金融行业的IT灯塔 守内安全面安全保障

2018-06-14    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

 

银行/证券/保险/基金等是在所有各行各业中,对IT安全等级要求最高的行业,通常在其他行业领域的IT建设与内控拔得头筹后,争相学习与看齐的对象,就是金融行业。也因此,金融行业就受到了财政部、证监会、审计署、银监会、保监会等单位指导,在《企业内部控制基本规范》下,对内控与审计有了更高水平的指标要求。后又有《证券公司信息隔离制度》与《证券公司信息隔离制度操作指引》更俱体的说明了IT建设要求,必需建立统一的IT通信安全管理平台,进一步从终端安全管理、邮件审计、商务行为管理,防范老鼠仓、内幕交易、机密信息泄露的各种措施,实际达成信息隔离墙的建置要求。

面对此合规的要求,金融行业的CIO 面临几大问题点:

 1.法规遵循问题: 明白法规的重要性,但实作上需要哪些系统或如何著手是个大问题。

2.人力资源问题:IT自主开发能力不足,无法自行开发系统。

3.执行单位问题: 该由哪个部门发起? IT 单位只有技术实施与运维,难以主导执行。

4.经验问题: 需参考业内典范方案,减少走冤枉路。

5.技术问题: 找不到整合解决方案,与最权威的协助厂家或单位。

当然除了这些原因外,还有推动的问题,没有人愿做该地区或该行业的先趋者,资源协调问题等,都必需被一一克服,才有办法用IT治理提高企业竞争力,在符规的前题下达成良好的内控循环,让投资者更放心将财富交托该单位投资,也进而扩大公司的业务与收益,实现投资者与金融行业的双赢目标。

以下就解读《证券公司信息隔离墙制度指引》,将法规有关IT通信安全管理有关议题作详细说明:

1. 第九条第二款:加强对涉及敏感信息的信息系统、通讯及办公自动化等信息设施、设备的管理,保障敏感信息安全。

2. 第九条第三款:对可能知悉敏感信息的工作人员使用公司的信息系统或配发的设备形成的电子邮件、即时通讯信息和其他通讯信息进行监测。

3. 第十条:对电子邮件及即时通讯工具进行监测,依不同部门的信息分开管理,处于逻辑隔离及良好的物理隔离。

4. 第十三条:证券公司应当确保存在利益冲突的业务的信息系统相互独立或实现逻辑隔离。

5. 证券公司应当建立完善的集中授权机制,对信息系统实施分类、分级管理。公司信息系统权限的审批、设置、变动以及密码的使用、修改应有严格的控制措施并保留完备的记录。

6. 自营、资产管理或者其他业务部门不得开展跨部门联合调研、委托调研等活动,研究成果仅限于本部门内部使用,不得向其他部门传播。

7. 对敏感信息的披露,能自动采取现实,在一定范围内人员监控,不会造成不当的流通,跨部门的流通披露前一定要经过审核是否逾越权限,或是敏感信息送到特定人员做实时审计。

就以上几点,可以总结出在IT管理方面的几个要求:

1. 非许可的办公电脑不得带入办公场所,实行实体管制与网络准入控制。

2. 禁止在办公电脑(包括执行证券交易指令所用电脑)上使用QQ、MSN等即时通讯软件。

3. 限制即时通讯软件使用,在允许使用范围对通话内容与行为进行管理和监控。

4. 对办公电脑采取限制措施,屏蔽公司证券交易软件,并逐步屏蔽其他证券公司证券交易软件,含市面上常见的一般交易软件。

5. 对自营业务、资产委托等业务进行数据和通信隔离。

6. 建立邮件审计系统,对办公邮箱进行监控,对邮件收发记录全过程留痕,并方便调阅和复制。

7. 对邮件以及相关可审计系统实行分权管理。

8. 防止客户资料等敏感信息非法外泄,并提供有效的审计手段。

9. 对交易人员的指定IP电话进行监控审计。

针对上述要求,面对信息隔离墙要求,将对内外可通信管道进行监控与审计,重点项目或涉密的可能进行阻断与日志,可分为墙体本身的几大系统,包含a.上网行为管理b.邮件归档与审计 c.电话录音,在内控的需求中,包括对所有系统服务器与操作进行记录的系统日志,内部电脑管理包含补丁/杀毒/防止安装软件/USB使用/准入控制 的终端安全管理系统(或称为桌面管理系统),最后延伸到非实体系统的软管理,也就是必需制定管理规则,明确审核人员权限、授权管理,乃至于平日的IT管理到机房管理等细则,以下图说明墙内(内控)的管理需求,及隔离墙所需的几大系统:

墙内: 1.日志系统。2.终端管理系统。

墙体: 1.上网行为管理系统。2. 邮件归档与审计系统。3.电话录音系统。

 

对信息隔离墙系统要求如下:

i. 上网行为管理系统:

·实现对上网的网页访问、论坛发贴、即时消息(QQ、MSN、飞信等)、Webmail邮件收发、阻断不允许使用的外部邮箱、互联网各种应用(网上炒股、迅雷、PPS/PPTV等)的管控。

· 针对用户使用行为进行统计,同时可提供主管部门的审计需求,审计内容与审计动作都必需详实留痕。

· 对不允许使用的电脑进行网络接入的控制,同时必需时实对违反策略记录产生事件并告警。

ii. 邮件归档审计系统:

· 详实记录用户收发邮件,含对内发送邮件记录,包括附件记录等,必需有快速可查找方式调用邮件。

·可提供给个人邮件查找并且便利还原界面,满足减少IT Help Desk 工作量。

·要求对部门至于个人排名产生统计报表,并可自动派送与事件主动通知功能。

· 对外发邮件可审计邮件内容与附件关键字词,可设置股票代码或相关机密关键字词进行事前审计。

iii. 电话录音系统:

· 实现交易员电话进行录音,并可针对指定IP 电话监控。

· 可调用录音文档,审记留痕等要求。

以上系统都需要全面思考审计人员使用便利性,因此一般会采用OA 或与Portal 进行整合系统,免除多点登入困扰,实现SSO 单点登入与审计统一介面,在此要求下,以多权分立相互监察的原则,必需做到IT管运维,审记只看权限内可审计重点,领导看报表或是事件记录等,才能构成金融界所要求严谨的系统。当然,这只是IT领域中的一小环,但却能满足《信息隔离制度指引》与《企业内部控制基本规范》内控的要求,可为金融界IT执行指引出正确方向,并达成了留痕的重点要求,进而完成内控与防范涉密的规范,此方案也提供参考。

标签: 安全 代码 电子邮件 服务器 互联网 机房 机房管理 金融 排名 权限 通信 网络 信息安全

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:巡展:梭子鱼决胜2011中国应用安全市场

下一篇:启明星辰喜获国家信息安全服务资质证书