金融机构信息系统投产指南

背景

随着银行业务的快速发展，迎来了新一批民营银行的开业浪潮，越来越多的银行加入到新数据中心的建设投入中，而大多数银行都同样面临着重要信息系统投产或变更的需求，鉴于此类安全项目的增多，绿盟科技结合监管单位要求及银行业信息安全服务经验，为数据中心及重要信息系统投产整理归纳了一系列安全服务，旨在银行业用户在合规的前提下，提前发现新系统的安全风险，保障重要信息系统顺利上线。

监管要求

金融行业是经济社会运行的神经中枢，是网络安全的重中之重，银行业金融机构重要信息系统属国家关键信息基础设施保护范畴，首先遵循国家信息安全法规，银监会及人民银行对于重要信息系统投产及变更也做了严格的上线要求，因此在设计重要信息系统安全风险评估服务时，绿盟科技在提炼国际安全标准的前提下，主要依据以下安全标准和规范：

《中华人民共和国网络安全法》

《金融行业信息系统信息安全等级保护实施指引》

《商业银行信息科技风险管理指引》

《商业银行数据中心监管指引》

《银行业金融机构重要信息系统投产及变更管理办法》

《中国银行业信息科技“十三五”发展规划监管指导意见》

《商业银行业务连续性监管指引》

《银行业金融机构信息科技外包风险监管指引》

《网上银行系统信息安全通用规范》

《电子银行安全评估指引》

专业评估方案

绿盟科技依据多年成熟的安全评估方法论，结合监管要求及各类型威胁风险点，为银行业金融机构重要信息系统上线投产设计了一整套安全评估方案，主要总结归纳为以下十三个方面：

新型技术专项威胁：监管机构支持新建民营银行及现有商业银行“利用大数据、云计算、移动互联等新一代信息技术，开展产品、服务、管理和技术创新”，新技术对金融系统带来业务增加的同时也伴随着新威胁风险的产生，绿盟科技对大数据、云计算及移动互联等新技术进行专项研究，将最新研究成果导入重要信息系统风险评估底稿，为金融行业用户提供最及时的安全威胁挖掘。

业务流程安全：业务设计缺陷风险在金融行业一直高居不下，传统的安全评估方案不足以满足业务安全要求，绿盟科技把业务操作和业务流程设计、业务逻辑实现载体作为分析对象，在业务流程梳理过程中，结合STRIDE分析和已知风险对照法进行业务安全风险识别，同时，拆分各业务功能模块，明确各模块的安全目标与要求，指导安全风险梳理及明确防护目标。

业务影响分析：绿盟科技依据先进的业务连续性管理方法论和业界最佳实践，通过问卷调查和现场访谈、专家判断和引导式研讨会等工具和技术手段，采用基于定性和知识分析方法实施BIA工作，最终确定各业务系统的RTO/RPO，目的在于从业务层面识别金融机构关键业务功能和产品，并确认关键业务与信息系统的依赖关系，从而获取信息系统灾难恢复需求，以及重要业务的应急处置手段和恢复所必需的资源。

安全漏洞扫描：在网络安全体系的建设中，安全扫描工具花费低、效果好、见效快、与网络的运行相对独立、安装运行简单，可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定，是进行风险分析的有力工具。绿盟科技将使用自主知识产权且自主研发的远程安全评估系统针对服务范围内的重要信息系统进行远程扫描，以发现服务器、主机、网络设备、安全设备等各层面的安全漏洞信息。

远程渗透测试：绿盟科技渗透测试团队在业界一直处于领先水平，也是绿盟科技进行安全评估的必备环节，在金融行业重要信息系统评估中，我们将根据系统类型，在传统渗透的基础上，从信息收集、配置管理、用户认证、会话管理、角色授权、数据验证等方面，结合用户对渗透测试的特定需要，专门设计渗透实施及风险规避方案，以满足业务安全要求。

网络架构分析：网络架构分析对重要信息系统所在目标网络现状、网络建设规范性、网络可靠性、网络边界安全、网络流量分析、网络通信安全、网络设备安全和网络安全管理共八个方面进行网络架构安全性的全面分析，对整体网络中的脆弱点进行识别，评估结果包括定性和定量分析，让用户对网络中存在的风险了如指掌。

安全配置核查：绿盟科技结合《金融行业信息系统信息安全等级保护实施指引》制定了金融版配置核查基线，绿盟安全配置核查基线涵盖五大类设备、38种设备提供配置核查，包括63个检查模板、1902个合规检查项，在重要信息系统评估活动中，将采用此基线对目标设备采用智能的profile技术，分析获得目标主机20多类信息，最终在核查报表中进行呈现。

基线标准建立：银行业金融机构各大信息系统综合交错，对信息系统进行分级管理能有效的降低安全风险，系统重要性是决定了风险高低的关键因素，我们建议用户采取信息安全基线分级标准，绿盟科技参考国内外的成功经验，结合行业的风险控制手段，为用户设计出适合金融机构自身业务特点的安全基线模型，为用户上线及运维提供有利的安全评判标准。

威胁抽样分析：为了充分了解重要信息系统面临的网络安全威胁，需要利用已经威胁及未知威胁检测系统，在系统内外甄选典型性的侦测点，对可能存在的安全威胁进行实时采样收集，对象包括各类主机系统、网络设备、数据库应用等在网络中传输的数据，采样结果将作为安全风险评估的一个重要参考依据。

机房物理安全：绿盟科技依据《GB50174电子计算机机房设计规范》、《GB2887计算站场地技术条件》A级机房标准和《商业银行数据中心监管指引》规范要求，对银行业金融机构数据中心进行机房物理安全评估，物理层评估对象包括机房环境、机柜、电源、服务器、网络设备和其他设备的物理环境，评估完成后输出提交《数据中心机房物理安全评估报告》。

安全策略分析：绿盟科技安全策略评估分析是对重要信息系统所在网络的安全控制、安全管理、安全使用等进行最全面、最详细的策略检查，安全策略是整个网络安全的依据，不同的网络需要不同的策略，绿盟科技对银行业同类型系统进行横向对比，整理输出一整套全面的策略检查CheckList，对各系统进行差距分析。

内控安全评估：通过对重要信息系统所在的安全管理体系内部控制进行审核，了解现有管理体系制度与《商业银行信息科技风险管理指引》、《银行业金融机构重要信息系统投产及变更管理办法》、《商业银行数据中心监管指引》等相关国家和行业标准的符合情况。绿盟科技评估内部控制制度的文档范围包括但不限于包括安全管理策略文档、制度文档、流程文档、方案文档、规范文档、应急计划、连续性计划等。

外包管理评估：依据监管要求，绿盟科技外包管理评估覆盖IT外包管理整体制度体系，包括外包前的承包商背景调查、外包协议的签订（特别注重服务水平协议和保密协议）、外包过程中的持续监督、外包事件的应急处置和纠正、外包结束或变更的控制，以及向银行内部管理层、外部行业监管机构的报告机制等，最终为用户输出与重要信息系统关联的外包服务机构情况、外包服务内容以及外包风险评估报告。

合规报告清单

在对重要信息系统进行上线投产风险评估完成后，绿盟科技项目团队将为银行业金融机构输出包含所有评估内容及风险清单的信息安全风险评估报告，此报告系投产报备的关键文档之一，同时，绿盟科技将为用户提供专业的报备和系统上线保障咨询工作。

报告建议流程

依据银监会《银行业金融机构重要信息系统投产及变更管理办法》要求，金融机构重要信息系统投产必须于上线前20个工作日向当地银监局上报备案，重要信息系统变更前10个工作日也应向当地银监上报变更方案，且在上线1个月后上报运行总结报告，下面绿盟科技归纳的投产报备流程：

说明

1.银行业金融机构在重要信息系统投产的同时，重新设立数据中心，则应同时完成数据中心风险评估，《商业银行数据中心监管指引》要求商业银行应在数据中心规划筹建阶段，以及在数据中心正式运营前至少20个工作日，向中国银监会或其派出机构报告。欲知详情请向当地销售经理索取绿盟科技数据中心评估方案。

2.银行业金融机构电子银行系统同属重要信息系统，在进行重要信息系统评估报告的同时，应依据《网上银行系统信息安全通用规范》及《电子银行安全评估指引》向当地监管单位完成相关报备流程。欲知详情请向当地销售经理索取绿盟科技电子银行评估方案。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP