核心系统安全策略.doc

新核心系统安全策略 XX银行信息技术部所有，未经授权，严禁复制、编辑和传播！ 目录 1. 核心业务系统－应用和业务安全控制和管理策略 3 1.1 系统核算风险控制 3 1.2 访问控制 3 1.3 人员控制 3 1.4 业务控制 4 1.5 资源控制 5 1.6 数据安全 5 1.7 预警与保护 5 1.8 审计要求 6 核心业务系统－应用和业务安全控制和管理策略 系统核算风险控制 系统核算风险控制经过“经办－复核－授权－后督”四个基本环节，每个环节之间相互制约，管理柜员对超过前台柜员权限的业务进行复核或授权；管理柜员与前台柜员要分工明确,不能交叉操作；后督中心采取“分行集中监督、档案光盘微缩、凭证统一保管”的管理模式。 访问控制 访问控制指基于部门或应用管理员定义的访问权限。具体要求如下： 访问权限、交易权限、交易额度限制等可以通过参数进行配置。可以有效地控制权限的颗粒度，其最细的控制可到界面的某个交易，并且为不同帐户的授权必须遵循最小权限原则，即只为不同操作员用户赋予其完成各自承担任务所需的最小权限，且支持自动初始化用户鉴权信息，仅显示用户所拥有使用权限的功能菜单及信息展现。支持基于角色画面访问以区分不同类型的操作。支持多级授权机制。所有的交易授权可采用刷卡方式或指纹方式完成。支持柜员、机构、终端绑定功能。屏蔽客户端使用Ctrl+N等快捷键等方式重复登录。 人员控制 操作员角色由总行统一定义。管理中心对前台柜员身份进行分层管理，系统严格管理柜员的身份，每个柜员都有一个唯一柜员号，并终身使用该号码。柜员自己管理自已密码。此密码口令经加密后在系统中存储，不可查询。只有本人才能修改口令。密码遗忘后须经相关审批流程重新启用。 柜员密码定期强行要求修改，并按密码管理办法判断设定是否合格（如密码长度不能少于6位，密码应由字符和数字组成），密码不能与前6次相同，90天（根据需求天数可配置）强制修改密码。系统不允许相同的柜员再次签到。柜员停止操作界面一定时间后，系统会自动退出。设置临时签退交易，用于柜员临时离开后防止他人进入系统。柜员密码输错超过三次时（根据需求次数可配置），自动退出登录画面，身份锁死，不再支持登陆验证，需审批后重新启用。 维护人员控制。维护人员作为特殊的一类柜员，也必须有身份确认、密码管理和签到控制等管理机制。维护人员只能通过界面进行维护工作，而不能直接使用系统命令。 业务控制 系统的会计业务必须坚持现金收款“先收款后记帐”， 现金付款“先记帐，后付款”，转帐业务“先记借方后记贷方”，“他行票据收妥入帐”和“银行不予垫款”的原则，以确保资金安全。系统可配置操作流程。 前台可灵活设定录入与复核数据比对功能，供输入帐号校验检查功能。系统应有很强的可靠性，并具有“实时处理”和“批处理”两种方式。 保证各项业务工作能适时、连续、准确地进行，在通讯瞬时中断造成前后台交易不一致状况下，提供查询业务交易是否成功的功能。充分利用数据库信息提供多种会计、统计、财务及业务监控等信息资料。 资源控制 通过配置能实现终端绑定功能，以保证该系统不能被未经授权的终端设备使用。 数据安全MQ、TCP/IP、Tuxedo、CICS等多种通信方式。应用系统能够支持数据在存储处理过程的安全性。为了防止人为修改数据库中的数据，采用我行加密算法对记录中关键数据押码，并将押码值保存到记录的附加字段中（dac字段）。系统支持第三方认证接口。 系统通过事务的完整性来确保数据的完整性，通过硬件故障容错机制及对数据和日志的保留与恢复来确保故障情况数据的安全。提供数据合法性验证功能；通过结合数据库提供的保护机制，保证当故障发生时自动保护当前所有状态，并可实现系统的快速恢复。 预警与保护 提供预警与保护机制。系统提供面向交易提交的预警机制，有效的降低前端系统和后台系统的负载。为了防止临时文件过多而影响系统执行效率，提供磁盘预警的功能。在并发用户过高的情况下，其他提交的交易会根据策略，进行先并发后排队的机制。当这两种机制都无法满足要求的情况下，返回警告信息，并且不再进行排队，直到通讯资源正常。 由统一的监控平台对系统、硬件资源和软件运行情况进行实时监控预警。 系统提供连通测试功能。管理员通过手工触发连通测试，系统连通状况（如与外围系统的连通情况等）通过图形界面显示给管理员。通过管理平台定期实现系统的健康检查，检查当前系统的各个服务进程是否运行正常。健康检查的结果以图形化的方式在管理平台上显示。 通过集群方式来保证硬件和软件单点故障影响最小。 审计要求 日志包括系统日志、交易日志。系统的所有变更将被自动记录在系统日志中。可在交易日志中获取交易数据，需审计的交易数据可通过配置实现，无需写入应用代码。 应用系统应记录以下审计数据