金融企業(yè)中信息安全風險管理

馮國震

摘要 互聯(lián)網(wǎng)的發(fā)展能夠為金融企業(yè)帶來更加完善的投資環(huán)境、能夠優(yōu)化金融資源配置情況以及提升金融體系的發(fā)展，但同時也會給金融企業(yè)帶來信息安全風險及問題。本文就金融企業(yè)中信息安全風險問題進行研究，并總結出相應的對策。

【關鍵詞】互聯(lián)網(wǎng)金融 信息安全風險 綜合事件分析平臺 防范措施

1 引言

企業(yè)經(jīng)營信息對于企業(yè)來說是十分重要的東西，對于企業(yè)自身的發(fā)展具有重要的意義，企業(yè)需要妥善進行信息內(nèi)容的處理，保障信息的安全。近年來企業(yè)的發(fā)展開始著重于互聯(lián)網(wǎng)業(yè)務的發(fā)展，所以，網(wǎng)絡方面的風險為企業(yè)的信息管理工具增添了更多的挑戰(zhàn)。許多的企業(yè)已經(jīng)開始通過各種各樣的手段進行制度及安全建設方面的改革，安全工作的重心放也由合規(guī)轉(zhuǎn)向信息安全建設和防護上，并且將企業(yè)的信息安全管理以及風險控制相連接，以此來穩(wěn)定企業(yè)的平穩(wěn)發(fā)展。

2 互聯(lián)網(wǎng)時代企業(yè)所面臨的信息安全威脅

2.1 傳統(tǒng)防護難以抵御新型威脅

金融企業(yè)信息安全建設借助于等級保護和相關監(jiān)管機構工作的推力，企業(yè)的信息系統(tǒng)在物理安全、運行安全、安全保密管理等方面取得了一定的成效，具備了一定的防護能力，但是，隨著信息技術的飛速發(fā)展和廣泛應用，信息安全防護已有主動變?yōu)楸粍印?/p>

現(xiàn)如今隨著業(yè)務的擴展，信息系統(tǒng)的應用需求在不斷增加，涉及各個業(yè)務領域，網(wǎng)絡規(guī)模不斷增長，信息系統(tǒng)體系結構更加復雜。但是，由于信息安全的木桶效應，再加上難以控制的技術漏洞和管理不當，必然會導致不可避免的安全攻擊和災難，也就造成信息系統(tǒng)存在高度的脆弱性和風險性。其次，隨著信息化的不斷推進，信息系統(tǒng)規(guī)模不斷擴大，組成信息系統(tǒng)的各類硬件、軟件、系統(tǒng)，以及各類人員都有可能成為威脅主體，軟硬件的后門、漏洞、缺陷，包括對人員的誘惑都是攻擊信息系統(tǒng)的常用手段。正是由于攻擊源的多樣性和防范對象的不確定性導致了傳統(tǒng)安全防護手段失效，無法發(fā)現(xiàn)和檢測新型的威脅和攻擊。

2.2 技術操作類安全風險

隨著業(yè)務的持續(xù)擴展，企業(yè)安全運營所需要的人員成本逐漸提高，當人員配比跟不上企業(yè)信息安全發(fā)展需要的時候，問題就會很快的暴露出來。人員少任務重經(jīng)常會出現(xiàn)忽略和誤操作的情況出現(xiàn)，比如終端、服務器層面，計算機基本安全保密配置不到位或管理不到位，導致用戶可以竊取用戶終端所有的文件資料、植入病毒或者木馬;安全產(chǎn)品配置不當，不能起到預期的防護效果，誤報、漏報情況多見：服務器的防護、監(jiān)控措施不足，大部分服務器僅僅安裝了病毒防護軟件，且大量服務器均存在刻錄光驅(qū)，且安裝有刻錄軟件，對服務器的輸入輸出沒有監(jiān)控審計技術手段;操作系統(tǒng)基本上都是用國外，服務器大部分為WindowsServer2003（己停止升級服務）、WindowsServer2008，一旦Oday漏洞被利用，后果不堪設想。自2014年4月爆出的OpenSSL心臟流血漏洞來看，目前所有使用的網(wǎng)絡協(xié)議還有多少存在重大安全問題，都是未知數(shù)。企業(yè)安全管理者沒有辦法直觀的看到當前企業(yè)信息安全資產(chǎn)所面臨的威脅和整體的雖弱性。這些由技術操作因素導致的潛在信息安全風險是企業(yè)內(nèi)部的毒瘤，一旦被黑客攻破就會造成致命一擊。

2.3 信息安全管理類安全風險

監(jiān)管的滯后性同樣會給信息安全管理帶來嚴重的風險，信息安全從業(yè)者應具備基礎的信息安全常識，但隨著企業(yè)規(guī)模的擴大，各類情況時有發(fā)生，管理措施的不得當也會帶來很嚴重的風險。如第三方人員權限的控制，進出機房的控制，企業(yè)內(nèi)部人員賬號口令及管理權限的控制，安全事件巡檢的要求以及安全知識的培訓學習等。

信息安全管理涉及到較多的流程和制度，同時流程和制度也需要有相應的檢查工具和指標進行落地，目前大部分企業(yè)還不能夠很好的將信息安全管理流程或安全事件處理流程進行有效的落地，往往都會在流程中斷節(jié)。這也是造成信息安全風險管理失效的重要原因之一。

3 金融企業(yè)信息安全風險的防范措施與建議

基于金融企業(yè)信息安全存在的諸多風險和問題，應從以下幾個方面進行加固和改進。

3.1 建立綜合安全事件分析平臺，形成統(tǒng)一監(jiān)控能力

面對傳統(tǒng)防護帶來的問題和弊端，企業(yè)應建立一套綜合的安全事件分析平臺，針對各類安全產(chǎn)品、業(yè)務數(shù)據(jù)、信息安全數(shù)據(jù)進行全面的收集，終結信息孤島現(xiàn)象。集合現(xiàn)有的安全產(chǎn)品的告警日志，應用系統(tǒng)的審計日志，建立異常行為分析的能力，結合攻擊鏈模型關聯(lián)分析多個階段的安全事件，避免單一安全設備產(chǎn)生的誤報和漏報，第一時間對安全問題進行實時的分析和告警，并形成趨勢和發(fā)展態(tài)勢，直觀的呈現(xiàn)出來，讓企業(yè)安全的領導者第一時間進行決策和判斷，有助于提升企業(yè)信息安全的整體防護水平。

3.2 開展核心資產(chǎn)的脆弱性梳理

加強對內(nèi)部關鍵資產(chǎn)的梳理工作，并通過技術手段對資產(chǎn)的漏洞情況、配置情況、安全事件情況、基本屬性情況進行綜合的分析，以上述四個維度綜合分析資產(chǎn)的脆弱性問題，讓資產(chǎn)的風險和威脅提前暴露出來，讓資產(chǎn)的管理者第一時間知道哪些資產(chǎn)該進行加固，哪些資產(chǎn)正在遭受安全風險，減少人員技術操作的漏洞和誤操作問題，加強資產(chǎn)的安全管理，提升企業(yè)基礎設施的安全加固。

3.3 深入開展信息系統(tǒng)的精細化管理

深入開展信息系統(tǒng)的精細化管理，專人負責專項系統(tǒng)的各類安全管理，加強信息安全專項檢查，指定信息系統(tǒng)檢查和管理的規(guī)范，并利用可落地的工具如綜合事件管理平臺明確檢查和分析的步驟和操作，使得信息系統(tǒng)的日常管理呈制度化、流程化、規(guī)范化，閉環(huán)處理所有信息安全事件，讓管理流程和制度有效的落地，提升企業(yè)信息安全運維能力。

3.4 逐步開展國產(chǎn)自主化應用，提升自主可控力

信息安全不是小問題，安全問題的分析尤為關鍵，網(wǎng)絡設備、硬件設備、操作系統(tǒng)以及安全分析平臺應實現(xiàn)自主可控原則，探索自主信息安全分析和保障的產(chǎn)品和體系，提升信息系統(tǒng)的自主可控力。

4 結語

金融企業(yè)在互聯(lián)網(wǎng)的作用下發(fā)展成為一種新興的業(yè)態(tài)形式，金融企業(yè)在發(fā)展的同時需要保持積極的態(tài)度，不斷的進行創(chuàng)新，以促進其繁榮發(fā)展。同時，也需要對其行業(yè)所具有的信息安全風險問題制定相應的監(jiān)督管理措施，保障其長遠的發(fā)展。金融企業(yè)只有時刻保持信息安全隱患的警惕，才能夠獲得信息安全管理的主動權，以此來規(guī)避金融企業(yè)的信息安全風險問題，使其能夠更加健康、持續(xù)的發(fā)展，創(chuàng)造更多的收益。

參考文獻

[1]戚小光，許玉敏，韓菲等，“心臟出血”漏洞的危害、應對及影響[J].信息安全與通信保密，2014 （05）： 60-62.