金融企業中信息安全風險管理

馮國震

摘要 互聯網的發展能夠為金融企業帶來更加完善的投資環境、能夠優化金融資源配置情況以及提升金融體系的發展，但同時也會給金融企業帶來信息安全風險及問題。本文就金融企業中信息安全風險問題進行研究，并總結出相應的對策。

【關鍵詞】互聯網金融 信息安全風險 綜合事件分析平臺 防范措施

1 引言

企業經營信息對于企業來說是十分重要的東西，對于企業自身的發展具有重要的意義，企業需要妥善進行信息內容的處理，保障信息的安全。近年來企業的發展開始著重于互聯網業務的發展，所以，網絡方面的風險為企業的信息管理工具增添了更多的挑戰。許多的企業已經開始通過各種各樣的手段進行制度及安全建設方面的改革，安全工作的重心放也由合規轉向信息安全建設和防護上，并且將企業的信息安全管理以及風險控制相連接，以此來穩定企業的平穩發展。

2 互聯網時代企業所面臨的信息安全威脅

2.1 傳統防護難以抵御新型威脅

金融企業信息安全建設借助于等級保護和相關監管機構工作的推力，企業的信息系統在物理安全、運行安全、安全保密管理等方面取得了一定的成效，具備了一定的防護能力，但是，隨著信息技術的飛速發展和廣泛應用，信息安全防護已有主動變為被動。

現如今隨著業務的擴展，信息系統的應用需求在不斷增加，涉及各個業務領域，網絡規模不斷增長，信息系統體系結構更加復雜。但是，由于信息安全的木桶效應，再加上難以控制的技術漏洞和管理不當，必然會導致不可避免的安全攻擊和災難，也就造成信息系統存在高度的脆弱性和風險性。其次，隨著信息化的不斷推進，信息系統規模不斷擴大，組成信息系統的各類硬件、軟件、系統，以及各類人員都有可能成為威脅主體，軟硬件的后門、漏洞、缺陷，包括對人員的誘惑都是攻擊信息系統的常用手段。正是由于攻擊源的多樣性和防范對象的不確定性導致了傳統安全防護手段失效，無法發現和檢測新型的威脅和攻擊。

2.2 技術操作類安全風險

隨著業務的持續擴展，企業安全運營所需要的人員成本逐漸提高，當人員配比跟不上企業信息安全發展需要的時候，問題就會很快的暴露出來。人員少任務重經常會出現忽略和誤操作的情況出現，比如終端、服務器層面，計算機基本安全保密配置不到位或管理不到位，導致用戶可以竊取用戶終端所有的文件資料、植入病毒或者木馬;安全產品配置不當，不能起到預期的防護效果，誤報、漏報情況多見：服務器的防護、監控措施不足，大部分服務器僅僅安裝了病毒防護軟件，且大量服務器均存在刻錄光驅，且安裝有刻錄軟件，對服務器的輸入輸出沒有監控審計技術手段;操作系統基本上都是用國外，服務器大部分為WindowsServer2003（己停止升級服務）、WindowsServer2008，一旦Oday漏洞被利用，后果不堪設想。自2014年4月爆出的OpenSSL心臟流血漏洞來看，目前所有使用的網絡協議還有多少存在重大安全問題，都是未知數。企業安全管理者沒有辦法直觀的看到當前企業信息安全資產所面臨的威脅和整體的雖弱性。這些由技術操作因素導致的潛在信息安全風險是企業內部的毒瘤，一旦被黑客攻破就會造成致命一擊。

2.3 信息安全管理類安全風險

監管的滯后性同樣會給信息安全管理帶來嚴重的風險，信息安全從業者應具備基礎的信息安全常識，但隨著企業規模的擴大，各類情況時有發生，管理措施的不得當也會帶來很嚴重的風險。如第三方人員權限的控制，進出機房的控制，企業內部人員賬號口令及管理權限的控制，安全事件巡檢的要求以及安全知識的培訓學習等。

信息安全管理涉及到較多的流程和制度，同時流程和制度也需要有相應的檢查工具和指標進行落地，目前大部分企業還不能夠很好的將信息安全管理流程或安全事件處理流程進行有效的落地，往往都會在流程中斷節。這也是造成信息安全風險管理失效的重要原因之一。

3 金融企業信息安全風險的防范措施與建議

基于金融企業信息安全存在的諸多風險和問題，應從以下幾個方面進行加固和改進。

3.1 建立綜合安全事件分析平臺，形成統一監控能力

面對傳統防護帶來的問題和弊端，企業應建立一套綜合的安全事件分析平臺，針對各類安全產品、業務數據、信息安全數據進行全面的收集，終結信息孤島現象。集合現有的安全產品的告警日志，應用系統的審計日志，建立異常行為分析的能力，結合攻擊鏈模型關聯分析多個階段的安全事件，避免單一安全設備產生的誤報和漏報，第一時間對安全問題進行實時的分析和告警，并形成趨勢和發展態勢，直觀的呈現出來，讓企業安全的領導者第一時間進行決策和判斷，有助于提升企業信息安全的整體防護水平。

3.2 開展核心資產的脆弱性梳理

加強對內部關鍵資產的梳理工作，并通過技術手段對資產的漏洞情況、配置情況、安全事件情況、基本屬性情況進行綜合的分析，以上述四個維度綜合分析資產的脆弱性問題，讓資產的風險和威脅提前暴露出來，讓資產的管理者第一時間知道哪些資產該進行加固，哪些資產正在遭受安全風險，減少人員技術操作的漏洞和誤操作問題，加強資產的安全管理，提升企業基礎設施的安全加固。

3.3 深入開展信息系統的精細化管理

深入開展信息系統的精細化管理，專人負責專項系統的各類安全管理，加強信息安全專項檢查，指定信息系統檢查和管理的規范，并利用可落地的工具如綜合事件管理平臺明確檢查和分析的步驟和操作，使得信息系統的日常管理呈制度化、流程化、規范化，閉環處理所有信息安全事件，讓管理流程和制度有效的落地，提升企業信息安全運維能力。

3.4 逐步開展國產自主化應用，提升自主可控力

信息安全不是小問題，安全問題的分析尤為關鍵，網絡設備、硬件設備、操作系統以及安全分析平臺應實現自主可控原則，探索自主信息安全分析和保障的產品和體系，提升信息系統的自主可控力。

4 結語

金融企業在互聯網的作用下發展成為一種新興的業態形式，金融企業在發展的同時需要保持積極的態度，不斷的進行創新，以促進其繁榮發展。同時，也需要對其行業所具有的信息安全風險問題制定相應的監督管理措施，保障其長遠的發展。金融企業只有時刻保持信息安全隱患的警惕，才能夠獲得信息安全管理的主動權，以此來規避金融企業的信息安全風險問題，使其能夠更加健康、持續的發展，創造更多的收益。

參考文獻

[1]戚小光，許玉敏，韓菲等，“心臟出血”漏洞的危害、應對及影響[J].信息安全與通信保密，2014 （05）： 60-62.