金融业信息系统安全现状

(一)现状：

中国金融业信息化建设本身已完成金融电子化阶段、金融数据集中化阶段、金融信息系统业务综合化阶段三个阶段的发展规划工作。

与此同时，金融业对信息技术的依赖程度越来越大，金融业信息安全保障难度持续加大，给我国金融业信息安全带来新的更大的挑战。如何应对，要求我们必须高度重视。

1.安全

2.威胁

金融业信息安全工作正面临比以往更严峻的形势，围绕信息网络空间的斗争日趋尖锐，境内络违法犯罪活动呈快速递增趋势，恶意代码和网络攻击呈多样化局面，金融业信息系统安全运行的难度加大，挑战增多。

一是人民银行的业务指导、监督管理滞后于金融业信息化发展。 

与金融业信息化的高速发展相比，金融业信息安全的指导、监管工作还需要进一步加强。国内曾有专家明确提出，在金融信息化、网络化时代，“信息资产风险监管是现代金融监管体系的核心理念。”信息资产风险指在信息化中，信息资产的规划、设计、开发、生成、存在、运用、服务、管理、维护、监管以及其他相关过程中产生的信用、市场、操作与业务风险。人民银行在金融信息规划、信息标准、信息安全等诸多方面承担着重要职责，在2008奥运年中发挥了重要、积极的作用。但总体来看，人民银行及其分支行对金融机构信息安全工作的指导和监管，还处于初级阶段，由于人民银行分支机构对各金融机构信息安全缺乏指导、缺乏统一的监管目标、缺乏完整的认识，以及缺乏监督管理的依据和标准，从而导致监管措施不到位，监管手段缺失，致使基层行监管缺乏主动性。 

二是核心设备和技术依赖于国外，底层技术难以掌握，存在安全隐患。 

目前，我国金融业信息系统和网络中，大量使用国外厂商生产的设备，这些设备使用的操作系统、数据库、芯片也大多数是由国外厂商生产。外方不可能提供设备的核心技术和专利，我方很难判断设备是否存在“后门”、“软件陷阱”、“系统漏洞”、“软件”等安全漏洞。据调查，一些重要网络系统中使用的信息技术产品，都不可避免地存在一定的安全漏洞。这些漏洞可能是开发过程中有意预留，也可能是无意疏忽造成的。特殊情况下，特定安全漏洞可能被利用实施人侵，修改或破坏设备程序，或从设备中窃取机密数据和信息。前一阶段国外炒作的IC卡安全问题以及近年来出现的微软“黑屏事件”，已经为我们敲响了警钟。 

三是境内络违法犯罪活动呈快速递增趋势，新技术的应用使我们面临更大的挑战。 

金融业信息网络和重要信息系统正成为敌对势力、不法分子进行攻击、破坏和恐怖活动的重点目标。金融业信息系统已经遭受到多次攻击，整体信息安全形势严峻。2009年国防科技大学的一项研究表明，我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵人，其中银行、金融和证券机构是攻击重点。 

2005年6月18日，被称为有史以来最严重的信息安全案件在美国爆发，万事达、VISA和美国运通公司的主要服务商的数据处理中心网络被黑客程序侵人，导致4000万个账户信息被黑客截获，使客户资金处于十分危险的状态。 

由此可见，基于开放性网络的金融服务对我国金融信息安全工作提出严峻的挑战。 

四是数据大集中的同时，也使技术风险相对集中。 

伴随着数据大集中的实现，风险也相对集中.一旦数据中心发生灾难，将导致金融业的所有分支机构、营业网点和全部的业务处理停顿，或造成客户重要数据的丢失，其后果不堪设想。 

近年来，国内外金融机构因为信息技术系统故障导致大面积、较长时问业务中断的事件时有发生。2006年，日本花旗银行出现交易系统故障，5天内约27．5万笔公用事业缴费遭重复扣划或交易后未作月结记录，造成该行的重大声誉损失。 

信息系统潜在的风险已引起金融业的高度重视，如何保障后数据大集中时代金融业信息系统安全稳定运行，是需要整个金融业深入研究的课题。 

银行业目前存在的安全隐患

●信息传递的安全隐患：

网络硬件的安全缺陷：如可靠性差、电磁辐射、电磁泄漏等。

通信链路的安全缺陷：如电磁辐射、电磁泄露、搭线、串音等。

技术被动引起的网络安全缺陷：计算机的核心芯片多依赖于进口。不少关键网络设备也依赖于进口。

缺乏系统的安全标准引起的安全缺陷：中国虽然已经有了一些网络安全标准，但还是很不完善。

●业务系统的安全隐患：

据ICSA统计，来自计算机系统内部的安全威胁高达60%。

非法用户进入系统及合法用户对系统资源的非法使用。

被非法用户截获敏感数据。

非法用户对业务数据进行恶意的修改或插入。

数据发送方在发出数据后加以否认或接收方在收到数据后篡改数据。

在不可信的计算机基础上建立可信点。

3.安全体系

中国人民银行发布《金融行业信息系统信息安全等级保护实施指引》等三项行业标准

为落实国家对金融行业信息系统信息安全等级保护相关工作要求，加强金融行业信息安全管理和技术风险防范，保障金融行业信息系统信息安全等级保护建设、测评、整改工作顺利开展，中国人民银行组织编制了金融行业信息系统信息安全等级保护系列标准（以下简称“金融行业等保标准”）。金融行业等保标准包含《金融行业信息系统信息安全等级保护实施指引》（以下简称“《实施指引》”）、《金融行业信息系统信息安全等级保护测评指南》（以下简称“《测评指南》”）、《金融行业信息安全等级保护测评服务安全指引》（以下简称“《安全指引》”）三项标准。

《实施指引》依据国家《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》标准，结合金融行业特点以及信息系统安全建设需要，对金融行业的信息安全体系架构采用分区分域设计, 并从安全技术、安全管理两个方面详细阐述了对不同等级信息系统的具体要求。安全技术从物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复几个方面提出要求；安全管理从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出要求。

《测评指南》是对《实施指引》中的测评要求提出了具体可操作的测评方法。包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。

《安全指引》总结了金融行业应用系统多年的安全需求和业务特点，并参考国际、国内相关信息安全标准及行业标准，明确等级保护测评服务机构安全、人员安全、过程安全、测评对象安全、工具安全等方面的基本要求。

金融行业等保标准为首次发布，将国家等级保护要求行业化、具体化，为金融行业重要网络和信息系统健康、良好发展奠定了基础。(完）

金融行业信息系统信息安全等级保护测评指南JR/T0072-2012

http://bbs.cncisa.org/read-htm-tid-17486.html 

金融行业信息系统信息安全等级保护实施指引JR/T0071-2012

http://bbs.cncisa.org/read-htm-tid-15451.html 

金融行业信息安全等级保护测评服务安全指引JR/T0073-2012

http://bbs.cncisa.org/read-htm-tid-19169.html

信息传递的安全解决方案：

对于物理层，主要通过制定物理层面的管理规范和措施来提供安全解决方案

对于网络接口层，主要通过线路加密机对数据加密保护。它对所有用户数一起加密，加密后的数据通过通信线路送到另一节点后解密。

对于网际层，主要通过IP密码机来保证网络层数据传输的安全性。

对于传输层，主要通过SSL协议和VPN技术来保证传输层安全。

对于应用层，可以采用节点式密码机来保证应用数据的保密性。

4.算法

目前采用国际算法：DES、IDEA、RSA、MD5、SHA-1

准备迁移的国家商用密码：SM1（芯片实现）、SM2、SM3、SM4

(二)运作思路

1.终极目标

安全芯片供应商

2.途径

从金融业国密迁移咨询入手，介入银行信息系统安全建设；

以与相关部门联合，成为联合体的方式，在人行挂号，在业内树立权威；

二、民生项目方案细化

金融行业轻松建立整体信息安全体系

2010-09-03 11:08出处：安全在线作者：佚名【我要评论4】 [导读]　　伴随着金融服务多样化和金融业务规模不断扩大，尤其是金融行业网络结构和网络应用日趋复杂，其中所蕴含的信息安全风险也日益暴露出来。

　　金融行业信息安全面临极大风险

　　伴随着金融服务多样化和金融业务规模不断扩大，尤其是金融行业网络结构和网络应用日趋复杂，其中所蕴含的信息安全风险也日益暴露出来。包括边界安全风险、内网安全风险、应用安全风险和管理安全风险在内的四类信息安全风险严重威胁着金融行业的网络系统架构。其中，由于金融类企业网络结构复杂且多样化，导致在广域网、互联网、企业网内部、第三方接入网边界所受到的黑客攻击、信息传输、病毒入侵、垃圾邮件、越权访问等边界安全风险不可避免。

　　同时，由于金融类企业具有数据量庞大，业务种类繁杂，通过非法手段可轻易获得高额利益等特点，随着主机系统漏洞、服务配置不当、桌面系统漏洞、内部用户错误操作、合法用户恶意破坏而发生的内网安全风险亦时时威胁着金融类企业网络体系。此外，面对Web服务器安全、文件服务器安全、业务系统安全等应用安全风险也时时考验着金融类企业网络安全防范措施的功效。

　　金融行业网络系统的诸多安全风险中，病毒的威胁占据举足轻重的地位。经过对金融业业务现状和网络架构体系等页面的综合分析，瑞星公司认为：金融行业的生产网、办公网下级级联对网关病毒防护和网络监控部署不完善，现有防病毒体系过于老旧，无法满足现代病毒防护要求，缺乏整体的桌面、主机安全策略，不能完全解决当下的病毒问题。网络安全的压力还来自于不完善的账号管理、认证和授权以及审计等方面，金融业不断多样化的业务需求与信息安全之间的矛盾也在日渐深化。

　　以整体安全为目标的瑞星解决方案

　　针对金融行业的三级式网络结构，服务器端与客户端受病毒、木马、蠕虫攻击的特点，以及第三方网络接入口处易产生威胁等网络安全风险，瑞星公司制定了一系列的解决方案。通过瑞星防毒墙、瑞星杀毒软件网络版以及瑞星网络安全预警系统的立体配合为金融机构建立坚实的信息安全保护机制。

　　首先，瑞星将会在金融行业的总部、省分行、市支行三层网关以及与第三方网络接入口处分别部署瑞星防毒墙，对外部的网络病毒和攻击进行防范。瑞星防毒墙在使用中无需在客户端和服务器上进行设置，而是作为于操作系统之外的硬件防毒网关，在企业网络的入口处提供“即插即用”式的保护，将绝大多数病毒悄然挡在企业局域网外面。瑞星防毒墙以瑞星公司先进的第八代虚拟机脱壳引擎和70万的庞大病毒库为基础，能够快速有效地阻断多种网络蠕虫病毒的渗透，维护带宽的正常使用，针对感染病毒的文件进行修复，并删除或隔离无法修复的部分。通过病毒响应机制达到迅速抑制病毒在企业网络中的传播，并通过日志管理功能记录进出网络的数据包，为网络安全问题的查询提供依据。

　　其次，在金融行业机构全网内部署瑞星杀毒软件网络版，全面监控内部网络的信息安全情况，以求消除网络内及客户端存在的病毒，确保客户端防毒系统的运行及升级正常，并且能够向网络管理员提供指导性的操作建议，帮助他们及时掌握网络中的总体安全情况并针对金融行业特点对防毒策略进行调整。同时，金融类企业的客户段具有分布面积广，端点数量多的特点，瑞星杀毒软件网络版可以帮助网络管理员对这些客户端的查杀病毒、实时监控、主动防御、自我保护、扫描漏洞、安装补丁、即时升级和发送消息等方面进行远程控制。瑞星网络版杀毒软件还具备分组管理的功能，让管理员可以在控制台上按照需要，进行有针对性的特别管理、查杀病毒、设置统一防毒策略、锁定关键选项以防止客户端的修改。由于金融类企业具有严格的层级结构，瑞星所具备的智能升级策略通过下属层从上一层进行升级、分开升级周期、时间，并且允许用户根据自身业务要求调整升级时间，在保证及时升级的同时，能够减少对正常的金融业务通讯造成的影响。

　　瑞星网络版杀毒软件在金融行业三层的每层核心交换机处架设瑞星网络安全预警系统，借助该系统的快速上报和响应能力、先进的信息交流、指挥功能以及强大的预案和数据库来处理突发事件。根据过往相关项目试验经验所提炼出的整套突发安全事件应急预警与指挥系统解决方案能够帮助金融机构改善安全效果。

　　瑞星网络版杀毒软件为金融行业信息安全制定的整体解决方案建立于对金融行业信息安全风险深入分析和理解的基础之上，其充分模块化的安全组合、多重防护的安全体系、软硬件间的相互联动以及集中统一的管理与监控，都将极大的提升金融行业企业内部网络的安全系数。

原文出自【比特网】，转载请保留原文链接：http://sec.chinabyte.com/52/11519052.shtml