论金融信息系统安全管理体系研究

　　摘要：加强安全已成为提高信息系统安全保障能力的可靠保证，是信息系统安全体系建设的重要内容。从安全风险分析入手，基于安全管理技术手段和管理措施，构建了安全管理体系，描述了安全管理平台和安全管理措施的建议。

　　论文关键词：信息系统；安全管理；体系

　　现代金融业是基于信息、高度计算化、分散、相互依存的产业，有人形象地把信息系统归结为业的“核心资本”。金融信息化带来的是银行业务信息系统在网络结构、业务关系、角色关系等方面的复杂化。而越是复杂的系统，其安全风险就越高。在系统中每增加一种访问的方式就增加了一些入侵的机会；每增加一些访问的人群就引入了一些可能受到恶意破坏的风险。据2003年一项对全球前500家的安全(2003GlobaleS curity Survey，Deloitte Touche Tohmat—su)，39％受调查的机构承认2002年曾受到一定形式的系统攻击；美国联邦法院2004年所作的一系列有关信息犯罪的案件中，有多件涉及金融机构。这些数字和报道出的事件，只是我们面临信息系统安全威胁的冰山一角，因此加速建设金融信息系统中的安全保障体系变得更加紧迫。
　　长期以来，人们对保障信息系统安全的手段偏重于依靠技术，从早期的加密技术、数据备份、防病毒到近期网络下的防火墙、入侵检测、漏洞扫描、身份认证等等。但事实上，仅仅依靠安全技术和安全产品保障信息系统安全的愿望却往往难尽人意，许多复杂、多变的安全威胁和隐患靠安全产品是无法消除的。据有关部门统计，在所有的安全事件中，约有52％是人为因素造成的，25％由火灾、水灾等自然灾害引起，技术错误占10％，组织内部人员作案占10％，仅有3％左右是由外部不法人员的攻击造成。简单归类，属于管理方面的原因比重高达6O％以上，而这些安全问题中的95％是可以通过科学的信息安全管理来避免。因此，加强安全管理已成为提高信息系统安全保障能力的可靠保证，是金融信息系统安全体系建设的重点。

　　1安全管理体系构建

　　信息安全源于有效的管理，使技术发挥最佳效果的基础是要有一定的信息安全管理体系，只有在建立防范的基础上，加强预警、监控和安全反击，才能使信息系统的安全维持在一个较高的水平之上。因此，安全管理体系的建设是确保信息系统安全的重要基础，是金融信息系统安全保障体系建设最为重要的一环。为在金融信息系统中建立全新的安全管理机制，最可行的做法是技术与管理并重，安全管理法规、措施和制度与整体安全解决方案相结合，并辅之以相应的安全管理工具，构建科学、合理的安全管理体系。

[1]