银行信息安全建设方案.doc

银行建设方案目录1、 前言1.1 项目背景随着银行业务规模的不断扩大和信息化程度的不断提高，信息系统面临的安全风险越来越复杂，对信息安全保障工作也提出了更高的要求。信息安全保障是金融电子化的关键环节，处理得不好，将严重制约银行信息化建设的步伐，影响银行业务的正常发展，甚至可能影响国家金融体系的稳定。银行领导充分认识到了信息安全保障在银行信息化发展中的重要作用，决定投入资源进行网络和信息系统安全改造，帮助有效防范和化解安全风险，确保银行信息系统平稳运行和业务持续开展。对信息系统分级实行保护是国际上通行的做法，我国也已经把信息安全等级保护作为国家信息安全保障工作的一项基本制度。银行信息系统作为关系国计民生的重要信息系统之一，也应当依据国家等级保护制度的相关要求和规范进行安全建设。因此银行有必要结合自身发展要求和业务应用特点，建立一套符合实际的按等级保护标准进行保护的信息安全保障体系。1.2 安全目标信息安全体系建设的目标是在国家和行业相关安全政策和标准的指导下，结合信息系统自身的安全风险防范需求，通过信息安全保障总体规划、信息安全管理体系建设、信息安全技术策略设计以及信息安全产品集成实施等，全面提升信息系统的安全性，能面对目前和未来一段时期内的安全威胁，实现对全网安全状况的统一管理，更好地保障信息系统的正常运行，全面提升信息系统的安全保护水平，并达到国家信息安全等级保护相关标准的要求。1.3 设计依据基于银行业务的特殊性，其信息安全保障体系的建设，除了要满足系统安全可靠运行的需求，还必须符合国家和行业相关政策和要求。我们国家对信息安全保障工作非常重视，国家相关部门陆续出台了相应的文件和要求，人行和银监会也在银行业信息安全建设方面提出了若干指导意见，因此本项目的建设应当遵从国务院、公安部、人民银行、银监会等相关机构的要求，参考国际、国内、行业信息安全标准和规范，对信息安全保障体系进行全面、深入的规划和设计，确保银行信息系统安全保障体系建设的先进性和规范化。银行信息安全建设中需遵从的行业安全政策和规范包括： 金融机构计算机信息系统安全保护工作暂行规定（公安部、中国人民中国人民银行1998年8月31日发布） 中国人民银行关于加强银行数据集中安全工作的指导意见（银发2002260号） 商业银行信息科技风险管理指引（银监会2009年发布） 商业银行数据中心监管指引银监办发2010114号 中国金融业信息化“十二五”发展规划银发2011219号 金融行业信息系统信息安全等级保护实施指引JRT0071-2012 网上银行系统信息安全通用规范JRT 0068-2012银行信息安全建设中需遵从的国家安全政策和规范包括： 中华人民共和国计算机信息系统安全保护条例国务院147号令 国家信息化领导小组关于加强信息安全保障工作的意见中办发200327号 关于信息安全等级保护工作的实施意见公通字200466号 信息安全等级保护管理办法公通字200743号 关于开展信息安全等级保护安全建设整改工作的指导意见公信安20091429号及附件2信息安全等级保护安全建设整改工作指南 计算机信息系统安全保护等级划分准则GB 17859-1999 信息安全技术 信息系统安全等级保护定级指南GB/T 22240-2008 信息安全技术 信息系统安全等级保护基本要求GB/T 22239-2008 信息安全技术 信息系统安全等级保护实施指南GB/T 25058-2010 信息安全技术 信息系统等级保护安全设计技术要求GB/T 25070-2010 银行信息安全建设中可参考的其他国内外安全标准包括： GB/T 18336（idt ISO/IEC 15408（CC）信息技术 安全技术 信息技术安全性评估准则 GB/T 22080-2008（idt ISO/IEC 27001:2005）信息技术 安全技术 信息安全管理体系要求 GB/T 22081-2008（idt ISO/IEC 27002:2005）信息技术 安全技术 信息安全管理实用准则 ISO/IEC 13335信息技术 安全技术 信息技术安全管理指南 IATF信息保障技术框架1.4 设计原则银行信息安全保障体系的建设需要充分考虑长远发展需求，统一规划、统一布局、统一设计、规范标准，并根据实际需要及投资金额，突出重点、分步实施，保证系统建设的完整性和投资的有效性。在方案设计和项目建设中应当遵循以下的原则：统一规划、分步实施原则在信息安全保障技术体系的建设过程中，将首先从一个完整的网络系统体系结构出发，全方位、多层次的综合考虑信息网络的各种实体和各个环节，运用信息系统工程的观点和方法论进行统一的、整体性的设计，将有限的资源集中解决最紧迫问题，为后继的安全实施提供基础保障，通过逐步实施，来达到信息网络系统的安全强化。从解决主要的问题入手，伴随信息系统应用的开展，逐步提高和完善信息系统的建设，充分利用现有资源进行合理整合的原则。标准性和规范化原则信息安全保护体系建设应当严格遵循国家和行业有关法律法规和技术规范的要求，从业务、技术、运行管理等方面对项目的整体建设和实施进行设计，充分体现标准化和规范化。重点保护原则根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统；本方案在设计中将重点保护某商业银行总行网络信息系统，防范来自内、外网络的安全威胁。 适度安全原则任何信息系统都不能做到绝对的安全，在安全规划过程中，要在安全需求、安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。适度安全也是等级保护建设的初衷，因此在进行等级保护设计的过程中，一方面要严格遵循基本要求，从网络、主机、应用、数据等层面加强防护措施，保障信息系统的机密性、完整性和可用性，另外也要综合成本的角度，针对信息系统的实际风险，提出对应的保护强度，并按照保护强度进行安全防护系统的设计和建设，从而有效控制成本。技术管理并重原则信息安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的，仅仅通过部署安全产品很难完全覆盖所有的信息安全问题，因此必须要把技术措施和管理措施结合起来，更有效的保障信息系统的整体安全性。先进形和成熟性原则所建设的安全体系应当在设计理念、技术体系、产品选型等方面实现先进性和成熟性的统一。本方案设计采用国际、国内先进实用的安全技术和安全产品，选择目前和未来一定时期内有代表性和先进性的成熟的安全技术，既保证当前系统的高安全可靠，又满足系统在很长生命周期内有持续的可维护和可扩展性。动态调整原则信息安全问题不是静态的。信息系统安全保障体系的设计和建设，必须遵循动态性原则。必须适应不断发展的信息技术和不断改变的脆弱性，必须能够及时地、不断地改进和完善系统的安全保障措施。经济性原则项目设计和建设过程中，将充分利用现有资源，在可用性的前提条件下充分保证系统建设的经济性，提高投资效率，避免重复建设。二、信息系统描述2.1 网络拓扑结构2.2 系统边界2.3 业务应用三、需求分析需求的主要依据是合规性差距分析和安全风险评估，我们将通过分析判断目前所采取的安全技术措施与金融行业等级保护标准要求及其他相关安全规范要求之间的差距，结合银行信息系统自身的安全风险防范需求，形成最终的安全建设需求。3.1 金融行业信息安全等级保护合规性3.1.1 安全等级保护根据信息安全等级保护管理办法和信息系统安全等级保护定级指南，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。人民银行于2007年10月组织银行业的定级评审会，明确了全国性商业银行的核心业务信息系统或综合业务信息系统应当定为四级，其网上银行系统、跨省骨干网络、重要支撑设施、在线服务的重要信息系统、重要管理信息系统等应定为三级；政策性银行中的和核心业务信息系统或综合业务信息系统、跨省骨干网络、重要管理信息系统等应定为三级；中国银联的银行卡信息交换系统应定为四级，跨省骨干网络应定为三级。其他信息系统可以定为二级。某商业银行按照公安部和人行的要求对信息系统进行了大致的定级，其核心业务系统暂定为三级，其他系统暂定为二级。不同安全保护等级的信息系统有着不同的安全需求，在国标信息系统安全等级保护基本要求中针对不同等级的信息系统提出了相应的基本安全保护要求，分为基本技术要求和基本管理要求两大类。由于金融行业存具有很强的行业特殊性，其安全等级保护工作的实施需要有适合行业特点的标准体系进行规范和指导。为此，人民银行根据国家信息安全等级保护制度和标准，组织制定了符合金融行业特点的、切实可行的信息安全等级保护行业标准和实施指南金融行业信息系统信息安全等级保护实施指引，本方案将以此标准为基本参照，进行等级保护合规需求分析。3.1.2 技术类安全需求下面我们将主要参考金融行业信息系统信息安全等级保护实施指引中的第三级技术要求，分析某商业银行信息系统等级保护的基本技术需求。 物理安全 本方案不涉及。 网络安全为保证安全一致性，防止局部安全短板造成全局安全事故，建议对银行信息系统网络安全层面整体上按照等保三级要求进行防护。结构安全应按照业务类型、重要程度等对网络进行安全域划分，对重要的安全域边界需采取防火墙或UTM安全网关进行可靠的网络隔离。重点做到生产网、互联网、办公网之间的有效隔离，以及服务器与终端之间的有效隔离。对重要区域的边界网络设备、安全设备采取双机的部署模式，或采用具有软硬件bypass功能的产品。在路由器上启用QoS功能或在防火墙、UTM上启用带宽管理功能，按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保证重要主机的通信带宽。访问控制在银行网络的各对外互联边界部署防火墙或UTM设备，结合身份认证功能和访问控制策略，限制单个用户对特定主机和应用端口的访问。通过防火墙或UTM设备对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制，并限制网络最大流量数及网络连接数。重要网段应采取IP/MAC绑定或其他可靠技术手段防止地址欺骗。如果存在拨号访问，需选择L2TP、SSL VPN等技术确保安全加密访问，并由设备进行拨号用户数的限制。安全审计要开启网络设备的日志功能，对与网络设备运行、网络流量、用户行为等相关的事件进行日志记录，审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；对使用网管系统对网络设备的运行状况、网络流量进行记录；可使用网络审计设备对用户的网络访问行为进行记录；并使用专门的日志收集和分析系统对各网络设备的日志记录进行统一收集、存储，保护审计记录不被非法删除、修改或覆盖等，并能够根据记录数据进行分析，生成审计报表。边界完整性检查要部署具有非法外联监控功能的终端安全管理系统，可以对内部网络用户未通过准许私自联到外部网络的行为（例如modem拨号、ADSL拨号、私联网线和私设IP等行为）进行检查，并阻断其行为；要部署具有非法接入监控和网络准入控制功能的终端安全管理系统，对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断。入侵防范要在内外网络互联边界、重要服务器区域边界部署UTM、入侵防御或入侵检测等设备，对进出边界的网络数据流进行端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等的检测。在检测到攻击行为时，应记录攻击源IP、攻击类型、攻击目的、攻击时间等事件信息，在发生严重入侵事件时应提供报警。恶意代码防范要在与外单位和互联网连接的网络边界部署具有恶意代码检测和过滤功能的网关设备如UTM、入侵防御、防病毒网关等，对恶意代码进行检测和清除，并提供代码库的升级和检测引擎的更新功能。网络设备防护要部署数字证书或第三方身份认证系统对网络管理员进行身份鉴别，身份鉴别信息应不易被冒用。需要对远程身份认证过程提供加密保护；要定期对网络设备进行安全检查和风险评估，对存在安全隐患的网络设备及时进行加固。 主机安全身份鉴别二级需求：需要对远程身份认证过程提供加密保护，例如使用SSL加密或者VPN系统，防止鉴别信息在网络传输过程中被窃听。三级需求：在二级需求基础上，还需要部署双因素身份认证系统对操作系统和数据库系统的管理员进行身份鉴别，身份鉴别信息应不易被冒用。访问控制二级需求：需要检查主机系统的访问控制相关设置，对不符合安全要求的设置及时进行修订。可结合采用漏洞扫描系统，对主机系统中存在的脆弱性和配置缺陷进行检查并生成报告，同时提供加固建议，便于系统管理人员及时修复漏洞。三级需求：在二级需求的基础上，还需要针对操作系统管理用户采用集中的访问控制机制如堡垒主机，根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。条件允许时，可在操作系统层面对重要信息资源设置敏感标记，并依据安全策略严格控制用户对有敏感标记重要信息资源的操作。（考虑到实现的难度，非强制要求）安全审计二级需求：需要开启服务器操作系统的日志功能，进行重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件的审计，审计记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等。需设置集中的日志收集和分析系统进行日志记录的统一收集、存储，保护审计记录不被非法删除、修改或覆盖等。对于数据库系统的用户行为审计，无法通过操作系统层面或数据库系统自身实现的，可采用基于网络监听方式的数据库审计系统。三级需求：在二级需求基础上，还需要对于重要客户端操作系统的用户行为、系统重要安全事件进行审计，一般操作系统自身不具备该能力，需要部署具有主机审计能力的终端安全管理系统来实现。此外，要求所采用的各种安全审计系统均能够根据记录数据进行分析，生成审计报表。剩余信息保护三级需求：需采用专用设备，针对操作系统和数据库系统提供剩余信息保护，确保用户鉴别信息、敏感数据资源等所在的存储空间，被释放或再分配给其他使用人员前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。（考虑到实现的难度，非强制要求）入侵防范二级需求： 需要采用漏洞扫描系统，对主机系统中存在的安全脆弱性和配置缺陷进行检查并生成报告，同时提供加固建议，便于系统管理人员及时修复漏洞。应确保服务器、终端操作系统仅安装需要的组件和应用程序，否则不允许上线使用，并通过设置升级服务器、系统软件预防性维护服务等方式保持系统补丁及时得到更新。对于服务器系统可通过人工方式如安全加固服务来实现，对于终端系统可通过部署终端安全管理系统自动实现。三级需求：在二级需求基础上，对于重要服务器，还应采用入侵检测机制，对非法入侵和攻击行为进行检测、记录和告警，并对系统重要程序的完整性进行检测和保护。（考虑到金融系统的重要服务器主机上不宜安装安全软件，以免过多占用系统资源和带来额外的故障隐患，可利用网络层的入侵检测或防御机制进行适当弥补。）恶意代码防范二级需求：需安装网络版恶意代码防范软件（防病毒软件），提供统一管理和升级服务。三级需求：在二级需求基础上，还应做到主机防病毒软件与网络防病毒系统的代码库异构。资源控制二级需求：需要部署具有网络准入控制功能的终端安全管理系统，通过设定终端接入方式、网络地址范围等条件限制终端登录。需要对操作系统进行安全策略设置，实现登录终端的操作超时锁定，以及限定单个用户对系统资源的最大或最小使用限度。三级需求：在二级需求基础上，还需要采用专门的监控管理系统，对重要服务器的运行情况进行实时监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况，并能够对系统的服务水平降低到预先规定的最小值进行检测和报警。 应用安全身份鉴别二级需求：应用系统应提供用户身份认证功能，并提供登录相关安全策略设置。三级需求：在二级需求基础上，还需要部署双因素身份认证系统对应用系统用户进行身份鉴别，身份鉴别信息应不易被冒用。访问控制二级需求：应用软件在开发时应包含专门的访问控制模块，可依据安全策略控制用户对文件、数据库表等的访问。三级需求：在二级需求基础上，应用软件在开发时可以设置信息标记功能，以实现对重要信息资源设置敏感标记，并依据安全策略严格控制用户对有敏感标记重要信息资源的操作。（考虑到实现的难度，非强制要求）安全审计二级需求：需要对应用系统进行用户行为、重要安全事件的审计，审计记录应包括事件的日期、时间、发起者信息、类型、描述和结果等。需采用专门的日志收集和分析系统进行日志记录的统一收集、存储，保护审计记录不被非法删除、修改或覆盖等。三级需求：在二级需求的基础上，还应对记录数据进行统计、查询、分析，生成审计报表。剩余信息保护三级需求：在软件开发时应包含剩余信息保护功能，保证应用系统内用户鉴别信息、敏感数据资源等所在的存储空间，被释放或再分配给其他用户前得到完全清除。应用通信安全二级需求：需采用密码技术保证通信过程中数据的完整性、保密性，可采用专门的IPSEC或SSLVPN网关，或在防火墙、UTM等边界安全设备上扩展或开启VPN功能。 三级要求：在二级需求的基础上，还需结合采用数字签名技术，保证通信双方数据收发行为的抗抵赖性。 软件容错二级需求：在应用系统开发时，需考虑提供输入数据有效性检验功能，及系统发生故障时提供自动保护和修复功能。可采用应用安全评估服务，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。三级需求：同二级需求。资源控制二级需求： 在应用系统开发时，应设置通信双方的超时控制机制以及账户多重并发会话限制功能。可通过区域边界部署的防火墙或UTM设备对特定应用系统的最大并发会话连接数进行限制。三级需求：在二级需求的基础上，还需要在应用开发时就设置资源分配功能，保证对一个访问账户或一个请求进程占用的资源分配最大限额和最小限额；并提供服务优先级设定功能，可根据安全策略设定访问账户或请求进程的优先级，根据优先级分配系统资源。此外还需采用采用专门的监控管理系统，对应用系统的运行情况进行实时监视，并能够对系统的服务水平降低到预先规定的最小值进行检测和报警。 数据安全数据完整性二级需求：需要设置完整性校验机制，检测到鉴别信息和重要业务数据是否在传输过程中完整性受到破坏。 三级需求：需要设置完整性校验机制，检测到系统管理数据、鉴别信息和重要业务数据是否在采集、传输、使用和存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。数据保密性二级需求：应采用加密措施实现鉴别信息的存储保密性。三级需求：需要采用密码技术保证系统管理数据、鉴别信息和重要业务数据在传输过程中的保密性，可采用专门的IPSEC或SSLVPN网关，或在防火墙、UTM等边界安全设备上扩展或开启VPN功能。 应采用加密措施，保证系统管理数据、鉴别信息和重要业务数据在采集、使用和存储过程中的保密性。数据备份和恢复（A）二级需求：需要采用存储备份系统，对重要信息进行备份和恢复。需要提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的可用性。三级需求：需要采用存储备份系统，对重要信息进行备份和恢复，完全数据备份至少每周一次，备份介质场外存放；可采用磁带、磁盘镜像技术进行数据的冗余备份，备份的冗余数据至少要保留一周；在提供本地备份和恢复功能的基础上，建立异地数据备份机制，利用通信网络将关键数据定时批量传送至备用场地。需要建立灾备机房，对于同城数据备份中心，应与生产中心直线距离至少达到30公里，可以接管所有核心业务的运行；对于异地数据备份中心，应与生产中心直线距离至少达到100公里，配备恢复所需的全部运行环境(硬件环境，软件环境，维护人员配备等)，系统运行状态保持在就绪状态或运行状态。并且应对灾备方案的关键技术环节(如数据备份，数据恢复等重要技术)进行详细测试，并形成测试报告。3.1.3 管理类安全需求为保证安全一致性，防止局部安全短板造成全局安全事故，建议对某商业银行信息安全管理工作整体上按照等保三级要求进行。 安全管理制度需要制定信息安全工作的总体方针和安全策略，对安全管理活动中各类管理内容建立安全管理制度，对管理人员或操作人员执行的日常管理操作建立操作规程。要求形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。 安全管理机构需要建立或完善既满足相关要求又符合实际情况的安全管理机构。应加强与外部组织的沟通和合作，并聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等。人员安全管理需要制定既满足相关要求又符合实际情况的人员安全管理条例，并进行必要的人员安全意识和安全技能培训。系统建设管理需要依照等级保护相关政策和标准的要求进行系统定级、规划、设计、实施、测试和验收。对于三级系统，需委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报告作为验收依据。应选择具有国家相关技术资质和安全资质的测评单位至少每年对系统进行一次等级测评，发现不符合相应等级保护标准要求的及时整改。系统运维管理需要对系统运行进行维护和管理，涵盖环境管理、资产管理、 介质管理、 设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等各个方面，并在环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、密码管理、变更管理、备份与恢复管理等方面要求进行规范的制度化管理。要求对安全事件根据等级分级响应，同时加强对应急预案的演练和审查。此外还需结合采用以下的技术手段实现网络和系统的安全运维： IT运维管理中心应建立IT运维管理中心，对构成IT系统的通信线