我国各商业银行都全面落实了国家信息系统安全等级保护要求,根据国家信息安全等级划分标准,制定信息系统安全技术基线,明确了不同安全等级信息系统的安全保护要求,编写了信息系统安全技术选用指南,明确了实现信息系统安全要求的技术方法,编写了信息系统安全产品选用指南,明确了信息技术所需安全产品的选用原则,从而建立了从需求、安全设计到安全实现的整体安全建设流程。
1)构建了信息系统安全技术架构,明确了信息系统共有安全技术基础平台的建设原则,明确了信息系统建设中使用基础平台的策略,为安全技术整合、优化提供了方向,为银行信息系统安全技术应用提供了指导原则。目前,已采用共性任务集中建设的策略构建银行性安全基础平台。统一开发了用户认证授权管理平台,面向银行网络、系统和应用提供统一身份认证和权限控制服务;统一开发了加密安全管理平台,为各应用系统提供加密服务;银行引进部署了数据安全传递和安全销毁工具,为银行重要生产数据提供覆盖全生命周期的统一安全策略、数据访问控制和数据防泄露等服务;在应用系统运维管理方面,建设运维安全管理平台、日志管理与安全事件监控系统,提供统一的运维操作授权、监控和审计等服务。
2)遵循等级化安全技术架构,银行采用纵深防御的策略构建信息运维安全保障体系,与电信、公安等部门建立协防机制,借助国家力量防范恶性及大规模攻击行为;统一规划互联网、外联网安全防护标准,部署防火墙、入侵检测系统、信息过滤系统、行为检测系统,防范边界风险隐患;加强网上银行安全威胁发展趋势的跟踪、分析和研究,推动新技术新产品在网上银行等互联网系统中的应用,加强安全渗透测试和假冒银行网站的检测;合理划分内部网络区域,有效隔离生产网、办公网和测试网;统一部署构建桌面安全防护体系,为银行计算机终端提供统一的病毒防范和漏洞补丁管理等服务。推进作业调度系统,改变通过手工或系统命令调度的方式,建设自动化运维管理平台,实现日常信息科技运维中重复性工作“自动化、集约化、规范化”,避免人为操作带来的安全隐患,建立运维监控系统,实现系统设备全方面动态监控。(www.xing528.com)
3)采用全生命周期管理策略构建软件安全开发体系,建立软件安全需求识别模型和需求审核机制,把好软件安全需求审核关;制定软件安全编码指南,引入软件代码安全扫描工具,把好软件研制关;引入Web应用系统等渗透测试工具,建立软件安全测试流程和渗透扫描机制,把好软件上线管理关。
通过上述安全措施,各商业银行均初步建立了涵盖软件开发安全、运维安全的技术保障体系。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
