银行信息安全技术与管理体系

信息安全包含的内容相当广泛，以各自独立的视角去看待信息安全就会只见树木不见森林。因此，应将银行信息安全管理当作一个整体加以研究和应用。信息安全管理体系参考框架就是从整体上去看待银行信息安全的所有工作。由于每家银行都具有各自不同的特点，因此并不存在一个统一的信息安全管理体系模型适合所有的银行。这里提出的信息安全管理体系模型作为一个参考框架，具有普遍适用性，但是每家银行在进行信息安全管理体系建设时，根据自身实际的不同会有不同的模型。

银行信息安全管理体系参考框架包括以下几个领域：信息安全方针、信息安全组织、信息安全制度、信息安全运作、信息安全技术，其中信息安全运作包括信息安全风险管理、信息安全检查、信息安全监控、信息安全事件管理、业务连续性与灾难恢复管理、信息安全审计等内容。银行安全管理体系参考框架如图3-3所示。

1.信息安全驱动

银行的业务目标、风险策略、审计要求、监管与合规要求、信息科技战略等作为整个组织运作需要考虑的重要因素，同时也对整个信息安全起到驱动作用。银行的信息安全贯穿了信息技术战略和信息技术规划的整个过程。在分解信息化总体架构要求，对各信息系统建设项目的目标、内容、方案和策略等逐一进行规划设计的同时，应该兼顾信息安全的规划和建设。

2.信息安全方针

银行的信息安全方针是为了加强银行信息安全保障能力，建立健全银行的安全管理体系，提高整体的网络与信息安全水平，保证网络通信畅通和业务系统的正常运营，提高网络服务质量，指导银行整体信息安全的工作而制定的信息安全整体策略。

3.信息安全组织

在明确了安全方针并获得高层管理者的认可后，安全管理的下一步工作就是定义、建立和维护安全组织架构。银行的安全组织架构定义的重要工作之一是定义评估标准，辅助安全管理人员跟踪工作执行情况。首先要定义关键绩效指标（KPI），而后对指标进行长期的维护和修改。

银行信息安全组织通常采用统一领导、分级管理、分级负责的原则。根据银行现有组织结构和运行模式，选择和开发适合的安全组织架构。

安全组织架构解决的具体问题和主要功能如下：

1）明确关键安全功能。

2）明确当前安全职位的人员组成。

3）定义安全管理领导人员的职责。

4）定义安全组织架构和功能。

5）定义安全组织架构的各个角色和职责。

6）定义在企业内的安全部署。

7）定义安全策略、流程和指导原则。

图3-3 银行安全管理体系参考框架

8）定义安全组织架构。

9）管理和检查日常安全操作。

10）与其他业务单元协调。

11）向高层领导汇报。

在银行中，安全应该有专人来总体负责，从建立、实施到维护，全程负责信息的安全工程，并向高层领导汇报。(www.xing528.com)

要求各安全岗位工作人员必须具备较高的道德素质和与岗位相适应的业务技术能力。建立安全技术培训计划，通过各种培训方式，提高各级管理人员和专业人员安全技能，降低安全操作风险。

4.信息安全制度

银行信息安全制度包括信息安全方针、管理办法、规定、规范、流程、细则、模板表单、记录文件等涉及信息安全的文件。信息安全制度是所有与安全相关活动的基础，其作用是在银行范围内实现安全技术和安全运维的一致性，从而减少安全事件发生的概率、产生的影响和造成的损失。银行的安全制度一经确立，将为安全框架的其他环节提供决策依据。

银行的信息安全方针是信息安全管理的最上层文件，也是信息安全的纲领性文件，其他文件如管理办法、流程、操作规范、技术标准等，都必须遵从这些纲领性文件。

管理办法是信息安全管理制度的约束性文件，是对信息安全某一方面的原则性的规定。

安全管理规定和细则是对管理办法的细化规定和要求。安全规范是实现管理办法需要遵守的准则和规定。包括技术规范和管理规范。安全流程是对管理办法的过程描述，侧重工作过程中输入、输出、活动、职责的界定。

模板表单和记录文件是上述文档制度在执行过程中使用到的相关表单和记录。

5.信息安全运作

随着信息安全管理体系和技术体系在银行信息安全建设中不断推进，占信息系统生命周期70%～80%的信息安全运作已经越来越被广大从业人员重视。尤其是随着信息系统建设工作从大规模建设阶段逐步转型到“建设和运维”并举的发展阶段，运维人员需要管理越来越庞大的信息技术系统，在这样的情况下，信息安全运作已经被提到了一个空前的高度上。

通常信息安全运作包含两层含义：

1）是指在运维过程中对网络或系统发生病毒或黑客攻击等安全事件进行定位、防护、排除等运维动作，保障系统不受内、外界侵害。

2）对运维过程中发生的基础环境、网络、安全、主机、中间件、数据库乃至核心应用系统发生的影响其正常运行的安全事件，以及围绕安全事件、运维人员和信息资产，依据具体流程而展开监控、告警、响应、评估等运行维护活动。

信息安全运作是一个广泛的概念，从具体内容来看，包括信息安全风险管理、信息安全规划与建设、信息安全监控与检查、信息安全事件管理、业务连续性与灾难恢复管理及信息安全审计。本书将在后续章节详细阐述各部分内容。

6.信息安全技术

信息安全的内涵在不断地延伸，从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻（攻击）、防（防范）、测（检测）、控（控制）、管（管理）、评（评估）”等多方面的基础理论和实施技术。银行常见的信息安全技术包括：

1）身份认证技术：用来确定用户或者设备身份的合法性，典型的手段有用户名口令、动态口令、PKI证书和生物认证等。

2）加解密技术：在传输过程或存储过程中进行信息数据的加解密，典型的加密体制可采用对称加密和非对称加密。

3）边界防护技术：防止外部网络用户以非法手段进入内部网络、访问内部资源、保护内部网络操作环境的特殊网络互联设备，典型的设备有防火墙和入侵检测设备。

4）访问控制技术：保证网络资源不被非法使用和访问。访问控制是网络安全防范和保护的主要核心策略，规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出资源访问的请求加以权限控制。

5）主机加固技术：操作系统或者数据库的实现会不可避免地出现某些漏洞，从而使信息网络系统遭受严重的威胁。主机加固技术对操作系统、数据库等进行漏洞加固和保护，提高系统的抗攻击能力。

6）安全审计技术：包含日志审计和行为审计，通过日志审计协助管理员在受到攻击后察看网络日志，从而评估网络配置的合理性、安全策略的有效性，追溯分析安全攻击轨迹，并能为实时防御提供手段。通过对员工或用户的网络行为审计，确认行为的合规性，确保管理的安全。

7）检测监控技术：对信息网络中的流量或应用内容进行OSI（开放式系统互联参考模型）2～7层的检测并适度监管和控制，避免网络流量的滥用、垃圾信息和有害信息的传播。

本书第三篇对信息安全技术进行了详细的介绍，更为细致的内容请参考该篇。