首先第一,我们体系遵循的标准,这里面分三块,第一,国际信息安全标准,27000,还有一个20000,还有等级保护的规范要求。对金融行业来说,06年发了一个信息安全保护的管理办法,公安部发的,2009年6月银监会出台的商业银行信息风险管理,最后一个就是今年刚发的电子银行安全评估指引,网上银行的交易量占的比重非常大,相关的案件也在不断的增多。所以我们整个体系遵循的标准主要是从这三个方面。
第二个方面体系建设的目标。作为一个银行,无论是做什么样的体系,它最终的目的是为我们银行客户服务,服务是第一目标,服务的对象是客户,对于信息系统来说,它要做的首先第一个就是整个业务系统的连续可用性,防止业务的中断,防止数据的丢失。目标就是怎样保障银行的业务系统的连续性。
第二,对应用系统访问的控制和授权的管理,防止非法访问,以保证信息资源和金融资源的安全,这个就是针对电子银行来说的,网上银行案件频发,绝大部分内部作案比外部的概率还要大多了,并不是外面的攻击比较厉害,我认为中国的网上银行的技术和复杂性,先进性,在世界上来说其他国家的银行还不存在的。我不知道大家使用过外资银行的相关网上银行没有,它登陆非常简单,应该说中国的环境比较复杂。
所以对我们银行来说,我们认为电子银行之外,包括我们核心也是这样。
北京农村商业银行信息技术部副总 陈扬宁
第三,业务工作的责任和可操作性。
第四,业务数据的传输使用,存储过程当中的真实性。做安全的这三个要素是必不可少的。
第五个方面就是信息系统的实体安全,提高信息系统安全管理水平,这块是作为一个金融行业,或者企业来说它要保证他的实体的安全。
最后一个就是互联网及内网的安全,防范互联网的攻击,保证业务的连续性。互联网,网银这都是网上的应用,内网的安全在银行业逐渐加重了,以前防范的都是互联网的应用,在这上面用得是很多的。最近通过统计下来,在内网方面逐渐逐渐加大投入,基于内网事件的增多。
第三,就是我们整个体系的策略,目标定了,我们采用什么策略建设这个体系呢?我们从27000里面管理体系的要求,从11个方面进行制定策略。第一个安全方针。第二个方面是组织信息安全。第三,资产管理。第四,人力资源安全。第五,物理环境安全。第六通讯和操作管理。第七,访问控制。第八,系统性,以及信息安全事件管理等等,这些都是在商业银行指引方面的管理,在27000里年,20000里年,也是这些方面。根据这11个方面,我们区域银行的架构体系应该是怎么样?
我先跟大家介绍一下,信息安全的架构,首先最上面就是安全的目标,我们的目标是什么?就是安全的高效管理,风险控制,以及整个体系的建设,这是我们的目标。包括管理上的安全,结构上的安全,资产化的管理,身份的管理,结构包括结构的溶于,数据的溶于等等。终端服务器,网络,主机等等,这是基础架构。
基础架构之上就是信息安全,信息安全主要是针对整个数据的内容以及数据操作的安全,这里面包括数据的泄露保护,现在商业银行已经在用了,文件的管理,文件的加密,传输,无论是网上银行,还是日常办公基本上还是使用的。
内容安全主要用得比较多的,从这里面发展多内网来的。最下面在信息安全的下层就是传输,包括数据的管理和加密。
第三层,就是我们安全的治理,包括安全监控,审计管理等等。IT的安全的治理是一个长期持续的工作目标,它主要是依赖于对整个平台的支持,真这个信息安全一个框架,我们建立了三大体系,就是从技术上,管理上和运维上三个方面来承载着我们整个信息安全。
大家可以看到,从技术角度来看,整个安全保障体系包括物理安全,保障安全,数据安全,备份的安全,这里考虑的东西也很多,包括我们现在谈论最多的是电源的问题,数据中心的电源的问题,这也包含在安全之内,包括地震造成的数据中心的(英语),这也是物理安全之一,在07年银联建立数据中心,因为他也没考虑到物理安全,发了台风以后,把数据中心淹没了,这个谁也没想到,把数据中心给淹了。北京地铁也经常被淹,这里也是物理安全的一部分,水灾,电,防火,都是物理安全领域里。
第二是网络安全,有网络的溶于,网络的防控,线路的备份等等。网络安全考虑得比较多的是基于互联网的网络安全这一块儿,在内网像银行基本上做到了内外网的物理的隔离,当然在相关的安全指引里面,要求做到隔离,但是在银行系统有些银行做得比较充分的银行,基本上做到了内网和外网的物理隔离。
我们的内网有两个部分组成,一个部分是我们的核心业务,你们的银行的数据,你们账户的数据,交易的数据等等一系列的都是在内网里面。
第二,我们银行内部使用自企业内部的系统,也是内网里面的,这两个部分基本上做到物理隔离,我们银行对客户的数据,我对他的访问基本上也做到一个隔离。
我们谈谈外网,就是我们现在使用最佳频繁的互联网的应用。在金融行业做到了完全的物理的隔离,我们现在技术也挺多的,比如说现在用我们机器,他只能上一个网,要么进内网,要么进外网,现在有个技术叫双硬盘技术,同样一台机器做个切换,两块硬盘,两个操作系统,在同一时间只能上一个网,这也是根据人民银行银监会的要求,金融行业基本上都做了。
还有主机安全,这个主机安全包括你们数据所用的核心的主机,也包括你们到我们历史数据相关的其他的一些小机去获取也都在这里。
从管理这条线来讲,第一就是安全策略,你要做管理,你首先对你整个安全要统筹考虑,你必须要有稳当做支持,我相关的策略要记载下来,要有它的延续性。
其次,信息安全的组织和管理,任何一个企业他对信息整个安全体系要根据商业银行信息安全管理要求,要求整个信息安全的组织架构必须从董事长开始,分管信息安全的是你们企业单位的运行层的高管,但是他直接汇报是向董事长汇报,而不是向运行层的一把手,商业银行已经把信息安全提到很高的位置上。银行董事长下面是行长,董事长是管理层,行长是经营者,副行长应该向行长汇报工作,但是在整个信息安全架构里面不是这样的,副行长直接就直接向董事长汇报,这是商业银行的要求。
还有一个要求,整个信息安全有三道门,这里面得非常清楚。
第三个是资产管理。
第四个是人力资源管理,我不是专家,但是这里面的东西也很多,我相信你们到一家企业也会遇到很多的问题,比如进一家企业你要做什么不知道,有人会告诉你,告诉你做什么你就做什么,有人跟你说你就知道,没人跟你说,你做了几天也就知道了。你走的时候也一样,一个单子给你上面签好字你就可以走了,只是履行了一个表面的书面的流程而已。实际上你来的时候,拿我们人力资源管理来说,你签到的时候,你应该有哪些权利,享受哪些待遇,拥有哪些资源,支配哪些资源都有相应的人来告诉你。
有些人走了,他离开了,他的企业邮箱还在,这个很简单吧,什么时候给他删了还不知道。这会带来其他的问题,如果说他对某些银行业,企业的核心资源有支配权的话,他的债户还在话,引发的风险是什么呢,这个风险在98年的时候就有相关的一个案例,哪家银行我就不说了,他们的ATM网,他的运维给外包的一个公司了,那个公司在那长期的合作,但是有员工跳槽走了,那个员工在这台机器上他有相关的权限和密码,他进了机器以后,让机器记载下客户的账号和密码,他在后台然后他复制,复制了以后,他就用复制的卡去消费,这在九几年就已经发生了,当然去年也有发生过类似的。最后查出来也很巧,他只是复制了某家银行的信用卡,这家银行有个共同的特色,就是通通是在另外一家银行的一台机器上操作的,通过银行的系统查出来,查出来以后,这台机器是谁用的,以前是谁来运维的,反向一追诉,追诉了这家公司来做的,他们公司有个人跳槽走了,反向追溯到这个人,这是96年发生的一起案件,就是利用了在人力资源上没考虑充分,相关的权限没放开,导致了我们出了一些风险。
08年的时候类似的案件又发生过,也是相同的。所以人力资源不仅仅是一个人是否生病了,由于他生病对我系统,对我日常工作带来影响,是否是他人本身的原因,同时你要考虑这个人进入离开我的企业,他所掌握的资源的一些问题。
第五个就是物理与环境的安全,通讯操作管理,这都是企业内部的管理,还有访问控制管理,特别是新系统的获取开发应用这块,对银行业来说感触是最深的,因为这是属于三分离的东西,实际的现实是人少,这几个部门都在一个人身上体现出来。这在前面说的相关案件里面也存在类似的问题。对银行业来说这方面体现得比较深刻一点。
最后我说一下运维这块,运维体系是一个部分,包括服务台,可用性管理,IT服务持续性管理,能力管理,服务级别管理,内容我们初步分了,一个是从技术角度,一个从管理角度来块12个方面。从安全技术这块,包括应急,支持,通道,检查和分析,从管理的角度,服务,级别管理,配制管理,发布管理,这里面还有培训,应急,演练。这是整个运维体系的内容。
大家可以看到,首先整个流程的发布就是从服务台出来的,服务台作为整个事件的输入和管理,事件管理以后,一个事件管理,一个问题管理,这个是不是有区别?这个有定义的,是有区别的,事情来了以后,在没有判别它的故障等级的情况下,影响范围的情况下,那么它仅仅是一个事件,对事件的管理要求最快效应速度,所以很简单,你们到银行去办一个业务,突然银行关门了,业务办不了了,所有的储户都着急了,这就属于事件。这个事件的时候,我们对它的处理是最高的相应级别,我们就是越快速越好,使客户第一时间能够得到解决,当然方法有很多种了。如果说系统坏了,或者网络坏了,等等其他原因,银行都有相关的措施。
但是对于事件来说,如果事件辩明了原因在哪,就要到后台去,事件管理只是初步的,临时性的解决这个问题,对于问题来说有后台,对整个问题进行分析以后,对整个事件深层次的一个解决,他要提出他解决问题的一个方案,如果涉及到整个系统,或者整个环境的变更,你要提出变更的管理,如果涉及到应用,就要进行到配制管理,经过审核以后,才能够进行管理的处理。所以在问题管理这里面,是在事件管理之后,但是它的要求要根本性的解决一个问题。最终的结果反馈到服务台。这对我们银行来说是这样的。
另外还有一个问题,无论是件还是变更,最终配制的管理,我们每家银行都有一个热线,你刚打的时候,每一个人的问题都不太一样,但是每家银行反应的速度都很快,就是因为它有知识库。从这上面看,我这是一个运维的管理模式,因为现在是安全和运维分不开的。我现在做的问题是基于原来运维基础上做的东西。所以这是三大支柱来构建一个企业的安全体系。希望我讲的能够给大家带来一点收获,谢谢大家。