刘波 东营银行股份有限公司信息技术部
近几年来,随着金融信息化的进程在不断的加快,金融信息的科技创新能力也在提高,金融企业在不断的扩大规模,使得其内部业务系统朝着复杂化发展,让一些副武器的类别和数量在不断的增加,金融的业务发展依靠金融科技力量的支撑,与此同时,金融业务发展也对金融的信息安全做出了更高的要求。因此,建立金融行业的信息安全管理的安全基线十分重要。安全基线在金融行业中的应用越来越广泛,是信息系统最小的安全保障,要求能达到最低层面的防护能力,基本能够满足用户的需求。
安全基线理论包括基线的标准、基线的编号、基线的所处状态、基线的状态说明、基线的审批单七项内容。安全基线需要建立一套健全的理论体系。基线的版本可以根据基线标准的改变实行的跟踪、分析方法和分析手段分成两个部分:基线版本编号和由六位阿拉伯数字组成的基线编号。基线版本的编号是由四位阿拉伯数字组成的,基线编号是根据基线标准的改变而发生改变的,基线标准发生一次改变,基线版本编号对应的号码就会随着变化加一。而第二种基线的版本是由六位阿拉伯数字组成的编号,它代表安全基线发生改变时的变更单编号。对于第一次使用的安全基线,相关的工作人员会在六位阿拉伯数字中注明“初始化”,对于以后基线的标准发生增加、删除或者发生改变的都要做出相应的记录,方便工作人员对基线标注发展的流程进行查看。
安全基线管理是为了保障通信网络中的使用设备的安全,保证通信网络中的设备和系统能够正常运行。金融行业的运作下层需要的系统和设备十分多,安全基线方法管理是对各种设备和系统进行全方面的检测,并提供操作指南,规范操作技术,使其正常运作。安全基线管理方法对各种设备和系统都实施检查和安全配置,并且提供了校验的标准。安全基线管理在日常操作中对工作人员的操作进行统一规范并指导。金融行业所面临的系统十分复杂,设备和系统的种类也十分多,对工作人员的技术要求也非常高,因此,必须采取统一高标准的检查工具来帮助检查,减少极限工作人员的操作失误。
随着金融行业不断发展,金融行业的科学技术也在不断创新,安全基线也在随之发生变化,严格执行每一项制度十分重要。金融行业的信息安全基线管理可以细分为网络的安全管理、技术的安全管理和信息安全管理等十项内容,其中包含的标准也非常多。金融的安全基线建立后,基线管理员要根据一些基数标准来进行整体的风险检测,判断企业当前的安全状态。如果一些执行人员缺乏安全责任意识,不经过审批就进行工作,在执行工作中也不严格把关信息安全工作,很可能在实际工作中出现一些问题,所以,要培养员工严格执行制度的意识,做好安全基线的管理工作。
金融行业的科学技术和创新技术在不断的提高,这就需要安全基线的管理也要不断更新,但是一些金融企业仍然采用传统固定的安全基线模板来作为企业的安全基线,这样会导致不能判断安全基线的变更问题。所以,基线模板要不断的根据实际情况发生变更,确保通信技术和网络的安全。基线管理员必须要确定变更的内容,对需要变更的一些要求属于环境安全和系统或应用软件的哪几种的组合做出判断,明确变更复杂度和影响的范围。基线管理员明确变更的内容以后,需要向企业审核员递交变更申请,使得企业的基线管理层都熟悉并且掌握信息安全工作。基线成功的实施变更以后,基线管理员对启用的新基线进行版本升级,随之对变更过程中的一些文档进行整理,方便基线管理员以后查看文档。企业的文档库包括基线从建立、变更和结束整个生命周期的所有资料,是基线安全管理的重要根据,基线管理员一定要重视对文档库的维护工作,防止企业的文档库出现不一致的现象,对于一些现在不能解决的问题,企业的相关部门要根据原因进行分析,将真实情况反映给上级领导,保证信息安全初始化的合理性和科学性。
金融行业要实施标准的管理政策,下级部门要准确的提供信息安全基线的变更情况,加大对信息安全的检查力度,让相关部门确保对信息安全基线的管理,使网络通信的相关设备都处于正常的运作的状态。另外,下级部门要加大对安全基线的技术投入,提高技术管理水平。随着金融行业的不断发展,安全基线也要不断地变更,提高技术水平,建立安全的信息系统,实施动态的安全基线管理来确保信息的安全性。
新时期,信息技术与网络化都在不断地发展,而信息的安全性也不断的受到人们的关注和重视。现在金融行业的信息安全以及信息系统的正常运作不断地受到威胁,所以,对金融行业实施安全的信息管理政策十分有必要。科学合理的安全管理可以有效的监控企业的信息安全状态,消除存在的安全信息隐患。安全基线可以采取“填平补齐”的方法,逐步完善企业各单位的安全状况,能够比较全面的解决各个部门存在的信息安全的问题,对安全基线的定期检查和风险跟踪可以有效促进安全机制的形成,所以,引入安全基线技术,建立一个安全基线管理体系十分重要。