银行信息安全：技术与管理体系

A行科技开发部历来高度重视信息安全工作，为了不断应对来自互联网的各种攻击和探测行为，基于纵深防御思想，A行经多年建设，在安全基础设施建设、系统安全评估、安全加固和信息安全事件预防处置能力等方面逐年加强，各项安全保障措施到位，具体内容包括：

1）对全行网络进行了严格的安全域划分，实现信息资源的访问控制，强化网络安全区域间的访问控制；建立了全行性的网络应用流量监控系统，实现全行集中/分布式的网络层协议安全监控系统。

2）建立了全行性网络入侵防护系统，实时监测、阻断各种异常及攻击行为；建立了全行网络层安全内容审计系统，与运营商签订网络攻击防范专项保障服务，可针对大流量网络攻击（如DDoS、CC等）进行流量清洗。

3）建立了覆盖全行的桌面管理系统和计算机病毒防治系统，支持办公软件、防病毒软件等应用软件的统一部署和升级；实现了全行办公终端与互联网上网终端的安全分离，降低了信息泄露风险。

4）全面实施生产运行和系统开发的精细化安全管理，从需求评审、代码安全、安全测试和渗透测试等多角度建立安全控制体系，特别是在移动互联网安全现状不容乐观的情况下，落实各项安全技术要求，提高抵御移动互联网攻击的防护能力，提升信息安全工作对业务发展的促进作用。

5）推进容灾备份体系建设工作，进一步完善应急响应机制和灾难备份中心建设，特别是完成分行同城灾备系统，年内实现总行灾备系统的全业务覆盖。(www.xing528.com)

6）每年聘请国家级安全测评机构对三级以上的信息系统进行等级保护和风险评估工作，每周对互联网应用系统进行安全漏洞扫描，每季度进行远程渗透测试等工作。

7）在国密算法、量子保密、安全芯片等方向进行研发及改造工作，逐步扩大安全密码体系的应用范围，依托安全芯片的内嵌技术，形成A行设备的安全标识体系，大力发展移动终端安全解决方案的应用及推广。

8）逐年完善信息安全管理制度体系，提高制度编制质量，强化制度执行力度，进一步提升信息安全管理标准化、规范化水平。

长期运行实践表明，上述安全防线有效抵御了来自各个方面的威胁和攻击，不仅技术完整性好，而且满足了国家和行业监管部门的各项合规性要求。