扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
早在2007年,国家银监会就对全国商业银行的内部控制(包括资金、柜面、会计、信息安全等各方面)提出了具体的要求。而在国外,随着2001年12月美国最大的能源公司——安然公司突然申请破产保护,美国国会也于2002年就通过了对上市公司内部各项行为进行有效监管的萨班斯法案(SOX)。
对于国内的各商业银行而言,如何配合银监会相关法规条款对自身进行严格的内控建设,并参考国际通用的SOX法案进行相关评估,已经越来越受到相关部门及管理者的重视。
绍兴银行(原名绍兴市商业银行)成立于1997年,是一家具有一级法人资格的地方性股份制商业银行。截止2009年末,股本金98365.5万元,资产规模334亿元,职工800余人,内设12个管理部门,下辖 35 个营业网点。全行在不断推出新的金融产品和业务以满足客户需求的同时,也在进一步提升信息化应用水平以满足业务需求,相关领导也很早就注意对内部各项业务及规程进行严格的规范性控制及保护。
为进一步适应银监会的相关信息安全控制要求,保护银行网络的安全性,绍兴银行在网络基础设施建设完备且各项业务均不断拓展的情况下提出了对全行进行准入控制(NAC)系统建设的规划目标,包括对分布广泛且数量众多的营业网点计算机进行接入规范控制,对设备及人员进行身份控制,并对各分散计算机难以管控的安全漏洞进行及时探测和修复。
整体NAC内部控制项目的主要需求有:
·入网控制
对接入银行生产网及办公网的计算机进行入网流程的规范控制,包括新设备入网审核,设备信息注册、设备使用者认证等。
·安全控制
对接入绍兴银行网络的计算机进行安全性控制,包括规范各类安全环境,如杀毒软件安装、补丁更新、桌面安全管理系统等,进行安全扫描并及时修复漏洞,做到入网必合规。
·移动介质控制
对内部重要数据的传输进行有效控制,尤其需要对内部网络中移动存储介质的使用进行严格管理,保证网内信息资产、涉密信息不流失到非授权的移动存储介质中,实现移动存储设备信息安全的“五不”原则,即:进不来、拿不走、读不懂、改不了、走不掉。
·违规外联控制
必须有效阻断内部网络中的违规外联行为,防止重要的内网计算机非法连入因特网,严格防止内部重要信息通过互联网产生泄漏的安全事件。
盈高科技整体化接入控制安全解决方案
通过绍兴银行科技处和盈高科技专业团队的详细交流和规划,最终决定采用盈高科技ASM(入网规范管理系统)做为整个项目的准入平台,由于ASM准入平台采用无客户端agentless模式,所有入网设备均不需要安装客户端软件,从而有效提升了系统的部署效率和易用性,克服了部分低端设备安装客户端后对系统使用造成不便的弊端,并且大大减少了管理员部署客户端软件的工作量和维护量。
绍兴银行-ASM准入控制部署示意图
ASM准入平台建
