银行业务的发展越来越依赖信息技术。信息系统的安全性、可靠性和有效性,对银行经营战略的实现具有至关重要的作用。自从银行业大力发展电子银行、拓展与第三方互联互通的中间业务以来,系统架构的开放性以及网络连通性所导致的信息系统面临的安全威胁越来越严重,已被金融机构确认并修复的自身网站安全漏洞的数量呈上升趋势,给银行业务的连续性带来了严重影响。因此,加大信息安全检查力度、提升信息安全保障能力,对于邮储银行的转型发展具有重要的现实意义。
信息安全检查的作用
为了收集信息系统的运行数据、了解信息安全管理体系的运行情况,及时发现信息系统存在的安全问题和修补安全漏洞,各大银行普遍采用安全检查的方法,提升信息系统的安全保障能力:一是检查信息安全保障体系的建设情况、信息系统安全管理制度的落实情况,提高信息系统安全管理水平;二是检查科技人员的安全技术水平以及安全培训教育情况,强化他们的信息安全意识;三是检查信息系统运行情况、日常操作中的安全控制措施,促进完善安全内控机制,及时处置操作安全风险;四是检查信息系统数据存储、传输、使用等数据管理情况,防范数据泄露风险;五是检查应急预案制定情况以及应急演练结果,提高对突发事件的应对能力。信息安全检查工作的内容信息安全检查工作是为了查找信息安全问题和薄弱环节,采取一定的检查或检测方法,发现安全现状与安全要求之间的差距,以便有针对性地采取防范对策、改进防范措施,进一步提升安全防范能力,预防和减少重大信息安全事件的发生,切实保障信息系统的安全稳定运行。在进行安全检查前,首先要确定安全要求、明确信息安全检查工作中要检查的项目。邮储银行以信息安全保障评估框架为指导,以等级保护系列标准为基础,结合银监会、中国人民银行等监管机构对信息安全管理的相关监管要求,提取内部管理制度中对安全的相关要求,制定了具有特色的安全检查要求,形成了《邮政金融计算机系统安全检查手册》。该《手册》从主机安全、网络及边界安全、应用安全、数据安全、基础设施安全、网点终端安全、运行安全、安全管理8个方面归纳整理出400多个安全检查项。该《手册》明确了信息安全检查工作的检查内容、检查要点和检查方法。
信息安全检查的实践
邮储银行开展的2014~2015年度信息安全检查工作,包括了制定检查工作计划、信息安全检查、问题整改和检查总结等阶段。制定检查工作计划。在选取安全检查项目时,紧紧围绕年度安全管理目标,结合年度信息安全工作的重点领域以及运行维护工作中容易忽视的安全问题。2015年的安全检查在兼顾检查全面性的同时,确定以网络边界安全、主机安全、数据安全3方面为检查重点,从《手册》中选取100个检查项,同时规划了现场检查工作的方法、工作过程等内容,从而形成年度安全检查方案。随后,根据各安全检查项目在保障信息安全中的作用以及现有条件下实现的难度等实际情况,将安全检查项分成基本要求项和增强要求项并对其赋予不同的分值,建立起安全检查的量化评价标准。检查完成后,可以通过评价标准直接给出的分数,直观地评价、比较各分行信息安全工作的情况。在组建安全检查队伍时,每个检查小组由总行、分行的信息安全人员组成。各分行分组交叉检查的方式,便于各分行通过检查相互学习、取长补短,提高信息安全的保障能力和水平。
实施信息安全检查
信息安全检查围绕安全检查项目,采用登录系统检查、在线工具检查、查阅制度文档、访谈关键人员、巡查网点等方法,收集安全运行数据,评价安全管理水平。登录信息系统设备检查安全配置基本情况,重点关注系统日志、操作日志、配置文件等信息;使用安全漏洞扫描工具检测设备存在的风险点;通过检查设备的使用状况,评价基层单位对信息资源的控制能力是否满足安全保护的要求。查看各监控系统的监控记录,确认各项报警得到及时处理。查阅规章制度,了解安全规定是否覆盖安全工作的所有领域;浏览审批记录、登记表等详细信息,了解日常工作中安全规定的执行情况。通过访谈相关岗位人员、现场观察各岗位人员的实际配合情况,了解日常工作流程中是否存在安全漏洞;通过实地检查网点,最直观地从工作环境考察安全管理细节,查看基层各项安全制度的落实情况。在检查过程中发现的问题,现场检查组以事实确认单的形式进行记录,并在现场检查总结会上与被检查机构的人员进行沟通和确认,作为后期整改工作的基础依据。
问题整改
在完成了现场检查工作之后,各检查小组汇总事实确认单,梳理出需要各分行着手整改的问题,针对每个分行签发安全检查整改通知书,要求各分行对症下药完成整改工作,以完善信息系统的安全防护措施。对网络边界问题的整改,完善了网络各区域特别是第三方接入区防火墙、路由器、交换机的安全配置,对经过网络边界的重要信息实施相应保护,提升了抵御外部网络攻击的能力。对主机安全问题的整改,调整了各类软件的安全配置参数,使之遵循最新版本安全配置基线的要求,提升了主机的安全防护能力。对数据安全问题的整改,增强了数据访问的身份认证和访问控制机制,防止非授权使用,保证数据免遭泄露和篡改。同时加强了对备份数据管理,有效保护了数据的高可用性。对检查中发现的其他问题进行整改,促进了在运行维护过程中主动采取更加有效的安全措施,升级管理手段,使安全管理更加全面覆盖到安全保障架构的各个方面。
检查总结
经过一段时间的信息安全检查整改工作,各分行报告了每个问题的整改完成情况。总行依据整改报告评价各项整改措施的有效性,评估信息安全状况和防护水平,促进总行对信息安全管理工作进行持续监管。
持续改进的信息安全检查工作
对运行阶段的系统进行安全检查,能发现信息系统在设计、开发、测试、运行维护环节的安全管理工作中积累的剩余风险,通过风险提示反馈给各环节后,可以促进各环节持续关注安全问题,达到全面提升信息系统全生命周期安全保障能力的目的。信息技术领域新技术不断推陈出新,信息安全的势态也不断演变,这就要求信息安全检查的手段、安全评价指标也要持续改进,力求不断消除安全隐患,提高安全管理水平。总结信息安全检查工作的开展情况,在以后工作中需要在以下方面加以改进:一是围绕安全检查任务,逐渐丰富安全检查工具,尽量使用自动化工具来开展安全检查,提高检查效率,减少对系统运行的影响。二是坚持开展培训,使安全检查人员掌握更多的信息安全技术,提高安全检查技能,满足排查安全问题和薄弱环节的需要。三是在建立信息安全检查指标体系时应从重技术指标过渡到管理与技术指标并重,不断完善与制度、人、流程相关的安全检查项,充分保障信息安全。四是不断修订安全检查指标体系,逐步形成日常化、制度化的安全检查制度,提高安全检查的有效性。
作者:李文凯
