觀點

中國國際商銀:安全無價 資安預算無限

2011 / 06 / 09
梁玉容
中國國際商銀:安全無價 資安預算無限

銀行單位對資料安全的保障,遠比其他行業要來的高標準及嚴謹,而中國國際商銀(以下簡稱中國商銀)在資料安全的保障及投資,更是不惜鉅資。而中國商銀所投入的各項安控機制,主要的目的就是為了保障重要資料的安全及完整性,避免資料被盜取、損毀(破壞)及遺失。

資料對於銀行的重要性

中國商銀資訊處長黃永貴表示,銀行之所以願意花費鉅資不惜成本來保障各項資料,實在是因為這些資料都是銀行機密且核心的重要資產。「如果銀行受外力重挫,7天之內不能做好資料的復原,這家銀行就垮了…」黃永貴如是表示,同時他又指出,大樓垮了、主機毀了,資料也就損毀;但大樓、主機可以重建、重買,但資料毀了,沒了就是沒了。中國商銀在資料安全的防護措施上,之所以做的非常嚴密,沒有其他原因,只是為了保護銀行的重要資產。其相關做法如下:

1. 連線主機的資料,採高權限存取;另外增設一主機,專做各類系統開發之線上測試之用。
2. 資料備份(利用磁帶備份資料,備份資料約3年複製一次;存放磁帶資料之磁帶庫,慎選特殊材質且耐高溫)。
3. 磁帶資料採異地存放。
4. 安全考量資訊大樓(資訊單位)獨立作業;安全管理從門禁卡、樓層載重量、重要機房…等等建置,都經過特別設計。
5. 建置災難備援中心,同時在異地設置第二備援中心。為了減少與中心與各備援中心之資料落差,以二條高速專線將資料傳輸至各備援中心。

安全無止境

資訊安全的防護工作是無止境的,外在環境一直在改變,新病毒不斷冒出、駭客入侵手法一直翻新,銀行的防護工作也必須跟得上大環境的變化;加上Internet之興起,其無遠弗界的特色及開放性的環境,對銀行的衝擊更大,尤以線上交易安全最受影響。在Internet的環境下,如何加強線上交易的安全防護機制,將是銀行的一大挑戰。

線上交易的安全機制常會與銀行交易的方便與成本造成衝突,由於銀行對安全的要求較高,所以成本部份不是問題,但在方便性上所造成相當的困擾,主要是因為目前一般人對憑證觀念的不足,加上憑證的過程麻煩,又有使用期限,雖然憑證機制對線上交易的安全性高,但一般使用者普遍接受度不高。中國商銀先期針對以非約定戶頭轉帳的B2B企業用戶做推廣,因為是高風險的交易,對安全的要求較高,加上企業用戶的交易量大,又有專人負責,所以中國商銀在PKI等憑證機制部份會先從B2B做起,然後再做全面性的推廣。

 

 

動態密碼卡

另外,針對定位簡單、方便的B2C個人使用端部份,在使用高風險性的非約定戶頭轉帳時,提供多重安控機制,中國商銀推出「動態密碼卡」(One Time Password)。用戶在使用線上交易時,只要輕按「動態密碼卡」即可輸入密碼進行交易,而每次交易時所得的密碼都不同,如此便可防範密碼資料外洩或被竊取盜用。「動態密碼卡」可以解決電話銀行或個人網路銀行用戶使用非約定戶頭轉帳之用,讓網路銀行的交易更加安全。強調安全、方便的「動態密碼卡」,中國商銀目前是以100元低價做推廣。

資訊安全委外部份

要做好資安的防禦工作,像是外部駭客的攻擊,可說是防不甚防,所以在安控系統部份,由於CA資安產品線齊備,又有中控系統機制,所以中國商銀選擇採用CA之系列產品。針對網路及伺服器之安控部份,中國商銀所使用的CA產品,有下列三大項:

1. 安全管理eTrust
    a. 防毒牆(Content Inspection)
    b. 入侵防護(Intrusion Detection)
    c. 存取控管(Access Control)
    d. 集中稽核管理(Audit)
2. 企業系統監控與效能分析(Unicenter NSM)
3. 儲存管理BrightStor

另外,為了避免遭受病毒攻擊,以維持工作效率與生產力,整個中國商銀在網際網路閘道、伺服器和桌上電腦都裝設防毒軟體。並以集中機制做掃毒,由資訊中心提供專用的伺服器做掃毒,讓各分行落實執行定時掃毒及更新病毒碼的工作。

中國商銀資訊中心以集中機制提供各分行掃毒的做法,除了可以解決分行沒時間定期掃毒及更新病毒碼的問題外,最重要的是解決了資訊人員的痛,因為可以不用再三不時五時接到分行之中毒求救電話了!

黃永貴表示,中國商銀除核心業務不做委外,其他專案則交由廠商所提供之委外服務來做。由於中國商銀人員之不足,加上缺乏開發新系統之經驗,為了借重外面的專業人才以及縮短開發時間,所以選擇委外。與其他企業不同的地方,中國商銀要求這些委外服務廠商必須進駐至銀行,以方便管理,而最後的維護則由中國商銀自己接手。

內部人員控管之問題

黃永貴表示,至今為止,曾經發生過的銀行舞弊案,很少是由兩人以上共同串通預謀的案例,之所以會發生的主要原因是原先規定必須經過兩人處理的事,最後由一人去做。其實這部份銀行機構早有訂定相關規定,但卻是有規定,沒有落實執行。為了落實二人做一事,中國商銀的解決之道是將密碼分成兩段,前後4碼分交別由二人持有,必須經過兩人前後輸入完整的密碼後才可進入系統或做資料的存取。

中國商銀認為安全是無價的,尤其是對銀行而言,所以只要有需求,有關資安的預算是不設上限的。但是潛在的風險無所不在,防不甚防。就連資安已經做到相當完備的中國商銀也只能慨嘆道高一尺,但魔高卻不只一丈!中國商銀是如此,各企業也應是相差不遠。資訊安全工作無止境,只有堅持下去者,才是最後贏家。