银行信息安全略论银行信息安全体系之构建.doc

膇银行信息安全论文:略论银行信息安全体系之构建蒄[摘要]银行信息系统安全存在的隐患主要来自于机构内部、互联网以及灾难性风险等方面。参照国际信息安全管理标准ISO17799/ISO27001,建立信息安全管理体系刻不容缓。除此之外,还应建立健全保障机制,依托法律法规,融合技术与管理,定期进行信息安全检查,全方位地实现银行信息网络的安全构建。莃[关键词]银行信息安全;安全体系构建;银行网络;ISMS;检测与防护螈信息安全是指以防止被黑客恶意攻击和意外事故为目的,对信息基础设施、应用服务和信息内容的保密性、完整性、可用性、可控性和不可否认性进行安全保护。它包含了信息环境、信息网络和通信基础设施、媒体、数据、信息内容、信息应用等多方面的安全需求。我国银行信息化发展现已全面进入以业务系统整合、数据大集中为特征的新阶段,随着信息技术的发展,出现了更多的对信息系统安全的威胁,其形式、手段和途径在不断地变化,信息安全已成为迫在眉睫的问题。当银行对信息技术人员的依赖程度越来越高时,也使信息技术风险变得异常突出,信息安全保障的形势也更加严峻。这就要求银行业必须加强对自身漏洞的检测、监控和处理,形成快速反应能力。然而认识不到位,安全防范意识淡薄,安全工作仅仅局限于个别部门和岗位则是各银行普遍存在的问题。因此,亟需完善银行信息安全法规和技术标准,通过标准化建设,保证应用系统符合总体安全策略和安全要求。薆1银行信息安全体系架构银行信息安全体系包括安全管理体系和安全技术体系,两者是保障信息系统安全不可分割的两个部分,大多数情况下,技术和管理要求互相提供支撑以确保各自动能的正确实现。构建安全管理体系的主要目的是管理信息系统中的各种角色的活动。通过文档化的管理体系,从政策、制度、规范、流程以及日志等方面监督,控制各类角色在系统日常运行维护中的各种活动。建立安全技术体系的主要目的是为信息系统提供各种技术安全机制,通过在信息系统中部署软硬件并加以正确的配置,实现它所应有的安全功能。[1]芄2银行信息安全系统的防患要素及其构建原则银行信息系统安全存在的隐患主要来自于机构内部、互联网以及灾难性风险等方面。不法之徒利用科技手段侵入银行电子系统盗取资金的危害最大。因此,不但要以高科技手段建立一个严谨的网络安全体系,而且要从意识上乃至于制度上使这个体系更具完整性、稳定性和持续性,形成一个坚不可破的铁壁铜墙。银行信息安全建设是一项结合规划、管理、技术等多种因素的系统工程,是一个持续性的动态发展的过程,它由安全管理和安全技术两大要素构成,两者互相依赖、相互支撑,缺一不可地共同实现银行信息网络体系的安全。只有将有效的安全管理自始至终贯彻落实于信息安全体系的建设之中,银行信息安全体系的长期性和稳定性才能得到有效保证。而要实现这一目标,就必须要有相应的制度作为保障。因此,在相关法律法规的框架下制定出一个基本的信息安全策略是当务之急。有研究者提出,其基本原则应该是:明确责任,共同保护;依照标准,自行保护;同步建设,动态调整;指导监督,重点保护;持之以恒,定期查验。[1]有了这样一个原则,才能使安全体系建设有一个较高的保障水平,才能有条不紊而且井然有序地面对各种突发性事件,并采取相应的保护措施。膀3银行信息安全体系的建设、保护及规范化管理以盈利为目的网络犯罪,主要是针对电子商务、在线交易、电子银行等业务实施犯