金融信息系统安全管理体系.docVIP

金融信息系统安全管理体系 现代金融业是基于信息、高度盘算化、疏散、相互依存的产业，有人形象地把信息系统归结为银行业的“核心资本”。金融信息化带来的是银行业务信息系统在网络结构、业务关系、角色关系等方面的复杂化。而越是复杂的系统，其安全风险就越高。在系统中每增长一种访问的方法就增长了一些入侵的机会；每增长一些访问的人群就引入了一些可能受到恶意损坏的风险。据2003年一项对全球前500家金融机构的安全调查(2003GlobaleS curity Survey，Deloitte Touche Tohmat—su)，39％受调查的机构承认2002年曾受到必定情势的系统攻击；美国联邦法院2004年所作的一系列有关信息犯法的案件中，有多件涉及金融机构。这些统计数字和报道出的事件，只是我们面临信息系统安全要挟的冰山一角，因此加速建设金融信息系统中的安全保障系统变得更加紧急。 长期以来，人们对保障信息系统安全的手段着重于依附技巧，从早期的加密技巧、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、漏洞扫描、身份认证等等。但事实上，仅仅依附安全技巧和安全产品保障信息系统安全的愿望却往往难尽人意，许多复杂、多变的安全要挟和隐患靠安全产品是无法打消的。据有关部门统计，在所有的盘算机安全事件中，约有52％是人为因素造成的，25％由火灾、水灾等自然灾害引起，技巧毛病占10％，组织内部人员作案占10％，仅有3％左右是由外部不法人员的攻击造成。简略归类，属于管理方面的原因比重高达6O％以上，而这些安全问题中的95％是可以通过科学的信息安全管理来避免。因此，加强安全管理已成为进步信息系统安全保障能力的可靠保证，是金融信息系统安全部系建设的重点。 安全管理系统构建 信息安全源于有效的管理，使技巧施展最佳效果的基础是要有必定的信息安全管理系统，只有在建立戒备的基础上，加强预警、监控和安全回击，才干使信息系统的安全保持在一个较高的程度之上。因此，安全管理系统的建设是确保信息系统安全的重要基础，是金融信息系统安全保障系统建设最为重要的一环。为在金融信息系统中建立全新的安全管理机制，最可行的做法是技巧与管理并重，安全管理法规、措施和制度与整体安全解决方案相联合，并辅之以相应的安全管理工具，构建科学、合理的安全管理系统。 金融信息系统安全管理系统是在金融信息系统安全保障整体解决方案基础上构建的，它包含信息安全法规、措施和制度，安全管理平台及信息安全培训和安全队伍建设，其示意图如图1所示。 安全管理平台 安全管理平台是通过采用技巧手段实行金融信息系统安全管理的平台，它包含安全预警管理、安全监控管理、安全防护与响应管理和安全回击管理。 1安全预警管理 安全预警管理的功效由预警系统实现，通过该系统，可以在安全风险动态要挟和影响金融信息系统前，事先传送相干的警示，让管理员采用主动式的步骤，在安全风险影响运作前加以拦阻，从而预防全网业务中断、效能丧失或对其大众信用造成迫害，达到提前掩护自己的作用。安全预警系统通过追踪最新的攻击技巧，分析要挟信息以辨识出真正潜在的攻击，迅速响应并供给定制化要挟分析及个性化的漏洞和恶意代码告警服务，赞助降低风险，防患于未然。 2安全监控管理 通过安全监控功效可以实时监控金融信息系统的安全态势、产生了哪些攻击、涌现了什么异常、系统存在什么漏洞以及产生了哪些危险日志等，因此安全监控功效对于金融信息系统的安全保障系统来说是至关重要的。 1)基于实时性的安全监控。通过在线方法管理金融信息系统中的资源状态和实时安全事件，及时关注IT资源和安全风险的现状和趋势，通过实时监控来进步系统的安全性和IT资源的效能。 2)基于智能化的安全监控。利用智能信息处理技巧对信息网络中的各种安全事件进行智能处理，实现报警信息的精炼化，进步报警信息的可用信息量，降低安全设备的虚警和误警，从而有效地进步安全保障系统中报警信息的可信度。 3)基于可视化的安全监控。通过对安全事件分析过程与分析报告的可视化手段，如图表曲线数据表关联关系图等，供给详细的入侵攻击信息乃至重现攻击场景，实现对入侵攻击行动的追踪，使得对安全事件的分析更为直观，从而有效进步安全管理人员对于入侵攻击的监控懂得，使安全系统的管理更为有效。 基于散布式的安全监控。通过系统散布式的多级安排方法，可以实现对金融信息系统内各个子系统的监控和综合分析能力，同时对不同安全掩护等级的用户供给相应的监控界面和信息，从而严格满足其安全等级划分的用户级请求。 3、安全防护与响应管理 在金融信息系统的安全系统中由于安全的异构属性，因此会采用不同的安全技巧和不同厂家的安全产品来实现安全防护的目标。通过安全防护与响应管理可以及时响应和优化全部系统安全防护策略；最直接的响应就是供给多种方法，如报警灯、窗日、邮件、手机短信等向安全管理员报警，