關(guān)于城市建設中網(wǎng)絡(luò )信息安全法律保障問(wèn)題論文

　　摘要:互聯(lián)網(wǎng)的發(fā)展能夠為金融企業(yè)帶來(lái)更加完善的投資環(huán)境、能夠優(yōu)化金融資源配置情況以及提升金融體系的發(fā)展，但同時(shí)也會(huì )給金融企業(yè)帶來(lái)信息安全風(fēng)險及問(wèn)題。本文就金融企業(yè)中信息安全風(fēng)險問(wèn)題進(jìn)行研究，并總結出相應的對策。

　　關(guān)鍵詞:互聯(lián)網(wǎng)金融;信息安全風(fēng)險;綜合事件分析平臺;防范措施

　　1引言

　　企業(yè)經(jīng)營(yíng)信息對于企業(yè)來(lái)說(shuō)是十分重要的東西，對于企業(yè)自身的發(fā)展具有重要的意義，企業(yè)需要妥善進(jìn)行信息內容的處理，保障信息的安全。近年來(lái)企業(yè)的發(fā)展開(kāi)始著(zhù)重于互聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展，所以，網(wǎng)絡(luò )方面的風(fēng)險為企業(yè)的信息管理工具增添了更多的挑戰。許多的企業(yè)已經(jīng)開(kāi)始通過(guò)各種各樣的手段進(jìn)行制度及安全建設方面的改革，安全工作的重心放也由合規轉向信息安全建設和防護上，并且將企業(yè)的信息安全管理以及風(fēng)險控制相連接，以此來(lái)穩定企業(yè)的平穩發(fā)展。

　　2互聯(lián)網(wǎng)時(shí)代企業(yè)所面臨的信息安全威脅

　　2.1傳統防護難以抵御新型威脅

　　金融企業(yè)信息安全建設借助于等級保護和相關(guān)監管機構工作的推力，企業(yè)的信息系統在物理安全、運行安全、安全保密管理等方面取得了一定的成效，具備了一定的防護能力，但是，隨著(zhù)信息技術(shù)的飛速發(fā)展和廣泛應用，信息安全防護已有主動(dòng)變?yōu)楸粍?dòng)�，F如今隨著(zhù)業(yè)務(wù)的擴展，信息系統的應用需求在不斷增加，涉及各個(gè)業(yè)務(wù)領(lǐng)域，網(wǎng)絡(luò )規模不斷增長(cháng)，信息系統體系結構更加復雜。但是，由于信息安全的木桶效應，再加上難以控制的技術(shù)漏洞和管理不當，必然會(huì )導致不可避免的安全攻擊和災難，也就造成信息系統存在高度的脆弱性和風(fēng)險性。其次，隨著(zhù)信息化的不斷推進(jìn)，信息系統規模不斷擴大，組成信息系統的各類(lèi)硬件、軟件、系統，以及各類(lèi)人員都有可能成為威脅主體，軟硬件的后門(mén)、漏洞、缺陷，包括對人員的誘惑都是攻擊信息系統的常用手段。正是由于攻擊源的多樣性和防范對象的不確定性導致了傳統安全防護手段失效，無(wú)法發(fā)現和檢測新型的威脅和攻擊。

　　2.2技術(shù)操作類(lèi)安全風(fēng)險

　　隨著(zhù)業(yè)務(wù)的持續擴展，企業(yè)安全運營(yíng)所需要的人員成本逐漸提高，當人員配比跟不上企業(yè)信息安全發(fā)展需要的時(shí)候，問(wèn)題就會(huì )很快的暴露出來(lái)。人員少任務(wù)重經(jīng)常會(huì )出現忽略和誤操作的情況出現，比如終端、服務(wù)器層面，計算機基本安全保密配置不到位或管理不到位，導致用戶(hù)可以竊取用戶(hù)終端所有的文件資料、植入病毒或者木馬；安全產(chǎn)品配置不當，不能起到預期的防護效果，誤報、漏報情況多見(jiàn);服務(wù)器的防護、監控措施不足，大部分服務(wù)器僅僅安裝了病毒防護軟件，且大量服務(wù)器均存在刻錄光驅?zhuān)�且安裝有刻錄軟件，對服務(wù)器的輸入輸出沒(méi)有監控審計技術(shù)手段；操作系統基本上都是用國外，服務(wù)器大部分為WindowsServer2003(已停止升級服務(wù))、WindowsServer2008，一旦0day漏洞被利用，后果不堪設想。自2014年4月爆出的OpenSSL心臟流血漏洞來(lái)看，目前所有使用的網(wǎng)絡(luò )協(xié)議還有多少存在重大安全問(wèn)題，都是未知數。企業(yè)安全管理者沒(méi)有辦法直觀(guān)的看到當前企業(yè)信息安全資產(chǎn)所面臨的威脅和整體的雖弱性。這些由技術(shù)操作因素導致的潛在信息安全風(fēng)險是企業(yè)內部的毒瘤，一旦被攻破就會(huì )造成致命一擊。

　　2.3信息安全管理類(lèi)安全風(fēng)險

　　監管的滯后性同樣會(huì )給信息安全管理帶來(lái)嚴重的風(fēng)險，信息安全從業(yè)者應具備基礎的信息安全常識，但隨著(zhù)企業(yè)規模的擴大，各類(lèi)情況時(shí)有發(fā)生，管理措施的不得當也會(huì )帶來(lái)很?chē)乐氐娘L(fēng)險。如第三方人員權限的控制，進(jìn)出機房的控制，企業(yè)內部人員賬號口令及管理權限的控制，安全事件巡檢的要求以及安全知識的培訓學(xué)習等。信息安全管理涉及到較多的流程和制度，同時(shí)流程和制度也需要有相應的檢查工具和指標進(jìn)行落地，目前大部分企業(yè)還不能夠很好的將信息安全管理流程或安全事件處理流程進(jìn)行有效的落地，往往都會(huì )在流程中斷節。這也是造成信息安全風(fēng)險管理失效的重要原因之一。

　　3金融企業(yè)信息安全風(fēng)險的防范措施與建議

　　基于金融企業(yè)信息安全存在的諸多風(fēng)險和問(wèn)題，應從以下幾個(gè)方面進(jìn)行加固和改進(jìn)。

　　3.1建立綜合安全事件分析平臺，形成統一監控能力

　　面對傳統防護帶來(lái)的問(wèn)題和弊端，企業(yè)應建立一套綜合的安全事件分析平臺，針對各類(lèi)安全產(chǎn)品、業(yè)務(wù)數據、信息安全數據進(jìn)行全面的收集，終結信息孤島現象。集合現有的安全產(chǎn)品的告警日志，應用系統的審計日志，建立異常行為分析的能力，結合攻擊鏈模型關(guān)聯(lián)分析多個(gè)階段的安全事件，避免單一安全設備產(chǎn)生的誤報和漏報，第一時(shí)間對安全問(wèn)題進(jìn)行實(shí)時(shí)的分析和告警，并形成趨勢和發(fā)展態(tài)勢，直觀(guān)的呈現出來(lái)，讓企業(yè)安全的領(lǐng)導者第一時(shí)間進(jìn)行決策和判斷，有助于提升企業(yè)信息安全的整體防護水平。

　　3.2開(kāi)展核心資產(chǎn)的脆弱性梳理

　　加強對內部關(guān)鍵資產(chǎn)的梳理工作，并通過(guò)技術(shù)手段對資產(chǎn)的漏洞情況、配置情況、安全事件情況、基本屬性情況進(jìn)行綜合的分析，以上述四個(gè)維度綜合分析資產(chǎn)的脆弱性問(wèn)題，讓資產(chǎn)的風(fēng)險和威脅提前暴露出來(lái)，讓資產(chǎn)的管理者第一時(shí)間知道哪些資產(chǎn)該進(jìn)行加固，哪些資產(chǎn)正在遭受安全風(fēng)險，減少人員技術(shù)操作的漏洞和誤操作問(wèn)題，加強資產(chǎn)的安全管理，提升企業(yè)基礎設施的安全加固。

　　3.3深入開(kāi)展信息系統的精細化管理

　　深入開(kāi)展信息系統的精細化管理，專(zhuān)人負責專(zhuān)項系統的各類(lèi)安全管理，加強信息安全專(zhuān)項檢查，指定信息系統檢查和管理的規范，并利用可落地的工具如綜合事件管理平臺明確檢查和分析的步驟和操作，使得信息系統的日常管理呈制度化、流程化、規范化，閉環(huán)處理所有信息安全事件，讓管理流程和制度有效的落地，提升企業(yè)信息安全運維能力。

　　3.4逐步開(kāi)展國產(chǎn)自主化應用，提升自主可控力

　　信息安全不是小問(wèn)題，安全問(wèn)題的分析尤為關(guān)鍵，網(wǎng)絡(luò )設備、硬件設備、操作系統以及安全分析平臺應實(shí)現自主可控原則，探索自主信息安全分析和保障的產(chǎn)品和體系，提升信息系統的自主可控力。

　　4結語(yǔ)

　　金融企業(yè)在互聯(lián)網(wǎng)的作用下發(fā)展成為一種新興的業(yè)態(tài)形式，金融企業(yè)在發(fā)展的同時(shí)需要保持積極的態(tài)度，不斷的進(jìn)行創(chuàng )新，以促進(jìn)其繁榮發(fā)展。同時(shí)，也需要對其行業(yè)所具有的信息安全風(fēng)險問(wèn)題制定相應的監督管理措施，保障其長(cháng)遠的發(fā)展。金融企業(yè)只有時(shí)刻保持信息安全隱患的警惕，才能夠獲得信息安全管理的主動(dòng)權，以此來(lái)規避金融企業(yè)的信息安全風(fēng)險問(wèn)題，使其能夠更加健康、持續的發(fā)展，創(chuàng )造更多的收益。

　　參考文獻

　　[1]戚小光,許玉敏,韓菲等.“心臟出血”漏洞的危害、應對及影響[J].信息安全與通信保密,2014(05):60-62.

　　作者:馮國震 單位:安邦保險集團

【城市建設中網(wǎng)絡(luò )信息安全法律保障問(wèn)題論文】相關(guān)文章：

10-26

08-02

10-13

10-12

10-13

09-28

05-08

02-13

10-13

11-02