公務(wù)員期刊網(wǎng) 精選范文 信息安全事件報告范文

信息安全事件報告精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全事件報告主題范文,僅供參考,歡迎閱讀并收藏。

信息安全事件報告

第1篇:信息安全事件報告范文

為了保證本單位網(wǎng)絡(luò)暢通,安全運行,保證網(wǎng)絡(luò)信息安全,特制定**縣財政局網(wǎng)絡(luò)安應(yīng)急制度。

一、貫徹執(zhí)行《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國計算機(jī)信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)管理暫行規(guī)定》等相關(guān)法律法規(guī);落實貫徹公安部門和省教育廳關(guān)網(wǎng)絡(luò)和信息安全管理的有關(guān)文件精神,堅持積極防御、綜合防范的方針,本著以防為主、注重應(yīng)急工作原則,預(yù)防和控制風(fēng)險,在發(fā)生信息安全事故或事件時最大程度地減少損失,盡快使網(wǎng)絡(luò)和系統(tǒng)恢復(fù)正常,做好網(wǎng)絡(luò)和信息安全保障工作。

二、信息網(wǎng)絡(luò)安全事件定義 :

1、網(wǎng)絡(luò)突然發(fā)生中斷,如停電、線路故障、網(wǎng)絡(luò)通信設(shè)備損壞等。

2、單位網(wǎng)站受到黑客攻擊,主頁被惡意篡改、交互式欄目里發(fā)表有煽動分裂國家、破壞國家統(tǒng)一和民族團(tuán)結(jié)、推翻社會主義制度;煽動抗拒、破壞憲法和國家法律、行政法規(guī)的實施;捏造或者歪曲事實,故意散布謠言,擾亂秩序;破壞社會穩(wěn)定的信息及損害國家、學(xué)校聲譽(yù)和穩(wěn)定的謠言等。

3、單位內(nèi)網(wǎng)絡(luò)服務(wù)器及其他服務(wù)器被非法入侵,服務(wù)器上的數(shù)據(jù)被非法拷貝、修改、刪除,發(fā)生泄密事件。

三、設(shè)置網(wǎng)上應(yīng)急小組,組長由單位有關(guān)領(lǐng)導(dǎo)擔(dān)任,成員由信息中心人員組成。采取統(tǒng)一管理體制,明確責(zé)任人和職責(zé),細(xì)化工作措施和流程,建立完善管理制度和實施辦法。

四、單位網(wǎng)絡(luò)信息工作

1、加強(qiáng)網(wǎng)絡(luò)信息審查工作,若發(fā)現(xiàn)單位主頁被惡意更改,應(yīng)立即停止主頁服務(wù)并恢復(fù)正確內(nèi)容,同時檢查分析被更改的原因,在被更改的原因找到并排除之前,不得重新開放主頁服務(wù)。

2、信息服務(wù),必須落實責(zé)任人,實行先審后發(fā),并具備相應(yīng)的安全防范措施(如:日志留存、安全認(rèn)證、實時監(jiān)控、防黑客、防病毒等)。建立有效的網(wǎng)絡(luò)防病毒工作機(jī)制,及時做好防病毒軟件的網(wǎng)上升級,保證病毒庫的及時更新。

五、信息中心對單位網(wǎng)實施24小時值班責(zé)任制,開通值班電話,保證與上級主管部門、相關(guān)網(wǎng)絡(luò)部門和當(dāng)?shù)毓矙C(jī)關(guān)的熱線聯(lián)系。若發(fā)現(xiàn)異常應(yīng)立即向應(yīng)急小組及有關(guān)部門、上級領(lǐng)導(dǎo)報告。

六、加強(qiáng)突發(fā)事件的快速反應(yīng)。單位信息中心具體負(fù)責(zé)相應(yīng)的網(wǎng)絡(luò)安全和信息安全工作,對突發(fā)的信息網(wǎng)絡(luò)安全事件應(yīng)做到:

(1)及時發(fā)現(xiàn)、及時報告,在發(fā)現(xiàn)后及時向應(yīng)急小組及上一級領(lǐng)導(dǎo)報告。 (2)保護(hù)現(xiàn)場,立即與網(wǎng)絡(luò)隔離,防止影響擴(kuò)大。 (3)及時取證,分析、查找原因。 (4)消除有害信息,防止進(jìn)一步傳播,將事件的影響降到最低。 (5)在處置有害信息的過程中,任何單位和個人不得保留、貯存、散布、傳播所發(fā)現(xiàn)的有害信息。

七、做好準(zhǔn)備,加強(qiáng)防范。信息中心成員對相應(yīng)工作要有應(yīng)急準(zhǔn)備。針對網(wǎng)絡(luò)存在的安全隱患和出現(xiàn)的問題,及時提出整治方案并具體落實到位,創(chuàng)造良好的網(wǎng)絡(luò)環(huán)境。

八、加強(qiáng)網(wǎng)絡(luò)用戶的法律意識和網(wǎng)絡(luò)安全意識教育,提高其安全意識和防范能力;凈化網(wǎng)絡(luò)環(huán)境,嚴(yán)禁用于上網(wǎng)瀏覽與工作無關(guān)的網(wǎng)站。

九、做好網(wǎng)絡(luò)機(jī)房及戶外網(wǎng)絡(luò)設(shè)備的防火、防盜竊、防雷擊、防鼠害等工作。若發(fā)生事故,應(yīng)立即組織人員自救,并報警。

十、網(wǎng)絡(luò)安全事件報告與處置。

事件發(fā)生并得到確認(rèn)后,有關(guān)人員應(yīng)立即將情況報告有關(guān)領(lǐng)導(dǎo),由領(lǐng)導(dǎo)指揮處理網(wǎng)絡(luò)安全事件。應(yīng)及時向當(dāng)?shù)毓矙C(jī)關(guān)報案。阻斷網(wǎng)絡(luò)連接,進(jìn)行現(xiàn)場保護(hù),協(xié)助調(diào)查取證和系統(tǒng)恢復(fù)等工作,有關(guān)違法事件移交公安機(jī)關(guān)處理。

第2篇:信息安全事件報告范文

中圖分類號:TP309 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-914X(2016)19-0361-01

1 引言

信息安全等級保護(hù)是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護(hù),對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。

在等級保護(hù)工作中我們都能做到“明確重點、突出重點、保護(hù)重點”,將有限的財力、物力、人力投入到重要信息系統(tǒng)的安全保護(hù)中去。對重要的信息系統(tǒng)我們在技術(shù)上都能按照等級保護(hù)要求部署相關(guān)安全設(shè)備,但是,僅僅這樣就做好安全等級保護(hù)工作了么?實際上安全管理在保障信息系統(tǒng)的安全中發(fā)揮著重要的作用,俗話稱“三分技術(shù)七分管理”,所以無論是信息系統(tǒng)運行使用單位還是信息系統(tǒng)安全測評人員都不應(yīng)該忽視安全管理在信息系統(tǒng)安全中的作用。

在實際工作中,我們往往能看到一些這樣的情況,如領(lǐng)導(dǎo)不重視,安全措施、安全制度不落實等非技術(shù)問題造成的安全事故。實際上這些問題是可以提前預(yù)測和預(yù)防的,如果依照國家規(guī)定開展信息安全等級保護(hù)的測評和整改,那么泄密事件就有可能避免。

做好非技術(shù)保護(hù)工作主要需要做好以下幾點:

2 安全管理制度

安全管理制度內(nèi)容包括管理制度、制定和、評審和修訂 3 個部分。管理制度在整個系統(tǒng)中屬于大綱,安全管理政策和制度的制定與正確實施對信息系統(tǒng)安全管理起著非常重要的作用,他告訴我們那些行為是屬于安全管理禁止的行為,不僅促使全體員工參與到保障信息安全的行動中來,而且能有效地降低由于人為操作失誤所造成的對系統(tǒng)安全的損害。通過制定安全管理制度,能夠使責(zé)權(quán)明確,保證工作的規(guī)范性和可操作性。管理制度的建立不僅包含了傳統(tǒng)管理方式的特點,也融入了信息安全的特性。

存在問題:1)多數(shù)單位的管理制度不完善,缺乏頂層的安全方針、安全策略等;2)只建立了安全管理制度,對于重要操作的操作規(guī)程缺失;3)管理制度的執(zhí)行情況不理想,執(zhí)行記錄缺失。

解決辦法:

建立完善的管理制度,補(bǔ)充、制訂缺少的各項安全管理制度,完善已有安全管理制度文檔,逐步形成由安全政策、管理制度、操作規(guī)程等構(gòu)成的、全面的信息安全管理制度體系。加強(qiáng)對員工的培訓(xùn),注重安全意識的教育和日常操作行為規(guī)范性教育,并建立內(nèi)審和管理評審制度,定期對安全管理制度的執(zhí)行情況、適用性等進(jìn)行審查。

3 安全管理機(jī)構(gòu)

好的制度還必須執(zhí)行才能起到有效的作用,安全管理機(jī)構(gòu)內(nèi)容包括崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作4個部分。安全管理的重要事實條件就是建立一個統(tǒng)一指揮、協(xié)調(diào)有序、組織有力的安全管理機(jī)構(gòu),這是信息安全管理得以實施、推廣的基礎(chǔ)。對建立完善的安全組織機(jī)構(gòu)、明確人員的安全職責(zé)和權(quán)限、完善安全溝通機(jī)制和安全檢查流程等進(jìn)行規(guī)范。通過構(gòu)建從單位最高管理層到執(zhí)行管理層再到具體業(yè)務(wù)運營層的組織體系,明確各個崗位的安全職責(zé),為安全管理提供組織上的保證。

存在問題:對技術(shù)人員和操作人員的日常行為進(jìn)行規(guī)范管理,造成技術(shù)和管理分離,技術(shù)不能發(fā)揮最大的作用。

解決辦法:建立安全管理機(jī)構(gòu)制度,規(guī)范人員管理,增強(qiáng)安全知識、意識培訓(xùn)安全職責(zé)與人員崗位應(yīng)更好地融合在一起,可在設(shè)置安全管理機(jī)構(gòu)的基礎(chǔ)上,設(shè)定安全管理員崗位,明確安全管理 員職責(zé),規(guī)定各運維人員的安全職責(zé)和義務(wù)。對關(guān)鍵崗位人員、重要部門的員工定期開展信息安全意識教育,加強(qiáng)人員安全意識和安全技能培訓(xùn),逐步形成群防群治的工作機(jī)制,使安全管理融入到日常工作中。

4 人員安全管理

人員安全管理內(nèi)容包括人員錄用、人員離崗、人員考核、安全意識教育和培訓(xùn)、外部人員訪問管理5個部分。

人是信息安全中最關(guān)鍵的因素,信息系統(tǒng)整個生命周期都需要人來參與,包括設(shè)計人員、實施人員、管理人員、維護(hù)人員和系統(tǒng)用戶等。如果這些參與人員的安全問題沒有得到很好的解決,任何一個信息系統(tǒng)都不可能達(dá)到真正的安全。因此需要對人員的招聘、入職、轉(zhuǎn) / 離崗、培訓(xùn)、考核等階段提出相應(yīng)的安全要求,并將外部人員訪問管理進(jìn)行了明確的規(guī)定。只有對信息系統(tǒng)相關(guān)人員實施科學(xué)、完善的管理,才有可能降低人為操作失誤所帶來的風(fēng)險。

存在問題:人員分配、管理不完善,而運維人員則更專注于設(shè)備和系統(tǒng)的正常運行,導(dǎo)致安全管理活動難以系統(tǒng)、持續(xù)地開展,不能作為常態(tài)工作。

解決辦法:建立人員安全管理制度,加強(qiáng)對外包人員的安全管理,簽署保密協(xié)議,制定外包人員管理制度。組織外包人員學(xué)習(xí)內(nèi)部的相關(guān)安全管理規(guī)定,進(jìn)行安全技能和安全意識培訓(xùn)。制定重要活動的審批流程,加強(qiáng)訪問控制及監(jiān)督等方面的管理。

5 系統(tǒng)建設(shè)管理

信息系統(tǒng)建設(shè)管理內(nèi)容包括系統(tǒng)定級、安全方案設(shè)計、產(chǎn)品采購、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、 系統(tǒng)交付、系統(tǒng)備案、等級測評、安全服務(wù)商選擇11個部分。每個部分都涉及多個活動,只有對這些活動實施科學(xué)和完善的管理,才能保證系統(tǒng)建設(shè)的進(jìn)度和質(zhì)量。

存在問題:1)外包軟件開發(fā)沒有根據(jù)需求檢測軟件質(zhì)量,沒有進(jìn)行軟件代碼安全檢測;2)很多系統(tǒng)沒有在項目驗收階段沒有第三方安全性驗收測試報告。

解決辦法:建立系統(tǒng)建設(shè)管理制度,在允許的條件下,對軟件改造,增強(qiáng)軟件的安全功能,開展第三方安全符合性測試。

6 系統(tǒng)運維管理

信息系統(tǒng)建設(shè)完成投入運行之后,接下來就是如何維護(hù)和管理信息系統(tǒng)。系統(tǒng)運維管理內(nèi)容包括環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理13個部分,基本覆蓋了各項日常運維活動。對系統(tǒng)實施有效、完善的維護(hù)管理是保證系統(tǒng)運行階段安全的基礎(chǔ)。這些要求能夠保證運維工作全面、有序地開展。

存在問題:1)設(shè)備配置管理不規(guī)范,沒有相關(guān)的制度或流程 ;2)沒有安全事件報告和處置制度,沒有制定相應(yīng)的處置流程 ;3)系統(tǒng)沒有建立應(yīng)急預(yù)案,應(yīng)急演練不充分 ;4)對商用密碼和電子認(rèn)證、數(shù)字簽名的認(rèn)識和管理不到位。

解決辦法:建立系統(tǒng)運維管理制度,完善安全事件報告和處置制度以及對商用密碼和電子認(rèn)證、數(shù)字簽名的認(rèn)識和管理,加強(qiáng)應(yīng)急預(yù)案制度的管理與執(zhí)行,建立規(guī)范的制度或流程

第3篇:信息安全事件報告范文

據(jù)悉,此項規(guī)定同重慶市公安局7月6日公布實施的《關(guān)于加強(qiáng)國際互聯(lián)網(wǎng)備案管理的通告》(下稱《通告》)不無關(guān)系。根據(jù)《通告》,個人上網(wǎng)應(yīng)當(dāng)進(jìn)行國際聯(lián)網(wǎng)備案,包括通過撥號或?qū)>€等方式上網(wǎng)的個人用戶。其中,個人用戶備案由其互聯(lián)網(wǎng)接入服務(wù)提供單位代為辦理,并應(yīng)當(dāng)如實填寫《個人用戶備案表》。

《通告》公布后立即在社會上引起極大關(guān)注。不少民眾將其簡單理解為“個人在家中上網(wǎng)也要向公安備案”,并對警方行為提出質(zhì)疑,認(rèn)為其涉嫌侵犯了公民的隱私權(quán)。一時輿論嘩然,在網(wǎng)絡(luò)上的聲討尤為激烈。

重慶警方迅速予以回應(yīng),解釋稱,市民在申請上網(wǎng)業(yè)務(wù)時進(jìn)行備案登記,實行上網(wǎng)實名制,是一種通行做法,并非要監(jiān)控網(wǎng)民每天何時上網(wǎng)、上哪些網(wǎng),不會給網(wǎng)絡(luò)用戶造成困擾。警方還強(qiáng)調(diào),以往個人用戶到電信、移動等互聯(lián)網(wǎng)接入服務(wù)提供單位辦理上網(wǎng)手續(xù)時,都要填寫由公安部門監(jiān)制的個人身份資料,實際上就是一種備案。這次只不過是對以前備案加以明確,并要求以前由互聯(lián)網(wǎng)接入服務(wù)提供單位保存的個人用戶資料,要提交公安機(jī)關(guān)備案。

1997年公安部《計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》,亦要求個人上網(wǎng)進(jìn)行備案。北京市公安局1996年的《關(guān)于加強(qiáng)計算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)備案管理的通告》中規(guī)定,“申請與國際聯(lián)網(wǎng)計算機(jī)信息系統(tǒng)的使用單位和個人,應(yīng)當(dāng)在網(wǎng)絡(luò)正式聯(lián)通后三十日內(nèi)到備案機(jī)關(guān)辦理備案手續(xù)”。因此,“個人上網(wǎng)備案”并非重慶市公安局首創(chuàng)。

據(jù)統(tǒng)計,截至今年6月30日,我國網(wǎng)站總數(shù)達(dá)78.84萬個,網(wǎng)民人數(shù)達(dá)1.23億。在2億中小學(xué)生中,上網(wǎng)學(xué)生已達(dá)3000萬。與之相伴,網(wǎng)絡(luò)與信息安全問題也日益突出。從2002年到2005年僅四年間,我國有關(guān)部門接到的網(wǎng)絡(luò)安全事件報告已從1761件猛增到12.3473萬件,日均超過338件。網(wǎng)絡(luò)犯罪每年也以近千件的速度增長。這也是重慶《通告》出臺的一個重要背景。

第4篇:信息安全事件報告范文

近年來,信息技術(shù)在金融業(yè)廣泛應(yīng)用并日漸深入,正在改變著支付與結(jié)算、資金融通與轉(zhuǎn)移、風(fēng)險管理、信息查詢等金融基本功能的實現(xiàn)方式,金融業(yè)對信息技術(shù)的依賴程度日益提高,金融信息系統(tǒng)的開放性進(jìn)一步增強(qiáng),信息安全保障難度加大,給我國金融業(yè)信息安全管理帶來新的挑戰(zhàn),同時也給人民銀行在“十二五”時期履行好金融業(yè)信息安全管理職能帶來新的考驗。本文以維護(hù)金融穩(wěn)定特別是維護(hù)金融業(yè)信息安全為視角,以西雙版納州轄內(nèi)銀行業(yè)金融機(jī)構(gòu)為例,對全州金融業(yè)信息安全狀況進(jìn)行調(diào)查分析,力求為基層人民銀行更好地履行金融業(yè)信息安全管理職能提供決策參考。

一、西雙版納州金融業(yè)信息化發(fā)展現(xiàn)狀

近年來,隨著國家繼續(xù)實施西部大開發(fā)戰(zhàn)略,實施把云南建設(shè)成為中國面向西南開放的“橋頭堡”戰(zhàn)略,隨著中國-東盟自由貿(mào)易區(qū)建成和瀾滄江-湄公河次區(qū)域合作不斷深入,西雙版納以生物多樣性為特點的自然資源優(yōu)勢和以毗鄰東南亞為特征的區(qū)位條件優(yōu)勢逐漸顯現(xiàn)?!笆晃濉逼陂g,西雙版納州經(jīng)濟(jì)與金融良性互動,貨幣資本與實體經(jīng)濟(jì)比翼雙飛,全州金融業(yè)實現(xiàn)歷史性的新跨越,全州金融組織體系不斷健全,全面消除了金融服務(wù)機(jī)構(gòu)空白鄉(xiāng)鎮(zhèn);金融機(jī)構(gòu)存貸款余額實現(xiàn)翻番,金融機(jī)構(gòu)以強(qiáng)勁地信貸資金投入支撐了全州經(jīng)濟(jì)快速發(fā)展。截止2010年末,全州有10家銀行業(yè),共有金融機(jī)構(gòu)營業(yè)網(wǎng)點137個、從業(yè)人員1407人;全州金融機(jī)構(gòu)各項人民幣存款余額256.88億元,比上年末增長27.22%,全年累計增加存款54.97億元,年度存款增量創(chuàng)歷史新高;全州金融機(jī)構(gòu)各項貸款余額145.29億元,比上年末增長20.92%,全年累計增加貸款25.14億元,年度貸款增量創(chuàng)歷史新高。金融業(yè)快速發(fā)展的同時,也給人民銀行履行金融穩(wěn)定職能特別是履行金融信息安全管理職能帶來了新的挑戰(zhàn)。

據(jù)調(diào)查顯示,隨著金融業(yè)的快速發(fā)展,轄內(nèi)各金融機(jī)構(gòu)信息化建設(shè)水平得到了持續(xù)改進(jìn)和提高,初步建成了規(guī)范、方便、高效的信息化服務(wù)體系,從調(diào)查情況看,目前西雙版納州金融業(yè)信息安全狀況總體良好,主要表現(xiàn)為:

――信息安全組織機(jī)構(gòu)健全。近年來,全州各金融機(jī)構(gòu)逐年加強(qiáng)對金融信息安全的重視,現(xiàn)場調(diào)查顯示,目前除小額貸款公司主要依靠傳統(tǒng)手工方式開展業(yè)務(wù)外,其他金融機(jī)構(gòu)均設(shè)置有科技部門或科技崗位,機(jī)構(gòu)及崗位職責(zé)明確,相關(guān)人員對金融信息安全形勢及自身的信息安全管理情況把握比較準(zhǔn)確,能夠較好的履行信息安全管理職責(zé),基本建立起一套較為完備的信息安全工作組織體系,為全州金融信息安全管理工作的開展提供了組織保障。

――信息安全管理水平穩(wěn)步提高。一是各金融機(jī)構(gòu)都建立相應(yīng)信息安全管理制度,部分金融機(jī)構(gòu)還高度重視對干部職工的信息安全教育,制定有相應(yīng)的信息安全獎懲措施,提高了信息安全思想防線;二是信息化的快速發(fā)展助推信息安全工作的持續(xù)進(jìn)步,特別是以綜合業(yè)務(wù)系統(tǒng)整合、數(shù)據(jù)集中為主要特征的銀行信息化發(fā)展到了一個新的階段,總體看,各金融機(jī)構(gòu)基本都建成了較為成熟的信息化支撐保障平臺,金融業(yè)務(wù)數(shù)據(jù)全部實現(xiàn)省級以上的集中,地市分支機(jī)構(gòu)基本無數(shù)據(jù)和相應(yīng)的服務(wù)器設(shè)備,金融業(yè)務(wù)數(shù)據(jù)和辦公數(shù)據(jù)全部實現(xiàn)網(wǎng)絡(luò)物理隔離,金融業(yè)務(wù)數(shù)據(jù)安全傳輸可控水平進(jìn)一步增強(qiáng)。

二、西雙版納州金融業(yè)信息化發(fā)展及信息安全管理存在的主要問題

調(diào)查顯示,盡管西雙版納州金融業(yè)信息安全管理水平在近年得到了較大提高,建立起初步的信息安全管理體系,但也仍然存在一些亟待解決的問題,各金融機(jī)構(gòu)信息化發(fā)展中對信息安全的整體解決方案考慮不夠,存在不同程度的管理缺陷,制約了管理效率的提高。部分大銀行和新興中小金融機(jī)構(gòu),由于信息化建設(shè)起步較晚,信息化服務(wù)和信息安全保障水平仍較低,整個金融業(yè)呈現(xiàn)出“信息化建設(shè)及安全保障能力差異性大”的特點,金融業(yè)的信息安全保障還面臨諸多問題。

(一)金融業(yè)信息化發(fā)展及安全管理水平差異明顯,行業(yè)監(jiān)管難度較大

調(diào)查發(fā)現(xiàn),金融機(jī)構(gòu)地市分支機(jī)構(gòu)沒有信息化建設(shè)的自主規(guī)劃及建設(shè)權(quán)限,各金融機(jī)構(gòu)的信息化建設(shè)主要依靠其總部或省級機(jī)構(gòu)進(jìn)行統(tǒng)一規(guī)劃和組織實施,各金融機(jī)構(gòu)的信息化戰(zhàn)略自成體系、差異較大,主要體現(xiàn)在數(shù)據(jù)集中層次和系統(tǒng)整合程度差異明顯,網(wǎng)絡(luò)架構(gòu)及網(wǎng)絡(luò)保障水平、ATM設(shè)備及客戶端安全監(jiān)控管理水平參差不齊,其中以中國銀行、建設(shè)銀行等為代表的部分國有大型商業(yè)銀行目前的信息化建設(shè)已取得較好成效,無論是在系統(tǒng)整合、數(shù)據(jù)集中乃至網(wǎng)絡(luò)建設(shè)等方面都已達(dá)到了較高的水平,處于相對穩(wěn)定的狀態(tài)。而另一方面,人民銀行及部分大型國有商業(yè)銀行的信息化仍處于大規(guī)模建設(shè)之中,人民銀行目前的數(shù)據(jù)集中及系統(tǒng)整合工作仍處于初級階段,中國農(nóng)業(yè)銀行也正處于大規(guī)模的信息化建設(shè)進(jìn)程之中,郵政儲蓄銀行目前還與中國郵政共用網(wǎng)絡(luò)設(shè)備及線路,云南省農(nóng)村信用聯(lián)社目前還未建立災(zāi)難備份中心,其他中小金融機(jī)構(gòu)由于其信息化建設(shè)起步晚,在人員教育培訓(xùn)、安全意識等方面相對薄弱,無論是在信息化建設(shè)還是在安全管理方面都還處于起步階段,信息化支持金融業(yè)務(wù)發(fā)展的能力相對較弱。

(二)缺乏行業(yè)級信息化及安全管理標(biāo)準(zhǔn),信息安全監(jiān)管面臨操作難題

與金融業(yè)信息化的高速發(fā)展相比,金融業(yè)信息安全的指導(dǎo)、監(jiān)管工作還需進(jìn)一步加強(qiáng)。人民銀行在金融信息化規(guī)劃、信息標(biāo)準(zhǔn)、信息安全等諸多方面承擔(dān)著重要職責(zé),特別是在面對高科技企業(yè)及綜合服務(wù)機(jī)構(gòu)巨大沖擊的情況下,金融業(yè)必然要依靠信息化以實現(xiàn)從傳統(tǒng)金融機(jī)構(gòu)向現(xiàn)代金融服務(wù)業(yè)的轉(zhuǎn)變,金融信息化和信息安全管理將是一個動態(tài)發(fā)展變化的過程,而從當(dāng)前情況看,人民銀行對金融機(jī)構(gòu)信息安全工作的指導(dǎo)和監(jiān)管,還處于初級探索階段,特別是人民銀行各分支機(jī)構(gòu)對各金融機(jī)構(gòu)信息安全的指導(dǎo)和監(jiān)管目標(biāo)還缺乏完整全面的認(rèn)識,缺乏監(jiān)督管理的依據(jù)標(biāo)準(zhǔn)及相應(yīng)的監(jiān)管操作實施細(xì)則,加之相應(yīng)的人才隊伍儲備不足,從而導(dǎo)致監(jiān)管措施不到位,監(jiān)管手段缺失,致使基層人民銀行對金融業(yè)信息安全監(jiān)管缺乏主動性,金融機(jī)構(gòu)對人民銀行履行金融信息安全管理職能的認(rèn)同感不高,監(jiān)管效果不明顯。

(三)信息安全人員隊伍素質(zhì)與信息安全形勢發(fā)展需要存在差距

從科技人員配備來看,目前轄內(nèi)除農(nóng)行由于機(jī)構(gòu)網(wǎng)點較多而配備有一定數(shù)量科技人員以外,其他金融機(jī)構(gòu)基本僅有一名兼職科技人員,整體看各金融機(jī)構(gòu)的基層科技人員定位正處于不斷弱化的趨勢,絕大部分金融機(jī)構(gòu)的信息安全管理職能已逐步上收,風(fēng)險點逐步上移,對于信息化建設(shè)水平較高的金融機(jī)構(gòu)而言,基層金融機(jī)構(gòu)科技工作及信息安全工作的淡化是信息化建設(shè)進(jìn)步的必然趨勢,而對于那些還處于信息化建設(shè)快速發(fā)展的金融機(jī)構(gòu)乃至中小金融機(jī)構(gòu)而言,科技人員配備不足必然會造成一定的信息安全風(fēng)險隱患。

從人民銀行的信息安全隊伍建設(shè)來看,當(dāng)前人民銀行自身的信息化建設(shè)還處于蓬勃發(fā)展中,系統(tǒng)整合、數(shù)據(jù)集中仍處于不斷探索過程,信息化基礎(chǔ)設(shè)施仍較為薄弱,隨著人民銀行自身信息安全管理要求的逐步提高,人民銀行自身的信息安全管理也面臨巨大挑戰(zhàn),而從履行金融業(yè)信息安全的角度來看,由于金融業(yè)信息化發(fā)展差異較大、涉及面廣,對人民銀行的信息安全管理隊伍建設(shè)提出了更高的要求,而當(dāng)前地市人民銀行僅有一名兼職的信息安全管理人員,無論從數(shù)量還是素質(zhì)上都難以適應(yīng)當(dāng)前金融業(yè)的信息安全管理要求。

三、推動金融業(yè)信息安全管理的意見和建議

在新形勢下如何指導(dǎo)和協(xié)調(diào)金融業(yè)信息化建設(shè)和信息安全管理,是人民銀行需要認(rèn)真思考的問題。金融業(yè)信息安全管理是防范和化解金融風(fēng)險、維護(hù)金融穩(wěn)定工作的重要組成部分,要依靠法律、管理機(jī)制、技術(shù)保障等多方面相互配合,形成一個完整的安全保障體系,從根本上降低安全運行風(fēng)險,形成金融業(yè)安全穩(wěn)定的良好局面。

(一)加強(qiáng)調(diào)查研究,明確金融信息安全工作的目標(biāo)和思路

人民銀行科技部門要認(rèn)清形勢、順應(yīng)發(fā)展、深入思考各層級人民銀行分支機(jī)構(gòu)在金融信息化建設(shè)和信息安全管理中的作用地位,面對金融業(yè)信息化發(fā)展及信息安全管理的巨大差異,人民銀行應(yīng)進(jìn)一步加強(qiáng)調(diào)查研究,一方面要加強(qiáng)對人民銀行基層行的調(diào)查研究,切實處理好基層人民銀行信息化建設(shè)與人民銀行職責(zé)履行的關(guān)系,不斷優(yōu)化人民銀行網(wǎng)絡(luò)及系統(tǒng)架構(gòu),進(jìn)一步加快基層行業(yè)務(wù)、辦公、安全運維類系統(tǒng)的整合和集中,更加關(guān)注信息安全的整體解決方案,找準(zhǔn)基層央行內(nèi)部信息安全工作的重點。其次是要加強(qiáng)對地方法人金融機(jī)構(gòu)及中小金融機(jī)構(gòu)信息化和信息安全的研究,切實掌握金融業(yè)信息化發(fā)展及信息安全管理現(xiàn)狀,充分借鑒國內(nèi)外成功經(jīng)驗,不斷探索傳統(tǒng)金融行業(yè)向現(xiàn)代金融服務(wù)業(yè)轉(zhuǎn)型的有效途徑,深入分析研究金融業(yè)信息安全風(fēng)險隱患,進(jìn)一步明確金融信息化及信息安全管理工作的目標(biāo)和思路,明確金融業(yè)信息化技術(shù)架構(gòu)和管理框架,從而為有針對性地制定對金融業(yè)的信息化及信息安全發(fā)展規(guī)劃指引及制度保障體系打下基礎(chǔ)。

(二)加快構(gòu)筑金融信息安全工作的制度保障體系

一是要在充分調(diào)查研究的基礎(chǔ)上,加快金融業(yè)信息化及安全管理的制度體系建設(shè),明確金融信息安全管理工作中人民銀行及各金融機(jī)構(gòu)的職責(zé)權(quán)利,特別是要明確人民銀行各級分支機(jī)構(gòu)的職責(zé)要求,其中總分行應(yīng)側(cè)重于制定標(biāo)準(zhǔn)和對全國性金融機(jī)構(gòu)的監(jiān)督管理,人民銀行基層分支機(jī)構(gòu)應(yīng)加強(qiáng)對地方法人金融機(jī)構(gòu)及中小金融機(jī)構(gòu)的服務(wù)指導(dǎo),逐步構(gòu)建科學(xué)合理的組織分工體系,確實發(fā)揮央行在履行金融信息安全管理指導(dǎo)、標(biāo)準(zhǔn)化戰(zhàn)略制定等方面的重要作用,借鑒國內(nèi)外成功經(jīng)驗,盡快出臺金融業(yè)信息化發(fā)展及信息安全建設(shè)規(guī)劃指引,加強(qiáng)信息化規(guī)劃指導(dǎo)和管理,穩(wěn)步推進(jìn)系統(tǒng)整合、數(shù)據(jù)集中、災(zāi)備中心建設(shè)、銀行卡聯(lián)網(wǎng)通用、網(wǎng)上銀行及第三方支付平臺安全控制規(guī)范、外包服務(wù)管理、客戶端安全控制規(guī)范、系統(tǒng)等級保護(hù)等一系列基礎(chǔ)工作的深入開展,明確金融業(yè)信息化的技術(shù)架構(gòu)體系和軟硬件選型要求,穩(wěn)步減少對國外技術(shù)和產(chǎn)品的依賴,逐步構(gòu)筑高效、安全的金融信息化服務(wù)保障體系。二是要結(jié)合金融業(yè)的不同實際,區(qū)別對待,盡快出臺金融業(yè)信息安全檢查管理辦法、金融信息安全事件報告制度、金融信息安全事件通報制度、接入人民銀行信息系統(tǒng)管理辦法,明確標(biāo)準(zhǔn)要求和操作程序,確實增強(qiáng)信息安全管理工作的可操作性,進(jìn)一步推動信息安全工作的長足發(fā)展。

(三)努力打造金融業(yè)信息安全管理工作平臺

一是要努力營造金融業(yè)信息安全管理工作履職氛圍。加大宣傳培訓(xùn),切實把金融信息安全工作放到維護(hù)金融穩(wěn)定的高度來抓,加大對金融信息安全事件的查處和通報力度,不斷增強(qiáng)金融機(jī)構(gòu)對信息安全工作的重視程度,使其進(jìn)一步認(rèn)清人民銀行在金融信息安全管理監(jiān)督工作中的重要作用,營造良好的金融信息安全履職環(huán)境。二是要搭建金融信息安全工作溝通協(xié)調(diào)機(jī)制,通過建立定期聯(lián)席會議制度、建設(shè)信息安全監(jiān)督管理系統(tǒng)、暢通安全信息交互溝通渠道、明確信息安全事件應(yīng)急管理處置流程等多種手段,不斷增強(qiáng)金融信息安全管理效率,促進(jìn)信息安全管理監(jiān)督工作的順利開展。

(四)重視信息安全人才隊伍培養(yǎng),增強(qiáng)信息安全保障能力

面對金融業(yè)信息化發(fā)展及安全管理現(xiàn)狀的巨大差異,人民銀行務(wù)必高度重視信息安全工作隊伍的培養(yǎng)工作,確實打造一支業(yè)務(wù)素質(zhì)高、工作能力強(qiáng)的信息安全工作隊伍,為人民銀行確實履行好金融業(yè)信息安全管理職責(zé)做好人才智力保障;各金融機(jī)構(gòu)也應(yīng)按照金融機(jī)構(gòu)信息化發(fā)展及信息安全建設(shè)規(guī)劃要求,配備一定數(shù)量的信息安全管理人員,減少在人員上對外部或?qū)ι霞壍倪^度依賴,增強(qiáng)自主運行維護(hù)管理能力、提高對大集中之后分散風(fēng)險的處置能力,切實保障信息安全工作的連續(xù)性和穩(wěn)定性。

第5篇:信息安全事件報告范文

關(guān)鍵詞:校園網(wǎng);網(wǎng)絡(luò)安全;網(wǎng)絡(luò)管理

中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2008)35-2453-02

Campus Network Security System Construction

CHEN Yan

(Yongzhou Vocational and Technical College Hunan Province,Yonzhou 425006,China)

Abstract: The campus network security system construction be discussed from technology and management in this article. In technology, the security classification be divided by the different applications of campus network, thus, the network security system should be designed to meet the application requirements of each region. In management, it emphasizes on the network security management and emergency response system should be established to guarantee the standardization and institutionalization of network management, so the security management of network will be improved.

Key words: campus network; network security; network management

1 引言

校園網(wǎng)絡(luò)作為信息化校園的重要組成部分,在全國各高校大規(guī)模展開,已近十年的歷程。校園網(wǎng)的建設(shè)重點已從最初單純的網(wǎng)絡(luò)硬件鋪設(shè),簡單的Internet接入,小規(guī)模離散的應(yīng)用,發(fā)展到大規(guī)模成系統(tǒng)的網(wǎng)絡(luò)應(yīng)用。近年隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展,網(wǎng)絡(luò)應(yīng)用日益普及,學(xué)校的教學(xué)和管理對校園網(wǎng)的依賴程度不斷加大。網(wǎng)絡(luò)的脆弱性,使得依賴于網(wǎng)絡(luò)的教學(xué)與管理面臨著安全威脅,網(wǎng)絡(luò)安全成了校園網(wǎng)建設(shè)的焦點問題。構(gòu)建安全的校園網(wǎng)并不是簡單的堆砌網(wǎng)絡(luò)安全技術(shù)或安全產(chǎn)品,它不僅涉及到技術(shù)層面,也涉及到非技術(shù)層面。本文似從技術(shù)和管理兩個層面來探討如何構(gòu)建安全的校園網(wǎng)絡(luò)系統(tǒng)。

2 校園網(wǎng)的特點及安全現(xiàn)狀分析

校園網(wǎng)有著自己鮮明的特點:一是大規(guī)模、高速網(wǎng)絡(luò)環(huán)境,主要表現(xiàn)為用戶數(shù)據(jù)龐大、地域分布的多校區(qū)網(wǎng)絡(luò)和快速局域網(wǎng)技術(shù);二是復(fù)雜的應(yīng)用和業(yè)務(wù)類型,主要表現(xiàn)為公共服務(wù)、科研應(yīng)用、教學(xué)輔助、學(xué)生管理、行政管理、教學(xué)管理和普通上網(wǎng)應(yīng)用等;三是活躍的、不同使用水平的網(wǎng)絡(luò)用戶群體,即有普通的用戶群、又有管理用戶群,還有網(wǎng)絡(luò)相關(guān)專業(yè)的學(xué)生用戶群,他們網(wǎng)絡(luò)應(yīng)用目的不同,對網(wǎng)絡(luò)的熟悉程度不同;三是大量的非正版軟件和電子資源;五是開放的環(huán)境和寬松的安全管理體制;六有限的資金投入。這些特點使得校園網(wǎng)既不像Internet那樣毫無限制,又不像電子商務(wù)企業(yè)那樣為強(qiáng)化安全與保密而嚴(yán)加管理和控制。

校園網(wǎng)的上述特點,使得校園網(wǎng)一方面要面臨一般企業(yè)網(wǎng)絡(luò)所必須面對的各種安全威脅,如:普遍存在的計算機(jī)系統(tǒng)漏洞產(chǎn)生的各種安全隱患;計算機(jī)蠕蟲、木馬、病毒泛濫,對用戶主機(jī)、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)運行構(gòu)成的嚴(yán)重威脅;外來的攻擊、入侵等惡意行為、垃圾信息和不良信息的傳播行為等。另一方面校園網(wǎng)又不得不應(yīng)付來自內(nèi)部的安全威脅,如內(nèi)部用戶的攻擊行為,對網(wǎng)絡(luò)資源的濫用行為等等。

3 校園網(wǎng)安全需求分析

在校園網(wǎng)的安全設(shè)計中,必須考慮到校園網(wǎng)的上述特殊性。不能將整個校園網(wǎng)作為單一的安全區(qū)域,必須根據(jù)不同的應(yīng)用類型、不同的服務(wù)對象將校園網(wǎng)劃分為具有不同安全等級的區(qū)域,并針對這些區(qū)域進(jìn)行專門的安全設(shè)計。一般來說,我們可以將校園網(wǎng)分為:學(xué)生網(wǎng)絡(luò)、教學(xué)管理網(wǎng)絡(luò)、公共應(yīng)用服務(wù)網(wǎng)絡(luò)、網(wǎng)絡(luò)管理系統(tǒng)和分校區(qū)網(wǎng)絡(luò)等幾個部分。下面對這些網(wǎng)絡(luò)的安全需求進(jìn)行分析。

3.1 Internet連通性的安全需求

Internet連通性是校園網(wǎng)最重要的功能,一方面要滿足內(nèi)部用戶的Internet訪問要求,另一方面又要對外Web服務(wù)、電子郵件服務(wù)和FTP服務(wù)等公共服務(wù)。而Internet卻是攻擊和威脅的重要來源,阻斷所有不能接受的訪問流量是最基本的安全需求,同時保持對來自Internet的網(wǎng)絡(luò)攻擊的檢測能力,是防范求知攻擊的必然要求。與內(nèi)部用戶的上網(wǎng)需求相比,校網(wǎng)園對外的公共服務(wù)應(yīng)該受到更好的安全保護(hù),在設(shè)計時必須給予重點考慮。

3.2 學(xué)生網(wǎng)絡(luò)的安全需求

學(xué)生網(wǎng)絡(luò)兩大特點:一是用戶數(shù)量多數(shù)據(jù)流量大,學(xué)生是P2P(peer-to-peer)應(yīng)用的熱衷者,而P2P應(yīng)用則是網(wǎng)絡(luò)帶寬的“殺手”,2006年我院對擁有1100多用戶的學(xué)生網(wǎng)絡(luò)進(jìn)行了一項測試,使用一款“P2P終結(jié)者”軟件來屏蔽P2P數(shù)據(jù)包,結(jié)果網(wǎng)絡(luò)出口總流量驟降一半,據(jù)此可以估算有50%網(wǎng)絡(luò)帶寬被P2P軟件所消耗。事實上這個估算是保守的,有研究表明,P2P流量取代了HTTP流量成為Internet流量的主體,占Internet中總流量的60%~70%,占最后一公里接入網(wǎng)流量的80%[1];二是用戶類型復(fù)雜,2007年我院的一次問卷調(diào)查表明,85%以上的學(xué)生缺乏網(wǎng)絡(luò)安全意識,近5%的學(xué)生用戶偶爾嘗試過網(wǎng)絡(luò)攻擊,近0.2%的學(xué)生在研究網(wǎng)絡(luò)攻擊技術(shù),他們是內(nèi)部攻擊的主要來源,也是最主要的病毒源和木馬源。因此在進(jìn)行網(wǎng)絡(luò)安全考慮時,首先要對來自學(xué)生網(wǎng)絡(luò)的帶寬進(jìn)行限制,以保證網(wǎng)絡(luò)資源的合理分配;其次要約束學(xué)生網(wǎng)絡(luò)對校園網(wǎng)關(guān)鍵服務(wù)的訪問,盡最大努力過濾其運行特定應(yīng)用程序的能力;同時還需要加強(qiáng)對網(wǎng)絡(luò)流量嗅探和中間人攻擊(MITM)的防范能力,以減少學(xué)生相互間的攻擊。

3.3 教學(xué)管理網(wǎng)絡(luò)的安全需求

鑒于教學(xué)管理數(shù)據(jù)的安全性需求高,教學(xué)管理網(wǎng)絡(luò)與學(xué)生網(wǎng)絡(luò)絕對不能位于同一個信任級別,應(yīng)該有更高的安全需求,給予保護(hù)并與校園網(wǎng)絡(luò)的其他部分進(jìn)行隔離。主要有以下三項安全措施,一是設(shè)置防火墻實施訪問控制;二是設(shè)置入侵檢測系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全監(jiān)測;三是強(qiáng)化論證,雖然加密所有教學(xué)管理應(yīng)用程序太過繁重,但是對于某些關(guān)鍵系統(tǒng)(會計和學(xué)生記錄)應(yīng)該要求強(qiáng)認(rèn)證。

3.4 網(wǎng)絡(luò)管理系統(tǒng)的安全需求

網(wǎng)絡(luò)管理系統(tǒng)負(fù)責(zé)整個校園網(wǎng)的通暢和安全管理工作,確保網(wǎng)絡(luò)管理系統(tǒng)的安全是非常重要的工作,因此應(yīng)該設(shè)置防火墻將管理網(wǎng)絡(luò)與校園網(wǎng)的其它部分進(jìn)行隔離加以保護(hù)。

3.5 分校區(qū)網(wǎng)絡(luò)連接的安全需求

分校區(qū)和遠(yuǎn)程用戶都需要直接訪問校園網(wǎng)內(nèi)部的服務(wù),出于資金考慮,多數(shù)的分校網(wǎng)絡(luò)都沒有專線連通,部分學(xué)校嘗試無線通信,實際情況看來,其保密性和穩(wěn)定性都不高。比較經(jīng)濟(jì)實用的解決方案就是,使用虛擬專用網(wǎng)(VPN)技術(shù)穿過廣域網(wǎng)(WAN)。

4 校園網(wǎng)結(jié)構(gòu)的安全設(shè)計

基于上述校園網(wǎng)安全的分析,我們可以設(shè)計出如圖1所示的安全校園網(wǎng)絡(luò)系統(tǒng)。

4.1 校園網(wǎng)邊界安全設(shè)計

Internet接入是校園網(wǎng)最基本的業(yè)務(wù)需求,與Internet相比,校園網(wǎng)內(nèi)部自然是一塊相對單純的可信任安全區(qū)域,為保證校園網(wǎng)內(nèi)部的安全性和校園網(wǎng)公共服務(wù)的可訪問性,需在校園網(wǎng)邊界進(jìn)行如下安全設(shè)置。

一是設(shè)置防火墻:防火墻首先要提供入網(wǎng)級的訪問控制功能,以有效地阻斷來自Internet的非法訪問;其次要提供虛擬專用網(wǎng)(VPN)功能,借助廣域網(wǎng)實現(xiàn)遠(yuǎn)程分校區(qū)網(wǎng)絡(luò)的安全連接,使得訪問遠(yuǎn)程校園網(wǎng)絡(luò),如同訪問本地網(wǎng)絡(luò)一個方便安全,在保證安全性的同時還可以節(jié)省出專線費用;最后還應(yīng)具備網(wǎng)絡(luò)地址轉(zhuǎn)換功能(NAT),使得Internet用戶可以訪問校園網(wǎng)內(nèi)部的公共服務(wù)。二是設(shè)置AAA認(rèn)證服務(wù)器,提供對用戶身份認(rèn)證、安全管理、安全責(zé)任跟蹤和計費等功能。三是設(shè)置網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS),同時可在邊界路由器上啟用NetFlow功能,以加強(qiáng)對非法入侵和惡意攻擊行為的檢測和發(fā)現(xiàn)能力,為網(wǎng)絡(luò)管理員提供網(wǎng)絡(luò)異常事件的處理能力。

4.2 學(xué)生網(wǎng)絡(luò)的安全設(shè)計

從前面的校園網(wǎng)業(yè)務(wù)需求的安全性分析可知,校園網(wǎng)內(nèi)部并非鐵板一塊,不同的業(yè)務(wù)需求對安全性的要求是不同的,相對來說學(xué)生網(wǎng)絡(luò)的安全級別最低。針對學(xué)生網(wǎng)絡(luò)用戶數(shù)量龐大、用戶類型的復(fù)雜性的特點,主要可采取以下安全措施:一是為保證網(wǎng)絡(luò)資源的合理有效分配,必須進(jìn)行網(wǎng)絡(luò)流量限制;二是在交換機(jī)處提供必要的第二層安全控制,以減少網(wǎng)絡(luò)流量嗅探攻擊,中間人攻擊(Man-in-the-middle-attacks,簡稱:MITM攻擊);三是在不同學(xué)生網(wǎng)段的路由器上設(shè)置無狀態(tài)ACL,以實現(xiàn)數(shù)據(jù)過濾。后兩項措施可以緩解學(xué)生系統(tǒng)之間的相互攻擊??傮w上講,學(xué)生網(wǎng)絡(luò)的安全防護(hù)功能是相當(dāng)弱的,主要的安全防護(hù)功能落在了學(xué)生主機(jī)上,因此必須加強(qiáng)網(wǎng)絡(luò)安全教育,提高學(xué)生的安全防范意識和能力。但是較低的安全防護(hù)設(shè)計卻給學(xué)生創(chuàng)造了一個相當(dāng)寬松的網(wǎng)絡(luò)環(huán)境。

4.3 教學(xué)管理網(wǎng)絡(luò)和公共服務(wù)網(wǎng)絡(luò)的安全設(shè)計

教學(xué)管理網(wǎng)絡(luò)和公共服務(wù)網(wǎng)絡(luò)的服務(wù)器中存在著大量敏感的數(shù)據(jù),比如說學(xué)生成績和學(xué)生注冊信息,它們極易受到來自于Internet及學(xué)生網(wǎng)絡(luò)的攻擊,因此也就提出了更高的安全需求。對教學(xué)管理網(wǎng)絡(luò)和公共服務(wù)網(wǎng)絡(luò)的安全設(shè)計,相當(dāng)于在校網(wǎng)絡(luò)的基礎(chǔ)上建立起一個安全性更高的內(nèi)部網(wǎng)絡(luò)。其安全設(shè)置類似于校園網(wǎng)與Internet之間的安全設(shè)計,如添加防火墻進(jìn)行訪問控制,增加NIDS進(jìn)行入侵檢測。從圖中可以看到,對學(xué)生網(wǎng)絡(luò)來說,它有一道防護(hù)屏障,而相對于Internet再說,它受到兩道防護(hù)屏障的保護(hù)。這是一個合理的安全等級層次。

4.4 管理網(wǎng)絡(luò)的安全設(shè)計

管理網(wǎng)絡(luò)看似類似于行政網(wǎng)管,需要使用防火墻進(jìn)行保護(hù)。但是它有完全不同的業(yè)務(wù)需求,它負(fù)責(zé)整個網(wǎng)絡(luò)的安全管理,要根據(jù)各種校園網(wǎng)絡(luò)設(shè)備的管理需求,設(shè)置允許入站和出站的特定連接。因為它的周圍有許多不可信的網(wǎng)絡(luò),在網(wǎng)絡(luò)設(shè)備與管理網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳送時,必須保證數(shù)據(jù)的安全保密性,因此數(shù)據(jù)傳遞過程中的安全要求較高,在數(shù)據(jù)通信需要使用SSH/SSL等安全通信協(xié)議。對于那些不支持SSH/SSL的網(wǎng)絡(luò)設(shè)置,只能使用如Telnet之類的明文管理協(xié)議,在這種缺乏安全協(xié)議的情況下,應(yīng)該限制可訪問Telnet后臺程序的IP地址,以增加這些網(wǎng)絡(luò)設(shè)備管理的安全性。

5 校園網(wǎng)安全管理

校園網(wǎng)的安全性不僅僅是一個技術(shù)問題,還需要安全管理的支持。安全的校園網(wǎng)絡(luò)系統(tǒng)是安全技術(shù)與安全管理有機(jī)結(jié)合的整體,它遵循所謂的“木桶原理”。正如木桶的容積決定于它最短的木板一樣,校園網(wǎng)系統(tǒng)的安全強(qiáng)度等于它最薄弱環(huán)節(jié)的安全強(qiáng)度。經(jīng)驗表明,得不到足夠重視的網(wǎng)絡(luò)安全管理恰恰是校園網(wǎng)安全系統(tǒng)中最薄弱的一個環(huán)節(jié)。安全專家們則強(qiáng)調(diào)網(wǎng)絡(luò)安全靠的是“三分技術(shù),七分管理”。

為加強(qiáng)校園網(wǎng)的管理,需要做好以下四項工作:一是觀念的更新,網(wǎng)絡(luò)安全不止是技術(shù)部門和專業(yè)人員的責(zé)任,應(yīng)該得到學(xué)校高層的充分重視,需要所有的網(wǎng)絡(luò)用戶的共同遵循安全規(guī)則;二是建立網(wǎng)絡(luò)安全管理機(jī)構(gòu),明確權(quán)力和負(fù)責(zé),從組織機(jī)構(gòu)上保障網(wǎng)絡(luò)安全管理的有效實施;三是制訂網(wǎng)絡(luò)安全管理制度,明確校園網(wǎng)用戶的權(quán)利和義務(wù),使用戶共同遵循校園網(wǎng)使用規(guī)則;四是建立完善的安全管理及應(yīng)急響應(yīng)機(jī)制,以對突發(fā)性安全事件做出迅速準(zhǔn)確的處理,最大限度地減少損失。

安全事件處理機(jī)制的建立往往是校園網(wǎng)安全管理的盲區(qū)。與國防、金融等機(jī)構(gòu)比起來校園網(wǎng)的安全級別低,應(yīng)付安全突發(fā)事件的重要性并不是太突出。而且在一般情況下,意外事件發(fā)生的幾率不高,應(yīng)付安全突發(fā)事件的必要性也往往被忽視。但是100%安全的網(wǎng)絡(luò)是不存在的,如果不能對網(wǎng)絡(luò)安全事件做出迅速而準(zhǔn)確的響應(yīng),就有可能造成重大的損失。事實是,歷史上幾次重大的安全突發(fā)事件所造成的惡劣影響,使得各國都非常重視緊急事件響應(yīng)處理。美國國防部于1989年資助卡內(nèi)基.梅隆大學(xué)建立了世界上第一個計算機(jī)緊急響應(yīng)小組CERT(Computer Emergency Response Team)及其協(xié)調(diào)中心CC(Coordination Center)。CERT/CC的成立標(biāo)志著信息安全由傳統(tǒng)的靜態(tài)保護(hù)手段開始轉(zhuǎn)變?yōu)橥晟频膭討B(tài)防護(hù)機(jī)制。此后在20世紀(jì)90年代,計算機(jī)安全應(yīng)急處理得到了廣泛而深入的研究。在我國,中國計算機(jī)教育與科研網(wǎng)(CERNET)于1999年成立計算機(jī)緊急事件響應(yīng)組織(CCERT),是國內(nèi)第一個安全事件響應(yīng)組織;2000年3月,中國計算機(jī)網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心(CNCERT/CC)成立,該中心在國家因特網(wǎng)應(yīng)急小組協(xié)調(diào)辦公室的直接領(lǐng)導(dǎo)下,協(xié)調(diào)全國范圍內(nèi)計算機(jī)安全事件響應(yīng)小組的工作,并加強(qiáng)與國際計算機(jī)安全組織的交流。

在校園網(wǎng)建設(shè)中,借助CERT的理念和研究成果,建立必要的網(wǎng)絡(luò)管理和應(yīng)急響應(yīng)機(jī)制將有利于規(guī)范和提高校園網(wǎng)安全管理能力。圖2所示,是一個可行的網(wǎng)絡(luò)管理和應(yīng)急響應(yīng)機(jī)制構(gòu)建方案,說明如下。

1) 網(wǎng)絡(luò)安全的日常管理:在校園網(wǎng)的關(guān)鍵部分加強(qiáng)網(wǎng)絡(luò)安全的日常管理,使日志檢查、漏洞掃描、系統(tǒng)升級、病毒防御等工作制度化、常規(guī)化,盡量減少因管理員疏忽等主觀因素而引起的安全事件。建立責(zé)任追究制度,強(qiáng)化網(wǎng)絡(luò)管理人員的責(zé)任心。

2) 網(wǎng)絡(luò)安全應(yīng)急小組:接收并處理來自用戶的安全突發(fā)事件,NetFowl等流量分析的異常報告、入侵檢測系統(tǒng)的入侵警告和日常管理中的安全事件報告。通過分析調(diào)查,決定采取相應(yīng)的應(yīng)急處理措施,如系統(tǒng)隔離、事件跟蹤、漏洞修補(bǔ)、安全策略調(diào)整、系統(tǒng)恢復(fù)和統(tǒng)計報告等等。同時為廣大用戶提供各種安全服務(wù),如安全咨詢、安全教育和安全工具等等。

6 小結(jié)

網(wǎng)絡(luò)安全是當(dāng)前校園網(wǎng)建設(shè)和應(yīng)用的焦點問題,本文從技術(shù)和管理層面深入地討論了安全校園網(wǎng)系統(tǒng)的建設(shè)問題。在技術(shù)層面上,需要根據(jù)校園網(wǎng)應(yīng)用的不同,劃分不同的安全等級區(qū)域,并針對各個區(qū)域的應(yīng)用需求進(jìn)行安全設(shè)計;在管理層面上,特別強(qiáng)調(diào)建立網(wǎng)絡(luò)安全管理及應(yīng)急響應(yīng)機(jī)制,保障網(wǎng)絡(luò)管理的規(guī)范化、制度化,提高網(wǎng)絡(luò)安全管理能力。

參考文獻(xiàn):

[1] CacheLogicResearch. The true pictures of P2P file sharing [EB/OL]./research/slide1.php,2004.

[2] Convery S.網(wǎng)絡(luò)安全體系結(jié)構(gòu)[M].江魁,譯.北京:人民郵電出版社,2005.

[3] 連一峰,戴英俠.計算機(jī)應(yīng)急響應(yīng)系統(tǒng)體系研究[J].中國科學(xué)院研究生院學(xué)報,2004,21(2):202-209.

第6篇:信息安全事件報告范文

按照全縣公共安全防控體系建設(shè)的要求,初步建立起*縣電力公共安全各類突發(fā)事件應(yīng)急處理機(jī)制,使各類應(yīng)急預(yù)案“層次分明、上下一致、分工明確、相互協(xié)調(diào)”運轉(zhuǎn),更加有效地預(yù)防控制、最大限度地降低因突發(fā)事件引起的人員傷亡、設(shè)備損壞、財產(chǎn)損失、不良社會影響,努力實現(xiàn)電力公共安全事故的全面防控,提高全民安全意識,最大限度地維護(hù)人民群眾的生命財產(chǎn)安全,為全縣經(jīng)濟(jì)發(fā)展和社會穩(wěn)定提供有力的電力安全保障。

二、指導(dǎo)思想

堅持以科學(xué)發(fā)展觀為指導(dǎo),以人為本,著力構(gòu)建和諧社會,努力提高公眾公共安全意識,實現(xiàn)公共安全事故的全面防范,最大限度預(yù)防遏制重特大公共安全事故發(fā)生,切實保障人民群眾的生命財產(chǎn)安全和社會穩(wěn)定,促進(jìn)全縣經(jīng)濟(jì)社會持續(xù)快速發(fā)展。

三、組織機(jī)構(gòu)

1、領(lǐng)導(dǎo)機(jī)構(gòu):成立由縣委常委、縣政府副縣長張璋任組長,縣經(jīng)委主任劉海清任副組長、縣水利局局長蒲亞平、縣安監(jiān)局局長曾文、縣公安局副局長劉茂森、縣經(jīng)委副主任劉沛、縣公安消防大隊大隊長任輝、省電力公司*供電公司總經(jīng)理丁華等相關(guān)部門負(fù)責(zé)人為成員的電力公共安全應(yīng)急領(lǐng)導(dǎo)小組(以下簡稱領(lǐng)導(dǎo)小組)。

2、工作機(jī)構(gòu):領(lǐng)導(dǎo)小組下設(shè)辦公室,作為電力公共安全的工作機(jī)構(gòu),由縣經(jīng)委主任兼任辦公室主任,主要承擔(dān)電力公共安全的日常工作,上傳下達(dá),及時通報有關(guān)涉及電力公共安全的事宜,負(fù)責(zé)紅色、橙色、黃色和藍(lán)色(Ⅰ級、Ⅱ級、Ⅲ級和Ⅳ級)四級預(yù)警,紅色為最高級別,同時要求應(yīng)急處理組織體系的相關(guān)人員進(jìn)入待命狀態(tài)。

四、工作職責(zé)

1、貫徹落實國家和省、市、縣有關(guān)電力公共安全工作的政策方針、法律、法規(guī),執(zhí)行省、市、縣有關(guān)電力公共安全事故包括電力生產(chǎn)事故、電力設(shè)施破壞、嚴(yán)重自然災(zāi)害、對社會造成嚴(yán)重影響等應(yīng)急處理的規(guī)程、規(guī)定。

2、啟動及終止電力公共安全應(yīng)急預(yù)案的指令,指揮縣經(jīng)委、省電力公司*供電公司的應(yīng)急處理工作,研究應(yīng)急處理中的重大問題并決定處理方法。

3、組織制訂全縣電力公共安全事故應(yīng)急處理預(yù)案并定期對其評估,通報電力運行安全狀況。

4、接受縣政府及上級應(yīng)急處理指揮部的領(lǐng)導(dǎo)。

5、報道、通報和電力公共安全事故應(yīng)急救援和處理的進(jìn)展情況。

6、及時上報電力公共安全事故情況,協(xié)助縣政府應(yīng)急辦及上級應(yīng)急處理指揮部進(jìn)行事故調(diào)查、分析、處理。

五、防控范圍及內(nèi)容

電力公共安全的可控范圍主要是指全縣行政區(qū)域內(nèi)的城鎮(zhèn)和農(nóng)村電力系統(tǒng)安全穩(wěn)定,保證電力正常供應(yīng),防止和杜絕人身死亡、大面積停電事故、主設(shè)備嚴(yán)重?fù)p壞、電廠垮壩、重大火災(zāi)等。主要內(nèi)容包括:本轄區(qū)內(nèi)電力企業(yè)的輸、變、配電設(shè)備事故應(yīng)急處理、冰凍雨雪災(zāi)害下保供電的快速應(yīng)變能力、人身傷亡事故應(yīng)急處置、重點電力客戶停電事件應(yīng)急處置、電力系統(tǒng)網(wǎng)絡(luò)與信息安全突發(fā)事件處置、洪澇災(zāi)害下保證供電的快速應(yīng)變能力、抗震救災(zāi)搶險應(yīng)急處理能力等等。適用范圍:本行政區(qū)域轄區(qū)內(nèi)電力生產(chǎn)事故、電力設(shè)施破壞、嚴(yán)重自然災(zāi)害、對社會造成嚴(yán)重影響的供電中斷等突發(fā)事件應(yīng)急處理工作。

六、防控措施及預(yù)警救援

(一)電力企業(yè)采取的防控措施及預(yù)警救援

1、省電力公司*供電公司應(yīng)當(dāng)按照電力建設(shè)規(guī)劃,科學(xué)布網(wǎng),安全施工,不得使用國家明令淘汰的設(shè)備和技術(shù)。

2、電力企業(yè)應(yīng)當(dāng)對電力設(shè)施定期進(jìn)行檢測和維護(hù),嚴(yán)格保護(hù)電力設(shè)施,確保安全運行。

3、當(dāng)突發(fā)電力安全事故發(fā)生時,省電力公司*供電公司公司根據(jù)電力公共安全應(yīng)急領(lǐng)導(dǎo)小組的要求,按照“統(tǒng)一領(lǐng)導(dǎo)、分工協(xié)作、反應(yīng)及時、措施果斷、依靠科學(xué)”的事故應(yīng)急處理原則處理突發(fā)電力公共安全事故。

4、省電力公司*供電公司所屬供電區(qū)域在發(fā)生突發(fā)公共安全事件第一時間,現(xiàn)場有關(guān)人員應(yīng)立即報告本單位負(fù)責(zé)人。單位負(fù)責(zé)人接到事件報告后,應(yīng)迅速采取有效措施,組織搶救,防止事態(tài)擴(kuò)大,減少人員傷亡和財產(chǎn)損失,并按照規(guī)定及時上報,不得隱瞞不報、謊報或者拖延不報,不得故意破壞事故現(xiàn)場,銷毀有關(guān)證據(jù)。

5、可以預(yù)警的自然災(zāi)害、事故災(zāi)難,按照突發(fā)事件發(fā)生的緊急程度、發(fā)展勢態(tài)和可能造成的危害程度分為Ⅰ級、Ⅱ級、Ⅲ級和Ⅳ級,分別用紅色、橙色、黃色和藍(lán)色標(biāo)示。當(dāng)縣政府發(fā)出橙色、紅色預(yù)警時,電力企業(yè)要做好應(yīng)急預(yù)案啟動的準(zhǔn)備,同時要求應(yīng)急處理組織體系相關(guān)人員進(jìn)入待命狀態(tài)。

6、當(dāng)發(fā)生嚴(yán)重自然災(zāi)害及大的電網(wǎng)、設(shè)備事故等需要多方協(xié)作、支援時,電力企業(yè)須立即呈報縣政府調(diào)度一切有效資源,進(jìn)行搶險與救援。

(二)政府電力主管部門采取的防控措施及預(yù)警救援

1、開展電力設(shè)施保護(hù)的宣傳教育,會同電力企業(yè)及有關(guān)單位落實電力設(shè)施安全保護(hù)責(zé)任制,處置電力違法行為。

2、督促電力企業(yè)對電力設(shè)施進(jìn)行定期檢查和維護(hù)。

3、當(dāng)發(fā)生突發(fā)性電力公共安全事故時,由電力公共安全應(yīng)急領(lǐng)導(dǎo)小組及時將相關(guān)信息報送縣政府應(yīng)急辦,并根據(jù)突發(fā)事件發(fā)生的緊急程度、發(fā)展勢態(tài)和可能造成的危害程度發(fā)出預(yù)警信息。

4、根據(jù)縣政府應(yīng)急辦的指令,及時啟動各類應(yīng)急預(yù)案,開展工作,敦促電力企業(yè)保證事故搶險救災(zāi)的電力供應(yīng),保證重要用戶的安全可靠供電,盡快組織電力企業(yè)排除電網(wǎng)險情,修復(fù)受損設(shè)備設(shè)施,恢復(fù)災(zāi)區(qū)供電。

5、及時報道、通報突發(fā)電力公共安全事故應(yīng)急救援和處理的進(jìn)展情況,指揮或配合縣政府應(yīng)急辦進(jìn)行事故調(diào)查、分析、處理。

第7篇:信息安全事件報告范文

關(guān)鍵詞:商業(yè)銀行;電子商務(wù);風(fēng)險管理

商業(yè)銀行從事金融業(yè)務(wù)面臨著市場風(fēng)險、信用風(fēng)險、以及操作風(fēng)險等,而電子商務(wù)的出現(xiàn)則加劇了上述各類風(fēng)險發(fā)生的可能性以及風(fēng)險發(fā)生之后的破壞程度。2004年以來,我國面臨的網(wǎng)絡(luò)仿冒威脅正在逐漸加大,仿冒對象主要是金融網(wǎng)站和電子商務(wù)網(wǎng)站。2005年上半年共收到網(wǎng)絡(luò)安全事件報告65679件,超過2004年全年案件數(shù),商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略已成為理論與實踐中必須重視的課題。

一、信息安全管理的歷史演進(jìn)與現(xiàn)階段的特點

信息安全管理的策略大體遵循事件驅(qū)動(技術(shù)和管理脫節(jié))-逐漸標(biāo)準(zhǔn)化(技術(shù)和管理逐漸結(jié)合)——安全風(fēng)險管理(引入了風(fēng)險分析)的發(fā)展路徑。

(一)以事件驅(qū)動的初級階段時期

19世紀(jì)70年代安全主要是指物理設(shè)備和環(huán)境的安全,人與計算機(jī)之間的交互主要局限在大型計算機(jī)上的啞終端,安全問題只涉及能訪問終端的少數(shù)人。安全管理策略處于初級階段,由事件驅(qū)動,沒有形成規(guī)范的管理流程。在此階段的前期,只重視技術(shù)手段。后期開始重視管理手段,但是技術(shù)和管理之間脫節(jié)。許多組織對信息安全制定了相應(yīng)的規(guī)章和制度,但組織的信息安全管理基本上還處在一種靜態(tài)、局部、少數(shù)人負(fù)責(zé)、突擊式、事后糾正式的管理方式。

(二)標(biāo)準(zhǔn)化時期

企業(yè)開始將安全問題作為整體考慮,形成一套較為完整的安全管理策略,其中包括了安全管理的技術(shù)手段和管理制度(或稱運作管理)。幾乎所有從事電子商務(wù)的企業(yè)都擁有自己的安全策略,內(nèi)容也包括了技術(shù)手段、安全管理制度、人員安全教育等等,基本上形成體系,技術(shù)和管理手段綜合統(tǒng)一,但是安全風(fēng)險分析還存在不足之處。

(三)安全風(fēng)險管理策略時期

隨著電子商務(wù)安全管理發(fā)展到一個比較高的層次,安全管理策略也演進(jìn)到安全風(fēng)險管理階段。主要特點如下:

1.安全風(fēng)險管理成為主流趨勢;在安全管理策略的演進(jìn)過程中,技術(shù)和管理手段綜合統(tǒng)一、又融入了風(fēng)險管理的分析、防范策略,從而安全管理進(jìn)入了安全風(fēng)險管理時期。西方商業(yè)銀行已對安全風(fēng)險管理形成共識。如安氏公司(is—One),認(rèn)為信息安全問題最終將歸結(jié)為風(fēng)險管理問題,風(fēng)險管理方法是建立良性的安全技術(shù)和管理體系的依據(jù)和基礎(chǔ)。

2.安全風(fēng)險管理的國際標(biāo)準(zhǔn)和各國的規(guī)范逐漸形成并趨于完善。國際上關(guān)于安全風(fēng)險管理的標(biāo)準(zhǔn)有巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務(wù)風(fēng)險管理原則》、英國標(biāo)準(zhǔn)協(xié)會制訂的BS7799等。各國也日益重視安全風(fēng)險管理,制定了許多規(guī)范。例如美國貨幣監(jiān)理署(OCC)的《電子銀行最終規(guī)則》、香港金融管理局的《電子銀行服務(wù)的安全風(fēng)險管理》等。中國銀行業(yè)監(jiān)督管理委員也于2006年頒布了《電子銀行業(yè)務(wù)管理辦法》,對國內(nèi)企業(yè)的電子商務(wù)安全風(fēng)險管理給出了指導(dǎo)意見。

3.利用外部專業(yè)化機(jī)構(gòu)對金融機(jī)構(gòu)的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術(shù)風(fēng)險,在相當(dāng)程度上取決于采用的信息技術(shù)的先進(jìn)程度,系統(tǒng)的設(shè)計開發(fā)水平,以及相關(guān)設(shè)施設(shè)備及其供應(yīng)商的選擇等;銀行依靠傳統(tǒng)的風(fēng)險管理機(jī)制已很難識別、監(jiān)測、控制和管理相關(guān)風(fēng)險。同樣,監(jiān)管機(jī)構(gòu)也難以完全依靠自身的力量對電子銀行的安全性進(jìn)行準(zhǔn)確評價和監(jiān)控。因此,大部分國家都采用了依靠外部專業(yè)化機(jī)構(gòu)定期對電子銀行安全性進(jìn)行評估的辦法,加強(qiáng)對電子銀行安全性和技術(shù)風(fēng)險的管理和監(jiān)管。

4.在許多國家信息系統(tǒng)審計(IsAudit)作為一種信息技術(shù)服務(wù)被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務(wù)。業(yè)界的IT風(fēng)險分析師也成為一種職業(yè),專門從事電子商務(wù)的安全風(fēng)險工作,從經(jīng)濟(jì)學(xué)的角度出發(fā)分析風(fēng)險,充分衡量保持安全的代價和收益之間的關(guān)系,尋求用最小的代價實現(xiàn)最大的效用,在風(fēng)險分析中也形成一套較為成熟的模式。

二、我國商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略的薄弱點

(一)系統(tǒng)管理思想缺乏

目前的電子商務(wù)安全風(fēng)險管理策略,在全局上缺乏系統(tǒng)論理論的指導(dǎo),在實際操作中受到多種多樣的安全攻擊時會不可避免地出現(xiàn)安全漏洞,無法形成一張全面有序的安全網(wǎng)絡(luò)。

實踐中被采用的安全風(fēng)險管理策略,以及作為指導(dǎo)意見的規(guī)則規(guī)范,如《信息安全管理實務(wù)準(zhǔn)則》(IS017799)、《信息技術(shù)安全性評估準(zhǔn)則》(GB/T18336.1)、巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務(wù)風(fēng)險管理原則》,盡管提出了比較全面的安全風(fēng)險管理方案,層次上也比較清晰,但是還不足以作為一個風(fēng)險防范系統(tǒng)。實踐中,電子商務(wù)組織是一個復(fù)雜的系統(tǒng)組織,電子商務(wù)的安全風(fēng)險管理體系和過程也是個復(fù)雜的系統(tǒng)。系統(tǒng)論、控制論的思想在電子商務(wù)安全風(fēng)險管理中是不可或缺的。

(二)風(fēng)險分析的模型與方法不成熟,定量分析不足

電子商務(wù)模式自身的發(fā)展歷史也不過20幾年,在風(fēng)險分析的定量技術(shù)上并不成熟;如BS7799中推薦的電子商務(wù)安全風(fēng)險管理中實施風(fēng)險評估時,往往將威脅發(fā)生的可能性定性劃分為幾個級別,將威脅所造成的影響也定性劃分為1~5級,實質(zhì)上是將一些按照概率發(fā)生的事件定義為不連續(xù)的幾個級別,在操作上易行,但造成了度量的不精確。在進(jìn)行監(jiān)控和審計之后,也存在無法量化、對比的問題。

(三)忽視與原有的傳統(tǒng)風(fēng)險管理策略的結(jié)合

本質(zhì)上,電子商務(wù)的安全風(fēng)險無非是新興的商業(yè)模式對傳統(tǒng)的風(fēng)險的改變,以及產(chǎn)生的在傳統(tǒng)風(fēng)險控制領(lǐng)域暫時無法明晰的新風(fēng)險;現(xiàn)有管理策略只從信息技術(shù)的角度、或者從偏重技術(shù)的角度看待問題,站在金融領(lǐng)域本身來分析研究較少。這種狀況導(dǎo)致了對電子商務(wù)安全風(fēng)險管理的研究無法立足于一個比較高的層次;忽略了風(fēng)險的整體性,只進(jìn)行偏信息和技術(shù)的研究,導(dǎo)致了現(xiàn)有的電子商務(wù)安全風(fēng)險管理策略與金融機(jī)構(gòu)原有的傳統(tǒng)業(yè)務(wù)風(fēng)險管理策略存在差距。對于商業(yè)銀行而言,傳統(tǒng)金融業(yè)務(wù)的風(fēng)險控制與電子商務(wù)的技術(shù)風(fēng)險控制,兩個方面存在脫節(jié),同樣屬于商業(yè)銀行的風(fēng)險,存在著不同的管理策略,導(dǎo)致多頭管理、資源浪費、機(jī)構(gòu)之間的扯皮,乃至缺位管理。

(四)風(fēng)險管理策略無法

依賴外部的信息安全管理行業(yè)

在發(fā)達(dá)國家,信息系統(tǒng)審計(IsAudit)作為一種信息技術(shù)服務(wù)被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務(wù)。IT風(fēng)險分析師也成為一種職業(yè),專門從事電子商務(wù)的安全風(fēng)險工作。商業(yè)銀行采用依靠外部專業(yè)化機(jī)構(gòu)定期對電子銀行的安全性進(jìn)行評估的辦法,提高對電子銀行安全性和技術(shù)風(fēng)險的管理和監(jiān)管。而國內(nèi)初步建立了國家信息安全組織保障體系,制定和引進(jìn)了一批重要的信息安全管理標(biāo)準(zhǔn)、法律法規(guī),風(fēng)險評估工作得到了一定重視,但與發(fā)達(dá)國家成熟完善的外部信息安全管理行業(yè)仍有很大差距。

(五)風(fēng)險管理策略中商業(yè)銀行的內(nèi)部風(fēng)險控制能力薄弱

我國商業(yè)銀行目前均建立起統(tǒng)一的風(fēng)險管理部門;但風(fēng)險控制部門的職能、權(quán)限與花旗銀行等體制較為先進(jìn)的銀行相比仍然存在較大差距,風(fēng)險控制實質(zhì)上仍然分散在各個子部門;風(fēng)險的評估、防范與控制實質(zhì)上完全依靠商業(yè)銀行的電子交易部門;風(fēng)險管理部門、內(nèi)審稽核部門實質(zhì)上無法控制電子商務(wù)安全風(fēng)險。例如,風(fēng)險管理部門接受了電子交易部的風(fēng)險控制報告,表面上履行的內(nèi)控審核的流程,但審核作用有限,無法完成電子商務(wù)安全風(fēng)險管理中的監(jiān)控與審計環(huán)節(jié)。

三、商業(yè)銀行的電子商務(wù)安全風(fēng)險管理策略的改進(jìn)建議

(一)基于系統(tǒng)的思想構(gòu)建商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略框架

利用系統(tǒng)理論作為總體的指導(dǎo)思想,將電子商務(wù)安全風(fēng)險管理策略本身當(dāng)作一個開放的自適應(yīng)系統(tǒng)。將商業(yè)銀行電子商務(wù)安全風(fēng)險管理中的各個環(huán)節(jié)組成循環(huán)上升的系統(tǒng)。

在商業(yè)銀行電子商務(wù)安全風(fēng)險控制的流程中,經(jīng)過信息安全的風(fēng)險評估、資產(chǎn)識別和選擇、實施控制降低風(fēng)險的措施、將風(fēng)險控制在可接受的范圍內(nèi),然后進(jìn)行監(jiān)控和審計;尤其重要的是把監(jiān)控和審計所得到的內(nèi)容作為新一輪風(fēng)險分析輸入,從而開始新一輪的風(fēng)險管理過程。商業(yè)銀行電子商務(wù)安全風(fēng)險管理的各個步驟為動態(tài)的循環(huán)系統(tǒng)。每完成一個循環(huán),安全風(fēng)險管理的有效性就上一個臺階,商業(yè)銀行的安全管理水平變得到了提高。

(二)電子商務(wù)安全風(fēng)險管理中定量分析中的改進(jìn)思路

商業(yè)銀行可以借鑒成熟的傳統(tǒng)金融風(fēng)險度量中的一些方法來改變電子商務(wù)安全風(fēng)險管理中對資產(chǎn)進(jìn)行粗略的優(yōu)先級別排序的方法。實踐中,商業(yè)銀行對操作風(fēng)險的管理與對電子商務(wù)安全風(fēng)險管理有其相似之處。巴塞爾委員會對商業(yè)銀行的操作風(fēng)險的內(nèi)部計量法中規(guī)定,商業(yè)銀行內(nèi)部估計風(fēng)險敞口指標(biāo)、損失事件發(fā)生的概率、風(fēng)險損失,巴塞爾委員會制定資本要求的轉(zhuǎn)換系數(shù);在度量損失的分布時,主要利用統(tǒng)計和精算技術(shù)。商業(yè)銀行應(yīng)通過數(shù)據(jù)庫將威脅發(fā)生的頻率、威脅所造成的影響等精確記錄下來,利用現(xiàn)有的度量方法進(jìn)行精確的風(fēng)險定量分析的嘗試。

(三)將商業(yè)銀行電子商務(wù)安全風(fēng)險納入商業(yè)銀行總體風(fēng)險管理范疇

將商業(yè)銀行所面臨的全部風(fēng)險放在一個框架中考慮。傳統(tǒng)風(fēng)險管理以及電子商務(wù)安全風(fēng)險管理都是風(fēng)險管理系統(tǒng)中子系統(tǒng),二者相互聯(lián)系、相互影響,不可分割。嘗試借鑒信用風(fēng)險與操作風(fēng)險度量的方法與思想,短期內(nèi)將其與信用風(fēng)險控制銜接,最終形成一個全面的商業(yè)銀行安全風(fēng)險管理框架。

(四)商業(yè)銀行要積極促進(jìn)電子商務(wù)安全風(fēng)險管理策略的改進(jìn)(1)充分利用國內(nèi)或國外能夠獲得的信息系統(tǒng)審計、外部信息安全評估等服務(wù),采取定期評估審計、不斷采取措施改善風(fēng)險狀態(tài)的策略;(2)在目前商業(yè)銀行的組織與管理體制下,風(fēng)險控制部門與傳統(tǒng)金融業(yè)務(wù)部門的流程需不斷改善,商業(yè)銀行必須創(chuàng)造條件,加強(qiáng)風(fēng)險管理部門與電子商務(wù)部門的交叉配合,包括各部門人員的配置、培訓(xùn)等各方面;使風(fēng)險管理部門能夠履行安全風(fēng)險管理的監(jiān)控與審計職能;(3)商業(yè)銀行必須重視對傳統(tǒng)金融風(fēng)險與電子商務(wù)安全風(fēng)險的統(tǒng)一度量問題的研究,不斷提高風(fēng)險管理部門綜合控制風(fēng)險的能力,充分考慮電子商務(wù)安全風(fēng)險與信用風(fēng)險、操作風(fēng)險的交叉問題,為實現(xiàn)全面風(fēng)險管理奠定基礎(chǔ)。依賴外部的信息安全管理行業(yè)在發(fā)達(dá)國家,信息系統(tǒng)審計(IsAudit)作為一種信息技術(shù)服務(wù)被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務(wù)。IT風(fēng)險分析師也成為一種職業(yè),專門從事電子商務(wù)的安全風(fēng)險工作。商業(yè)銀行采用依靠外部專業(yè)化機(jī)構(gòu)定期對電子銀行的安全性進(jìn)行評估的辦法,提高對電子銀行安全性和技術(shù)風(fēng)險的管理和監(jiān)管。而國內(nèi)初步建立了國家信息安全組織保障體系,制定和引進(jìn)了一批重要的信息安全管理標(biāo)準(zhǔn)、法律法規(guī),風(fēng)險評估工作得到了一定重視,但與發(fā)達(dá)國家成熟完善的外部信息安全管理行業(yè)仍有很大差距。

(五)風(fēng)險管理策略中商業(yè)銀行的內(nèi)部風(fēng)險控制能力薄弱

我國商業(yè)銀行目前均建立起統(tǒng)一的風(fēng)險管理部門;但風(fēng)險控制部門的職能、權(quán)限與花旗銀行等體制較為先進(jìn)的銀行相比仍然存在較大差距,風(fēng)險控制實質(zhì)上仍然分散在各個子部門;風(fēng)險的評估、防范與控制實質(zhì)上完全依靠商業(yè)銀行的電子交易部門;風(fēng)險管理部門、內(nèi)審稽核部門實質(zhì)上無法控制電子商務(wù)安全風(fēng)險。例如,風(fēng)險管理部門接受了電子交易部的風(fēng)險控制報告,表面上履行的內(nèi)控審核的流程,但審核作用有限,無法完成電子商務(wù)安全風(fēng)險管理中的監(jiān)控與審計環(huán)節(jié)。

三、商業(yè)銀行的電子商務(wù)安全風(fēng)險管理策略的改進(jìn)建議

(一)基于系統(tǒng)的思想構(gòu)建商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略框架

利用系統(tǒng)理論作為總體的指導(dǎo)思想,將電子商務(wù)安全風(fēng)險管理策略本身當(dāng)作一個開放的自適應(yīng)系統(tǒng)。將商業(yè)銀行電子商務(wù)安全風(fēng)險管理中的各個環(huán)節(jié)組成循環(huán)上升的系統(tǒng)。

在商業(yè)銀行電子商務(wù)安全風(fēng)險控制的流程中,經(jīng)過信息安全的風(fēng)險評估、資產(chǎn)識別和選擇、實施控制降低風(fēng)險的措施、將風(fēng)險控制在可接受的范圍內(nèi),然后進(jìn)行監(jiān)控和審計;尤其重要的是把監(jiān)控和審計所得到的內(nèi)容作為新一輪風(fēng)險分析輸入,從而開始新一輪的風(fēng)險管理過程。商業(yè)銀行電子商務(wù)安全風(fēng)險管理的各個步驟為動態(tài)的循環(huán)系統(tǒng)。每完成一個循環(huán),安全風(fēng)險管理的有效性就上一個臺階,商業(yè)銀行的安全管理水平變得到了提高。

(二)電子商務(wù)安全風(fēng)險管理中定量分析中的改進(jìn)思路

商業(yè)銀行可以借鑒成熟的傳統(tǒng)金融風(fēng)險度量中的一些方法來改變電子商務(wù)安全風(fēng)險管理中對資產(chǎn)進(jìn)行粗略的優(yōu)先級別排序的方法。實踐中,商業(yè)銀行對操作風(fēng)險的管理與對電子商務(wù)安全風(fēng)險管理有其相似之處。巴塞爾委員會對商業(yè)銀行的操作風(fēng)險的內(nèi)部計量法中規(guī)定,商業(yè)銀行內(nèi)部估計風(fēng)險敞口指標(biāo)、損失事件發(fā)生的概率、風(fēng)險損失,巴塞爾委員會制定資本要求的轉(zhuǎn)換系數(shù);在度量損失的分布時,主要利用統(tǒng)計和精算技術(shù)。商業(yè)銀行應(yīng)通過數(shù)據(jù)庫將威脅發(fā)生的頻率、威脅所造成的影響等精確記錄下來,利用現(xiàn)有的度量方法進(jìn)行精確的風(fēng)險定量分析的嘗試。

(三)將商業(yè)銀行電子商務(wù)安全風(fēng)險納入商業(yè)銀行總體風(fēng)險管理范疇