论金融信息系统安全管理体系研究的论文.docVIP

　　论金融信息系统安全管理体系研究的论文 　　论文摘要：加强安全管理已成为提高信息系统安全保障能力的可靠保证，是金融信息系统安全体系建设的重要内容。从安全风险分析入手，基于安全管理技术手段和管理措施，构建了安全管理体系，描述了安全管理平台和安全管理措施的建议。 　　论文关键词：信息系统；安全管理；体系 　　现代金融业是基于信息、高度计算化、分散、相互依存的产业，有人形象地把信息系统归结为银行业的“核心资本”。金融信息化带来的是银行业务信息系统在网络结构、业务关系、角色关系等方面的复杂化。而越是复杂的系统，其安全风险就越高。在系统中每增加一种访问的方式就增加了一些入侵的机会；每增加一些访问的人群就引入了一些可能受到恶意破坏的风险。据2003年一项对全球前500家金融机构的安全调查(2003globales curity survey，deloitte touche tohmat—su)，39％受调查的机构承认2002年曾受到一定形式的系统攻击；美国联邦法院2004年所作的一系列有关信息犯罪的案件中，有多件涉及金融机构。这些统计数字和报道出的事件，只是我们面临信息系统安全威胁的冰山一角，因此加速建设金融信息系统中的安全保障体系变得更加紧迫。 　　长期以来，人们对保障信息系统安全的手段偏重于依靠技术，从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、漏洞扫描、身份认证等等。但事实上，仅仅依靠安全技术和安全产品保障信息系统安全的愿望却往往难尽人意，许多复杂、多变的安全威胁和隐患靠安全产品是无法消除的。.据有关部门统计，在所有的计算机安全事件中，约有52％是人为因素造成的，25％由火灾、水灾等自然灾害引起，技术错误占10％，组织内部人员作案占10％，仅有3％左右是由外部不法人员的攻击造成。简单归类，属于管理方面的原因比重高达6o％以上，而这些安全问题中的95％是可以通过科学的信息安全管理来避免。因此，加强安全管理已成为提高信息系统安全保障能力的可靠保证，是金融信息系统安全体系建设的重点。 　　1安全管理体系构建 　　信息安全源于有效的管理，使技术发挥最佳效果的基础是要有一定的信息安全管理体系，只有在建立防范的基础上，加强预警、监控和安全反击，才能使信息系统的安全维持在一个较高的水平之上。因此，安全管理体系的建设是确保信息系统安全的重要基础，是金融信息系统安全保障体系建设最为重要的一环。为在金融信息系统中建立全新的安全管理机制，最可行的做法是技术与管理并重，安全管理法规、措施和制度与整体安全解决方案相结合，并辅之以相应的安全管理工具，构建科学、合理的安全管理体系。 　　金融信息系统安全管理体系是在金融信息系统安全保障整体解决方案基础上构建的，它包括信息安全法规、措施和制度，安全管理平台及信息安全培训和安全队伍建设，其示意图如图1所示。 　　2安全管理平台 　　安全管理平台是通过采用技术手段实施金融信息系统安全管理的平台，它包括安全预警管理、安全监控管理、安全防护与响应管理和安全反击管理。 　　2．1安全预警管理 　　安全预警管理的功能由预警系统实现，通过该系统，可以在安全风险动态威胁和影响金融信息系统前，事先传送相关的警示，让管理员采取主动式的步骤，在安全风险影响运作前加以拦阻，从而预防全网业务中断、效能损失或对其公众信誉造成危害，达到提前保护自己的作用。安全预警系统通过追踪最新的攻击技术，分析威胁信息以辨识出真正潜在的攻击，迅速响应并提供定制化威胁分析及个性化的漏洞和恶意代码告警服务，帮助降低风险，防患于未然。 　　2．2安全监控管理 　　通过安全监控功能可以实时监控金融信息系统的安全态势、发生了哪些攻击、出现了什么异常、系统存在什么漏洞以及产生了哪些危险日志等，因此安全监控功能对于金融信息系统的安全保障体系来说是至关重要的。 　　1)基于实时性的安全监控。通过在线方式管理金融信息系统中的资源状态和实时安全事件，及时关注it资源和安全风险的现状和趋势，通过实时监控来提高系统的安全性和it资源的效能。 　　2)基于智能化的安全监控。利用智能信息处理技术对信息网络中的各种安全事件进行智能处理，实现报警信息的精炼化，提高报警信息的可用信息量，降低安全设备的虚警和误警，从而有效地提高安全保障系统中报警信息的可信度。 　　3)基于可视化的安全监控。通过对安全事件分析过程与分析报告的可视化手段，如图表／曲线／数据表／关联关系图等，提供详细的入侵攻击信息乃至重现攻击场景，实现对入侵攻击行为的追踪，使得对安全事件的分析更为直观，从而有效提高安全管理人员对于入侵攻击的监控理解，使安全系统的管理更为有效。 　　4)基于分布式的安全监控。通过系统分布式的多级部署方式，可以实现对金融信息系统内各个子系统的监控和综合分析能力，同时对不同安全