商业银行信息安全防护体系构建

2017/12/15 10:42

随着信息技术在现代商业银行的广泛应用,信息安全已经成为银行安全运营的一项重要工作,对商业银行的业务连续性、业务经营、风险防范、转型升级至关重要。任何一个信息安全事件都可能给商业银行带来业务中断、资金损失、数据丢失、信息泄密等后果,还可能引发客户纠纷、法律诉讼、监管处罚等诸多问题,不仅影响银行正常的业务经营,而且危及企业信誉、品牌声誉,甚至可能导致企业陷入法律危机、倒闭。

近几年来,信息泄漏事件屡屡发生。据乌云平台披露,2014年1月8日,韩国三大信用卡公司泄露l亿多条用户个人信息,消息公布后引发了韩国信用卡用户的“销卡”热潮;5月22日,在线拍卖网站eBay遭黑客入侵,约1.45亿用户的姓名、账号、密码、邮件地址、邮寄地址、电话号码、出生日期等个人信息外泄;10月2日,美国金融巨头摩根大通系统遭黑客攻击,导致7600万左右家庭和700万左右小企业的客户姓名、地址、电话号码和电子邮箱等联络信息被窃取;11月27日,研究生报名考试网站系统漏洞,导致130多万名考生的姓名、性别、联系方式、身份证、住址、学校、专业等信息被网上叫卖;12月25日,铁路客户服务中心网站12306遭黑客撞库,导致13万多名客户的账号、明文密码、身份证和邮箱等个人信息被泄露。

为降低信息安全风险,商业银行应科学建立信息安全防护体系,明确技术保障手段和安全管理要求。技术保障手段既要在信息系统开发测试阶段贯彻信息安全意识,更要在系统运行维护阶段切实防范运行风险,在物理环境、网络通信、主机系统、数据管理、终端使用等多个层面开展防护措施,确保信息系统安全稳定运行。

信息安全根据不同的划分原则分为以下几类,针对不同的类型采取不同的安全防护措施。

从保护对象的角度可分为:一是硬件安全,包括城市环境、社区环境、机房环境、电力供应、硬件设备、网络通信、温度湿度等。二是软件安全,包括操作系统、数据库、中间件、应用软件等;三是网络安全,包括黑客攻击、保密疏漏、不当授权等;四是数据安全,包括误操作、恶意操作、信息泄密等。

从数据保护状态的角度可分为:一是静态安全,防止存放在存储设备内的数据被盗窃、修改、删除、破坏等;二是动态安全,防止数据传输交易过程中被截取、篡改等。

从信息安全层次的角度可分为:制度安全、技术安全、运算安全、存储安全、传输安全、产品和服务安全等。

从确保信息安全的技术手段的角度可分为:一是系统防护技术,如防病毒技术、防黑客入侵技术等。二是系统保护技术,如数据备份、快速恢复、异地存放、远程控制、灾难备援等。

科学建立信息安全防护体系旨在对组成信息系统的数据、应用、主机、终端、网络、物理环境六大类安全对象进行全面的保护,通过制定统一的安全策略,合理选择并实施身份认证、访问控制、加密、防泄密、防恶意攻击、安全加固、安全监控、安全审计、可用性管理、物理安全十类安全技术,全面、科学化解或降低各种安全风险,并通过标准、流程等信息安全管理制度,高效地控管安全风险。

根据美国国家标准与技术研究所特别报告《信息技术安全基础技术模型》(NIST SP800一33)、ISO2700l信息安全管理体系要求,从用户或进程对信息系统安全对象的访问路径出发,可以建立安全保护模型如图1所示。

新知图谱, 商业银行信息安全防护体系构建

模型分为三个层面。一是用户控制层,采用预防技术对用户访问行为进行限制,确保资源仅被授权用户合法访问。包括身份认证、访问控制。二是资源保护层,采用预防技术对数据、应用、主机、通信网络、物理资源进行主动保护。包括安全加固、防恶、加密、泄密保护。三是安全保障层,采用检测、响应和恢复技术,持续监控用户访问行为及资源运行状态,并及时对异常情况做出反应,包括安全监控、安全审计、可用性管理。

本文根据信息安全保护体系模型,分别就各个功能模块进行介绍。

一、身份认证技术

身份认证是指登录用户将其身份呈现给信息系统以建立信任机制的过程,通过对用户身份的合法性进行验证,确认该用户拥有信息系统合法授权的身份、拥有某种资源的访问和使用权限,从而阻止非法用户进入系统以及假冒合法用户获取资源访问权限,也称为“身份验证”或“身份鉴别"。

身份认证的主要方式有静态口令认证、短信口令认证、动态令牌认证、USB Key认证、生物认证等。

1.静态口令认证

静态口令认证是用户自行设定口令,在登录系统时输入用户名、口令,信息系统认证通过后,用户即可登录系统。用户出于便于记忆等原因,设置的口令往往存在比较简单、修改周期长等情况,很容易造成口令泄漏。此外,由于口令属于静态数据,在验证时会滞留在信息系统计算机内存中,很容易被木马程序截获。静态口令机制使用和部署都非常简单,但从安全性上讲,是一种不太安全的身份认证方式。

2.短信口令认证

短信口令指用户以手机短信形式发送固定格式的请求信息,身份认证系统以短信形式发送随机的固定位数口令到用户的手机上,用户使用该口令登录系统,口令使用一次便失效,做到了一次一密,从而确保系统身份认证的安全性。短信口令认证具有安全性、普及性、易维护等优点,是常见的一种身份认证方式。

3.动态令牌认证

动态令牌认证是由用户持有的动态生成口令专用设备,根据某种加密算法,定期变换生效的动态数字口令,需要与后台认证服务器配合使用,服务器负责实时核对动态令牌产生的动态密码是否正确。动态令牌生成的口令使用一次便失效,真正做到了一次一密,攻击者没有办法推测出用户的下一次登录口令。目前,动态令牌认证是应用最广的一种身份认证方式。

4.USB Key认证

USB Key认证是采用软硬件相结合的强因子认证模式,USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,用来存储用户的密钥或数字证书,通过USB Key内置的密码算法实现对用户身份的认证。USB Key认证是近几年发展起来的一种方便、安全的身份认证技术。

5.生物认证

生物认证是通过人体固有的生物特征或行为特征进行身份认证的一种技术,通过计算机、光学、声学、生物传感器和生物统计学原理等高科技手段,利用人体生理特性或行为特征进行身份鉴定。身体特征可以是指纹、掌纹、脚印、面容、虹膜、视网膜、静脉纹等,行为特征可以是行走步态、签名、握手、语音等。目前,指纹认证运用最为广泛,虹膜认证在可靠性、安全性、稳定性和精度等方面具有全方位的优势。

综上,静态口令、动态口令、短信口令、USB Key、生物认证的安全程度是有差异的,静态口令安全性最差,动态口令、短信口令、USB Key认证次之,生物认证安全性最高。通常情况下,会将两种认证方法结合起来使用,进一步加强认证的安全性,使用最为广泛的两种认证模式有“动态令牌认证+静态口令认证"、“USB Key认证+静态口令认证”。

更多新知

知识库

已收录新知