核心系统安全策略

新核心系统安全策略新核心系统安全策略 XX 银行信息技术部所有 未经授权 严禁复制 编辑和传播 目录目录 1 核心业务系统 应用和业务安全控制和管理策略核心业务系统 应用和业务安全控制和管理策略 3 1 1 系统核算风险控制系统核算风险控制 3 1 2 访问控制访问控制 3 1 3 人员控制人员控制 3 1 4 业务控制业务控制 4 1 5 资源控制资源控制 5 1 6 数据安全数据安全 5 1 7 预警与保护预警与保护 5 1 8 审计要求审计要求 6 1 1 核心业务系统 应用和业务安全控制和管理核心业务系统 应用和业务安全控制和管理策略策略 1 11 1 系统核算风险控制系统核算风险控制 系统核算风险控制经过 经办 复核 授权 后督 四个基本环节 每个环节之间相互制约 管理柜员对超过前台柜员权限的业务进行复核 或授权 管理柜员与前台柜员要分工明确 不能交叉操作 后督中心采 取 分行集中监督 档案光盘微缩 凭证统一保管 的管理模式 1 21 2 访问控制访问控制 访问控制指基于部门或应用管理员定义的访问权限 具体要求如下 访问权限 交易权限 交易额度限制等可以通过参数进行配置 可 以有效地控制权限的颗粒度 其最细的控制可到界面的某个交易 并且 为不同帐户的授权必须遵循最小权限原则 即只为不同操作员用户赋予 其完成各自承担任务所需的最小权限 且支持自动初始化用户鉴权信息 仅显示用户所拥有使用权限的功能菜单及信息展现 支持基于角色画面 访问以区分不同类型的操作 支持多级授权机制 所有的交易授权可采 用刷卡方式或指纹方式完成 支持柜员 机构 终端绑定功能 屏蔽客 户端使用 Ctrl N 等快捷键等方式重复登录 1 31 3 人员控制人员控制 操作员角色由总行统一定义 管理中心对前台柜员身份进行分层管 理 系统严格管理柜员的身份 每个柜员都有一个唯一柜员号 并终身 使用该号码 柜员自己管理自已密码 此密码口令经加密后在系统中存 储 不可查询 只有本人才能修改口令 密码遗忘后须经相关审批流程 重新启用 柜员密码定期强行要求修改 并按密码管理办法判断设定是否合格 如密码长度不能少于 6 位 密码应由字符和数字组成 密码不能与 前 6 次相同 90 天 根据需求天数可配置 强制修改密码 系统不允 许相同的柜员再次签到 柜员停止操作界面一定时间后 系统会自动退 出 设置临时签退交易 用于柜员临时离开后防止他人进入系统 柜员 密码输错超过三次时 根据需求次数可配置 自动退出登录画面 身 份锁死 不再支持登陆验证 需审批后重新启用 维护人员控制 维护人员作为特殊的一类柜员 也必须有身份确认 密码管理和签到控制等管理机制 维护人员只能通过界面进行维护工作 而不能直接使用系统命令 1 41 4 业务控制业务控制 系统的会计业务必须坚持现金收款 先收款后记帐 现金付款 先记帐 后付款 转帐业务 先记借方后记贷方 他行票据收妥 入帐 和 银行不予垫款 的原则 以确保资金安全 系统可配置操作 流程 前台可灵活设定录入与复核数据比对功能 供输入帐号校验检查功 能 系统应有很强的可靠性 并具有 实时处理 和 批处理 两种方 式 保证各项业务工作能适时 连续 准确地进行 在通讯瞬时中断造 成前后台交易不一致状况下 提供查询业务交易是否成功的功能 充分 利用数据库信息提供多种会计 统计 财务及业务监控等信息资料 1 51 5 资源控制资源控制 通过配置能实现终端绑定功能 以保证该系统不能被未经授权的终 端设备使用 1 61 6 数据安全数据安全 利用我行密钥体系对敏感信息 PIN 交易报文进行加密 支持国 家标准的第三方硬件加密机及其密钥管理体系 支持数据重传 对传输的过程全程记录等安全机制 禁止使用 ftp 等安全级不高的文件传输方式 对传输中的文件均采用 NFS 方式 可以支持 MQ TCP IP Tuxedo CICS 等多种通信方式 应用系 统能够支持数据在存储处理过程的安全性 为了防止人为修改数据库中 的数据 采用我行加密算法对记录中关键数据押码 并将押码值保存到 记录的附加字段中 dac 字段 系统支持第三方认证接口 系统通过事务的完整性来确保数据的完整性 通过硬件故障容错机 制及对数据和日志的保留与恢复来确保故障情况数据的安全 提供数据 合法性验证功能 通过结合数据库提供的保护机制 保证当故障发生时 自动保护当前所有状态 并可实现系统的快速恢复 1 71 7 预警与保护预警与保护 提供预警与保护机制 系统提供面向交易提交的预警机制 有效的 降低前端系统和后台系统的负载 为了防止临时文件过多而影响系统执 行效率 提供磁盘预警的功能 在并发用户过高的情况下 其他提交的 交易会根据策略 进行先并发后排队的机制 当这两种机制都无法满足 要求的情况下 返回警告信息 并且不再进行排队 直到通讯资源正常 由统一的监控平台对系统 硬件资源和软件运行情况进行实时监控 预警 系统提供连通测试功能 管理员通过手工触发连通测试 系统连通 状况 如与外围系统的连通情况等 通过图形界面显示给管理员 通过 管理平台定期实现系统的健康检查 检查当前系统的各个服务进程是否 运行正常 健康检查的结果以图形化的方式在管理平台上显示 通过集群方式来保证硬件和软件单点故障影响最小 1 81 8 审计要求审计要求 日志包括系统日志 交易日志 系统的所有变更将被自动记录在系 统日志中 可在交易日志中获取交易数据 需审计的交易数据可通过配 置实现 无需写入应用代码 应用系统应记录以下审计数据 包括但不限于 详细记录所有非法请求的相关数据 详细记录发送的每笔请求的报文明细 包括操作时间 操作人 授权人 交易类型 服务代码 交易账户 交易金额 币种等 记录对关键数据如参数 账户等记录数据的变更 包括操作时间 操作人 授权人 修改数据项 修改前值 修改后值等 按照 商业银行信息科技管理指引 要求 交易日志应按照国家会 计准则要求予以保存 系统日志保存期限按系统的风险等级确定 但不 能少于一年 。