信息安全事件調(diào)查思考范文

本站小編為你精心準備了信息安全事件調(diào)查思考參考范文，愿這些范文能點燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

《金融科技時代雜志》2014年第十期

（一）加強信息安全管理

金融行業(yè)通過在互聯(lián)網(wǎng)開展業(yè)務(wù)、提高管理效能、創(chuàng)新金融服務(wù)、開拓金融市場來擴大自身影響力，對防范和抵御來自互聯(lián)網(wǎng)的信息安全威脅十分重視，而對來自內(nèi)部的信息安全威脅卻防范不足。尤其缺乏對內(nèi)部人員信息安全意識的培養(yǎng)，在信息安全管理制度執(zhí)行方面存在不足。調(diào)查顯示，超過75%的信息系統(tǒng)泄密和惡意攻擊事件都是由于內(nèi)部人員疏忽和無意識泄密造成的，這是安全威脅不斷升級的重要原因之一。此外，在利益驅(qū)動下，個別內(nèi)部人員鋌而走險，利用管理的疏漏主動發(fā)起的信息安全威脅更難防范。同時，信息安全不能只靠一些信息安全產(chǎn)品實現(xiàn)，安全產(chǎn)品和技術(shù)只是信息安全管理體系里的一小部分。只有在良好的信息安全管理基礎(chǔ)上才能發(fā)揮作用，所以“三分技術(shù)，七分管理”是保障信息安全的基本原則。

（二）建立信息安全事件調(diào)查規(guī)范

懷疑發(fā)生信息安全事件后，要及時啟動調(diào)查程序，而每個調(diào)查程序必須有一套基本的規(guī)范加以指導(dǎo)。通常從調(diào)查人員構(gòu)成、調(diào)查時間緊迫程度、調(diào)查方案、保密范圍以及需要采取的后續(xù)措施等方面逐一規(guī)定。在調(diào)查組成員的選配上，需要業(yè)務(wù)部門、技術(shù)部門、監(jiān)督檢查部門以至外聘專家共同組成；在時間要求上，第一時間開展調(diào)查能夠防止重要信息被刪除、篡改，爭取得到第一手資料；在調(diào)查方案上，信息安全事件調(diào)查需要從業(yè)務(wù)操作、內(nèi)部管理、技術(shù)原因等各方面開展調(diào)查；在保密要求上，需要對被檢查單位和人員保密調(diào)查內(nèi)容和調(diào)查方法，防止出現(xiàn)相關(guān)證據(jù)信息被人為隱瞞、銷毀的情況；在調(diào)查評估上，信息安全事件發(fā)生后引起的嚴重影響，是否需要啟動司法程序等作出規(guī)定。因此，建立一整套信息安全事件調(diào)查程序至關(guān)重要，主要是為了確保以下4個方面的內(nèi)容。1．信息安全異?，F(xiàn)象可以被檢測出來并得到有效處理，尤其是確定是否需要將異?，F(xiàn)象歸類為信息安全事件。2．對已確定的信息安全事件進行評估，并以最恰當(dāng)和最有效的方式作出響應(yīng)。3．作為事件響應(yīng)的一部分，通過恰當(dāng)?shù)姆雷o措施，將信息安全事件對組織及其業(yè)務(wù)運行的負面影響降至最低。4．及時總結(jié)信息安全事件及其管理的經(jīng)驗教訓(xùn)，有效預(yù)防將來信息安全事件發(fā)生的頻率，改進信息安全防護措施的實施和使用，同時全面改進信息安全事件管理方案。

（三）提高信息安全人員素質(zhì)

除了建立信息安全管理制度并嚴格落實外，高素質(zhì)的信息安全人員是信息安全保障體系的智力支撐。從IT行業(yè)越來越細的專業(yè)劃分和日益復(fù)雜嚴重的信息安全威脅來看，信息安全管理儼然成為需要有更高專業(yè)素養(yǎng)的領(lǐng)域。信息安全管理人員需要掌握的知識結(jié)構(gòu)包括信息安全保障基礎(chǔ)知識、信息安全技術(shù)、信息安全管理、信息安全工程以及信息安全標準法規(guī)等。在技術(shù)領(lǐng)域需要掌握操作系統(tǒng)安全、防火墻、防病毒、入侵檢測、密碼技術(shù)和應(yīng)用等安全技術(shù)知識；在管理方面要掌握信息安全管理和治理，并要具有開展風(fēng)險評估、災(zāi)難恢復(fù)、應(yīng)急響應(yīng)所需相關(guān)知識和實踐能力；在工程領(lǐng)域要有開展信息安全工程管理、咨詢和監(jiān)理的實踐經(jīng)驗；在標準和法律法規(guī)領(lǐng)域，需要掌握國家信息安全相關(guān)的法律法規(guī)以及國內(nèi)外信息安全相關(guān)的標準和實踐經(jīng)驗。此外，一個合格的信息安全員不但要有不斷更新自身知識結(jié)構(gòu)的自主學(xué)習(xí)能力，還要具有高度的責(zé)任心和自律能力。因此，建立一支高素質(zhì)的信息安全員隊伍，是信息安全工作的重要保障。

（四）建立金融機構(gòu)間協(xié)同調(diào)查機制

在廣域網(wǎng)環(huán)境中，服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全監(jiān)控系統(tǒng)在地理上是分散的，可能部署在不同層次的網(wǎng)絡(luò)節(jié)點并分屬不同的管理機構(gòu)。由于網(wǎng)絡(luò)的互通性，黑客經(jīng)常會使用遠程攻擊或利用被侵入的主機作為跳板隱藏自身地址，入侵和攻擊事件表面上發(fā)生在A地，但發(fā)起攻擊的源頭很可能在B地。如果要追蹤攻擊的源頭，就需要收集所有關(guān)鍵服務(wù)器、網(wǎng)絡(luò)節(jié)點的日志信息等，并將它們按一定的規(guī)律關(guān)聯(lián)起來。例如這次事件的調(diào)查雖然不屬于黑客攻擊，但如果要找到登錄終端，就需要調(diào)取商業(yè)銀行、人民銀行各級網(wǎng)絡(luò)交換機、路由器、防火墻等設(shè)備的配置文件、日志文件，甚至是系統(tǒng)臨時文件等。由于商業(yè)銀行和人民銀行之間沒有建立相應(yīng)的協(xié)同工作機制，調(diào)查組無法及時獲取這些資料，所以也就無法通過IP地址找到登錄終端，并通過登錄終端找到查詢?nèi)藛T。隨著人民銀行與金融機構(gòu)間網(wǎng)絡(luò)的互聯(lián)互通，提供的服務(wù)項目增多，加上微小金融機構(gòu)大量接入金融服務(wù)平臺，出現(xiàn)此類信息安全事件的概率也會上升，需要各金融機構(gòu)間共享關(guān)鍵信息并協(xié)助開展調(diào)查的事件也會越來越多，所以建立金融機構(gòu)間信息安全事件協(xié)同調(diào)查機制至關(guān)重要。

（五）重視Web應(yīng)用系統(tǒng)安全設(shè)計

隨著金融機構(gòu)在互聯(lián)網(wǎng)開展的業(yè)務(wù)增多，許多針對網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對Web應(yīng)用的攻擊上。通常情況下，信息安全部門會采用不同的安全設(shè)備和技術(shù)部署在Web應(yīng)用的各個層面，以確保整個Web應(yīng)用系統(tǒng)的安全。但如果一個在設(shè)計之初就缺乏適當(dāng)?shù)陌踩枨蠛驮O(shè)計，存在先天性安全漏洞和隱患的應(yīng)用系統(tǒng)，無論在隨后的部署階段采取何種安全防護措施，都極易受到攻擊。這次事件調(diào)查表明，征信系統(tǒng)在用戶登錄設(shè)計上存在安全性能低的隱患。一是用戶身份驗證方式安全性低，采用基于用戶名加口令的身份認證方式容易因為賬號密碼泄露、口令猜測、線路竊聽、重放攻擊等手段導(dǎo)致合法用戶身份被偽造和竊用。二是沒有限制用戶跨機構(gòu)、跨地區(qū)登錄。賬號密碼可以在全國任何一個金融機構(gòu)終端登錄征信系統(tǒng)。三是審計日志不完整，缺少關(guān)鍵信息，如記錄登錄終端IP地址等信息。如果征信系統(tǒng)設(shè)計之初就采用USBKey+數(shù)字證書的身份驗證方式則能夠有效防止此類事件發(fā)生，或通過限制用戶登錄機構(gòu)和地區(qū)，審計日志記錄登錄終端IP就能在信息安全事件發(fā)生后準確及時的定位非法登陸人員。所以在Web應(yīng)用設(shè)計中應(yīng)該高度重視安全設(shè)計，應(yīng)該從身份認證和口令管理、角色管理、審計日志、第三方組件分析、輸入數(shù)據(jù)驗證和凈化、加密和密鑰管理、源代碼管理等方面的安全性加以重點考慮。

作者：肖智敏王樹文單位：中國人民銀行天水市中心支行