第 1 章 我國金融行業(yè)的現(xiàn)狀和業(yè)務(wù)特點(diǎn)

　　隨著加入WTO的臨近，金融行業(yè)加快了改革和重組的步伐，面對國內(nèi)外的競爭，各行加大了科技的資金投入,不斷完善網(wǎng)絡(luò)結(jié)構(gòu)，紛紛推出高技術(shù)含量的客戶服務(wù)項(xiàng)目，爭取客戶，吸收存款，多占市場份額。

　　因此，爭取客戶使各金融機(jī)構(gòu)展開了競爭的行動。競爭的加劇使各金融機(jī)構(gòu)各施所能，推出網(wǎng)上銀行、手機(jī)銀行、電子商務(wù)、網(wǎng)上證券交易等服務(wù)，隨著電子商務(wù)(E-Commerce)、銀行信息化建設(shè)(Intranet/Internet/Extranet)、虛擬專用網(wǎng)(VPN)等的興起，網(wǎng)絡(luò)改造的逐漸深入，各金融機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)已經(jīng)形成了一個(gè)基于TCP/IP,網(wǎng)絡(luò)設(shè)備多種多樣的一個(gè)復(fù)雜的全國性的復(fù)雜的廣域網(wǎng)，同時(shí)，金融機(jī)構(gòu)內(nèi)部的網(wǎng)絡(luò)系統(tǒng)安全也越來越直接的地涉及到生產(chǎn)領(lǐng)域，與經(jīng)濟(jì)效益和經(jīng)濟(jì)利益也越來越緊密的聯(lián)系在了一起，金融業(yè)務(wù)的特殊性和實(shí)時(shí)性以及保密性又要求不能有任何一點(diǎn)的失誤，如何設(shè)計(jì)一個(gè)好的，高效的，經(jīng)濟(jì)的，風(fēng)險(xiǎn)最低的安全網(wǎng)絡(luò)系統(tǒng)已成為亟待解決的大問題。

　　金融業(yè)務(wù)由于其覆蓋范圍廣，服務(wù)范圍極寬，所以具有以下特點(diǎn)：

　　· 安全性

　　金融機(jī)構(gòu)是經(jīng)營貨幣的特殊企業(yè)。其基本性質(zhì)決定了在辦理過程中必須有高度的安全性，而辦理過程對客戶來說是相對透明的，這就要求銀行的網(wǎng)絡(luò)，系統(tǒng)具有高度的安全性。

　　· 方便性

　　隨著各種金融業(yè)務(wù)的放開，各金融機(jī)構(gòu)之間的競爭愈來愈激烈，而能夠給客戶提供最大方便者，必定會取得勝利，服務(wù)快捷正是銀行的口號之一，而隨著中國市場經(jīng)濟(jì)的進(jìn)一步發(fā)展，只有高度的電子化，網(wǎng)絡(luò)化，才能在這場競爭中立于不敗之地。比如各行大力發(fā)展的全國電子聯(lián)行，網(wǎng)上銀行服務(wù)以及各種中間業(yè)務(wù)便是如此。

　　第 2 章 金融業(yè)信息安全的威脅

　　1. 對內(nèi)部人員的充分信任,特別是對于內(nèi)部信息科技人員的充分信任，而且沒有可靠的管理手段往往是出現(xiàn)內(nèi)部高科技犯罪的開始。

　　2. 雖然制定了一系列信息安全規(guī)定，但是沒有一個(gè)科學(xué)的評估方法和管理，無法對系統(tǒng)的安全和漏洞進(jìn)行量化的分析和科學(xué)的管理，結(jié)果往往是事與愿違。

　　3. 業(yè)務(wù)系統(tǒng)操作人員安全管理薄弱，口令系統(tǒng)混亂，安全性差。雖然有加密機(jī)，只要能物理的接觸到營業(yè)終端，就能很容易的實(shí)現(xiàn)到主機(jī)系統(tǒng)的越權(quán)訪問。

　　4. 加密機(jī)的黑箱設(shè)計(jì)，算法的不公開給黑客的遠(yuǎn)程攻擊造成了困難，也使得算法和設(shè)計(jì)上的缺陷不易被監(jiān)察，而對有心人來說，也許解密和仿冒并不困難。

　　5. 分組協(xié)議里的閉合用戶群并不安全，信任關(guān)系可能被黑客利用。

　　6. 有的同城清算、聯(lián)行系統(tǒng)可能被攻破和滲透。

　　7. 應(yīng)用軟件的潛在設(shè)計(jì)缺陷。

　　8. 主機(jī)系統(tǒng)存在安全漏洞。

　　由于電子商務(wù)的發(fā)展,現(xiàn)在不少銀行開始將一部分業(yè)務(wù)邏輯放到Internet上，而且隨著新業(yè)務(wù)發(fā)展需要，單人臨柜制、金融綜合網(wǎng)、網(wǎng)上銀行服務(wù)、電子支付、金融票據(jù)電子化等等，今后幾年內(nèi)將迅速形成一個(gè)以開放協(xié)議為主流復(fù)雜網(wǎng)絡(luò)應(yīng)用環(huán)境，來自外部和內(nèi)部的攻擊將不斷增加.這就對金融系統(tǒng)的安全性提出了更高的要求。

　　第 3 章 金融業(yè)信息安全需求

　　金融行業(yè)在考慮安全過程中主要需要考慮包含貫穿始終的安全策略、安全評估和安全管理;而在技術(shù)層面上需要考慮實(shí)體的物理安全，網(wǎng)絡(luò)的基礎(chǔ)結(jié)構(gòu)、網(wǎng)絡(luò)層的安全、操作系統(tǒng)平臺的安全、應(yīng)用平臺的安全，以及在此基礎(chǔ)之上的應(yīng)用數(shù)據(jù)的安全。

　　上述多個(gè)方面，既是一種防護(hù)基礎(chǔ)，也是相互促進(jìn)的，同時(shí)，也是一個(gè)循環(huán)遞進(jìn)的工程，需要不斷的自我完善和增強(qiáng)，才能夠形成一套合理有效的整體安全防護(hù)系統(tǒng)。

　　總體來講，金融行業(yè)業(yè)務(wù)支撐網(wǎng)的安全需求包括如下幾個(gè)部分：

　　· 策略安全，包括安全的范圍、等級、公司的政策、標(biāo)準(zhǔn)。

　　· 安全評估，包括威脅評估、漏洞評估、制度評估。

　　· 物理安全，包括門禁系統(tǒng)、防靜電防磁、防火防盜、多路供電。

　　· 系統(tǒng)安全，包括系統(tǒng)漏洞掃描、系統(tǒng)加固、系統(tǒng)入侵偵測和響應(yīng)、主機(jī)訪問控制、集中認(rèn)證。

　　· 網(wǎng)絡(luò)安全，包括網(wǎng)絡(luò)漏洞掃描、網(wǎng)絡(luò)入侵偵測和響應(yīng)、路由器訪問控制列表(ACL)、集中認(rèn)證、防火墻、VLAN、QoS、路由欺騙、地址欺騙。

　　· 應(yīng)用和數(shù)據(jù)庫安全，包括數(shù)據(jù)庫漏洞掃描，數(shù)據(jù)庫安全管理。

　　· 數(shù)據(jù)和內(nèi)容安全，包括網(wǎng)絡(luò)和網(wǎng)關(guān)式病毒掃描服務(wù)、VPN加密。

　　寶利信通為中國金融業(yè)提供信息安全解決方案，將詳細(xì)分析當(dāng)前金融界的總體信息安全現(xiàn)狀，總體信息安全需求，提出從總體安全策略的建立到完整信息安全體系建立，包括緊急相應(yīng)制度、隊(duì)伍建立的所有內(nèi)容的完整解決方案，成為中國金融業(yè)可靠的安全顧問，為中國金融業(yè)總體業(yè)務(wù)安全安全提供堅(jiān)強(qiáng)的后盾。

　　第 4 章 解決方案的目標(biāo)

　　"需要強(qiáng)調(diào)的是，不存在完全可靠的安全措施。但是，必須確保針對這些基礎(chǔ)設(shè)施的危害具有間斷性、暫時(shí)性、可管理性和物理隔離性的特點(diǎn)，并且確保這些危害對美國利益的威脅程度最低。" --- 摘自美國《保護(hù)網(wǎng)絡(luò)空間的國家戰(zhàn)略》

　　在網(wǎng)絡(luò)安全防御和攻擊的"角力"過程中，沒有永遠(yuǎn)的勝者。這體現(xiàn)在幾個(gè)方面：沒有完美、永遠(yuǎn)正確的安全策略;沒有萬無一失的安全產(chǎn)品;沒有永遠(yuǎn)不犯錯(cuò)誤的安全專家。。。

　　網(wǎng)絡(luò)安全的水平體現(xiàn)在：使用經(jīng)濟(jì)上得益的投資來控制網(wǎng)絡(luò)安全威脅在可以忍受的水平，挫敗策略規(guī)劃中的威脅方。

　　基于上面的出發(fā)點(diǎn)，我們設(shè)計(jì)的整個(gè)方案的完整實(shí)施將保證客戶網(wǎng)絡(luò)達(dá)到以下幾個(gè)目標(biāo)：

　　建立全網(wǎng)的策略、管理、組織和安全技術(shù)體系。參照后面的描述，建立起結(jié)合實(shí)際業(yè)務(wù)情況和安全需求的策略并通過相應(yīng)的管理、組織、和技術(shù)體系進(jìn)行落實(shí)和跟進(jìn)。

　　實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)的6個(gè)重要安全屬性：機(jī)密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、可靠性(Reliability)、認(rèn)證性(Authenticity)、審計(jì)性 (Accountability)。體現(xiàn)在對關(guān)鍵業(yè)務(wù)和數(shù)據(jù)的訪問、修改、編輯、創(chuàng)建等過程都通過了嚴(yán)格的加密和認(rèn)證措施，所有關(guān)鍵業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)活動被記錄和審查。

　　實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)的"全程全網(wǎng)"安全事件可視化(Visualization)。體現(xiàn)在全網(wǎng)關(guān)鍵業(yè)務(wù)和數(shù)據(jù)相關(guān)的網(wǎng)絡(luò)事件可以非常直觀地可視化回放，保證安全策略沒有被違反，有能力進(jìn)行事后的分析和追查，提供可以"呈堂"的證據(jù)。

　　全網(wǎng)的安全風(fēng)險(xiǎn)處于可管理、可控制狀態(tài)下。對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的不間斷的評估和控制措施調(diào)整，使得全網(wǎng)的整體安全狀況和風(fēng)險(xiǎn)情況以定性或半定量的形式及時(shí)展現(xiàn)出來。幫助企業(yè)管理層和客戶建立信心。

　　保證全網(wǎng)的"抗打擊能力"處于國內(nèi)領(lǐng)先地位。在網(wǎng)絡(luò)攻擊、自然災(zāi)害、災(zāi)難、恐怖事件以及其它不可預(yù)見的威脅出現(xiàn)時(shí)，全網(wǎng)關(guān)鍵業(yè)務(wù)有能力進(jìn)行迅速的響應(yīng)和恢復(fù)。幫助自己的客戶建立信心，從而提高企業(yè)的信譽(yù)和效益。

　　保證全網(wǎng)相關(guān)業(yè)務(wù)活動在網(wǎng)絡(luò)安全方面的法律法規(guī)符合性。在整個(gè)企業(yè)的技術(shù)和商務(wù)活動中，都將建立法律法規(guī)符合性審核制度，保證企業(yè)的商業(yè)信譽(yù)和利益不受傷害。

　　第 5 章 解決方案

　　從前面的分析來看，我們綜合目前金融行業(yè)面臨的所有的風(fēng)險(xiǎn)和問題，主要集中以下三個(gè)方面：

　　缺乏統(tǒng)一的安全規(guī)劃和安全職責(zé)部門，缺乏技術(shù)手段，統(tǒng)一的部署安全策略，響應(yīng)安全事故，控制安全風(fēng)險(xiǎn)。

　　盡管已經(jīng)采用了一些安全措施，但是目前安全措施的采用還是嚴(yán)重不足的，存在大量這樣、那樣的風(fēng)險(xiǎn)和漏洞。

　　安全管理仍然存在大幅度改進(jìn)的空間，安全意識培訓(xùn)、安全策略和業(yè)務(wù)連續(xù)性計(jì)劃都必須逐步完成并實(shí)施。

　　與此相對應(yīng)的，我們建議針對這三個(gè)方面問題采取三種針對性的解決方案：

　　其一，我們強(qiáng)烈建議建設(shè)安全管理中心(SOC)，進(jìn)行統(tǒng)一集中的網(wǎng)絡(luò)安全管理

　　其二，建設(shè)安全防護(hù)體系：從安全產(chǎn)品和服務(wù)方面對現(xiàn)有網(wǎng)絡(luò)和數(shù)據(jù)的保護(hù)進(jìn)行加強(qiáng)

　　其三，從管理方面進(jìn)行策略、組織機(jī)構(gòu)和管理考核制度方面執(zhí)行安全考慮。

　　5.1 安全管理中心(SOC)

　　傳統(tǒng)的安全管理方式是將分散在各地、不同種類系統(tǒng)就近分別管理，這樣導(dǎo)致安全信息互不相通，安全策略難以保持一致。這種傳統(tǒng)的管理運(yùn)行方式是許許多多安全隱患形成的根源。

　　安全管理中心是針對傳統(tǒng)管理方式的一種重大變革。它將關(guān)鍵設(shè)備的運(yùn)行管理權(quán)利集中到一起，通過高度密集的管理產(chǎn)品和手段，將分散在各地區(qū)、不同業(yè)務(wù)網(wǎng)絡(luò)上面的各種安全產(chǎn)品有機(jī)的結(jié)成一個(gè)整體。

　　我們建議的安全管理中心(SOC)所涉及的安全管理管理范圍包括：

　　· 所有的基于IP的網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的安全：包括生產(chǎn)網(wǎng)絡(luò)本身、中間業(yè)務(wù)系統(tǒng)、各種核心業(yè)務(wù)系統(tǒng)以及內(nèi)部管理信息系統(tǒng)、辦公系統(tǒng)等。

　　· 所有安全產(chǎn)品組成的安全體系的實(shí)時(shí)管理和監(jiān)控都應(yīng)當(dāng)受到SOC的管理。

　　· 所有非安全產(chǎn)品的關(guān)鍵應(yīng)用系統(tǒng)均應(yīng)該通過一定途徑將安全相關(guān)信息輸送到安全運(yùn)行中心中，保證及時(shí)安全時(shí)間的發(fā)現(xiàn)、分析和響應(yīng)。

　　· 負(fù)責(zé)協(xié)同高層領(lǐng)導(dǎo)，制定和實(shí)施企業(yè)長期安全目標(biāo)和策略，并將其分解為中期和短期策略，負(fù)責(zé)日常安全配置和維護(hù)。

　　5.2 安全產(chǎn)品和服務(wù)

　　雖然金融系統(tǒng)的網(wǎng)絡(luò)中已經(jīng)部署了一些網(wǎng)絡(luò)安全產(chǎn)品，但是這些產(chǎn)品沒有形成體系，尚有許多薄弱環(huán)節(jié)沒有覆蓋到，不少安全產(chǎn)品沒有得到有效利用。為了實(shí)現(xiàn)全面的安全目標(biāo)，需要全面考慮對于安全產(chǎn)品和服務(wù)的部署需求，實(shí)現(xiàn)"全網(wǎng)"安全的目標(biāo)。

　　根據(jù)上面的分析，我們建議有重點(diǎn)地按照下面的策略來布署安全產(chǎn)品以大幅度提升全網(wǎng)的安全水平，寶利信通有能力就如下幾方面提供全面的技術(shù)解決方案：

　　· 配置(增加)更為先進(jìn)的防火墻和入侵檢測系統(tǒng)，來增強(qiáng)已有的訪問控制和審計(jì)響應(yīng)手段;

　　· 構(gòu)建節(jié)點(diǎn)間的VPN體系，保護(hù)在廣域網(wǎng)間傳輸?shù)慕鹑跀?shù)據(jù)的安全;

　　· 完善的反病毒體系來增強(qiáng)全網(wǎng)的抗病毒和蠕蟲攻擊能力;

　　· 布署全網(wǎng)統(tǒng)一的風(fēng)險(xiǎn)評估軟件和安全信息庫，提升全網(wǎng)的安全審計(jì)和風(fēng)險(xiǎn)管理能力;

　　· 布署集中的認(rèn)證服務(wù)器和相應(yīng)軟件(帶有高可靠性冗余設(shè)計(jì))，來提高全網(wǎng)的認(rèn)證和訪問控制能力;

　　· 在關(guān)鍵業(yè)務(wù)和數(shù)據(jù)網(wǎng)段布署國際先進(jìn)的事件分析軟件，提高對安全事件的分析、定位、追查等能力，提高全網(wǎng)的安全事件可視化水平;

　　· 在全網(wǎng)范圍內(nèi)布署適當(dāng)?shù)摹⒒赑KI體系的加密、數(shù)字簽名和安全認(rèn)證產(chǎn)品和技術(shù)，提高全網(wǎng)關(guān)鍵業(yè)務(wù)的保密性、完整性、可靠性以及抗抵賴等安全屬性

　　· 在安全運(yùn)行中心布署集中的安全管理軟件，集中監(jiān)視全網(wǎng)關(guān)鍵設(shè)備和安全應(yīng)用的運(yùn)行狀態(tài)和安全事件。

文章作者：比特網(wǎng)