"

                                        ✅万博manbext|体育首页✅㊣全球最大,最信誉的线上综合平台✅万博manbext|体育首页✅千款游戏,砖石级服务,万博manbext|体育首页,欢迎各界玩家加入体验!

                                                                              "
                                                                              中培教育IT资讯频道
                                                                              您现在的位置:万博manbext|体育首页 > IT资讯 > 信息安全 > 网络信息安全与金融信息安全的交互

                                                                              网络信息安全与金融信息安全的交互

                                                                              2021-06-30 12:05:10 | 来源:中培企业IT培训网

                                                                              金融业的历史源远流长万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页,早在在信息技术还未诞生的时候万博manbext|体育首页,金融业的安全管理体系早就已经形成万博manbext|体育首页,它由传统管理模式演变发展而来。随着互联网+时代的来临万博manbext|体育首页,高速发展的互联网技术给客户和金融机构带来了便捷和利益万博manbext|体育首页。但与此同时万博manbext|体育首页万博manbext|体育首页,它也给我们带来了一些金融信息安全的隐患。金融管理的模式也随着互联网的兴起出现了不同万博manbext|体育首页。现在的很多信息安全管理问题的产生也与之息息相关万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页。一些不法分子趁机谋取不正当的利益。金融在生活中也占据着较主要的地位。哲学里万博manbext|体育首页,经济基础决定上层建筑万博manbext|体育首页。这里的金融就如同经济基础了,只是范围没有那么广万博manbext|体育首页万博manbext|体育首页。为此万博manbext|体育首页,专门有数据人员对数据中心的信息安全管理状况进行了调研万博manbext|体育首页万博manbext|体育首页,具体情况如下:

                                                                              金融数据中心信息安全管理现状与特点

                                                                              (一)金融业信息安全管理特点

                                                                              金融数据中心对业务系统运行的连续性万博manbext|体育首页万博manbext|体育首页、可靠性要求较高,交易数据不能出现差错万博manbext|体育首页万博manbext|体育首页,各类数据加密与数字签名技术应用广泛。在管理模式方面的突破相对较小万博manbext|体育首页,其信息安全管理往往结合了传统管理模式万博manbext|体育首页,以柔性管理为特点万博manbext|体育首页,原则性万博manbext|体育首页、灵活性相结合万博manbext|体育首页万博manbext|体育首页,注重用多种方法解决问题万博manbext|体育首页万博manbext|体育首页,但对解决问题的原则和方法并不十分关注万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页。这种方式的不足:主要是容易造成做法不规范、不能把成功经验形成组织过程资产。经验实例很多万博manbext|体育首页,但很难总结提升万博manbext|体育首页万博manbext|体育首页。其次是管理依赖权威万博manbext|体育首页,领导的作用和地位得到充分重视万博manbext|体育首页,领导的管理理念和水平直接影响安全管理的水平和效果万博manbext|体育首页。再次人际关系讲的多,很多风险无法得到控制万博manbext|体育首页万博manbext|体育首页。

                                                                              (二)金融数据中心信息安全管理常见的问题

                                                                              随着金融业务的拓展万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页,互联网金融的崛起,金融公司数据中心的规模在不断扩大,而其安全管理模式的特点使它在信息安全管理方面的问题逐渐显现出来,体现在以下几个方面:

                                                                              1.信息安全方针和策略不明确万博manbext|体育首页。金融机构,常以金融业务为主万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页,信息技术为辅万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页,在管理上更注重于业务发展和业务连续性的管理万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页,对业务系统的开发和建设普遍重视,但往往忽视了业务系统建设中的网络安全问题万博manbext|体育首页万博manbext|体育首页。有时因为注重系统的应用效果,忽视了信息系统技术脆弱性可能造成的影响,不能采取适当的措施来控制风险。多数金融机构的CIO不具备IT类职业背景万博manbext|体育首页,在高级管理层对信息安全管理的重视、熟悉程度都还不够万博manbext|体育首页,不能给予信息安全管理工作直接的支持万博manbext|体育首页。这种状况将导致机构缺乏明确的信息安全方针和策略万博manbext|体育首页,信息安全管理工作没有指导依据。

                                                                              2.安全管理缺乏系统的管理思想。多数金融机构的安全管理模式仍是基于传统静态管理的方法万博manbext|体育首页,面向发生的问题,欠缺信息安全管理的体系万博manbext|体育首页,在安全管理方面不全面,缺乏必要的信息安全评估万博manbext|体育首页万博manbext|体育首页、信息安全风险意识的培训,由于不能形成全机构人员对信息安全意识的共识,导致信息安全规章制度难以严格落实万博manbext|体育首页万博manbext|体育首页。而现代的信息安全管理体系应建立在安全风险评估基础上万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页,并持续不断的改进。

                                                                              3.重视安全设备和技术,轻视安全管理和培训万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页。金融业中普遍采用网络技术构建业务信息系统万博manbext|体育首页万博manbext|体育首页,提高了工作效率和业务竞争力万博manbext|体育首页,应用的安全防护设备往往比较全面万博manbext|体育首页。而信息安全不应仅从技术方面防护万博manbext|体育首页万博manbext|体育首页,更多的是应落实信息安全管理体系的建设,加强规范化管理万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页。如人员录用的时候有审查、签有保密协议万博manbext|体育首页,人员在终止任用时也要有审查,如人员对信息系统的访问权在任用终止时及时撤销万博manbext|体育首页、调整万博manbext|体育首页。在金融数据中心中有上千的各种重要程度的信息系统万博manbext|体育首页万博manbext|体育首页,几十个系统由一个管理员管理的情况时有发生,口令管理策略难以严格落实万博manbext|体育首页。有时管理人员身兼数职万博manbext|体育首页,常常忽视一些维护操作后期的审计工作万博manbext|体育首页万博manbext|体育首页。

                                                                              规范金融数据中心的信息安全管理体系

                                                                              传统安全管理常常存在诸多缺陷万博manbext|体育首页,如受高层领导层重视程度影响大、安全方针不明确万博manbext|体育首页、管理不够系统化万博manbext|体育首页万博manbext|体育首页、重技术轻管理等。为改善数据中心的信息安全管理现状万博manbext|体育首页万博manbext|体育首页,可以引入国际化万博manbext|体育首页、标准化的信息安全管理体系万博manbext|体育首页万博manbext|体育首页,如ISO27001等万博manbext|体育首页万博manbext|体育首页。系统化的信息安全管理体系万博manbext|体育首页,可以减少管理对人主观意识的依赖,通过对管理体系不断完善,使管理体系越来越全面万博manbext|体育首页、精细万博manbext|体育首页,从而更加符合金融数据中心的特点万博manbext|体育首页万博manbext|体育首页。

                                                                              (一)信息安全管理的体系化

                                                                              信息安全管理的体系,首先是要树立信息安全方针和目标万博manbext|体育首页,并建立达成这些目标所需的制度规范。标准化的信息安全管理标准万博manbext|体育首页,可以指导数据中心做好信息安全管理万博manbext|体育首页,提高控制信息安全风险的能力万博manbext|体育首页万博manbext|体育首页。

                                                                              标准化的信息安全管理体系规定了建立信息安全管理体系的要求万博manbext|体育首页,规定了实施安全控制的要求。按照标准规范的要求建立信息安全管理体系,可以更好地保障金融业务连续性万博manbext|体育首页。标准化组织认可的信息安全管理体系融合了西方管理理论万博manbext|体育首页,以刚性管理为特点万博manbext|体育首页。通过制定完善的制度,并严格遵守制度,达到管理的目标。这种管理模式注重有计划地万博manbext|体育首页万博manbext|体育首页、按照制度和规定解决问题万博manbext|体育首页,有助于数据中心提高管理效率万博manbext|体育首页,增强业务竞争力。

                                                                              (二)应用信息安全管理体系的预期

                                                                              通过建立信息安全管理体系万博manbext|体育首页,完善各类安全管理制度万博manbext|体育首页,可以规范信息系统相关的各种操作行为万博manbext|体育首页万博manbext|体育首页。信息安全管理体系体现了风险管理思想,工作思路是事先防范万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页、事中控制和事后总结改进万博manbext|体育首页,一改传统“问题驱动”的管理模式万博manbext|体育首页,着重整体万博manbext|体育首页、系统的分析、解决问题万博manbext|体育首页万博manbext|体育首页。管理体系按照PDCA的循环管理信息安全风险,信息安全管理从被动的问题补救万博manbext|体育首页万博manbext|体育首页,变为系统化万博manbext|体育首页、主动的风险管理状态万博manbext|体育首页万博manbext|体育首页。信息安全风险管理的目的是保障业务系统的连续万博manbext|体育首页万博manbext|体育首页、稳定运行,形成安全管理体系使安全管理可以协调各个方面、各个层次资源万博manbext|体育首页,管理更为有效万博manbext|体育首页万博manbext|体育首页,制度规章得以充分落实万博manbext|体育首页。

                                                                              建立健全信息安全管理体系对金融数据中心的安全管理工作和数据中心的发展意义重大。金融机构在制度建设过程中万博manbext|体育首页万博manbext|体育首页,除了根据国家的各种标准和行业规范,而且应尽力参考国际化万博manbext|体育首页、标准化的信息安全管理体系(如ISO 27001等)万博manbext|体育首页万博manbext|体育首页,建立数据中心的管理体系万博manbext|体育首页万博manbext|体育首页,明确信息安全工作的方针万博manbext|体育首页。

                                                                              金融数据中心信息安全管理体系的构建

                                                                              信息安全工作是以信息科技部门为主导,全员参与的活动,通过信息安全管理体现的建立可以促进企业所有部门对信息安全的共识万博manbext|体育首页?万博manbext|体育首页?剐畔踩芾硖逑到ㄉ?万博manbext|体育首页万博manbext|体育首页,可以做一些使信息安全管理体系的构建更顺利准备工作万博manbext|体育首页,如建立垂直管理的信息安全管理机构、设立网络安全监控中心万博manbext|体育首页、组建风险评估和监控专业团队等万博manbext|体育首页。

                                                                              参考国际标准,结合金融数据中心的信息安全管理需求与现状万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页,构建管理体系的思路大致如下。

                                                                              确定管理范围

                                                                              信息安全管理体系的范围就是需要重点进行管理的安全领域万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页。在本阶段,应划分不同的信息安全控制领域万博manbext|体育首页万博manbext|体育首页,便于对有不同安全需求的领域进行适当的信息安全管理万博manbext|体育首页万博manbext|体育首页。定义范围,应考虑环境万博manbext|体育首页万博manbext|体育首页、人员万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页、信息系统万博manbext|体育首页、信息资产及它们之间相互关系等万博manbext|体育首页。 金融数据中心中我们主要关注物理安全万博manbext|体育首页万博manbext|体育首页、网络安全、应用系统安全和管理安全万博manbext|体育首页,包括了线路万博manbext|体育首页、设备万博manbext|体育首页万博manbext|体育首页、机房万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页、身份认证、访问控制、保密与完整性万博manbext|体育首页、入侵检测手段、防病毒等诸多方面万博manbext|体育首页。一方面要解决系统本身的缺陷带来的不安全因素万博manbext|体育首页万博manbext|体育首页,如身份认证、系统漏洞等万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页,另一方面要妥善管理系统的安全配置问题万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页。部门间要划分明确的安全职责万博manbext|体育首页万博manbext|体育首页,严格落实安全管理制度万博manbext|体育首页。

                                                                              管理体系应涵盖安全管理万博manbext|体育首页万博manbext|体育首页、技术平台等多个层面万博manbext|体育首页,安全管理应统一管理其他各层面,安全问题首先是管理问题和人的问题,其次才是技术问题。

                                                                              信息安全的调研与风险评估

                                                                              依据信息安全技术与管理的标准万博manbext|体育首页,应对数据中心信息系统及数据的机密性万博manbext|体育首页、完整性和可用性等安全属性进行调研,评估信息资产价值万博manbext|体育首页,结合信息资产面临的威胁和安全事件发生的概率来判断风险造成的影响万博manbext|体育首页万博manbext|体育首页。

                                                                              一些常见的安全管理问题由于其影响较大往往被列为高风险等级万博manbext|体育首页。如:信息安全管理规定中未明确定义信息安全策略;所有雇员万博manbext|体育首页、外部人员对信息和信息处理设施的访问权未在任用协议变化时调整;口令管理不严格的情况万博manbext|体育首页,不能确保优质的口令万博manbext|体育首页万博manbext|体育首页,常使用一些简单密码;未采取有效措施限制访问程序源代码;未保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏;记录日志的设施和日志信息未加以蓖虿﹎anbext|体育首页;?万博manbext|体育首页,以防止篡改和未授权的访问;系统管理员和系统操作员活动记录不完全万博manbext|体育首页万博manbext|体育首页,未对其进行蓖虿﹎anbext|体育首页万博manbext|体育首页;ず投ㄆ谏蠹?万博manbext|体育首页万博manbext|体育首页。信息安全风险评估可以判断当前的信息安全状况万博manbext|体育首页,帮助我们选取适当的管理方法及风险防范控制措施万博manbext|体育首页万博manbext|体育首页。

                                                                              建立管理体系框架万博manbext|体育首页万博manbext|体育首页、编写管理制度

                                                                              建立信息安全管理体系要规划一个合理的管理框架万博manbext|体育首页万博manbext|体育首页,从全局的视角进行整体安全建设规划万博manbext|体育首页,根据业务性质、信息资产状况等,建立数据中心信息资产清单万博manbext|体育首页,然后通过风险分析万博manbext|体育首页万博manbext|体育首页、安全需求分析万博manbext|体育首页,选择安全控制措施万博manbext|体育首页,从而建立安全管理体系万博manbext|体育首页万博manbext|体育首页。

                                                                              一般遵从如下步骤构建信息安全管理体系框架:首先要确定总体的安全方针,制定具体的安全策略。然后根据系统的资产价值和影响等确定信息安全管理体系的管理范围万博manbext|体育首页。根据风险评估结果和安全的需求,选择控制风险的目标与控制方式,通过降低万博manbext|体育首页万博manbext|体育首页、避免和转移的方法来控制风险万博manbext|体育首页。

                                                                              信息安全管理体系制度文件与数据中心的环境结合紧密万博manbext|体育首页,制度的执行过程中,信息安全管理水平不断地提高万博manbext|体育首页、保障了业务的连续性万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页。建立规范的制度文件对信息安全管理有重要的作用万博manbext|体育首页。编写信息安全管理体系制度文件是建立信息安全管理体系的基础工作万博manbext|体育首页,也是数据中心实现风险控制万博manbext|体育首页万博manbext|体育首页、评价管理体系万博manbext|体育首页万博manbext|体育首页、实现自我改进的依据万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页。在制度文件中应包含安全方针、风险评估万博manbext|体育首页、实施与控制等方面万博manbext|体育首页。信息安全体系文件按控制级别可以分为四级,一级为信息安全方针、策略万博manbext|体育首页,二级为制度性文件,三级为具体规范万博manbext|体育首页万博manbext|体育首页、操作程序万博manbext|体育首页,四级为各类操作记录、表单等万博manbext|体育首页。

                                                                              管理体系的改进

                                                                              信息安全管理体系文件编制完成以后,进入正式运行阶段万博manbext|体育首页万博manbext|体育首页。在此期间万博manbext|体育首页,应通过各种监督万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页、审计手段确保体系制度能够落实到位万博manbext|体育首页。在各种制度执行和实践的过程中万博manbext|体育首页,根据数据中心自身的特点,逐步修订各级管理制度万博manbext|体育首页,使标准化的制度能够更加适应金融数据中心的特点和安全控制要求。依照管理体系的要求,针对执行中万博manbext|体育首页万博manbext|体育首页、评估中发现的安全问题和威胁,要定期更新修订管理体系的各项制度,这样动态的持续改进以实现管理体系主动的安全防范效果。

                                                                              通过引入这种国际化万博manbext|体育首页万博manbext|体育首页、标准化的信息安全管理体系改变传统的安全管理存在受领导层重视程度影响大万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页、安全方针不明确万博manbext|体育首页、缺乏系统的管理思想万博manbext|体育首页万博manbext|体育首页、重技术,轻管理等诸多弊端万博manbext|体育首页万博manbext|体育首页。为改善数据中心的信息安全管理现状万博manbext|体育首页万博manbext|体育首页,制度要适时地进行动态地修改,以信息安全风险评估为基础和导向万博manbext|体育首页,避免了领导重视程度的因素和人为观念,持续改进管理制度万博manbext|体育首页,构建符合数据中心现阶段情况与未来发展的信息安全管理体系万博manbext|体育首页。

                                                                              总结与预期

                                                                              信息安全管理体系是一个系统化、程序化的管理体系万博manbext|体育首页万博manbext|体育首页,体系的建立基于全面和科学的风险评估万博manbext|体育首页万博manbext|体育首页,而不是领导或其他个人的意见,避免了主观判断,体现了客观、预防为主的思想万博manbext|体育首页。该管理体系可以帮助数据中心在运维方面符合国家有关信息安全的法律法规万博manbext|体育首页,同时重视全过程和动态控制万博manbext|体育首页,本着控制防护成本与平衡安全风险的原则万博manbext|体育首页万博manbext|体育首页,合理地选择控制方式?万博manbext|体育首页;そ鹑诠丶畔⑹葑什虿﹎anbext|体育首页,确保数据的保密性万博manbext|体育首页万博manbext|体育首页、完整性和可用性,从而保障金融业务的连续性万博manbext|体育首页万博manbext|体育首页。通过建立信息安全管理体系,可以使得数据中心在以下方面得到改进:

                                                                              通过信息安全管理体系明确了信息安全方针和策略万博manbext|体育首页万博manbext|体育首页。信息安全问题不是一个数据中心的问题,事关全公司乃至全行业,一定要坚持高层领导负责制万博manbext|体育首页万博manbext|体育首页,全局统筹万博manbext|体育首页万博manbext|体育首页,给予信息安全管理工作最直接的支持万博manbext|体育首页。信息安全管理需要协调所有部门万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页,通过对金融机构的高级管理层及全金融机构的人员进行信息安全培训万博manbext|体育首页,强化对信息安全管理目标的共识万博manbext|体育首页。突破传统信息技术为辅的观念,金融领域的信息技术即金融业务万博manbext|体育首页万博manbext|体育首页,技术服务及金融服务万博manbext|体育首页万博manbext|体育首页。该体系的信息安全策略要求在业务系统的开发和建设的同时万博manbext|体育首页,注重业务系统建设中的网络安全问题万博manbext|体育首页万博manbext|体育首页,对金融领域系统的安全问题进行产品全生命周期的管理万博manbext|体育首页。这种管理体系为数据中心乃至全公司明确了的信息安全方针和策略万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页,信息安全管理工作有了指导依据,为金融业务持续万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页、健康发展提供基础保障。

                                                                              信息安全管理体系树立了系统的信息安全管理思想万博manbext|体育首页万博manbext|体育首页。使得金融数据中心的安全管理模式突破传统静态管理的局限万博manbext|体育首页,通过全面、系统万博manbext|体育首页万博manbext|体育首页、周期性的信息安全评估,及时发现风险万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页,采取恰当的防范措施万博manbext|体育首页,持续不断的改进信息安全现状万博manbext|体育首页万博manbext|体育首页。管理体系促成了全公司人员对信息安全方针的共识万博manbext|体育首页,信息安全规章制度的落实将会更加顺利。信息安全管理体系可以帮助数据中心实现对信息安全风险的全面管控,管理体系各项制度标准的持续改进万博manbext|体育首页万博manbext|体育首页,进行主动性的积极防御万博manbext|体育首页,持续地改善数据中心网络安全防护水平万博manbext|体育首页,改变以往信息安全管理被动的局面万博manbext|体育首页。

                                                                              信息安全管理体系强调数据中心信息安全不应仅从技术方面防护万博manbext|体育首页,更应落实信息安全管理体系的建设万博manbext|体育首页万博manbext|体育首页,全方位加强规范化管理万博manbext|体育首页万博manbext|体育首页。管理体系要求保证人员管理流程的各个方面万博manbext|体育首页,如审查万博manbext|体育首页、保密协议和人员权限等各个方面,同时对金融数据中心口令管理策略万博manbext|体育首页、操作审计工作等工作有明确的规范万博manbext|体育首页万博manbext|体育首页。通过对管理体系各项制度的落实执行万博manbext|体育首页,可以促使数据中心在安全管理上更加全面化万博manbext|体育首页。

                                                                              因此万博manbext|体育首页万博manbext|体育首页万博manbext|体育首页,逐渐完善相关的管理体系万博manbext|体育首页,以及做到妥善处理好两者的关系有助于社会的发展。真正做到管理到位万博manbext|体育首页、简洁万博manbext|体育首页、便民不容易万博manbext|体育首页。它需要我们国民共同努力和维持万博manbext|体育首页万博manbext|体育首页。想要了解更多网络信息安全与金融信息安全的交互的信息,请继续关注中培教育万博manbext|体育首页。

                                                                              万博manbext|体育首页