金融信息系统安全管理体系
- 格式:doc
- 大小:25.00 KB
- 文档页数:4
信息法与信息系统安全
班级:********
姓名:######
学号:@@@@@@
2012年6月6日
金融信息系统安全管理体系
现代金融业是基于信息、高度盘算化、疏散、相互依存的产业,有人形象地把信息系统归结为银行业的“核心资本”。
金融信息化带来的是银行业务信息系统在网络结构、业务关系、角色关系等方面的复杂化。
而越是复杂的系统,其安全风险就越高。
在系统中每增长一种访问的方法就增长了一些入侵的机会;每增长一些访问的人群就引入了一些可能受到恶意损坏的风险。
据2003年一项对全球前500家金融机构的安全调查(2003GlobaleS curity Survey,Deloitte Touche Tohmat—su),39%受调查的机构承认2002年曾受到必定情势的系统攻击;美国联邦法院2004年所作的一系列有关信息犯法的案件中,有多件涉及金融机构。
这些统计数字和报道出的事件,只是我们面临信息系统安全要挟的冰山一角,因此加速建设金融信息系统中的安全保障系统变得更加紧急。
长期以来,人们对保障信息系统安全的手段着重于依附技巧,从早期的加密技巧、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、漏洞扫描、身份认证等等。
但事实上,仅仅依附安全技巧和安全产品保障信息系统安全的愿望却往往难尽人意,许多复杂、多变的安全要挟和隐患靠安全产品是无法打消的。
据有关部门统计,在所有的盘算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技巧毛病占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。
简略归类,属于管理方面的原因比重高达6O%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来避免。
因此,加强安全管理已成为进步信息系统安全保障能力的可靠保证,是金融信息系统安全部系建设的重点。
一、安全管理系统构建
信息安全源于有效的管理,使技巧施展最佳效果的基础是要有必定的信息安全管理系统,只有在建立戒备的基础上,加强预警、监控和安全回击,才干使信息系统的安全保持在一个较高的程度之上。
因此,安全管理系统的建设是确保信息系统安全的重要基础,是金融信息系统安全保障系统建设最为重要的一环。
为在金融信息系统中建立全新的安全管理机制,最可行的做法是技巧与管理并重,安全管理法规、措施和制度与整体安全解决方案相联合,并辅之以相应的安全管理工具,构建科学、合理的安全管理系统。
金融信息系统安全管理系统是在金融信息系统安全保障整体解决方案基础上构建的,它包含信息安全法规、措施和制度,安全管理平台及信息安全培训和安全队伍建设,其示意图如图1所示。
二、安全管理平台
安全管理平台是通过采用技巧手段实行金融信息系统安全管理的平台,它包含安全预警管理、安全监控管理、安全防护与响应管理和安全回击管理。
1、安全预警管理
安全预警管理的功效由预警系统实现,通过该系统,可以在安全风险动态要挟和影响金融信息系统前,事先传送相干的警示,让管理员采用主动式的步骤,在安全风险影响运作前加以拦阻,从而预防全网业务中断、效能丧失或对其大众信用造成迫害,达到提前掩护自己的作用。
安全预警系统通过追踪最新的攻击技巧,分析要挟信息以辨识出真正潜在的攻击,迅速响应并供给定制化要挟分析及个性化的漏洞和恶意代码告警服务,赞助降低风险,防患于未然。
2、安全监控管理
通过安全监控功效可以实时监控金融信息系统的安全态势、产生了哪些攻击、涌现了什么异常、系统存在什么漏洞以及产生了哪些危险日志等,因此安全监控功效对于金融信息系统的安全保障系统来说是至关重要的。
1)基于实时性的安全监控。
通过在线方法管理金融信息系统中的资源状态和实时安全事件,及时关注IT资源和安全风险的现状和趋势,通过实时监控来进步系统的安全性和IT 资源的效能。
2)基于智能化的安全监控。
利用智能信息处理技巧对信息网络中的各种安全事件进行智能处理,实现报警信息的精炼化,进步报警信息的可用信息量,降低安全设备的虚警和误警,从而有效地进步安全保障系统中报警信息的可信度。
3)基于可视化的安全监控。
通过对安全事件分析过程与分析报告的可视化手段,如图表、曲线、数据表、关联关系图等,供给详细的入侵攻击信息乃至重现攻击场景,实现对入侵攻击行动的追踪,使得对安全事件的分析更为直观,从而有效进步安全管理人员对于入侵攻击的监控懂得,使安全系统的管理更为有效。
4)基于散布式的安全监控。
通过系统散布式的多级安排方法,可以实现对金融信息系统内各个子系统的监控和综合分析能力,同时对不同安全掩护等级的用户供给相应的监控界面和信息,从而严格满足其安全等级划分的用户级请求。
3、安全防护与响应管理
在金融信息系统的安全系统中由于安全的异构属性,因此会采用不同的安全技巧和不同厂家的安全产品来实现安全防护的目标。
通过安全防护与响应管理可以及时响应和优化全部系统安全防护策略;最直接的响应就是供给多种方法,如报警灯、窗日、邮件、手机短信等向安全管理员报警,然后日志保存在本地数据库或者异地数据库中。
1)优化安全策略分析。
通过实时控制自身的安全态势,及各种安全设备、网络设备、安全系统和业务系统的处理情况,输出正常和非法个性化的安全策略报表,然后直接通知相应的安全管理人员或厂商对其自身策略进行优化调剂。
2)动态响应策略调剂。
通过对各种安全响应协议的支撑,如SNMP、TOPSEC、联动协议等,实现相干的安全防护技巧策略的主动交互,同时通过专家知识库能从全局的角度去响应安全事件很好地解决安全误报问题。
3)安全服务主动和谐。
当智能分析和安全定位功效确认出安全事件或安全故障时,及时调派安全服务人员小组(或供给安全服务的供给商)进行相应的安全加固防护。
4、安全回击管理
安全回击管理包含安全事件的取证管理和安全事件的追踪回击。
1)安全事件的取证管理。
取证在网络与信息系统安全事件的调查中是非常有用的工具,通过对系统安全事件的存储和分析,实现对安全事件的取证管理,给相干调查人员供给安全事件的直接取证。
2)安全事件的追踪回击。
通过资源状态分析、关联分析、专家系统分析等有效手段,检测到攻击类型,并定位攻击源。
随后,系统主动对目标进行扫描,并将扫描成果告诉安全管理员,并提示安全管理员查询知识库,从中提取有效手段对攻击源进行回击把持。
三、安全管理措施建议
在安全管理技巧手段的基础上,还要进步安全管理程度。
俗话说“三分技巧,七分管
理”,由于金融信息系统相对照较封闭,对于金融信息系统安全来说,业务逻辑和操作规范的周密程度是要害。
因此,加强金融信息系统的内部安全管理措施,建立领导组织系统,完善落实内把持度,强化日常操作管理,是提升安全管理程度的根本。
1)完善安全管理机构的建设。
目前,我国已经把信息安全提到了增进经济发展、掩护社会稳固、保障国家安全、加强精力文明建设的高度,并提出了“积极防御、综合戒备”的信息安全管理方针,专门成立了网络与信息安全领导小组、国家盘算机网络应急技巧处理和谐中心(简称CNCERT/CC)、中国信息安全产品测评认证中心(简称CNITSEC)等,初步建成了国家信息安全组织保障系统。
为确保金融信息系统的安全,在金融信息系统内部应组建安全管理小组(或委员会),安全管理小组制定出符合企业需要的信息安全管理策略,具体包含安全管理人员的任务和职责、安全配置管理策略、系统连接安全策略、传输安全策略、审计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物理安全策略、系统安全评估系统等内容。
安全管理应尽量把各种安全策略请求文档化和规范化,以保证安全管理工作具有明确的根据或参照。
2)在保证信息系统设备的运行稳固可靠和信息系统运行操作的安全可靠的前提下,增长安全机制,如进行安全域划分,进行有针对性的安全设备安排和安全策略设置,以改良对重要区域的分割防护;增参加侵检测系统、漏洞扫描、违规外联等安全管理工具,进行定时监控、事件管理和鉴定分析,以进步自身的动态防御能力;完善已有的防病毒系统、增长内部信息系统的审计平台,以便形成对内部安全状态的长期跟踪和防护能力。
3)制定一系列必须的信息系统安全管理的法律法规及安全管理标准,狠抓内网的用户管理、行动管理、利用管理、内容把持以及存储管理;进一步完善互联网应急响应管理措施,对要害设施或系统制定好应急预案,并定期更新和测试,全面进步预案制定程度和处理能力;建立一支“信息安全部队”,专门负责信息网络方面安全保障、安全监管、安全应急和安全威慑方面的工作。
4)保持“防内为主,内外兼防”的方针,加强登录身份认证,严格限制登录者的操作权限,充分利用操作系统和利用系统本身的日志功效,对用户所访问的信息进行跟踪记载,为系统审计供给根据。
5)器重和加强信息安全等级掩护工作,对金融信息系统中的信息实行一般掩护、领导掩护、监督掩护和强制掩护策略,尤其对重要信息实行强制掩护和强制性认证,以确保金融业务信息的安全。
6)加强信息安全管理人才与安全队伍建设,特别是加大既懂技巧又懂管理的复合型人才的造就力度。
通过各种会议、网站、广播、电视、报纸等媒体加大信息安全普法和守法宣传力度,进步全民信息安全意识,尤其是加强企业内部人员的信息安全知识培训与教导,进步员工的信息安全自律程度。
四、随着信息化与网络化趋势的加强和社会信息化步伐的加快,网络与信息系统的安全越来越受到人们的关注。
网络与信息安全已经直接要挟到系统的正常运转和效能的施展,因此进行安全管理系统研究,对金融信息系统进行主动有效的安全管理,必将进步金融信息系统的整体安全保障能力。