https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

安全無止境 預算無上限

2003 / 02 / 24
安全無止境 預算無上限

文/梁玉容


銀行單位對資料安全的保障,遠比其他行業要來的高標準及嚴謹,而中國國際商銀(以下簡稱中國商銀)在資料安全的保障及投資,更是不惜鉅資。而中國商銀所投入的各項安控機制,主要的目的就是為了保障重要資料的安全及完整性,避免資料被盜取、損毀(破壞)及遺失。
資料對於銀行的重要性
中國商銀資訊處長黃永貴表示,銀行之所以願意花費鉅資不惜成本來保障各項資料,實在是因為這些資料都是銀行機密且核心的重要資產。「如果銀行受外力重挫,7天之內不能做好資料的復原,這家銀行就垮了…」黃永貴如是表示,同時他又指出,大樓垮了、主機毀了,資料也就損毀;但大樓、主機可以重建、重買,但資料毀了,沒了就是沒了。中國商銀在資料安全的防護措施上,之所以做的非常嚴密,沒有其他原因,只是為了保護銀行的重要資產。其相關做法如下:





1.連線主機的資料,採高權限存取;另外增設一主機,專做各類系統開發之線上測試之用。

2.資料備份(利用磁帶備份資料,備份資料約3年複製一次;存放磁帶資料之磁帶庫,慎選特殊材質且耐高溫)。

3.磁帶資料採異地存放。

4.安全考量資訊大樓(資訊單位)獨立作業;安全管理從門禁卡、樓層載重量、重要機房…等等建置,都經過特別設計。

5.建置災難備援中心,同時在異地設置第二備援中心。為了減少與中心與各備援中心之資料落差,以二條高速專線將資料傳輸至各備援中心。






安全無止境
資訊安全的防護工作是無止境的,外在環境一直在改變,新病毒不斷冒出、駭客入侵手法一直翻新,銀行的防護工作也必須跟得上大環境的變化;加上Internet之興起,其無遠弗界的特色及開放性的環境,對銀行的衝擊更大,尤以線上交易安全最受影響。在Internet的環境下,如何加強線上交易的安全防護機制,將是銀行的一大挑戰。


線上交易的安全機制常會與銀行交易的方便與成本造成衝突,由於銀行對安全的要求較高,所以成本部份不是問題,但在方便性上所造成相當的困擾,主要是因為目前一般人對憑證觀念的不足,加上憑證的過程麻煩,又有使用期限,雖然憑證機制對線上交易的安全性高,但一般使用者普遍接受度不高。中國商銀先期針對以非約定戶頭轉帳的B2B企業用戶做推廣,因為是高風險的交易,對安全的要求較高,加上企業用戶的交易量大,又有專人負責,所以中國商銀在PKI等憑證機制部份會先從B2B做起,然後再做全面性的推廣。

動態密碼卡
另外,針對定位簡單、方便的B2C個人使用端部份,在使用高風險性的非約定戶頭轉帳時,提供多重安控機制,中國商銀推出「動態密碼卡」(One Time Password)。用戶在使用線上交易時,只要輕按「動態密碼卡」即可輸入密碼進行交易,而每次交易時所得的密碼都不同,如此便可防範密碼資料外洩或被竊取盜用。「動態密碼卡」可以解決電話銀行或個人網路銀行用戶使用非約定戶頭轉帳之用,讓網路銀行的交易更加安全。強調安全、方便的「動態密碼卡」,中國商銀目前是以100元低價做推廣。

資訊安全委外部份
要做好資安的防禦工作,像是外部駭客的攻擊,可說是防不甚防,所以在安控系統部份,由於CA資安產品線齊備,又有中控系統機制,所以中國商銀選擇採用CA之系列產品。針對網路及伺服器之安控部份,中國商銀所使用的CA產品,有下列三大項:






1. 安全管理eTrust

    a. 防毒牆(Content Inspection)

    b. 入侵防護(Intrusion Detection)

    c . 存取控管(Access Control)

    d. 集中稽核管理(Audit)

2. 企業系統監控與效能分析(Unicenter NSM)

3. 儲存管理BrightStor





另外,為了避免遭受病毒攻擊,以維持工作效率與生產力,整個中國商銀在網際網路閘道、伺服器和桌上電腦都裝設防毒軟體。並以集中機制做掃毒,由資訊中心提供專用的伺服器做掃毒,讓各分行落實執行定時掃毒及更新病毒碼的工作。


中國商銀資訊中心以集中機制提供各分行掃毒的做法,除了可以解決分行沒有習慣定期掃毒及更新病毒碼的問題外,最重要的是解決了資訊人員的痛,因為可以不用再三不時五時接到分行之中毒求救電話了!


黃永貴表示,中國商銀除核心業務不做委外,其他專案則交由廠商所提供之委外服務來做。由於中國商銀人員之不足,加上缺乏開發新系統之經驗,為了借重外面的專業人才以及縮短開發時間,所以選擇委外。與其他企業不同的地方,中國商銀要求這些委外服務廠商必須進駐至銀行,以方便管理,而最後的維護則由中國商銀自己接手。


詳細內容,請期待《資安人》雜誌3月份創刊號....