天融信银行行业安全保障体系解决方案

　　由于银行信息网络中处理、传输、存贮的都是金融信息，对其进行攻击将获得巨额的金钱；而且，对银行信息网络的攻击，可能造成对国家经济的直接损失。因此无论从银行信息网络的受关注程度，还是银行信息网络的重要性的角度，都导致银行信息网络的安全问题日益突出。

由于银行信息网络中处理、传输、存贮的都是金融信息，对其进行攻击将获得巨额的金钱；而且，对银行信息网络的攻击，可能造成对国家经济的直接损失。因此无论从银行信息网络的受关注程度，还是银行信息网络的重要性的角度，都导致银行信息网络的安全问题日益突出。

银行信息安全工作是针对银行各信息系统中存在的信息安全风险而开展的。银行的信息安全战略则是从银行的业务需求出发，遵从风险管理的理念，在银行信息技术战略规划的基础上，借鉴国际最佳实践经验，为全面指导银行的信息安全工作而制定的方针政策，并实现以下的建设目标：1、保障业务持续，促进业务发展；2、保证信息的机密性、完整性和可用性。

信息安全保障体系包括以下四个领域：信息安全战略、信息安全管理、信息安全运作和信息安全技术，针对银行信息系统的特点，建议采取以下的总体框架： 

针对银行信息系统，天融信建议整体运作体系框架由两大部分组成。顶部的四个箭头块代表了信息安全运作的目标模式和概念性流程。它以风险管理的四个环节作为运作的主线，描述了信息安全业务的基本运作模式。在其下面罗列了信息安全运作中的一些具体事物，是概念性流程在具体对象层次上的实现。

运作框架上半部分的概念性流程包括风险评估、规划实施、安全监控、响应恢复四个主要步骤。风险评估阶段确定银行的信息安全需求和可接受的残余风险；规划实施阶段将这些信息安全需求用具体的安全控制措施加以实现，将风险减少到可接受的程度；安全监控阶段对安全控制措施的有效运行进行监控跟踪，确保其能够持续地满足银行的信息安全需求，同时对残余风险可能引致的安全事件进行实时地监控；响应恢复阶段对已经发生的安全事件和突发事件以及重大灾难性事故。

银行行业信息安全技术

针对银行行业信息系统的特点和应用系统的组成，通常采用的安全防护技术手段（或安全服务）分为身份认证、访问管理、加密、防恶意代码、加固、监控、审核跟踪和备份恢复等八类，如下图所示： 

对于银行信息系统，信息安全保护重点的是主体对客体的访问过程。其中，对于主体和客体都需要进行身份认证，而对于整个访问过程需要进行访问管理，并辅以加密、防恶意代码和加固等技术手段。为提高整体的安全等级，对于整个访问过程需要进行审核跟踪和监控，并对意外安全事件进行响应和恢复。