关于银行业信息化安全体系建设

——东软软件股份有限公司网络安全咨询顾问金健杨

日益严峻的信息安全形势

一组调查数字：

政府、金融、电信、电力、社保等行业重要数据库受到严重威胁

–2005年政府网站被篡改网页2027次，大陆地区网页篡改13653次

–很多数据库与应用服务器采用同一设备，机密信息面临着巨大风险

–以上统计还没有包括隐蔽的网页篡改行为

数据来源：国家计算机网络应急技术处理协调中心

对于金融行业，2005年6月CardSystems数据库被攻击，美国4000万张信用卡资料泄露

–20万张卡被盗刷，包括6.8万张万事达卡

–

企业ERP系统、财务系统、邮件系统等缺乏有效的防护手段

攻击集中到开放的服务和应用

–应用程序的漏洞（JSP/CGI漏洞，SQL注入等）

–应用软件的漏洞（Web服务器，SSL缓冲区溢出）

–针对应用的DOS/DDOS攻击

　　以上这些统计数字足以说明，信息安全已经迫在眉睫，攻击者已经从漫无目地的“兴趣式”攻击，演变成当今的有组织、有计划、以通过安全漏洞获得或修改敏感信息，最终获取经济利益为目地的攻击行为，因而金融行业是攻击者最为青睐的目标之一。

蠕虫、病毒、网络钓鱼事件频发

　　MYDOOM/Netsky/Bagle/震荡波/SCO炸弹/QQ尾巴/MSN射手/熊猫烧香等一系列耳熟能详的新病毒和蠕虫的出现，造成了巨大的经济损失。而且病毒和蠕虫的多样化明显，甚至蠕虫编写组织开始相互对抗，频繁推出新版本。

　　越来越多的间谍软件，它们已经被更多的公司及个人利用，其目的也从初期简单的随机盗窃信息演化为可能收集密码、帐号等资料。

　　针对于金融、银行企业，网络钓鱼日益泛滥，对于金融单位的形象与现实利益都造成巨大损失。只看网络钓客以“假网站”尝试“钓”中国银行、工商银行等国内各大银行用户，就可以想见其猖獗程度了。

什么是网络钓鱼？

　　网络钓鱼（Phishing）攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌，骗取用户的私人信息。

　　对于国内网络钓鱼事件，比较典型的案例是“假冒工商银行网站事件” ，攻击者通过注册与工行网址WWW.ICBC.COM非常类似的域名WWW.1CBC.COM为伪装，完全模仿工行网站，欺骗客户登陆该网站，以偷取用户密码。

　　网络钓鱼带来的新思考

　　的安全顾问，一同探讨解决各类的安全问题，类似于网络钓鱼这类的攻击，给我们金融系统的网路安全管理者带来了新的课题，我们除了要对传统意义的正面的“攻击”进行防护，也要防止攻击者偷梁换柱的攻击手段。这就需要携手专业规避安全风险，将可能的安全问题扼杀在无形，保证金融企业和金融客户的数据安全，保证业务的健康、稳定。

我国银行业信息安全的新挑战

　　随着全球化和网络化，全球的金融变革对我国的影响越来越大，银行业遇到的挑战越来越大，为了适应这个挑战，我国银行业正在进行大的重组和改革，这些变革包括建立良好的公司治理机制，调整发展战略、组织架构、经营模式、业务流程重组等等，其中信息科技变革是一个重要的内容，信息科技是发展的核心动力、核心使命。是对金融资产进行采集、处理、整合、分析、应用并确保这些信息的安全，以保证银行业务的可持续健康发展。因此保证金融信息的安全也是目前银行业面临的重要挑战，为了适应新挑战，新变革，对信息科技带来的新的风险点，也是银行业正在认真考虑，并在着手处理的问题。

目前银行业信息工作的进展

　　银行的信息安全以往是比较容易疏忽的问题，主要是回报不容易直观计算，投资决策有一定难度，长期以来，银行信息安全都存在着隐患，各种因为信息安全问题导致的案件非常多，大量所谓管理不善的金融案件甚至是上亿元的案件很多都是金融信息安全管理出现了问题，比如密码管理、权限划分、软件质量等等问题，但我们也要看到和前些年信息分散、网络安全薄弱，系统缺乏安全管理，应用软件安全几乎无暇顾忌的情况相比，这些年来，我国银行业的信息安全工作有了长足的发展。主要表现在以下几个方面：

　　银行信息安全的主要问题及其分析

　　前面介绍的是近年来银行在信息安全方面取得的一些主要进展，这些进展对于提供银行信息的安全性都起了很好的作用。但目前无论是从管理的角度还是从技术的角度，银行信息安全还存在许多问题，最为核心的问题有：

　　第一，是信息安全的观念、意识和基础内容尚未深入人心，对银行业信息安全来讲，首要的问题是观念和意识的问题。从管理层到员工，能否意识到信息安全的重要性，知晓信息安全的基本内涵和在业务和工作中的具体体现是很重要的，目前银行的管理层对信息安全的重要性是重视的，对信息安全到底指的是什么知道的并不是很多。在信息安全上由于技术壁垒的原因，容易形成自下而上的推动力，这种决策容易缺乏联动性和整体性。信息安全的基础是至关重要，大部分的核心安全效果并不取决于核心技术，而取决于基本的规范落实和常见的安全手段的应用。比如说密码的周期性修改和长度的最小设定就是最简单的安全设施，系统补丁的更新也是至关重要的，但这些安全手段在执行中往往嫌麻烦，执行的不是非常理想。信息安全意识的缺乏也是银行安全风险的重要原因。

　　其次重视工具投资而忽视管理投资，网络的安全投资是策略、操作流程和应急处理机制，不完全只是安全产品和工具。这类工具的使用应有相应配套的流程管理机制，否则报警无人处理，入侵无人响应，效果并不好。但是要建立合理的流程管理机制也同样需要投资，流程资讯投资等等，这些投资和整个安全系统的完整性息息相关，但在目前的银行信息安全建设中，这方面的投入还不是很多，整个安全的思路还停留在技术层面。

　　第三，银行的应用软件存在风险，银行应用软件是整个信息的载体，软件的安全质量是非常重要的，目前银行业的软件开发体系，包括软件开发生命周期和项目管理体系比较注重功能、速度和市场，而较少优先考虑安全。开发队伍中也少有安全专家，开发人员对安全的认知程度不高。在银行安全软件的管理中缺乏安全管理的概念，软件的功能性、安全性是一种平衡的关系，必须用风险管理的思想指导软件开发。

　　银行的核心应用大多都是银行自行开发，由于技术、管理以及实效方面等原因，安全问题如果在软件设计和开发中未认真考虑，导致的问题不容忽视。

基本应对措施

　　上面对银行信息的安全挑战等方面做了介绍，并进行了初步分析，下面提几点基本对策和建议。

　　一、要从全球化的角度高度重视银行信息化安全问题，从组织和管理上将信息安全纳入银行的整体发展战略中。

　　二、特别要注重培养信息安全的业务骨干，还应将信息安全培训主要是素质培训和技能培训作为银行的基础培训的重要内容。此外，要重视针对员工的信息安全制度，操作流程和规范上加以落实。

　　三、安全投资上加大安全咨询，软件安全和系统安全的投资力度。

　　四、重视核心管理信息的安全，对涉密信息以及银行和客户关键业务的统计数据应保存在安全操作系统和安全文件系统的电脑上，不应用目前普通的操作系统和网络管理数据并进行传送。对于关键主机，做好主机加固工作，防止通过漏洞进行主机渗透造成不必要的信息泄漏。

　　五、加大贴近银行需求的安全产品和工具的开发和服务。

　　六、将安全引入银行软件开发流程中，将风险管理的思想进行软件开发管理，并贯彻一系列软件安全原则，特别是在银行应用软件设计功能和系统测试方面要特别强调业务人员参与测试的力度。软件后期管理主要是应用反馈和升级管理等方面有规范的流程和回馈，从而使软件的质量有明显提高，这对银行信息资产的安全至关重要。

　　七、安全操作中的风险管理同样重要，岗位、职责、服务评估要有规程，通过规范的方法进行解决，这对化解内部问题是非常有效的。对银行的安全管理和安全服务中，引入银行安全管理的思想，将安全服务进行量化和银行业务保障管理结合起来，将是提高银行业务整体水平的方法。

　　八、在风险管理和服务管理的基础上，银行要加强对员工安全意识的培养，从机制上解决安全问题。

　　九、银行信息安全建设是一个体系建设，它和应用系统、网络都有极大的关联性，是一种紧密的偶合。因此避免安全建设脱离银行的本身建设之外，建立独立的安全体系是不现实的，唯一能够相对独立的系统是针对安全的稽核系统，是检查、评估、安全程度强度的系统，可以独立于基础建设和应用建设之外。

　　十、对于电子银行建设，要加强安全建设，根据银行监管，关于电子银行风险管理的原则重新规范电子银行的技术、服务、管理，这些方面的工作是相当有挑战性的。

　　十一，做好灾难备份的建设，制定应急处理机制，防止金融信息在灾难发生时损失和丢失信息，也是安全的防范，也是银行信用的防范。

　　上面我们讨论到银行信息安全的形式，并提出一些基本对策。但归根结底，我们必须清醒的认识到加强金融信息安全的根本认识，是保障银行业务的连续性，促进银行的可持续发展，为此我们必须平衡安全和效率，安全和发展之间的关系，既不过度建设，也不放松警惕；有所为，有所不为。牢牢把握银行业务发展和连续运行基本原则。银行信息安全建设是一个复杂的系统工程，大部分工作牵扯到银行业务管理和技术，技术仅仅是手段，我们都非常清楚，银行在这方面付出的努力，特别是近年来所作出的艰苦工作，但随着网络和全球化的挑战，银行的信息化安全建设工作仍然是任重道远。