• 快捷搜索
  • 全站搜索
位置:首页 > 科技 > 金融安全

工行:构建“四位一体”信息安全体系

2014-09-01 16:53:02作者:中国工商银行信息科技部总经理 吕仲涛编辑:金融咨询网
金融信息安全、 信息安全体系、 IT治理
当前我国面临着异常复杂的信息安全形势,国家层面建立国家安全领导小组将信息安全提升到前所未有的高度,各家企业面临的信息安全形势也更加复杂。中国工商银行应信息安全防控的需求,建立起了以组织体系为保障、以制度规范为准绳、以技术手段为关键、以管理措施为根本的“四位一体”的信息安全体系。

在“斯诺登”事件持续发酵的今天,各国和各组织机构更加注重信息安全体系建设,我国更首次在国家层面成立了包含信息安全职责在内的国家安全领导小组。信息安全体系建设也日益受到更多企业的关注和重视。工商银行根据行业主管部门和监管部门的要求,结合自身的实际情况,从组织保障、制度建设、管理措施和技术手段等方面入手,逐步探索和建立了以保护信息安全为核心,以组织保障和制度建设为两翼,技术手段和管理措施为支撑的“四位一体”综合信息安全体系。

构建-四位一体-信息安全体系-作者.jpg

组织体系是信息安全体系建设的保障

        信息安全的目的是为了保护组织机构的信息资产不被窃取和外泄,这与当今信息系统网络化的趋势存在一定的矛盾,网络化的一个特点就是信息共享,而信息安全是要在保障组织机构利益的基础上实现有选择、有条件、有范围的共享。这种矛盾的解决,必须依靠顶层设计,自上而下地建立起各级信息安全机构,形成信息安全机构体系,才能在组织机构中形成一种保护信息安全的行政推力,有效、快速地推动信息安全体系的建设工作。因此,信息安全体系建设的重要保障就是要建立起信息安全管理的组织体系,以协调推动信息安全工作。

        为此,工商银行建立起了全行性信息安全决策机构——信息科技管理委员会,由行长任主任委员,相关副行长/高管副主任委员,主要业务部门负责人作为成员。信息科技管理委员会是高管层进行信息安全管理的决策机构,负责对全行信息安全策略、信息安全评估报告、信息安全管理制度等重大事项进行审议。同时,建立了多部门联合推动机制,2010年在全行范围内建立了内控部、信息科技部、保密部等专业部门联合推动,其他专业部门共同参与的信息安全联动机制,全面推动各单位信息安全管理工作。此外,建立了分行信息安全议事平台,各分支机构由本单位承担信息安全职责的委员会作为信息安全工作议事平台,研究部署本机构信息安全工作。

制度规范是信息安全体系建设的准绳

        自上而下的组织体系的建立,为信息安全工作的顺利推进提供了行政保障,但信息安全具体政策措施的贯彻执行过程是长期持续的,因此还需要建立起信息安全管理制度体系,明确各部门职责和管理流程,指导全行的信息安全工作。

        通过多年的积累,依靠自身开展信息安全技术工程建设和管理的经验,对照国家标准和监管要求,工商银行逐步建立了相对完整、适用性较好的全行性信息安全制度和技术规范体系,并且每年结合内外部形势、执行情况和新的工作要求进行修订完善,目前已经形成了由1个管理办法、9个实施细则和15个管理手册组成的信息安全管理制度体系,以及由3个综合性规范和网络、应用、系统等8个专业规范在内的信息安全技术规范体系。同时,通过自主研发的各种现场和非现场检查工具,辅以上下联动、横向配合的整改落实跟踪机制,实现了信息安全的可管理、可监控和过程可审计。

技术手段是信息安全体系建设的关键

        从信息保护的目的来看,信息安全主要是对外防御攻击和入侵,对内防护信息泄漏。信息安全体系的建设,在组织体系和制度规范的有力保障和约束以外,归根结底是要依靠不断完善的技术手段来实现和提升信息安全硬控制能力,通过持续增加外部各类攻击和入侵威胁、内部客户端被入侵和信息泄漏的难度,提高信息安全体系的健壮性。另外,银行作为服务行业,保障客户信息和交易安全也是信息安全防护的重要内容。

        1.外部防御主要是防控来自互联网的各类攻击和入侵威胁

        为强化网络安全管理,工商银行在内部网络与互联网边界构筑了严密的外网安全防护系统,在两个相互备份站点的互联网出口处部署了拒绝服务攻击防护(DDOS)、防火墙、入侵防护(IPS)等安全防护系统以及网络嗅探工具,对来自互联网的攻击、入侵行为进行不间断的监测、防护。对访问量大的网银门户应用部署了CDN(内容分发网络),充分利用其大容量优势抵御大规模网络攻击,缓解了源站安全防护压力。为有效防范外部攻击,工商银行与各运营商也建立了联动工作机制,制订了超大规模DDOS攻击防护应急预案,并定期组织演练。此外,按照国家行业和监管部门的要求,工商银行实施了互联网和办公网络的物理隔离,禁止行内办公网络与互联网直联,员工只能使用与行内网络物理隔离的上网系统访问互联网,较好地防范了来自互联网的各类安全威胁。

        2. 内部防护主要是管控住客户端被入侵和信息泄露的风险

        工商银行建立了覆盖全行、业界最完整的客户端安全防护技术体系,实施了严格的网络准入硬控制,无论是办公、生产客户端,通过安全性验证后才能接入内网。从2010年开始,用两年的时间完成了客户端安全管理系统的全行推广工作,强制用户安装系统补丁和防病毒、防泄漏等指定的安全管理软件,并禁止蓝牙、红外、Modem等外设的使用,同时控制非授权软件运行和在互联网环境下仅能访问预先设定的网站。此外,对生产维护操作的计算机均实施了严格的网络准入控制,确保仅能连接生产网络,无法外接互联网。

        在客户端信息保护方面,全面部署了信息防泄漏软件、电子文档安全管理软件,对客户端本地存储的涉及我行敏感信息的内容进行扫描检查,对U盘拷贝、外发邮件进行实时监控,可有效防止相关信息的非法存储和传输。同时,推广移动存储安全管理系统,对USB接口移动存储介质的使用进行技术控制,避免因介质遗失、被窃或在行内外计算机间拷贝数据时造成信息泄漏。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章

频道最近更新

频道热门文章