金融服务安全信息管理案例
 |
| 点击下载 |
格拉姆-利奇-布利利法案 (GLBA)
格拉姆-利奇-布利利法案(GLBA)要求金融机构保护客户信息的安全性、完整性和保密性,并籍此实现美国金融服务业的现代化。GLBA法案第五条规定了新方法的基础,即必须跨越网络边界而实现数据共享。同时,它还在客户自行保护数据私密性方面提出了新的要求。
除例外情况以外,金融机构实施该法案的最迟时间为2003年5月23日。实施该法案的方面包括:
- 行政管理程序
- 实质性保护措施
- 保护非公开客户数据的技术保护措施
技术安全保护措施对数据管理人员构成了特别严峻的挑战,因为他们必须同时分享和保护相同的资源。虽然鼓励采用电子化交易作为对金融服务融合的让步,但GLBA法案还要求(金融机构)采用新的保护措施来保护这一信息的安全性和保密性。此外,该法案还规定了一些新的客户保障措施,允许客户要求不得将其个人信息提供给金融机构的商业合作伙伴用于市场营销目的。
“机构必须证明它们正在以令其商业合作伙伴和利害关系方感到满意的水平管理着安全性。这决不仅仅是探讨需要装备哪些安全性产品来表明金融机构的合法性及其信息安全性的管理惯例。”Michael
Rasmussen,Forrester/Giga信息集团2003年IT趋势:信息安全性标准、法规与立法。
这些新的商业挑战,再加上要求实行严格审计和保密性控制的GLBA法规,对于理顺商业流程、降低各项成本、提高生产效率以及防止保密数据滥用而实施严格保护等而言都是一场革命。作为安全信息管理(SIM)领域中公认的领导者,Cisco公司可以提供配备有满足第五条标准所要求的特性的成熟可靠的解决方案。
防火墙提供的是外围防护,可保护网络或网络节点免遭非法用户的攻击。如果企业是利用互联网来实现与商业合作伙伴、客户、经纪人和股票交易所之间的联系,那么防护系统的这一假想的“第一层”就是至关重要的。仅次于防火墙的是入侵检测系统(IDS),它应该能使管理员监控数据流模式和协议并注意那些可疑活动。这一扩展监控功能的目的是化解对被保护信息的外部攻击和其他威胁。在IDS之上则是防病毒系统、主机入侵检测系统、VPN以及应用程序日志文件。
所有这些适用的点解决方案所提出的挑战在于它们所产生的数据的数量、它们之间缺乏消息标准化机制以及可实时实现并立刻付诸实施的交叉关联智能功能的缺乏。不但会有一些设备“做无用功”,而且如果没有适当的调节它们还会产生出极大量的“假肯定”。
“Cisco公司的SIM技术有助于实现符合风险误差标准、职工总数标准以及立法标准的管理,而且实际上还可使安全性简单地成为我们的基础设施体系的一部分。”Matt
Speare,俄亥俄州储蓄银行,IT基础设施与安全性总监。
Cisco公司针对这一失控数据问题的解决方案就是安全信息管理。SIMS软件基础设施是一个配备集成功能的平台,它可收集和分析来自防火墙和应用程序等安全保护系统的事件日志数据,进而创建关于网络利用率、政策符合性以及潜在网络违法问题的全面而及时的视图。它可提供第五条所强制规定的必要的关联、通知、报告和事件处理功能,从而改进对信息安全和安全相关决策的监督和控制。
具体地说,SIMS:
- 可为高级行政管理人员提供可使他们清晰管理其与金融机构保密性责任相关的职责的权威报告;
- 可将原始数据转换为汇总和直观的可视化信息,以便对威胁作出快速和彻底的响应;
- 可在牢固可靠的信息库中保持关于针对关键资产的威胁和弱点的连续和前瞻智能的历史数据—并提供针对这些资产的具体安全保护基础设施;
- 可提供对合法和非法用户活动的详细识别和监督;
- 可提供强大而全面的关联功能并实现对已知攻击以及新的和恶意未知攻击的持续评估和防护;
- 可提供配备广泛信息知识库以及针对威胁和资产而确定优先级的事件响应路径的具体安全事件处理功能。
随着众多企业纷纷利用互联网的功能并迫切需要确保在任何网络上传输的机密数据的安全性,格拉姆-利奇-布利利法案已经成为一个需要探讨和解决的关键问题。Cisco公司提供了基础设施平台,可以帮助企业妥善解决GLBA问题,也可以帮助企业满足相关法规的要求。
