商业银行数据安全整体解决方案 |
现代银行业普遍通过采用数据加密技术来保障敏感和关键数据的安全。根据近代密码学的 观点,在算法公开的前提下,密码系统的安全主要取决于密钥的安全。因此密钥管理已经成为整个安全体系的核心,安全体系设计的关键在于密钥管理体系的设计。 在密钥的生存期内,如果不能周密妥善地管理密钥,则无法达到系统应具有的安全级别。
据了解,目前国内银行业内由于密钥管理体系尚未完善的情况下,存在以下方面的问题:
1.依赖于信任和自觉:虽然大多数银行内部已经具有密钥管理制度,但由于没有流程化 的密钥管理IT系统来控制和约束,在落实密钥管理制度方面完全依赖于对人员的信任和自觉,由于存在这些不可控的因素,出现银行客户密钥丢失、甚至找不到密 钥管理对应的责任人也是常有的事。最终发现密钥管理制度形同虚设。
2.密钥使用和密钥管理没有分离:各业务系统各自为政,单独开发完成加密模块。系统 建设方经常需要花费较大的精力自行组织人员在密码机基础上设计开发符合业务需求的密钥管理应用系统,但业务系统开发商通常精通业务而安全方面较弱,往往投 入巨大而效果并不理想。如将密钥与业务数据两类完全不同性质的数据混放在一起(管理密钥和管理业务数据的往往属于不同部门),形成安全隐患(如操作业务数 据时误删密钥),且密钥管理和密钥使用无法做到分离,也无法实现密钥分级分权管理,更谈不上是否符合稽核监督原则。
3.加密接口不统一无法形成行内统一标准:由于上述业务系统各自为不同开发商在不同时期内完成加密模块的开发,因此加密接口无法统一,也难于形成标准化,使得建立行内业务系统安全级别具有一定困难,在此情况下,也难于向行外机构对接系统的提出安全要求。
4.规范性合规性:对于仅以业务逻辑为重的开发商,在加密模块开发过程中由于欠缺所需的密码学知识,可能导致最终的加密模块不符合相应的安全规范,甚至有的还出现安全隐患。
安全建设给我行带来的益处
(1)满足人民银行、银监会等监管机构的合规性要求;
(2)规避安全事件,提升我行整体安全性;
(3)规避银行责任,增强抗抵赖性,保障我行安全信誉和企业竞争力;
(4)降低密码设备的后期投资,有效节约成本。