金融安全管理论文
在金融行业中,金融是政府实现目标的重要手段,而金融安全管理构成了政府的政治约束 。下面是学习啦小编带来的关于金融安全管理论文的内容,欢迎阅读参考!!
金融安全管理论文篇一
试谈加强反洗钱管理工作 确保金融安全运行
【摘 要】洗钱指的是犯罪分子将贩毒、走私、贪污、受贿、盗窃以及偷漏税等“黑钱”及其产生的收益,通过各种手段掩饰、隐瞒其来源与性质,使其在形式上合法化的行为。洗钱是一种严重的犯罪行为,严重威胁着社会稳定,国家安全和人民生命财产的安全。农村信用社应紧紧围绕反洗钱工作要求和工作目标,严格执行人民银行和上级行反洗钱制度规定,切实加强反洗钱工作领导,不断完善反洗钱内部管理制度,增强风险防控能力,有效地预防和打击洗钱及相关犯罪,为维护社会公平和稳定市场经济秩序作出应有的贡献。
【关键词】农村信用社;反洗钱;存在问题;实施措施
洗钱具有很大的危害性,不仅影响金融业的健康发展,而且还会对经济建设和社会稳定产生严重破坏。农村信用社应当充分认识到开展反洗钱工作的重要性,严格按照有关法律法规规定,采取必要措施,积极开展反洗钱工作,维护金融秩序的稳定? 从目前农村信用社反洗钱工作的开展情况来看,由于认识层次、内部控制、组织机构及技术手段等多方面的原因,反洗钱工作还存在一些问题。
一、农村信用社反洗钱工作存在的问题
(一)思想认识不到位,反洗钱意识淡薄
人民银行总行先后发布了《反洗钱法》、《金融机构反洗钱规定》、《人民币大额和可疑支付报告管理办法》、《金融机构大额和可疑外汇资金交易报告管理办法》,1997年我国新颁《刑法》191条明确了“反洗钱罪”。但是,这一系列条例、法规在农村信用社网点中的学习、贯彻、执行力度参差不齐,大部分仅停留在略知一二的层面上。一线员工反洗钱意识淡薄,普遍缺乏反洗钱工作经验。而多数基层网点负责人也未能充分认识反洗钱的重要性,对反洗钱工作人员的教育还不够深入,还有部分基层网点负责人认为,追求效益最大化是企业的目标,反洗钱工作不仅增加了工作流程、工作强度和经营成本,而且还可能因为制度的执行影响客户关系,导致资源流失,影响自身经营和效益,因而这项工作对基层网点来说,当面临监管职责和自身利益的矛盾时,他们往往还会在不违背大原则的前提下,为满足客户的需要而进行一些违规操作。
(二)银行内控制度不健全或不能得到有效落实
部分农村信用社反洗钱内部控制制度不健全,反洗钱规章制度不详细,内部制度建设流于形式,严重制约了反洗钱工作的效率。再加上基层网点反洗钱意识淡薄,未能严格执行“客户身份识别”制度,对反洗钱客户尽职调查工作敷衍了事,对客户的认定仅限定于《公民联网核查系统》,核查工作缺乏主动性;同时,由于对客户的宣传不够,社会公众仍然缺乏对反洗钱政策的了解,使金融机构进行客户尽职调查时遇到较多阻力。很多客户对反洗钱的重要性认识不足,对客户尽职调查不理解,不愿意透露职业、收入状况、资金来源和去向等和反洗钱工作密切相关的信息,而《反洗钱法》中,对客户的义务规定仅限于应当提供真实有效的身份证明文件,难以给予银行更多的法律支持,使客户尽职调查工作难以达到要求。
(三)客户身份识别存在难点
“了解你的客户”是金融机构反洗钱工作的基本要求。无论是对公客户还是对私客户,在开户时大部分会采用居民身份证作为身份证件,公安联网核查系统的出现,为银行识别客户身份证件的真实性提供了保障。但是,其他合法个人证件难以识别。按照规定,在开立账户时,客户提供的军官证、警官证、外籍护照等也属于合法证件,但一方面大部分金融机构营业网点没有配置识别这些证件真实性的辅助设备,另一方面金融机构大多数的柜员对这类型证件既不熟悉它的防伪标志也没掌握其识别要点,因此,大多数银行柜员只能凭直观感觉对这些证件的真伪进行判断。目前已经有不法分子利用银行不熟悉非常规证件鉴别的漏洞,采用非居民身份证证件办理金融业务进行不法活动。而银行对客户的了解,也仅限于掌握客户开户资料的合规性内容,对客户的经营状况、关联企业状况、主要资金往来对象、经营范围等信息缺乏真实的、详细的了解。
二、农村信用社反洗钱工作的对策和建议
(一)强化反洗钱意识,培养反洗钱骨干队伍
反洗钱培训是银行开展反洗钱工作必不可少的前提,是银行内部控制制度的重要组成部分,其目的是保证银行各个层级的工作人员都树立洗钱风险意识、反洗钱法律意识及合规意识,明确自身应当承担的责任,保证员工了解反洗钱法律法规的具体要求,掌握反洗钱工作必备的技能。以丰富多彩的形式,开展反洗钱宣传活动,提高基层网点负责人对反洗钱工作的认识,促使他们对当前洗钱的严峻形势及反洗钱的重要意义有所了解,让他们能够正确对待反洗钱在工作中形成的短期利益与长远利益的关系,从而在工作中,自觉地履行反洗钱的工作义务。与此同时,通过制定和实施由浅入深的系列培训计划,从提高从业人员的反洗钱知识、技能出发,着重加强反洗钱专业知识培训,培养一批具有反洗钱专业技能的业务骨干。培训应遵循“不同对象、不同方式、不同层次、不同内容”的原则,可采取实地培训、网络培训、举办培训班、组织反洗钱有奖知识竞赛、在基层网点开展巡回指导、案例剖析、以会代训等丰富多样的形式,以点带面,丰富和提高金融从业人员的思想素质、反洗钱意识和反洗钱操作技能,全面提升银行业反洗钱工作水平。
(二)建立健全反洗钱内控制度
反洗钱内部控制制度是银行反洗钱工作顺利开展的基础。如果一个银行的内部控制制度不健全,反洗钱工作将难以有效开展。在构建反洗钱内部控制的过程中,银行应目标明确,有的放矢,使内部控制的方法、程序及措施在反洗钱工作中切实发挥保障作用。农村信用社应根据自身的特点和经营情况,制定适合本单位的反洗钱制度措施,将反洗钱法律、法规和部门规章要求,分解、细化落实到具体管理和业务流程当中去,并以此作为内部管理考核、奖励和惩罚的依据,增强反洗钱制度的操作性和实效性,努力将各项制度、规定落到实处。并指导网点营销人员正确认识和处理好反洗钱与业务发展的关系,依法经营,依法履行反洗钱的有关职责。
(三)全面推进客户身份识别
客户身份识别是我国反洗钱法律制度的强制性要求,是银行及其工作人员必须履行的法律义务。是银行做好客户风险分类、大额交易和可疑交易报告、客户身份资料和交易记录保存及其他反洗钱工作的基础。农村信用社应严格按照人民银行《客户身份识别和客户身份资料及交易记录保存管理办法》等相关制度要求,开展客户身份识别工作。一是执行银行账户实名制,实行“了解你的客户”的原则,充分利用居民身份联网核查系统、身份证鉴别仪,做好客户尽职调查,对居民的身份信息进行核实。二是了解客户背景、交易目的、交易性质、资金来源和用途。三是保存身份文件和交易记录,为司法和执法当局日后的追查提供翔实的金融信息资料,达到利用有效的金融信息控制洗钱的目的。四是重点审查高风险客户,对于高风险客户,金融机构内部审查的频率应远远高于低风险客户,尽职调查程序要得到客户个人财产、资金来源等问题的答案。
金融安全管理论文篇二
试论金融机构信息资产安全与操作风险管理
[摘要]面对日趋复杂的金融活动,金融操作风险已经成为金融机构越来越显著的风险因素,操作风险的监管日趋重要。金融机构作为“信息系统依赖型”企业和“信息资产密集型”企业,对信息系统的依赖程度不断增强。金融信息系统的安全性、可靠性、有效性直接关系到整个金融业的安全和稳健。本文借鉴MSF风险管理框架,结合金融机构操作风险威胁和信息资产安全特点,提出金融机构完善信息资产安全、进行操作风险管理的初步框架。
[关键词]金融机构;信息资产;操作风险;风险管理
金融机构操作风险具有不同于信用风险和市场风险的显著特征,是其基础性风险。巴塞尔委员会对操作风险的定义是:“操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。”它是指由于不当或不足的方式操作业务或外部事件而对银行业务带来负面影响的可能性。操作风险是与银行业务操作紧密相联系的风险,它和信用风险、市场风险共同构成商业银行的三大风险。对于操作风险的监管。直接涉及银行信息资产风险的监管,银行信息资产风险监管与操作风险监管有着密切关系,加强操作风险的监管,就必须高度重视信息资产风险的监管。
一、IT环境下操作风险的挑战
(一)IT环境下操作风险的隐患
当前由于银行系统漏洞或缺陷导致的操作风险事件呈现出上升趋势。据银监会通报,2007年以来银行业发生的5起典型信息系统风险事件,分别是:2007年3月21日,交通银行因主机监控软件存在缺陷,导致业务交易阻塞,系统瘫痪近4个小时,所有营业网点无法正常开展业务;2007年8月15日,中国工商银行对计算机系统进行升级,由于没有避开业务高峰期,导致个人业务系统运行不畅,业务办理速度缓慢,部分代理证券业务受阻,在持续5个半小时后,系统才逐步恢复正常;2007年10月18日,中国建设银行股民保证金第三方存管系统出现故障,与券商的交易无法正常进行,事故持续了两个小时,在证券交易收盘后才恢复正常;2007年12月21日,招商银行因运行中心核心网络设备出现故障,造成业务无法正常进行,虽启动了应急预案,但仍然中断营业近1个小时:2008年1月7日,北京银行因主干专线的入户接入设备发生故障,造成在京117家支行所属网点柜台交易缓慢,业务无法正常进行,故障在1个多小时后才得以解决。上述案例中,既有信息系统自身原因引发的故障,也有人员操作失误引发的故障,信息系统风险已成为商业银行关注和防范的焦点。
金融业信息技术事故统计表明,如果银行系统中断1小时,将直接影响该行的基本支付业务;中断1天,将对其声誉造成极大伤害;中断2―3天以上不能恢复。将直接危及其他银行乃至整个金融系统的稳定。目前。我国银行业的IT建设正处于高速发展期,在设备规模和技术水平不断提高的同时,信息科技风险管理显得相对薄弱。
技术型操作风险的隐患源于:1.操作系统漏洞。银行应用的Unix,Win-dows等操作系统存在一定安全隐患;2.安全设施的漏洞。网络层、应用层的防火墙自身是否安全、设置是否错误,需要经过检验。美国一项调查表明,32%的泄密是由内部作案造成,所有的防火墙都不同程度地被黑客攻击过;3.安全管理的漏洞。现有的一些信息系统缺少定期的安全测试与检查,更缺少安全监控。在已破获的采用计算机技术犯罪的案件中,内部授权人员作案的占58%;4.安全协议的漏洞。由于银行网络系统内部运行的各种协议(如TCP/IP,IPX/SPX等)是在资源及网络技术均不成熟的情况下设计的,还存在着脆弱的认证机制、容易被窃听和监视、易受欺骗等安全隐患;5.内控制度的漏洞。管理制度、运行规程不完善,不能有效地杜绝内部作案,更缺乏良好的故障处理反应机制。
(二)lT环境下操作风险的表现形式
技术导向型操作风险是指由于技术问题,特别是信息技术的应用对银行的系统、流程、产品、服务和交易等产生不良影响而导致的操作风险,包括IT技术、网络系统、产品的服务缺陷。以及外部法律、税收和监管方面的变化对银行冲击而造成的风险。关于金融机构技术导向型操作风险涵盖的范畴及其风险的含义,在2006年出台的银行业监督管理法中给出了明确定义:“主要包括总体风险,研发风险、运行维护风险、外包风险等信息系统生命周期几个高风险点……其中,总体风险是指金融机构信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险;研发风险是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险;运行维护风险是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险;外包风险是指金融机构将信息系统的规划、研发、建设、运行、维护、监控等委托给业务或外部技术供应商时形成的风险。”
二、金融机构信息资产安全的需求
金融机构信息系统是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统。金融机构信息系统具有如下特点:1.金融信息化的建设以及网上银行业务的迅猛发展,使得银行等金融机构的业务集中度非常高。2.数据大集中后,由于单笔交易所跨越的网络环节越来越多,信息系统对网络的依赖性越来越高。3.信息安全性要求高,信息系统的各种文档资料和用户资料均需保密。
(一)信息资产安全的边界
有关信息资产的含义,目前众说纷纭,本文借鉴屈延文(2006)给出的定义,即信息资产是由信息范畴资产、系统范畴资产和附加范畴资产组成。其中信息范畴资产是指信息存在形式、信息内容、内容价值;系统范畴资产是指系统存在形式、系统行为、行为价值;附加范畴资产则是不同的关注者(计划者、拥有者、设计者、实施者和用户等)对信息与系统两个范畴关注的需求价值(附加价值)。例如包括开发、运营、管理、维护和服务等产生的关注性的资产。
随着信息技术的发展与应用,信息安全的内涵也在不断的延伸。从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。
(二)信息资产安全性原则
信息,在ISO17799中被看作是一种资产,这种资产可以增加组织的价值,因而它也需要得到恰当的保护。信息资产安全需要保护信息资源,防止未经授权或偶然因素对信息资源的破坏、修改、非法利用或恶意泄露,以实现信息保密性、完整性与可用性的要求。在国际标准化组织的信息安全管理标准规范(1SO,IEC 17799)和其他一些机构的文献中,都定义了信息安全的基本特性:如保密性,完整性。有效性;另外也可包括诸如真实性,可审计性,不可否认性和可控性等。
三、金融机构信息资产操作风险监管的对策
风险监管是信息资产安全管理的核心。信息系统风险管理的目标是通过建立有效的机制。实现对信息系统风险的识别、计量、评价、预警和控制,推动银行业金融机构业务创新,提高信息化水平,增强核心竞争力和可持续发展能力。
(一)信息资产操作风险管理的原则和目标
实施信息资产风险管理的原则为:1.针对性。对金融机构信息资产所面临的安全需求进行认真全面地分析,找出具有针对性的安全威胁。有的放矢地做好安全工作:2.均衡性。对信息安全的各个环节进行安全强度分析,找出信息安全的脆弱点,提出强度均衡的设计方案;3.时效性。在实施信息安全管理时,要量力而行,安全投入与所需要的功效相适应。即对信息安全面临的威胁及可能承担的风险进行定性和定量的分析,从而制定出合理的安全策略;4.独立性。信息安全所采用的技术均应立足国内,不得直接引用未经消化改造的境外安全保密技术和设备;5.综合性。信息安全必须通过技术、管理和安全基础设施的综合实施才能奏效,即信息安全=风险分析+执行策略+基础实施+漏洞监测+实时响应。
金融机构信息资产安全管理的目标为:一是对信息资产安全现状做出正确判断;二是较为准确地估计特定系统风险;三是建立相应的控制风险的机制,并把这些机制融为一体形成防护体系;四是最大限度地提高系统的可用性,并把系统带来的风险控制在可接受范围内。
(二)构建信息资产操作风险管理框架
金融信息化环境下,很多机构的信息资产面临诸多威胁(包括来自内部的威胁和来自外部的威胁)。威胁利用信息系统存在的各种漏洞(如:物理环境、网络服务、主机系统、应用系统、相关人员、安全策略等),对信息系统进行渗透和攻击。如果渗透和攻击成功,将导致企业资产的暴露。资产的暴露(如系统高级管理人员由于不小心而导致重要机密信息的泄露),会对资产的价值产生影响(包括直接和间接的影响)。风险就是威胁利用漏洞使资产暴露而产生的影响的大小,这可以为资产的重要性和价值所决定。对企业信息系统安全风险的分析。就得出了系统的防护需求。根据防护需求的不同,制定系统的安全解决方案,选择适当的防护措施,进而降低安全风险,并抗击威胁。
信息安全风险是人为或自然的威胁利用系统存在的脆弱性引发的安全事件,并由于受损信息资产的重要性而对金融机构造成的影响。资产、威胁和脆弱性构成了风险的三个关键要素,而风险评估则是围绕这些要素及其相关属性依据国家有关管理要求和技术标准,对信息系统及其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。本文借鉴MSF风险管理框架,建立以操作风险管理为核心的信息资产安全模型。即风险识别、风险分析和分级、风险计划和调度、风险跟踪和报告、风险控制以及风险学习六个步骤。
1 风险识别。风险识别的目的是发现潜在的威胁,预防某个特定威胁利用某个特定系统的脆弱性对系统造成损失,威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。风险识别应该在信息系统的生命周期中不断地重复。
2 风险分析与分级。风险分析是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程,即利用定性或定量的方法,借助于风险评估工具,确定信息资产的风险等级和优先风险控制。
3 风险计划和调度。风险计划提取风险分析中获得的信息并用其明确表达策略、计划和工作。风险调度可以确保计划被认可并融入标准的日常信息资产安全管理进程和基础设施中,从而确保风险管理作为日常工作的一部分执行。
4 风险跟踪。风险跟踪监控特定风险的状况以及它们各自工作计划中的进展情况。风险跟踪也包含监控变化风险的概率、影响、暴露程度以及其他因素,这些变化可能改变优先级或风险计划、信息资产特性、资源或是进度表。风险跟踪从风险等级的角度定义风险管理过程在信息资产中的可见度。
5 风险控制。风险控制是执行风险工作计划和相关现状报告的过程。风险控制也包含项目变化控制请求的初始化,而风险状况或风险计划的更改可能导致信息资产特性、资源或进度表的更改。
6 风险学习。使知识和相应项目案例及工具正式化,并在团队和企业内部以可再度使用的形式提取知识。
信息系统的安全性、可靠性、有效性直接关系到整个金融业的安全和稳健运行。在当前构建和谐社会的重要阶段,金融业的安全变得更为关键。操作风险防范的重要内容就是从技术防范为主的被动信息安全转移到以预防为主的主动风险管理框架中来,把风险控制在可承受的范围之内,为社会提供安全、持续的金融服务。
金融安全管理论文篇三
浅谈金融信息系统安全管理体系
现代 金融业是基于信息、高度 计算 化、分散、相互依存的产业,有人形象地把信息系统归结为银行业的“核心资本”。金融信息化带来的是银行业务信息系统在 网络 结构、业务关系、角色关系等方面的复杂化。而越是复杂的系统,其安全风险就越高。在系统中每增加一种访问的方式就增加了一些入侵的机会;每增加一些访问的人群就引入了一些可能受到恶意破坏的风险。据2003年一项对全球前500家金融机构的安全调查(2003GlobaleS curity Survey,Deloitte Touche Tohmat—su),39%受调查的机构承认2002年曾受到一定形式的系统攻击;美国联邦法院2004年所作的一系列有关信息犯罪的案件中,有多件涉及金融机构。这些统计数字和报道出的事件,只是我们面临信息系统安全威胁的冰山一角,因此加速建设金融信息系统中的安全保障体系变得更加紧迫。
长期以来,人们对保障信息系统安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、漏洞扫描、身份认证等等。但事实上,仅仅依靠安全技术和安全产品保障信息系统安全的愿望却往往难尽人意,许多复杂、多变的安全威胁和隐患靠安全产品是无法消除的。据有关部门统计,在所有的计算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等 自然 灾害引起,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。简单归类,属于管理方面的原因比重高达6O%以上,而这些安全问题中的95%是可以通过 科学 的信息安全管理来避免。因此,加强安全管理已成为提高信息系统安全保障能力的可靠保证,是金融信息系统安全体系建设的重点。
1安全管理体系构建
信息安全源于有效的管理,使技术发挥最佳效果的基础是要有一定的信息安全管理体系,只有在建立防范的基础上,加强预警、监控和安全反击,才能使信息系统的安全维持在一个较高的水平之上。因此,安全管理体系的建设是确保信息系统安全的重要基础,是金融信息系统安全保障体系建设最为重要的一环。为在金融信息系统中建立全新的安全管理机制,最可行的做法是技术与管理并重,安全管理法规、措施和制度与整体安全解决方案相结合,并辅之以相应的安全管理工具,构建科学、合理的安全管理体系。
金融信息系统安全管理体系是在金融信息系统安全保障整体解决方案基础上构建的,它包括信息安全法规、措施和制度,安全管理平台及信息安全培训和安全队伍建设,其示意图如图1所示。
2安全管理平台
安全管理平台是通过采用技术手段实施金融信息系统安全管理的平台,它包括安全预警管理、安全监控管理、安全防护与响应管理和安全反击管理。
2.1安全预警管理
安全预警管理的功能由预警系统实现,通过该系统,可以在安全风险动态威胁和影响金融信息系统前,事先传送相关的警示,让管理员采取主动式的步骤,在安全风险影响运作前加以拦阻,从而预防全网业务中断、效能损失或对其公众信誉造成危害,达到提前保护自己的作用。安全预警系统通过追踪最新的攻击技术,分析威胁信息以辨识出真正潜在的攻击,迅速响应并提供定制化威胁分析及个性化的漏洞和恶意代码告警服务,帮助降低风险,防患于未然。
2.2安全监控管理
通过安全监控功能可以实时监控金融信息系统的安全态势、发生了哪些攻击、出现了什么异常、系统存在什么漏洞以及产生了哪些危险日志等,因此安全监控功能对于金融信息系统的安全保障体系来说是至关重要的。
1)基于实时性的安全监控。通过在线方式管理金融信息系统中的资源状态和实时安全事件,及时关注IT资源和安全风险的现状和趋势,通过实时监控来提高系统的安全性和IT资源的效能。
2)基于智能化的安全监控。利用智能信息处理技术对信息网络中的各种安全事件进行智能处理,实现报警信息的精炼化,提高报警信息的可用信息量,降低安全设备的虚警和误警,从而有效地提高安全保障系统中报警信息的可信度。
3)基于可视化的安全监控。通过对安全事件分析过程与分析报告的可视化手段,如图表/曲线/数据表/关联关系图等,提供详细的入侵攻击信息乃至重现攻击场景,实现对入侵攻击行为的追踪,使得对安全事件的分析更为直观,从而有效提高安全管理人员对于入侵攻击的监控理解,使安全系统的管理更为有效。
4)基于分布式的安全监控。通过系统分布式的多级部署方式,可以实现对金融信息系统内各个子系统的监控和综合分析能力,同时对不同安全保护等级的用户提供相应的监控界面和信息,从而严格满足其安全等级划分的用户级要求。
2.3安全防护与响应 管理
在 金融 信息系统的安全系统中由于安全的异构属性,因此会采用不同的安全技术和不同厂家的安全产品来实现安全防护的目的。通过安全防护与响应管理可以及时响应和优化整个系统安全防护策略;最直接的响应就是提供多种方式,如报警灯、窗日、邮件、手机短信等向安全管理员报警,然后日志保存在本地数据库或者异地数据库中。
1)优化安全策略分析。通过实时掌握自身的安全态势,及各种安全设备、 网络 设备、安全系统和业务系统的处理情况,输出正常和非法个性化的安全策略报表,然后直接通知相应的安全管理人员或厂商对其自身策略进行优化调整。
2)动态响应策略调整。通过对各种安全响应协议的支持,如SNMP、TOPSEC、联动协议等,实现相关的安全防护技术策略的自动交互,同时通过专家知识库能从全局的角度去响应安全事件很好地解决安全误报问题。
3)安全服务自动协调。当智能分析和安全定位功能确认出安全事件或安全故障时,及时调派安全服务人员小组(或提供安全服务的供应商)进行相应的安全加固防护。
2.4安全反击管理
安全反击管理包括安全事件的取证管理和安全事件的追踪反击。
1)安全事件的取证管理。取证在网络与信息系统安全事件的调查中是非常有用的工具,通过对系统安全事件的存储和分析,实现对安全事件的取证管理,给相关调查人员提供安全事件的直接取证。
2)安全事件的追踪反击。通过资源状态分析、关联分析、专家系统分析等有效手段,检测到攻击类型,并定位攻击源。随后,系统自动对目标进行扫描,并将扫描结果告知安全管理员,并提示安全管理员查询知识库,从中提取有效手段对攻击源进行反击控制。
3安全管理措施建议
在安全管理技术手段的基础上,还要提高安全管理水平。俗话说“三分技术,七分管理”,由于金融信息系统相对比较封闭,对于金融信息系统安全来说,业务逻辑和操作规范的严密程度是关键。因此,加强金融信息系统的内部安全管理措施,建立领导组织体系,完善落实内控制度,强化日常操作管理,是提升安全管理水平的根本。
1)完善安全管理机构的建设。目前,我国已经把信息安全提到了促进 经济 发展 、维护社会稳定、保障国家安全、加强精神文明建设的高度,并提出了“积极防御、综合防范”的信息安全管理方针,专门成立了网络与信息安全领导小组、国家 计算 机网络应急技术处理协调中心(简称CNCERT/CC)、 中国 信息安全产品测评认证中心(简称CNITSEC)等,初步建成了国家信息安全组织保障体系。为确保金融信息系统的安全,在金融信息系统内部应组建安全管理小组(或委员会),安全管理小组制定出符合 企业 需要的信息安全管理策略,具体包括安全管理人员的义务和职责、安全配置管理策略、系统连接安全策略、传输安全策略、审计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物理安全策略、系统安全评估体系等内容。安全管理应尽量把各种安全策略要求文档化和规范化,以保证安全管理工作具有明确的依据或参照。
2)在保证信息系统设备的运行稳定可靠和信息系统运行操作的安全可靠的前提下,增加安全机制,如进行安全域划分,进行有针对性的安全设备部署和安全策略设置,以改进对重要区域的分割防护;增加入侵检测系统、漏洞扫描、违规外联等安全管理工具,进行定时监控、事件管理和鉴定分析,以提高自身的动态防御能力;完善已有的防病毒系统、增加内部信息系统的审计平台,以便形成对内部安全状况的长期跟踪和防护能力。
3)制定一系列必须的信息系统安全管理的 法律 法规及安全管理标准,狠抓内网的用户管理、行为管理、应用管理、内容控制以及存储管理;进一步完善互联网应急响应管理措施,对关键设施或系统制定好应急预案,并定期更新和测试,全面提高预案制定水平和处理能力;建立一支“信息安全部队”,专门负责信息网络方面安全保障、安全监管、安全应急和安全威慑方面的工作。
4)坚持“防内为主,内外兼防”的方针,加强登录身份认证,严格限制登录者的操作权限,充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息进行跟踪记录,为系统审计提供依据。
5)重视和加强信息安全等级保护工作,对金融信息系统中的信息实施一般保护、指导保护、监督保护和强制保护策略,尤其对重要信息实施强制保护和强制性认证,以确保金融业务信息的安全。
6)加强信息安全管理人才与安全队伍建设,特别是加大既懂技术又懂管理的复合型人才的培养力度。通过各种会议、网站、广播、电视、报纸等媒体加大信息安全普法和守法宣传力度,提高全民信息安全意识,尤其是加强企业内部人员的信息安全知识培训与 教育 ,提高员工的信息安全自律水平。
4结束语
随着信息化与网络化趋势的增强和社会信息化步伐的加快,网络与信息系统的安全越来越受到人们的关注。网络与信息安全已经直接威胁到系统的正常运转和效能的发挥,因此进行安全管理体系研究,对金融信息系统进行主动有效的安全管理,必将提高金融信息系统的整体安全保障能力。
猜你喜欢:
1.工程安全管理论文
2.金融安全论文
3.金融安全论文范文
6.企业安全管理论文