探析银行信息系统安全问题

摘要：信息化在银行业的广泛而深入的应用使信息系统成为银行关键 业务正常运作的重要支撑平台，如果信息系统出现了故障，势必引起 业务中断、信息阻隔，可能导致一个银行的局部甚至整体瘫痪。信息系 统安全已经成为关系到银行业务能否顺利开展的重要因素.
关键词：银行信息 信息系统 安全问题

前言
    银行信息系统的安全保障要以缜密的分析为前提，制定详细的对策， 充分利用安全技术、安全产品来实现安全措施。本文以泰安农村信用 社为例阐述银行信息安全问题.
    1．信息安全分析 银行信息系统具有服务范围广泛，平台复杂多样，业务品种不断 更新的特点。因此银行信息系统庞大而复杂，信息安全涉及方面众多， 我们大体可以按照安全管理、信息资产与环境、主机系统、网络系统、 日常运维五个方面进行分析.
    1.1安全管理问题分析.
    泰安农村信用社信息系统一贯重视系统安全，但对与系统安全的 管理仍处于比较传统的模式，即一种静态的、局部的、少数人负责的、 突击式的、事后纠正式的管理方式；安全管理偏重对业务的保障，在内 部管理上相对比较松散；一些安全管理策略和制度规范比较宏观，在 可操作性和实效性上还值得进一步探讨与改进.
    1.2信息资产与环境问题分析.
    泰安农信信息系统依照相关的规定进行建设。目前还需要改进的 问题为包括物理环境的单点故障隐患及不可抗力因素导致的系统安 全的风险；对信息资产的保护缺乏信息资产分类体系，无法实现对设 备的购置、维修、报废等环节的实时管理.
    1.3主机系统问题分析 信息中心的主机上存放大量的业务数据，对全辖提供数据服务及 技术支持，保证辖内计算机系统全年365天、全天24小时不间断运 行，因此主机采用高可用性和全冗余结构的主机系统，配置磁盘阵列 存储数据.
    目前面临维护错误和操作失误、未经授权访问和操作、权限滥用、 硬件故障、数据库本身存在的安全漏洞等威胁.
    1.4网络系统问题分析 现行银行计算机网络是银行计算机信息系统中最易受攻击又最 难以防范的薄弱环节,为了保障网络安全，目前采取的的措施有增加 防火墙，对连接科技中心主机全部做了限制，安装了IDS入侵检测系 统。还存在以下问题：主交换机虽然划分了VLAN，但划分VLAN数量 少，无法满足业务高速发展需要；办公网现在没有逻辑划分；在省市和 市县之间没有实施QOS策略，存在一定网络拥塞的风险.
    1.5日常运维问题分析 目前日常运维工作繁重，日常运维只是通过已有的书面的操作流 程进行操作，无法记录操作结果，对日常运维缺乏审计性；机房主要依 靠人工巡查等手段进行监控，存在不能及时发现问题的隐患。对于登 陆信息系统的网点柜员身份验证停留在“用户名+密码”阶段，存在非 法入侵的安全隐患.
    2.信息安全风险识别 通过对泰安农村信用社进行信息资产识别，逐项进行风险评估， 并制订风险控制措施.
    2.1确定资产风险等级 全面了解泰安农信信息系统安全现状，采用定性与定量相结合的 方法，并依据标准要求充分考虑到资产的安全价值、威胁、薄弱点、威 胁发生的可能性、威胁造成的潜在响应等因素，将各个资产所面临的 众多威胁因素统一起来描述.