金融企業(yè)中信息安全風(fēng)險(xiǎn)管理

馮國震

摘要 互聯(lián)網(wǎng)的發(fā)展能夠?yàn)榻鹑谄髽I(yè)帶來更加完善的投資環(huán)境、能夠優(yōu)化金融資源配置情況以及提升金融體系的發(fā)展，但同時(shí)也會(huì)給金融企業(yè)帶來信息安全風(fēng)險(xiǎn)及問題。本文就金融企業(yè)中信息安全風(fēng)險(xiǎn)問題進(jìn)行研究，并總結(jié)出相應(yīng)的對(duì)策。

【關(guān)鍵詞】互聯(lián)網(wǎng)金融 信息安全風(fēng)險(xiǎn) 綜合事件分析平臺(tái) 防范措施

1 引言

企業(yè)經(jīng)營信息對(duì)于企業(yè)來說是十分重要的東西，對(duì)于企業(yè)自身的發(fā)展具有重要的意義，企業(yè)需要妥善進(jìn)行信息內(nèi)容的處理，保障信息的安全。近年來企業(yè)的發(fā)展開始著重于互聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展，所以，網(wǎng)絡(luò)方面的風(fēng)險(xiǎn)為企業(yè)的信息管理工具增添了更多的挑戰(zhàn)。許多的企業(yè)已經(jīng)開始通過各種各樣的手段進(jìn)行制度及安全建設(shè)方面的改革，安全工作的重心放也由合規(guī)轉(zhuǎn)向信息安全建設(shè)和防護(hù)上，并且將企業(yè)的信息安全管理以及風(fēng)險(xiǎn)控制相連接，以此來穩(wěn)定企業(yè)的平穩(wěn)發(fā)展。

2 互聯(lián)網(wǎng)時(shí)代企業(yè)所面臨的信息安全威脅

2.1 傳統(tǒng)防護(hù)難以抵御新型威脅

金融企業(yè)信息安全建設(shè)借助于等級(jí)保護(hù)和相關(guān)監(jiān)管機(jī)構(gòu)工作的推力，企業(yè)的信息系統(tǒng)在物理安全、運(yùn)行安全、安全保密管理等方面取得了一定的成效，具備了一定的防護(hù)能力，但是，隨著信息技術(shù)的飛速發(fā)展和廣泛應(yīng)用，信息安全防護(hù)已有主動(dòng)變?yōu)楸粍?dòng)。

現(xiàn)如今隨著業(yè)務(wù)的擴(kuò)展，信息系統(tǒng)的應(yīng)用需求在不斷增加，涉及各個(gè)業(yè)務(wù)領(lǐng)域，網(wǎng)絡(luò)規(guī)模不斷增長，信息系統(tǒng)體系結(jié)構(gòu)更加復(fù)雜。但是，由于信息安全的木桶效應(yīng)，再加上難以控制的技術(shù)漏洞和管理不當(dāng)，必然會(huì)導(dǎo)致不可避免的安全攻擊和災(zāi)難，也就造成信息系統(tǒng)存在高度的脆弱性和風(fēng)險(xiǎn)性。其次，隨著信息化的不斷推進(jìn)，信息系統(tǒng)規(guī)模不斷擴(kuò)大，組成信息系統(tǒng)的各類硬件、軟件、系統(tǒng)，以及各類人員都有可能成為威脅主體，軟硬件的后門、漏洞、缺陷，包括對(duì)人員的誘惑都是攻擊信息系統(tǒng)的常用手段。正是由于攻擊源的多樣性和防范對(duì)象的不確定性導(dǎo)致了傳統(tǒng)安全防護(hù)手段失效，無法發(fā)現(xiàn)和檢測新型的威脅和攻擊。

2.2 技術(shù)操作類安全風(fēng)險(xiǎn)

隨著業(yè)務(wù)的持續(xù)擴(kuò)展，企業(yè)安全運(yùn)營所需要的人員成本逐漸提高，當(dāng)人員配比跟不上企業(yè)信息安全發(fā)展需要的時(shí)候，問題就會(huì)很快的暴露出來。人員少任務(wù)重經(jīng)常會(huì)出現(xiàn)忽略和誤操作的情況出現(xiàn)，比如終端、服務(wù)器層面，計(jì)算機(jī)基本安全保密配置不到位或管理不到位，導(dǎo)致用戶可以竊取用戶終端所有的文件資料、植入病毒或者木馬;安全產(chǎn)品配置不當(dāng)，不能起到預(yù)期的防護(hù)效果，誤報(bào)、漏報(bào)情況多見：服務(wù)器的防護(hù)、監(jiān)控措施不足，大部分服務(wù)器僅僅安裝了病毒防護(hù)軟件，且大量服務(wù)器均存在刻錄光驅(qū)，且安裝有刻錄軟件，對(duì)服務(wù)器的輸入輸出沒有監(jiān)控審計(jì)技術(shù)手段;操作系統(tǒng)基本上都是用國外，服務(wù)器大部分為WindowsServer2003（己停止升級(jí)服務(wù)）、WindowsServer2008，一旦Oday漏洞被利用，后果不堪設(shè)想。自2014年4月爆出的OpenSSL心臟流血漏洞來看，目前所有使用的網(wǎng)絡(luò)協(xié)議還有多少存在重大安全問題，都是未知數(shù)。企業(yè)安全管理者沒有辦法直觀的看到當(dāng)前企業(yè)信息安全資產(chǎn)所面臨的威脅和整體的雖弱性。這些由技術(shù)操作因素導(dǎo)致的潛在信息安全風(fēng)險(xiǎn)是企業(yè)內(nèi)部的毒瘤，一旦被黑客攻破就會(huì)造成致命一擊。

2.3 信息安全管理類安全風(fēng)險(xiǎn)

監(jiān)管的滯后性同樣會(huì)給信息安全管理帶來嚴(yán)重的風(fēng)險(xiǎn)，信息安全從業(yè)者應(yīng)具備基礎(chǔ)的信息安全常識(shí)，但隨著企業(yè)規(guī)模的擴(kuò)大，各類情況時(shí)有發(fā)生，管理措施的不得當(dāng)也會(huì)帶來很嚴(yán)重的風(fēng)險(xiǎn)。如第三方人員權(quán)限的控制，進(jìn)出機(jī)房的控制，企業(yè)內(nèi)部人員賬號(hào)口令及管理權(quán)限的控制，安全事件巡檢的要求以及安全知識(shí)的培訓(xùn)學(xué)習(xí)等。

信息安全管理涉及到較多的流程和制度，同時(shí)流程和制度也需要有相應(yīng)的檢查工具和指標(biāo)進(jìn)行落地，目前大部分企業(yè)還不能夠很好的將信息安全管理流程或安全事件處理流程進(jìn)行有效的落地，往往都會(huì)在流程中斷節(jié)。這也是造成信息安全風(fēng)險(xiǎn)管理失效的重要原因之一。

3 金融企業(yè)信息安全風(fēng)險(xiǎn)的防范措施與建議

基于金融企業(yè)信息安全存在的諸多風(fēng)險(xiǎn)和問題，應(yīng)從以下幾個(gè)方面進(jìn)行加固和改進(jìn)。

3.1 建立綜合安全事件分析平臺(tái)，形成統(tǒng)一監(jiān)控能力

面對(duì)傳統(tǒng)防護(hù)帶來的問題和弊端，企業(yè)應(yīng)建立一套綜合的安全事件分析平臺(tái)，針對(duì)各類安全產(chǎn)品、業(yè)務(wù)數(shù)據(jù)、信息安全數(shù)據(jù)進(jìn)行全面的收集，終結(jié)信息孤島現(xiàn)象。集合現(xiàn)有的安全產(chǎn)品的告警日志，應(yīng)用系統(tǒng)的審計(jì)日志，建立異常行為分析的能力，結(jié)合攻擊鏈模型關(guān)聯(lián)分析多個(gè)階段的安全事件，避免單一安全設(shè)備產(chǎn)生的誤報(bào)和漏報(bào)，第一時(shí)間對(duì)安全問題進(jìn)行實(shí)時(shí)的分析和告警，并形成趨勢和發(fā)展態(tài)勢，直觀的呈現(xiàn)出來，讓企業(yè)安全的領(lǐng)導(dǎo)者第一時(shí)間進(jìn)行決策和判斷，有助于提升企業(yè)信息安全的整體防護(hù)水平。

3.2 開展核心資產(chǎn)的脆弱性梳理

加強(qiáng)對(duì)內(nèi)部關(guān)鍵資產(chǎn)的梳理工作，并通過技術(shù)手段對(duì)資產(chǎn)的漏洞情況、配置情況、安全事件情況、基本屬性情況進(jìn)行綜合的分析，以上述四個(gè)維度綜合分析資產(chǎn)的脆弱性問題，讓資產(chǎn)的風(fēng)險(xiǎn)和威脅提前暴露出來，讓資產(chǎn)的管理者第一時(shí)間知道哪些資產(chǎn)該進(jìn)行加固，哪些資產(chǎn)正在遭受安全風(fēng)險(xiǎn)，減少人員技術(shù)操作的漏洞和誤操作問題，加強(qiáng)資產(chǎn)的安全管理，提升企業(yè)基礎(chǔ)設(shè)施的安全加固。

3.3 深入開展信息系統(tǒng)的精細(xì)化管理

深入開展信息系統(tǒng)的精細(xì)化管理，專人負(fù)責(zé)專項(xiàng)系統(tǒng)的各類安全管理，加強(qiáng)信息安全專項(xiàng)檢查，指定信息系統(tǒng)檢查和管理的規(guī)范，并利用可落地的工具如綜合事件管理平臺(tái)明確檢查和分析的步驟和操作，使得信息系統(tǒng)的日常管理呈制度化、流程化、規(guī)范化，閉環(huán)處理所有信息安全事件，讓管理流程和制度有效的落地，提升企業(yè)信息安全運(yùn)維能力。

3.4 逐步開展國產(chǎn)自主化應(yīng)用，提升自主可控力

信息安全不是小問題，安全問題的分析尤為關(guān)鍵，網(wǎng)絡(luò)設(shè)備、硬件設(shè)備、操作系統(tǒng)以及安全分析平臺(tái)應(yīng)實(shí)現(xiàn)自主可控原則，探索自主信息安全分析和保障的產(chǎn)品和體系，提升信息系統(tǒng)的自主可控力。

4 結(jié)語

金融企業(yè)在互聯(lián)網(wǎng)的作用下發(fā)展成為一種新興的業(yè)態(tài)形式，金融企業(yè)在發(fā)展的同時(shí)需要保持積極的態(tài)度，不斷的進(jìn)行創(chuàng)新，以促進(jìn)其繁榮發(fā)展。同時(shí)，也需要對(duì)其行業(yè)所具有的信息安全風(fēng)險(xiǎn)問題制定相應(yīng)的監(jiān)督管理措施，保障其長遠(yuǎn)的發(fā)展。金融企業(yè)只有時(shí)刻保持信息安全隱患的警惕，才能夠獲得信息安全管理的主動(dòng)權(quán)，以此來規(guī)避金融企業(yè)的信息安全風(fēng)險(xiǎn)問題，使其能夠更加健康、持續(xù)的發(fā)展，創(chuàng)造更多的收益。

參考文獻(xiàn)

[1]戚小光，許玉敏，韓菲等，“心臟出血”漏洞的危害、應(yīng)對(duì)及影響[J].信息安全與通信保密，2014 （05）： 60-62.