【文章內(nèi)容簡(jiǎn)介】 建的整體解決方案；安全應(yīng)用則是基于用戶(hù)的實(shí)際應(yīng)用系統(tǒng)和業(yè)務(wù)系統(tǒng)的安全需要，將我們的安全方案進(jìn)行定制和二次開(kāi)發(fā)，以滿(mǎn)足用戶(hù)對(duì)業(yè)務(wù)系統(tǒng)和安全系統(tǒng)更高程度的整合需求；安全服務(wù)則是參照國(guó)際和國(guó)內(nèi)信息安全管理和工程標(biāo)準(zhǔn)，并結(jié)合冠群金辰公司的服務(wù)經(jīng)驗(yàn)積累提供的評(píng)估、設(shè)計(jì)、實(shí)施、管理、教育等一系列服務(wù)項(xiàng)目，以幫助用戶(hù)在日趨嚴(yán)峻的安全環(huán)境中保持業(yè)務(wù)的順利運(yùn)行。經(jīng)過(guò)對(duì)信息安全趨勢(shì)的分析，我們認(rèn)為在當(dāng)前新的安全漏洞發(fā)現(xiàn)頻率日益加快、安全攻擊事件大幅度增加的狀況下，局限于傳統(tǒng)的被動(dòng)（Reactive）防范策略是非常危險(xiǎn)的。我們按照風(fēng)險(xiǎn)管理的思路，提出了主動(dòng)（Proactive）防御策略，強(qiáng)調(diào)利用先進(jìn)的技術(shù)、產(chǎn)品，配合以有效的管理方法和運(yùn)維模式，避免入侵行為造成損害，并且有效防御新的安全漏洞造成的風(fēng)險(xiǎn)。脆弱性三維圖可以幫助客戶(hù)識(shí)別風(fēng)險(xiǎn)狀況，選擇采用適當(dāng)有效的風(fēng)險(xiǎn)控制方法，達(dá)到成本和效益之間的平衡。冠群金辰公司倡導(dǎo)采用以主動(dòng)防御為基礎(chǔ)的縱深防御體系來(lái)進(jìn)行銀行安全保障體系的建立。第一：在整個(gè)受保護(hù)網(wǎng)絡(luò)環(huán)境中的每一個(gè)環(huán)節(jié)上減少可能會(huì)被入侵者利用的突出的脆弱點(diǎn)；第二：對(duì)于關(guān)鍵的資源，使用多重防御策略來(lái)管理風(fēng)險(xiǎn)，以便在一層防御不夠時(shí)，在理想情況下，另一層防御將會(huì)削弱對(duì)被保護(hù)資源的破壞。銀行信息安全問(wèn)題不僅僅是技術(shù)上的問(wèn)題，同樣重要的是管理問(wèn)題。2003年4月底正式掛牌的中國(guó)銀監(jiān)會(huì)5月份以第二號(hào)公告的形式，就巴塞爾新資本協(xié)議公開(kāi)征求中國(guó)銀行業(yè)界意見(jiàn)。新巴塞爾協(xié)議的實(shí)施勢(shì)必大大提升銀行業(yè)的整體業(yè)務(wù)風(fēng)險(xiǎn)管理水平。同樣，在銀行的信息安全領(lǐng)域也需要一種成熟的風(fēng)險(xiǎn)管理思路。這種風(fēng)險(xiǎn)管理的思想要貫穿在銀行的每一個(gè)業(yè)務(wù)系統(tǒng)的生命周期階段。對(duì)于每一個(gè)銀行業(yè)務(wù)系統(tǒng)，比如柜臺(tái)業(yè)務(wù)、資金清算等隨著時(shí)間的發(fā)展都可以分為不同的階段。按照NIST風(fēng)險(xiǎn)管理指南，這些階段可以劃分為系統(tǒng)規(guī)劃階段、系統(tǒng)開(kāi)發(fā)階段、系統(tǒng)實(shí)施階段、系統(tǒng)運(yùn)行階段和系統(tǒng)廢止階段。根據(jù)銀行業(yè)務(wù)系統(tǒng)各自的特點(diǎn)，其各階段的具體內(nèi)容會(huì)有所不同，但基本周期保持不變。所以與之相對(duì)應(yīng)就產(chǎn)生了所謂系統(tǒng)安全的生命周期，即是將安全生命周期模型整合到系統(tǒng)生命周期模型上，一方面在系統(tǒng)生命周期各階段提取安全需求，另一方面將安全生命周期的過(guò)程應(yīng)用在系統(tǒng)生命周期各階段，即在系統(tǒng)各階段遵循安全的過(guò)程性開(kāi)展相應(yīng)安全工作。不同系統(tǒng)，各階段的安全需求不同，安全工作展開(kāi)的順序也會(huì)有所不同。但是，它們的共同點(diǎn)就是需要同時(shí)從技術(shù)和管理兩個(gè)方面著手進(jìn)行風(fēng)險(xiǎn)管理，同時(shí)這兩個(gè)方面不是孤立實(shí)施的，而是有機(jī)結(jié)合的。冠群金辰公司的銀行業(yè)信息安全風(fēng)險(xiǎn)管理方案主要分為下面幾個(gè)部分：第一，參照相關(guān)法律法規(guī)、金融行業(yè)相關(guān)規(guī)定、國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)等，為用戶(hù)建立一套信息安全管理系統(tǒng)和業(yè)務(wù)持續(xù)性策略；第二，根據(jù)業(yè)務(wù)系統(tǒng)的需要，進(jìn)行安全技術(shù)層面的實(shí)施，其中包括對(duì)銀行現(xiàn)有設(shè)備和系統(tǒng)的加固、自有安全產(chǎn)品配置和實(shí)施、第三方安全產(chǎn)品配置和實(shí)施以及根據(jù)實(shí)際需求進(jìn)行的專(zhuān)有安全系統(tǒng)開(kāi)發(fā)和實(shí)施等。第三，提供需求分析、風(fēng)險(xiǎn)評(píng)估、安全審計(jì)、緊急響應(yīng)等覆蓋全系統(tǒng)生命周期的安全服務(wù)。冠群金辰公司擁有一支持有CCIE、CISSP、BS7799 LA、CISP、SCSA等國(guó)際國(guó)內(nèi)認(rèn)證的專(zhuān)業(yè)安全服務(wù)隊(duì)伍和專(zhuān)職的銀行業(yè)務(wù)顧問(wèn)小組，提供基于整體和業(yè)務(wù)的安全服務(wù)。由于銀行系統(tǒng)業(yè)務(wù)種類(lèi)眾多，信息系統(tǒng)也千差萬(wàn)別，不同銀行業(yè)務(wù)信息系統(tǒng)對(duì)機(jī)密性、完整性、可用性、可控性與可審查性也具有不同的要求，所以不可能采用一個(gè)相同的模式進(jìn)行所有銀行系統(tǒng)安全體系的設(shè)計(jì)。這里僅僅根據(jù)中國(guó)人民銀行2001年發(fā)布的《銀行信息系統(tǒng)安全技術(shù)規(guī)范》和中國(guó)人民銀行2002年發(fā)布的關(guān)于加強(qiáng)銀行數(shù)據(jù)集中安全工作的指導(dǎo)意見(jiàn)的260號(hào)文件，對(duì)于構(gòu)成銀行信息系統(tǒng)的幾個(gè)關(guān)鍵層次進(jìn)行示例分析，主要從技術(shù)角度對(duì)冠群金辰的解決方案進(jìn)行簡(jiǎn)單介紹。 物理安全主要是按照國(guó)家標(biāo)準(zhǔn)GB501739GB28878GB931688等加強(qiáng)場(chǎng)地設(shè)防。計(jì)算機(jī)設(shè)備實(shí)體安全類(lèi)中，首先要求場(chǎng)地環(huán)境條件的控制，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的中心機(jī)房及其延伸點(diǎn)，要堅(jiān)決搞好基本環(huán)境建設(shè)，要有完整的防雷電設(shè)施，且有嚴(yán)格的防電磁干擾設(shè)施，機(jī)房?jī)?nèi)要搞好防水防火的預(yù)防工作，對(duì)主機(jī)房電源要有完整的雙回路備份機(jī)制。尤其是銀行主機(jī)機(jī)房的物理安全保障措施一定要到位。同城異地備份甚至不同城市之間的災(zāi)備中心都是需要考慮的。另外，信息處理設(shè)備安全、媒體介質(zhì)存放安全也是需要重點(diǎn)考慮的內(nèi)容。 網(wǎng)絡(luò)互連的隔離和網(wǎng)關(guān)病毒過(guò)濾隨著銀行業(yè)務(wù)的發(fā)展，業(yè)務(wù)主機(jī)不可避免地需要和外部系統(tǒng)互聯(lián)。比如為了實(shí)現(xiàn)跨系統(tǒng)銀行間資金匯劃的電子聯(lián)行系統(tǒng)采用的天地對(duì)接基本上建立在電信局的公共通信網(wǎng)上，開(kāi)放的網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)協(xié)議為系統(tǒng)互聯(lián)提供了方便，但同時(shí)也降低了系統(tǒng)的安全性。正在蓬勃興起的銀行中間業(yè)務(wù)的發(fā)展更是促進(jìn)了不同行業(yè)之間的網(wǎng)絡(luò)連通。有網(wǎng)絡(luò)的連接是造成安全風(fēng)險(xiǎn)的重要源頭，一定需要對(duì)不同安全級(jí)別的網(wǎng)絡(luò)之間進(jìn)行安全隔離。除了物理隔離外，邏輯隔離按照通訊方式有幾種級(jí)別：雙方網(wǎng)絡(luò)互有通訊、單向通訊、按需通訊等。按照安全級(jí)別的要求可分為簡(jiǎn)單包過(guò)濾、狀態(tài)包過(guò)濾、應(yīng)用層代理、專(zhuān)有協(xié)議隔離等。冠群金辰公司的軒轅防火墻是集防火墻、VPN、流量管理等功能于一體的網(wǎng)絡(luò)安全設(shè)備。它能通過(guò)Web瀏覽器或CLI及中央管理臺(tái)集中管理，并且支持透明模式。軒轅防火墻產(chǎn)品能夠滿(mǎn)足銀行系統(tǒng)中大部分的網(wǎng)絡(luò)邏輯隔離要求。冠群金辰公司的赤霄KILL過(guò)濾網(wǎng)關(guān)是一個(gè)專(zhuān)用硬件設(shè)備，用于在銀行網(wǎng)絡(luò)之間過(guò)濾病毒。它能夠高效率地過(guò)濾包含在HTTP、FTP以及SMTP 協(xié)議中的計(jì)算機(jī)病毒，實(shí)現(xiàn)病毒的網(wǎng)絡(luò)隔離，避免病毒在網(wǎng)絡(luò)之間的擴(kuò)散。該產(chǎn)品具有豐富和功能和優(yōu)異的性能，在2002年一舉獲得了中國(guó)大IT媒體：《中國(guó)計(jì)算機(jī)報(bào)》和《計(jì)算機(jī)世界報(bào)》的編輯選擇獎(jiǎng)和產(chǎn)品獎(jiǎng)，并在另一大專(zhuān)業(yè)媒體《網(wǎng)絡(luò)世界》2003年5月12日發(fā)布的產(chǎn)品購(gòu)買(mǎi)指南中得到高度評(píng)價(jià)，被稱(chēng)為 “防病毒網(wǎng)關(guān)的佼佼者”，更于今年7月份又獲得“網(wǎng)管員最信賴(lài)的防病毒產(chǎn)品”獎(jiǎng)項(xiàng)。通過(guò)在銀行內(nèi)部、銀行和第三方網(wǎng)絡(luò)等網(wǎng)關(guān)處部署該產(chǎn)品，可以杜絕病毒最主要的傳播途徑，給被保護(hù)網(wǎng)絡(luò)營(yíng)造一個(gè)安全的計(jì)算環(huán)境。 數(shù)據(jù)傳輸加密當(dāng)需要在非銀行控制的公網(wǎng)上傳輸機(jī)密信息時(shí)，必須采用有效的措施對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理。冠群金辰公司的軒轅防火墻內(nèi)置了基于 IPSEC協(xié)議的VPN功能，能夠方便地在網(wǎng)絡(luò)邊界處實(shí)現(xiàn)數(shù)據(jù)的加密傳輸，方便了銀行不同分支部門(mén)之間的安全通信和遠(yuǎn)程辦公。對(duì)于已經(jīng)設(shè)置沒(méi)有VPN功能的防火墻的網(wǎng)絡(luò)，冠群金辰公司的軟件VPN產(chǎn)品能夠方便地部署在網(wǎng)絡(luò)中的任意一臺(tái)計(jì)算機(jī)上，實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)部的加密通信和遠(yuǎn)程安全訪問(wèn)。 網(wǎng)絡(luò)入侵行為和蠕蟲(chóng)病毒的傳播監(jiān)控網(wǎng)絡(luò)攻擊的表現(xiàn)形式主要有兩種：第一，人為入侵（包括內(nèi)部和外部）；第二，蠕蟲(chóng)和病毒的網(wǎng)絡(luò)滲透和傳播。而且，目前這兩種形式有逐漸趨于統(tǒng)一的趨勢(shì)。對(duì)于這兩種行為我們都要進(jìn)行嚴(yán)格監(jiān)控，并且需要統(tǒng)一在一個(gè)平臺(tái)下進(jìn)行關(guān)聯(lián)監(jiān)控，以更好的起到安全檢測(cè)的目的。冠群金辰提供的干將/莫邪系列入侵檢測(cè)系統(tǒng)能夠在從百兆到千兆的網(wǎng)絡(luò)中提供實(shí)時(shí)的入侵檢測(cè)和病毒傳播統(tǒng)一監(jiān)控，也是唯一能夠?qū)崿F(xiàn)在同一個(gè)平臺(tái)下進(jìn)行入侵行為和蠕蟲(chóng)病毒傳播的監(jiān)控的安全系統(tǒng)。這樣在銀行網(wǎng)絡(luò)中發(fā)生入侵行為或蠕蟲(chóng)傳播時(shí)，管理員能夠很快定位網(wǎng)絡(luò)和系統(tǒng)問(wèn)題所在，減少故障時(shí)間，降低損失。尤其是在結(jié)構(gòu)復(fù)雜的網(wǎng)絡(luò)中，利用干將/莫邪系列入侵檢測(cè)系統(tǒng)提供的監(jiān)控功能，管理員可以迅速定位被感染的服務(wù)器，控制傳染源。 安全級(jí)別提升和分散授權(quán)原則在操作系統(tǒng)級(jí)的實(shí)施操作系統(tǒng)的安全是銀行信息系統(tǒng)安全的重要方面。為了更加有效地避免金融犯罪，杜絕銀行內(nèi)部人員作案