信息安全控制中三個主要的安全原則是可用性、完整性、機密性，即信息、系統(tǒng)和資源必須在時間上能夠保障用戶的使用、確保信息資產(chǎn)不被有意或無意地非授權(quán)修改和確保信息資產(chǎn)不被未授權(quán)用戶訪問。信息安全的管理要求在銀行業(yè)尤為重要，保障業(yè)務(wù)連續(xù)運行，ERP業(yè)務(wù)數(shù)據(jù)不被非授權(quán)訪問、篡改、毀壞和泄漏，將各類風險控制到管理層可接受的水平是數(shù)據(jù)中心信息安全管理的最終目標。

    數(shù)據(jù)中心全面承擔著銀行全球一體化的生產(chǎn)運行管理職責，負責維護和處理銀行核心業(yè)務(wù)數(shù)據(jù)，在保障信息系統(tǒng)和業(yè)務(wù)應用數(shù)據(jù)可用性的同時應確保業(yè)務(wù)數(shù)據(jù)的安全性，要從管理和技術(shù)兩個方面控制對業(yè)務(wù)數(shù)據(jù)的操作，保障核心業(yè)務(wù)數(shù)據(jù)的完整性和機密性。對主機核心業(yè)務(wù)數(shù)據(jù)安全進行有效控制的關(guān)鍵是事前制定和實施安全控制策略、事中進行嚴格管理和控制、事后加強審計。

一、主機核心業(yè)務(wù)數(shù)據(jù)安全性管理風險及需求

    可以從系統(tǒng)角度來分析信息數(shù)據(jù)的安全性和可用性。目前，多數(shù)銀行數(shù)據(jù)中心主機系統(tǒng)已建立包括同城備份系統(tǒng)及異地災備中心的災備體系，也制定了完善的數(shù)據(jù)備份策略，數(shù)據(jù)的可用性和安全性在系統(tǒng)角度上得到一定的保障。尤其是磁盤同城備份系統(tǒng)基于GDPS/PPRCHyperSwap技術(shù)，能實現(xiàn)所有生產(chǎn)磁盤卷的同步鏡像和自動切換，針對磁盤失效類的災難，可以在對業(yè)務(wù)透明的情況下自動切換到備份系統(tǒng)，實現(xiàn)零數(shù)據(jù)丟失，數(shù)據(jù)的可用性在一定程度上得到保障，并能保持生產(chǎn)業(yè)務(wù)連續(xù)穩(wěn)定運行。

    從應用角度來分析數(shù)據(jù)的安全性，主機核心業(yè)務(wù)數(shù)據(jù)面臨的主要風險如下：①由于分行側(cè)原因造成的風險，包括分行誤操作導致數(shù)據(jù)的破壞、分行業(yè)務(wù)調(diào)整服務(wù)需求事件和數(shù)據(jù)需求服務(wù)需求事件提出的需求有誤而造成數(shù)據(jù)完整性的破壞；分行惡意篡改或查詢下載業(yè)務(wù)數(shù)據(jù)、分行利用業(yè)務(wù)調(diào)整服務(wù)需求事件和數(shù)據(jù)需求服務(wù)需求事件途徑虛報變動、查詢或下載數(shù)據(jù)的內(nèi)容，從而導致數(shù)據(jù)被篡改或泄漏。②數(shù)據(jù)中心側(cè)存在的風險，包括由于實施方案有誤、人為操作失誤或未按照實施方案實施無意造成的服務(wù)需求響應實施不當，從而導致數(shù)據(jù)完整性遭到破壞；由于內(nèi)部人員惡意篡改、破壞或非法查詢、下載，存在數(shù)據(jù)完整性和機密性方面的風險。

    其中由于分行原因而導致數(shù)據(jù)的安全性問題，需要從分行自身入手，層層把關(guān)、核實，保障業(yè)務(wù)調(diào)整服務(wù)需求的真實性及業(yè)務(wù)調(diào)整服務(wù)需求實施的必要性，以降低風險。在數(shù)據(jù)中心側(cè)安全風險中，實施方案是否準確屬于服務(wù)需求響應的固有風險，可通過加強方案論證、實施復核、驗證等管理和技術(shù)手段來加強控制。而如何通過事前控制、事中管理、事后審計全面降低因內(nèi)部人員無意或有意對數(shù)據(jù)進行不正當操作帶來數(shù)據(jù)安全性方面的風險，是數(shù)據(jù)中心信息安全管理、數(shù)據(jù)管理的重中之重。

二、主機核心業(yè)務(wù)數(shù)據(jù)安全控制及審計方案

    1.事前控制

    事前控制可采取用戶管理控制策略。對信息系統(tǒng)主機用戶按照工作需要和最小授權(quán)原則制定用戶管理策略，尤其對用戶對主機業(yè)務(wù)數(shù)據(jù)（DB2應用表、VSAM文件等）操作權(quán)限進行嚴格控制。用戶管理控制策略采用分層管理的模式，將用戶分為5個類型，見表1。

    因為信息系統(tǒng)日常維護工作的需要，主機生產(chǎn)系統(tǒng)中仍存在著部分用戶能對數(shù)據(jù)庫表或數(shù)據(jù)文件直接進行修改，具體的用戶是業(yè)務(wù)調(diào)整用戶、系統(tǒng)維護用戶、系統(tǒng)特權(quán)用戶、災備用戶等。

    控制策略的主題思想是，對于工作職責范圍不需要高權(quán)限的用戶授予只讀權(quán)限，對于較高、高權(quán)限的用戶，尤其是對主機業(yè)務(wù)數(shù)據(jù)具有修改、新增、刪除權(quán)限的用戶均采用相應的技術(shù)和管理控制方案，具體策略如下：首先，針對技術(shù)部門需要對應用表進行操作的工作職能，在RACF中創(chuàng)建專門的批量作業(yè)用戶，該用戶不可交互式登錄系統(tǒng)（非TSO用戶），將相應權(quán)限集中到該非TSO用戶上，所有實施主機服務(wù)需求響應、投產(chǎn)或DROP、GRANT、STOP表的操作只能通過SETUSER

    SJBG01或DBBG01等提交作業(yè)實現(xiàn)；其次，為控制用戶直接通過SPUFI設(shè)置應用表的增刪改操作、對VSAM文件、代理業(yè)務(wù)文件的讀寫權(quán)限，在收緊相關(guān)權(quán)限的前提下，根據(jù)主機應用工作的需要，開設(shè)具有專門權(quán)限的主機專用用戶在專用終端上使用，且專用用戶平時處于REVOKED狀態(tài)，需按照專用用戶管理流程申請使用；最后，為了特定或緊急情況下的需要，設(shè)立應急用戶、特權(quán)用戶、災備用戶等，并制定相應管理流程，采用密碼信封的形式保管用戶密碼，將其集中保存在保險箱，且保險箱密碼和鑰匙由不同崗位人員分持保管。

表1 分層管理模式

    2.事中管理、事后審計

    在以上管理模式中，將業(yè)務(wù)數(shù)據(jù)的修改權(quán)限上收到業(yè)務(wù)調(diào)整服務(wù)需求用戶（批量用戶、專用用戶、應急用戶）中，批量用戶只能在作業(yè)中使用，專用用戶和應急用戶采用集中管理的方式，需使用人提出申請經(jīng)審批、發(fā)放或啟用后方可使用。技術(shù)措施加上管理手段的雙重控制，有效控制了通過SPUFI進行聯(lián)機業(yè)務(wù)修改操作。同時，審計人員能夠根據(jù)申請審批記錄掌握信息，及時開展事后審計，進行主機數(shù)據(jù)安全情況檢查。

    為加強業(yè)務(wù)調(diào)整服務(wù)需求實施的正確性和安全性，制定改進業(yè)務(wù)調(diào)整服務(wù)需求安全性檢查加強事后核對的方案，開發(fā)事后審計工具（主機業(yè)務(wù)調(diào)整服務(wù)需求事后核對系統(tǒng)），高效檢索出非法及差錯實施的業(yè)務(wù)調(diào)整服務(wù)需求，有效開展事后監(jiān)督工作，降低了業(yè)務(wù)調(diào)整服務(wù)需求實施的風險度。

    為進一步地加大對核心業(yè)務(wù)數(shù)據(jù)變動情況檢查的覆蓋面，需要針對不同的業(yè)務(wù)數(shù)據(jù)調(diào)整實施形式制定特有的控制方案并實施。例如，工商銀行數(shù)據(jù)中心（上海）（以下簡稱“上海數(shù)據(jù)中心”）制定并實施了V+業(yè)務(wù)數(shù)據(jù)調(diào)整服務(wù)需求的控制措施技術(shù)方案，實現(xiàn)了對主機系統(tǒng)DITTO工具、CECI聯(lián)機交易的安全控制等，并增加事后監(jiān)督機制，從覆蓋面上提高了業(yè)務(wù)數(shù)據(jù)調(diào)整的安全性。為了做好數(shù)據(jù)安全管理工作，進一步控制數(shù)據(jù)安全風險，秉持信息安全控制PDCA的理念，上海數(shù)據(jù)中心對主機業(yè)務(wù)調(diào)整服務(wù)需求現(xiàn)狀及控制情況進行了全面分析和總結(jié)，并在內(nèi)部實施用戶授權(quán)調(diào)整、增加日志收集等改進方案，不斷改進和優(yōu)化主機數(shù)據(jù)安全控制和審計方案。

    目前，上海數(shù)據(jù)中心所采用的各類主機用戶權(quán)限控制方案、管理流程規(guī)范、控制方案（包括專用用戶）、自動化數(shù)據(jù)安全事后稽核工具等已能在一定程度上對生產(chǎn)環(huán)境中的業(yè)務(wù)數(shù)據(jù)安全隱患進行控制和審計。

三、主機業(yè)務(wù)調(diào)整服務(wù)需求事后核對系統(tǒng)的實現(xiàn)

    1.DB2業(yè)務(wù)數(shù)據(jù)審計目的

    通過對主機業(yè)務(wù)數(shù)據(jù)（DB2應用表）的所有變動（新增、修改、刪除）進行審計，來審核對DB2敏感業(yè)務(wù)表的業(yè)務(wù)調(diào)整服務(wù)需求是否合規(guī)，確保主機生產(chǎn)系統(tǒng)上的所有DB2應用表的業(yè)務(wù)調(diào)整服務(wù)需求均經(jīng)過管理層的審批、授權(quán)，對潛在的非授權(quán)業(yè)務(wù)調(diào)整服務(wù)需求提供輸出報告。

    建立數(shù)據(jù)庫存儲主機應用業(yè)務(wù)調(diào)整服務(wù)需求安全審計數(shù)據(jù)源，并提供對大量審計數(shù)據(jù)進行分類、提煉、檢索并輸出報表的功能，能夠檢測和發(fā)現(xiàn)違規(guī)操作、內(nèi)部欺詐、信息泄漏等安全事件。

    2.DB2應用業(yè)務(wù)調(diào)整服務(wù)需求方式和審計范圍

    目前主機環(huán)境中涉及DB2應用業(yè)務(wù)數(shù)據(jù)修改的各類方式如下：聯(lián)機交易、批量作業(yè)（TWS批量和手工提交作業(yè)）、工具類軟件（SPUFI、DRDA等）。主機上所有業(yè)務(wù)調(diào)整服務(wù)需求均須根據(jù)管理層授權(quán)的要求合法實施，因此需要對不同用戶通過不同方式修改主機DB2應用表的操作過程和結(jié)果進行審計。

    3.主機業(yè)務(wù)調(diào)整服務(wù)需求事后稽核

    （1）對通過SPFUI的聯(lián)機業(yè)務(wù)調(diào)整服務(wù)需求的稽核。將通過SPFUI進行業(yè)務(wù)數(shù)據(jù)修改的操作權(quán)限集中在SPFUI專用用戶上，制定相應管理要求，并配合屏幕監(jiān)控軟件進行事后審計。具體流程如下：指定專用終端，專用用戶僅可在專用終端上使用，并在專用終端上安裝屏幕監(jiān)控軟件；在主機TCP/IP配置文件中，為這兩臺專用終端分配獨立的LUGROUP，以區(qū)分于其他終端；編寫獨立的主機TSO LOGON PROCEDURE供專用用戶使用，在登錄文件中判斷專用用戶登錄時分配的LU名是否為指定的LU名，若不相符，則自動將該用戶LOGOFF，該步驟需要同步在RACF中激活TSOPROC CLASS，在TSOPROC CLASS中定義該登錄文件的PROFILE，并授權(quán)專用用戶使用；當運行專用終端的PCOM登錄主機系統(tǒng)時，屏幕監(jiān)控軟件即進入錄像狀態(tài)，自動記錄屏幕的所有變化，生成可以自動播放的錄像文件，事后稽核時使用該錄像文件與實際需求進行對比，以發(fā)現(xiàn)非法的操作。

    （2）對通過批量作業(yè)提交的業(yè)務(wù)調(diào)整服務(wù)需求的稽核。主機業(yè)務(wù)調(diào)整服務(wù)需求事后核對系統(tǒng)的設(shè)計原則是：收集所有業(yè)務(wù)調(diào)整服務(wù)需求批量用戶提交作業(yè)的日志，并用賬戶提取工具提取業(yè)務(wù)調(diào)整服務(wù)需求涉及修改的數(shù)據(jù)，然后導入主機業(yè)務(wù)調(diào)整服務(wù)需求事后核對系統(tǒng)，通過與從Service Desk系統(tǒng)批量導入的合法數(shù)據(jù)進行比對，檢查是否存在非法操作。

    主機業(yè)務(wù)調(diào)整服務(wù)需求事后核對系統(tǒng)可以自動收集原始需求及實際操作結(jié)果，實現(xiàn)審計信息的自動處理、導入、分析并進行需求與結(jié)果的比對。使用該稽核系統(tǒng)對數(shù)據(jù)進行事后稽核和審計，一天的業(yè)務(wù)調(diào)整服務(wù)需求稽核時間僅需數(shù)分鐘，審計結(jié)果高效、客觀、準確。

    安全控制和審計項目實施以來效果顯著，有效降低了業(yè)務(wù)調(diào)整服務(wù)需求的操作風險，提高了事后稽核效率，同時規(guī)范了業(yè)務(wù)調(diào)整服務(wù)需求操作流程及技術(shù)人員的操作習慣，提高了數(shù)據(jù)業(yè)務(wù)調(diào)整服務(wù)需求的安全性，業(yè)務(wù)調(diào)整服務(wù)需求的操作差錯率也大大降低。在技術(shù)控制的同時結(jié)合安全管理制度、安全意識教育，有效實現(xiàn)了大型商業(yè)銀行數(shù)據(jù)中心核心數(shù)據(jù)的安全控制，確�？蛻魯�(shù)據(jù)的完整性及安全性。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：數(shù)據(jù)中心主機核心業(yè)務(wù)數(shù)據(jù)安全控制和審計

本文網(wǎng)址：http://www.oesoe.com/html/consultation/1083952531.html