關(guān)于城市建設(shè)中網(wǎng)絡(luò)信息安全法律保障問(wèn)題論文

　　摘要:互聯(lián)網(wǎng)的發(fā)展能夠?yàn)榻鹑谄髽I(yè)帶來(lái)更加完善的投資環(huán)境、能夠優(yōu)化金融資源配置情況以及提升金融體系的發(fā)展，但同時(shí)也會(huì)給金融企業(yè)帶來(lái)信息安全風(fēng)險(xiǎn)及問(wèn)題。本文就金融企業(yè)中信息安全風(fēng)險(xiǎn)問(wèn)題進(jìn)行研究，并總結(jié)出相應(yīng)的對(duì)策。

　　關(guān)鍵詞:互聯(lián)網(wǎng)金融;信息安全風(fēng)險(xiǎn);綜合事件分析平臺(tái);防范措施

　　1引言

　　企業(yè)經(jīng)營(yíng)信息對(duì)于企業(yè)來(lái)說(shuō)是十分重要的東西，對(duì)于企業(yè)自身的發(fā)展具有重要的意義，企業(yè)需要妥善進(jìn)行信息內(nèi)容的處理，保障信息的安全。近年來(lái)企業(yè)的發(fā)展開(kāi)始著重于互聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展，所以，網(wǎng)絡(luò)方面的風(fēng)險(xiǎn)為企業(yè)的信息管理工具增添了更多的挑戰(zhàn)。許多的企業(yè)已經(jīng)開(kāi)始通過(guò)各種各樣的手段進(jìn)行制度及安全建設(shè)方面的改革，安全工作的重心放也由合規(guī)轉(zhuǎn)向信息安全建設(shè)和防護(hù)上，并且將企業(yè)的信息安全管理以及風(fēng)險(xiǎn)控制相連接，以此來(lái)穩(wěn)定企業(yè)的平穩(wěn)發(fā)展。

　　2互聯(lián)網(wǎng)時(shí)代企業(yè)所面臨的信息安全威脅

　　2.1傳統(tǒng)防護(hù)難以抵御新型威脅

　　金融企業(yè)信息安全建設(shè)借助于等級(jí)保護(hù)和相關(guān)監(jiān)管機(jī)構(gòu)工作的推力，企業(yè)的信息系統(tǒng)在物理安全、運(yùn)行安全、安全保密管理等方面取得了一定的成效，具備了一定的防護(hù)能力，但是，隨著信息技術(shù)的飛速發(fā)展和廣泛應(yīng)用，信息安全防護(hù)已有主動(dòng)變?yōu)楸粍?dòng)。現(xiàn)如今隨著業(yè)務(wù)的擴(kuò)展，信息系統(tǒng)的應(yīng)用需求在不斷增加，涉及各個(gè)業(yè)務(wù)領(lǐng)域，網(wǎng)絡(luò)規(guī)模不斷增長(zhǎng)，信息系統(tǒng)體系結(jié)構(gòu)更加復(fù)雜。但是，由于信息安全的木桶效應(yīng)，再加上難以控制的技術(shù)漏洞和管理不當(dāng)，必然會(huì)導(dǎo)致不可避免的安全攻擊和災(zāi)難，也就造成信息系統(tǒng)存在高度的脆弱性和風(fēng)險(xiǎn)性。其次，隨著信息化的不斷推進(jìn)，信息系統(tǒng)規(guī)模不斷擴(kuò)大，組成信息系統(tǒng)的各類(lèi)硬件、軟件、系統(tǒng)，以及各類(lèi)人員都有可能成為威脅主體，軟硬件的后門(mén)、漏洞、缺陷，包括對(duì)人員的誘惑都是攻擊信息系統(tǒng)的常用手段。正是由于攻擊源的多樣性和防范對(duì)象的不確定性導(dǎo)致了傳統(tǒng)安全防護(hù)手段失效，無(wú)法發(fā)現(xiàn)和檢測(cè)新型的威脅和攻擊。

　　2.2技術(shù)操作類(lèi)安全風(fēng)險(xiǎn)

　　隨著業(yè)務(wù)的持續(xù)擴(kuò)展，企業(yè)安全運(yùn)營(yíng)所需要的人員成本逐漸提高，當(dāng)人員配比跟不上企業(yè)信息安全發(fā)展需要的時(shí)候，問(wèn)題就會(huì)很快的暴露出來(lái)。人員少任務(wù)重經(jīng)常會(huì)出現(xiàn)忽略和誤操作的情況出現(xiàn)，比如終端、服務(wù)器層面，計(jì)算機(jī)基本安全保密配置不到位或管理不到位，導(dǎo)致用戶(hù)可以竊取用戶(hù)終端所有的文件資料、植入病毒或者木馬；安全產(chǎn)品配置不當(dāng)，不能起到預(yù)期的防護(hù)效果，誤報(bào)、漏報(bào)情況多見(jiàn);服務(wù)器的防護(hù)、監(jiān)控措施不足，大部分服務(wù)器僅僅安裝了病毒防護(hù)軟件，且大量服務(wù)器均存在刻錄光驅(qū)，且安裝有刻錄軟件，對(duì)服務(wù)器的輸入輸出沒(méi)有監(jiān)控審計(jì)技術(shù)手段；操作系統(tǒng)基本上都是用國(guó)外，服務(wù)器大部分為WindowsServer2003(已停止升級(jí)服務(wù))、WindowsServer2008，一旦0day漏洞被利用，后果不堪設(shè)想。自2014年4月爆出的OpenSSL心臟流血漏洞來(lái)看，目前所有使用的網(wǎng)絡(luò)協(xié)議還有多少存在重大安全問(wèn)題，都是未知數(shù)。企業(yè)安全管理者沒(méi)有辦法直觀的看到當(dāng)前企業(yè)信息安全資產(chǎn)所面臨的威脅和整體的雖弱性。這些由技術(shù)操作因素導(dǎo)致的潛在信息安全風(fēng)險(xiǎn)是企業(yè)內(nèi)部的毒瘤，一旦被攻破就會(huì)造成致命一擊。

　　2.3信息安全管理類(lèi)安全風(fēng)險(xiǎn)

　　監(jiān)管的滯后性同樣會(huì)給信息安全管理帶來(lái)嚴(yán)重的風(fēng)險(xiǎn)，信息安全從業(yè)者應(yīng)具備基礎(chǔ)的信息安全常識(shí)，但隨著企業(yè)規(guī)模的擴(kuò)大，各類(lèi)情況時(shí)有發(fā)生，管理措施的不得當(dāng)也會(huì)帶來(lái)很?chē)?yán)重的風(fēng)險(xiǎn)。如第三方人員權(quán)限的控制，進(jìn)出機(jī)房的控制，企業(yè)內(nèi)部人員賬號(hào)口令及管理權(quán)限的控制，安全事件巡檢的要求以及安全知識(shí)的培訓(xùn)學(xué)習(xí)等。信息安全管理涉及到較多的流程和制度，同時(shí)流程和制度也需要有相應(yīng)的檢查工具和指標(biāo)進(jìn)行落地，目前大部分企業(yè)還不能夠很好的將信息安全管理流程或安全事件處理流程進(jìn)行有效的落地，往往都會(huì)在流程中斷節(jié)。這也是造成信息安全風(fēng)險(xiǎn)管理失效的重要原因之一。

　　3金融企業(yè)信息安全風(fēng)險(xiǎn)的防范措施與建議

　　基于金融企業(yè)信息安全存在的諸多風(fēng)險(xiǎn)和問(wèn)題，應(yīng)從以下幾個(gè)方面進(jìn)行加固和改進(jìn)。

　　3.1建立綜合安全事件分析平臺(tái)，形成統(tǒng)一監(jiān)控能力

　　面對(duì)傳統(tǒng)防護(hù)帶來(lái)的問(wèn)題和弊端，企業(yè)應(yīng)建立一套綜合的安全事件分析平臺(tái)，針對(duì)各類(lèi)安全產(chǎn)品、業(yè)務(wù)數(shù)據(jù)、信息安全數(shù)據(jù)進(jìn)行全面的收集，終結(jié)信息孤島現(xiàn)象。集合現(xiàn)有的安全產(chǎn)品的告警日志，應(yīng)用系統(tǒng)的審計(jì)日志，建立異常行為分析的能力，結(jié)合攻擊鏈模型關(guān)聯(lián)分析多個(gè)階段的安全事件，避免單一安全設(shè)備產(chǎn)生的誤報(bào)和漏報(bào)，第一時(shí)間對(duì)安全問(wèn)題進(jìn)行實(shí)時(shí)的分析和告警，并形成趨勢(shì)和發(fā)展態(tài)勢(shì)，直觀的呈現(xiàn)出來(lái)，讓企業(yè)安全的領(lǐng)導(dǎo)者第一時(shí)間進(jìn)行決策和判斷，有助于提升企業(yè)信息安全的整體防護(hù)水平。

　　3.2開(kāi)展核心資產(chǎn)的脆弱性梳理

　　加強(qiáng)對(duì)內(nèi)部關(guān)鍵資產(chǎn)的梳理工作，并通過(guò)技術(shù)手段對(duì)資產(chǎn)的漏洞情況、配置情況、安全事件情況、基本屬性情況進(jìn)行綜合的分析，以上述四個(gè)維度綜合分析資產(chǎn)的脆弱性問(wèn)題，讓資產(chǎn)的風(fēng)險(xiǎn)和威脅提前暴露出來(lái)，讓資產(chǎn)的管理者第一時(shí)間知道哪些資產(chǎn)該進(jìn)行加固，哪些資產(chǎn)正在遭受安全風(fēng)險(xiǎn)，減少人員技術(shù)操作的漏洞和誤操作問(wèn)題，加強(qiáng)資產(chǎn)的安全管理，提升企業(yè)基礎(chǔ)設(shè)施的安全加固。

　　3.3深入開(kāi)展信息系統(tǒng)的精細(xì)化管理

　　深入開(kāi)展信息系統(tǒng)的精細(xì)化管理，專(zhuān)人負(fù)責(zé)專(zhuān)項(xiàng)系統(tǒng)的各類(lèi)安全管理，加強(qiáng)信息安全專(zhuān)項(xiàng)檢查，指定信息系統(tǒng)檢查和管理的規(guī)范，并利用可落地的工具如綜合事件管理平臺(tái)明確檢查和分析的步驟和操作，使得信息系統(tǒng)的日常管理呈制度化、流程化、規(guī)范化，閉環(huán)處理所有信息安全事件，讓管理流程和制度有效的落地，提升企業(yè)信息安全運(yùn)維能力。

　　3.4逐步開(kāi)展國(guó)產(chǎn)自主化應(yīng)用，提升自主可控力

　　信息安全不是小問(wèn)題，安全問(wèn)題的分析尤為關(guān)鍵，網(wǎng)絡(luò)設(shè)備、硬件設(shè)備、操作系統(tǒng)以及安全分析平臺(tái)應(yīng)實(shí)現(xiàn)自主可控原則，探索自主信息安全分析和保障的產(chǎn)品和體系，提升信息系統(tǒng)的自主可控力。

　　4結(jié)語(yǔ)

　　金融企業(yè)在互聯(lián)網(wǎng)的作用下發(fā)展成為一種新興的業(yè)態(tài)形式，金融企業(yè)在發(fā)展的同時(shí)需要保持積極的態(tài)度，不斷的進(jìn)行創(chuàng)新，以促進(jìn)其繁榮發(fā)展。同時(shí)，也需要對(duì)其行業(yè)所具有的信息安全風(fēng)險(xiǎn)問(wèn)題制定相應(yīng)的監(jiān)督管理措施，保障其長(zhǎng)遠(yuǎn)的發(fā)展。金融企業(yè)只有時(shí)刻保持信息安全隱患的警惕，才能夠獲得信息安全管理的主動(dòng)權(quán)，以此來(lái)規(guī)避金融企業(yè)的信息安全風(fēng)險(xiǎn)問(wèn)題，使其能夠更加健康、持續(xù)的發(fā)展，創(chuàng)造更多的收益。

　　參考文獻(xiàn)

　　[1]戚小光,許玉敏,韓菲等.“心臟出血”漏洞的危害、應(yīng)對(duì)及影響[J].信息安全與通信保密,2014(05):60-62.

　　作者:馮國(guó)震 單位:安邦保險(xiǎn)集團(tuán)

【城市建設(shè)中網(wǎng)絡(luò)信息安全法律保障問(wèn)題論文】相關(guān)文章：

大數(shù)據(jù)下網(wǎng)絡(luò)借貸的信息安全問(wèn)題10-26

水聲網(wǎng)絡(luò)信息安全保密風(fēng)險(xiǎn)論文（通用8篇）08-02

對(duì)部隊(duì)信息網(wǎng)絡(luò)安全管制探究論文10-13

法眼看購(gòu)買(mǎi)墳?zāi)勾嬖诘姆�律�?wèn)題論文10-12

企業(yè)非正常網(wǎng)絡(luò)的法律防范與規(guī)避論文10-13

公司網(wǎng)絡(luò)安全保障標(biāo)語(yǔ)09-28

淺談網(wǎng)絡(luò)信息安全的重要性論文（通用10篇）05-08

計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)論文02-13

對(duì)企業(yè)網(wǎng)絡(luò)營(yíng)銷(xiāo)的法律探討論文10-13

關(guān)于法律的論文11-02