論金融資訊系統安全管理體系研究
論文摘要:加強安全管理已成為提高資訊系統安全保障能力的可靠保證,是金融資訊系統安全體系建設的重要內容。從安全風險分析入手,基於安全管理技術手段和管理措施,構建了安全管理體系,描述了安全管理平臺和安全管理措施的建議。
論文關鍵詞:資訊系統;安全管理;體系
現代金融業是基於資訊、高度計算化、分散、相互依存的產業,有人形象地把資訊系統歸結為銀行業的“核心資本”。金融資訊化帶來的是銀行業務資訊系統在網路結構、業務關係、角色關係等方面的複雜化。而越是複雜的系統,其安全風險就越高。在系統中每增加一種訪問的方式就增加了一些入侵的機會;每增加一些訪問的人群就引入了一些可能受到惡意破壞的風險。據2003年一項對全球前500家金融機構的安全調查***2003GlobaleS
curity Survey,Deloitte Touche Tohmat—su***,39%受調查的機構承認2002年曾受到一定形式的系統攻擊;美國聯邦法院2004年所作的一系列有關資訊犯罪的案件中,有多件涉及金融機構。這些統計數字和報道出的事件,只是我們面臨資訊系統安全威脅的冰山一角,因此加速建設金融資訊系統中的安全保障體系變得更加緊迫。
1安全管理體系構建
資訊保安源於有效的管理,使技術發揮最佳效果的基礎是要有一定的資訊保安管理體系,只有在建立防範的基礎上,加強預警、監控和安全反擊,才能使資訊系統的安全維持在一個較高的水平之上。因此,安全管理體系的建設是確保資訊系統安全的重要基礎,是金融資訊系統安全保障體系建設最為重要的一環。為在金融資訊系統中建立全新的安全管理機制,最可行的做法是技術與管理並重,安全管理法規、措施和制度與整體安全解決方案相結合,並輔之以相應的安全管理工具,構建科學、合理的安全管理體系。
金融資訊系統安全管理體系是在金融資訊系統安全保障整體解決方案基礎上構建的,它包括資訊保安法規、措施和制度,安全管理平臺及資訊保安培訓和安全隊伍建設,其示意圖如圖1所示。
2安全管理平臺
安全管理平臺是通過採用技術手段實施金融資訊系統安全管理的平臺,它包括安全預警管理、安全監控管理、安全防護與響應管理和安全反擊管理。
2.1安全預警管理
安全預警管理的功能由預警系統實現,通過該系統,可以在安全風險動態威脅和影響金融資訊系統前,事先傳送相關的警示,讓管理員採取主動式的步驟,在安全風險影響運作前加以攔阻,從而預防全網業務中斷、效能損失或對其公眾信譽造成危害,達到提前保護自己的作用。安全預警系統通過追蹤最新的攻擊技術,分析威脅資訊以辨識出真正潛在的攻擊,迅速響應並提供定製化威脅分析及個性化的漏洞和惡意程式碼告警服務,幫助降低風險,防患於未然。
2.2安全監控管理
通過安全監控功能可以實時監控金融資訊系統的安全態勢、發生了哪些攻擊、出現了什麼異常、系統存在什麼漏洞以及產生了哪些危險日誌等,因此安全監控功能對於金融資訊系統的安全保障體系來說是至關重要的。
1***基於實時性的安全監控。通過線上方式管理金融資訊系統中的資源狀態和實時安全事件,及時關注IT資源和安全風險的現狀和趨勢,通過實時監控來提高系統的安全性和IT資源的效能。
2***基於智慧化的安全監控。利用智慧資訊處理技術對資訊網路中的各種安全事件進行智慧處理,實現報警資訊的精煉化,提高報警資訊的可用資訊量,降低安全裝置的虛警和誤警,從而有效地提高安全保障系統中報警資訊的可信度。
3***基於視覺化的安全監控。通過對安全事件分析過程與分析報告的視覺化手段,如圖表/曲線/資料表/關聯關係圖等,提供詳細的入侵攻擊資訊乃至重現攻擊場景,實現對入侵攻擊行為的追蹤,使得對安全事件的分析更為直觀,從而有效提高安全管理人員對於入侵攻擊的監控理解,使安全系統的管理更為有效。
4***基於分散式的安全監控。通過系統分散式的多級部署方式,可以實現對金融資訊系統內各個子系統的監控和綜合分析能力,同時對不同安全保護等級的使用者提供相應的監控介面和資訊,從而嚴格滿足其安全等級劃分的使用者級要求。
2.3安全防護與響應管理
在金融資訊系統的安全系統中由於安全的異構屬性,因此會採用不同的安全技術和不同廠家的安全產品來實現安全防護的目的。通過安全防護與響應管理可以及時響應和優化整個系統安全防護策略;最直接的響應就是提供多種方式,如報警燈、窗日、郵件、手機簡訊等向安全管理員報警,然後日誌儲存在本地資料庫或者異地資料庫中。
1***優化安全策略分析。通過實時掌握自身的安全態勢,及各種安全裝置、網路裝置、安全系統和業務系統的處理情況,輸出正常和非法個性化的安全策略報表,然後直接通知相應的安全管理人員或廠商對其自身策略進行優化調整。
2***動態響應策略調整。通過對各種安全響應協議的支援,如SNMP、TOPSEC、聯動協議等,實現相關的安全防護技術策略的自動互動,同時通過專家知識庫能從全域性的角度去響應安全事件很好地解決安全誤報問題。
3***安全服務自動協調。當智慧分析和安全定位功能確認出安全事件或安全故障時,及時調派安全服務人員小組***或提供安全服務的供應商***進行相應的安全加固防護。
2.4安全反擊管理
安全反擊管理包括安全事件的取證管理和安全事件的追蹤反擊。
1***安全事件的取證管理。取證在網路與資訊系統安全事件的調查中是非常有用的工具,通過對系統安全事件的儲存和分析,實現對安全事件的取證管理,給相關調查人員提供安全事件的直接取證。
2***安全事件的追蹤反擊。通過資源狀態分析、關聯分析、專家系統分析等有效手段,檢測到攻擊型別,並定位攻擊源。隨後,系統自動對目標進行掃描,並將掃描結果告知安全管理員,並提示安全管理員查詢知識庫,從中提取有效手段對攻擊源進行反擊控制。
3安全管理措施建議
在安全管理技術手段的基礎上,還要提高安全管理水平。俗話說“三分技術,七分管理”,由於金融資訊系統相對比較封閉,對於金融資訊系統安全來說,業務邏輯和操作規範的嚴密程度是關鍵。因此,加強金融資訊系統的內部安全管理措施,建立領導組織體系,完善落實內控制度,強化日常操作管理,是提升安全管理水平的根本。
1***完善安全管理機構的建設。目前,我國已經把資訊保安提到了促進經濟發展、維護社會穩定、保障國家安全、加強精神文明建設的高度,並提出了“積極防禦、綜合防範”的資訊保安管理方針,專門成立了網路與資訊保安領導小組、國家計算機網路應急技術處理協調中心***簡稱CNCERT/CC***、中國資訊保安產品測評認證中心***簡稱CNITSEC***等,初步建成了國家資訊保安組織保障體系。為確保金融資訊系統的安全,在金融資訊系統內部應組建安全管理小組***或委員會***,安全管理小組制定出符合企業需要的資訊保安管理策略,具體包括安全管理人員的義務和職責、安全配置管理策略、系統連線安全策略、傳輸安全策略、審計與入侵安全策略、標籤策略、病毒防護策略、安全備份策略、物理安全策略、系統安全評估體系等內容。安全管理應儘量把各種安全策略要求文件化和規範化,以保證安全管理工作具有明確的依據或參照。
2***在保證資訊系統裝置的執行穩定可靠和資訊系統執行操作的安全可靠的前提下,增加安全機制,如進行安全域劃分,進行有針對性的安全裝置部署和安全策略設定,以改進對重要區域的分割防護;增加入侵檢測系統、漏洞掃描、違規外聯等安全管理工具,進行定時監控、事件管理和鑑定分析,以提高自身的動態防禦能力;完善已有的防病毒系統、增加內部資訊系統的審計平臺,以便形成對內部安全狀況的長期跟蹤和防護能力。
3***制定一系列必須的資訊系統安全管理的法律法規及安全管理標準,狠抓內網的使用者管理、行為管理、應用管理、內容控制以及儲存管理;進一步完善網際網路應急響應管理措施,對關鍵設施或系統制定好應急預案,並定期更新和測試,全面提高預案制定水平和處理能力;建立一支“資訊保安部隊”,專門負責資訊網路方面安全保障、安全監管、安全應急和安全威懾方面的工作。
4***堅持“防內為主,內外兼防”的方針,加強登入身份認證,嚴格限制登入者的操作許可權,充分利用作業系統和應用系統本身的日誌功能,對使用者所訪問的資訊進行跟蹤記錄,為系統審計提供依據。
5***重視和加強資訊保安等級保護工作,對金融資訊系統中的資訊實施一般保護、指導保護、監督保護和強制保護策略,尤其對重要資訊實施強制保護和強制性認證,以確保金融業務資訊的安全。
6***加強資訊保安管理人才與安全隊伍建設,特別是加大既懂技術又懂管理的複合型人才的培養力度。通過各種會議、網站、廣播、電視、報紙等媒體加大資訊保安普法和守法宣傳力度,提高全民資訊保安意識,尤其是加強企業內部人員的資訊保安知識培訓與教育,提高員工的資訊保安自律水平。
4結束語
隨著資訊化與網路化趨勢的增強和社會資訊化步伐的加快,網路與資訊系統的安全越來越受到人們的關注。網路與資訊保安已經直接威脅到系統的正常運轉和效能的發揮,因此進行安全管理體系研究,對金融資訊系統進行主動有效的安全管理,必將提高金融資訊系統的整體安全保障能力。
- 論金融資訊系統安全管理體系研究
- 馬爾地夫周邊旅遊景點介紹
- 關於青春自強勵志黑板報
- 屬豬的人今年的運程怎麼樣
- 瘦腰的方法和小竅門
- 初二數學的考試反思
- 小學校園健美操視訊
- 適合貼在診所門口的經典對聯
- 感動爸爸媽媽的一封信
- 步伐是什麼意思
- 菜譜家常菜做法小炒***2***
- 表達一個人心情鬱悶的簽名
- 和金牛座女生的聊天技巧
- 益母草的功效和作用及食用方法
- 積極正能量的勵志歌曲有哪些
- 打高爾夫的勵志語錄
- 致給小升初家長的一封信
- 大餅臉的女人面相好不好
- 論新形勢下種子科學與工程專業實踐教學改革
- 公司消防演練總結範文
- 康熙字典五行屬金的字
- 康熙字典五行屬木的字
- 康熙字典五行屬水的字
- 康熙字典五行屬火的字
- 康熙字典五行屬土的字