信息安全控制中三个主要的安全原则是可用性、完整性、机密性,即信息、系统和资源必须在时间上能够保障用户的使用、确保信息资产不被有意或无意地非授权修改和确保信息资产不被未授权用户访问。信息安全的管理要求在银行业尤为重要,保障业务连续运行,ERP业务数据不被非授权访问、篡改、毁坏和泄漏,将各类风险控制到管理层可接受的水平是数据中心信息安全管理的最终目标。
数据中心全面承担着银行全球一体化的生产运行管理职责,负责维护和处理银行核心业务数据,在保障信息系统和业务应用数据可用性的同时应确保业务数据的安全性,要从管理和技术两个方面控制对业务数据的操作,保障核心业务数据的完整性和机密性。对主机核心业务数据安全进行有效控制的关键是事前制定和实施安全控制策略、事中进行严格管理和控制、事后加强审计。
一、主机核心业务数据安全性管理风险及需求
可以从系统角度来分析信息数据的安全性和可用性。目前,多数银行数据中心主机系统已建立包括同城备份系统及异地灾备中心的灾备体系,也制定了完善的数据备份策略,数据的可用性和安全性在系统角度上得到一定的保障。尤其是磁盘同城备份系统基于GDPS/PPRCHyperSwap技术,能实现所有生产磁盘卷的同步镜像和自动切换,针对磁盘失效类的灾难,可以在对业务透明的情况下自动切换到备份系统,实现零数据丢失,数据的可用性在一定程度上得到保障,并能保持生产业务连续稳定运行。
从应用角度来分析数据的安全性,主机核心业务数据面临的主要风险如下:①由于分行侧原因造成的风险,包括分行误操作导致数据的破坏、分行业务调整服务需求事件和数据需求服务需求事件提出的需求有误而造成数据完整性的破坏;分行恶意篡改或查询下载业务数据、分行利用业务调整服务需求事件和数据需求服务需求事件途径虚报变动、查询或下载数据的内容,从而导致数据被篡改或泄漏。②数据中心侧存在的风险,包括由于实施方案有误、人为操作失误或未按照实施方案实施无意造成的服务需求响应实施不当,从而导致数据完整性遭到破坏;由于内部人员恶意篡改、破坏或非法查询、下载,存在数据完整性和机密性方面的风险。
其中由于分行原因而导致数据的安全性问题,需要从分行自身入手,层层把关、核实,保障业务调整服务需求的真实性及业务调整服务需求实施的必要性,以降低风险。在数据中心侧安全风险中,实施方案是否准确属于服务需求响应的固有风险,可通过加强方案论证、实施复核、验证等管理和技术手段来加强控制。而如何通过事前控制、事中管理、事后审计全面降低因内部人员无意或有意对数据进行不正当操作带来数据安全性方面的风险,是数据中心信息安全管理、数据管理的重中之重。
二、主机核心业务数据安全控制及审计方案
1.事前控制
事前控制可采取用户管理控制策略。对信息系统主机用户按照工作需要和最小授权原则制定用户管理策略,尤其对用户对主机业务数据(DB2应用表、VSAM文件等)操作权限进行严格控制。用户管理控制策略采用分层管理的模式,将用户分为5个类型,见表1。
因为信息系统日常维护工作的需要,主机生产系统中仍存在着部分用户能对数据库表或数据文件直接进行修改,具体的用户是业务调整用户、系统维护用户、系统特权用户、灾备用户等。
控制策略的主题思想是,对于工作职责范围不需要高权限的用户授予只读权限,对于较高、高权限的用户,尤其是对主机业务数据具有修改、新增、删除权限的用户均采用相应的技术和管理控制方案,具体策略如下:首先,针对技术部门需要对应用表进行操作的工作职能,在RACF中创建专门的批量作业用户,该用户不可交互式登录系统(非TSO用户),将相应权限集中到该非TSO用户上,所有实施主机服务需求响应、投产或DROP、GRANT、STOP表的操作只能通过SETUSER
SJBG01或DBBG01等提交作业实现;其次,为控制用户直接通过SPUFI设置应用表的增删改操作、对VSAM文件、代理业务文件的读写权限,在收紧相关权限的前提下,根据主机应用工作的需要,开设具有专门权限的主机专用用户在专用终端上使用,且专用用户平时处于REVOKED状态,需按照专用用户管理流程申请使用;最后,为了特定或紧急情况下的需要,设立应急用户、特权用户、灾备用户等,并制定相应管理流程,采用密码信封的形式保管用户密码,将其集中保存在保险箱,且保险箱密码和钥匙由不同岗位人员分持保管。
表1 分层管理模式
2.事中管理、事后审计
在以上管理模式中,将业务数据的修改权限上收到业务调整服务需求用户(批量用户、专用用户、应急用户)中,批量用户只能在作业中使用,专用用户和应急用户采用集中管理的方式,需使用人提出申请经审批、发放或启用后方可使用。技术措施加上管理手段的双重控制,有效控制了通过SPUFI进行联机业务修改操作。同时,审计人员能够根据申请审批记录掌握信息,及时开展事后审计,进行主机数据安全情况检查。
为加强业务调整服务需求实施的正确性和安全性,制定改进业务调整服务需求安全性检查加强事后核对的方案,开发事后审计工具(主机业务调整服务需求事后核对系统),高效检索出非法及差错实施的业务调整服务需求,有效开展事后监督工作,降低了业务调整服务需求实施的风险度。
为进一步地加大对核心业务数据变动情况检查的覆盖面,需要针对不同的业务数据调整实施形式制定特有的控制方案并实施。例如,工商银行数据中心(上海)(以下简称“上海数据中心”)制定并实施了V+业务数据调整服务需求的控制措施技术方案,实现了对主机系统DITTO工具、CECI联机交易的安全控制等,并增加事后监督机制,从覆盖面上提高了业务数据调整的安全性。为了做好数据安全管理工作,进一步控制数据安全风险,秉持信息安全控制PDCA的理念,上海数据中心对主机业务调整服务需求现状及控制情况进行了全面分析和总结,并在内部实施用户授权调整、增加日志收集等改进方案,不断改进和优化主机数据安全控制和审计方案。
目前,上海数据中心所采用的各类主机用户权限控制方案、管理流程规范、控制方案(包括专用用户)、自动化数据安全事后稽核工具等已能在一定程度上对生产环境中的业务数据安全隐患进行控制和审计。
三、主机业务调整服务需求事后核对系统的实现
1.DB2业务数据审计目的
通过对主机业务数据(DB2应用表)的所有变动(新增、修改、删除)进行审计,来审核对DB2敏感业务表的业务调整服务需求是否合规,确保主机生产系统上的所有DB2应用表的业务调整服务需求均经过管理层的审批、授权,对潜在的非授权业务调整服务需求提供输出报告。
建立数据库存储主机应用业务调整服务需求安全审计数据源,并提供对大量审计数据进行分类、提炼、检索并输出报表的功能,能够检测和发现违规操作、内部欺诈、信息泄漏等安全事件。
2.DB2应用业务调整服务需求方式和审计范围
目前主机环境中涉及DB2应用业务数据修改的各类方式如下:联机交易、批量作业(TWS批量和手工提交作业)、工具类软件(SPUFI、DRDA等)。主机上所有业务调整服务需求均须根据管理层授权的要求合法实施,因此需要对不同用户通过不同方式修改主机DB2应用表的操作过程和结果进行审计。
3.主机业务调整服务需求事后稽核
(1)对通过SPFUI的联机业务调整服务需求的稽核。将通过SPFUI进行业务数据修改的操作权限集中在SPFUI专用用户上,制定相应管理要求,并配合屏幕监控软件进行事后审计。具体流程如下:指定专用终端,专用用户仅可在专用终端上使用,并在专用终端上安装屏幕监控软件;在主机TCP/IP配置文件中,为这两台专用终端分配独立的LUGROUP,以区分于其他终端;编写独立的主机TSO LOGON PROCEDURE供专用用户使用,在登录文件中判断专用用户登录时分配的LU名是否为指定的LU名,若不相符,则自动将该用户LOGOFF,该步骤需要同步在RACF中激活TSOPROC CLASS,在TSOPROC CLASS中定义该登录文件的PROFILE,并授权专用用户使用;当运行专用终端的PCOM登录主机系统时,屏幕监控软件即进入录像状态,自动记录屏幕的所有变化,生成可以自动播放的录像文件,事后稽核时使用该录像文件与实际需求进行对比,以发现非法的操作。
(2)对通过批量作业提交的业务调整服务需求的稽核。主机业务调整服务需求事后核对系统的设计原则是:收集所有业务调整服务需求批量用户提交作业的日志,并用账户提取工具提取业务调整服务需求涉及修改的数据,然后导入主机业务调整服务需求事后核对系统,通过与从Service Desk系统批量导入的合法数据进行比对,检查是否存在非法操作。
主机业务调整服务需求事后核对系统可以自动收集原始需求及实际操作结果,实现审计信息的自动处理、导入、分析并进行需求与结果的比对。使用该稽核系统对数据进行事后稽核和审计,一天的业务调整服务需求稽核时间仅需数分钟,审计结果高效、客观、准确。
安全控制和审计项目实施以来效果显著,有效降低了业务调整服务需求的操作风险,提高了事后稽核效率,同时规范了业务调整服务需求操作流程及技术人员的操作习惯,提高了数据业务调整服务需求的安全性,业务调整服务需求的操作差错率也大大降低。在技术控制的同时结合安全管理制度、安全意识教育,有效实现了大型商业银行数据中心核心数据的安全控制,确保客户数据的完整性及安全性。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:数据中心主机核心业务数据安全控制和审计
本文网址:http://www.toberp.com/html/consultation/1083952531.html
相关文章
