《银行整体安全服务项目书》由会员分享,可在线阅读,更多相关《银行整体安全服务项目书(43页珍藏版)》请在金锄头文库上搜索。
1、银行整体安全服务项目书目录1.公司介绍41.1.XX公司51.2.B公司52.信息安全风险及银行业面临的挑战62.1.信息安全的现状62.2.国内企业信息安全方面的问题72.3.银行和金融服务机构的安全挑战72.4.安全服务项目所涉及的任务83.XX银行上海分行整体安全服务介绍104.第一阶段:风险评估114.1.第一步:边界审核和远程测试(黑箱测试)124.1.1.方法论124.1.2.信息收集124.1.3.网络结构分析134.1.4.情景分析134.1.5.模拟攻击134.2.第二步:系统分析、改善建议和应用测试(白箱测试)194.2.1.方法论195.第二阶段:解决方案215.1.网络
2、架构分析215.1.1.网络架构分析目标215.1.2.方法论215.1.3.成果225.1.4.对客户的要求225.2.制定安全策略225.2.1.安全策略范围225.2.2.成果235.2.3.方法论235.3.整体安全实施方案266.保密原则276.1.文档管理276.1.1.客户数据文档处理策略276.1.2.用户报告处理原则276.2.客户参考内容276.2.1.交叉参考277.项目团队介绍297.1.项目团队架构297.2.项目人员情况表318.项目合作形式及合作内容329.项目时间表、工作量和项目费用339.1.项目时间表339.2.工作量估计339.3.项目费用3310.成功案
3、例3511.附件3611.1.测试工具3611.2.部分用户和合作伙伴的反馈意见37第 35 页 共 36 页1. 公司介绍XX公司是目前国内领先的安全方案供应商和安全服务提供商。在国家863信息安全专项工程金融安全子项目(合作方为XX分行)以及某国家关键部门的安全集成和后期延续性服务项目实施的过程中XX公司积累了大量的安全集成和安全服务经验。同时,在上述的整体安全项目的后续服务过程中,我们也发现在目前的国内金融系统的整体安全服务领域我们与国际主流安全服务商之间的差距,因此在XX银行上海分行的项目中,我们将和业界公认的领先者B公司合作,将国际领先的B企业级安全服务首次引入中国。B公司则是国际领
4、先的信息安全服务公司,致力于为改善国际企业和金融机构的信息安全。B(亚太)的用户包括亚洲著名的银行、银行交易机构、企业用户和外包服务供应商(参见成功案例)。在本项目中,易虹天地公司是B公司亚太区的总代理和分支业务机构,负责向亚太用户推广和实施 B 服务。XX公司与B公司的合作,旨在结合XX公司对国内金融行业业务系统现状、政策的了解,以及B公司在高级信息安全专业服务方面专业化和强大技术实力(ICSA.Lab)的优势,向中国用户提供全面而高水平的服务,增强国内银行和金融企业应对信息安全问题的能力,改变国内信息安全,尤其是安全管理较为落后的局面。通过与XX银行上海分行的前期交流,我们了解到,XX银行
5、对自身的安全问题有一个较为清晰的认识,对整体业务安全和系统稳定性、安全性等方面有一定需求,希望寻求相关公司提供解决方案,对包括业务系统在内的整体安全状况进行评估和测试。在此情况下,我们希望能够与XX银行上海分行一起,针对上述问题,实施整体安全服务。在对XX银行实施整体安全服务的过程中,我们将严格参照ISO 17799 (信息安全管理实施规范)的规范进行实施。同时,我们还参照包括香港金融机构的电子银行服务安全风险管理指南和国际结算银行的电子银行风险管理规范中的相关内容。鉴于国内外安全管理方面的不同发展进程,我们将尽量结合国内用户的实际情况,有选择地采用国外银行业安全实践XX银行之有效的安全标准和
6、安全措施。1.1. XX公司XX公司前身是上海XX有限公司,成立于vv年3月。 XX致力于推动我国信息产业的发展,利用联合的优势,自主开发信息安全软件,产品覆盖电子商务安全、金融银行安全、安全电子邮件、企业网络安全和IC应用卡等领域,并针对用户的实际要求,提供全方位、多层次的安全解决方案,并给出有效的安全咨询意见。成立至今的两年多的时间里,XX投入大量资金、人力,为维护企业网络安全、建立一个安全的可信赖的安全电子商务环境做出了大量的科研开发工作,填补了国内在信息安全领域多项空白,并已和政府、企业、银行、银行和ICP领域开展了多方位的合作,取得良好的社会与经济效益。1.2. B公司 B公司作为国
7、际互连网安全领域的领导者,其安全服务用户对象包括数百家大型公司和政府。其中:B为美国联邦储蓄和保险集团的检查人员提供长期的培训服务,美国证监会采用B的方法和认证作为在线交易的有效性和安全性的参考依据。在香港,B公司协助香港生产力促进局提高全港用户对网络安全问题的意识,同时作为香港金融管理局认同的安全服务提供商,B为协助香港金融管理局制定电子银行安全管理规范提供咨询意见并提供相关服务。同时B也是香港计算机网络应急处理协调中心顾问委员会的重要成员。B(香港)在香港金融管理局的安全规范指导下,为金融客户提供的服务内容包括:安全策略制定和实施、物理安全检测、安全风险控制、安全预警、阶段性评估、安全漏洞
8、检测和记录、系统与网络安全(含网络设备检查)、强身份认证和数据保密性分析。2. 信息安全风险及银行业面临的挑战2.1. 信息安全的现状信息安全是涉及计算机、网络技术、通信技术、密码技术、企业管理和社会工程的综合科学。旨在保护信息和相关应用系统的保密性、完整性和可用性。随着新技术的发展和普及,企业的业务活动越来越多地依赖更加复杂的计算机设备和通讯手段来完成,安全风险随之增加。无论是包括银行、保险、电信等行业在内的敏感企业,还是普通的制造和商业企业,都已经认识到了信息安全的重要性。尽管如此,信息安全方面的专业调查仍然向我们展示了一些令人震惊的结果:l 60%的企业机构可能受到拒绝服务类攻击。l 8
9、0%的用户不知道自己的网络系统究竟提供了哪些服务,其中哪些可以从外部通过 Internet 访问。l 80%的企业不具备完备的安全政策。l 70%配备了防火墙的站点依然无法防范已知的攻击手段。上述现象的存在,主要由于企业的安全管理意识不强,安全管理手段欠佳造成的。大部企业虽然在安全方面有所认识,并采取了相应的安全手段,却不能很好地将安全问题提高到企业的业务战略的高度加以考虑。因此,在安全项目的实施中,常常会因为缺乏对安全工作的重视或认为安全工作必须服务于业务系统而进行妥协,在应用系统中埋下案例隐患。另外,企业在实施安全项目时,经常将安全工作简单地理解为采购大量软硬件设备,严格控制用户访问的过程
10、,这显然不是正确的安全观点。实践证明,信息安全的重点是管理,而非技术。企业必须认真地分析自身的业务需求,并据此制定相应的安全战略;在它的指导下,建立和健全安全管理体系,规范业务活动和操作流程,提高安全防范意识,实施技术保障手段和应急措施,最终有效地保证企业的信息安全,降低运营风险。2.2. 国内企业信息安全方面的问题国内企业在信息安全方面必须解决的问题包括:a) 缺乏完善的信息安全法规和特定行业的安全标准,使企业在实施信息安全项目时存在较大的盲目性。b) 国内市场上的安全技术、安全产品和安全服务严重滞后,无法满足企业的信息安全要求,也不能帮助国内企业应对国外最新发现的安全风险。c) 安全厂商、
11、服务商和企业用户对信息安全的风险、防范手段和安全技术缺乏系统研究,无法针对企业的需求,形成全面的信息安全战略。d) 企业信息安全项目的实施没有列入企业的战略高度,不能与企业的业务目标很好地统一。e) 企业用户普遍缺乏针对信息安全问题的紧急响应能力,无法及时发现隐患,阻止攻击、滥用等安全问题的出现。2.3. 银行和金融服务机构的安全挑战信息是银行和金融服务机构最重要的财富。如何保障信息资产的完整性、保密性和可用性,并允许用户以适当的方式对其进行便利的访问,已经成为一个日益突出的商业问题。在传统应用向Internet 应用发展的进程中,银行和金融企业面临的内外部风险不断增加,形成包括拒绝服务、数据
12、修改、计算机欺诈、人为破坏、计算机病毒及其它潜在的安全问题和隐患。这种情况下,如何制订完善的企业安全战略,综合运用包括物理和电子手段在内的安全措施,对交易信息、资产和客户资料进行保护,具有非常重要的意义。银行的金融系统主要运行于分行网络、内部设施 、Internet、专网和虚拟专网等复杂环境,应用系统包括包括网上支付、网上银行、电子清算等。其中的每一个环节,无论是金融交易,还是金融系统或网络环境等,都是高度复杂的。这种复杂性本身就是一种重大的风险因素,如果不能有效地管理和把握,势必威胁企业的信息安全。多数金融企业对信息安全的认识仍有待于提高。一方面,部分企业对于安全战略的制订和实施缺乏紧迫感,
13、直到出现安全问题,造成危害,才去亡羊补牢;另一方面,在已经建立和实施了信息安全机制的企业中,多数企业还单纯寄希望于高技术手段的采购和实施,对安全管理的改善缺乏投入,安全管理严重滞后于技术采购,既不能发挥现有安全机制的作用,也不能消除多种安全技术并存时产生的种种安全漏洞。针对上述情况,银行和金融企业的安全工作应该从分析企业的业务模式和与业务相关的信息安全风险入手,由安全专家与银行的高层管理人员一起,审查银行的业务目标、安全战略和安全架构,制定出行之有效的安全战略,才通过适当安全技术的采用而加以实施;之后,还要对可能存在安全风险的地方,进行深入测试和审查,逐步加以完善。2.4. 安全服务项目所涉及
14、的任务当企业网络接入到互连网中,所面临的主要安全威胁有: 来自组织外界的导致服务中断因素(黑客攻击手段,如DDOS等) 在线重要信息的被窃和关键信息在传输过程中丢失; 数据和用户身份的误用或冒认;上述的这些安全威胁主要的方式有:拒绝服务攻击、数据篡改、计算机欺诈行为、系统破坏、资源滥用、计算机病毒、潜在的风险和灾难等。因此为了实现系统的整体安全目标,在技术和安全产品的基础上必须设计一个整体安全策略。安全项目的范围主要包括: 分析和评估客户现有的IT环境; 为了解客户主要资产以及相关的安全风险,双方必须进行一个高水平的系统安全风险评估; 建立一个企业级的安全策略; 对相关设备和主要的服务器设立安
15、全策略的标准; 向管理层提交安全目标综述。其中安全目标综述包括: 企业范围内的安全策略; 专项的安全说明,包括:n 防火墙安全策略;n 非军事区安全策略;n 路由器/交换机的安全策略;n 管理员工作站安全策略;n 关键服务器安全策略;n Internet主机安全策略;3. XX银行上海分行整体安全服务介绍XX公司和B公司很荣幸能够合作向XX银行上海分行一套完整而又行之有效的整体安全服务。在这个项目书中,我们将在整体安全的框架下,分步介绍在整个项目计划的每一步中所采用的方法、工具和相关技术。XX公司和B公司有足够的经验和资源在一个较短的时间段内完成既定的计划。我们对该项目中所涉及的技术问题有足够的了解,同时相信我们按时完成任务。在执行该项目的过程中,XX银行上海分行即其员工的通力合作也是确保项目计划成功完成的一个重要保障。在整个项目计划中,主要包括以下几个重要过程: 风险评估 制定解决方案 计划实施 实施
