中国银行计算机信息安全策略纲要

中国银行计算机信息安全策略纲要(试行)发布单位：中国银行文号：中银科200238号发布日期：2002年11月29日生效日期：2002年11月29日1.前言随着信息技术的不断发展，金融信息安全与我国经济建设、社会安定和国家安全紧密相连。中国银行各项业务已经由传统手工处理转向高科技信息系统处理模式，信息技术已成为银行赖以发展的基础。中国银行信息系统是技术密集、资金密集、大型复杂的网络化的人机系统，其安全问题日益突出。金融信息安全的风险来于管理层、技术层和操作层。银行信息系统所面临的主要威胁是：（1）人为的失误：计算机技术人员及业务人员在信息系统的设计、开发、安装、使用过程中，都有机会产生人为的错误或失误。（2）欺诈行为：来自于银行内部员工或银行外部人员，欺骗性地修改或产生信息系统的数据，盗窃银行资金，进行金融犯罪。（3）内部人员破坏行为：由于对工作不满或其他原因，有意在程序中设置“后门”或程序炸弹，并对设备、数据、系统进行故意破坏的行为。（4）物理资源服务丧失：设备故障或物理环境发生意外灾难（电源断电、通讯中断、水灾、火灾、地震等）而产生系统宕机事件。（5）黑客攻击：黑客通过非法手段访问或破坏银行信息系统。（6）商业信息泄密：部分员工利用权限之便而造成信息系统数据的外泄。（7）病毒（恶意程序）侵袭：指编制或者在计算机程序中插入破坏计算机功能或者毁坏系统数据的计算机指令或者程序代码。（8）程序系统自身的缺陷：程序设计开发时，对系统的安全性考虑不足，留下安全隐患，这是一种来自系统自身的威胁。随着全行信息大中心的相继建成，数据形成了高度集中，风险也随之高度集中，因此信息安全问题所形成的现代金融风险，使传统的金融风险内涵发生了根本性变化。中国银行信息系统的安全不但涉及国家和金融业的利益，而且还涉及到广大客户的利益，任何不安全因素都可能造成信息的丢失、资金财产的损失和金融市场的混乱，甚至影响到社会的稳定。由于信息系统存在着自然或人为等诸多因素的脆弱性和潜在风险，中国银行在信息化建设过程中应建立明确的安全策略，加强信息化管理和技术防范措施，确保信息系统的安全稳定。中国银行的信息安全化建设是保障自身业务稳定发展、稳定金融市场、增强竞争力和生存力的基础，信息安全强调社会责任、强调合法、合规经营，并对中国银行稳健发展具有战略意义。2.安全策略2.1总体目标及原则中国银行信息系统安全总体目标是保护中国银行信息系统的硬件、软件、业务信息和数据、通讯网络设备等资源的安全，有效防范各类安全事故或人为有意的破坏事件，合法、合规发展我行各类信息系统，确保中国银行为社会各界提供安全高效稳定的金融服务。实现中国银行信息系统安全总体目标应本着“安全第一、预防为主、职责明确、综合治理”的基本原则。建立信息资产所有人机制，明确信息资产所有人（业务部门）、代管人（信息科技部门）及安全管理人的权责并对信息资产进行分类。2.2组织管理体系组织管理体系建立的目标是建立中国银行自上而下的信息安全工作管理体系，确立安全管理组织机构的职责，统筹规划、专家决策，以推动中国银行全辖信息安全工作的开展。组织管理机构由中国银行计算机安全工作委员会、计算机安全工作机构（包含计算机安全专家小组、计算机安全检查机构、计算机技术保障机构）、利用计算机信息系统提供业务服务的计算机综合应用机 构共同组成。 计算机安全工作委员会计算机安全工作机构计算机综计计计合算算算应机机机用安技安机全术全构专保检家障查小机机组构构 安全管理组织架构计算机安全工作委员会：总行主管科技的行领导及计算机信息安全相关部门（信科部、保卫部、监察室、人力资源部、稽核部、财会部、零售业务部、银行卡中心等部门）的一名总经理室成员组成，责任是贯彻落实国家和人民银行关于计算机安全工作的方针和政策；研究决定我行计算机安全的重大事项；制定我行计算机安全措施的实施策略和原则；组织开展中国银行计算机安全普及教育；研究我行计算机安全工作的重大事项；组织领导计算机安全相关部门工作。计算机安全专家小组：由行内外金融计算机安全专家组成，在我行计算机安全工作委员会办公室的领导下，从理论上、技术上指导我行计算机安全技术体系建立，对我行目前安全体系的风险进行评估和鉴定。计算机技术保障机构：由中国银行总行信息科技部、全辖计算机运行中心、软件开发中心人员组成，负责制定我行全辖信息安全建设规划、组织实施有效的技术措施、协调落实全辖信息安全工作的开展，实现信息系统的建设和维护支持工作。计算机安全检查机构：由信科部、保卫部、稽核部、监察部等部门组成，在计算机安全工作委员会的领导下，监督检查我行信息系统建设过程中安全制度的执行情况，协调解决计算机安全问题。计算机综合应用机构：由中国银行业务部门及管理部门组成，在计算机安全工作委员会的指引下，安全合规地使用信息系统，为客户提供服务。2.3人员安全管理人员安全管理的目标是通过设立银行安全管理制度及岗位责任制，为保证最大程度地降低信息化建设过程中由于人为失误或错误所造成的风险。人员是银行信息系统安全的决定性因素。与信息安全相关的岗位职责分配的基本原则为：职责分离原则：在人员岗位建立时，相关的信息系统访问的安全责任应该确定，不相容的职责应分离。接触信息系统的人员应承担与其工作性质相应的安全责任，各类人员不得从事超越自己职责以外的任何工作。有限授权原则：任何人员对信息资源的访问权利应受到限制，应对超越职责的访问进行控制。相互制约原则：安全环节的管理应采取相互制约原则，做到职责分明，各司其职，相互配合和制约。任期审计原则：应记录并监控员工在任职期内的信息资源访问活动。信息系统关键岗位员工（是指计算机系统运行过程中直接从事生产系统或周围设施管理的人员）必须是我行正式签订劳动合同的员工，上岗前要对其进行培训，并使其充分了解信息系统安全的至关重要性。对各类计算机系统的相关人员应实施有针对性、有计划的计算机安全教育和培训。员工通过培训应明确与本职工作有关的计算机安全知识和责任。定期考核员工的工作表现，调整与其岗位不符的安全职责权限或调离违反岗位安全规则的员工。员工离职前，应交还手中持有的与信息系统相关的文档、物品，应交接其负责的工作。一经离职，银行人力资源部门要立即通知信息资源控制部门，相应的信息系统合法身份及权限应立即注销，视调离保密岗位人员的重要程度，及时调整系统的安全保密措施。所有员工必须定期签订信息安全及保密承诺。相关安全教育由人力资源部门统一安排。2.4标准化和规范化管理标准化和规范化安全的目标是通过建立中国银行内部业务处理、操作流程、信息系统管理和技术等一系列标准化和规范化的过程，奠定中国银行信息系统安全的基础。标准化、规范化是信息系统安全的基础。 中国银行综合业务管理部门应该根据各业务对银行资产保护的需要，制订应用系统的安全等级，建立我行各项业务的标准、规范化处理流程和业务数据标准，以及确定各级员工对信息资源访问的权限标准。中国银行信息技术管理部门应该规范信息系统的工程建设，依照国家或银行业的安全管理政策和标准，逐步建立中国银行信息系统安全的各项管理规范和相关技术标准，规范基础设施建设、系统和网络平台建立、应用系统开发、运行管理等重要环节，创建中国银行信息系统安全的基础。2.5设备与物理环境安全设备与物理环境安全的目标是保护中国银行计算机设备、设施（含网络）以及信息系统的物理环境免遭自然灾害和其他形式的破坏，保证信息系统的实体安全。安全计划和安全管理必须实施于信息系统基础设施建设的需求计划、部署实现、安装启用、终止结束等完整工程生命周期的各个阶段。信息系统有关物理环境的选址及建设应遵照国家计算机场地安全标准和有关主管部门的场地环境设施标准，配备防火、防雷、防水、防静电、防鼠等机房安全设施，有效防止数据泄密，维持系统不间断的运行能力，确保信息系统运行的安全可靠。应对突发事故，实体安全建立应急计划，配备应急电源，实施系统主机及重要设备的备份、冗余技术保护措施；对数据应做到异地备份或做到异地存放；应对灾难事故，实体安全建立灾难中心，实现物理实体的恢复机制。根据实际情况定期实施主备机的切换和应急方案的演练。限制和规定计算中心、重要信息设备所在地的人员进出活动。对重要安全设备产品的选择，必须符合国家有关技术规范或经过专业测评机构检测不低于本行业计算机安全管理技术规范中的最低安全要求，并核实是否具备安全部门的设备准用证或国家有关部门的安全产品许可证书。严格确定信息设备的合法使用人。建立详细的设备使用运行日志及故障维修记录，实施定期的设备维护、保养操作。2.6应用系统安全应用系统安全的目标是保证中国银行各业务应用系统开发过程以及最终产品的安全性，安全建设必须与应用系统建设同步进行。应用系统安全决定了银行资金的安全，应用系统安全化建设是中国银行业务发展的重要组成部分。质量管理和安全监控必须实施于应用系统从计划到运行全周期的各阶段（即需求计划阶段、系统设计阶段、技术实现阶段、安装测试以及投产运行阶段）。应用系统的总体需求计划阶段，应全面评估系统的安全风险，分析系统的潜在威胁，根据银行信息资源的保护等级策略，确立系统的访问控制、身份认证、信息加密、审计跟踪、稽核检查等安全需求，并征求保卫部、监察部、稽核部意见，确立应用系统的安全策略。在应用系统的总体架构设计的过程中，应实施安全需求设计，并确立安全服务机制、项目开发人员安全技术要求和操作规程。应用系统的实现阶段，应根据安全需求设计实施安全技术，对应用系统技术实现过程进行质量管理，防止技术开发人员故意保留“后门”，保证系统最终产品的安全性质量。在应用系统建设的各阶段，必须保证中国银行应用软件的完整性，即确保软件的变更是经过授权及合法性的验证；必须形成各阶段相应的系统功能设计及技术实施的规范性文档，以及重要的系统安全策略，安全规划、应急计划、风险分析、安全服务机制等安全性文档，并随着系统实现的进程应保持文档变更的同步及准确。应用系统投产运行之前，必须充分进行局部功能、整体功能、压力测试，以及与安全需求目标一致的系统安全性能、操作流程、应急方案等重要安全性测试，测试的结果应记录文档。只有正式经过管理、操作、技术控制等安全鉴定获准的应用项目，可以投入生产运行。2.7通信网络安全网络安全的目标是有效防范网络体系的安全风险，为中国银行应用系统发展提供安全、可靠、稳定的网络管理和技术平台。通信网络安全建设是中国银行业务发展的基础，通信网络安全管理和网络安全技术的配合是获得网络整体安全的基本保障。通信网络架构的安全可靠性设计、网络建设的安全投入应依照国家或银行业制定的各项安全管理规定和安全产品技术标准，充分考虑银行应用的发展规划和安全保护等级。对于依赖网络架构安全性的业务和应用系统，必须视其安全级别，实施相应的访问控制、身份认证、抗抵赖、加密、审计等信息安全服务机制，以提高业务和应用系统的安全防护能力。在中国银行内部网络与外部网络的接入口、内部区域网的接入口、重要业务系统的外联接入口，必须视信息资源的保护等级，实施相应安全级别的隔离防火墙、认证、审计、动态检测等安全技术措施，防范银行信息资源被非法访问、篡改和破坏。任何员工不得在未经银行安全管理认可的情况下，擅自从银行内部网络的计算机直接访问银行外部网络。 2.8运行安全运行安全的目标是保证中国银行的信息系统日常运行的安全稳定，对信息系统的运行环境、技术支持、操作使用、病毒防范、备份措施、文档建立等方面实施安全性管理。对信息系统运行阶段的任何变化，数据、软件、物理设置等，都应实施技术监控和管理手段以确保其完整性，即防止信息被非法复制、非授权的修改及破坏，确保信息系统的任何查询和变更操作是经过授权及合法性验证。软件是计算机系统运行的核心。软件的安全保护及正确运行至关重要，应严格控制计算机系统中软件的使用。软件的随意下载及运行，将使银行计算机网络系统容易产生病毒侵入，干扰系统正常运行及系统安全防护的失效。新版软件、版本升级过程要实施投产前必要的软件检验和测试。中国银行应确保银行所用软件的版本合法。银行技术支持人员、软硬件供应商、第三方技术提供商都有可能从事技术维护服务。银行必须实施严格的访问控制机制和制度，确保只有合法的人员才能进入系统从事维护活动。银行应建立多层次、立体式病毒防护体系，维持病毒采集、汇总、上报、升级的渠道顺畅，提高病毒检杀的响应能力，从网络、服务器、单机的各个环节有效防范病毒侵入。信息系统的程序和数据备份至关重要。备份的周期取决于数据的变动频度及变动的重要程度，重要的系统和数据必须做到异地备份，确定备份的工作流程。要经常检测备份以保证其可用性。备份应安全存放。对各种信息媒介应实施物理环境保护及其他各种控制措施，确保磁带、磁碟、光盘、打印数据等重要媒介不失密、不被破坏、不被篡改和不失效，维护其完整性和可用性，并授权专人负责介质的登记、存放、检验等维护工作。计算机技术维护和操作都应有相应的文档，以确保支持的连续性和一致性。正确的操作描述文档有助于防止对安全的忽视、减少操作的失误。当数据信息、硬件设备、软件程序结束运行使用时，视需求分别进行存档、废弃和销毁处理。存档的信息应充分考虑将来查找和检索的需要；电子信息的存档要考虑到数据生成技术的未来可用性；为满足加密信息的查询需要，应对加密密钥采取有效的存放保管措施。重要信息的销毁应在相关人员的监督下完成。2.9应急计划银行信息系统应急计划的目标是分析银行信息系统可能出现的紧急事件或者灾难事故，技术支持和业务部门应建立一整套应急措施，以保障银行关键核心业务的连续服务。一旦发生重大的或灾难性事故时，计算机安全工作机构应迅速进行灾情分析，并上报计算机安全工作委员会，各信息中心或省行计算机安全工作领导小组即成为应急领导小组，负责指挥执行紧急应变计划，排除灾难事故。同时应急领导小组还要组织相关的部门做好对外的解释、宣传和公告以及保卫工作，防止事态的扩大。应急计划要充分考虑到信息系统可能面临的由于系统设备、软件、网络通讯而造成的紧急故障，地震、火灾等自然灾难事故，以及由计算机病毒、恶性程序代码和来自行内、外部人员非法侵入产生的安全事件。银行应建立对安全事件的快速反应机制，并使之成为应急计划的一部分。根据银行业务服务的要求以及对事故的恢复能力，银行应确定应急措施所维持的核心业务及优先级别。应急措施的建立将维持关键核心业务服务，银行应对构成核心业务的全部资源进行分析，明确相关的人员、设备处理能力、基础服务支持、数据和应用系统、文档及文件等资源。银行应急方案的设立应充分考虑可能发生的事故，同时应本着实用、灵活、低成本原则。根据各核心业务的资源，确定应急方案的人员指挥架构及工作流程。应急计划要明确描述紧急事故发生、核心业务的应急处理、正常业务的恢复等各环节的流程及操作步骤。为确保应急计划的正确启用，应确保编写正确的应急手册及对人员的培训。为保证应急计划的有效，银行应针对不同业务系统要求，定期进行应急方案的测试演练，并适应当前系统资源的变化，及时调整、完善应急计划。针对恶性安全事件，银行信息系统应具备相应的技术措施，提供对安全事件的快速反应机制，并及时中断安全事件对其他系统的危害，迅速搞清本系统存在的漏洞，有效防范未来事故的再次出现。2.10信息保密安全 信息保密安全的目标是建立信息安全保密管理制度，实施有效安全技术，保护中国银行的各种密级信息，防止外泄和失密。银行必须依照国家有关政策法规，不得将涉及国家秘密的信息系统，直接或间接地联入国际互联网或其他公共信息网络，必须采取有效隔离。员工必须遵守国家有关保密规定，不得利用电子函件传递、转发或抄送国家秘密信息和我行的商业信息。银行的办公信息网与业务处理网应实行有效隔离措施。对于银行信息系统的个人访问密码、密钥、信息系统的功能实现技术和资料文档，加密、鉴别、认证、密钥产生等关键安全技术措施，以及目前系统尚存的风险漏洞等决定信息系统安全性能的重要信息，员工不得向外泄露。员工有责任将银行信息系统存在的隐患和漏洞通过适当通道向银行有关部门报告。2.11安全责任任何人员只能访问其职责权限范围内的信息资源，如发现超越职责权限访问资源的行为，应立即停止其访问权利，并给予警告。任何人员如有故意编造或发送恶意程序、输入计算机病毒，影响银行的正常办公、业务信息处理秩序的行为，视情节严重情况，给予相应的行政处分，构成犯罪的应送交公安部门处理。计算机安全工作委员会对全行计算机安全负领导责任，对制定我行计算机安全的实施策略和原则负直接责任；并保障信息安全所需的人、财、物资源，仲裁有关计算机安全的重大事项。计算机安全专家小组：评估和鉴定我行计算机安全技术体系。计算机安全检查机构：监督检查我行技术机构内部安全制度的执行，检查技术防范的实施，协调解决计算机安全问题。计算机技术保障机构：落实全辖信息安全策略，安全体系资源的配给和调度以及安全建设的规划组织、技术协调。对所建设的金融信息系统，负有安全设计、安全建造、安全稳定运行、安全变更维护，以及安全防范的责任，并在技术范畴内保守客户秘密。计算机综合应用机构：对安全合规地使用信息系统，审慎地进行电脑操作和业务管理负责，并为客户保守一切秘密。各级人力资源部门：对违反安全策略和安全操作并造成重大影响的人和事，按国家和总行的相关规定严肃处理；各分行人力资源部门应遵照总行安全策略落实奖惩措施。