本站小编为你精心准备了信息安全事件调查思考参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。
《金融科技时代杂志》2014年第十期
(一)加强信息安全管理
金融行业通过在互联网开展业务、提高管理效能、创新金融服务、开拓金融市场来扩大自身影响力,对防范和抵御来自互联网的信息安全威胁十分重视,而对来自内部的信息安全威胁却防范不足。尤其缺乏对内部人员信息安全意识的培养,在信息安全管理制度执行方面存在不足。调查显示,超过75%的信息系统泄密和恶意攻击事件都是由于内部人员疏忽和无意识泄密造成的,这是安全威胁不断升级的重要原因之一。此外,在利益驱动下,个别内部人员铤而走险,利用管理的疏漏主动发起的信息安全威胁更难防范。同时,信息安全不能只靠一些信息安全产品实现,安全产品和技术只是信息安全管理体系里的一小部分。只有在良好的信息安全管理基础上才能发挥作用,所以“三分技术,七分管理”是保障信息安全的基本原则。
(二)建立信息安全事件调查规范
怀疑发生信息安全事件后,要及时启动调查程序,而每个调查程序必须有一套基本的规范加以指导。通常从调查人员构成、调查时间紧迫程度、调查方案、保密范围以及需要采取的后续措施等方面逐一规定。在调查组成员的选配上,需要业务部门、技术部门、监督检查部门以至外聘专家共同组成;在时间要求上,第一时间开展调查能够防止重要信息被删除、篡改,争取得到第一手资料;在调查方案上,信息安全事件调查需要从业务操作、内部管理、技术原因等各方面开展调查;在保密要求上,需要对被检查单位和人员保密调查内容和调查方法,防止出现相关证据信息被人为隐瞒、销毁的情况;在调查评估上,信息安全事件发生后引起的严重影响,是否需要启动司法程序等作出规定。因此,建立一整套信息安全事件调查程序至关重要,主要是为了确保以下4个方面的内容。1.信息安全异常现象可以被检测出来并得到有效处理,尤其是确定是否需要将异常现象归类为信息安全事件。2.对已确定的信息安全事件进行评估,并以最恰当和最有效的方式作出响应。3.作为事件响应的一部分,通过恰当的防护措施,将信息安全事件对组织及其业务运行的负面影响降至最低。4.及时总结信息安全事件及其管理的经验教训,有效预防将来信息安全事件发生的频率,改进信息安全防护措施的实施和使用,同时全面改进信息安全事件管理方案。
(三)提高信息安全人员素质
除了建立信息安全管理制度并严格落实外,高素质的信息安全人员是信息安全保障体系的智力支撑。从IT行业越来越细的专业划分和日益复杂严重的信息安全威胁来看,信息安全管理俨然成为需要有更高专业素养的领域。信息安全管理人员需要掌握的知识结构包括信息安全保障基础知识、信息安全技术、信息安全管理、信息安全工程以及信息安全标准法规等。在技术领域需要掌握操作系统安全、防火墙、防病毒、入侵检测、密码技术和应用等安全技术知识;在管理方面要掌握信息安全管理和治理,并要具有开展风险评估、灾难恢复、应急响应所需相关知识和实践能力;在工程领域要有开展信息安全工程管理、咨询和监理的实践经验;在标准和法律法规领域,需要掌握国家信息安全相关的法律法规以及国内外信息安全相关的标准和实践经验。此外,一个合格的信息安全员不但要有不断更新自身知识结构的自主学习能力,还要具有高度的责任心和自律能力。因此,建立一支高素质的信息安全员队伍,是信息安全工作的重要保障。
(四)建立金融机构间协同调查机制
在广域网环境中,服务器、网络设备、安全监控系统在地理上是分散的,可能部署在不同层次的网络节点并分属不同的管理机构。由于网络的互通性,黑客经常会使用远程攻击或利用被侵入的主机作为跳板隐藏自身地址,入侵和攻击事件表面上发生在A地,但发起攻击的源头很可能在B地。如果要追踪攻击的源头,就需要收集所有关键服务器、网络节点的日志信息等,并将它们按一定的规律关联起来。例如这次事件的调查虽然不属于黑客攻击,但如果要找到登录终端,就需要调取商业银行、人民银行各级网络交换机、路由器、防火墙等设备的配置文件、日志文件,甚至是系统临时文件等。由于商业银行和人民银行之间没有建立相应的协同工作机制,调查组无法及时获取这些资料,所以也就无法通过IP地址找到登录终端,并通过登录终端找到查询人员。随着人民银行与金融机构间网络的互联互通,提供的服务项目增多,加上微小金融机构大量接入金融服务平台,出现此类信息安全事件的概率也会上升,需要各金融机构间共享关键信息并协助开展调查的事件也会越来越多,所以建立金融机构间信息安全事件协同调查机制至关重要。
(五)重视Web应用系统安全设计
随着金融机构在互联网开展的业务增多,许多针对网络服务器的攻击逐步转移到了对Web应用的攻击上。通常情况下,信息安全部门会采用不同的安全设备和技术部署在Web应用的各个层面,以确保整个Web应用系统的安全。但如果一个在设计之初就缺乏适当的安全需求和设计,存在先天性安全漏洞和隐患的应用系统,无论在随后的部署阶段采取何种安全防护措施,都极易受到攻击。这次事件调查表明,征信系统在用户登录设计上存在安全性能低的隐患。一是用户身份验证方式安全性低,采用基于用户名加口令的身份认证方式容易因为账号密码泄露、口令猜测、线路窃听、重放攻击等手段导致合法用户身份被伪造和窃用。二是没有限制用户跨机构、跨地区登录。账号密码可以在全国任何一个金融机构终端登录征信系统。三是审计日志不完整,缺少关键信息,如记录登录终端IP地址等信息。如果征信系统设计之初就采用USBKey+数字证书的身份验证方式则能够有效防止此类事件发生,或通过限制用户登录机构和地区,审计日志记录登录终端IP就能在信息安全事件发生后准确及时的定位非法登陆人员。所以在Web应用设计中应该高度重视安全设计,应该从身份认证和口令管理、角色管理、审计日志、第三方组件分析、输入数据验证和净化、加密和密钥管理、源代码管理等方面的安全性加以重点考虑。
作者:肖智敏王树文单位:中国人民银行天水市中心支行