本站小編為你精心準備了金融業信息安全事件的防范參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

1信息安全事件的發生和分析

隨著金融業務系統的日益復雜化，安全隱患也散布于各點，科技部門也無法準確預測到問題會出現在什么地方，任何一個錯誤操作都可能造成整個系統的癱瘓，這對科技部門操作流程的規范性提出了更高的要求。2012年10月，某金融機構操作人員因為誤操作將業務系統的交易日志文件關閉，導致系統不能正常運行；2012年11月，某金融機構維護人員錯誤操作，導致生產和備份系統重要系統文件丟失，造成服務器宕機，導致重要業務系統無法正常啟動。錯誤操作的發生源于操作人員的粗心，但關鍵是由于操作流程不規范，對重要操作缺乏切實有效的監管措施。（1）信息安全管理未貫穿于信息系統的全生命周期。部分機構忽視信息系統全生命周期的安全管理，在業務系統開發部署上線時，未配套進行安全體系的設計和建設，或流于形式，不對方案進行充分地測試。2012年3月，某機構生產線路發生中斷，但由于技術方案問題未能順利切換到備份線路，導致業務發生中斷；2012年11月，某機構由于未發現備份系統早已出現問題，在生產系統出現問題時，主備切換失敗，導致業務中斷。系統的安全體系流于形式，備份系統測試不充分，或疏于監控維護，都可能導致安全事件的發生。（2）優先恢復業務的意識不足，應急處置能力有待提高。絕大多數金融機構都制定了信息系統應急預案，并定期演練。但部分金融機構存在著應急預案與實際不符，可操作性不強，對部分情況無明確處置方法的情況，并且部分科技人員對應急預案不夠熟悉，不清楚啟動預案的條件和流程，不能迅速的處置解決問題。2012年7月，某機構由于設備故障導致業務處理速度緩慢，但由于該設備上承載了多項重要業務，原有應急預案未充分考慮實際情況，科技部門未能按照預案執行，導致事件處理時間延后，影響擴大。該事件的發生一方面是因為系統建設時未充分考慮信息安全因素，不符合核心系統專機專用的安全思路，另一方面就是因為應急預案與實際不符合，可操作性不強，導致了事件影響擴大。綜合來看，銀行業金融機構在信息安全方面特別是安全基礎設施上進行了大量投入，但部分機構沒能充分重視“人”這一信息安全的核心因素，在精細化管理、人員的安全意識和專業素質培養等方面有所滯后。

2完善金融機構信息安全體系的幾點想法

從上面對區域內銀行業金融機構信息安全事件的分析可以看到,銀行系統不僅應當在防范外部攻擊、減少對外國技術廠商依賴、提高災難恢復能力等方面大力投入，也應當立足自身實際情況，重視內部風險因素，以人為本，做到人防、技防并重，構建一套可行的信息安全保障體系。下面結合上述各種不利安全的因素,就如何完善金融機構的信息安全體系提出五點建議：（1）設立信息安全崗位，積極培養信息安全專業人才，做到安全崗位人員持證上崗，確保信息安全從業人員具有符合需要的信息安全專業知識，明白業務系統在不同生命周期所面臨的風險是什么，能夠在業務系統的全生命周期里與開發人員、運維人員充分溝通，做好各項信息安全工作。（2）加強人員教育，增強從業人員信息安全意識。通過定期組織培訓、業務交流等多種方式，不斷強化各類人員信息安全和風險防范的觀念，樹立信息安全紅線意識。避免出現對潛在風險熟視無睹，系統告警無人迅速響應、為圖工作便捷而不按照流程處理等多種存在安全隱患的行為，減低信息安全事件發生概率。（3）強化機構精細化管理能力，不斷修訂完善信息安全管理制度，規范細化操作流程，建立合理的流程管理機制，加強對特定流程的管控和執行后的健康檢查，杜絕人為疏忽所引發的信息安全事件。（4）完善業務系統全生命周期的安全管理，將風險防范的思想貫穿其中，在業務系統開發實施的同時就強調做好相關備份方案的測試驗證工作，在系統上線運行后，建立完善的監控體制，不僅監控生產系統，對備份系統也保持監控，在可能的情況下，主備定期切換運行，確保在生產系統發生故障的時候，備份系統能夠替代生產系統提供服務，提高業務的可持續性。（5）不斷完善應急預案，保證應急預案與實際情況相契合，任何一個信息系統都不能做到萬無一失，所有機構都應當重視信息系統應急預案的修訂完善工作，定期組織本機構相關部門開展應急演練，并根據演練結果不斷優化應急預案，使得應急預案有效可行，確保對外服務的連續性。

3結束語

自信息技術誕生以來，信息安全就如同影子一般伴隨左右,新技術的不斷涌現，使得安全管理不可能是一勞永逸的事，要在新形勢下做好信息安全工作，不僅需要金融機構根據實際情況，繼續在信息安全基礎設施上做好投入，不斷完善優化運維管理機制，也需要金融機構重視人員管理的重要性，不斷培養提升人員意識，提高人員信息安全技術能力，以人為紐帶，將信息安全設施、信息安全運維管理機制有機融合起來，使其能夠真正得發揮作用，盡最大可能實現業務的可連續性。

作者：徐銳單位：中國人民銀行上海總部