银行信息系统的安全问题分析.docx

银行信息系统的安全问题分析前言银行信息系统的安全保障要以缜密的分析为前提制定详细的对策充分利用安全技术安全产品来实现安全措施本文以泰安农村信用社为例阐述银行信息安全问题信息安全分析银行信息系统具有服务范围广泛平台复杂多样业务品种不断更新的特点因此银行信息系统庞大而复杂信息安全涉及方面众多我们大体可以按照安全管理信息资产与环境主机系统网络系统日常运维五个方面进行分析安全管理问题分析泰安农村信用社信息系统一贯重视系统安全但对与系统安全的管理仍处于比较传统的模式即一种静态的局部的少数人负责的突击式的事后纠正式的管理方式安全管理偏重对业务的保障在内部管理上相对比较松散一些安全管理策略和制度规范比较宏观在可操作性和实效性上还值得进一步探讨与改进信息资产与环境问题分析泰安农信信息系统依照相关的规定进行建设目前还需要改进的问题为包括物理环境的单点故障隐患及不可抗力因素导致的系统安全的风险对信息资产的保护缺乏信息资产分类体系无法实现对设备的购置维修报废等环节的实时管理主机系统问题分析信息中心的主机上存放大量的业务数据对全辖提供数据服务及技术支持保证辖内计算机系统全年天全天小时不间断运行因此主机采用高可用性和全冗余结构的主机系统配置磁盘阵列存储数据目前面临维护错误和操作失误未经授权访问和操作权限滥用硬件故障数据库本身存在的安全漏洞等威胁网络系统问题分析现行银行计算机网络是银行计算机信息系统中最易受攻击又最难以防范的薄弱环节为了保障网络安全目前采取的的措施有增加防火墙对连接科技中心主机全部做了限制安装了入侵检测系统还存在以下问题主交换机虽然划分了但划分数量少无法满足业务高速发展需要办公网现在没有逻辑划分在省市和市县之间没有实施策略存在一定网络拥塞的风险日常运维问题分析目前日常运维工作繁重日常运维只是通过已有的书面的操作流程进行操作无法记录操作结果对日常运维缺乏审计性机房主要依靠人工巡查等手段进行监控存在不能及时发现问题的隐患对于登陆信息系统的网点柜员身份验证停留在用户名密码阶段存在非法入侵的安全隐患信息安全风险识别通过对泰安农村信用社进行信息资产识别逐项进行风险评估并制订风险控制措施确定资产风险等级全面了解泰安农信信息系统安全现状采用定性与定量相结合的方法并依据标准要求充分考虑到资产的安全价值威胁薄弱点威胁发生的可能性威胁造成的潜在响应等因素将各个资产所面临的众多威胁因素统一起来描述明确风险控制方法根据风险评估表对该资产已经识别出的风险点在现有的控制措施之外进一步提出解决该风险点的新方法或新措施以使风险降低到可接受的程度并明确责任人制定一个切实可行的风险处理计划信息安全问题解决根据风险评估的结果及风险控制方案依照安全管理体系的要求对准备阶段中涉及的各类问题集中解决使得在信息系统受到侵袭时确保业务持续开展并将损失降到最低程度安全管理的安全实现针对目前泰安农信信息系统在安全管理方面存在的问题信息安全人员仔细分析问题提出问题解决方案如下明确指出系统中每位员工的责权问题建立较完善的信息科技制度体系明确泰安农信信息系统工作流程避免管理混乱建立规范的信息系统风险防控和应急处置流程逐步提高突发事件的应急能力信息资产与环境的安全实现针对目前泰安农信信息系统在信息资产与环境方面存在的问题信息安全人员仔细分析问题提出如下问题解决方案引入计算机设备管理系统软件规范设备管理对设备的购置维修报废等环节的管理的问题进行跟踪记录对银行设备与物理环境进行容灾规划实施容灾系统对通讯线路及硬件设备进行冗余备份对重要数据制定完善的备份规则主机系统的安全实现针对目前泰安农信信息系统在主机系统方面存在的问题信息安全人员仔细分析问题提出如下问题解决方案开发备份配置软件保存每次设置变更情况使设置变更有迹可循为保证数据信息安全采用双机热备重要数据远程备份异地存放等多种措施避免系统风险应用运维安全管理系统对操作员的操作进行限制杜绝由于操作用户权限过大而造成的安全隐患网络信息的安全实现主要包括信用社内部数据传输线路的安全实现第三方接入的安全实现等泰安农信采用线路进行组网通过端点隔离方式实现业务和办公网络分离通过整体路由规划和规划实现对各业务数据流的控制内网配置了多套防火墙实现对内网的通讯访问的控制与隔离日常运维的安全实现针对目前泰安农信信息系统在日常运维方面存在的问题信息安全人员仔细分析问题提出如下问题解决方案建立网络化的运维机制探索建立科技服务联动网分析日常工作流程开发电子日志系统确保日常工作不会遗漏并记录操作员日常操作保证操作过程的可审计性建立机房自动监控系统实时监控放置设备的运行状态及工作参数发现部件故障或参数异常及时报警并可记录历史数据和报警时间对营业网点操作柜员加强身份验证防范非法入侵结论对于泰安农村信用社来说虽然威胁到业务连续运营的各种风险将永远存在但是只要清醒地评估分析这些风险同时建立应对风险的完善机制全行上下形成业务连续性管理的企业文化不断加强灾备建设与应急演练风险将被有效地分散与排除