关于城市建设中网络信息安全法律保障问题论文.doc

关于城市建设中网络信息安全法律保障问题论文 摘要:互联网的发展能够为金融企业带来更加完善的投资环境、能够优化金融资源配置情况以及提升金融体系的发展但同时也会给金融企业带来信息安全风险及问题本文就金融企业中信息安全风险问题进行研究并总结出相应的对策 关键词:互联网金融;信息安全风险;综合事件分析平台;防范措施 1引言 企业经营信息对于企业来说是十分重要的东西对于企业自身的发展具有重要的意义企业需要妥善进行信息内容的处理保障信息的安全近年来企业的发展开始着重于互联网业务的发展所以网络方面的风险为企业的信息管理工具增添了更多的挑战许多的企业已经开始通过各种各样的手段进行制度及安全建设方面的改革安全工作的重心放也由合规转向信息安全建设和防护上并且将企业的信息安全管理以及风险控制相连接以此来稳定企业的平稳发展 2互联网时代企业所面临的信息安全威胁 2.1传统防护难以抵御新型威胁 金融企业信息安全建设借助于等级保护和相关监管机构工作的推力企业的信息系统在物理安全、运行安全、安全保密管理等方面取得了一定的成效具备了一定的防护能力但是随着信息技术的飞速发展和广泛应用信息安全防护已有主动变为被动现如今随着业务的扩展信息系统的应用需求在不断增加涉及各个业务领域网络规模不断增长信息系统体系结构更加复杂但是由于信息安全的木桶效应再加上难以控制的技术漏洞和管理不当必然会导致不可避免的安全攻击和灾难也就造成信息系统存在高度的脆弱性和风险性其次随着信息化的不断推进信息系统规模不断扩大组成信息系统的各类硬件、软件、系统以及各类人员都有可能成为威胁主体软硬件的后门、漏洞、缺陷包括对人员的诱惑都是攻击信息系统的常用手段正是由于攻击源的多样性和防范对象的不确定性导致了传统安全防护手段失效无法发现和检测新型的威胁和攻击 2.2技术操作类安全风险 随着业务的持续扩展企业安全运营所需要的人员成本逐渐提高当人员配比跟不上企业信息安全发展需要的时候问题就会很快的暴露出来人员少任务重经常会出现忽略和误操作的情况出现比如终端、服务器层面计算机基本安全保密配置不到位或管理不到位导致用户可以窃取用户终端所有的文件资料、植入病毒或者木马；安全产品配置不当不能起到预期的防护效果误报、漏报情况多见;服务器的防护、监控措施不足大部分服务器仅仅安装了病毒防护软件且大量服务器均存在刻录光驱且安装有刻录软件对服务器的输入输出没有监控审计技术手段；操作系统基本上都是用国外服务器大部分为WindowsServer(已停止升级服务)、WindowsServer一旦0day漏洞被利用后果不堪设想自年4月爆出的OpenSSL心脏流血漏洞来看目前所有使用的网络协议还有多少存在重大安全问题都是未知数企业安全管理者没有办法直观的看到当前企业信息安全资产所面临的威胁和整体的虽弱性这些由技术操作因素导致的潜在信息安全风险是企业内部的毒瘤一旦被攻破就会造成致命一击 2.3信息安全管理类安全风险 监管的滞后性同样会给信息安全管理带来严重的风险信息安全从业者应具备基础的信息安全常识但随着企业规模的扩大各类情况时有发生管理措施的不得当也会带来很严重的风险如第三方人员权限的控制进出机房的控制企业内部人员账号口令及管理权限的控制安全事件巡检的要求以及安全知识的培训学习等信息安全管理涉及到较多的流程和制度同时流程和制度也需要有相应的检查工具和指标进行落地目前大部分企业还不能够很好的将信息安全管理流程或安全事件处理流程进行有效的落地往往都会在流程中断节这也是造成信息安全风险管理失效的重要原因之一 3金融企业信息安全风险的防范措施与建议 基于金融企业信息安全存在的诸多风险和问题应从以下几个方面进行加固和改进 3.1建立综合安全事件分析平台形成统一监控能力 面对传统防护带来的问题和弊端企业应建立一套综合的安全事件分析平台针对各类安全产品、业务数据、信息安全数据进行全面的收集终结信息孤岛现象集合现有的安全产品的告警日志应用系统的审计日志建立异常行为分析的能力结合攻击链模型关联分析多个阶段的安全事件避免单一安全设备产生的误报和漏报第一时间对安全问题进行实时的分析和告警并形成趋势和发展态势直观的呈现出来让企业安全的领导者第一时间进行决策和判断有助于提升企业信息安全的整体防护水平 3.2开展核心资产的脆弱性梳理 加强对内部关键资产的梳理工作并通过技术手段对资产的漏洞情况、配置情况、安全事件情况、基本属性情况进行综合的分析以上述四个维度综合分析资产的脆弱性问题让资产的风险和威胁提前暴露出来让资产的管理者第一时间知道些资产该进行加固些资产正在遭受安全风险减少人员技术操作的漏洞和误操作问题加强资产的安全管理提升企业基础设施的安全加固 3.3深入开展信息系统的精细化管理 深入开展信息系统的精细化管理专人负责专项系统的各类安全管理加强信息安全专项检查指定信息系统检查和管理的规范并利用可落地的工具如综合事件管理平台明确检查和分析的步骤和操作使得信息系统的日常管理呈制度化、流程化、规范化闭环处理所有信息安全事件让管理流程和制度有效的落地提升企业信息安全运维能力 3.4逐步开展国产自主化应用提升自主可控力 信息安全不是小问题安全问题的分析尤为关键网络设备、硬件设备、操作系统以及安全分析平台应实现自主可控原则探索自主信息安全分析和保障的产品和体系提升信息系统的自主可控力 4结语 金融企业在互联网的作用下发展成为一种新兴的业态形式金融企业在发展的同时需要保持积极的态度不断的进行创新以促进其繁荣发展同时也需要对其行业所具有的信息安全风险问题制定相应的监督管理措施保障其长远的发展金融企业只有时刻保持信息安全隐患的警惕才能够获得信