安全無止境　預算無上限

文/梁玉容


銀行單位對資料安全的保障，遠比其他行業要來的高標準及嚴謹，而中國國際商銀（以下簡稱中國商銀）在資料安全的保障及投資，更是不惜鉅資。而中國商銀所投入的各項安控機制，主要的目的就是為了保障重要資料的安全及完整性，避免資料被盜取、損毀（破壞）及遺失。
資料對於銀行的重要性
中國商銀資訊處長黃永貴表示，銀行之所以願意花費鉅資不惜成本來保障各項資料，實在是因為這些資料都是銀行機密且核心的重要資產。「如果銀行受外力重挫，7天之內不能做好資料的復原，這家銀行就垮了…」黃永貴如是表示，同時他又指出，大樓垮了、主機毀了，資料也就損毀；但大樓、主機可以重建、重買，但資料毀了，沒了就是沒了。中國商銀在資料安全的防護措施上，之所以做的非常嚴密，沒有其他原因，只是為了保護銀行的重要資產。其相關做法如下：





1.連線主機的資料，採高權限存取；另外增設一主機，專做各類系統開發之線上測試之用。

2.資料備份（利用磁帶備份資料，備份資料約3年複製一次；存放磁帶資料之磁帶庫，慎選特殊材質且耐高溫）。

3.磁帶資料採異地存放。

4.安全考量資訊大樓（資訊單位）獨立作業；安全管理從門禁卡、樓層載重量、重要機房…等等建置，都經過特別設計。

5.建置災難備援中心，同時在異地設置第二備援中心。為了減少與中心與各備援中心之資料落差，以二條高速專線將資料傳輸至各備援中心。





安全無止境
資訊安全的防護工作是無止境的，外在環境一直在改變，新病毒不斷冒出、駭客入侵手法一直翻新，銀行的防護工作也必須跟得上大環境的變化；加上Internet之興起，其無遠弗界的特色及開放性的環境，對銀行的衝擊更大，尤以線上交易安全最受影響。在Internet的環境下，如何加強線上交易的安全防護機制，將是銀行的一大挑戰。


線上交易的安全機制常會與銀行交易的方便與成本造成衝突，由於銀行對安全的要求較高，所以成本部份不是問題，但在方便性上所造成相當的困擾，主要是因為目前一般人對憑證觀念的不足，加上憑證的過程麻煩，又有使用期限，雖然憑證機制對線上交易的安全性高，但一般使用者普遍接受度不高。中國商銀先期針對以非約定戶頭轉帳的B2B企業用戶做推廣，因為是高風險的交易，對安全的要求較高，加上企業用戶的交易量大，又有專人負責，所以中國商銀在PKI等憑證機制部份會先從B2B做起，然後再做全面性的推廣。

動態密碼卡
另外，針對定位簡單、方便的B2C個人使用端部份，在使用高風險性的非約定戶頭轉帳時，提供多重安控機制，中國商銀推出「動態密碼卡」（One Time Password）。用戶在使用線上交易時，只要輕按「動態密碼卡」即可輸入密碼進行交易，而每次交易時所得的密碼都不同，如此便可防範密碼資料外洩或被竊取盜用。「動態密碼卡」可以解決電話銀行或個人網路銀行用戶使用非約定戶頭轉帳之用，讓網路銀行的交易更加安全。強調安全、方便的「動態密碼卡」，中國商銀目前是以100元低價做推廣。

資訊安全委外部份
要做好資安的防禦工作，像是外部駭客的攻擊，可說是防不甚防，所以在安控系統部份，由於CA資安產品線齊備，又有中控系統機制，所以中國商銀選擇採用CA之系列產品。針對網路及伺服器之安控部份，中國商銀所使用的CA產品，有下列三大項：






1. 安全管理eTrust

    a. 防毒牆（Content Inspection）

    b. 入侵防護（Intrusion Detection）

    c . 存取控管（Access Control）

    d. 集中稽核管理（Audit）

2. 企業系統監控與效能分析（Unicenter NSM）

3. 儲存管理BrightStor




另外，為了避免遭受病毒攻擊，以維持工作效率與生產力，整個中國商銀在網際網路閘道、伺服器和桌上電腦都裝設防毒軟體。並以集中機制做掃毒，由資訊中心提供專用的伺服器做掃毒，讓各分行落實執行定時掃毒及更新病毒碼的工作。


中國商銀資訊中心以集中機制提供各分行掃毒的做法，除了可以解決分行沒有習慣定期掃毒及更新病毒碼的問題外，最重要的是解決了資訊人員的痛，因為可以不用再三不時五時接到分行之中毒求救電話了！


黃永貴表示，中國商銀除核心業務不做委外，其他專案則交由廠商所提供之委外服務來做。由於中國商銀人員之不足，加上缺乏開發新系統之經驗，為了借重外面的專業人才以及縮短開發時間，所以選擇委外。與其他企業不同的地方，中國商銀要求這些委外服務廠商必須進駐至銀行，以方便管理，而最後的維護則由中國商銀自己接手。


詳細內容，請期待《資安人》雜誌3月份創刊號....