基于安全基线金融信息安全管理方法研究.docVIP

基于安全基线金融信息安全管理方法研究 　　摘 要：系统规模的不断扩大促使金融信息安全结构朝着复杂化，多元化发展，由此造成了重点应用和服务器使用量基数不断变大，因此，如果工作人员在操作过程中出现失误，就很有可能给系统的正常运转带来很大的不利影响。针对这些问题，笔者认为建立健全一套金融行业信息安全管理方面的安全基线规范是十分有必要的，是确保信息系统安全运行的重要手段。 　　关键词：安全基线；金融；信息安全；管理办法 　　中图分类号：TP309 文献标识码：A DOI：10.3969/j.issn.1003-6970.2013.06.030 　　0 引言 　　近几年来，安全基线在金融行业中的应用越来越广泛，从而提高了金融行业内部网络与金融信息系统的安全系数[1]。所谓安全基线，是指在确保网络通信相关设备正常运作的基础上，所要达到的最低层次的防护能力要求指标，是一套整体一致的安全基准。金融信息安全基线主要组成内容是一套统一的安全标准，表现某一时刻该金融单位总体信息安全所处状态，是此单位的信息安全水平综述。 　　1 背景 　　金融业系统规模扩大化影响了其内部业务系统的网络结构，使其朝着复杂方向发展[2]。由此而引发的重点应用和服务器的总类别增大，数量增大，一旦出现工作人员操作失误或从始至终采取同一种初始系统设置，引发对安全控制标准的不重视，造成不良结果影响系统正常运作的可能性就是非常大的。 　　2 安全基线理论 　　安全基线需要设定一致的理论规范，含基线标准、基线编号、基线所处状态、基线状态说明、基线改革方法、基线审批单等七项重点内容[3]。基线版本，是指对基线标准的改变实施跟踪、分析的方法和手段，可将其分成两部分：其一，是基线版本编号，代表的是基线标准中发生改变的内容，由四位阿拉伯数字组成，基线标准每发生一次改变，所对应的号码就随之加1；其二，是由六位阿拉伯数字组成的编号，代表含义是安全基线变更时使用的变更单编号。对于首次初始化的安全基线，需要审核工作人员在审批单的编号中注明“初始化”字样，在此后所有关于基线标准的增加、变更或删除、丢弃中，也都需要进行相关标注的审批单???号，方便日后对基线标注的发展流程进行查看和追溯。 　　3 基于安全基线的金融信息安全管理方法 　　安全基线管理方法是为了保证通信网络中所需要使用的设备能够正常运作而制定出的标准，是一系列的安全设置指标。金融企业下层运作体系中几乎囊括了操作系统、运营设备、数据库等多种类型在内的系统和设备。在运行系统的各个操作环节中，对各项设备实施安全检查和配置，从而确保运营系统的正常运转。安全基线管理方法将会为各种设备和运营系统提供全面的监测表格和操作指南，规范了标准化的技术安全操作，并为其提供校验标准和框架。金融行业在日常的操作运转中，使用统一的安全基线规范对其工作人员进行相关指导，使工作人员树立检查操作设备及过程中可能存在风险的意识，但是，如果所面临的信息系统中，系统复杂多样，设备多而种类各异时，想要彻底进行规范性的系统配置检修，却是一件并不容易的事，同时对检测人员的技术水平和工作经验都有着非常高的要求。这种情况下采取高效率、自动化、规范性的配置检查工具来帮助安全检查与评估是非常必须的[4]。 　　想要在信息系统中健全完善安全基线技术体系，就需要将安全基线管理方法针对整个企业运营过程进行规划，并落实到运营、管理过程中，从而达到安全基线管理方法的完整性、合理性、有效性等，在各个运营环节中都保障信息系统的安全可靠性和可信任度。安全基线管理方法涉及范围广、内容复杂，是一个贯穿于信息系统全过程的复杂管理系统，需要采用过程性的控制方式才能确保其有效执行。 　　4 信息安全基线实践 　　将信息安全基线管理进一步细分，可分为网络安全管理、技术安全管理、机房安全管理、信息安全管理等十项内容，其下又包含了近千个小标准，囊括了金融信息安全的方方面面，细化、明确了安全管理工作的各项要求，规范了一致的安全模板，对金融信息安全检查工作起到了有效的推动作用，促进金融信息安全工作朝着科学化、有效化发展[5]。但是，与之同在的还有目的各异的检查工作和存在很大差别的安全标准，这两种情况的存在很大程度上阻碍了金融行业信息安全工作的进行和发展。针对这一问题，我们究竟该制定怎样的安全标准，成为了近些年来金融行业有关信息安全工作方面亟待解决的问题。 　　4.1严格执行各项制度 　　严格执行各项制度已经成为一个老生常谈的问题，大部分人都不以为意，但是在实际的工作过程中，还是经常会出现为送人情无视制度、未经审批率先操作、为求高业绩不畏高危险等不良行为，不具备高度安全责任意识，制度严格把关不到位，信息安全工作做不到贯彻落实。随着金融信息系统的改革创新，安全基线也在不断的变化发展。将信息安全基线