基于安全基線的金融信息安全管理策略探究

劉波 東營(yíng)銀行股份有限公司信息技術(shù)部

近幾年來(lái)，隨著金融信息化的進(jìn)程在不斷的加快，金融信息的科技創(chuàng)新能力也在提高，金融企業(yè)在不斷的擴(kuò)大規(guī)模，使得其內(nèi)部業(yè)務(wù)系統(tǒng)朝著復(fù)雜化發(fā)展，讓一些副武器的類(lèi)別和數(shù)量在不斷的增加，金融的業(yè)務(wù)發(fā)展依靠金融科技力量的支撐，與此同時(shí)，金融業(yè)務(wù)發(fā)展也對(duì)金融的信息安全做出了更高的要求。因此，建立金融行業(yè)的信息安全管理的安全基線十分重要。安全基線在金融行業(yè)中的應(yīng)用越來(lái)越廣泛，是信息系統(tǒng)最小的安全保障，要求能達(dá)到最低層面的防護(hù)能力，基本能夠滿(mǎn)足用戶(hù)的需求。

1 安全基線理論

安全基線理論包括基線的標(biāo)準(zhǔn)、基線的編號(hào)、基線的所處狀態(tài)、基線的狀態(tài)說(shuō)明、基線的審批單七項(xiàng)內(nèi)容。安全基線需要建立一套健全的理論體系?；€的版本可以根據(jù)基線標(biāo)準(zhǔn)的改變實(shí)行的跟蹤、分析方法和分析手段分成兩個(gè)部分：基線版本編號(hào)和由六位阿拉伯?dāng)?shù)字組成的基線編號(hào)?；€版本的編號(hào)是由四位阿拉伯?dāng)?shù)字組成的，基線編號(hào)是根據(jù)基線標(biāo)準(zhǔn)的改變而發(fā)生改變的，基線標(biāo)準(zhǔn)發(fā)生一次改變，基線版本編號(hào)對(duì)應(yīng)的號(hào)碼就會(huì)隨著變化加一。而第二種基線的版本是由六位阿拉伯?dāng)?shù)字組成的編號(hào)，它代表安全基線發(fā)生改變時(shí)的變更單編號(hào)。對(duì)于第一次使用的安全基線，相關(guān)的工作人員會(huì)在六位阿拉伯?dāng)?shù)字中注明“初始化”，對(duì)于以后基線的標(biāo)準(zhǔn)發(fā)生增加、刪除或者發(fā)生改變的都要做出相應(yīng)的記錄，方便工作人員對(duì)基線標(biāo)注發(fā)展的流程進(jìn)行查看。

2 基于安全基線的金融信息安全管理策略

安全基線管理是為了保障通信網(wǎng)絡(luò)中的使用設(shè)備的安全，保證通信網(wǎng)絡(luò)中的設(shè)備和系統(tǒng)能夠正常運(yùn)行。金融行業(yè)的運(yùn)作下層需要的系統(tǒng)和設(shè)備十分多，安全基線方法管理是對(duì)各種設(shè)備和系統(tǒng)進(jìn)行全方面的檢測(cè)，并提供操作指南，規(guī)范操作技術(shù)，使其正常運(yùn)作。安全基線管理方法對(duì)各種設(shè)備和系統(tǒng)都實(shí)施檢查和安全配置，并且提供了校驗(yàn)的標(biāo)準(zhǔn)。安全基線管理在日常操作中對(duì)工作人員的操作進(jìn)行統(tǒng)一規(guī)范并指導(dǎo)。金融行業(yè)所面臨的系統(tǒng)十分復(fù)雜，設(shè)備和系統(tǒng)的種類(lèi)也十分多，對(duì)工作人員的技術(shù)要求也非常高，因此，必須采取統(tǒng)一高標(biāo)準(zhǔn)的檢查工具來(lái)幫助檢查，減少極限工作人員的操作失誤。

2.1 嚴(yán)格執(zhí)行每一項(xiàng)制度

隨著金融行業(yè)不斷發(fā)展，金融行業(yè)的科學(xué)技術(shù)也在不斷創(chuàng)新，安全基線也在隨之發(fā)生變化，嚴(yán)格執(zhí)行每一項(xiàng)制度十分重要。金融行業(yè)的信息安全基線管理可以細(xì)分為網(wǎng)絡(luò)的安全管理、技術(shù)的安全管理和信息安全管理等十項(xiàng)內(nèi)容，其中包含的標(biāo)準(zhǔn)也非常多。金融的安全基線建立后，基線管理員要根據(jù)一些基數(shù)標(biāo)準(zhǔn)來(lái)進(jìn)行整體的風(fēng)險(xiǎn)檢測(cè)，判斷企業(yè)當(dāng)前的安全狀態(tài)。如果一些執(zhí)行人員缺乏安全責(zé)任意識(shí)，不經(jīng)過(guò)審批就進(jìn)行工作，在執(zhí)行工作中也不嚴(yán)格把關(guān)信息安全工作，很可能在實(shí)際工作中出現(xiàn)一些問(wèn)題，所以，要培養(yǎng)員工嚴(yán)格執(zhí)行制度的意識(shí)，做好安全基線的管理工作。

2.2 做好安全基線變更的工作

金融行業(yè)的科學(xué)技術(shù)和創(chuàng)新技術(shù)在不斷的提高，這就需要安全基線的管理也要不斷更新，但是一些金融企業(yè)仍然采用傳統(tǒng)固定的安全基線模板來(lái)作為企業(yè)的安全基線，這樣會(huì)導(dǎo)致不能判斷安全基線的變更問(wèn)題。所以，基線模板要不斷的根據(jù)實(shí)際情況發(fā)生變更，確保通信技術(shù)和網(wǎng)絡(luò)的安全?；€管理員必須要確定變更的內(nèi)容，對(duì)需要變更的一些要求屬于環(huán)境安全和系統(tǒng)或應(yīng)用軟件的哪幾種的組合做出判斷，明確變更復(fù)雜度和影響的范圍?；€管理員明確變更的內(nèi)容以后，需要向企業(yè)審核員遞交變更申請(qǐng)，使得企業(yè)的基線管理層都熟悉并且掌握信息安全工作?；€成功的實(shí)施變更以后，基線管理員對(duì)啟用的新基線進(jìn)行版本升級(jí)，隨之對(duì)變更過(guò)程中的一些文檔進(jìn)行整理，方便基線管理員以后查看文檔。企業(yè)的文檔庫(kù)包括基線從建立、變更和結(jié)束整個(gè)生命周期的所有資料，是基線安全管理的重要根據(jù)，基線管理員一定要重視對(duì)文檔庫(kù)的維護(hù)工作，防止企業(yè)的文檔庫(kù)出現(xiàn)不一致的現(xiàn)象，對(duì)于一些現(xiàn)在不能解決的問(wèn)題，企業(yè)的相關(guān)部門(mén)要根據(jù)原因進(jìn)行分析，將真實(shí)情況反映給上級(jí)領(lǐng)導(dǎo)，保證信息安全初始化的合理性和科學(xué)性。

2.3 加大安全基線制度的實(shí)施力度，完善基線變更制度

金融行業(yè)要實(shí)施標(biāo)準(zhǔn)的管理政策，下級(jí)部門(mén)要準(zhǔn)確的提供信息安全基線的變更情況，加大對(duì)信息安全的檢查力度，讓相關(guān)部門(mén)確保對(duì)信息安全基線的管理，使網(wǎng)絡(luò)通信的相關(guān)設(shè)備都處于正常的運(yùn)作的狀態(tài)。另外，下級(jí)部門(mén)要加大對(duì)安全基線的技術(shù)投入，提高技術(shù)管理水平。隨著金融行業(yè)的不斷發(fā)展，安全基線也要不斷地變更，提高技術(shù)水平，建立安全的信息系統(tǒng)，實(shí)施動(dòng)態(tài)的安全基線管理來(lái)確保信息的安全性。

3 結(jié)束語(yǔ)

新時(shí)期，信息技術(shù)與網(wǎng)絡(luò)化都在不斷地發(fā)展，而信息的安全性也不斷的受到人們的關(guān)注和重視。現(xiàn)在金融行業(yè)的信息安全以及信息系統(tǒng)的正常運(yùn)作不斷地受到威脅，所以，對(duì)金融行業(yè)實(shí)施安全的信息管理政策十分有必要?？茖W(xué)合理的安全管理可以有效的監(jiān)控企業(yè)的信息安全狀態(tài)，消除存在的安全信息隱患。安全基線可以采取“填平補(bǔ)齊”的方法，逐步完善企業(yè)各單位的安全狀況，能夠比較全面的解決各個(gè)部門(mén)存在的信息安全的問(wèn)題，對(duì)安全基線的定期檢查和風(fēng)險(xiǎn)跟蹤可以有效促進(jìn)安全機(jī)制的形成，所以，引入安全基線技術(shù)，建立一個(gè)安全基線管理體系十分重要。