前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:網(wǎng)絡(luò)審計(jì) 歷史財(cái)務(wù)報(bào)表審計(jì) 信息安全管理 風(fēng)險(xiǎn)評(píng)估
一、引言
從審計(jì)的角度,風(fēng)險(xiǎn)評(píng)估是現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的核心理念。無(wú)論是在歷史財(cái)務(wù)報(bào)表審計(jì)還是在網(wǎng)絡(luò)審計(jì)中,現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)均要求審計(jì)師在執(zhí)行審計(jì)工作過(guò)程中應(yīng)以風(fēng)險(xiǎn)評(píng)估為中心,通過(guò)對(duì)被審計(jì)單位及其環(huán)境的了解,評(píng)估確定被審計(jì)單位的高風(fēng)險(xiǎn)領(lǐng)域,從而確定審計(jì)的范圍和重點(diǎn),進(jìn)一步?jīng)Q定如何收集、收集多少和收集何種性質(zhì)的證據(jù),以便更有效地控制和提高審計(jì)效果及審計(jì)效率。從企業(yè)管理的角度,企業(yè)風(fēng)險(xiǎn)管理將風(fēng)險(xiǎn)評(píng)估作為其基本的要素之一進(jìn)行規(guī)范,要求企業(yè)在識(shí)別和評(píng)估風(fēng)險(xiǎn)可能對(duì)企業(yè)產(chǎn)生影響的基礎(chǔ)上,采取積極的措施來(lái)控制風(fēng)險(xiǎn),降低風(fēng)險(xiǎn)為企業(yè)帶來(lái)?yè)p失的概率或縮小損失程度來(lái)達(dá)到控制目的。信息安全風(fēng)險(xiǎn)評(píng)估作為企業(yè)風(fēng)險(xiǎn)管理的一部分,是企業(yè)信息安全管理的基礎(chǔ)和關(guān)鍵環(huán)節(jié)。盡管如此,風(fēng)險(xiǎn)評(píng)估在網(wǎng)絡(luò)審計(jì)、歷史財(cái)務(wù)報(bào)表審計(jì)和企業(yè)信息安全管理等工作中的運(yùn)用卻不盡相同,本文在分析計(jì)算機(jī)信息系統(tǒng)環(huán)境下所有特定風(fēng)險(xiǎn)和網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)基本要素的基礎(chǔ)上,從風(fēng)險(xiǎn)評(píng)估中應(yīng)關(guān)注的風(fēng)險(xiǎn)范圍、風(fēng)險(xiǎn)評(píng)估的目的、內(nèi)容、程序及實(shí)施流程等內(nèi)容展開(kāi),將網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)和信息安全管理的風(fēng)險(xiǎn)評(píng)估進(jìn)行對(duì)比分析,以期深化對(duì)網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)評(píng)估的理解。
二、網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估比較
(一)審計(jì)風(fēng)險(xiǎn)要素根據(jù)美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)的第47號(hào)審計(jì)標(biāo)準(zhǔn)說(shuō)明中的審計(jì)風(fēng)險(xiǎn)模型,審計(jì)風(fēng)險(xiǎn)又由固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)構(gòu)成。其中,固有風(fēng)險(xiǎn)是指不考慮被審計(jì)單位相關(guān)的內(nèi)部控制政策或程序的情況下,其財(cái)務(wù)報(bào)表某項(xiàng)認(rèn)定產(chǎn)生重大錯(cuò)報(bào)的可能性;控制風(fēng)險(xiǎn)是被審計(jì)單位內(nèi)部控制未能及時(shí)防止或發(fā)現(xiàn)財(cái)務(wù)報(bào)表上某項(xiàng)錯(cuò)報(bào)或漏報(bào)的可能性;檢查風(fēng)險(xiǎn)是審計(jì)人員通過(guò)預(yù)定的審計(jì)程序未能發(fā)現(xiàn)被審計(jì)單位財(cái)務(wù)報(bào)表上存在重大錯(cuò)報(bào)或漏報(bào)的可能性。在網(wǎng)絡(luò)審計(jì)中,審計(jì)風(fēng)險(xiǎn)仍然包括固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)要素,但其具體內(nèi)容直接受計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下信息系統(tǒng)特定風(fēng)險(xiǎn)的影響。計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的應(yīng)用能提高企業(yè)經(jīng)營(yíng)活動(dòng)的效率,為企業(yè)的經(jīng)營(yíng)管理帶來(lái)很大的優(yōu)越性,但同時(shí)也為企業(yè)帶來(lái)了一些新的風(fēng)險(xiǎn)。這些新的風(fēng)險(xiǎn)主要表現(xiàn)為:(1)數(shù)據(jù)與職責(zé)過(guò)于集中化。由于手工系統(tǒng)中的職責(zé)分工、互相牽制等控制措施都被歸并到計(jì)算機(jī)系統(tǒng)自動(dòng)處理過(guò)程中去了,這些集中的數(shù)據(jù)庫(kù)技術(shù)無(wú)疑會(huì)增加數(shù)據(jù)縱和破壞的風(fēng)險(xiǎn)。(2)系統(tǒng)程序易于被非法調(diào)用甚至遭到篡改。由于計(jì)算機(jī)系統(tǒng)有較高的技術(shù)要求,非專業(yè)人員難以察覺(jué)計(jì)算機(jī)舞弊的線索,這加大了數(shù)據(jù)被非法使用的可能性。如經(jīng)過(guò)批準(zhǔn)的系統(tǒng)使用人員濫用系統(tǒng),或者說(shuō),企業(yè)對(duì)接近信息缺乏控制使得重要的數(shù)據(jù)或程序被盜竊等。(3)錯(cuò)誤程序的風(fēng)險(xiǎn),例如程序中的差錯(cuò)反復(fù)和差錯(cuò)級(jí)聯(lián)、數(shù)據(jù)處理不合邏輯、甚至是程序本身存在錯(cuò)誤等。(4)信息系統(tǒng)缺乏應(yīng)用的審計(jì)接口,使得審計(jì)人員在審計(jì)工作中難以有效地采集或獲取企業(yè)信息系統(tǒng)中的數(shù)據(jù),從而無(wú)法正常開(kāi)展審計(jì)工作。(5)網(wǎng)絡(luò)系統(tǒng)在技術(shù)和商業(yè)上的風(fēng)險(xiǎn),如計(jì)算機(jī)信息系統(tǒng)所依賴的硬件設(shè)備可能出現(xiàn)一些不可預(yù)料的故障,或者信息系統(tǒng)所依賴的物理工作環(huán)境可能對(duì)整個(gè)信息系統(tǒng)的運(yùn)行效能帶來(lái)影響等。相對(duì)應(yīng)地,網(wǎng)絡(luò)審計(jì)的固有風(fēng)險(xiǎn)主要是指系統(tǒng)環(huán)境風(fēng)險(xiǎn),即財(cái)務(wù)電算化系統(tǒng)本身所處的環(huán)境引起的風(fēng)險(xiǎn),它可分為硬件環(huán)境風(fēng)險(xiǎn)和軟件環(huán)境風(fēng)險(xiǎn)??刂骑L(fēng)險(xiǎn)包括系統(tǒng)控制風(fēng)險(xiǎn)和財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn),其中,系統(tǒng)控制風(fēng)險(xiǎn)是指會(huì)計(jì)電算化系統(tǒng)的內(nèi)部控制不嚴(yán)密造成的風(fēng)險(xiǎn),財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)是指電磁性財(cái)務(wù)數(shù)據(jù)被篡改的可能性。檢查風(fēng)險(xiǎn)包括審計(jì)軟件風(fēng)險(xiǎn)和人員操作風(fēng)險(xiǎn),審計(jì)軟件風(fēng)險(xiǎn)是指計(jì)算機(jī)審計(jì)軟件本身缺陷原因造成的風(fēng)險(xiǎn),人員操作風(fēng)險(xiǎn)是指計(jì)算機(jī)審計(jì)系統(tǒng)的操作人員、技術(shù)人員和開(kāi)發(fā)人員等在工作中由于主觀或客觀原因造成的風(fēng)險(xiǎn)。
(二)風(fēng)險(xiǎn)評(píng)估目的無(wú)論在網(wǎng)絡(luò)審計(jì)還是歷史財(cái)務(wù)報(bào)表審計(jì)中,風(fēng)險(xiǎn)評(píng)估只是審計(jì)的一項(xiàng)重要程序,貫穿于審計(jì)的整個(gè)過(guò)程。與其他審計(jì)程序緊密聯(lián)系而不是一項(xiàng)獨(dú)立的活動(dòng)。盡管如此,兩者所關(guān)注的風(fēng)險(xiǎn)范圍則有所不同。歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估要求審計(jì)人員主要關(guān)注的是被審計(jì)單位的重大錯(cuò)報(bào)風(fēng)險(xiǎn)――財(cái)務(wù)報(bào)表在審計(jì)前存在重大錯(cuò)報(bào)的可能性。由于網(wǎng)絡(luò)審計(jì)的審計(jì)對(duì)象包括被審計(jì)單位基于網(wǎng)絡(luò)的財(cái)務(wù)信息和網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)兩類,因此審計(jì)人員關(guān)注的風(fēng)險(xiǎn)應(yīng)是被審計(jì)單位經(jīng)營(yíng)過(guò)程中與該兩類審計(jì)對(duì)象相關(guān)的風(fēng)險(xiǎn)。(1)對(duì)于與企業(yè)網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)相關(guān)的風(fēng)險(xiǎn),審計(jì)人員應(yīng)該從信息系統(tǒng)生命周期的各個(gè)階段和信息系統(tǒng)的各組成部分及運(yùn)行環(huán)境兩方面出發(fā)進(jìn)行評(píng)估。信息系統(tǒng)生命周期是指該信息系統(tǒng)從產(chǎn)生到完成乃至進(jìn)入維護(hù)的各個(gè)階段及其活動(dòng),無(wú)論是在早期的線性開(kāi)發(fā)模型中還是在更為復(fù)雜的螺旋式等模型中,一個(gè)信息系統(tǒng)的生命周期大都包括規(guī)劃和啟動(dòng)、設(shè)計(jì)開(kāi)發(fā)或采購(gòu)、集成實(shí)現(xiàn)、運(yùn)行和維護(hù)、廢棄等五個(gè)基本階段。由于信息系統(tǒng)在不同階段的活動(dòng)內(nèi)容不同,企業(yè)在不同階段的控制目標(biāo)和控制行為也會(huì)有所不同,因此,審計(jì)人員的風(fēng)險(xiǎn)評(píng)估應(yīng)該貫穿于信息系統(tǒng)的整個(gè)生命周期。信息系統(tǒng)的組成部分是指構(gòu)成該信息系統(tǒng)的硬件、軟件及數(shù)據(jù)等,信息系統(tǒng)的運(yùn)行環(huán)境是指信息系統(tǒng)正常運(yùn)行使用所依托的物理和管理平臺(tái)。具體可將其分為五個(gè)層面:物理層,即信息系統(tǒng)運(yùn)行所必備的機(jī)房、設(shè)備、辦公場(chǎng)所、系統(tǒng)線路及相關(guān)環(huán)境;網(wǎng)絡(luò)層,即信息系統(tǒng)所需的網(wǎng)絡(luò)架構(gòu)的安全情況、網(wǎng)絡(luò)設(shè)備的漏洞情況、網(wǎng)絡(luò)設(shè)備配置的缺陷情況等;系統(tǒng)層,即信息系統(tǒng)本身的漏洞情況、配置的缺陷情況;應(yīng)用層,即信息系統(tǒng)所使用的應(yīng)用軟件的漏洞情況、安全功能缺陷情況;管理層,即被審計(jì)單位在該信息系統(tǒng)的運(yùn)行使用過(guò)程中的組織、策略、技術(shù)管理等方面的情況。(2)對(duì)于與企業(yè)基于網(wǎng)絡(luò)的財(cái)務(wù)信息相關(guān)的風(fēng)險(xiǎn),審計(jì)人員應(yīng)著重關(guān)注財(cái)務(wù)信息的重大錯(cuò)報(bào)風(fēng)險(xiǎn)和信息的安全風(fēng)險(xiǎn)。重大錯(cuò)報(bào)風(fēng)險(xiǎn)主要指被審計(jì)單位基于網(wǎng)絡(luò)的相關(guān)財(cái)務(wù)信息存在重大錯(cuò)報(bào)的可能性,它是針對(duì)企業(yè)借助于網(wǎng)絡(luò)信息系統(tǒng)或網(wǎng)絡(luò)技術(shù)對(duì)有關(guān)賬戶、交易或事項(xiàng)進(jìn)行確認(rèn)、計(jì)量或披露而言。網(wǎng)絡(luò)審計(jì)中關(guān)注的重大錯(cuò)報(bào)風(fēng)險(xiǎn)與傳統(tǒng)審CtT的內(nèi)涵基本上是一致的,審計(jì)人員在審計(jì)時(shí)應(yīng)當(dāng)考慮被審計(jì)單位的行業(yè)狀況、經(jīng)營(yíng)性質(zhì)、法律及監(jiān)管環(huán)境、會(huì)計(jì)政策和會(huì)計(jì)方法的選用、財(cái)務(wù)業(yè)績(jī)的衡量和評(píng)價(jià)等方面的情況對(duì)財(cái)務(wù)信息錯(cuò)報(bào)可能的影響。信息安全風(fēng)險(xiǎn)涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風(fēng)險(xiǎn),主要針對(duì)企業(yè)利用信息系統(tǒng)或一定的網(wǎng)絡(luò)平臺(tái)來(lái)存儲(chǔ)、傳輸、披露相關(guān)財(cái)務(wù)信息而言。在審計(jì)過(guò)程中,審eta員應(yīng)當(dāng)主要關(guān)注相關(guān)財(cái)務(wù)信息被盜用、非法攻擊或篡改及非法使用的可能性。當(dāng)然,這兩類風(fēng)險(xiǎn)并非完全分離的,評(píng)估時(shí)審計(jì)人員應(yīng)將兩者結(jié)合起來(lái)考慮。
(三)風(fēng)險(xiǎn)評(píng)估內(nèi)容 廣泛意義的風(fēng)險(xiǎn)評(píng)估是指考慮潛在事件對(duì)目標(biāo)實(shí)現(xiàn)的影響程度。由于網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)風(fēng)險(xiǎn)評(píng)估的目的并不完全相同,因此兩者在風(fēng)險(xiǎn)評(píng)估的內(nèi)容上也是存在區(qū)別的??偟膩?lái)說(shuō),網(wǎng)絡(luò)審計(jì)的風(fēng)險(xiǎn)評(píng)估內(nèi)容比歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估內(nèi)容更廣泛和深入。根據(jù)《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211號(hào)――了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)
險(xiǎn)》,在歷史財(cái)務(wù)報(bào)表審計(jì)中,審計(jì)人員的風(fēng)險(xiǎn)評(píng)估應(yīng)以了解被審計(jì)單位及其環(huán)境為內(nèi)容。為識(shí)別和評(píng)價(jià)重大錯(cuò)報(bào)風(fēng)險(xiǎn),審計(jì)人員了解的具體內(nèi)容包括被審計(jì)單位所在行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素、被審計(jì)單位的性質(zhì)、被審計(jì)單位對(duì)會(huì)計(jì)政策的選擇和運(yùn)用、被審計(jì)單位的目標(biāo)、戰(zhàn)略以及相關(guān)經(jīng)營(yíng)風(fēng)險(xiǎn)、被審計(jì)單位財(cái)務(wù)業(yè)績(jī)的衡量和評(píng)價(jià)及被審it@位的內(nèi)部控制等。在網(wǎng)絡(luò)審計(jì)中。為了識(shí)別和評(píng)估上文所述的兩類風(fēng)險(xiǎn),審計(jì)人員除了從以上方面了解被審計(jì)單位及其環(huán)境外,還應(yīng)該關(guān)注其他相關(guān)的潛在事件及其影響,尤其是企業(yè)的財(cái)務(wù)信息系統(tǒng)及基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能面l臨的威脅或存在的脆弱點(diǎn)。其中,威脅是指對(duì)信息系統(tǒng)及財(cái)務(wù)信息構(gòu)成潛在破壞的可能性因素或者事件,它可能是一些如工作人員缺乏責(zé)任心、專業(yè)技能不足或惡意篡改等人為因素,也可能是一些如灰塵、火災(zāi)或通訊線路故障等環(huán)境因素。脆弱點(diǎn)是指信息系統(tǒng)及基于網(wǎng)絡(luò)的財(cái)務(wù)信息所存在的薄弱環(huán)節(jié),它是系統(tǒng)或網(wǎng)絡(luò)財(cái)務(wù)信息本身固有的,包括物理環(huán)境、組織、過(guò)程、人員、管理、配置、硬軟件及信息等各方面的弱點(diǎn)。一般來(lái)說(shuō),脆弱點(diǎn)本身不會(huì)帶來(lái)?yè)p失或信息錯(cuò)報(bào),威脅卻總是要利用網(wǎng)絡(luò)、系統(tǒng)的弱點(diǎn)來(lái)成功地引起破壞。因此,我們認(rèn)為網(wǎng)絡(luò)審計(jì)申風(fēng)險(xiǎn)評(píng)估的內(nèi)容應(yīng)包括以下幾方面:(1)識(shí)別被審計(jì)單位財(cái)務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能面臨的威脅,并分析威脅發(fā)生的可能性;(2)識(shí)別被審計(jì)單位財(cái)務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能存在的脆弱點(diǎn),并分析脆弱點(diǎn)的嚴(yán)重程度;(3)根據(jù)威脅發(fā)生的可能性和脆弱點(diǎn)發(fā)生的嚴(yán)重程度,判斷風(fēng)險(xiǎn)發(fā)生的可能性;(4)根據(jù)風(fēng)險(xiǎn)發(fā)生的可能性,評(píng)價(jià)風(fēng)險(xiǎn)對(duì)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能帶來(lái)的影響;(5)若被審計(jì)單位存在風(fēng)險(xiǎn)防范或化解措施,審計(jì)人員在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)還應(yīng)該考慮相應(yīng)措施的可行性及有效性。
(四)風(fēng)險(xiǎn)評(píng)估程序《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211-----了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》中要求,審計(jì)人員應(yīng)當(dāng)實(shí)施詢問(wèn)、分析程序、觀察和檢查等程序,以獲取被審計(jì)單位的信息,進(jìn)而評(píng)估被審計(jì)單位的重大錯(cuò)報(bào)風(fēng)險(xiǎn)。這些程序同樣適用于網(wǎng)絡(luò)審計(jì)中的風(fēng)險(xiǎn)評(píng)估。但在具體運(yùn)用時(shí)網(wǎng)絡(luò)審計(jì)中更加注重了解和分析被審計(jì)單位與信息系統(tǒng)及網(wǎng)絡(luò)技術(shù)使用相關(guān)的事項(xiàng)。在實(shí)施詢問(wèn)程序時(shí),審計(jì)人員的詢問(wèn)對(duì)象圍繞信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可大致分為管理人員、系統(tǒng)開(kāi)發(fā)和維護(hù)人員(或信息編制人員)、系統(tǒng)使用人員(或信息的內(nèi)部使用人員)、系統(tǒng)或網(wǎng)絡(luò)技術(shù)顧問(wèn)及其他外部相關(guān)人員(如律師)等五類,分別從不同角度了解信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能存在的威脅和脆弱點(diǎn)。在實(shí)施分析程序時(shí),除了研究財(cái)務(wù)數(shù)據(jù)及與財(cái)務(wù)信息相關(guān)的非財(cái)務(wù)數(shù)據(jù)可能的異常趨勢(shì)外,審計(jì)人員應(yīng)格外關(guān)注對(duì)信息系統(tǒng)及網(wǎng)絡(luò)的特性情況,被審計(jì)單位對(duì)信息系統(tǒng)的使用情況等內(nèi)容的分析比較。實(shí)施觀察和檢查時(shí),除執(zhí)行常規(guī)程序外,審計(jì)人員應(yīng)注意觀察信息系統(tǒng)的操作使用和檢查信息系統(tǒng)文檔。除此之外,針對(duì)特定系統(tǒng)或網(wǎng)絡(luò)技術(shù)風(fēng)險(xiǎn)的評(píng)估,審計(jì)人員還需要實(shí)施一些特定的程序。技術(shù)方面如IOS取樣分析、滲透測(cè)試、工具掃描、安全策略分析等;管理方面如風(fēng)險(xiǎn)問(wèn)卷調(diào)查、風(fēng)險(xiǎn)顧問(wèn)訪談、風(fēng)險(xiǎn)策略分析、文檔審核等。其中,IDS取樣分析是指通過(guò)在核心網(wǎng)絡(luò)采樣監(jiān)聽(tīng)通信數(shù)據(jù)方式,獲取網(wǎng)絡(luò)中存在的攻擊和蠕蟲(chóng)行為,并對(duì)通信流量進(jìn)行分析;滲透測(cè)試是指在獲取用戶授權(quán)后,通過(guò)真實(shí)模擬黑客使用的工具、方法來(lái)進(jìn)行實(shí)際漏洞發(fā)現(xiàn)和利用的安全測(cè)試方法;工具掃描是指通過(guò)評(píng)估工具軟件或?qū)S冒踩u(píng)估系統(tǒng)自動(dòng)獲取評(píng)估對(duì)象的脆弱性信息,包括主機(jī)掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫(kù)掃描等,用于分析系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)設(shè)備存在的常見(jiàn)漏洞。風(fēng)險(xiǎn)問(wèn)卷調(diào)查與風(fēng)險(xiǎn)顧問(wèn)訪談要求審計(jì)人員分別采用問(wèn)卷和面談的方式向有關(guān)主體了解被審計(jì)單位的風(fēng)險(xiǎn)狀況,使用時(shí)關(guān)鍵是要明確問(wèn)卷或訪談的對(duì)象情況風(fēng)險(xiǎn)策略分析要求審計(jì)人員對(duì)企業(yè)所設(shè)定的風(fēng)險(xiǎn)管理和應(yīng)對(duì)策略的有效性進(jìn)行分析,進(jìn)而評(píng)價(jià)企業(yè)相關(guān)風(fēng)險(xiǎn)發(fā)生的概率以及可能帶來(lái)的損失;文檔審核是一種事前評(píng)價(jià)方法,屬于前置軟件測(cè)試的一部分,主要包括需求文檔測(cè)試和設(shè)計(jì)文檔測(cè)試。這些特定程序主要是針對(duì)被審計(jì)單位信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)方面進(jìn)行評(píng)價(jià),審計(jì)人員在具體使用時(shí)應(yīng)結(jié)合被審計(jì)單位的業(yè)務(wù)性質(zhì)選擇合適的程序。
三、網(wǎng)絡(luò)審計(jì)與信息安全管理的風(fēng)險(xiǎn)評(píng)估比較
(一)風(fēng)險(xiǎn)評(píng)估的目的信息安全管理中的風(fēng)險(xiǎn)評(píng)估(即信息安全風(fēng)險(xiǎn)評(píng)估)是指根據(jù)國(guó)家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn),對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評(píng)價(jià)的過(guò)程。作為信息安全保障體系建立過(guò)程中的重要的評(píng)價(jià)方法和決策機(jī)制,信息安全風(fēng)險(xiǎn)評(píng)估是企業(yè)管理的組成部分,它具有規(guī)劃、組織、協(xié)調(diào)和控制等管理的基本特征,其主要目的在于從企業(yè)內(nèi)部風(fēng)險(xiǎn)管理的角度,在系統(tǒng)分析和評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性及帶來(lái)的損失的基礎(chǔ)上,提出有針對(duì)性的防護(hù)和整改措施,將企業(yè)面臨或遭遇的風(fēng)險(xiǎn)控制在可接受水平,最大限度地保證組織的信息安全。而網(wǎng)絡(luò)審計(jì)是由獨(dú)立審計(jì)人員向企業(yè)提供的一項(xiàng)鑒證服務(wù),其風(fēng)險(xiǎn)評(píng)估的目的在于識(shí)別和評(píng)價(jià)潛在事件對(duì)被審計(jì)單位基于網(wǎng)絡(luò)的財(cái)務(wù)信息的合法性、公允性以及網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)的合規(guī)性、可靠性和有效性的影響程度,從而指導(dǎo)進(jìn)一步審計(jì)程序。因此,兩者風(fēng)險(xiǎn)評(píng)估的目的是不一樣。從評(píng)估所應(yīng)關(guān)注的風(fēng)險(xiǎn)范圍來(lái)看,兩者具有一致性,即都需要考慮與信息系統(tǒng)和信息相關(guān)的風(fēng)險(xiǎn)。但是,具體的關(guān)注邊界則是不一樣的。信息安全風(fēng)險(xiǎn)評(píng)估要評(píng)估企業(yè)資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性,并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響,它要求評(píng)估人員關(guān)注與企業(yè)整個(gè)信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險(xiǎn),包括實(shí)體安全風(fēng)險(xiǎn)、數(shù)據(jù)安全風(fēng)險(xiǎn)、軟件安全風(fēng)險(xiǎn)、運(yùn)行安全風(fēng)險(xiǎn)等。網(wǎng)絡(luò)審計(jì)中,審計(jì)人員是對(duì)被審計(jì)單位的網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息發(fā)表意見(jiàn),因此,風(fēng)險(xiǎn)評(píng)估時(shí)審計(jì)人員主要關(guān)注的是與企業(yè)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息相關(guān)的風(fēng)險(xiǎn),而不是與企業(yè)的整個(gè)信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險(xiǎn)。根據(jù)評(píng)估實(shí)施者的不同,信息安全風(fēng)險(xiǎn)評(píng)估形式包括自評(píng)估和他評(píng)估。自評(píng)估是由組織自身對(duì)所擁有的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng);他評(píng)估通常是由組織的上級(jí)主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的,旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的具有強(qiáng)制意味的檢查。自評(píng)估和他評(píng)估都可以通過(guò)風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)進(jìn)行咨詢、服務(wù)、培訓(xùn)以及風(fēng)險(xiǎn)評(píng)估有關(guān)工具的提供。因此。對(duì)審計(jì)人員而言,受托執(zhí)行的信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)歸屬于管理咨詢類,即屬于非鑒證業(yè)務(wù),與網(wǎng)絡(luò)審計(jì)嚴(yán)格區(qū)分開(kāi)來(lái)。
(二)風(fēng)險(xiǎn)評(píng)估的內(nèi)容在我國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局的《信息安全風(fēng)險(xiǎn)評(píng)估指南》(征求意見(jiàn)稿)國(guó)家標(biāo)準(zhǔn)中,它將信息安全風(fēng)險(xiǎn)評(píng)估的內(nèi)容分為兩部分:基本要素和相關(guān)屬性,提出信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)圍繞其基本要素展開(kāi),并充分考慮與這些基本要素相關(guān)的其他屬性。其中,風(fēng)險(xiǎn)評(píng)估的基本要素包括資產(chǎn)、脆弱性、威脅、風(fēng)險(xiǎn)和安全措施;相關(guān)屬性包括業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等。在此基礎(chǔ)上的風(fēng)險(xiǎn)計(jì)算過(guò)程是:(1)對(duì)信息資產(chǎn)進(jìn)行識(shí)別,并對(duì)資產(chǎn)賦值;(2)對(duì)威脅進(jìn)行分析,并對(duì)威
脅發(fā)生的可能性賦值;(3)識(shí)別信息資產(chǎn)的脆弱性,并對(duì)弱點(diǎn)的嚴(yán)重程度賦值;(4)根據(jù)威脅和脆弱性計(jì)算安全事件發(fā)生的可能性;(5)根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用的資產(chǎn)的價(jià)值計(jì)算安全事件造成的損失;(6)根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失,計(jì)算安全事件一旦發(fā)生對(duì)組織的影響,即風(fēng)險(xiǎn)值。結(jié)合上文網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)評(píng)估五個(gè)方面的內(nèi)容可以看出,網(wǎng)絡(luò)審計(jì)和信息安全風(fēng)險(xiǎn)評(píng)估在內(nèi)容上有相近之處,即都需要針對(duì)信息系統(tǒng)和信息可能面臨的威脅和存在的脆弱點(diǎn)進(jìn)行識(shí)別。但是,信息安全管理作為企業(yè)的一項(xiàng)內(nèi)部管理,其風(fēng)險(xiǎn)評(píng)估工作需要從兩個(gè)層次展開(kāi):一是評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性及其影響;二是提出防護(hù)或整改措施以控制風(fēng)險(xiǎn)。第一個(gè)層次的工作實(shí)質(zhì)上是為第二層次工作服務(wù)的,其重點(diǎn)在第二層次?!缎畔踩L(fēng)險(xiǎn)評(píng)估指南》(征求意見(jiàn)稿)提出,企業(yè)在確定出風(fēng)險(xiǎn)水平后,應(yīng)對(duì)不可接受的風(fēng)險(xiǎn)選擇適當(dāng)?shù)奶幚矸绞郊翱刂拼胧?,并形成風(fēng)險(xiǎn)處理計(jì)劃。其中,風(fēng)險(xiǎn)處理的方式包括回避風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn),而控制措施的選擇應(yīng)兼顧管理和技術(shù),考慮企業(yè)發(fā)展戰(zhàn)略、企業(yè)文化、人員素質(zhì),并特別關(guān)注成本與風(fēng)險(xiǎn)的平衡。網(wǎng)絡(luò)審計(jì)的風(fēng)險(xiǎn)評(píng)估工作主要集中在第一個(gè)層次,即審計(jì)人員通過(guò)風(fēng)險(xiǎn)評(píng)估,為進(jìn)一步審計(jì)中做出合理的職業(yè)判斷、有效地實(shí)施網(wǎng)絡(luò)審計(jì)程序和實(shí)現(xiàn)網(wǎng)絡(luò)審計(jì)目標(biāo)提供重要基礎(chǔ)。因此,兩者的評(píng)估內(nèi)容是存在區(qū)別的。
關(guān)鍵詞:網(wǎng)絡(luò); 信息安全; 組織因素; 系統(tǒng)
中圖分類號(hào):TP393.08文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):16727800(2011)012014102
作者簡(jiǎn)介:黃勇(1971-),男,湖南長(zhǎng)沙人,廣州涉外經(jīng)濟(jì)職業(yè)技術(shù)學(xué)院信息學(xué)院講師、網(wǎng)絡(luò)工程師,研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)技術(shù)。1網(wǎng)絡(luò)信息安全的組織因素分析
1.1組織目標(biāo)
組織目標(biāo)是組織期望達(dá)到的一種狀態(tài),它是組織所有成員的行動(dòng)指南,是組織進(jìn)行決策、協(xié)調(diào)、考核、效率評(píng)價(jià)的主要依據(jù),同時(shí)它對(duì)組織中的成員具有激勵(lì)作用。影響組織目標(biāo)的主要因素有:(1)網(wǎng)絡(luò)信息安全目標(biāo)。組織中的信息安全目標(biāo)是組織追求和實(shí)現(xiàn)高績(jī)效目標(biāo)的子目標(biāo)之一,組織只有達(dá)到了信息安全目標(biāo),才能真正確保實(shí)現(xiàn)組織的高績(jī)效目標(biāo);(2)信息安全目標(biāo)的優(yōu)先次序。組織目標(biāo)的優(yōu)先次序是指當(dāng)組織存在諸多目標(biāo)時(shí),首先需要確定優(yōu)勢(shì)目標(biāo),有了優(yōu)勢(shì)目標(biāo)才能形成優(yōu)勢(shì)動(dòng)機(jī)。如果不能形成優(yōu)勢(shì)目標(biāo),則會(huì)分散組織的注意力,影響組織目標(biāo)的實(shí)現(xiàn),甚至使組織產(chǎn)生安全隱患。
1.2組織結(jié)構(gòu)
組織結(jié)構(gòu)組織內(nèi)部協(xié)調(diào)和分工的基本形式,是組織正式確定的使工作分解、組合和協(xié)調(diào)的基本框架體系。組織結(jié)構(gòu)主要由組織內(nèi)部的各個(gè)要素組成,如組織人員、職位、責(zé)任、協(xié)同、關(guān)系、信息和目的等等。組織結(jié)構(gòu)能否有效運(yùn)行就取決于組織內(nèi)部各個(gè)要素之間能否合理配置、充分協(xié)調(diào)、以及組織與所處的環(huán)境的適應(yīng)程度。組織結(jié)構(gòu)對(duì)于維持組織安全、可靠、有效的行動(dòng)和控制整個(gè)組織的運(yùn)作有著非常重要的影響,直接影響了組織目標(biāo)能否順利實(shí)現(xiàn)。網(wǎng)絡(luò)信息系統(tǒng)中的安全問(wèn)題與組織結(jié)構(gòu)存在密切聯(lián)系,合理的信息安全組織結(jié)構(gòu)是確保組織網(wǎng)絡(luò)信息安全管理的前提。
網(wǎng)絡(luò)信息系統(tǒng)組織結(jié)構(gòu):①信息安全工作組織:主要負(fù)責(zé)信息安全工作,設(shè)置組織的信息安全管理部門(mén)和網(wǎng)絡(luò)管理部門(mén);②職責(zé)與權(quán)力:為了增強(qiáng)組織網(wǎng)絡(luò)信息系統(tǒng)的安全性,組織就要嚴(yán)格劃分和明確規(guī)定員工的職責(zé)并授予權(quán)限;③交流:通過(guò)交流可以把組織中的員工聯(lián)系起來(lái),調(diào)動(dòng)員工的積極性和協(xié)調(diào)能力,更有利于組織目標(biāo)的實(shí)現(xiàn);④資源:網(wǎng)絡(luò)信息安全離不開(kāi)設(shè)備和技術(shù),提高網(wǎng)絡(luò)信息的安全性需要不斷的開(kāi)發(fā)新技術(shù)和更新或升級(jí)通信設(shè)備,這些都需要組織提供充足的人力資源、財(cái)力資源、物資資源和時(shí)間資源的支持。
1.3組織管理
組織管理是組織為實(shí)現(xiàn)組織目標(biāo)而實(shí)施的控制、計(jì)劃、指揮、協(xié)調(diào)、監(jiān)督等系列過(guò)活動(dòng)。網(wǎng)絡(luò)信息安全工作中的組織管理包括: 建立安全制度、制訂安全策略、規(guī)范安全行為、監(jiān)督管理的執(zhí)行等方面。
(1)建立安全制度。組織制定網(wǎng)絡(luò)建設(shè)方案、信息安全保密規(guī)定、機(jī)房管理制度、口令管理制度、用戶上網(wǎng)使用手冊(cè)、網(wǎng)絡(luò)安全指南、系統(tǒng)操作規(guī)程、安全防護(hù)記錄、應(yīng)急響應(yīng)方案等一系列的信息安全制度,主要為保證網(wǎng)絡(luò)信息系統(tǒng)安全、可靠地運(yùn)作。
(2)制訂安全策略。安全策略是企業(yè)整體的安全思想和觀念的宏觀反映,安全策略對(duì)于組織的網(wǎng)絡(luò)信息安全有重要作用,在它的指導(dǎo)下,組織開(kāi)展信息安全建設(shè)和后續(xù)工作。隨著網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)應(yīng)用技術(shù)的不斷發(fā)展,安全策略的制訂和實(shí)施已經(jīng)成為一個(gè)動(dòng)態(tài)的延續(xù)過(guò)程。
(3)規(guī)范安全行為。組織往往通過(guò)網(wǎng)絡(luò)通信安全規(guī)程來(lái)規(guī)范員工行為,規(guī)程主要基于具體的任務(wù)和功能的分析,通過(guò)識(shí)別、開(kāi)發(fā)、審核、執(zhí)行、驗(yàn)證等循環(huán)往復(fù)過(guò)程建立起來(lái),它規(guī)范了組織員工開(kāi)展某一項(xiàng)活動(dòng)或工作的行為。
(4)監(jiān)督管理。主要針對(duì)組織信息安全相關(guān)的工作環(huán)節(jié)和重要步驟增強(qiáng)監(jiān)管力度,對(duì)操作中可能出現(xiàn)的偏差和疏忽實(shí)施合理監(jiān)督,確保正確的操作,以降低信息安全隱患。
1.4安全文化
組織文化是組織成員共奉的價(jià)值觀、態(tài)度以及內(nèi)隱的行為規(guī)范。安全文化是組織文化的有機(jī)組成部分,它通常被定義為安全價(jià)值觀與安全行為的總和。良好安全文化能有效的降低組織的事故發(fā)生率,因此,形成了良好的安全文化氛圍會(huì)將直接影響著網(wǎng)絡(luò)信息的安全。具體相關(guān)因素包括:
(1)網(wǎng)絡(luò)安全文化。組織員工的安全意識(shí)與組織的網(wǎng)絡(luò)安全文化有著必然聯(lián)系,組織員工只有形成“安全第一”的安全意識(shí),對(duì)于謹(jǐn)防工作中安全隱患,就會(huì)自愿的為了組織共同的安全目標(biāo)而交流溝通,會(huì)主動(dòng)加強(qiáng)工作中的監(jiān)督檢查,謹(jǐn)防將組織的重要信息泄露給競(jìng)爭(zhēng)對(duì)手。
(2)領(lǐng)導(dǎo)層對(duì)信息安全的意識(shí)和態(tài)度。如果組織領(lǐng)導(dǎo)對(duì)信息安全的重要性認(rèn)識(shí)越深刻,那么組織中的信息安全在組織工作中的地位就會(huì)越高,信息安全就會(huì)引起組織中更多成員的關(guān)注和重視。領(lǐng)導(dǎo)層對(duì)信息安全的意識(shí)和態(tài)度對(duì)組織網(wǎng)絡(luò)安全文化的形成有著重要的作用。
(3)員工間的和諧度。團(tuán)隊(duì)的和諧是保證安全的重要基礎(chǔ),如果組織成員對(duì)安全存在共識(shí),持一致態(tài)度,則全體員工在安全目標(biāo)、行為準(zhǔn)則方面保持一致,從而保障信息的安全,進(jìn)而實(shí)現(xiàn)系統(tǒng)和組織上的安全。
(4)組織成員對(duì)信息安全的意識(shí)和態(tài)度。
1.5培訓(xùn)
對(duì)培訓(xùn)的效果造成直接影響的主要包括:①培訓(xùn)的內(nèi)容:隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,信息安全教育培訓(xùn)的內(nèi)容也應(yīng)該隨著技術(shù)、環(huán)境的變化而更新,要使員工不斷增長(zhǎng)對(duì)新環(huán)境的適應(yīng)能力,對(duì)新問(wèn)題的辨別能力和解決問(wèn)題的能力,才能確保信息的安全;②培訓(xùn)的師資:參與信息安全培訓(xùn)的師資隊(duì)伍的素質(zhì),直接影響著教育與培訓(xùn)的效果。培訓(xùn)老師的目標(biāo)性、方向性,在保證培訓(xùn)系統(tǒng)的高效運(yùn)轉(zhuǎn)中起著重要作用。
2網(wǎng)絡(luò)信息安全管理的組織對(duì)策
2.1建立并完善信息安全風(fēng)險(xiǎn)制度
信息安全制度著重體現(xiàn):①風(fēng)險(xiǎn)管理的責(zé)任機(jī)制。將風(fēng)險(xiǎn)管理與組織成員的責(zé)任聯(lián)系起來(lái),在信息安全風(fēng)險(xiǎn)管理工作中,切實(shí)執(zhí)行責(zé)任制,不斷增強(qiáng)組織上至各級(jí)領(lǐng)導(dǎo),下至普通員工的風(fēng)險(xiǎn)責(zé)任意識(shí),將信息安全風(fēng)險(xiǎn)管理合理分工,執(zhí)行信息安全風(fēng)險(xiǎn)管理措施,保證信息安全風(fēng)險(xiǎn)管理工作有序開(kāi)展;②風(fēng)險(xiǎn)管理的預(yù)防機(jī)制。預(yù)防機(jī)制是風(fēng)險(xiǎn)管理的核心內(nèi)容,風(fēng)險(xiǎn)管理要重視事前管理,事前對(duì)信息系統(tǒng)涉及的關(guān)鍵環(huán)節(jié)和重要部門(mén)進(jìn)行嚴(yán)格的風(fēng)險(xiǎn)評(píng)估、檢查工作,得出準(zhǔn)確的風(fēng)險(xiǎn)報(bào)告;③風(fēng)險(xiǎn)管理的應(yīng)急機(jī)制。有效的應(yīng)急機(jī)制是降低和化解此類風(fēng)險(xiǎn)的必備手段,針對(duì)關(guān)鍵的應(yīng)用系統(tǒng)群組,乃至針對(duì)整個(gè)數(shù)據(jù)中心的突發(fā)事件必須具有可操作性很強(qiáng)的應(yīng)急方案,并且還要有成熟的應(yīng)急反應(yīng)體系 能在事件發(fā)生之時(shí),合理決策、落實(shí)執(zhí)行應(yīng)急方案;④風(fēng)險(xiǎn)管理的通報(bào)機(jī)制。實(shí)施信息安全的風(fēng)險(xiǎn)管理通報(bào)機(jī)制,對(duì)于尚未出現(xiàn)的問(wèn)題有一個(gè)警示作用,它能對(duì)行業(yè)的經(jīng)驗(yàn)教訓(xùn)及時(shí)總結(jié),讓組織認(rèn)識(shí)風(fēng)險(xiǎn)隱患,盡早發(fā)現(xiàn)類似風(fēng)險(xiǎn),快速采取有針對(duì)性的事前防范措施。
2.2制定信息安全的管理策略
(1)風(fēng)險(xiǎn)評(píng)估和預(yù)警策略。采用科學(xué)的分析方法,對(duì)系統(tǒng)存在的不同頻度的風(fēng)險(xiǎn)定期作系統(tǒng)評(píng)估工作,以定量與定性的評(píng)估方法,探測(cè)風(fēng)險(xiǎn)的來(lái)源以及風(fēng)險(xiǎn)的大小。
(2)風(fēng)險(xiǎn)規(guī)避策略。通過(guò)降低風(fēng)險(xiǎn)發(fā)生的可能性和降低風(fēng)險(xiǎn)發(fā)生后的影響等手段,努力在風(fēng)險(xiǎn)發(fā)生前規(guī)避風(fēng)險(xiǎn)或降低風(fēng)險(xiǎn)大小,并對(duì)整改成果進(jìn)行再評(píng)估。
(3)應(yīng)急管理策略。經(jīng)過(guò)系統(tǒng)風(fēng)險(xiǎn)評(píng)估,針對(duì)評(píng)估結(jié)果存在的安全隱患,制定應(yīng)急預(yù)案,通過(guò)有效的應(yīng)急處置,爭(zhēng)取在風(fēng)險(xiǎn)事件發(fā)生后快速地恢復(fù)生產(chǎn)運(yùn)行,控制風(fēng)險(xiǎn)的影響范圍和影響程度。
(4)風(fēng)險(xiǎn)管理策略。對(duì)于涉及信息安全風(fēng)險(xiǎn)管理的組織內(nèi)部架構(gòu)和對(duì)外客戶端可能存在的風(fēng)險(xiǎn),制定一系列的規(guī)章和規(guī)范,防范內(nèi)部風(fēng)險(xiǎn)。
2.3強(qiáng)化信息安全的監(jiān)督管理
信息安全的監(jiān)督對(duì)杜絕違規(guī)、違章操作、發(fā)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)隱患、及時(shí)整改、督促組織建立健全各項(xiàng)安全規(guī)章制度,落實(shí)各項(xiàng)信息安全防范措施具有重大作用。具體包括:①信息系統(tǒng)投產(chǎn)上線管理操作規(guī)范;②信息系統(tǒng)管理維護(hù)操作規(guī)范;③信息系統(tǒng)變更管理操作規(guī)范;④信息系統(tǒng)訪問(wèn)控制管理操作規(guī)范;⑤信息系統(tǒng)運(yùn)營(yíng)環(huán)境管理操作規(guī)范;⑥信息系統(tǒng)業(yè)務(wù)連續(xù)性管理操作規(guī)范;⑦信息系統(tǒng)運(yùn)營(yíng)服務(wù)外包管理操作規(guī)范。參考文獻(xiàn):
[1]楊旭.計(jì)算機(jī)網(wǎng)絡(luò)信息安全技術(shù)研究[D].南京:南京理工大學(xué),2008.
[2]王以群,程,張力.網(wǎng)絡(luò)信息安全中的人因失誤分析[J].情報(bào)學(xué),2007(11).
[3]楊月江,劉士杰,耿子林.網(wǎng)絡(luò)安全管理的分析與研究[J].商場(chǎng)現(xiàn)代化,2008(1).
[4]張力,王以群,鄧志良.復(fù)雜人-機(jī)系統(tǒng)中的人因失誤[J].安全科學(xué)學(xué)報(bào),1996(6).
[5]姜婷婷.淺談我國(guó)網(wǎng)絡(luò)信息安全保險(xiǎn)的開(kāi)發(fā)[J].情報(bào)理論與實(shí)踐,2003(4).
[6]劉繪珍.影響復(fù)雜人機(jī)系統(tǒng)安全的組織因素分析[D].衡陽(yáng):南華大學(xué),2007.
[7]劉繪珍,張力,張玉玲,等.影響系統(tǒng)安全的組織因素分類分析[J].核動(dòng)力工程,2009(4).
[8]胡泉軍.信息安全管理中的組織管理失誤[D].衡陽(yáng):南華大學(xué),2009.
關(guān)鍵字:風(fēng)險(xiǎn),風(fēng)險(xiǎn)分析
1.引言
隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,其開(kāi)放性,共享性,互連程度擴(kuò)大,網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來(lái)越大。而網(wǎng)絡(luò)安全問(wèn)題顯得越來(lái)越重要了。網(wǎng)絡(luò)有其脆弱性,并會(huì)受到一些威脅。而風(fēng)險(xiǎn)分析是建立網(wǎng)絡(luò)防護(hù)系統(tǒng),實(shí)施風(fēng)險(xiǎn)管理程序所開(kāi)展的一項(xiàng)基礎(chǔ)性工作。風(fēng)險(xiǎn)管理的目的是為確保通過(guò)合理步驟,以防止所有對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅的事件發(fā)生。網(wǎng)絡(luò)的安全威脅與網(wǎng)絡(luò)的安全防護(hù)措施是交互出現(xiàn)的。不適當(dāng)?shù)木W(wǎng)絡(luò)安全防護(hù),不僅可能不能減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn),浪費(fèi)大量的資金,而且可能招致更大的安全威脅。因此,周密的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析,是可靠,有效的安全防護(hù)措施制定的必要前提。網(wǎng)絡(luò)風(fēng)險(xiǎn)分析應(yīng)該在網(wǎng)絡(luò)系統(tǒng),應(yīng)用程序或信息數(shù)據(jù)庫(kù)的設(shè)計(jì)階段進(jìn)行,這樣可以從設(shè)計(jì)開(kāi)始就明確安全需求,確認(rèn)潛在的損失。因?yàn)樵谠O(shè)計(jì)階段實(shí)現(xiàn)安全控制要遠(yuǎn)比在網(wǎng)絡(luò)系統(tǒng)運(yùn)行后采取同樣的控制要節(jié)約的多。即使認(rèn)為當(dāng)前的網(wǎng)絡(luò)系統(tǒng)分析建立的十分完善,在建立安全防護(hù)時(shí),風(fēng)險(xiǎn)分析還是會(huì)發(fā)現(xiàn)一些潛在的安全問(wèn)題。
一般來(lái)說(shuō),計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題,計(jì)算機(jī)系統(tǒng)本身的脆弱性和通信設(shè)施脆弱性共同構(gòu)成了計(jì)算機(jī)網(wǎng)絡(luò)的潛在威脅。一方面,計(jì)算機(jī)系統(tǒng)硬件和通信設(shè)施極易遭受到自然環(huán)境因素的影響(如:溫度,濕度,灰塵度和電磁場(chǎng)等的影響)以及自然災(zāi)害(如:洪水,地震等)和人為(包括故意破壞和非故意破壞)的物理破壞;另一方面計(jì)算機(jī)內(nèi)的軟件資源和數(shù)據(jù)信息易受到非法的竊取,復(fù)制,篡改和毀壞等攻擊;同時(shí)計(jì)算機(jī)系統(tǒng)的硬件,軟件的自然損耗和自然失效等同樣會(huì)影響系統(tǒng)的正常工作,造成計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)信息的損壞,丟失和安全事故。
通過(guò)結(jié)合對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的特點(diǎn)進(jìn)行分析,綜合起來(lái),從安全威脅的形式劃分得出了主要風(fēng)險(xiǎn)因素。
風(fēng)險(xiǎn)因素主要有:自然因素,物理破壞,系統(tǒng)不可用,備份數(shù)據(jù)的丟失,信息泄漏等因素
2.古典的風(fēng)險(xiǎn)分析
基本概念:
風(fēng)險(xiǎn):風(fēng)險(xiǎn)就是一個(gè)事件產(chǎn)生我們所不希望的后果的可能性。風(fēng)險(xiǎn)分析要包括發(fā)生的可能性和它所產(chǎn)生的后果的大小兩個(gè)方面。因此風(fēng)險(xiǎn)可表示為事件發(fā)生的概率及其后果的函數(shù):
風(fēng)險(xiǎn)R=ƒ(p,c)
其中p為事件發(fā)生的概率,c為事件發(fā)生的后果。
風(fēng)險(xiǎn)分析:就是要對(duì)風(fēng)險(xiǎn)的辨識(shí),估計(jì)和評(píng)價(jià)做出全面的,綜合的分析,其主要組成為:
1.風(fēng)險(xiǎn)的辨識(shí),也就是那里有風(fēng)險(xiǎn),后果如何,參數(shù)變化?
2.風(fēng)險(xiǎn)評(píng)估,也就是概率大小及分布,后果大?。?/p>
風(fēng)險(xiǎn)管理:
風(fēng)險(xiǎn)管理是指對(duì)風(fēng)險(xiǎn)的不確定性及可能性等因素進(jìn)行考察、預(yù)測(cè)、收集、分析的基礎(chǔ)上制定的包括識(shí)別風(fēng)險(xiǎn)、衡量風(fēng)險(xiǎn)、積極管理風(fēng)險(xiǎn)、有效處置風(fēng)險(xiǎn)及妥善處理風(fēng)險(xiǎn)等一整套系統(tǒng)而科學(xué)的管理方法,旨在使企業(yè)避免和減少風(fēng)險(xiǎn)損失,得到長(zhǎng)期穩(wěn)定的發(fā)展。
3.網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析
本文采用的風(fēng)險(xiǎn)分析方法是專家評(píng)判的方法。由于網(wǎng)絡(luò)的脆弱性以及對(duì)網(wǎng)絡(luò)的威脅,因此網(wǎng)絡(luò)中就存在風(fēng)險(xiǎn)。根據(jù)古典的風(fēng)險(xiǎn)分析,則網(wǎng)絡(luò)中的風(fēng)險(xiǎn)與風(fēng)險(xiǎn)因素發(fā)生的概率和相應(yīng)的影響有關(guān)。而概率可以通過(guò)統(tǒng)計(jì)的方法來(lái)得到,影響可以通過(guò)專家的評(píng)判方法來(lái)得到。因此,風(fēng)險(xiǎn)R=P(概率)*F(影響)
這時(shí),風(fēng)險(xiǎn)分析的過(guò)程包括:統(tǒng)計(jì)概率,評(píng)估影響,然后評(píng)估風(fēng)險(xiǎn)。然后根據(jù)風(fēng)險(xiǎn)分析的大小來(lái)管理風(fēng)險(xiǎn)。
1統(tǒng)計(jì)概率
通俗的說(shuō),概率是單位時(shí)間內(nèi)事件發(fā)生的次數(shù)。按每年事件發(fā)生的次數(shù)來(lái)統(tǒng)計(jì)概率。
2影響的評(píng)估
首先對(duì)上述5個(gè)因素確定權(quán)重W,按照模糊數(shù)學(xué)的方法將每個(gè)因素劃分為五個(gè)等級(jí):很低,低,中等,高,很高。并給出每個(gè)等級(jí)的分?jǐn)?shù)C(1.2,3.6,7),根據(jù)各個(gè)專家對(duì)每個(gè)因素的打分計(jì)算出每個(gè)因素的分?jǐn)?shù)C,再將W與C相乘,累計(jì)求和ΣWC,讓F=ΣWC此值即因素的影響的大小。
風(fēng)險(xiǎn)因素權(quán)重的確定方法如下:
設(shè)影響的n個(gè)因素為A1,A2,…,An,參加評(píng)判的專家m人。對(duì)n個(gè)因素,先找出最重要因素和最不重要因素,并按層次分析方法(AHP)中1-9的標(biāo)度和標(biāo)準(zhǔn)確定兩者的比率。
將5個(gè)因素按重要程度從小到大排序,以最不重要因素為基準(zhǔn)(賦值為1),將各個(gè)因素與其比較。按重要程度進(jìn)行賦值(按AHP法中的標(biāo)度和標(biāo)準(zhǔn))。
將m個(gè)專家對(duì)n個(gè)因素所賦的分為r塊,分別記為A[1],A[2],…,A[r]。其中矩陣A[k]的行表示以Ak為最不重要因素的專家數(shù),記作mk。列表示將因素Ak作為基準(zhǔn),對(duì)n個(gè)因素A1,A2,…,An所賦的值。具體形式為:
AAA…A…..A
A[k]=(1)
其中
a=1,1<=a<=9,Σm=m(i=1,2,…,m;j=1,2,…,n)
對(duì)于分塊矩陣A[k],因各因素賦值均以Ak為基準(zhǔn),從而可對(duì)A[k]中各列分別求平均值
a=Σa/mj=1,2,…,n(2)
對(duì)所有分塊矩陣作上述處理,可分別得到(A1,A2,…,Ar)。
對(duì)于每個(gè)分塊矩陣A[k](k=1,2,…,r);因行數(shù)不同,其在專家數(shù)m中的所占的比重也不同,因而需考慮mk在m中所占的比重,稱mk/m為ajk的權(quán)系數(shù)。
由以上分析可得因素Aj的綜合賦值。
A=Σa*m/mj=1,2,…,n(3)
由(1)-(3)式即可得m個(gè)專家對(duì)n因素的綜合賦值。由綜合賦值aj中求出最小值amin和最大值amax,令其所對(duì)應(yīng)的下標(biāo)分別為m和M,即am=amin,aM=amax。
1.1制定風(fēng)險(xiǎn)管理計(jì)劃
制定風(fēng)險(xiǎn)管理計(jì)劃是保障電力系統(tǒng)信息化建設(shè)的首要工作,其指導(dǎo)管理部門(mén)識(shí)別、分析、監(jiān)控和應(yīng)對(duì)風(fēng)險(xiǎn),并為風(fēng)險(xiǎn)管理安排資源和時(shí)間。在對(duì)權(quán)衡了風(fēng)險(xiǎn)對(duì)項(xiàng)目的影響后,編制出恰當(dāng)?shù)娘L(fēng)險(xiǎn)管理計(jì)劃,為風(fēng)險(xiǎn)管理預(yù)計(jì)了時(shí)間表和費(fèi)用,將風(fēng)險(xiǎn)管理計(jì)劃納入項(xiàng)目計(jì)劃,把管理費(fèi)用納入成本計(jì)劃。
1.2進(jìn)行風(fēng)險(xiǎn)識(shí)別
所謂風(fēng)險(xiǎn)識(shí)別就是考慮一下哪些風(fēng)險(xiǎn)會(huì)對(duì)項(xiàng)目造成影響、風(fēng)險(xiǎn)的主要形成因素及其可能造成的后果的過(guò)程。例如,可以利用信息收集技術(shù),采用頭腦風(fēng)暴、專家判斷等方法,根據(jù)不同風(fēng)險(xiǎn)情況進(jìn)行記錄,形成了詳細(xì)的風(fēng)險(xiǎn)列表。
1.3展開(kāi)風(fēng)險(xiǎn)分析
對(duì)風(fēng)險(xiǎn)的分析包括兩個(gè)方面,定性分析和定量分析。每個(gè)信息化建設(shè)項(xiàng)目在前期都要先識(shí)別出的進(jìn)度風(fēng)險(xiǎn)、技術(shù)風(fēng)險(xiǎn)和團(tuán)隊(duì)風(fēng)險(xiǎn),利用概率/影響矩陣,并聽(tīng)取業(yè)務(wù)專家和技術(shù)專家的意見(jiàn),在全面考慮后劃分風(fēng)險(xiǎn)優(yōu)先級(jí),就是所謂的風(fēng)險(xiǎn)定性分析。與之相對(duì)應(yīng),風(fēng)險(xiǎn)定量分析是在風(fēng)險(xiǎn)定性分析基礎(chǔ)上,對(duì)風(fēng)險(xiǎn)影響和后果進(jìn)行量化,為風(fēng)險(xiǎn)應(yīng)對(duì)提供依據(jù)的過(guò)程,借此方式充分估算各風(fēng)險(xiǎn)對(duì)項(xiàng)目成本、進(jìn)度和質(zhì)量可能形成的具體影響程度,更新和改善了風(fēng)險(xiǎn)記錄。
1.4嚴(yán)格風(fēng)險(xiǎn)監(jiān)控
風(fēng)險(xiǎn)監(jiān)控工作也是電力系統(tǒng)信息化建設(shè)中不容忽視的一項(xiàng)內(nèi)容。概括來(lái)說(shuō),風(fēng)險(xiǎn)監(jiān)控就是監(jiān)督風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃執(zhí)行情況,監(jiān)視已識(shí)別風(fēng)險(xiǎn),跟蹤殘余風(fēng)險(xiǎn),識(shí)別新風(fēng)險(xiǎn),管理變更,從而支持項(xiàng)目實(shí)現(xiàn)和維持基線完整性的過(guò)程。
2電力系統(tǒng)信息化建設(shè)風(fēng)險(xiǎn)管理策略
2.1編制一致的電力行業(yè)標(biāo)準(zhǔn)
標(biāo)準(zhǔn)的建立要接軌國(guó)際,響應(yīng)國(guó)家政策。要以目前國(guó)際上最先進(jìn)、最成熟的信息技術(shù)標(biāo)準(zhǔn)體系作為參考,以《國(guó)家電網(wǎng)公司“十一五”信息發(fā)展規(guī)劃》為指導(dǎo),充分結(jié)合我國(guó)電力系統(tǒng)信息化的實(shí)際情況,編制出一套科學(xué)的信息化標(biāo)準(zhǔn)體系。
2.2構(gòu)建一致的信息化平臺(tái)
針對(duì)各部門(mén)之間軟件失調(diào)的問(wèn)題,構(gòu)建統(tǒng)一的信息化平臺(tái)不失為一個(gè)恰當(dāng)?shù)慕鉀Q方式。這樣的平臺(tái)能夠解決信息孤島、軟件兼容和溝通問(wèn)題??梢詫ⅰ癝G186”工程作為契機(jī),對(duì)現(xiàn)有各信息管理平臺(tái)、軟件、系統(tǒng)進(jìn)行整合,盡早實(shí)現(xiàn)整個(gè)電力企業(yè)的數(shù)據(jù)信息、集成應(yīng)用、電力服務(wù)一體化。
2.3促進(jìn)各個(gè)系統(tǒng)有機(jī)結(jié)合
目前,各個(gè)系統(tǒng)之間結(jié)合的優(yōu)勢(shì)越來(lái)越明顯,以生產(chǎn)系統(tǒng)與電力營(yíng)銷系統(tǒng)結(jié)合為例,生產(chǎn)系統(tǒng)中遇到的多種故障停電、計(jì)劃?rùn)z修停電,都會(huì)對(duì)營(yíng)銷產(chǎn)生影響,相應(yīng)的營(yíng)銷的業(yè)擴(kuò)報(bào)裝也需要電力生產(chǎn)的配合,這些事情此前都是要人工進(jìn)行的,而此時(shí)卻可以直接獲得,在節(jié)省時(shí)間的同時(shí)形成了簡(jiǎn)單、快捷、便利的工作模式,非常有利于系統(tǒng)的高效運(yùn)作。在以生產(chǎn)系統(tǒng)與管理系統(tǒng)結(jié)合為例,生產(chǎn)系統(tǒng)的數(shù)據(jù)為管理系統(tǒng)的正確決策提供支持,相應(yīng)轉(zhuǎn)變?yōu)楹侠砀咝У闹甘局笇?dǎo)生產(chǎn)系統(tǒng)的工作。
2.4加強(qiáng)數(shù)據(jù)的深層挖掘研究和應(yīng)用
目前已建設(shè)完成和即將建設(shè)的信息化平臺(tái)中,都整合了生產(chǎn)、銷售等部門(mén)獲得的多項(xiàng)業(yè)務(wù)的第一手資料,同時(shí)也將涵蓋很多系統(tǒng)以外所提供的公共服務(wù),例如天氣預(yù)測(cè),公共交通等。龐大的信息都將給分析決策創(chuàng)造條件。值得注意的是,隨著信息量劇增,如何有效的管理利用這些信息成為了新的問(wèn)題。經(jīng)過(guò)多年的現(xiàn)實(shí)經(jīng)驗(yàn),意識(shí)到唯有結(jié)合先進(jìn)的信息存取機(jī)制和數(shù)據(jù)挖掘技術(shù),才能真正有效地為電力系統(tǒng)服務(wù)。與此同時(shí),必須考慮的是如何將原本的數(shù)據(jù)、經(jīng)過(guò)提取分析處理的數(shù)據(jù)真正的用于指導(dǎo)生產(chǎn)、營(yíng)銷、管理,將信息轉(zhuǎn)變?yōu)檎鎸?shí)的行動(dòng)和生產(chǎn),變?yōu)閷?shí)際的生產(chǎn)力。
2.5提高信息化網(wǎng)絡(luò)安全
要想讓電力系統(tǒng)信息化建設(shè)風(fēng)險(xiǎn)管理適應(yīng)電力企業(yè)網(wǎng)絡(luò)的特點(diǎn),在進(jìn)行網(wǎng)絡(luò)安全的建設(shè)時(shí)務(wù)必考慮多方因素,包括安全層次、技術(shù)難度及經(jīng)費(fèi)支出等。因此,電力企業(yè)的網(wǎng)絡(luò)安全一定要全面考慮以下要求:
(1)保持原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),為系統(tǒng)結(jié)構(gòu)及功能的擴(kuò)展做好準(zhǔn)備;
(2)保持網(wǎng)絡(luò)原有的性能特點(diǎn),也就是對(duì)網(wǎng)絡(luò)協(xié)議和傳輸具有很好的透明性;
(3)提高系統(tǒng)的安全性和可靠性固然重要,但是同時(shí)不應(yīng)影響原有操作的便利性;
(4)保證較低的維護(hù)量和網(wǎng)絡(luò)管理工作量,運(yùn)用較少的人員長(zhǎng)期工作量;
(5)確保一次性投資,可長(zhǎng)期使用,需要投入較低的維護(hù)費(fèi)用。
3結(jié)論
隨著計(jì)算機(jī)網(wǎng)絡(luò)的技術(shù)的迅猛發(fā)展以及移動(dòng)互聯(lián)的全球化,Internet已經(jīng)和現(xiàn)今的各行各業(yè)相互契合,而組織業(yè)務(wù)相關(guān)的信息系統(tǒng)已經(jīng)成為組織行業(yè)信息賴以生存的“朋友”。移動(dòng)互聯(lián)的信息安全問(wèn)題逐漸走入人們眼中。信息系統(tǒng)的安全問(wèn)題是的對(duì)于一個(gè)組織有著重要的戰(zhàn)略意義。本文立足于當(dāng)今信息安全現(xiàn)狀,例數(shù)當(dāng)今信息系統(tǒng)的安全問(wèn)題,對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)管理方法進(jìn)行研究,并針對(duì)信息系統(tǒng)安全問(wèn)題給出針對(duì)性建議。
關(guān)鍵詞:
信息系統(tǒng)安全;信息系統(tǒng)管理;計(jì)算機(jī)尖端科技
目前,世界各國(guó)經(jīng)濟(jì)都在迅速發(fā)展,經(jīng)濟(jì)全球化的進(jìn)程逐漸加快,伴隨著經(jīng)濟(jì)的推進(jìn),尖端科技迅猛發(fā)展。因此,電腦逐漸走進(jìn)了各家各戶,移動(dòng)互聯(lián)正在改變?nèi)藗兊纳罘绞健S?jì)算機(jī)網(wǎng)絡(luò)技術(shù)的優(yōu)越性使得人們對(duì)計(jì)算機(jī)網(wǎng)絡(luò)愈來(lái)愈“信賴”。然而隨之產(chǎn)生的便是用戶的網(wǎng)絡(luò)信息泄露事件。計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題已經(jīng)受到了更多人的重視。所以,對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)管理方法的研究有著鮮明的現(xiàn)實(shí)意義。
1信息系統(tǒng)安全風(fēng)險(xiǎn)管理方法研究
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不突破何如普及,極大的方便著人們的生活和學(xué)習(xí),而且正在慢慢的改變?nèi)藗兊纳罘绞?。目?計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)已經(jīng)被應(yīng)用到軍事科技當(dāng)中,中增強(qiáng)著我國(guó)國(guó)防力量。使得未來(lái)戰(zhàn)爭(zhēng)真正的實(shí)現(xiàn)“兵不血刃”。與此同時(shí),信息系統(tǒng)的安全問(wèn)題會(huì)“威脅”著國(guó)家的經(jīng)濟(jì)建設(shè),和國(guó)防建設(shè)。所以這一切都表明了信息系統(tǒng)安全問(wèn)題是一個(gè)國(guó)家安全建設(shè)的基礎(chǔ),是國(guó)家社會(huì)發(fā)展和建設(shè)的保障。而信息系統(tǒng)的安全成為了信息化革命的基本。甚至可以說(shuō),信息系統(tǒng)安全問(wèn)題關(guān)系著國(guó)家安全,民族發(fā)展是全人民的的頭等大事。信息系統(tǒng)安全計(jì)劃建設(shè)是了一個(gè)國(guó)家和民族的戰(zhàn)略性目標(biāo),已經(jīng)是不爭(zhēng)的事實(shí)。
2信息系統(tǒng)的信息安全現(xiàn)狀
當(dāng)今社會(huì)信息系統(tǒng)安全問(wèn)題不容樂(lè)觀,信息系統(tǒng)面臨著嚴(yán)峻的安全風(fēng)險(xiǎn)。根據(jù)調(diào)查來(lái)看,每年的重大信息系統(tǒng)安全事件正在逐年增加。信息系統(tǒng)安全問(wèn)題主要包含以下兩大方面:一是由于現(xiàn)今科技技術(shù)的不完善性和局限性,使得信息系統(tǒng)在構(gòu)建之初便存在著漏洞,導(dǎo)致信息系統(tǒng)“脆弱”。二是現(xiàn)實(shí)社會(huì)中的各種經(jīng)濟(jì)斗爭(zhēng)和利益斗爭(zhēng),使得原本的信息系統(tǒng)漏洞被“開(kāi)發(fā)利用”。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)是一個(gè)復(fù)雜的大系統(tǒng),它是由眾多的代碼、硬件、軟件、協(xié)議所共同組成。在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不完善和設(shè)計(jì)人員思想局限性的前提下,使得信息安全系統(tǒng)在構(gòu)建的時(shí)候會(huì)出現(xiàn)不可避免的漏洞。例如,計(jì)算機(jī)網(wǎng)絡(luò)中一個(gè)操作系統(tǒng)需要幾千幾萬(wàn)的代碼組成,甚至更多。為滿足用戶的各種需要,設(shè)計(jì)的技術(shù)復(fù)雜性逐漸增多。據(jù)調(diào)查在繁瑣的計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)時(shí),很可能一千行代碼中便會(huì)存在一個(gè)錯(cuò)誤。因此,信息系統(tǒng)的漏洞越來(lái)越多,越來(lái)越嚴(yán)重。另一方面,“黑客”作為一種“文化現(xiàn)象”一直伴隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展而發(fā)展。并且隨著人們之間的利益沖突不斷加劇,使得黑客的惡意攻擊事件愈演愈劣。此外,根據(jù)調(diào)查顯示,在攻擊技術(shù)復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò)時(shí),黑客相對(duì)應(yīng)需要的知識(shí)卻越來(lái)越少[1]。
3信息系統(tǒng)風(fēng)險(xiǎn)管理的目的和作用
信息系統(tǒng)安全是目前全世界所面臨的重大問(wèn)題。雖然,信息安全問(wèn)題具有著普遍性,但是同時(shí)因?yàn)樗奶厥庑?使得我們不得不重視。信息系統(tǒng)的安全管理已經(jīng)不再是“0”和“1”之間的問(wèn)題。我們不斷的探索,為了找到一個(gè)更好的信息系統(tǒng)安全管理方法。我們希望新的信息系統(tǒng)安全管理方法可以改變現(xiàn)今網(wǎng)絡(luò)安全的現(xiàn)狀,并且讓更多的人可以更好的享受計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)帶來(lái)的方便。計(jì)算機(jī)網(wǎng)絡(luò)在人們的生活和學(xué)習(xí)中有著重要的的作用,在國(guó)家建設(shè)上有著重要的地位,信息系統(tǒng)的安全管理的研究,我們旨在便利更多的人民群眾,更好的建設(shè)國(guó)家,為祖國(guó)的建設(shè)作出貢獻(xiàn)。我們要做到防患于未然,讓國(guó)家和人民免于信息系統(tǒng)安全問(wèn)題的威脅。由此我們可以得出這樣的結(jié)論:風(fēng)險(xiǎn)管理是信息系統(tǒng)安全管理方法的新模式,而最佳的信息系統(tǒng)安全保障方法就是對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)管理。
4信息系統(tǒng)風(fēng)險(xiǎn)管理的趨勢(shì)
縱觀世界,信息系統(tǒng)安全風(fēng)險(xiǎn)管理的經(jīng)歷了技術(shù),技術(shù)與管理相結(jié)合的階段。當(dāng)前,在信息安全保障意識(shí)的前提下,還在不斷的深入完善。如何將傳統(tǒng)的風(fēng)險(xiǎn)管理理論和實(shí)際相結(jié)合并更好的應(yīng)用于信息安全管理領(lǐng)域,是全世界面臨的一個(gè)尚未解決的問(wèn)題。
5信息安全風(fēng)險(xiǎn)管理理論基礎(chǔ)
信息安全風(fēng)險(xiǎn)管理研究的理論基礎(chǔ)大的方面是國(guó)家規(guī)定的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)管理法則,和現(xiàn)今的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)。小的方面是現(xiàn)今信息系統(tǒng)所具有的保密性、完整性、可用性、脆弱性。以及網(wǎng)絡(luò)信息系統(tǒng)面臨的威脅[2]。
6網(wǎng)絡(luò)信息系統(tǒng)風(fēng)險(xiǎn)管理的ISISRM管理方法
6.1ISISRM方法的基本思想
ISISRM方法體現(xiàn)的是“定制”思想,它具有較強(qiáng)的開(kāi)放性,在識(shí)別風(fēng)險(xiǎn)因素并進(jìn)行解決的同時(shí),它不會(huì)拘泥于單一的解決方法。它可以使風(fēng)險(xiǎn)管理過(guò)程和用戶使用目的緊密集合結(jié)合在一起,并且在風(fēng)險(xiǎn)評(píng)估時(shí)采用了“適度量化”的原則。在ISISRM方法的我研究中引用了經(jīng)濟(jì)管理學(xué)的知識(shí),它將不再只解決信息安全問(wèn)題,而是從用戶的角度上來(lái)說(shuō)變成了一種“投資”行為[3]。
6.2ISISRM方法的管理周期
按照ISISRM的設(shè)計(jì)邏輯,ISISRM的管理周期分為風(fēng)險(xiǎn)管理準(zhǔn)備階段、信息安全風(fēng)險(xiǎn)因素識(shí)別階段、信息安全風(fēng)險(xiǎn)分析和評(píng)估階段、信息系統(tǒng)安全保障分析階段、信息系統(tǒng)安全決策階段、信息安全風(fēng)險(xiǎn)動(dòng)態(tài)監(jiān)控階段。
7結(jié)語(yǔ)
計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)迅速發(fā)展,加速了社會(huì)信息化的進(jìn)程,使得人文建設(shè)與信息系統(tǒng)關(guān)系日益“親密”,但是隨之而來(lái)的信息安全問(wèn)題值得引起我們的重視,并讓我們花費(fèi)人力和物力進(jìn)行解決,它時(shí)刻的威脅著我們社會(huì)主義人文建設(shè)。所以我們應(yīng)該運(yùn)用ISISRM這樣的風(fēng)險(xiǎn)安全方法進(jìn)行信息系統(tǒng)安全的維護(hù)和改善。
作者:李響 王培凱 單位:安徽省蚌埠市固鎮(zhèn)縣公安局 安徽省蚌埠市五河縣公安局
參考文獻(xiàn)
[1]孫鵬鵬.信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)的研究與開(kāi)發(fā)[D].北京交通大學(xué),2007.
(一)采用系統(tǒng)的思想
網(wǎng)絡(luò)安全的建設(shè)是一個(gè)系統(tǒng)工程,它需要對(duì)影響信息系統(tǒng)安全的各種因素進(jìn)行綜合考慮,同時(shí)需要對(duì)信息系統(tǒng)運(yùn)行的全過(guò)程進(jìn)行綜合分析,實(shí)現(xiàn)預(yù)警、防護(hù)、恢復(fù)等網(wǎng)絡(luò)安全的全過(guò)程環(huán)節(jié)的無(wú)縫銜接;另一方面要充分考慮技術(shù)、管理、人員等影響網(wǎng)絡(luò)安全的主要因素,實(shí)現(xiàn)技術(shù)、管理、人員的協(xié)同作戰(zhàn)。
(二)強(qiáng)調(diào)風(fēng)險(xiǎn)管理
基于風(fēng)險(xiǎn)管理,體現(xiàn)預(yù)防控制為主的思想,強(qiáng)調(diào)全過(guò)程和動(dòng)態(tài)控制,確保信息的保密性、完整性和可用性,保持系統(tǒng)運(yùn)作的持續(xù)性。
(三)動(dòng)態(tài)的安全管理
公安信息網(wǎng)絡(luò)安全模型中的“動(dòng)態(tài)”網(wǎng)絡(luò)安全有兩個(gè)含義:一是整個(gè)網(wǎng)絡(luò)的安全目標(biāo)是動(dòng)態(tài)的,而不再是傳統(tǒng)的、一旦部署完畢就固定不變的,從而支持部分或者全網(wǎng)范圍內(nèi)安全級(jí)別的動(dòng)態(tài)調(diào)整;二是達(dá)到安全目標(biāo)的手段、途徑必須能夠根據(jù)周邊/內(nèi)部環(huán)境的變化進(jìn)行動(dòng)態(tài)調(diào)整。
二、基于策略的動(dòng)態(tài)安全管理模型的定義
基于上述指導(dǎo)思想,建立基于策略的動(dòng)態(tài)安全管理模型,主要包括四類要素:人員、管理、策略、流程(技術(shù)產(chǎn)品)。安全策略確定后,需要根據(jù)組織切實(shí)的安全需要,以上述定義的安全策略為基礎(chǔ),將安全周期內(nèi)各個(gè)階段的、反映不同安全需求的防護(hù)手段和實(shí)施方法以一種利于連動(dòng)的、協(xié)同的方式組織起來(lái),提高系統(tǒng)的安全性。總的指導(dǎo)原則是:第一,防護(hù)是基礎(chǔ),是基本條件,它包含了對(duì)系統(tǒng)的靜態(tài)保護(hù)措施,是保護(hù)信息系統(tǒng)必須實(shí)現(xiàn)的部分。第二,檢測(cè)和預(yù)測(cè)是手段,是擴(kuò)展條件,提供對(duì)系統(tǒng)的動(dòng)態(tài)監(jiān)測(cè)措施,是保護(hù)信息系統(tǒng)須擴(kuò)展實(shí)現(xiàn)的部分。第三,響應(yīng)是目標(biāo),是進(jìn)行安全控制和緩解入侵威脅的期望結(jié)果,反應(yīng)了系統(tǒng)的安全控制力度,是保護(hù)信息系統(tǒng)須優(yōu)先實(shí)現(xiàn)的部分。這些不同的安全技術(shù)和產(chǎn)品按照統(tǒng)一的策略集成在一起,保持防護(hù)、監(jiān)測(cè)、預(yù)警、恢復(fù)的動(dòng)態(tài)過(guò)程的無(wú)縫銜接,并隨著環(huán)境的變化而進(jìn)行適當(dāng)?shù)恼{(diào)整,這樣就能夠針對(duì)系統(tǒng)的薄弱環(huán)節(jié)有的放矢,有效防范,從而完善信息安全防護(hù)系統(tǒng)。
三、基于策略的動(dòng)態(tài)安全管理模型的實(shí)施過(guò)程
在公安信息安全管理體系的建立、實(shí)施和改進(jìn)的過(guò)程中引用PDCA(Plan-Do-Check-Act)模型,按照PDCA模型將信息安全管理體系分解成風(fēng)險(xiǎn)評(píng)估、安全設(shè)計(jì)與執(zhí)行、安全管理和再評(píng)估四個(gè)子過(guò)程。組織通過(guò)持續(xù)的執(zhí)行這些過(guò)程而使自身的信息安全水平得到不斷的提高。PDCA模型的主要過(guò)程如下:
(一)計(jì)劃(Plan)
計(jì)劃就是根據(jù)組織的業(yè)務(wù)目標(biāo)與安全要求,在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上,建立信息安全框架。包括下面三項(xiàng)主要工作:
1.明確安全目標(biāo),制定安全方針根據(jù)公安專用網(wǎng)絡(luò)信息安全需求及有關(guān)法律法規(guī)要求,制定信息安全方針、策略,通過(guò)風(fēng)險(xiǎn)評(píng)估建立控制目標(biāo)與控制方式,包括公安系統(tǒng)工程必要的過(guò)程與持續(xù)性計(jì)劃。
2.定義信息安全管理的范圍信息安全管理范圍的確定需要重點(diǎn)確定信息安全管理的領(lǐng)域,公安信息安全管理部門(mén)需要根據(jù)公安系統(tǒng)工程的實(shí)際情況,在整個(gè)金盾工程規(guī)劃中或者各業(yè)務(wù)部門(mén)構(gòu)架信息安全管理框架。
3.明確管理職責(zé)成立相應(yīng)的安全管理職能部門(mén),明確管理職責(zé),同時(shí)要對(duì)所有相關(guān)人員進(jìn)行信息安全策略的培訓(xùn),對(duì)信息安全負(fù)有特殊責(zé)任的人員要進(jìn)行特殊的培訓(xùn),以使信息安全方針真正植根于所有公安干警的腦海并落實(shí)到實(shí)際工作中。
(二)實(shí)施(Do)
實(shí)施過(guò)程就是按照所選定的控制目標(biāo)與方式進(jìn)行信息安全控制,即安全管理職能部門(mén)按照公安信息安全管理策略、程序、規(guī)章等規(guī)定的要求進(jìn)行信息安全管理實(shí)施。在實(shí)施過(guò)程中,以公安信息安全管理策略為核心,監(jiān)測(cè)、安全保護(hù)措施、風(fēng)險(xiǎn)評(píng)估、補(bǔ)救組成一個(gè)循環(huán)鏈,其中信息安全管理策略是保證整個(gè)安全系統(tǒng)能夠動(dòng)態(tài)、自適應(yīng)運(yùn)行的核心。
1.選擇安全策略根據(jù)公安業(yè)務(wù)目標(biāo)、公安信息安全管理目標(biāo)、公安信息安全管理指導(dǎo)方針選擇或制定信息安全策略。
2.部署安全策略對(duì)于高層策略,在此階段,首先應(yīng)將各種全局的高層策略規(guī)范編譯成低級(jí)(基本)策略。根據(jù)底層的服務(wù)或是應(yīng)用的要求將策略編譯成執(zhí)行組件可以理解的形式,針對(duì)特定類型的策略實(shí)施封裝具體實(shí)施策略所需的行為,封裝執(zhí)行策略所必需的實(shí)現(xiàn)代碼,這些代碼與底層實(shí)現(xiàn)有關(guān)。將策略分發(fā)并載入到相應(yīng)的策略實(shí)施中,繼而可以對(duì)策略對(duì)象執(zhí)行啟用、禁用、卸載等策略操作。
3.執(zhí)行安全策略(1)監(jiān)測(cè)。對(duì)公安信息系統(tǒng)進(jìn)行安全保護(hù)以后并不能完全消除信息安全風(fēng)險(xiǎn),所以要定期地監(jiān)控整個(gè)信息系統(tǒng)以發(fā)現(xiàn)不正常的活動(dòng)。(2)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估主要對(duì)公安信息安全管理范圍內(nèi)的數(shù)據(jù)信息進(jìn)行鑒定和估價(jià),然后對(duì)數(shù)據(jù)信息面對(duì)的各種威脅進(jìn)行評(píng)估,同時(shí)對(duì)已存在的或規(guī)劃的安全管理措施進(jìn)行鑒定。(3)公安信息安全風(fēng)險(xiǎn)處置。根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行相應(yīng)的風(fēng)險(xiǎn)處置,公安信息安全風(fēng)險(xiǎn)處置措施主要包括降低風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)、轉(zhuǎn)嫁風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)等,使得公安業(yè)務(wù)可以正常進(jìn)行,并重新進(jìn)行風(fēng)險(xiǎn)分析與評(píng)估,增加或更改原有的信息安全保護(hù)措施。在公安信息系統(tǒng)正常運(yùn)行時(shí),要定期地對(duì)系統(tǒng)進(jìn)行備份。(4)根據(jù)公安信息安全策略調(diào)整控制安全措施。由于信息安全是一個(gè)動(dòng)態(tài)的系統(tǒng)工程,安全管理職能部門(mén)應(yīng)實(shí)時(shí)對(duì)選擇的管理目標(biāo)和管理措施加以校驗(yàn)和調(diào)整,以適應(yīng)變化了的情況,使公安系統(tǒng)數(shù)據(jù)資源得到有效、經(jīng)濟(jì)、合理的保護(hù)。
(三)檢查(Check)
檢查就是根據(jù)安全目標(biāo)、安全標(biāo)準(zhǔn),審查變化中環(huán)境的風(fēng)險(xiǎn)水平,執(zhí)行內(nèi)部信息安全管理體系審計(jì),報(bào)告安全管理的有效性,在實(shí)踐中檢查制定的安全目標(biāo)是否合適、安全策略和控制手段是否能夠保證安全目標(biāo)的實(shí)現(xiàn),系統(tǒng)還有哪些漏洞。
(四)改進(jìn)(Action)
改進(jìn)就是對(duì)信息安全管理體系實(shí)行改進(jìn),以適應(yīng)環(huán)境的變化。改進(jìn)內(nèi)容包括三部分:一是系統(tǒng)的安全目標(biāo)、安全指導(dǎo)思想、安全管理制度、安全策略。二是安全技術(shù)手段的改進(jìn)。隨著安全技術(shù)和安全產(chǎn)品的改進(jìn),系統(tǒng)的安全技術(shù)手段也要不定期地更換。但更換后的安全技術(shù)手段仍然要遵循相應(yīng)的信息安全策略。三是對(duì)人員的改進(jìn)。安全管理措施和手段改進(jìn)后,要對(duì)民警要進(jìn)行安全教育與培訓(xùn),并根據(jù)民警的不同角色為其制定不同的安全職責(zé)和年度信息安全計(jì)劃,并按照計(jì)劃進(jìn)行工作,年底時(shí)要對(duì)安全計(jì)劃的執(zhí)行情況進(jìn)行檢查。
四、結(jié)束語(yǔ)
【關(guān)鍵詞】信息安全;風(fēng)險(xiǎn)管理;城域網(wǎng)
網(wǎng)絡(luò)安全是網(wǎng)絡(luò)時(shí)代的永恒話題,寬帶城域網(wǎng)的網(wǎng)絡(luò)安全是一項(xiàng)非常艱巨的任務(wù),它總是伴隨網(wǎng)絡(luò)技術(shù)的發(fā)展而不斷變化。要充分考慮網(wǎng)絡(luò)的整體安全性能,考慮設(shè)備容量及防攻擊的性能,有效實(shí)施設(shè)備相關(guān)安全特性,同時(shí)又要透過(guò)復(fù)雜的技術(shù)細(xì)節(jié),把復(fù)雜的網(wǎng)絡(luò)簡(jiǎn)單化,把握寬帶城域網(wǎng)的安全實(shí)質(zhì)關(guān)。只有建立全面的安全防護(hù)體系,才能向社會(huì)提供一個(gè)安全、高速、易用、智能化的網(wǎng)絡(luò)。
1、IP城域網(wǎng)的安全問(wèn)題
IP城域網(wǎng)中,網(wǎng)絡(luò)的各個(gè)層次承擔(dān)了不同的能,具有不同的特點(diǎn),通過(guò)分析各層的功能及特點(diǎn)得出對(duì)應(yīng)的安全問(wèn)題。要保證整網(wǎng)的安全就必須證各個(gè)層次上的安全。核心層是網(wǎng)絡(luò)的核心,要負(fù)責(zé)整個(gè)城域網(wǎng)網(wǎng)絡(luò)據(jù)包的快速交換、轉(zhuǎn)發(fā)并且完成與骨干網(wǎng)通信。核層具有節(jié)點(diǎn)數(shù)量少、業(yè)務(wù)容量大的特點(diǎn),一旦核心出現(xiàn)故障,將不能為整個(gè)城域網(wǎng)提供服務(wù),故在核層要求網(wǎng)絡(luò)結(jié)構(gòu)相對(duì)穩(wěn)定、業(yè)務(wù)可靠性、安全性要高。其存在的安全問(wèn)題有:由于核心節(jié)點(diǎn)和鏈路故而導(dǎo)致業(yè)務(wù)中斷;由于數(shù)據(jù)量大而造成網(wǎng)絡(luò)阻塞的題;路由的安全問(wèn)題;核心層設(shè)備自身受攻擊的問(wèn)題其常見(jiàn)的攻擊有:(1)源路由攻擊,報(bào)文發(fā)送方通在IP報(bào)文的Option域中指定該報(bào)文的路由,使報(bào)發(fā)往一些受保護(hù)的網(wǎng)絡(luò);(2)拒絕服務(wù)攻擊。危在于受攻擊后,網(wǎng)絡(luò)可用帶寬急劇下降,導(dǎo)致無(wú)法其它用戶提供正常的網(wǎng)絡(luò)服務(wù),SYNFlood攻擊是型的拒絕服務(wù)攻擊等。匯聚層提供流量控制和業(yè)務(wù)管理的功能,也是證城域網(wǎng)中承載網(wǎng)和業(yè)務(wù)安全的基本屏障,更是保城域網(wǎng)安全性能的關(guān)鍵。匯聚層面臨的安全問(wèn)主要是路由安全、各種異常流量、用戶業(yè)務(wù)的安全,及用戶訪問(wèn)的控制。接入層是面向用戶的外層網(wǎng)絡(luò),負(fù)責(zé)給用戶提安全高速的多業(yè)務(wù)服務(wù),其主要面臨的安全問(wèn)題是些基于二層協(xié)議的用戶攻擊行為和廣播風(fēng)暴等。
2、信息安全風(fēng)險(xiǎn)管理內(nèi)容和過(guò)程
信息安全風(fēng)險(xiǎn)管理是以風(fēng)險(xiǎn)為主線進(jìn)行信息安全的管理,它的實(shí)施目標(biāo)就是要依據(jù)安全標(biāo)準(zhǔn)和信息系統(tǒng)的安全需求,對(duì)信息、信息載體、信息環(huán)境進(jìn)行安全管理以達(dá)到安全目標(biāo)。它貫穿于整個(gè)信息系統(tǒng)生命周期,包括對(duì)象確立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制、審核批準(zhǔn)、監(jiān)控與審查和溝通與咨詢六個(gè)方面。其中對(duì)象確立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制和審核批準(zhǔn)是信息安全風(fēng)險(xiǎn)管理的四個(gè)基本步驟,監(jiān)控與審查、溝通與咨詢則貫穿于這四個(gè)基本步驟之中。對(duì)象確立根據(jù)要保護(hù)系統(tǒng)的業(yè)務(wù)目標(biāo)和特性,確定風(fēng)險(xiǎn)管理對(duì)象。風(fēng)險(xiǎn)分析針對(duì)確立的風(fēng)險(xiǎn)管理對(duì)象所面臨的風(fēng)險(xiǎn)進(jìn)行識(shí)別評(píng)價(jià)。風(fēng)險(xiǎn)控制依據(jù)風(fēng)險(xiǎn)分析的結(jié)果平衡安全風(fēng)險(xiǎn)與安全效益,選擇合適的安全措施。審核批準(zhǔn)包括審核和批準(zhǔn)兩個(gè)部分。這四個(gè)步驟貫穿于信息系統(tǒng)的整個(gè)生命周期,當(dāng)受保護(hù)系統(tǒng)的業(yè)務(wù)目標(biāo)和特性發(fā)生變化或面臨新風(fēng)險(xiǎn)時(shí),重新進(jìn)入上述四個(gè)步驟,形成新的一次循環(huán),使所保護(hù)的系統(tǒng)在自身和環(huán)境的變化中能不斷對(duì)應(yīng)新的安全需求和風(fēng)險(xiǎn)。監(jiān)控與審核對(duì)上述四步驟實(shí)行監(jiān)控和審核。溝通和咨詢則為上述四步驟的相關(guān)人員提供溝通和咨詢,確保系統(tǒng)安全目標(biāo)的一致及安全措施有效實(shí)行。
3、IP城域網(wǎng)安全管理
針對(duì)IP城域網(wǎng)中網(wǎng)絡(luò)各層可能存在的安全隱患,本文結(jié)合某廣電IP城域網(wǎng)針對(duì)網(wǎng)絡(luò)的每一層給出一些安全管理意見(jiàn)。
(1)設(shè)備選擇。核心層中硬件設(shè)備的選擇很重要,硬件設(shè)備的性能將直接影響到核心層網(wǎng)絡(luò)的安全。由于核心層網(wǎng)絡(luò)數(shù)據(jù)流量大,必須采用高速無(wú)阻塞的路由器、交換機(jī);設(shè)備應(yīng)當(dāng)符合國(guó)家標(biāo)準(zhǔn)規(guī)定的防雷擊、防靜電,并能夠在正常的機(jī)房溫度、濕度等條件下長(zhǎng)期穩(wěn)定地運(yùn)行,這點(diǎn)匯聚層和接入層也應(yīng)該同時(shí)具備。
(2)冗余策略。從結(jié)構(gòu)安全上來(lái)看,主要安全問(wèn)題就是單點(diǎn)和單鏈路故障,要避免網(wǎng)絡(luò)的單點(diǎn)單鏈故障而導(dǎo)致業(yè)務(wù)中斷就必須要做好網(wǎng)絡(luò)軟、硬件、傳輸介質(zhì)及路由冗余。如采用至少兩臺(tái)路由器或交換機(jī)互連,以便在有一臺(tái)出現(xiàn)故障時(shí)能夠自動(dòng)切換到另外一臺(tái)設(shè)備而保證設(shè)備轉(zhuǎn)發(fā)不中斷。啟用多生成樹(shù)協(xié)議(MSTP),應(yīng)用時(shí)將備用鏈路控于阻塞(blocking)狀態(tài),一旦主鏈路通信中斷,能在很短時(shí)間內(nèi)恢復(fù)。
(3)防火墻。核心交換機(jī)、路由器配備強(qiáng)大攻擊防范能力的高速防火墻,可采用硬件防火墻,用于防病毒、防攻擊,以保證網(wǎng)內(nèi)安全。同時(shí)提供有效的認(rèn)證措施,拒絕并記錄非法的人為入侵。采用硬件防火墻獨(dú)立于其它硬件,可單獨(dú)肩負(fù)網(wǎng)絡(luò)攻擊帶來(lái)的壓力。此外還可利用地址轉(zhuǎn)換(NAT)技術(shù),對(duì)外屏蔽內(nèi)部網(wǎng)絡(luò)的主機(jī)地址。
(4)路由管理。選擇合適的路由協(xié)議非常重要,路由規(guī)劃科學(xué)與否直接影響到整個(gè)城域網(wǎng)的可靠性及效率。路由協(xié)議有域內(nèi)路由和域間路由兩種基本類型。域間路由協(xié)議主要有邊界網(wǎng)關(guān)協(xié)議(BGP)和外部網(wǎng)關(guān)協(xié)議(EGP)等;域內(nèi)路由協(xié)議主要有開(kāi)放式最短路由優(yōu)先協(xié)議(OSPF)、中間系統(tǒng)路由選擇協(xié)議(IS-IS)和路由信息協(xié)議(RIP)/RIP2等。建議采用開(kāi)放式最短路由優(yōu)先協(xié)議(OSPF),它的最大特點(diǎn)就是絕對(duì)的無(wú)環(huán)路,同時(shí)還具備快速收斂、鏈路通告、帶寬開(kāi)銷少、延展開(kāi)放的優(yōu)點(diǎn)。如在同一城域網(wǎng)的路由設(shè)計(jì)上全網(wǎng)采用OSPF協(xié)議,建議其內(nèi)部劃分兩個(gè)自治域,所有的骨干層路由器同屬一個(gè)自治域,匯聚層和接入層同屬另一自治域,可避免因匯聚層路由波動(dòng)對(duì)骨干路由造成影響,同時(shí)也減少了路由協(xié)議對(duì)CPU資源消耗和路由信息傳播所占用的網(wǎng)絡(luò)帶寬;核心路由器與出口防火墻之間建議采用靜態(tài)路由互連,既安全又能簡(jiǎn)化路由表。
(5)流量過(guò)濾及流量攻擊防范。在核心路由器上制定細(xì)致的訪問(wèn)控制列表(ACL),對(duì)流向引擎板卡的異常流量進(jìn)行報(bào)文過(guò)濾,避免如網(wǎng)絡(luò)風(fēng)暴、PINGDDoS攻擊、TCPDDoS攻擊等對(duì)主控板造成CPU資源耗盡、網(wǎng)絡(luò)流量過(guò)載,進(jìn)而導(dǎo)致業(yè)務(wù)控制和協(xié)議計(jì)算發(fā)生中斷的嚴(yán)重后果。充分利用核心路由的控制功能,當(dāng)主控板發(fā)現(xiàn)來(lái)自接口板的總流量超過(guò)某個(gè)特定閾值時(shí),即啟動(dòng)接口板上的CAR隊(duì)列,將送往主控板的流量進(jìn)行限制,從而保護(hù)主控板在流量過(guò)載的情況下正常工作。對(duì)于源路由攻擊可采用關(guān)鍵數(shù)據(jù)身份認(rèn)證與授權(quán)、訪問(wèn)權(quán)限控制、加密保存、加密傳輸?shù)却胧┻M(jìn)行防范。對(duì)于像SYNFlood之類的拒絕服務(wù)攻擊可通過(guò)以下方法進(jìn)行防范:路由器上調(diào)整包括限制SYN半開(kāi)數(shù)據(jù)包的流量和個(gè)數(shù),并設(shè)定相應(yīng)的內(nèi)核參數(shù),使得系統(tǒng)強(qiáng)制對(duì)超時(shí)的SYN請(qǐng)求連接數(shù)據(jù)包復(fù)位,同時(shí)通過(guò)縮短超時(shí)常數(shù)和加長(zhǎng)等候隊(duì)列使得系統(tǒng)能迅速處理無(wú)效的SYN請(qǐng)求數(shù)據(jù)包,還可以通過(guò)加固TCP/IP協(xié)議棧防范,只有完成TCP三次握手過(guò)程的數(shù)據(jù)包才可進(jìn)入該網(wǎng)段。
結(jié)束語(yǔ)
信息安全風(fēng)險(xiǎn)管理的原則是“最小安全成本,最大安全效益”。最可行的方案就是將安全事件對(duì)系統(tǒng)造成的損失和安全措施所需的安全成本適度量化并以數(shù)字表示,從而直觀的對(duì)安全損失和安全費(fèi)用進(jìn)行比較,為安全決策提供有利的理論和方法指導(dǎo)。隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長(zhǎng),用戶對(duì)寬帶接入業(yè)務(wù)的高可用性要求不斷增強(qiáng),對(duì)電信運(yùn)營(yíng)商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。
【參考文獻(xiàn)】
[1]吳世忠.信息安全風(fēng)險(xiǎn)管理的動(dòng)態(tài)與趨勢(shì)[J].信息安全與通信保密,2007(02).
針對(duì)近年來(lái)頻繁發(fā)生的網(wǎng)絡(luò)犯罪事件,許多學(xué)者以及相關(guān)認(rèn)識(shí)開(kāi)始不斷研究與應(yīng)用更多的安全防護(hù)技術(shù),其中較為常見(jiàn)的技術(shù)包括防火墻、入侵檢測(cè)、數(shù)據(jù)加密以及VPN等技術(shù)。其中在防火墻技術(shù)方面,其主要通過(guò)安全網(wǎng)關(guān)的構(gòu)建對(duì)外部網(wǎng)絡(luò)攻擊行為進(jìn)行攔截,并有效監(jiān)控網(wǎng)絡(luò)運(yùn)行的整體情況,是保證網(wǎng)絡(luò)信息安全的重要措施。但其在應(yīng)用中對(duì)病毒或黑客入侵的阻止并非萬(wàn)能,需同其他防護(hù)措施共同配合。在入侵檢測(cè)技術(shù)方面,其作用在于利用相關(guān)硬件軟件實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)流,若發(fā)現(xiàn)入侵?jǐn)?shù)據(jù)可能對(duì)網(wǎng)絡(luò)安全造成威脅將采取相應(yīng)的反應(yīng)動(dòng)作如禁止啟動(dòng)或切斷網(wǎng)絡(luò)等。在數(shù)據(jù)加密方面,主要對(duì)傳輸與存儲(chǔ)的數(shù)據(jù)進(jìn)行加密,常用到加密鑰匙的方式實(shí)現(xiàn)防止數(shù)據(jù)外泄與竊取的目標(biāo)。另外在VPN技術(shù)應(yīng)用方面,其結(jié)合訪問(wèn)控制與加密措施,保證數(shù)據(jù)僅在可信公共信道中進(jìn)行傳輸。綜合來(lái)看,網(wǎng)絡(luò)信息的安全很難通過(guò)其中一種技術(shù)手段實(shí)現(xiàn),即使現(xiàn)階段比較前沿的如PKI關(guān)鍵技術(shù)或防毒墻等,應(yīng)用中都需配有其他輔技術(shù),因此需構(gòu)建更為有效的安全管理體系勢(shì)在必行。
2網(wǎng)絡(luò)信息安全存在的主要風(fēng)險(xiǎn)問(wèn)題
現(xiàn)階段網(wǎng)絡(luò)信息安全的主要風(fēng)險(xiǎn)可具體細(xì)化為:①?gòu)木W(wǎng)絡(luò)層面。包括傳輸數(shù)據(jù)時(shí)存在的被篡改或竊取情況、網(wǎng)絡(luò)邊界方面的風(fēng)險(xiǎn)、過(guò)于單一的入侵檢測(cè)手段以及審計(jì)系統(tǒng)的設(shè)計(jì)不完善等。②從系統(tǒng)層面。大多操作系統(tǒng)以及軟件程序等本身在設(shè)計(jì)過(guò)程中便存在較多漏洞,若在使用中忽視對(duì)其進(jìn)行定期更新與漏洞修復(fù),很容易使系統(tǒng)安全受到木馬病毒威脅。③從應(yīng)用層面。其存在的信息安全問(wèn)題主要體現(xiàn)在用戶進(jìn)行業(yè)務(wù)信息提交過(guò)程中可能被竊聽(tīng)或篡改、內(nèi)網(wǎng)與外網(wǎng)交互使用為不法分子創(chuàng)造入侵條件等方面。④從管理層面。許多機(jī)關(guān)單位在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理制度方面缺乏一定的實(shí)效性,且存在設(shè)備通用、內(nèi)外網(wǎng)混用等問(wèn)題,許多如外部訪問(wèn)或訪問(wèn)權(quán)限等方面的設(shè)計(jì)并不嚴(yán)格,不利于網(wǎng)絡(luò)信息安全性的提高。⑤從人員角度。網(wǎng)絡(luò)安全得以保障關(guān)鍵在于相關(guān)人員是否具備相關(guān)的網(wǎng)絡(luò)安全技術(shù)與安全技術(shù),無(wú)論安全意識(shí)的缺失或技術(shù)能力不足都可能帶來(lái)一定的安全風(fēng)險(xiǎn)。
3管理體系的具體構(gòu)建思路
針對(duì)現(xiàn)行網(wǎng)絡(luò)信息安全的相關(guān)防護(hù)技術(shù)與實(shí)際存在的安全威脅問(wèn)題,在構(gòu)建安全管理體系過(guò)程中主要可從兩方面進(jìn)行,包括技術(shù)應(yīng)用與網(wǎng)絡(luò)安全管理兩方面,只有保證對(duì)二者采取相應(yīng)的防御戰(zhàn)略才可實(shí)現(xiàn)信息安全保障的目標(biāo)。
(1)安全技術(shù)的應(yīng)用
對(duì)于現(xiàn)行技術(shù)層面中存在的安全風(fēng)險(xiǎn)問(wèn)題,除前文中提及的防火墻與入侵檢測(cè)技術(shù)外,還需在系統(tǒng)設(shè)計(jì)中采取以下幾方面技術(shù)策略:①注重聯(lián)動(dòng)方式與具體配置。在將防火墻與入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)聯(lián)動(dòng)的基礎(chǔ)上,還需保證防火墻與IDS進(jìn)行聯(lián)動(dòng),這樣可相互配合對(duì)攻擊行為進(jìn)行阻斷,但需注意IDS控制臺(tái)應(yīng)在網(wǎng)中進(jìn)行部署,或在其他區(qū)域SOC區(qū)中設(shè)置。②引入防病毒系統(tǒng)。對(duì)于現(xiàn)行多樣化的病毒形式很難利用簡(jiǎn)單的病毒軟件消除病毒,應(yīng)在防毒系統(tǒng)應(yīng)用中保證其不會(huì)占用過(guò)多的系統(tǒng)資源,且對(duì)核心服務(wù)器具有極強(qiáng)的防毒能力,如現(xiàn)階段常用的OfficeScan,在防治病毒方面具有良好的效果。③審計(jì)系統(tǒng)的完善。在系統(tǒng)內(nèi)部網(wǎng)絡(luò)中應(yīng)進(jìn)行安全審計(jì)系統(tǒng)的設(shè)計(jì),保證其能夠?qū)ο嚓P(guān)的網(wǎng)絡(luò)行為、設(shè)備運(yùn)行狀態(tài)進(jìn)行綜合審計(jì),及時(shí)找出存在的隱患。另外,設(shè)計(jì)過(guò)程中還可引入其他方面的技術(shù)措施如漏洞掃描、過(guò)濾網(wǎng)關(guān)或終端系統(tǒng)等方面,對(duì)網(wǎng)絡(luò)信息安全性的提高可起到重要作用。
(2)網(wǎng)絡(luò)安全管理工作
管權(quán)管理體系構(gòu)建中除考慮引入相應(yīng)的技術(shù)防護(hù)措施外,還需注重網(wǎng)絡(luò)信息管理水平的提高。注重相關(guān)人員網(wǎng)絡(luò)技術(shù)水平以及安全意識(shí)的提高,可通過(guò)相關(guān)的培訓(xùn)工作使人員正確認(rèn)識(shí)木馬病毒、網(wǎng)絡(luò)攻擊行為等。同時(shí)在安全管理制度方面應(yīng)不斷完善,如機(jī)房管理制度、操作管理制度以及技術(shù)保障制度等,以此確保應(yīng)對(duì)風(fēng)險(xiǎn)的能力得以增強(qiáng)。
4結(jié)論
【關(guān)鍵詞】技術(shù)風(fēng)險(xiǎn) 業(yè)務(wù)風(fēng)險(xiǎn) 人為因素形成的風(fēng)險(xiǎn)
一、前言
網(wǎng)絡(luò)金融是信息技術(shù)特別是互聯(lián)網(wǎng)技術(shù)飛速發(fā)展的產(chǎn)物,是適應(yīng)電子商務(wù)發(fā)展需要而產(chǎn)生的網(wǎng)絡(luò)時(shí)代的金融運(yùn)行模式,它提高了金融服務(wù)的效率。但是在網(wǎng)絡(luò)金融用戶享受便捷服務(wù)的同時(shí),網(wǎng)絡(luò)金融的安全問(wèn)題也相伴而來(lái)。隨著網(wǎng)絡(luò)金融的發(fā)展而產(chǎn)生的新的風(fēng)險(xiǎn),使金融安全與監(jiān)管面臨新的挑戰(zhàn)。
二、網(wǎng)絡(luò)金融還面臨著技術(shù)風(fēng)險(xiǎn)、業(yè)務(wù)風(fēng)險(xiǎn)和人為因素形成的風(fēng)險(xiǎn)
網(wǎng)絡(luò)金融的經(jīng)營(yíng)理念、經(jīng)營(yíng)模式與傳統(tǒng)金融行業(yè)不完全相同,使得網(wǎng)絡(luò)金融除了具有傳統(tǒng)金融業(yè)經(jīng)營(yíng)過(guò)程中存在的流動(dòng)性風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、利率風(fēng)險(xiǎn)和匯率風(fēng)險(xiǎn)等之外,由于網(wǎng)絡(luò)金融涉及通訊、設(shè)備和管理等許多方面,因此網(wǎng)絡(luò)金融還面臨著技術(shù)風(fēng)險(xiǎn)、業(yè)務(wù)風(fēng)險(xiǎn)和人為因素形成的風(fēng)險(xiǎn)。
網(wǎng)絡(luò)金融技術(shù)涉及的風(fēng)險(xiǎn)包括技術(shù)安全風(fēng)險(xiǎn)和技術(shù)選擇風(fēng)險(xiǎn)。技術(shù)安全風(fēng)險(xiǎn)來(lái)自三個(gè)方面:一是計(jì)算機(jī)系統(tǒng)停機(jī)、磁盤(pán)列傳破壞等不確定性因素;二是來(lái)自網(wǎng)絡(luò)外部的數(shù)字攻擊;三是計(jì)算機(jī)病毒破壞等因素。技術(shù)選擇風(fēng)險(xiǎn)是指網(wǎng)絡(luò)金融業(yè)務(wù)的開(kāi)展必須選擇一種成熟的技術(shù)解決方案來(lái)支撐,否則可能因技術(shù)選擇的失誤使整個(gè)系統(tǒng)面臨安全風(fēng)險(xiǎn)。近年來(lái),黑客的攻擊活動(dòng)正以每年10倍的速度增長(zhǎng),計(jì)算機(jī)網(wǎng)絡(luò)病毒通過(guò)網(wǎng)絡(luò)進(jìn)行擴(kuò)散與傳播是單機(jī)的幾十倍,一旦某個(gè)程序被感染,則整臺(tái)機(jī)器、整個(gè)網(wǎng)絡(luò)也很快被感染,破壞力極大。在傳統(tǒng)金融中,安全風(fēng)險(xiǎn)可能只是帶來(lái)局部損失,但在網(wǎng)絡(luò)金融中,安全技術(shù)風(fēng)險(xiǎn)會(huì)波及整個(gè)網(wǎng)絡(luò)。
業(yè)務(wù)風(fēng)險(xiǎn)包括信用風(fēng)險(xiǎn)、支付和結(jié)算風(fēng)險(xiǎn)及法律風(fēng)險(xiǎn)。信用風(fēng)險(xiǎn)是指網(wǎng)絡(luò)金融交易者在合約到期日不完全履行期義務(wù)的風(fēng)險(xiǎn)。網(wǎng)絡(luò)金融服務(wù)方式的虛擬性使交易、支付的雙方互不見(jiàn)面,只是通過(guò)網(wǎng)絡(luò)發(fā)生聯(lián)系,這是金融機(jī)構(gòu)對(duì)交易者的身份、交易的真實(shí)性驗(yàn)證的難度加大,增大了交易者之間在身份確認(rèn)、信用評(píng)價(jià)方面的信息不對(duì)稱,從而增大了信用風(fēng)險(xiǎn)。對(duì)支付和結(jié)算風(fēng)險(xiǎn)來(lái)說(shuō),由于網(wǎng)絡(luò)金融服務(wù)方式的虛擬性,金融機(jī)構(gòu)的經(jīng)營(yíng)活動(dòng)可突破時(shí)空局限,打破傳統(tǒng)的金融分支機(jī)構(gòu)及業(yè)務(wù)網(wǎng)點(diǎn)的地域限制;并且能向客戶提供全天候、全方位的實(shí)時(shí)服務(wù),從而使網(wǎng)絡(luò)金融的經(jīng)營(yíng)者或客戶通過(guò)各自的計(jì)算機(jī)終端就能隨時(shí)與任何一家客戶或金融機(jī)構(gòu)辦理證券投資、保險(xiǎn)、信貸、期貨交易等金融業(yè)務(wù)。這是網(wǎng)絡(luò)金融業(yè)務(wù)環(huán)境在地域具有很大的開(kāi)放性,并導(dǎo)致網(wǎng)絡(luò)金融中支付、結(jié)算系統(tǒng)的國(guó)際化,從而大大提高了結(jié)算風(fēng)險(xiǎn)。法律風(fēng)險(xiǎn)是指由于網(wǎng)絡(luò)金融立法相對(duì)落后和模糊而導(dǎo)致的交易風(fēng)險(xiǎn)。目前的金融立法框架主要是針對(duì)傳統(tǒng)金融業(yè)務(wù),缺少有關(guān)網(wǎng)絡(luò)金融的配套法規(guī),如對(duì)客戶個(gè)人信息的保護(hù)、信用卡使用的規(guī)范等,出現(xiàn)了以網(wǎng)絡(luò)為手段的犯罪,如網(wǎng)上交易詐騙、網(wǎng)絡(luò)信用卡欺詐、個(gè)人信息被竊取、網(wǎng)絡(luò)洗錢(qián)等。
人為因素形成的風(fēng)險(xiǎn)是指由于部分工作人員安全觀念淡薄,安全管理制度不能真正落實(shí),缺乏應(yīng)有的網(wǎng)絡(luò)安全意識(shí),認(rèn)識(shí)不到執(zhí)行制度的緊迫性和重要性,導(dǎo)致網(wǎng)絡(luò)金融風(fēng)險(xiǎn)的產(chǎn)生。如在網(wǎng)絡(luò)金融交易沒(méi)有就安全預(yù)防問(wèn)題向客戶進(jìn)行足夠的宣傳教育,客戶在非安全的電子傳送管道中使用個(gè)人信息(如信用卡密碼,銀行卡號(hào)),客戶的賬戶就有可能被犯罪分子利用。
三、網(wǎng)絡(luò)銀行的發(fā)展及產(chǎn)生的特殊風(fēng)險(xiǎn)使得對(duì)其的監(jiān)管復(fù)雜化
監(jiān)管當(dāng)局不僅需要參照傳統(tǒng)銀行的監(jiān)管標(biāo)準(zhǔn)進(jìn)行一般的風(fēng)險(xiǎn)監(jiān)管而且還要根據(jù)網(wǎng)絡(luò)金融的特殊性進(jìn)行技術(shù)性安全與管理安全的監(jiān)管。對(duì)網(wǎng)絡(luò)金融的監(jiān)管,可以從網(wǎng)絡(luò)金融風(fēng)險(xiǎn)產(chǎn)生的原因及種類方面進(jìn)行思考分析,制定出符合其特殊性的相應(yīng)的監(jiān)管措施。
在我國(guó),經(jīng)濟(jì)信息化程度不高,網(wǎng)絡(luò)金融的發(fā)展尚處于起步階段,因此我國(guó)對(duì)網(wǎng)絡(luò)金融業(yè)務(wù)的監(jiān)管應(yīng)采取慎重態(tài)度,既不限制它的發(fā)展又不能放棄監(jiān)管,通過(guò)適當(dāng)?shù)慕鹑诒O(jiān)管,促進(jìn)我國(guó)網(wǎng)絡(luò)金融更好更快地發(fā)展。具體措施如下:
(1)完善現(xiàn)行法律,補(bǔ)充適用于網(wǎng)絡(luò)金融業(yè)務(wù)的相關(guān)法律條文。既要對(duì)現(xiàn)有法律不適應(yīng)的部分進(jìn)行修訂和補(bǔ)充,又要對(duì)未來(lái)發(fā)展情況進(jìn)行預(yù)測(cè),分析可能出現(xiàn)的問(wèn)題,進(jìn)行先行立法保護(hù),減少網(wǎng)絡(luò)犯罪的發(fā)生。
(2)結(jié)合網(wǎng)絡(luò)金融業(yè)務(wù)的特點(diǎn),完善現(xiàn)行業(yè)務(wù)營(yíng)運(yùn)監(jiān)管辦法。要從業(yè)務(wù)經(jīng)營(yíng)的合法合規(guī)性、資本充足性、資產(chǎn)質(zhì)量、流動(dòng)性、盈利能力、管理水平和內(nèi)部控制等方面根據(jù)網(wǎng)絡(luò)化條件來(lái)適時(shí)進(jìn)行調(diào)整、補(bǔ)充,構(gòu)造一個(gè)符合網(wǎng)絡(luò)金融生存、發(fā)展的金融監(jiān)管指標(biāo)體系和操作系統(tǒng)。
(3)督促開(kāi)展網(wǎng)絡(luò)金融業(yè)務(wù)的金融機(jī)構(gòu)強(qiáng)化內(nèi)部管理,從內(nèi)控制度入手降低金融風(fēng)險(xiǎn)。以中國(guó)工商銀行為例,中國(guó)工商銀行建立了公司治理架構(gòu)及風(fēng)險(xiǎn)監(jiān)控體系,通過(guò)一體化風(fēng)險(xiǎn)管理規(guī)劃、風(fēng)險(xiǎn)審議和風(fēng)險(xiǎn)監(jiān)督流程,監(jiān)控所有業(yè)務(wù)的各類風(fēng)險(xiǎn)。在全行范圍內(nèi)建立健全了監(jiān)控流程,采用不同方法達(dá)到風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)承擔(dān)之間的平衡。這些監(jiān)控流程與方法,圍繞不同的業(yè)務(wù)領(lǐng)域、地域分行、垂直支持單位(包括風(fēng)險(xiǎn)管理、財(cái)務(wù)規(guī)劃信息技術(shù)系統(tǒng)、人力資源、合規(guī)與法律事務(wù))和內(nèi)部審計(jì)而設(shè)計(jì)。同時(shí),董事會(huì)通過(guò)相關(guān)委員會(huì)對(duì)全行風(fēng)險(xiǎn)管理職能實(shí)施整體監(jiān)督。
(4)加強(qiáng)金融監(jiān)管部門(mén)的技術(shù)力量,提高監(jiān)管水平,不斷完善和提高網(wǎng)絡(luò)安全技術(shù),如防火墻技術(shù),加密技術(shù)。防火墻技術(shù)是將內(nèi)部私有網(wǎng)絡(luò)和外部網(wǎng)絡(luò)進(jìn)行隔離,能防止部分外部攻擊者對(duì)內(nèi)部網(wǎng)絡(luò)的入侵。而加密是實(shí)現(xiàn)信息保密的重要手段。
(5)密切與其他國(guó)家監(jiān)管機(jī)構(gòu)的聯(lián)系,提高網(wǎng)絡(luò)金融的監(jiān)管效率。加強(qiáng)與網(wǎng)絡(luò)金融發(fā)展較好的國(guó)家之間的交流,引進(jìn)先進(jìn)的監(jiān)管理念、技術(shù)和人才。
參考文獻(xiàn):
[1]張銘洪,張麗芳主編.網(wǎng)絡(luò)金融學(xué)[M].科學(xué)出版社出版,2000.
[2]陳進(jìn)主編.網(wǎng)絡(luò)金融服務(wù)[M].清華大學(xué)出版社出版,2011.
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)學(xué)術(shù)期刊(光盤(pán)版)全文收錄期刊
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)