漳州师范学院中国建设银行信息系统安全管理分析2012—2013学年第一学期课程名称:信息管理系统任课教师:周斌学号:101206133姓名:苏维景专业:市场营销专业班级:10营销(1)班提交日期:2013年 1月 10 日目录前言 (3)一、建设银行信息系统现状 (3)二、建设银行系统安全分析 (5)(一)目前建行计算机信息系统的安全主要面临以下威胁: (5)(二)银行信息的脆弱和威胁源于以下几个方面的原因: (6)三、风险解决和防范 (7)(一)网络安全的多层保护 (7)(二)内外子网的安全防护 (8)(三)信息安全技术防范策略 (8)结束语 (11)前言随着计算机网络技术的飞速发展,信息技术正在以惊人的速度渗透到金融行业的各个领域。
但信息技术同时又是一把“双刃剑”,它既为银行经营管理带来巨大发展机遇的同时,也带来了严峻的挑战,网络信息的安全性变得日益重要起来。
特别是如同瘟疫般的计算机病毒及危害公共安全的恶意代码的广泛传播,损失惊人的计算机犯罪案件迅速增长,迫使我们必须冷静地研究和解决银行信息系统的安全问题。
本学期通过对信息管理系统的理论的学习,在金融行业中选取“中国建设银行”为例对其信息系统的现状、面临的安全威胁以及风险解决防范进行简要的分析。
一、建设银行信息系统现状中国建设银行是以中长期信贷业务为特色的国有商业银行,主要承担集中办理国家基本建设预算拨款和企业自筹资金拨付、监督资金合理使用、对施工企业发放短期贷款、办理基本业务结算业务职责,以及信贷资金贷款、居民储蓄存款、外汇业务、信用卡业务,以及政策性房改金融和个人住房抵押贷款等多种业务,曾《银行家》杂志全球1000家大银行排名中位居第65位。
面对风起云涌信息革命浪潮和日趋激烈市场竞争,中国建设银行采用世界主流企业级通讯、协同计算和Internet/Intranet平台Lotus Domino/Notes,成功构建起覆盖全国30多个省和10多个计划单列市共400多个城市管理信息服务网--总行信息服务站,全面实现了从总行到市级分行以及部分县级分行信息共享、实时发布和查询检索,有效提高了全行工作效率。
“十一五”期间建行信息安全建设成绩2005年,建行实现了全行数据大集中,有力地支持建行重组上市、促进业务快速增长和业务创新,与此同时,信息系统自身风险和内外部攻击的风险也不断积聚,信息安全已不再是传统的防病毒、防火墙、入侵检测“三大件”,系统化进行信息安全建设已迫在眉睫。
为此,“十一五”期间,建行从信息安全组织建设、完善信息安全技术保障体系、构建开发安全和运维安全管理流程、持续开展信息安全文化建设等方面,全面推进全行信息安全体系建设。
1.建立健全全行信息安全管理组织体系遵循监管部门信息科技管理要求,结合行内组织职能划分,建行构建了全面的信息安全管理组织,形成了“三个层面,三条防线”安全管理体系。
2.明确信息安全管理目标和策略,完善信息安全制度体系“方向明晰是成功的基础”,建行十分注重整体信息安全管理策略建设。
遵循监管要求,结合自身实际,建行确立了全行信息安全管理目标:一是有效保护信息及信息处理环境,支持业务持续运营;二是提高应对新型信息安全威胁的能力,支持业务创新;三是保护客户信息和资金安全,维护建行声誉;四是提高合规管理能力,满足监管要求。
制定了“全面管理、预防为主、分级保护、合规审慎”的信息安全管理原则,确定了信息资产的等级划分策略,明确了对不同等级信息资产的信息安全管理偏好,为信息安全管理指明了方向。
3.以国家等级安全保护要求为指导,构建等级化信息科技安全技术保障体系全面落实国家信息系统安全等级保护要求,根据国家信息安全等级划分标准,制定信息系统安全技术基线,明确了不同安全等级信息系统安全保护要求,编写了信息系统安全技术选用指南,明确了实现信息系统安全要求的技术实现方法,编写了信息系统安全产品选用指南,明确了信息技术所需安全产品的选用原则,从而建立了从需求、安全设计到安全实现的整体安全建设流程。
4.借鉴国际标准,完善信息系统安全开发和运维管理流程在信息系统开发管理方面,对项目开发管理的可行性研究、需求分析、立项评审、编码安全、测试、投产上线等全过程进行了规范管理。
在项目立项环节,加强方案的架构审核和安全评审,严格执行信息安全技术架构原则;在软件开发环节,大力推广使用代码检测技术和漏洞测试工具,提高软件编码质量,防范软件开发过程中存在的风险和漏洞。
在测试管理上,成立了测试团队,负责跨系统的连接测试、集成的功能和性能测试以及上线版本检验测试,并对网上银行等重点系统开展安全渗透性测试。
在投产上线前,强化上线集中审核制度,加强上线前的审核和控制,防范上线过程中和上线后出现的系统运行风险。
5.持续开展信息安全管理文化建设,提高员工安全意识和安全技能人是信息安全管理中最重要的因素,建行始终坚持员工合规管理和安全培训两手抓。
加强合规管理,以流程管理引导员工做正确的事,以严格制度促使员工规避风险。
加强信息安全知识培训,培训开发人员安全编码能力,提高软件安全质量;编印员工信息安全知识手册、信息安全实务手册及相关课件,开展全行信息安全知识竞赛,传递信息安全基础知识和基础技能,提高员工安全应用信息系统的能力;加强银监会风险提示宣传和内部风险警示教育,以典型事件教育、提升全员信息安全意识,以常规化的培训教育,促进信息安全管理文化的建设,营造“人人参与,全员共进”的良好信息安全管理氛围,保障建行信息系统的安全运营。
二、建设银行系统安全分析(一)目前建行计算机信息系统的安全主要面临以下威胁:1、计算机病毒。
伴随着计算机技术的推广普及,计算机病毒也在不断地发展演变,其危害越来越大。
目前的特点是:流行广泛、种类繁多、潜伏期长、网络传播、破坏力大,对计算机信息系统的安全构成了长期与现实的威胁。
它像灰色的幽灵将自己附在其他程序上,在这些程序运行时进人到系统中进行扩散。
计算机感染上病毒后,轻则使系统上运行效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等硬件的损坏。
2、黑客攻击和间谍软件。
这是计算机网络所面临的最大威胁。
此类攻击又可以分为2种:一种是网络攻击,以各种方式有选择地破坏对方信息的有效性和完整性;另一类是网络侦察,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得银行重要的机密信息。
与计算机病毒不同,间谍软件的主要目的不在于对系统造成破坏,而是窃取系统或是用户信息。
它可以监视用户行为,或是发布广告,修改系统设置,威胁用户隐私和计算机安全,并可能不同程度的影响系统性能。
3、垃圾邮件。
一些人利用电子邮件地址的“公开性”和系统的“可广播性”进行商业、宗教、政治等活动,把自己的电子邮件强行“推入”别人的电子邮箱,强迫他人接受垃圾邮件。
垃圾电子邮件消耗网络资源,充斥电子邮件。
据报道仅MSN、Hotmail每天就要处理将近30亿封垃圾邮件,如果垃圾电子邮件充斥收件箱,不仅威胁银行工作效率,而且还是恶意代码的常用载体。
4、系统漏洞。
利用计算机操作系统、信息管理系统、网络系统等的安全漏洞,进行窃密与破坏活动。
网络软件不可能是百分之百的无缺陷和无漏洞,各类软件系统总是存在一些缺陷或漏洞,有些是疏忽造成的,有些则是软件公司为了自便而设置的,这些漏洞或“后门”一般不为其他人所知,但一旦洞开,后果将不堪设想。
5、非法访问。
外部人员利用非法手段进入安全保密措施不强的计算机信息系统,对系统内的信息进行修改、破坏和窃取。
如果通过Internet网络发送的敏感数据如果没有适当的加密,可能会泄密。
此外,现在黑客使用更加高级的应用程序层攻击,所以银行必须使用应用程序防火墙,以确保流量在进入内部网络之前得到过滤。
非法访问有口令破解、IP欺骗、DNS欺骗、特洛伊木马等几种方式。
6、网络钓鱼。
是指盗取他人个人资料、银行及财务账户资料的网络相关诱骗行为,可分为诱骗式及技术式两种。
诱骗式是利用特制的电邮,引导收件人连接到特制的网页,这些网页通常会伪装成真正的银行或理财网页,令登录者信以为真,输入信用卡或银行卡号码、账户名称及密码等;技术性的网络钓鱼软件则是将程序安装到受害者的电脑中,直接盗取个人资料或使用木马程序、按键记录程序等。
(二)银行信息的脆弱和威胁源于以下几个方面的原因:1、Internet所用底层TCP/IP网络协议本身易受到攻击,该协议本身的安全问题极大地影响到上层应用的安全。
2、Internet上广为传插的易用黑客和解密工具使很多网络用户轻易地获得了攻击网络的方法和手段。
3、快速的软件升级周期,会造成问题软件的出现,经常会出现操作系统和应用程序存在新的攻击漏洞。
4、制度管理方面存在不足。
目前不少基层单位没有从管理制度、人员和技术上建立相应的安全防范机制,缺乏行之有效的安全检查保护措施。
5、人为因素。
人为因素其实是网络安全问题的最主要的因素。
人为的无意失误,如操作员配置不当造成的安全漏洞,用户安全意识不强,口令选择不慎,将自己的账号随意转借他人或与别人共享等;人为的恶意攻击,如个别人员利用合法身份与外联网络非法链接,造成失泄密,甚至有一些网络管理员利用职务之便从事网上违法活动。
三、风险解决和防范(一)网络安全的多层保护1、网络边缘保护网络边缘保护是指通过智能地选择并应用网络技术来保护网络边界的安全。
银行网络边界主要指与有业务关系的外单位的连接(如银行代收费业务需与电信、移动等公司的网络连接)及与Internet的连接,与此同时我们在网络边缘或网关位置应用防病毒和反垃圾邮件保护,可以阻止基于如HTTP或SMTP的威胁进入银行内部网络。
网络边缘保护为银行网络建立起一堵类似的城墙来抵御网络入侵者,防范和减小了资深黑客仅仅只需接入互联网、写入程序就可访问银行网的几率。
2、服务器保护安全威胁可以来自网络内部和网络外部,以及通过授权的计算机发起攻击。
例如,员工可能无意中将一个受病毒感染的文件从USB设备复制到一台安全的计算机中。
因此前端和后端服务器都必须提供防病毒保护。
而网关保护可以消除大部分威胁,在消息传递和协作服务器中安装防病毒软件则可以提供额外的防御线,并遏制内部事件的威胁,让它们永远不能达到网关。
3、客户端保护尽管不是消息传递和协作基础结构的组成部分,但受危害的客户端可以自由地访问一些安全区域。
因此,必须在客户端上提供桌面防病毒、反垃圾邮件和个人防火墙保护。
同时需要在客户端部署防止用户转发、打印或共享机密材料的信息控制技术。
4、信息本身保护信息本身保护是一项任重而道远的任务。
通常,银行使用基于周边的安全方法来保护数字信息。
防火墙可以限制对于网络的访问,而访问控制列表(ACL)—见下表,可以限制对于特定数据的访问。