第11章 安全管理

銀行信息系統(tǒng)管理概論1第十一章安全管理教學(xué)目標與要求掌握信息安全保障體系，了解信息安全保障體系參考標準掌握商業(yè)銀行信息安全的特殊性、信息安全戰(zhàn)略掌握銀行信息安全政策，了解信息安全技術(shù)標準掌握銀行信息安全管理，掌握銀行信息風(fēng)險管理。了解自助銀行安全策略。銀行信息系統(tǒng)管理概論2知識構(gòu)架銀行信息系統(tǒng)管理概論3導(dǎo)入案例案例奧運會與銀行信息安全管理

中國銀監(jiān)會副主席郭利根2008年初在銀行業(yè)信息科技風(fēng)險奧運專項自查工作部署會上，通報了去年以來銀行業(yè)金融機構(gòu)發(fā)生的5起信息科技風(fēng)險事件。這5起事件是：2007年3月21日，交通銀行因主機監(jiān)控軟件存在缺陷，導(dǎo)致業(yè)務(wù)交易阻塞，系統(tǒng)癱瘓近4小時，所有營業(yè)網(wǎng)點無法正常開展業(yè)務(wù)；2007年8月15日，中國工商銀行對計算機系統(tǒng)進行升級，但由于沒有避開業(yè)務(wù)高峰期，導(dǎo)致個人業(yè)務(wù)系統(tǒng)運行不暢，業(yè)務(wù)辦理速度緩慢，部分代理證券業(yè)務(wù)受阻，在持續(xù)5個半小時后，系統(tǒng)才逐步恢復(fù)正常；2007年10月18日，中國建設(shè)銀行股民保證金第三方存管系統(tǒng)出現(xiàn)故障，與券商的交易無法正常進行。事故持續(xù)了2個小時，在證券交易收盤后才恢復(fù)正常；2007年12月21日，招商銀行因運行中心核心網(wǎng)絡(luò)設(shè)備出現(xiàn)故障，造成業(yè)務(wù)無法正常進行，雖啟動應(yīng)急預(yù)案，但仍然中斷營業(yè)近1個小時；今年1月7日，北京銀行因主干專線的入戶接入設(shè)備發(fā)生故障，造成在京117家支行所屬網(wǎng)點柜臺交易緩慢，業(yè)務(wù)無法正常進行，故障銀行信息系統(tǒng)管理概論4導(dǎo)入案例持續(xù)1個多小時后才得以解決。郭利根說，發(fā)生事故的這些機構(gòu)，在IT技術(shù)和風(fēng)險管控上屬國內(nèi)較先進的銀行。事故的發(fā)生，充分暴露出我國銀行業(yè)信息系統(tǒng)的脆弱性，應(yīng)引起高度關(guān)注和認真反思。郭利根強調(diào)，今年是奧運年，也是我國銀行業(yè)信息科技風(fēng)險管控的關(guān)鍵之年。各銀行必須從維護整個銀行業(yè)安全高效、穩(wěn)健運行的大局出發(fā)，全力保證信息系統(tǒng)的安全可靠和穩(wěn)定運行。

在全國銀行業(yè)金融機構(gòu)信息安全保障工作會議上，中國人民銀行副行長蘇寧作了題為《深化認識，扎實提高，開創(chuàng)銀行信息安全保障工作新局面》的主題報告，在報告中，蘇寧指出，銀行業(yè)金融機構(gòu)信息化建設(shè)經(jīng)過二十多年的發(fā)展，信息化程度已達到了較高水平。信息技術(shù)在提高管理水平、促進業(yè)務(wù)創(chuàng)新、提升核心競爭力方面發(fā)揮著日益重要的作用。近年來，為防范和化解信息技術(shù)風(fēng)險，保障國家經(jīng)濟安全，根據(jù)黨中央、國務(wù)院對銀行信息安全的重要指示精神，按照”積極防御、綜合防范”的基本方針。各商業(yè)銀行要從保障國家經(jīng)濟發(fā)展的高度，充分認識做好銀行信息安全保障工作的極端銀行信息系統(tǒng)管理概論5導(dǎo)入案例重要性，牢固樹立風(fēng)險意識，進一步增強緊迫感、責(zé)任感，正確處理信息化建設(shè)與信息安全的協(xié)調(diào)發(fā)展關(guān)系，從風(fēng)險防范出發(fā)，密切結(jié)合實際，科學(xué)制定安全策略，采取各種主動防御措施。一手抓信息化發(fā)展，一手抓信息安全，常抓不懈，努力開創(chuàng)銀行信息安全保障工作的新局面。2007年銀監(jiān)會年報中指出，“操作風(fēng)險、信息科技風(fēng)險是銀行業(yè)應(yīng)該關(guān)注的重要風(fēng)險”，隨著銀行規(guī)模的進一步擴大、銀行業(yè)務(wù)的多元化，以及銀行業(yè)對信息科技的依賴程度的日益提高，銀行業(yè)操作風(fēng)險管理、信息技術(shù)系統(tǒng)的安全、可靠和有效性將更加直接地關(guān)系到整個銀行業(yè)的安全和金融體系的穩(wěn)定。銀行業(yè)金融機構(gòu)要進一步加強操作風(fēng)險管理，完善職能，落實風(fēng)險職責(zé)，提升風(fēng)險管理能力；建立健全信息安全的內(nèi)部控制體系，將信息科技風(fēng)險管控工作納入總體風(fēng)險管理框架之中；遏制大案要案發(fā)生，構(gòu)建案件治理的長效機制；同時加強對法律風(fēng)、聲譽風(fēng)險的管理。現(xiàn)在國際、國內(nèi)都把銀行信息系統(tǒng)管理概論6導(dǎo)入案例

信息安全管理納入風(fēng)險管理規(guī)范之中；在現(xiàn)代金融系統(tǒng)越來越依賴IT技術(shù)才得以迅速發(fā)展的時候；我們有必要對銀行系統(tǒng)的信息安全保障體系進行論述。只有在銀行系統(tǒng)內(nèi)部建立信息安全保障體系，并不斷完善和正確實施運行。才能真正保障信息系統(tǒng)的安全、可靠和穩(wěn)定運行，確保奧運會期間支付安全。銀行信息系統(tǒng)管理概論711.1信息系統(tǒng)安全概述11.1.1信息安全與信息安全保障體系

關(guān)于信息安全，不同的人從不同的角度給出不同的定義。我國計算機信息系統(tǒng)安全專用產(chǎn)品分類原則給出的定義是：“涉及實體安全、運行安全和信息安全三個方面?！眹倚畔踩攸c實驗室給出的定義是：“信息安全涉及到信息的機密性、完整性、可用性、可控性。綜合起來說，就是要保障電子信息的有效性?！庇鳥S7799信息安全管理標準給出的定義是：“信息安全是使信息避免一系列威脅，保障商務(wù)的連續(xù)性，最大限度地減少商務(wù)的損失，最大限度地獲取投資和商務(wù)的回報，涉及的是機密性、完整性、可用性?！泵绹鴩野踩中畔⒈Ｕ现魅谓o出的定義是：“因為術(shù)語‘信息安全’一直僅表示信息的機密性，在國防部我們用‘信息保障’來描述信息安全，也叫‘IA’。它包含5種安全服務(wù)，包括機密性、完整性、可用性、真實性和不可抵賴性?！便y行信息系統(tǒng)管理概論811.1.2信息安全保障體系參考標準銀行信息系統(tǒng)管理概論911.1.3商業(yè)銀行信息安全的特殊性銀行信息系統(tǒng)管理概論1011.1.4銀行信息安全戰(zhàn)略銀行信息系統(tǒng)管理概論1111.1.5銀行信息安全保障體系架構(gòu)

信息安全保障體系架構(gòu)體現(xiàn)了全面、系統(tǒng)的特性，信息安全保障體系架構(gòu)是在參照了國際、國內(nèi)信息安全標準以及國內(nèi)外金融行業(yè)信息安全的最佳實踐，結(jié)合我國商業(yè)銀行的信息化發(fā)展規(guī)劃和信息安全現(xiàn)狀的基礎(chǔ)上提出。信息安全保障體系站在風(fēng)險管理的高度來構(gòu)建。主要包括五部分內(nèi)容：信息安全政策、信息安全管理、信息風(fēng)險管理和制度建設(shè)。銀行信息系統(tǒng)管理概論1211.2銀行信息安全政策銀行信息系統(tǒng)管理概論1311.2.1信息安全管理規(guī)范銀行信息系統(tǒng)管理概論1411.2.2信息安全技術(shù)標準銀行信息系統(tǒng)管理概論1511.2.3信息安全指南和細則銀行信息系統(tǒng)管理概論1611.3銀行信息安全管理11.3.1物理安全管理銀行信息系統(tǒng)管理概論1711.3.2運行安全管理銀行信息系統(tǒng)管理概論1811.3.3數(shù)據(jù)安全管理

信息安全管理數(shù)據(jù)安全保護遵循的標準是信息技術(shù)安全評估標準（InformationTechnologySecurityEvaluationCriteria，ITSEC），它主要包括CIA三元組，即保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）。保密性（Confidentiality）——確保信息在存儲、使用、傳輸過程中不會泄漏給非授權(quán)用戶和實體。完整性（Integrity）――確保信息在存儲、使用、傳輸過程中不會被非授權(quán)用戶竄改，同時還要防止授權(quán)用戶對信息給信息進行不恰當?shù)母模３中畔?nèi)、外部表示的一致性?？捎眯裕ˋvailability）――確保授權(quán)用戶或?qū)嶓w對信息及資源的正常使用不會被異常拒絕，允許授權(quán)用戶或?qū)嶓w可靠而及時的訪問信息及資源。銀行信息系統(tǒng)管理概論1911.3.3數(shù)據(jù)安全管理1．人為事故的防范2．入侵檢測與漏洞掃描3．備份與恢復(fù)銀行信息系統(tǒng)管理概論2011.4銀行信息風(fēng)險管理11.4.1信息安全風(fēng)險管理模型

銀行信息資產(chǎn)面臨的威脅來源于人為（包括蓄意的，如竊聽、篡改和攻擊等）和無意的，如失誤、疏忽和事故等）和環(huán)境（如地震、閃電和洪水等）。面對這些威脅，銀行信息資產(chǎn)存在機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）、真實性（Authentication）和不可否認性（Non-repudiation）等各類風(fēng)險，

為應(yīng)對這些風(fēng)險，銀行需要從預(yù)防（Prevention）、保護（Protection）、檢測（Detection）、響應(yīng)（Response）和恢復(fù)（Recovery）等全生命周期對信息資產(chǎn)施加控制和防范措施。信息安全的整體保障作用體現(xiàn)在整個生命周期對風(fēng)險進行整體的應(yīng)對和控制。銀行信息系統(tǒng)管理概論2111.4.2風(fēng)險的評估

一個完整的、詳細的風(fēng)險評估過程包含三個主要步驟，分別是風(fēng)險分析、安全控制措施建議和殘余風(fēng)險接受。銀行信息系統(tǒng)管理概論2211.4.3安全控制措施1.確定風(fēng)險管理策略風(fēng)險接受風(fēng)險避免風(fēng)險減少風(fēng)險轉(zhuǎn)移2.確定安全控制措施對每個被評估的信息系統(tǒng)，確定其可接受的風(fēng)險水平為了將風(fēng)險減少到可接受水平而選擇的安全控制措施實現(xiàn)這些安全控制措施所帶來的好處以及減少的風(fēng)險接受在完全實現(xiàn)了建議的安全控制措施后的殘留風(fēng)險銀行信息系統(tǒng)管理概論2311.4.4殘余風(fēng)險的接受

對于不可接受范圍內(nèi)的風(fēng)險，應(yīng)在選擇了適當?shù)目刂拼胧┖?，對殘余風(fēng)險進行評價和控制，判定風(fēng)險是否已經(jīng)降低到可接受的水平，為風(fēng)險管理提供輸入。殘余風(fēng)險的評價可以依據(jù)組織風(fēng)險評估的準則進行，考慮選擇的控制措施和已有的控制措施對于威脅發(fā)生的可能性的降低。某些風(fēng)險可能在選擇了適當?shù)目刂拼胧┖笕蕴幱诓豢山邮艿娘L(fēng)險范圍內(nèi)，應(yīng)通過管理層依據(jù)風(fēng)險接受的原則，考慮是否接受此類風(fēng)險或增加控制措施。為確保所選擇控制措施的有效性，必要時可進行再評估，以判斷實施控制措施后的殘余風(fēng)險是否是可被接受的。銀行信息系統(tǒng)管理概論2411.4.5商業(yè)銀行IT審計1．IT審計與IT審計標準IT審計是對息系統(tǒng)的合規(guī)性、