金融企业信息安全风险管理

金融企业信息安全风险管理

摘要:互联网的发展能够为金融企业带来更加完善的投资环境、能够优化金融资源配置情况以及提升金融体系的发展,但同时也会给金融企业带来信息安全风险及问题。本文就金融企业中信息安全风险问题进行研究,并总结出相应的对策。

关键词:互联网金融;信息安全风险;综合事件分析平台;防范措施

1引言

企业经营信息对于企业来说是十分重要的东西,对于企业自身的发展具有重要的意义,企业需要妥善进行信息内容的处理,保障信息的安全。近年来企业的发展开始着重于互联网业务的发展,所以,网络方面的风险为企业的信息管理工具增添了更多的挑战。许多的企业已经开始通过各种各样的手段进行制度及安全建设方面的改革,安全工作的重心放也由合规转向信息安全建设和防护上,并且将企业的信息安全管理以及风险控制相连接,以此来稳定企业的平稳发展。

2互联网时代企业所面临的信息安全威胁

2.1传统防护难以抵御新型威胁

金融企业信息安全建设借助于等级保护和相关监管机构工作的推力,企业的信息系统在物理安全、运行安全、安全保密管理等方面取得了一定的成效,具备了一定的防护能力,但是,随着信息技术的飞速发展和广泛应用,信息安全防护已有主动变为被动。现如今随着业务的扩展,信息系统的应用需求在不断增加,涉及各个业务领域,网络规模不断增长,信息系统体系结构更加复杂。但是,由于信息安全的木桶效应,再加上难以控制的技术漏洞和管理不当,必然会导致不可避免的安全攻击和灾难,也就造成信息系统存在高度的脆弱性和风险性。其次,随着信息化的不断推进,信息系统规模不断扩大,组成信息系统的各类硬件、软件、系统,以及各类人员都有可能成为威胁主体,软硬件的后门、漏洞、缺陷,包括对人员的诱惑都是攻击信息系统的常用手段。正是由于攻击源的多样性和防范对象的不确定性导致了传统安全防护手段失效,无法发现和检测新型的威胁和攻击。

2.2技术操作类安全风险

随着业务的持续扩展,企业安全运营所需要的人员成本逐渐提高,当人员配比跟不上企业信息安全发展需要的时候,问题就会很快的暴露出来。人员少任务重经常会出现忽略和误操作的情况出现,比如终端、服务器层面,计算机基本安全保密配置不到位或管理不到位,导致用户可以窃取用户终端所有的文件资料、植入病毒或者木马;安全产品配置不当,不能起到预期的防护效果,误报、漏报情况多见;服务器的防护、监控措施不足,大部分服务器仅仅安装了病毒防护软件,且大量服务器均存在刻录光驱,且安装有刻录软件,对服务器的输入输出没有监控审计技术手段;操作系统基本上都是用国外,服务器大部分为WindowsServer2003(已停止升级服务)、WindowsServer2008,一旦0day漏洞被利用,后果不堪设想。自2014年4月爆出的OpenSSL心脏流血漏洞来看,目前所有使用的网络协议还有多少存在重大安全问题,都是未知数。企业安全管理者没有办法直观的看到当前企业信息安全资产所面临的威胁和整体的虽弱性。这些由技术操作因素导致的潜在信息安全风险是企业内部的毒瘤,一旦被黑客攻破就会造成致命一击。

2.3信息安全管理类安全风险

监管的滞后性同样会给信息安全管理带来严重的风险,信息安全从业者应具备基础的信息安全常识,但随着企业规模的扩大,各类情况时有发生,管理措施的不得当也会带来很严重的风险。如第三方人员权限的控制,进出机房的控制,企业内部人员账号口令及管理权限的控制,安全事件巡检的要求以及安全知识的培训学习等。信息安全管理涉及到较多的流程和制度,同时流程和制度也需要有相应的检查工具和指标进行落地,目前大部分企业还不能够很好的将信息安全管理流程或安全事件处理流程进行有效的落地,往往都会在流程中断节。这也是造成信息安全风险管理失效的重要原因之一。

3金融企业信息安全风险的防范措施与建议

基于金融企业信息安全存在的诸多风险和问题,应从以下几个方面进行加固和改进。

3.1建立综合安全事件分析平台,形成统一监控能力

面对传统防护带来的问题和弊端,企业应建立一套综合的安全事件分析平台,针对各类安全产品、业务数据、信息安全数据进行全面的收集,终结信息孤岛现象。集合现有的安全产品的告警日志,应用系统的审计日志,建立异常行为分析的能力,结合攻击链模型关联分析多个阶段的安全事件,避免单一安全设备产生的误报和漏报,第一时间对安全问题进行实时的分析和告警,并形成趋势和发展态势,直观的呈现出来,让企业安全的领导者第一时间进行决策和判断,有助于提升企业信息安全的整体防护水平。

3.2开展核心资产的脆弱性梳理

加强对内部关键资产的梳理工作,并通过技术手段对资产的漏洞情况、配置情况、安全事件情况、基本属性情况进行综合的分析,以上述四个维度综合分析资产的脆弱性问题,让资产的风险和威胁提前暴露出来,让资产的管理者第一时间知道哪些资产该进行加固,哪些资产正在遭受安全风险,减少人员技术操作的漏洞和误操作问题,加强资产的安全管理,提升企业基础设施的安全加固。

3.3深入开展信息系统的精细化管理

深入开展信息系统的精细化管理,专人负责专项系统的各类安全管理,加强信息安全专项检查,指定信息系统检查和管理的规范,并利用可落地的工具如综合事件管理平台明确检查和分析的步骤和操作,使得信息系统的日常管理呈制度化、流程化、规范化,闭环处理所有信息安全事件,让管理流程和制度有效的落地,提升企业信息安全运维能力。

3.4逐步开展国产自主化应用,提升自主可控力

信息安全不是小问题,安全问题的分析尤为关键,网络设备、硬件设备、操作系统以及安全分析平台应实现自主可控原则,探索自主信息安全分析和保障的产品和体系,提升信息系统的自主可控力。

4结语

金融企业在互联网的作用下发展成为一种新兴的业态形式,金融企业在发展的同时需要保持积极的态度,不断的进行创新,以促进其繁荣发展。同时,也需要对其行业所具有的信息安全风险问题制定相应的监督管理措施,保障其长远的发展。金融企业只有时刻保持信息安全隐患的警惕,才能够获得信息安全管理的主动权,以此来规避金融企业的信息安全风险问题,使其能够更加健康、持续的发展,创造更多的收益。

参考文献

[1]戚小光,许玉敏,韩菲等.“心脏出血”漏洞的危害、应对及影响[J].信息安全与通信保密,2014(05):60-62.

作者:冯国震 单位:安邦保险集团