淺談銀行資訊系統的安全問題

　　摘要：資訊化在銀行業的廣泛而深入的應用使資訊系統成為銀行關鍵業務正常運作的重要支撐平臺，如果資訊系統出現了故障，勢必引起業務中斷、資訊阻隔，可能導致一個銀行的區域性甚至整體癱瘓。資訊系統安全已經成為關係到銀行業務能否順利開展的重要因素.

　　關鍵詞：銀行資訊資訊系統安全問題

　　前言

　　銀行資訊系統的安全保障要以縝密的分析為前提，制定詳細的對策，充分利用安全技術、安全產品來實現安全措施。本文以泰安農村信用社為例闡述銀行資訊保安問題.

　　1.資訊保安分析

　　銀行資訊系統具有服務範圍廣泛，平臺複雜多樣，業務品種不斷更新的特點。因此銀行資訊系統龐大而複雜，資訊保安涉及方面眾多，我們大體可以按照安全管理、資訊資產與環境、主機系統、網路系統、日常運維五個方面進行分析.

　　1.1安全管理問題分析.

　　泰安農村信用社資訊系統一貫重視系統安全，但對與系統安全的管理仍處於比較傳統的模式，即一種靜態的、區域性的、少數人負責的、突擊式的、事後糾正式的管理方式;安全管理偏重對業務的保障，在內部管理上相對比較鬆散;一些安全管理策略和制度規範比較巨集觀，在可操作性和實效性上還值得進一步探討與改進.

　　1.2資訊資產與環境問題分析.

　　泰安農信資訊系統依照相關的規定進行建設。目前還需要改進的問題為包括物理環境的單點故障隱患及不可抗力因素導致的系統安全的風險;對資訊資產的保護缺乏資訊資產分類體系，無法實現對設備的購置、維修、報廢等環節的實時管理.

　　1.3主機系統問題分析 資訊中心的主機上存放大量的業務資料，對全轄提供資料服務及技術支援，保證轄內計算機系統全年365天、全天24小時不間斷運行，因此主機採用高可用性和全冗餘結構的主機系統，配置磁碟陣列儲存資料.

　　目前面臨維護錯誤和操作失誤、未經授權訪問和操作、許可權濫用、硬體故障、資料庫本身存在的安全漏洞等威脅.

　　1.4網路系統問題分析 現行銀行計算機網路是銀行計算機資訊系統中最易受攻擊又最難以防範的薄弱環節,為了保障網路安全，目前採取的的措施有增加防火牆，對連線科技中心主機全部做了限制，安裝了IDS入侵檢測系統。還存在以下問題：主交換機雖然劃分了VLAN，但劃分VLAN數量少，無法滿足業務高速發展需要;辦公網現在沒有邏輯劃分;在省市和市縣之間沒有實施QOS策略，存在一定網路擁塞的風險.

　　1.5日常運維問題分析 目前日常運維工作繁重，日常運維只是通過已有的書面的操作流程進行操作，無法記錄操作結果，對日常運維缺乏審計性;機房主要依靠人工巡查等手段進行監控，存在不能及時發現問題的隱患。對於登陸資訊系統的網點櫃員身份驗證停留在“使用者名稱+密碼”階段，存在非法入侵的安全隱患.

　　2.資訊保安風險識別

　　通過對泰安農村信用社進行資訊資產識別，逐項進行風險評估，並制訂風險控制措施.

　　2.1確定資產風險等級全面瞭解泰安農信資訊系統安全現狀，採用定性與定量相結合的方法，並依據標準要求充分考慮到資產的安全價值、威脅、薄弱點、威脅發生的可能性、威脅造成的潛在響應等因素，將各個資產所面臨的眾多威脅因素統一起來描述.

　　2.2明確風險控制方法根據風險評估表，對該資產已經識別出的風險點，在現有的控制措施之外，進一步提出解決該風險點的新方法或新措施，以使風險降低到可接受的程度，並明確責任人，制定一個切實可行的風險處理計劃。

　　3.資訊保安問題解決

　　根據風險評估的結果及風險控制方案，依照安全管理體系的要求對準備階段中涉及的各類問題集中解決，使得在資訊系統受到侵襲時，確保業務持續開展並將損失降到最低程度.

　　3.1安全管理的安全實現針對目前泰安農信資訊系統在安全管理方面存在的問題，資訊安全人員仔細分析問題，提出問題解決方案如下.

　　3.1.1明確指出系統中每位員工的責權問題.

　　3.1.2建立較完善的資訊科技制度體系，明確泰安農信資訊系統工作流程，避免管理混亂.

　　3.1.3建立規範的資訊系統風險防控和應急處置流程，逐步提高突發事件的應急能力.

　　3.2資訊資產與環境的安全實現針對目前泰安農信資訊系統在資訊資產與環境方面存在的問題，資訊保安人員仔細分析問題，提出如下問題解決方案.