基于等级保护的金融信息安全保障体系建设

作者: 陈萍琼 出处:51CTO.com　2007-07-04 19:08　   砖    好    评论  条 　进入论坛

阅读提示：传统的管理运行方式已成为许许多多安全隐患的根源，因此金融系统对信息安全体系的建设既存在符合政策合规性管理的要求，又存在自身安全保障体系建设的需求。

一、方案背景
2003年中办发[2003]27号文（《国家信息化领导小组关于加强信息安全保障工作的意见》）中明确指出：“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。根据国家信息化领导小组的统一部署和安排，我国将在全国范围内全面开展信息安全等级保护工作，之后相关主管部门也相继推出了许多政策与措施，2004年11月四部委联合签署《关于信息安全等级保护工作的实施意见》（公通字[2004]66号），2005年9月国信办签发《关于转发《电子政务信息安全等级保护实施指南》的通知》（国信办[2004]25号），2005年公安部标准《基本要求》、《定级指南》、《实施指南》、《测评准则》等相继颁布，2006年1月四部委会签《关于印发信息安全等级保护管理办法的通知》（公通字[2006]7号），这些政策的相继出台为国内金融机构等单位实施信息安全等级保护工作提供了指导与要求。

二、需求分析
金融信息系统是技术密集、资金密集、大型复杂、网络化的人机系统，随着全球信息技术的快速发展，信息科技在金融系统中的应用越来越广，金融机构对信息系统的依赖程度也越来越大，与此同时，金融机构所面临的信息科技风险也随之增大。面对金融体系改革与WTO国际结轨的双重压力，以及网络黑客的攻击与不法组织的蓄意破坏，风险的抵御能力还有待提高，为此国家相关部门也在积极促进信息安全等级保护工作的推进，意在促进国内金融体系建立起信息安全保障机制，以增强抵御外界风险的能力，防止金融系统风险的发生。
金融行业进行信息化建设起步较早，但传统的安全管理方式是将分散在各地、不同种类的安全防护系统分别进行管理，各系统单独保护，相互冲突和割裂，形成信息孤岛，导致安全信息分散，互不相通，安全策略难以保持一致；此外，各安全系统单独建设，造成分散、低水平重复投资，在建立长效机制方面也考虑较少，难以做到可持续运行、发展和完善；这种传统的管理运行方式已成为许许多多安全隐患的根源，因此金融系统对信息安全体系的建设既存在符合政策合规性管理的要求，又存在自身安全保障体系建设的需求。
三、方案描述
启明星辰信息技术有限公司根据金融系统实际的安全需求出发，在全面体现GB17859-1999的等级化标准思想的基础上，以公安部《信息系统安全保护等级定级指南》和《信息系统安全等级保护测评准则》等相关标准与指南为主要指导，充分吸收近年来安全领域出现的信息系统安全保障理论模型和技术框架（如IATF等）、信息安全管理标准ISO/IEC 17799：2000和ISO/IEC TR 13335系列标准，根据金融行业的特点和信息化现状，运用业界权威的安全风险评估标准与模型，结合启明星辰多年的安全风险评估经验与实践，从组织保障层面（人）、运营管理保障层面（过程）以及技术实现与保障层面（技术）三个层面（简称PPT）提出了基于等级保护的信息安全保障体系整体框架和设计方案。

四、方案整体架构
启明星辰基于等级保护的金融信息安全保障体系整体架构如下图所示：

五、方案特点与优势
1． 技术先进性与可靠性
采用的技术具有前瞻性，能够满足同类信息系统跨平台的移植和推广要求。同时，遵循国家有关计算机信息系统安全标准和规定，符合金融行业资产系统的接入模式、接口规范、带宽要求和性能要求，尽量不影响业务处理性能、网络性能和拓扑结构。
2. 技术安全和管理安全并重
信息系统的安全保密从来就不单纯是技术问题，技术安全与管理安全并重，管理安全的思想将一直贯穿在平台的设计、实施、运行、管理、维护、创新和发展的各个方面。
3. 可维护性及易用性强
从具体的应用角度出发，满足业务和管理的需要。一方面，安全系统本身易于集中管理、可维护的，另一方面，安全系统对其管理对象的管理是方便的、简单的，同时，安全措施的采用不会影响原有系统的正常运行。
4. 具有良好的可扩展性
平台的设计已考虑到网络系统及各种安全技术的发展状况和趋势，确保平台在设计、实施、运行、管理、维护等各个阶段既能够满足现在已部署的安全产品的集中管理，也能够满足未来将要部署的各类安全产品的集中管理。此外，系统平台设计采取成熟的技术和模块经验，在完成本期工程之后可以以之为基础扩展至其它系统。
5. 互联、互通、互操作性好
设计平台既要实现平台自身各个子系统互联、互通、互操作性，又要通过监控平台和采集引擎的方式与所管理的各个系统（网络安全设备、主机、网络设备）有机地通过该平台实现互联、互通、互操作。