实施金融信息的安全策略
实施安全解决方案有五个关键技术点,它们是防毒、控制访问、加密与认证、漏洞扫描和入侵检测。
一、金融信息安全的组织管理策略
金融信息安全的组织管理策略包括信息安全的规章制度策略和信息安全的运行管理策略。
信息安全管理制度主要包括:人员安全管理、操作安全管理.场地与设施安全管理、设备安全管理、操作系统和数据库安全管理、网络安全管理、信息化项目安全管理、应用系统安全管理、技术文档安全管理.数据安全管理、密码与密钥安全管理、认证管理、应急管理和审计管理。
信息安全的运行管理寂略包括建立技术支持制度、明确安全责任制度等措施来保证信息安全。
二、金融信息安全的风险管理策略
金融信息安全的风险主要体现为技术、管理、业务、人员以及政策上的风险,必须采取完善的管理战略和制度来控制风险。
金融信息安全风险管理是通过风险评估来识别、控制、降低或消除安全风险的活动过程。金融信息安全风险管理可有效消除潜在的威胁,预防损失。信息安全的风险管理可考虑针对金融系统的各个环节,进行深入的风险分析,列举出可能的风险状况,从而采取相应的对策;建立风险信息控制机制,及时通报风险情况,做到信息共享,预报准确,有效预防可能产生的危害;风险分析在系统方面涉及网络系统、业务应用系统、信息系统、办公系统及基础设施;同时需要分析管理、组织、人员、数据应急支持等风险。
金融机构需要建立自己的风险管理机制和规范,并制定具体的操作办法,将风险控制有效落实到银行生产.管理的各个环节和各个部门。
三、金融信息安全的技术管理策略
技术安全是金融信息安全保障的基础性工作,通过技术方法可以预防占绝大多数的一般性攻击、发挥重要的作用。技术安全工作包括准备与防御、检测与响应等方面。
1、准备与防御。从金融机构的角度看,需要采取防范措施以解决传统的内部或外部诈骗、服务瘫痪和丧失运行能力等问题。从国家安全的角度看,需要部预防和抵抗诸如系统攻击能力的加强,保证和提高信息共享力度.安全保障、合理的措施以及脆弱性评估等。此外,金融服务领域从事信息安全工作的机构应该联合起来,共享威胁信息,及时出台合理的措施,并对行业动向协调响应。
对国家关键基础设施的保护包括对攻击的预先防御措施和遭受攻击后重建关键基础设施的能力。这两方面都需要确定核心基础设施的关键功能和服务内容。而且,基础设施的关键组件必须能够经常接受严格检验,并对它们的状态和实践措施进行评估。虽然评估是较为及时的,但是新的威胁、风险和对策还将不断涌现和变化。因此,必须根据需要及时迅速地升级,迅速地反馈评估结果具有很重要的意义。
2、测与响应。通过不同的防护机制来减少遭受攻击的可能性,逐步地缓解风险,如脆弱性评估工作、周边安全防火墙和入侵检测系统的使用。内部防护机制还包括访问控制系统和制定安全标准以及合理的保护措施。
四、金融信息安全的质量管理策略
金融信息安全贯彻在整个运行过程的各个方面。为了有效防范安全风险,必须建立-套长期的质量评测体系,及时发现安全隐患,将重大的信息安全问题消灭在事件的初期,尽可能减少损失。主要方法是建设安全分析、评估、测试,检查控制.反应机制及响应模式的体系;制定相关政策和管理条例,定期进行信息安全的评测,动态管理、有效控制。
五、金融信息安全的标准化策略
标准化策略是金融信息安全的基础。两个主要的金融信息安全标准化发展方向是评测标准化和管理标准化。金融业信息系统是大型复杂系统,需要进行不断的测试和调控。目前对这些系统的评测缺乏权威、专业性,使很多系统建设不能达到良好的应用效果。我国银行在信息化建设过程中引进了大量国外设备、系统,而对这些系统的评测也存在安全隐患。通过评测制度的建立,可以提高银行信息系统的可用性,降低运行过程中的隐患,从根本上保障银行信息安全。目前,国际上关于信息系统安全的评测标准主要有:美国可信计算机系统评估标准( TCSEC, 1985 )、欧洲信息技术安全性评估准则(ITSEC, 1990)、 加拿大可信计算机产品评估准则( CTCPEC,1990)、 美国联邦准则(FC,1991 )、国际通用准则(CC, 1996)、 国际标准(ISO 15408,1999) 等。.
POS机办理中心全网最靠谱的选择,专业一清机办理,带给你最安全的支付体验金融市场风险防范概述
金融风险通常具有以下特征,即不确定性、普遍性、扩散性、隐蔽性和突发性。
管理标准化也是金融信息安全的规范化内容,需要严格的安全标准化来管理信息安全问题,并深入于组织、技术及管理的各个方面。国际上流行的信息安全管理规范主要有:《信息技术安全管理指导方针》( ISO/IEC 3335 )、《银行业务和相关金融服务一银行业 务信息安全指南》( ISO 13569 )、《信息安全管理的实施编码》( Iso 14980 )、《信息安全管理实用规则》( ISO/IEC 7799-1 )《金融业的安全服务管理》( ANSI X9.41 )。
六、金融信息安全技术策略
金融信息安全技术策略是指充分运用高新技术,采用安全技术防范措施和技术安全机制建立现代化技术防范体系的具体指导,是信息安全的技术保障策略。
金融信息安全的技术要求包括:
①组织的管理安全。包括建立安全管理组织、确定安全组织职能、明确安全岗位职责、安全人员审查、安全人员培训考核、离岗安全人员管理。
②环境安全。包括网络设备环境安全、通信设备与线路环境安全、机房环境安全、软件开发环境安全、软件测试与稽核环境安全、软件使用与维护环境安全、生产运行环境安全、存储环境安全、环境保障与管理、环境灾害防护、环境防护设施安全。
③网络安全。包括网络通信协议安全、网络管理平台安全、网络传输信道安全、网络运行安全监督、网络路由控制安全、网络隔离安全、网点合法性。
④软件的运行安全。包括软件平台和应用软件的安全:软件平台选型与购置审查、安全检测与验收、安全跟踪与报告、版本管理安全、使用与维护安全、安全稽核;应用软件启用安全、安全审计、版本管理安全、备份安全、维护安全。
⑤应用软件的开发安全。主要是开发平台安全、开发环境安全、开发人员安全、应用软件测试与评估安全、应用软件审计安全。
⑥操作安全。主要是操作权限安全、规范管理安全、岗位责任安全、操作监督安全、操作恢复安全。
⑦数据安全。包括数据载体安全、数据密级安全、数据存储的时限安全、数据存储的备份安全、数据存储的有效性、存储信息的完整性。
⑧应急安全。包括应急管理原则、应急计划制定、应急计划实施、应急备用管理、应急恢复管理、应急后果评估。
⑨密码与密钥安全。包括加密算法强度及业务分类管理安全、加密算法选用权限安全、密码算法启用和退役管理安全.密钥管理原则制定安全、密钥生成与管理安全、密钥保存及备份安全、密钥传送与分配安全、密钥更新管理安全.密钥的注销管理安全、密钥使用及注入管理安全。
七、金融信息安全应急响应与灾难备份策略
在现实环境中安全事件绝不是有序发生的,安全事件及其并发性比其他任何事件更不规则,没有技术和组织准备的应急响应会引发直接风险,造成无法挽回的数据丢失和经济损失,因此,在金融行业建立信息安全应急响应与灾难备份策略十分重要。
金融信息安全应急响应策略必须考虑灾难发生时的抗毁坏性与迅速恢复能力,制订并不断完善信息安全应急处置预案,有必要制订金融信息安全的应急响应策略,制订应急计划。
“9.11”事件的教训说明,金融系统安全保障能力直接关系到国家安全和人民利益,关系到社会稳定。金融信息系统的建设应当具有抗毁性与灾难恢复能力,并应制订及不断完善信息安全应急处置预案。
本文由POS机办理中心整理,未经许可不允许任何形式的转载,本文唯一地址:https://www.cdkft.cn/xinwenzixun/5404.html,其他地址不完整的均为抄袭!POS机申请办理请添加客服微信号:shandianpos支付系统的风险防范
信用风险指支付过程中因一方无法履行债务所带来的风险。如果有一方无法履行债务所带来的损失,要由参与支付的其他各方承担。
