金融网络风险防范和应急管理.docVIP

金融网络风险防范和应急管理 　　摘要:金融网络是一个较为庞大的网络结构，它纵向从各金融机构总部延伸至各级分支机构，横向各金融机构的各级节点又需要与人民银行、银联等机构互联，同时还会不断有业务关系的其它非金融机构组织加入其中，从而形成一套即错综复杂又至关重要的多元化网络体系架构，如何保障其安全稳定运行的重要性不言而喻。 　　关键词：金融风险；防范；管理 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)10-2201-02 　　随着我国金融业的蓬勃发展，各金融机构不断加大金融电子化建设投入，扩大其网络规模和应用范围。但是，应该看到，金融电子化在给我们提供便利的同时，也带来了新的安全问题，并且，这个问题现在显得越来越紧迫。 　　1金融网络现状与面临的主要风险 　　金融活动越来越多地在计算机网络上建立，网上证券交易、资金转账、清算支付、信用卡交易、信用查询、电信银行业务等基于网络的金融产品不断被开发出来，各种不同规模的金融系统也在迅速的发展壮大，金融业务的网络化趋势，已经成为不可避免的发展方向。 　　在网络为我们提供巨大便利的同时，来自外部与内部的威胁与风险也在不断加大。绝大多数银行、金融机构都会通过各种方式进行互联互通，并与国际互联网直接或间接相连，如何有效防范来自外部的攻击、窃听、木马、病毒的多重入侵是金融网络组建与运行中必须首要考虑的问题。同时，机构内部的员工、终端、服务器、网络设备、软件等的管理也是不可忽视的，由于外部出口是一个点，而内部体系是一个面，所以来自内部的威胁往往要远远大于外部，必须加以足够的重视。 　　2金融网络的风险评估与防范 　　最有效的金融网络风险防范措施就是对网络系统进行等级保护，按照重要程度进行级别划分，对不同等级的网络系统通过物理隔离或逻辑隔离划定边界，并针对不同等级的网络系统，特别是核心业务网络定期进行风险评估，系统地分析所面临的威胁及其存在的脆弱性，查找薄弱环节和安全隐患，有针对性的提出防范和化解风险的整改措施，并及时进行整改。 　　风险评估根据网络系统等级划分后的的重要程度和机构自身的条件选择自评估或聘请第三方专业机构进行。评估过程大致可以分为现场检查、风险分析及策略选择3个步骤进行。 　　首先，现场检查阶段应明确目前网络资产情况、网络系统的安全需求、当前的安全控制措施情况、业务对网络系统的依赖性，明确网络系统的技术脆弱性，主要包括：设计弱点、实现弱点、配置弱点等等。现场检查切勿走形式，务必提前制定详细的检查方案与实施细则，并严格按照检查计划进行。只有现场检查阶段得到了全面、真实的业务数据，才能为后面的综合分析提供必要的基础支持。 　　风险分析阶段是整个风险评估的核心部分，需要利用现场检查阶段得到的各类数据，综合分析金融网络系统所存在的各类风险。具体实施则应包括关键资产安全需求（机密性、完整性和可用性）确定、关键资产威胁分析、脆弱性分析、综合风险计算及风险分析总结等几个方面。 　　安全需求分析包括应选择关键资产、并对关键资产进行安全需求分析与赋值。威胁分析针对环境因素和人为因素分析威胁来源、对威胁进行分类、研究威胁发生的可能性、分析威胁的严重程度。脆弱性分析包括以下几点：网络安全策略及管理规章制度是否健全；安全组织体系是否健全，管理职责是否明确，安全管理机构岗位设置、人员配备是否合理；网络系统的体系结构、各类安全保障措施的组合是否合理；网络安全域划分、边界防护、内部网络防护、外部设备接入控制、内外网隔离等是否到位；网络设备、安全设备、主机和终端设备的安全性是否可靠，操作系统的安全配置、病毒防护、恶意代码防范等是否有效。此外,还应检查设备、系统的操作和维护记录，变更管理，安全事件分析和报告；运行环境与开发环境的分离情况；安全审计、补丁升级管理、安全漏洞检测、网管、权限管理及密码管理情况；机房安全管控措施、防灾措施、供电和通信系统的保障措施等；关键资产采购时是否进行了安全性测试，对外部服务机构和人员的保密约束情况，在服务提供过程中是否采取了管控措施；应急响应体系（应急组织、应急预案、应急物资）建设情况，应急演练情况等。 　　综合风险分析主要是综合分析网络与信息系统的整体安全现状，对资产、威胁、薄弱环节、已有安全措施进行综合分析，分析安全事件发生的可能性；分析安全事件发生后可能造成的后果和影响；分析网络和信息系统的整体风险状况，最后根据风险的程度逐 条列出风险列表，通常可将风险划分为3个等级，即一般风险、中级风险和高级风险。 　　策略选择阶段根据前一阶段得到的风险列表，结合安全需求和业务目标，开展相应的整改工作，开发和选择符合成本效益的信息安全保护策略，包括安全管理策略和安全运行策略，并制定合适的风险缓解计划。特别是针对高级风险应立即采取相