論文摘要：加強(qiáng)安全管理已成為提高信息系統(tǒng)安全保障能力的可靠保證，是金融信息系統(tǒng)安全體系建設(shè)的重要內(nèi)容。從安全風(fēng)險分析入手，基于安全管理技術(shù)手段和管理措施，構(gòu)建了安全管理體系，描述了安全管理平臺和安全管理措施的建議。

　　論文關(guān)鍵詞：信息系統(tǒng)；安全管理；體系

　　現(xiàn)代金融業(yè)是基于信息、高度計算化、分散、相互依存的產(chǎn)業(yè)，有人形象地把信息系統(tǒng)歸結(jié)為銀行業(yè)的“核心資本”。金融信息化帶來的是銀行業(yè)務(wù)信息系統(tǒng)在網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)關(guān)系、角色關(guān)系等方面的復(fù)雜化。而越是復(fù)雜的系統(tǒng)，其安全風(fēng)險就越高。在系統(tǒng)中每增加一種訪問的方式就增加了一些入侵的機(jī)會；每增加一些訪問的人群就引入了一些可能受到惡意破壞的風(fēng)險。據(jù)2003年一項對全球前500家金融機(jī)構(gòu)的安全調(diào)查(2003GlobaleS curity Survey，Deloitte Touche Tohmat—su)，39％受調(diào)查的機(jī)構(gòu)承認(rèn)2002年曾受到一定形式的系統(tǒng)攻擊；美國聯(lián)邦法院2004年所作的一系列有關(guān)信息犯罪的案件中，有多件涉及金融機(jī)構(gòu)。這些統(tǒng)計數(shù)字和報道出的事件，只是我們面臨信息系統(tǒng)安全威脅的冰山一角，因此加速建設(shè)金融信息系統(tǒng)中的安全保障體系變得更加緊迫。
　　長期以來，人們對保障信息系統(tǒng)安全的手段偏重于依靠技術(shù)，從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒到近期網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測、漏洞掃描、身份認(rèn)證等等。但事實上，僅僅依靠安全技術(shù)和安全產(chǎn)品保障信息系統(tǒng)安全的愿望卻往往難盡人意，許多復(fù)雜、多變的安全威脅和隱患靠安全產(chǎn)品是無法消除的。據(jù)有關(guān)部門統(tǒng)計，在所有的計算機(jī)安全事件中，約有52％是人為因素造成的，25％由火災(zāi)、水災(zāi)等自然災(zāi)害引起，技術(shù)錯誤占10％，組織內(nèi)部人員作案占10％，僅有3％左右是由外部不法人員的攻擊造成。簡單歸類，屬于管理方面的原因比重高達(dá)6O％以上，而這些安全問題中的95％是可以通過科學(xué)的信息安全管理來避免。因此，加強(qiáng)安全管理已成為提高信息系統(tǒng)安全保障能力的可靠保證，是金融信息系統(tǒng)安全體系建設(shè)的重點(diǎn)。

　　1安全管理體系構(gòu)建

　　信息安全源于有效的管理，使技術(shù)發(fā)揮最佳效果的基礎(chǔ)是要有一定的信息安全管理體系，只有在建立防范的基礎(chǔ)上，加強(qiáng)預(yù)警、監(jiān)控和安全反擊，才能使信息系統(tǒng)的安全維持在一個較高的水平之上。因此，安全管理體系的建設(shè)是確保信息系統(tǒng)安全的重要基礎(chǔ)，是金融信息系統(tǒng)安全保障體系建設(shè)最為重要的一環(huán)。為在金融信息系統(tǒng)中建立全新的安全管理機(jī)制，最可行的做法是技術(shù)與管理并重，安全管理法規(guī)、措施和制度與整體安全解決方案相結(jié)合，并輔之以相應(yīng)的安全管理工具，構(gòu)建科學(xué)、合理的安全管理體系。
　　金融信息系統(tǒng)安全管理體系是在金融信息系統(tǒng)安全保障整體解決方案基礎(chǔ)上構(gòu)建的，它包括信息安全法規(guī)、措施和制度，安全管理平臺及信息安全培訓(xùn)和安全隊伍建設(shè)，其示意圖如圖1所示。

　　2安全管理平臺

　　安全管理平臺是通過采用技術(shù)手段實施金融信息系統(tǒng)安全管理的平臺，它包括安全預(yù)警管理、安全監(jiān)控管理、安全防護(hù)與響應(yīng)管理和安全反擊管理。

　　2．1安全預(yù)警管理
　　安全預(yù)警管理的功能由預(yù)警系統(tǒng)實現(xiàn)，通過該系統(tǒng)，可以在安全風(fēng)險動態(tài)威脅和影響金融信息系統(tǒng)前，事先傳送相關(guān)的警示，讓管理員采取主動式的步驟，在安全風(fēng)險影響運(yùn)作前加以攔阻，從而預(yù)防全網(wǎng)業(yè)務(wù)中斷、效能損失或?qū)ζ涔娦抛u(yù)造成危害，達(dá)到提前保護(hù)自己的作用。安全預(yù)警系統(tǒng)通過追蹤最新的攻擊技術(shù)，分析威脅信息以辨識出真正潛在的攻擊，迅速響應(yīng)并提供定制化威脅分析及個性化的漏洞和惡意代碼告警服務(wù)，幫助降低風(fēng)險，防患于未然。

　　2．2安全監(jiān)控管理
　　通過安全監(jiān)控功能可以實時監(jiān)控金融信息系統(tǒng)的安全態(tài)勢、發(fā)生了哪些攻擊、出現(xiàn)了什么異常、系統(tǒng)存在什么漏洞以及產(chǎn)生了哪些危險日志等，因此安全監(jiān)控功能對于金融信息系統(tǒng)的安全保障體系來說是至關(guān)重要的。
　　1)基于實時性的安全監(jiān)控。通過在線方式管理金融信息系統(tǒng)中的資源狀態(tài)和實時安全事件，及時關(guān)注IT資源和安全風(fēng)險的現(xiàn)狀和趨勢，通過實時監(jiān)控來提高系統(tǒng)的安全性和IT資源的效能。
　　2)基于智能化的安全監(jiān)控。利用智能信息處理技術(shù)對信息網(wǎng)絡(luò)中的各種安全事件進(jìn)行智能處理，實現(xiàn)報警信息的精煉化，提高報警信息的可用信息量，降低安全設(shè)備的虛警和誤警，從而有效地提高安全保障系統(tǒng)中報警信息的可信度。
　　3)基于可視化的安全監(jiān)控。通過對安全事件分析過程與分析報告的可視化手段，如圖表／曲線／數(shù)據(jù)表／關(guān)聯(lián)關(guān)系圖等，提供詳細(xì)的入侵攻擊信息乃至重現(xiàn)攻擊場景，實現(xiàn)對入侵攻擊行為的追蹤，使得對安全事件的分析更為直觀，從而有效提高安全管理人員對于入侵攻擊的監(jiān)控理解，使安全系統(tǒng)的管理更為有效。
　　4)基于分布式的安全監(jiān)控。通過系統(tǒng)分布式的多級部署方式，可以實現(xiàn)對金融信息系統(tǒng)內(nèi)各個子系統(tǒng)的監(jiān)控和綜合分析能力，同時對不同安全保護(hù)等級的用戶提供相應(yīng)的監(jiān)控界面和信息，從而嚴(yán)格滿足其安全等級劃分的用戶級要求。

2．3安全防護(hù)與響應(yīng)管理
　　在金融信息系統(tǒng)的安全系統(tǒng)中由于安全的異構(gòu)屬性，因此會采用不同的安全技術(shù)和不同廠家的安全產(chǎn)品來實現(xiàn)安全防護(hù)的目的。通過安全防護(hù)與響應(yīng)管理可以及時響應(yīng)和優(yōu)化整個系統(tǒng)安全防護(hù)策略；最直接的響應(yīng)就是提供多種方式，如報警燈、窗日、郵件、手機(jī)短信等向安全管理員報警，然后日志保存在本地數(shù)據(jù)庫或者異地數(shù)據(jù)庫中。
　　1)優(yōu)化安全策略分析。通過實時掌握自身的安全態(tài)勢，及各種安全設(shè)備、網(wǎng)絡(luò)設(shè)備、安全系統(tǒng)和業(yè)務(wù)系統(tǒng)的處理情況，輸出正常和非法個性化的安全策略報表，然后直接通知相應(yīng)的安全管理人員或廠商對其自身策略進(jìn)行優(yōu)化調(diào)整。
　　2)動態(tài)響應(yīng)策略調(diào)整。通過對各種安全響應(yīng)協(xié)議的支持，如SNMP、TOPSEC、聯(lián)動協(xié)議等，實現(xiàn)相關(guān)的安全防護(hù)技術(shù)策略的自動交互，同時通過專家知識庫能從全局的角度去響應(yīng)安全事件很好地解決安全誤報問題。
　　3)安全服務(wù)自動協(xié)調(diào)。當(dāng)智能分析和安全定位功能確認(rèn)出安全事件或安全故障時，及時調(diào)派安全服務(wù)人員小組(或提供安全服務(wù)的供應(yīng)商)進(jìn)行相應(yīng)的安全加固防護(hù)。

　　2．4安全反擊管理
　　安全反擊管理包括安全事件的取證管理和安全事件的追蹤反擊。
　　1)安全事件的取證管理。取證在網(wǎng)絡(luò)與信息系統(tǒng)安全事件的調(diào)查中是非常有用的工具，通過對系統(tǒng)安全事件的存儲和分析，實現(xiàn)對安全事件的取證管理，給相關(guān)調(diào)查人員提供安全事件的直接取證。
　　2)安全事件的追蹤反擊。通過資源狀態(tài)分析、關(guān)聯(lián)分析、專家系統(tǒng)分析等有效手段，檢測到攻擊類型，并定位攻擊源。隨后，系統(tǒng)自動對目標(biāo)進(jìn)行掃描，并將掃描結(jié)果告知安全管理員，并提示安全管理員查詢知識庫，從中提取有效手段對攻擊源進(jìn)行反擊控制。

　　3安全管理措施建議

　　在安全管理技術(shù)手段的基礎(chǔ)上，還要提高安全管理水平。俗話說“三分技術(shù)，七分管理”，由于金融信息系統(tǒng)相對比較封閉，對于金融信息系統(tǒng)安全來說，業(yè)務(wù)邏輯和操作規(guī)范的嚴(yán)密程度是關(guān)鍵。因此，加強(qiáng)金融信息系統(tǒng)的內(nèi)部安全管理措施，建立領(lǐng)導(dǎo)組織體系，完善落實內(nèi)控制度，強(qiáng)化日常操作管理，是提升安全管理水平的根本。
　　1)完善安全管理機(jī)構(gòu)的建設(shè)。目前，我國已經(jīng)把信息安全提到了促進(jìn)經(jīng)濟(jì)發(fā)展、維護(hù)社會穩(wěn)定、保障國家安全、加強(qiáng)精神文明建設(shè)的高度，并提出了“積極防御、綜合防范”的信息安全管理方針，專門成立了網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組、國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡稱CNCERT／CC)、中國信息安全產(chǎn)品測評認(rèn)證中心(簡稱CNITSEC)等，初步建成了國家信息安全組織保障體系。為確保金融信息系統(tǒng)的安全，在金融信息系統(tǒng)內(nèi)部應(yīng)組建安全管理小組(或委員會)，安全管理小組制定出符合企業(yè)需要的信息安全管理策略，具體包括安全管理人員的義務(wù)和職責(zé)、安全配置管理策略、系統(tǒng)連接安全策略、傳輸安全策略、審計與入侵安全策略、標(biāo)簽策略、病毒防護(hù)策略、安全備份策略、物理安全策略、系統(tǒng)安全評估體系等內(nèi)容。安全管理應(yīng)盡量把各種安全策略要求文檔化和規(guī)范化，以保證安全管理工作具有明確的依據(jù)或參照。
　　2)在保證信息系統(tǒng)設(shè)備的運(yùn)行穩(wěn)定可靠和信息系統(tǒng)運(yùn)行操作的安全可靠的前提下，增加安全機(jī)制，如進(jìn)行安全域劃分，進(jìn)行有針對性的安全設(shè)備部署和安全策略設(shè)置，以改進(jìn)對重要區(qū)域的分割防護(hù)；增加入侵檢測系統(tǒng)、漏洞掃描、違規(guī)外聯(lián)等安全管理工具，進(jìn)行定時監(jiān)控、事件管理和鑒定分析，以提高自身的動態(tài)防御能力；完善已有的防病毒系統(tǒng)、增加內(nèi)部信息系統(tǒng)的審計平臺，以便形成對內(nèi)部安全狀況的長期跟蹤和防護(hù)能力。
　　3)制定一系列必須的信息系統(tǒng)安全管理的法律法規(guī)及安全管理標(biāo)準(zhǔn)，狠抓內(nèi)網(wǎng)的用戶管理、行為管理、應(yīng)用管理、內(nèi)容控制以及存儲管理；進(jìn)一步完善互聯(lián)網(wǎng)應(yīng)急響應(yīng)管理措施，對關(guān)鍵設(shè)施或系統(tǒng)制定好應(yīng)急預(yù)案，并定期更新和測試，全面提高預(yù)案制定水平和處理能力；建立一支“信息安全部隊”，專門負(fù)責(zé)信息網(wǎng)絡(luò)方面安全保障、安全監(jiān)管、安全應(yīng)急和安全威懾方面的工作。
　　4)堅持“防內(nèi)為主，內(nèi)外兼防”的方針，加強(qiáng)登錄身份認(rèn)證，嚴(yán)格限制登錄者的操作權(quán)限，充分利用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功能，對用戶所訪問的信息進(jìn)行跟蹤記錄，為系統(tǒng)審計提供依據(jù)。
　　5)重視和加強(qiáng)信息安全等級保護(hù)工作，對金融信息系統(tǒng)中的信息實施一般保護(hù)、指導(dǎo)保護(hù)、監(jiān)督保護(hù)和強(qiáng)制保護(hù)策略，尤其對重要信息實施強(qiáng)制保護(hù)和強(qiáng)制性認(rèn)證，以確保金融業(yè)務(wù)信息的安全。
　　6)加強(qiáng)信息安全管理人才與安全隊伍建設(shè)，特別是加大既懂技術(shù)又懂管理的復(fù)合型人才的培養(yǎng)力度。通過各種會議、網(wǎng)站、廣播、電視、報紙等媒體加大信息安全普法和守法宣傳力度，提高全民信息安全意識，尤其是加強(qiáng)企業(yè)內(nèi)部人員的信息安全知識培訓(xùn)與教育，提高員工的信息安全自律水平。

　　4結(jié)束語

　　隨著信息化與網(wǎng)絡(luò)化趨勢的增強(qiáng)和社會信息化步伐的加快，網(wǎng)絡(luò)與信息系統(tǒng)的安全越來越受到人們的關(guān)注。網(wǎng)絡(luò)與信息安全已經(jīng)直接威脅到系統(tǒng)的正常運(yùn)轉(zhuǎn)和效能的發(fā)揮，因此進(jìn)行安全管理體系研究，對金融信息系統(tǒng)進(jìn)行主動有效的安全管理，必將提高金融信息系統(tǒng)的整體安全保障能力。