庞大的网络结构、众多的业务系统、巨大的信息交换量,银行的网络安全因此面临更多挑战。
金融行业是计算机应用的龙头,银行业更是信息化的先锋,先进IT系统的应用为银行业务带来了很大提升,IT系统也日益成为银行核心业务的最有力的支撑系统。但随着计算机系统的广泛使用和电子化、无纸化办公系统的快速推广,银行内部庞大的网络结构、门类繁多的业务系统以及由此产生的巨大的信息交换量都为病毒的感染和传播提供了温床。
如何有效地进行病毒防范,保障业务系统和办公系统的稳定性和可用性已成为银行信息安全管理中不可回避的问题。除此之外,如何打造一个安全网银平台,使用户免受恶意软件的威胁,也是银行防病毒工作面临的新课题。
整体防御统一管理
随着国内银行业的业务快速发展和金融国际化的趋势,越来越多的银行改制成为上市公司,随之而来的诸如萨班斯法案等法律法规的符合性要求,使得银行内部的信息安全得到前所未有的重视。防病毒系统作为信息安全系统重要组成部分,能否满足行内业务发展的安全保障需求,也将成为行内信息安全建设的一个重要课题。应该说,运用专业的技术产品和科学的管理手段,在行内建立起综合、立体的病毒防御体系;变单项、局部防御为综合、整体防御,并在此基础之上设立有效的统一管理、分级维护、主动监控机制,彻底改变过去“救火队”的被动防御模式,提高维护人员的工作效率,保障行内相关业务的安全稳定运行和健康发展,是国内外银行防病毒系统建设的普遍共识。
目前,国内的大多数银行都基本依托终端、服务器及邮件防病毒产品建立起内部防病毒体系。除此之外,部分银行还建立起与产品配套的防病毒统一管理体系。以工商银行为例,工商银行遵循“科技兴行”的宗旨,其计算机防病毒项目在国内起步相对较早,目前已经形成了“数据中心、一级分行和地市分行三级计算机防病毒体系”,并且自上而下地实现“集中升级,分级管理”统一运行模式,并最终形成了“产品为基础,流程为导向,人员为保障”的具有工行特色的病毒防御体系。
四大缺乏
但是,国内仍有为数不少银行的防病毒工作还未形成统一的防病毒体系,没有统一的管理中心,各分行、各部门采取各自的防病毒措施,致使防范病毒能力参差不齐,管理跟不上,无法对突发的、大面积的病毒事件采取应急措施,给行内的安全运行带来了很大的隐患。具体则表现为四大缺乏。
缺乏明确的防病毒主管单位。有些银行缺乏明确的防病毒工作主管单位,而是将防病毒工作职能分散到各个部门,如由网络处、OA部门、运维部门分别负责。这时,企业很难制订符合企业业务发展的防病毒工作规划和统一的防病毒策略。缺乏有效的垂直管理体系。某些银行总行、数据中心和各个分行都有独立的安全部门,独立运营,分行安全部只向分行汇报,与总行安全部缺乏有效沟通,常常分行抱怨总行不支持,总行也无法评估全行的防病毒工作。
缺乏立体的防病毒体系。终端防病毒体系是企业防病毒工作初期的重点,但绝不是防病毒工作的终点。很多银行在终端防毒基础之上,逐步完善了服务器和群件防毒体系。但部分银行过分迷信单一终端防毒模式,忽略了内部终端数量众多,难以管理的现实。
缺乏相应的人力资源。国有大型商业银行科技部门人员相对充足,各司其职。但多数股份制商业银行科技部,尤其是安全部门,一人身兼数职是普遍现象。技术人员在日常的IT运维工作中已经筋疲力尽,要提高全行的防病毒工作和满意度是非常困难的。
从五方面强化
针对上述现状,金融机构可以从五个方面强化病毒防御体系的建设。
堵住病毒源头,实现多重防护。目前,多数银行已经在桌面、服务器、群件三个层面使用了病毒防护产品,并以桌面和服务器作为防护重点。但外部威胁有了明显的变化,根据国外权威病毒研究机构AV-test统计,当前每天全球新出现的病毒数量超过2万,而且主要通过互联网散播,因此互联网已经成为企业最主要的病毒来源。所以,在互联网出口处增设一道防病毒网关,应该可起到防止“病从口入”的效果,这也是对现有防病毒体系的有效补充。
目前,光大银行、中信银行及深圳发展银行在这方面已进行了积极的尝试。通过部署Web安全网关,每天都能拦截大量的内部员工在互联网访问过程中附带的病毒、木马、间谍软件等恶意代码程序,同时也阻止了员工对钓鱼网站等恶意网站的访问,有效降低了员工的病毒感染总量和几率。
如今的Web安全网关效果更为显著,原因则在于“云安全”技术的应用。“云安全”技术是采用多种方式收集数据信息,并动态分析恶意威胁,生成动态的信誉库,通过行为关联分析技术,建立各种信誉库的关联,当用户访问目标信息时,可以在几毫秒内与信誉库中的URL地址、邮件IP地址等进行比对,获得安全访问建议,从源端阻止对不良U R L、邮件和文件的访问,降低网络风险的侵入。以趋势科技在去年推出的“云安全”技术为例,通过架设在全球的5个威胁数据中心和34000台服务器,如今的网关产品将网络安全从单一的客户端病毒代码比对,转变到云端数据库比对,进一步降低安全风险,提升响应速度。
发现并消除病毒死角。银行内部IT系统的特点是门类繁多,并且随着业务不断发展,与之配套的IT系统也不断增多。如不定期对全行的IT系统进行缜密的评估,难免会出现病毒防范的死角。如最常见的ATM系统和自助终端,因为ATM机的使用寿命较长,其硬件配置参差不齐,所安装的操作系统也是五花八门(有的属于定制Windows系统不能安装补丁),所以管理的难度和工作量都较大,有的银行就忽略其防病毒需求。但单台的A T M设备等同于一台PC机,有可能感染病毒(通常是在维护过程中感染网络病毒)。经验表明,这种有意或者无意忽略的安全死角,往往容易出现一些病毒引起恶性的生产事故,给企业造成负面影响。
统一管理、分级维护。在防病毒工作管理上,根据国内外银行的实践经验来看,建立由行领导亲自督办,科技部门具体负责,各计算机应用单位全面负责的管理责任制是比较有效的方式。通过总行、一级分行和二级行防病毒管理中心、防病毒管理分中心和防病毒管理服务器的架构,实现全行病毒特征码、扫描引擎的统一自动更新升级;实现全行发现未知病毒样本的集中统一提交;全行统一发布病毒疫情通报;针对不同的情况,制订多个指令性和指导性策略模板。
对于防病毒产品的日常运行维护工作,包括软件安装、运行监控、报警处理日志和报表生成、软件维护、技术支持和应急保障等事项,实行分级负责的工作体制。总行、一级行和二级行的各级维护管理机构可以依据总行统一制定的防病毒策略模板,结合具体情况,依授权作相应调整,进行其辖内的防病毒体系的运行维护工作。这种自上而下的“统一管理、分级维护”的防病毒管理模式在工商银行和光大银行都得到了有效的验证。
设立主动监控机制。对于企业IT安全管理来说,风险是客观存在、不能彻底消除的,但是,风险是可以规避和控制的。因此如何主动发现风险并将风险控制到企业可解释的范围内,是广大银行信息安全管理部门关注的重点。随着几年前SOC的兴起,使得人们看到了建设主动的监控、管理和控制的威胁管理体系的价值和作用。对于银行内部的防病毒系统一样可以采用类似的方式进行实践。
通过对统一上收的病毒日志设置有针对性的KPI(如病毒码升级状况、病毒感染及传播状况等),能够实时的监控到全行的防病毒系统运行状况,一旦出现触发违反预设的安全策略或相关的KPI,系统将自动的发出报警信息,管理人员能够立即采取措施,协调内部或厂商的资源,快速做出响应,解决问题。
适当利用外部资源。防病毒工作是一个系统的工程,其间涉及众多产品、配套流程,更重要的是涉及到人力资源。对于很多中小型商业银行而言,很难组建出类似五大国有银行规模的技术支援团队,通常在很多分行都是让网络管理员或其他员工兼任。这些兼职管理员本身就有很繁重的本质工作,再加上时常轮岗,导致很多分行的防病毒工作水平无法提高。
应对这种情况,可以适当地用外部资源来解决这样的难题。目前在国外的银行已经出现了防病毒业务外包或半外包的形式,目的是减低人员成本,并提高防病毒工作效率。
转载注明来源:https://www.xzbu.com/8/view-8789903.htm
