信息安全事件調查思考范文
本站小編為你精心準備了信息安全事件調查思考參考范文,愿這些范文能點燃您思維的火花,激發您的寫作靈感。歡迎深入閱讀并收藏。
《金融科技時代雜志》2014年第十期
(一)加強信息安全管理
金融行業通過在互聯網開展業務、提高管理效能、創新金融服務、開拓金融市場來擴大自身影響力,對防范和抵御來自互聯網的信息安全威脅十分重視,而對來自內部的信息安全威脅卻防范不足。尤其缺乏對內部人員信息安全意識的培養,在信息安全管理制度執行方面存在不足。調查顯示,超過75%的信息系統泄密和惡意攻擊事件都是由于內部人員疏忽和無意識泄密造成的,這是安全威脅不斷升級的重要原因之一。此外,在利益驅動下,個別內部人員鋌而走險,利用管理的疏漏主動發起的信息安全威脅更難防范。同時,信息安全不能只靠一些信息安全產品實現,安全產品和技術只是信息安全管理體系里的一小部分。只有在良好的信息安全管理基礎上才能發揮作用,所以“三分技術,七分管理”是保障信息安全的基本原則。
(二)建立信息安全事件調查規范
懷疑發生信息安全事件后,要及時啟動調查程序,而每個調查程序必須有一套基本的規范加以指導。通常從調查人員構成、調查時間緊迫程度、調查方案、保密范圍以及需要采取的后續措施等方面逐一規定。在調查組成員的選配上,需要業務部門、技術部門、監督檢查部門以至外聘專家共同組成;在時間要求上,第一時間開展調查能夠防止重要信息被刪除、篡改,爭取得到第一手資料;在調查方案上,信息安全事件調查需要從業務操作、內部管理、技術原因等各方面開展調查;在保密要求上,需要對被檢查單位和人員保密調查內容和調查方法,防止出現相關證據信息被人為隱瞞、銷毀的情況;在調查評估上,信息安全事件發生后引起的嚴重影響,是否需要啟動司法程序等作出規定。因此,建立一整套信息安全事件調查程序至關重要,主要是為了確保以下4個方面的內容。1.信息安全異常現象可以被檢測出來并得到有效處理,尤其是確定是否需要將異常現象歸類為信息安全事件。2.對已確定的信息安全事件進行評估,并以最恰當和最有效的方式作出響應。3.作為事件響應的一部分,通過恰當的防護措施,將信息安全事件對組織及其業務運行的負面影響降至最低。4.及時總結信息安全事件及其管理的經驗教訓,有效預防將來信息安全事件發生的頻率,改進信息安全防護措施的實施和使用,同時全面改進信息安全事件管理方案。
(三)提高信息安全人員素質
除了建立信息安全管理制度并嚴格落實外,高素質的信息安全人員是信息安全保障體系的智力支撐。從IT行業越來越細的專業劃分和日益復雜嚴重的信息安全威脅來看,信息安全管理儼然成為需要有更高專業素養的領域。信息安全管理人員需要掌握的知識結構包括信息安全保障基礎知識、信息安全技術、信息安全管理、信息安全工程以及信息安全標準法規等。在技術領域需要掌握操作系統安全、防火墻、防病毒、入侵檢測、密碼技術和應用等安全技術知識;在管理方面要掌握信息安全管理和治理,并要具有開展風險評估、災難恢復、應急響應所需相關知識和實踐能力;在工程領域要有開展信息安全工程管理、咨詢和監理的實踐經驗;在標準和法律法規領域,需要掌握國家信息安全相關的法律法規以及國內外信息安全相關的標準和實踐經驗。此外,一個合格的信息安全員不但要有不斷更新自身知識結構的自主學習能力,還要具有高度的責任心和自律能力。因此,建立一支高素質的信息安全員隊伍,是信息安全工作的重要保障。
(四)建立金融機構間協同調查機制
在廣域網環境中,服務器、網絡設備、安全監控系統在地理上是分散的,可能部署在不同層次的網絡節點并分屬不同的管理機構。由于網絡的互通性,黑客經常會使用遠程攻擊或利用被侵入的主機作為跳板隱藏自身地址,入侵和攻擊事件表面上發生在A地,但發起攻擊的源頭很可能在B地。如果要追蹤攻擊的源頭,就需要收集所有關鍵服務器、網絡節點的日志信息等,并將它們按一定的規律關聯起來。例如這次事件的調查雖然不屬于黑客攻擊,但如果要找到登錄終端,就需要調取商業銀行、人民銀行各級網絡交換機、路由器、防火墻等設備的配置文件、日志文件,甚至是系統臨時文件等。由于商業銀行和人民銀行之間沒有建立相應的協同工作機制,調查組無法及時獲取這些資料,所以也就無法通過IP地址找到登錄終端,并通過登錄終端找到查詢人員。隨著人民銀行與金融機構間網絡的互聯互通,提供的服務項目增多,加上微小金融機構大量接入金融服務平臺,出現此類信息安全事件的概率也會上升,需要各金融機構間共享關鍵信息并協助開展調查的事件也會越來越多,所以建立金融機構間信息安全事件協同調查機制至關重要。
(五)重視Web應用系統安全設計
隨著金融機構在互聯網開展的業務增多,許多針對網絡服務器的攻擊逐步轉移到了對Web應用的攻擊上。通常情況下,信息安全部門會采用不同的安全設備和技術部署在Web應用的各個層面,以確保整個Web應用系統的安全。但如果一個在設計之初就缺乏適當的安全需求和設計,存在先天性安全漏洞和隱患的應用系統,無論在隨后的部署階段采取何種安全防護措施,都極易受到攻擊。這次事件調查表明,征信系統在用戶登錄設計上存在安全性能低的隱患。一是用戶身份驗證方式安全性低,采用基于用戶名加口令的身份認證方式容易因為賬號密碼泄露、口令猜測、線路竊聽、重放攻擊等手段導致合法用戶身份被偽造和竊用。二是沒有限制用戶跨機構、跨地區登錄。賬號密碼可以在全國任何一個金融機構終端登錄征信系統。三是審計日志不完整,缺少關鍵信息,如記錄登錄終端IP地址等信息。如果征信系統設計之初就采用USBKey+數字證書的身份驗證方式則能夠有效防止此類事件發生,或通過限制用戶登錄機構和地區,審計日志記錄登錄終端IP就能在信息安全事件發生后準確及時的定位非法登陸人員。所以在Web應用設計中應該高度重視安全設計,應該從身份認證和口令管理、角色管理、審計日志、第三方組件分析、輸入數據驗證和凈化、加密和密鑰管理、源代碼管理等方面的安全性加以重點考慮。
作者:肖智敏王樹文單位:中國人民銀行天水市中心支行
