信息安全事件調(diào)查思考范文
本站小編為你精心準(zhǔn)備了信息安全事件調(diào)查思考參考范文,愿這些范文能點(diǎn)燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
《金融科技時(shí)代雜志》2014年第十期
(一)加強(qiáng)信息安全管理
金融行業(yè)通過(guò)在互聯(lián)網(wǎng)開(kāi)展業(yè)務(wù)、提高管理效能、創(chuàng)新金融服務(wù)、開(kāi)拓金融市場(chǎng)來(lái)擴(kuò)大自身影響力,對(duì)防范和抵御來(lái)自互聯(lián)網(wǎng)的信息安全威脅十分重視,而對(duì)來(lái)自內(nèi)部的信息安全威脅卻防范不足。尤其缺乏對(duì)內(nèi)部人員信息安全意識(shí)的培養(yǎng),在信息安全管理制度執(zhí)行方面存在不足。調(diào)查顯示,超過(guò)75%的信息系統(tǒng)泄密和惡意攻擊事件都是由于內(nèi)部人員疏忽和無(wú)意識(shí)泄密造成的,這是安全威脅不斷升級(jí)的重要原因之一。此外,在利益驅(qū)動(dòng)下,個(gè)別內(nèi)部人員鋌而走險(xiǎn),利用管理的疏漏主動(dòng)發(fā)起的信息安全威脅更難防范。同時(shí),信息安全不能只靠一些信息安全產(chǎn)品實(shí)現(xiàn),安全產(chǎn)品和技術(shù)只是信息安全管理體系里的一小部分。只有在良好的信息安全管理基礎(chǔ)上才能發(fā)揮作用,所以“三分技術(shù),七分管理”是保障信息安全的基本原則。
(二)建立信息安全事件調(diào)查規(guī)范
懷疑發(fā)生信息安全事件后,要及時(shí)啟動(dòng)調(diào)查程序,而每個(gè)調(diào)查程序必須有一套基本的規(guī)范加以指導(dǎo)。通常從調(diào)查人員構(gòu)成、調(diào)查時(shí)間緊迫程度、調(diào)查方案、保密范圍以及需要采取的后續(xù)措施等方面逐一規(guī)定。在調(diào)查組成員的選配上,需要業(yè)務(wù)部門、技術(shù)部門、監(jiān)督檢查部門以至外聘專家共同組成;在時(shí)間要求上,第一時(shí)間開(kāi)展調(diào)查能夠防止重要信息被刪除、篡改,爭(zhēng)取得到第一手資料;在調(diào)查方案上,信息安全事件調(diào)查需要從業(yè)務(wù)操作、內(nèi)部管理、技術(shù)原因等各方面開(kāi)展調(diào)查;在保密要求上,需要對(duì)被檢查單位和人員保密調(diào)查內(nèi)容和調(diào)查方法,防止出現(xiàn)相關(guān)證據(jù)信息被人為隱瞞、銷毀的情況;在調(diào)查評(píng)估上,信息安全事件發(fā)生后引起的嚴(yán)重影響,是否需要啟動(dòng)司法程序等作出規(guī)定。因此,建立一整套信息安全事件調(diào)查程序至關(guān)重要,主要是為了確保以下4個(gè)方面的內(nèi)容。1.信息安全異常現(xiàn)象可以被檢測(cè)出來(lái)并得到有效處理,尤其是確定是否需要將異常現(xiàn)象歸類為信息安全事件。2.對(duì)已確定的信息安全事件進(jìn)行評(píng)估,并以最恰當(dāng)和最有效的方式作出響應(yīng)。3.作為事件響應(yīng)的一部分,通過(guò)恰當(dāng)?shù)姆雷o(hù)措施,將信息安全事件對(duì)組織及其業(yè)務(wù)運(yùn)行的負(fù)面影響降至最低。4.及時(shí)總結(jié)信息安全事件及其管理的經(jīng)驗(yàn)教訓(xùn),有效預(yù)防將來(lái)信息安全事件發(fā)生的頻率,改進(jìn)信息安全防護(hù)措施的實(shí)施和使用,同時(shí)全面改進(jìn)信息安全事件管理方案。
(三)提高信息安全人員素質(zhì)
除了建立信息安全管理制度并嚴(yán)格落實(shí)外,高素質(zhì)的信息安全人員是信息安全保障體系的智力支撐。從IT行業(yè)越來(lái)越細(xì)的專業(yè)劃分和日益復(fù)雜嚴(yán)重的信息安全威脅來(lái)看,信息安全管理儼然成為需要有更高專業(yè)素養(yǎng)的領(lǐng)域。信息安全管理人員需要掌握的知識(shí)結(jié)構(gòu)包括信息安全保障基礎(chǔ)知識(shí)、信息安全技術(shù)、信息安全管理、信息安全工程以及信息安全標(biāo)準(zhǔn)法規(guī)等。在技術(shù)領(lǐng)域需要掌握操作系統(tǒng)安全、防火墻、防病毒、入侵檢測(cè)、密碼技術(shù)和應(yīng)用等安全技術(shù)知識(shí);在管理方面要掌握信息安全管理和治理,并要具有開(kāi)展風(fēng)險(xiǎn)評(píng)估、災(zāi)難恢復(fù)、應(yīng)急響應(yīng)所需相關(guān)知識(shí)和實(shí)踐能力;在工程領(lǐng)域要有開(kāi)展信息安全工程管理、咨詢和監(jiān)理的實(shí)踐經(jīng)驗(yàn);在標(biāo)準(zhǔn)和法律法規(guī)領(lǐng)域,需要掌握國(guó)家信息安全相關(guān)的法律法規(guī)以及國(guó)內(nèi)外信息安全相關(guān)的標(biāo)準(zhǔn)和實(shí)踐經(jīng)驗(yàn)。此外,一個(gè)合格的信息安全員不但要有不斷更新自身知識(shí)結(jié)構(gòu)的自主學(xué)習(xí)能力,還要具有高度的責(zé)任心和自律能力。因此,建立一支高素質(zhì)的信息安全員隊(duì)伍,是信息安全工作的重要保障。
(四)建立金融機(jī)構(gòu)間協(xié)同調(diào)查機(jī)制
在廣域網(wǎng)環(huán)境中,服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全監(jiān)控系統(tǒng)在地理上是分散的,可能部署在不同層次的網(wǎng)絡(luò)節(jié)點(diǎn)并分屬不同的管理機(jī)構(gòu)。由于網(wǎng)絡(luò)的互通性,黑客經(jīng)常會(huì)使用遠(yuǎn)程攻擊或利用被侵入的主機(jī)作為跳板隱藏自身地址,入侵和攻擊事件表面上發(fā)生在A地,但發(fā)起攻擊的源頭很可能在B地。如果要追蹤攻擊的源頭,就需要收集所有關(guān)鍵服務(wù)器、網(wǎng)絡(luò)節(jié)點(diǎn)的日志信息等,并將它們按一定的規(guī)律關(guān)聯(lián)起來(lái)。例如這次事件的調(diào)查雖然不屬于黑客攻擊,但如果要找到登錄終端,就需要調(diào)取商業(yè)銀行、人民銀行各級(jí)網(wǎng)絡(luò)交換機(jī)、路由器、防火墻等設(shè)備的配置文件、日志文件,甚至是系統(tǒng)臨時(shí)文件等。由于商業(yè)銀行和人民銀行之間沒(méi)有建立相應(yīng)的協(xié)同工作機(jī)制,調(diào)查組無(wú)法及時(shí)獲取這些資料,所以也就無(wú)法通過(guò)IP地址找到登錄終端,并通過(guò)登錄終端找到查詢?nèi)藛T。隨著人民銀行與金融機(jī)構(gòu)間網(wǎng)絡(luò)的互聯(lián)互通,提供的服務(wù)項(xiàng)目增多,加上微小金融機(jī)構(gòu)大量接入金融服務(wù)平臺(tái),出現(xiàn)此類信息安全事件的概率也會(huì)上升,需要各金融機(jī)構(gòu)間共享關(guān)鍵信息并協(xié)助開(kāi)展調(diào)查的事件也會(huì)越來(lái)越多,所以建立金融機(jī)構(gòu)間信息安全事件協(xié)同調(diào)查機(jī)制至關(guān)重要。
(五)重視Web應(yīng)用系統(tǒng)安全設(shè)計(jì)
隨著金融機(jī)構(gòu)在互聯(lián)網(wǎng)開(kāi)展的業(yè)務(wù)增多,許多針對(duì)網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對(duì)Web應(yīng)用的攻擊上。通常情況下,信息安全部門會(huì)采用不同的安全設(shè)備和技術(shù)部署在Web應(yīng)用的各個(gè)層面,以確保整個(gè)Web應(yīng)用系統(tǒng)的安全。但如果一個(gè)在設(shè)計(jì)之初就缺乏適當(dāng)?shù)陌踩枨蠛驮O(shè)計(jì),存在先天性安全漏洞和隱患的應(yīng)用系統(tǒng),無(wú)論在隨后的部署階段采取何種安全防護(hù)措施,都極易受到攻擊。這次事件調(diào)查表明,征信系統(tǒng)在用戶登錄設(shè)計(jì)上存在安全性能低的隱患。一是用戶身份驗(yàn)證方式安全性低,采用基于用戶名加口令的身份認(rèn)證方式容易因?yàn)橘~號(hào)密碼泄露、口令猜測(cè)、線路竊聽(tīng)、重放攻擊等手段導(dǎo)致合法用戶身份被偽造和竊用。二是沒(méi)有限制用戶跨機(jī)構(gòu)、跨地區(qū)登錄。賬號(hào)密碼可以在全國(guó)任何一個(gè)金融機(jī)構(gòu)終端登錄征信系統(tǒng)。三是審計(jì)日志不完整,缺少關(guān)鍵信息,如記錄登錄終端IP地址等信息。如果征信系統(tǒng)設(shè)計(jì)之初就采用USBKey+數(shù)字證書(shū)的身份驗(yàn)證方式則能夠有效防止此類事件發(fā)生,或通過(guò)限制用戶登錄機(jī)構(gòu)和地區(qū),審計(jì)日志記錄登錄終端IP就能在信息安全事件發(fā)生后準(zhǔn)確及時(shí)的定位非法登陸人員。所以在Web應(yīng)用設(shè)計(jì)中應(yīng)該高度重視安全設(shè)計(jì),應(yīng)該從身份認(rèn)證和口令管理、角色管理、審計(jì)日志、第三方組件分析、輸入數(shù)據(jù)驗(yàn)證和凈化、加密和密鑰管理、源代碼管理等方面的安全性加以重點(diǎn)考慮。
作者:肖智敏王樹(shù)文單位:中國(guó)人民銀行天水市中心支行
