù)的特殊性和重要性，更成為黑客攻擊的重要對(duì)象，針對(duì)金融信息網(wǎng)絡(luò)的計(jì)算機(jī)犯罪的案件呈逐年上升趨勢，特別是銀行全面進(jìn)入業(yè)務(wù)系統(tǒng)整合、數(shù)據(jù)大集中的新的發(fā)展階段，以及銀行卡、網(wǎng)上銀行、電子商務(wù)、網(wǎng)上證券交易等新的產(chǎn)品和新一代業(yè)務(wù)系統(tǒng)的迅速發(fā)展，現(xiàn)在不少銀行開始將部分業(yè)務(wù)放到互聯(lián)網(wǎng)上，今后幾年內(nèi)將迅速形成一個(gè)以基于TCP/IP協(xié)議為主的復(fù)雜的、全國性的網(wǎng)絡(luò)應(yīng)用環(huán)境，來自外部和內(nèi)部的信息安全風(fēng)險(xiǎn)將不斷增加，這就對(duì)金融系統(tǒng)的安全性提出了更高的要求，金融信息安全對(duì)金融行業(yè)穩(wěn)定運(yùn)行、客戶權(quán)益乃至國家經(jīng)濟(jì)金融安全、社會(huì)穩(wěn)定都具有越來越重要的意義。金融業(yè)迫切需要建設(shè)主動(dòng)的、深層的、立體的信息安全保障體系，保障業(yè)務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn)，保障企業(yè)經(jīng)營使命的順利實(shí)現(xiàn)。

二、金融業(yè)安全風(fēng)險(xiǎn)及需求分析

金融行業(yè)典型網(wǎng)絡(luò)拓?fù)淙缦拢ǔ橐粋€(gè)層次化的互聯(lián)廣域網(wǎng)體系結(jié)構(gòu)：

2、1金融行業(yè)風(fēng)險(xiǎn)分析
金融行業(yè)網(wǎng)絡(luò)系統(tǒng)面臨的風(fēng)險(xiǎn)復(fù)雜多樣，既有來自外部的，也有來自內(nèi)部的。可以概括為以下三個(gè)大的方面：
 ·組織方面的風(fēng)險(xiǎn)。缺乏統(tǒng)一的安全規(guī)劃和安全職責(zé)部門；
 ·技術(shù)方面的風(fēng)險(xiǎn)。安全保護(hù)措施不充分。盡管已經(jīng)采用了一些安全技術(shù)和安全產(chǎn)品，但是目前安全技
術(shù)的采用是不足的，存在大量這樣、那樣的風(fēng)險(xiǎn)和漏洞；
 ·管理方面的風(fēng)險(xiǎn)。安全管理有待提高，安全意識(shí)培訓(xùn)、安全策略和業(yè)務(wù)連續(xù)性計(jì)劃都需要完善和加
強(qiáng)；
具體風(fēng)險(xiǎn)分析如下：
 ·缺乏對(duì)內(nèi)部用戶的行為控制和行為監(jiān)管，表現(xiàn)在對(duì)內(nèi)部人員的過分信任，沒有可靠的管理手段往往是
出現(xiàn)內(nèi)部高科技犯罪的開始。
 ·雖然制定了一系列信息安全規(guī)定，但是沒有一個(gè)科學(xué)的評(píng)估方法和管理手段，無法對(duì)系統(tǒng)的安全狀況
進(jìn)行量化的分析和科學(xué)的管理，結(jié)果往往是事與愿違。
 ·缺乏專業(yè)的安全組織結(jié)構(gòu)和明確的管理流程（如應(yīng)急響應(yīng)流程）。
 ·業(yè)務(wù)系統(tǒng)操作人員安全管理薄弱，口令系統(tǒng)混亂，安全性差。
 ·部分同城清算、聯(lián)行系統(tǒng)保護(hù)脆弱，可能被攻破和滲透。
 ·開放的TCP/IP協(xié)議的的先天設(shè)計(jì)缺陷，易于遭受IP欺騙攻擊和各種拒絕服務(wù)攻擊。
 ·操作系統(tǒng)和應(yīng)用軟件系統(tǒng)存在大量安全漏洞。
 ·蠕蟲、病毒、垃圾郵件、間諜軟件帶來的數(shù)據(jù)破壞和泄露風(fēng)險(xiǎn)。
 ·大量的、分散的安全資源的整合和集中管理問題，以及海量安全事件和告警需要的大量人力資源處理
帶來的管理和成本風(fēng)險(xiǎn)。
2、2金融行業(yè)需求分析
綜合分析金融行業(yè)所面臨的各種安全風(fēng)險(xiǎn)，安氏領(lǐng)信建議金融行業(yè)建設(shè)一個(gè)包括安全組織體系、安全管理體系和安全技術(shù)體系的全面安全保障體系，包含貫穿始終的安全策略、風(fēng)險(xiǎn)評(píng)估、安全管理，以及終端用戶行為監(jiān)管；而在技術(shù)層面上需要考慮綜合采取多種保護(hù)措施，保護(hù)網(wǎng)絡(luò)和安全域邊界、網(wǎng)絡(luò)及基礎(chǔ)設(shè)施、終端計(jì)算環(huán)境的安全、以及進(jìn)行安全運(yùn)行中心等支撐性安全設(shè)施的建設(shè)。
總體來講，金融行業(yè)的信息安全需求包括如下幾個(gè)方面：
 ·策略安全，包括信息安全的范圍、等級(jí)、政策、標(biāo)準(zhǔn)、規(guī)章制度、流程等等。
 ·系統(tǒng)安全，包括自動(dòng)補(bǔ)丁管理、系統(tǒng)弱點(diǎn)評(píng)估、系統(tǒng)加固、系統(tǒng)入侵檢測和響應(yīng)、主機(jī)訪問控制、網(wǎng)
絡(luò)準(zhǔn)入控制和強(qiáng)制認(rèn)證等等。
 ·網(wǎng)絡(luò)安全，包括網(wǎng)絡(luò)漏洞掃描、網(wǎng)絡(luò)入侵檢測和響應(yīng)、路由器訪問控制列表(ACL)、AAAA、防火墻、
VLAN、QoS等等。
 ·數(shù)據(jù)和內(nèi)容安全，包括網(wǎng)絡(luò)和網(wǎng)關(guān)防病毒、通信加密、內(nèi)容過濾、防垃圾郵件等等。
 ·安全運(yùn)行中心，覆蓋資產(chǎn)管理、威脅管理、風(fēng)險(xiǎn)管理、問題管理、知識(shí)庫管理等等方面，起到信息安
全支撐性基礎(chǔ)設(shè)施的作用。

三、安氏領(lǐng)信為銀行構(gòu)筑全面安全保障體系

建設(shè)目標(biāo)：滿足金融行業(yè)的機(jī)密性、完整性、可用性、可控性、不可否認(rèn)性等安全需求； 建設(shè)原則：擴(kuò)展性、前瞻性、先進(jìn)性、整體性、標(biāo)準(zhǔn)性、主動(dòng)性、投資保護(hù)、法律法規(guī)符合性原則；
建設(shè)內(nèi)容：
1、安全管理和組織體系
2、安全技術(shù)體系
3、終端用戶行為監(jiān)管體系
4、安全運(yùn)行中心建設(shè)
3、1安全管理和組織體系建設(shè)
安全管理體系通過建立健全安全管理組織機(jī)構(gòu)和人員配備，提高安全管理人員的安全意識(shí)和技術(shù)水平，完善各種安全策略和安全機(jī)制，利用多種安全技術(shù)實(shí)施和網(wǎng)絡(luò)安全管理實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的多層保護(hù)，減小網(wǎng)絡(luò)受到攻擊的可能性，防范網(wǎng)絡(luò)安全事件的發(fā)生，提高對(duì)安全事件的反應(yīng)處理能力，并在網(wǎng)絡(luò)安全事件發(fā)生時(shí)盡量減少事件造成的損失。
安全組織體系主要包括組織的建立、組織和人員的管理制度、日常管理的運(yùn)作流程、以及人員的篩選、教育培訓(xùn)等等。
3、2安全技術(shù)體系建設(shè)
安全技術(shù)體系的核心是構(gòu)建一個(gè)主動(dòng)防御、深層防御、立體防御的安全技術(shù)保障平臺(tái)。通過綜合采用世界領(lǐng)先的技術(shù)和產(chǎn)品，加強(qiáng)對(duì)風(fēng)險(xiǎn)的控制和管理，將保護(hù)對(duì)象分成網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)邊界、終端計(jì)算環(huán)境、以及支撐性基礎(chǔ)設(shè)施等多個(gè)防御領(lǐng)域，在這些領(lǐng)域上綜合實(shí)現(xiàn)預(yù)警、保護(hù)、檢測、響應(yīng)、恢復(fù)等多個(gè)安全環(huán)節(jié)，從而為網(wǎng)絡(luò)及信息系統(tǒng)提供全方位、多層次的防護(hù)。即使在攻擊者成功地破壞了某個(gè)保護(hù)機(jī)制的情況下，其它保護(hù)機(jī)制依然能夠提供附加的保護(hù)，達(dá)到進(jìn)不來、看不懂、改不了、拿不走、打不垮的效果。
網(wǎng)絡(luò)邊界防御體系
邊界防護(hù)采用的主要產(chǎn)品和技術(shù)包括：
 ·訪問控制
 ·入侵檢測/入侵防御
 ·通信加密（VPN）
 ·網(wǎng)關(guān)防病毒
 ·流量整形
 ·反垃圾郵件
 ·內(nèi)容過濾
終端安全管理體系
終端安全管理體系采用的主要產(chǎn)品和技術(shù)包括：
 ·終端資產(chǎn)管理，實(shí)時(shí)了解終端資產(chǎn)信息以及資產(chǎn)信息變動(dòng)情況
 ·自動(dòng)補(bǔ)丁管理，自動(dòng)打補(bǔ)丁，修補(bǔ)系統(tǒng)漏洞，主動(dòng)防御未知威脅；
 ·主機(jī)訪問控制，對(duì)進(jìn)出終端的流量進(jìn)行嚴(yán)格的訪問控制；
 ·主機(jī)入侵防護(hù)，檢測來自于網(wǎng)絡(luò)內(nèi)部和外部的入侵和攻擊；
3、3終端用戶行為監(jiān)管體系建設(shè)
國際權(quán)威研究機(jī)構(gòu)的調(diào)查表明，內(nèi)部發(fā)生的安全事件占全部安全事件的70％甚至更多，包括無意識(shí)的誤操作，以及惡意的監(jiān)聽、嗅探、掃描等等行為，都給信息安全帶來極大風(fēng)險(xiǎn)。由于金融行業(yè)的特殊性，對(duì)內(nèi)部人員的行為控制和行為監(jiān)管尤為重要，因此我們建議金融用戶建設(shè)終端用戶的行為監(jiān)管控制體系，以規(guī)范和檢查終端用戶的行為與法律法規(guī)、內(nèi)部策略和流程的符合程度，確保沒有違規(guī)事件發(fā)生。終端用戶行為監(jiān)管體系采用的主要技術(shù)和產(chǎn)品包括：
 ·安全狀態(tài)完整性檢查和自動(dòng)修復(fù)，對(duì)終端用戶的安全策略符合性進(jìn)行檢查，對(duì)符合安全策略的用戶可
以接入網(wǎng)絡(luò)進(jìn)行后繼的訪問操作，對(duì)不符合安全策略的用戶（例如沒有安裝最新的系統(tǒng)補(bǔ)丁、沒有
升級(jí)病毒特征庫）則可以進(jìn)行自動(dòng)修復(fù)，以提升其安全級(jí)別；
 ·網(wǎng)絡(luò)準(zhǔn)入控制和強(qiáng)制認(rèn)證，確保用戶終端在接入網(wǎng)絡(luò)之前達(dá)到了目標(biāo)網(wǎng)絡(luò)安全策略規(guī)定的安全級(jí)別，
不會(huì)在訪問網(wǎng)絡(luò)資源時(shí)引入潛在的安全風(fēng)險(xiǎn)；
 ·外設(shè)使用控制，對(duì)用戶終端的外設(shè)使用進(jìn)行控制，避免因使用外設(shè)可能引起的病毒感染以及數(shù)據(jù)泄漏
的風(fēng)險(xiǎn)；
 ·終端用戶行為審計(jì)，對(duì)終端用戶的行為進(jìn)行控制和審計(jì)，實(shí)時(shí)了解終端運(yùn)行狀況和安全狀況；
3、4安全運(yùn)行中心建設(shè)
傳統(tǒng)的安全管理方式是將分散在各地、不同種類系統(tǒng)就近分別管理，這樣導(dǎo)致安全信息互不相通，安全策略難以保持一致。這種傳統(tǒng)的管理運(yùn)行方式是許許多多安全隱患形成的根源。 安全運(yùn)行中心是針對(duì)傳統(tǒng)管理方式的一種重大變革。它將關(guān)鍵設(shè)備的運(yùn)行管理權(quán)利集中到一起，通過高度密集的管理產(chǎn)品和手段，將分散在各地區(qū)、不同業(yè)務(wù)網(wǎng)絡(luò)上面的各種安全產(chǎn)品有機(jī)的結(jié)成一個(gè)整體。安全運(yùn)行中心使全網(wǎng)的安全風(fēng)險(xiǎn)處于可管理、可控制狀態(tài)下。對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的不間斷的評(píng)估和控制措施調(diào)整，使得全網(wǎng)的整體安全狀況和風(fēng)險(xiǎn)情況以定性或定量的形式及時(shí)展現(xiàn)出來，給企業(yè)管理者和客戶提供信心。
我們建議金融網(wǎng)絡(luò)系統(tǒng)建設(shè)安全運(yùn)行中心（SOC），作為金融網(wǎng)絡(luò)的一種支撐性基礎(chǔ)設(shè)施，實(shí)現(xiàn)風(fēng)險(xiǎn)的集中管理和實(shí)時(shí)呈現(xiàn)，將信息安全管理融入企業(yè)的業(yè)務(wù)體系和運(yùn)營流程之中，實(shí)現(xiàn)信息安全從成本中心到利潤中心的轉(zhuǎn)變，為企業(yè)的運(yùn)營提供強(qiáng)有力的安全保障。
安全運(yùn)行中心主要包括三個(gè)部分：安全風(fēng)險(xiǎn)管理中心、安全維護(hù)中心和安全知識(shí)中心，具體實(shí)現(xiàn)了以下的用戶功能模塊：
 ·風(fēng)險(xiǎn)查看
 ·資產(chǎn)管理
 ·脆弱性管理
 ·安全事件管理
 ·安全任務(wù)單管理
 ·安全預(yù)警管理
 ·安全設(shè)備管理
 ·安全評(píng)價(jià)管理
 ·報(bào)表管理
 ·策略管理
 ·系統(tǒng)管理
 ·安全知識(shí)管理
安全運(yùn)行中心建議管理范圍包括：
 ·所有的基于IP的網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的安全：包括金融網(wǎng)絡(luò)系統(tǒng)中包含的各個(gè)信息系統(tǒng)、相關(guān)的路由
器、交換機(jī)等網(wǎng)絡(luò)設(shè)備，以及重要的服務(wù)器和主機(jī)。
 ·所有安全產(chǎn)品組成的安全體系的實(shí)時(shí)管理和監(jiān)控都應(yīng)當(dāng)受到集中安全管理平臺(tái)的管理，管理對(duì)象包括
防火墻，入侵檢測系統(tǒng)，防病毒網(wǎng)關(guān)，終端安全管理系統(tǒng)、認(rèn)證授權(quán)系統(tǒng)等等。
 ·所有非安全產(chǎn)品的關(guān)鍵應(yīng)用系統(tǒng)均應(yīng)該通過一定途徑將安全相關(guān)信息輸送到安全運(yùn)行中心中，保證及
時(shí)安全時(shí)間的發(fā)現(xiàn)、分析和響應(yīng)。
 ·負(fù)責(zé)協(xié)同管理階層，制定和實(shí)施金融網(wǎng)絡(luò)系統(tǒng)的安全目標(biāo)和策略，支持日常安全配置和維護(hù)。
安全運(yùn)行中心在技術(shù)方面，主要需要完成以下幾個(gè)功能：
 ·基于資產(chǎn)的風(fēng)險(xiǎn)管理
 ·集中的安全策略管理
 ·集中的安全配置管理
 ·幫助實(shí)現(xiàn)全網(wǎng)實(shí)時(shí)各種安全事件的檢測、相關(guān)分析和可視化
 ·作為全網(wǎng)安全體系的中樞，發(fā)揮寶貴的“專家智慧”資源，統(tǒng)一指揮各種安全事件下的響應(yīng)和恢復(fù)