論文摘要：加強安全管理已成為提高信息系統(tǒng)安全保障能力的可靠保證，是金融信息系統(tǒng)安全體系建設的重要內容。從安全風險分析入手，基于安全管理技術手段和管理措施，構建了安全管理體系，描述了安全管理平臺和安全管理措施的建議。

　　論文關鍵詞：信息系統(tǒng)；安全管理；體系

　　現(xiàn)代金融業(yè)是基于信息、高度計算化、分散、相互依存的產業(yè)，有人形象地把信息系統(tǒng)歸結為銀行業(yè)的“核心資本”。金融信息化帶來的是銀行業(yè)務信息系統(tǒng)在網絡結構、業(yè)務關系、角色關系等方面的復雜化。而越是復雜的系統(tǒng)，其安全風險就越高。在系統(tǒng)中每增加一種訪問的方式就增加了一些入侵的機會；每增加一些訪問的人群就引入了一些可能受到惡意破壞的風險。據(jù)2003年一項對全球前500家金融機構的安全調查(2003GlobaleS curity Survey，Deloitte Touche Tohmat—su)，39％受調查的機構承認2002年曾受到一定形式的系統(tǒng)攻擊；美國聯(lián)邦法院2004年所作的一系列有關信息犯罪的案件中，有多件涉及金融機構。這些統(tǒng)計數(shù)字和報道出的事件，只是我們面臨信息系統(tǒng)安全威脅的冰山一角，因此加速建設金融信息系統(tǒng)中的安全保障體系變得更加緊迫。
　　長期以來，人們對保障信息系統(tǒng)安全的手段偏重于依靠技術，從早期的加密技術、數(shù)據(jù)備份、防病毒到近期網絡環(huán)境下的防火墻、入侵檢測、漏洞掃描、身份認證等等。但事實上，僅僅依靠安全技術和安全產品保障信息系統(tǒng)安全的愿望卻往往難盡人意，許多復雜、多變的安全威脅和隱患靠安全產品是無法消除的。據(jù)有關部門統(tǒng)計，在所有的計算機安全事件中，約有52％是人為因素造成的，25％由火災、水災等自然災害引起，技術錯誤占10％，組織內部人員作案占10％，僅有3％左右是由外部不法人員的攻擊造成。簡單歸類，屬于管理方面的原因比重高達6O％以上，而這些安全問題中的95％是可以通過科學的信息安全管理來避免。因此，加強安全管理已成為提高信息系統(tǒng)安全保障能力的可靠保證，是金融信息系統(tǒng)安全體系建設的重點。

　　1安全管理體系構建

　　信息安全源于有效的管理，使技術發(fā)揮最佳效果的基礎是要有一定的信息安全管理體系，只有在建立防范的基礎上，加強預警、監(jiān)控和安全反擊，才能使信息系統(tǒng)的安全維持在一個較高的水平之上。因此，安全管理體系的建設是確保信息系統(tǒng)安全的重要基礎，是金融信息系統(tǒng)安全保障體系建設最為重要的一環(huán)。為在金融信息系統(tǒng)中建立全新的安全管理機制，最可行的做法是技術與管理并重，安全管理法規(guī)、措施和制度與整體安全解決方案相結合，并輔之以相應的安全管理工具，構建科學、合理的安全管理體系。
　　金融信息系統(tǒng)安全管理體系是在金融信息系統(tǒng)安全保障整體解決方案基礎上構建的，它包括信息安全法規(guī)、措施和制度，安全管理平臺及信息安全培訓和安全隊伍建設，其示意圖如圖1所示。

　　2安全管理平臺

　　安全管理平臺是通過采用技術手段實施金融信息系統(tǒng)安全管理的平臺，它包括安全預警管理、安全監(jiān)控管理、安全防護與響應管理和安全反擊管理。

　　2．1安全預警管理
　　安全預警管理的功能由預警系統(tǒng)實現(xiàn)，通過該系統(tǒng)，可以在安全風險動態(tài)威脅和影響金融信息系統(tǒng)前，事先傳送相關的警示，讓管理員采取主動式的步驟，在安全風險影響運作前加以攔阻，從而預防全網業(yè)務中斷、效能損失或對其公眾信譽造成危害，達到提前保護自己的作用。安全預警系統(tǒng)通過追蹤最新的攻擊技術，分析威脅信息以辨識出真正潛在的攻擊，迅速響應并提供定制化威脅分析及個性化的漏洞和惡意代碼告警服務，幫助降低風險，防患于未然。

　　2．2安全監(jiān)控管理
　　通過安全監(jiān)控功能可以實時監(jiān)控金融信息系統(tǒng)的安全態(tài)勢、發(fā)生了哪些攻擊、出現(xiàn)了什么異常、系統(tǒng)存在什么漏洞以及產生了哪些危險日志等，因此安全監(jiān)控功能對于金融信息系統(tǒng)的安全保障體系來說是至關重要的。
　　1)基于實時性的安全監(jiān)控。通過在線方式管理金融信息系統(tǒng)中的資源狀態(tài)和實時安全事件，及時關注IT資源和安全風險的現(xiàn)狀和趨勢，通過實時監(jiān)控來提高系統(tǒng)的安全性和IT資源的效能。
　　2)基于智能化的安全監(jiān)控。利用智能信息處理技術對信息網絡中的各種安全事件進行智能處理，實現(xiàn)報警信息的精煉化，提高報警信息的可用信息量，降低安全設備的虛警和誤警，從而有效地提高安全保障系統(tǒng)中報警信息的可信度。
　　3)基于可視化的安全監(jiān)控。通過對安全事件分析過程與分析報告的可視化手段，如圖表／曲線／數(shù)據(jù)表／關聯(lián)關系圖等，提供詳細的入侵攻擊信息乃至重現(xiàn)攻擊場景，實現(xiàn)對入侵攻擊行為的追蹤，使得對安全事件的分析更為直觀，從而有效提高安全管理人員對于入侵攻擊的監(jiān)控理解，使安全系統(tǒng)的管理更為有效。
　　4)基于分布式的安全監(jiān)控。通過系統(tǒng)分布式的多級部署方式，可以實現(xiàn)對金融信息系統(tǒng)內各個子系統(tǒng)的監(jiān)控和綜合分析能力，同時對不同安全保護等級的用戶提供相應的監(jiān)控界面和信息，從而嚴格滿足其安全等級劃分的用戶級要求。

2．3安全防護與響應管理
　　在金融信息系統(tǒng)的安全系統(tǒng)中由于安全的異構屬性，因此會采用不同的安全技術和不同廠家的安全產品來實現(xiàn)安全防護的目的。通過安全防護與響應管理可以及時響應和優(yōu)化整個系統(tǒng)安全防護策略；最直接的響應就是提供多種方式，如報警燈、窗日、郵件、手機短信等向安全管理員報警，然后日志保存在本地數(shù)據(jù)庫或者異地數(shù)據(jù)庫中。
　　1)優(yōu)化安全策略分析。通過實時掌握自身的安全態(tài)勢，及各種安全設備、網絡設備、安全系統(tǒng)和業(yè)務系統(tǒng)的處理情況，輸出正常和非法個性化的安全策略報表，然后直接通知相應的安全管理人員或廠商對其自身策略進行優(yōu)化調整。
　　2)動態(tài)響應策略調整。通過對各種安全響應協(xié)議的支持，如SNMP、TOPSEC、聯(lián)動協(xié)議等，實現(xiàn)相關的安全防護技術策略的自動交互，同時通過專家知識庫能從全局的角度去響應安全事件很好地解決安全誤報問題。
　　3)安全服務自動協(xié)調。當智能分析和安全定位功能確認出安全事件或安全故障時，及時調派安全服務人員小組(或提供安全服務的供應商)進行相應的安全加固防護。

　　2．4安全反擊管理
　　安全反擊管理包括安全事件的取證管理和安全事件的追蹤反擊。
　　1)安全事件的取證管理。取證在網絡與信息系統(tǒng)安全事件的調查中是非常有用的工具，通過對系統(tǒng)安全事件的存儲和分析，實現(xiàn)對安全事件的取證管理，給相關調查人員提供安全事件的直接取證。
　　2)安全事件的追蹤反擊。通過資源狀態(tài)分析、關聯(lián)分析、專家系統(tǒng)分析等有效手段，檢測到攻擊類型，并定位攻擊源。隨后，系統(tǒng)自動對目標進行掃描，并將掃描結果告知安全管理員，并提示安全管理員查詢知識庫，從中提取有效手段對攻擊源進行反擊控制。

　　3安全管理措施建議

　　在安全管理技術手段的基礎上，還要提高安全管理水平。俗話說“三分技術，七分管理”，由于金融信息系統(tǒng)相對比較封閉，對于金融信息系統(tǒng)安全來說，業(yè)務邏輯和操作規(guī)范的嚴密程度是關鍵。因此，加強金融信息系統(tǒng)的內部安全管理措施，建立領導組織體系，完善落實內控制度，強化日常操作管理，是提升安全管理水平的根本。
　　1)完善安全管理機構的建設。目前，我國已經把信息安全提到了促進經濟發(fā)展、維護社會穩(wěn)定、保障國家安全、加強精神文明建設的高度，并提出了“積極防御、綜合防范”的信息安全管理方針，專門成立了網絡與信息安全領導小組、國家計算機網絡應急技術處理協(xié)調中心(簡稱CNCERT／CC)、中國信息安全產品測評認證中心(簡稱CNITSEC)等，初步建成了國家信息安全組織保障體系。為確保金融信息系統(tǒng)的安全，在金融信息系統(tǒng)內部應組建安全管理小組(或委員會)，安全管理小組制定出符合企業(yè)需要的信息安全管理策略，具體包括安全管理人員的義務和職責、安全配置管理策略、系統(tǒng)連接安全策略、傳輸安全策略、審計與入侵安全策略、標簽策略、病毒防護策略、安全備份策略、物理安全策略、系統(tǒng)安全評估體系等內容。安全管理應盡量把各種安全策略要求文檔化和規(guī)范化，以保證安全管理工作具有明確的依據(jù)或參照。
　　2)在保證信息系統(tǒng)設備的運行穩(wěn)定可靠和信息系統(tǒng)運行操作的安全可靠的前提下，增加安全機制，如進行安全域劃分，進行有針對性的安全設備部署和安全策略設置，以改進對重要區(qū)域的分割防護；增加入侵檢測系統(tǒng)、漏洞掃描、違規(guī)外聯(lián)等安全管理工具，進行定時監(jiān)控、事件管理和鑒定分析，以提高自身的動態(tài)防御能力；完善已有的防病毒系統(tǒng)、增加內部信息系統(tǒng)的審計平臺，以便形成對內部安全狀況的長期跟蹤和防護能力。
　　3)制定一系列必須的信息系統(tǒng)安全管理的法律法規(guī)及安全管理標準，狠抓內網的用戶管理、行為管理、應用管理、內容控制以及存儲管理；進一步完善互聯(lián)網應急響應管理措施，對關鍵設施或系統(tǒng)制定好應急預案，并定期更新和測試，全面提高預案制定水平和處理能力；建立一支“信息安全部隊”，專門負責信息網絡方面安全保障、安全監(jiān)管、安全應急和安全威懾方面的工作。
　　4)堅持“防內為主，內外兼防”的方針，加強登錄身份認證，嚴格限制登錄者的操作權限，充分利用操作系統(tǒng)和應用系統(tǒng)本身的日志功能，對用戶所訪問的信息進行跟蹤記錄，為系統(tǒng)審計提供依據(jù)。
　　5)重視和加強信息安全等級保護工作，對金融信息系統(tǒng)中的信息實施一般保護、指導保護、監(jiān)督保護和強制保護策略，尤其對重要信息實施強制保護和強制性認證，以確保金融業(yè)務信息的安全。
　　6)加強信息安全管理人才與安全隊伍建設，特別是加大既懂技術又懂管理的復合型人才的培養(yǎng)力度。通過各種會議、網站、廣播、電視、報紙等媒體加大信息安全普法和守法宣傳力度，提高全民信息安全意識，尤其是加強企業(yè)內部人員的信息安全知識培訓與教育，提高員工的信息安全自律水平。

　　4結束語

　　隨著信息化與網絡化趨勢的增強和社會信息化步伐的加快，網絡與信息系統(tǒng)的安全越來越受到人們的關注。網絡與信息安全已經直接威脅到系統(tǒng)的正常運轉和效能的發(fā)揮，因此進行安全管理體系研究，對金融信息系統(tǒng)進行主動有效的安全管理，必將提高金融信息系統(tǒng)的整體安全保障能力。