【正文】 種不 樂觀的現(xiàn) 狀，我們急需要從上到下、齊抓共管。要為這些職能部門配備必要的財力、 人力和物力資源，物盡其用、人盡其才，通過各個相關(guān)部門的積極配合，將信息 安全風(fēng)險管理工作落到實處。根據(jù)這一目標(biāo)，可以制定出信息 安全風(fēng)險管理工作的基本策略：對信息風(fēng)險進行細致的評估，并能及時采取有針 對性的防御措施。為使運行管理人員熟練掌握應(yīng) 急操作步驟，組織人員在例行維護時間進行實際環(huán)境應(yīng)急演練和桌面應(yīng)急推演， 通過演練使運行管理人員的突發(fā)事件應(yīng)急處置的能力和應(yīng) 急操作熟練程度有了 很大提高，在第一時間內(nèi)能夠解決突發(fā)事件，保證了網(wǎng)絡(luò)系統(tǒng)的正常安全運轉(zhuǎn)。要求在以后項目建設(shè)的開始階段，就要做好該系統(tǒng)的信息安全規(guī)劃、安 全評估和分析，在項目幵發(fā)建設(shè)的全過程中都要嚴格遵守、執(zhí)行。 加 強內(nèi)部控制，建立內(nèi)部監(jiān)控、授權(quán)和審計制度 加強內(nèi)部控制需要從系統(tǒng)自身和系統(tǒng)外部兩個方面入手。為保障系統(tǒng) 穩(wěn)定運行，減少宕機事件，一定要有效控制變更，提高變更的成功率。對硬件設(shè)備 參數(shù)配置、操作系統(tǒng)、應(yīng)用軟件、數(shù)據(jù)庫等的優(yōu)化和配置修改都極大地依賴硬件、 軟件公司的技術(shù)人員。由于軟件系統(tǒng)的變更失敗和人為操作不當(dāng)，只有強化內(nèi)部 控制機制，明確分配軟件設(shè)計開發(fā)人員、系統(tǒng)運行和維護人員、風(fēng)險控制管理人 員等不同角色、不同權(quán)限，以及他們在操作流程中承擔(dān)的不同職責(zé)，形成各個角 色之間的相互制約關(guān)系，才能有效提高和變更操作的成功率。其實，信息系統(tǒng)的外 部威脅除了很少部分是來自互聯(lián)網(wǎng)之外，而大部分是因 為內(nèi)部員工的非受控行為所導(dǎo)致，我們就需要通過內(nèi)部監(jiān)控、分級授權(quán)和審計監(jiān) 測分析等技術(shù)和管理手段，以此有效的減少系統(tǒng)外部的威脅。當(dāng)然，在薄弱和 復(fù)雜的環(huán)節(jié)之中，肯定會潛藏著風(fēng)險隱患，會給整個行業(yè) 的信息安全風(fēng)險管理工 作帶來危險和障礙。 (二）建立有效的網(wǎng)絡(luò)安全管理體系需要從以下幾個方面著手 加強內(nèi)控建設(shè)，規(guī)范運行維護管理，防止系統(tǒng)風(fēng)險及人為操作風(fēng)險的發(fā) 生 在制定安全管理制度中，各種文檔的制定亦非常重要，重要包括如下文檔： 網(wǎng)絡(luò)建設(shè)方案文檔（網(wǎng)絡(luò)的拓撲結(jié)構(gòu)圖、設(shè)備的配置、網(wǎng)絡(luò)技術(shù)體制、 IP地址 分配等相關(guān)技術(shù)文檔）、機房管理制度文檔 （在 甘肅省農(nóng)村信用社中心機房管 理制度 中詳細規(guī)定了機房值班人員的職責(zé)，按時做好 進出機房登記簿 、 空 調(diào)溫濕度登記簿 等等各項檢査，重點保護中心機房網(wǎng)絡(luò)設(shè)備和服務(wù)器的物理安 全）、評審和修訂（安全政策和制度文件制定實施后，機構(gòu)要定期評審安全政策 和制度，并進行持續(xù)改進，尤其當(dāng)發(fā)生重大安全事故、出現(xiàn)新的漏洞已經(jīng)技術(shù)基 礎(chǔ)結(jié)構(gòu)發(fā)生變更時）、網(wǎng)絡(luò)安全方案、安全策略文檔、口令管理制度系統(tǒng)操作規(guī) 程、規(guī)范網(wǎng)絡(luò)行為、應(yīng)急預(yù)案、用戶授權(quán)管理等多種類型的文檔資料。各項制度 的出臺，無論從軟、硬件管理到操作系統(tǒng)，還是從人員管理到內(nèi)控制度的落實等， 都作了詳細的規(guī)定，形成一個職責(zé)明確、違章處罰有據(jù)，監(jiān)督保障有力的管理體 系，從而達到了有章可循，有規(guī)可依，為實現(xiàn)規(guī)范化、制度化、科學(xué)化管理提供 了可靠依據(jù)。因此，還需要根據(jù)實際情況的不同變化，及時 對制度進行補充、完善、修訂，以適應(yīng)計算機安全工作的要求。 建立系統(tǒng)運行周報制度，做好預(yù)防性維護 為做好各類信息系統(tǒng)運行預(yù)防工作，科技信息部建立了運行情況周報制度， 系統(tǒng)網(wǎng)絡(luò)運行管理人員每周人工定時對各系統(tǒng)運行情況，按照規(guī)定的指標(biāo)要求進 行檢 査，通過檢查及一周來運行事件的總結(jié)，研究分析系統(tǒng)、網(wǎng)絡(luò)運行質(zhì)量及效 率，對可能存在的問題和隱患及時采取措施，進行預(yù)防性維護，確定了系統(tǒng)運行 服務(wù)和保障指標(biāo)，明確了系統(tǒng)監(jiān)控、日常后臺操作、重大業(yè)務(wù)操作、數(shù)據(jù)備份、 硬件檢修、安全管理、技術(shù)支持等實施方案、計劃和操作規(guī)程，實現(xiàn)了系統(tǒng)運行 事前、事中和事后的有效運作管理，確保了系統(tǒng)安全穩(wěn)定運行。我們分別 從管理和技術(shù)兩個方面，來對審計進行闡述。從技術(shù)角度來看：審計是對用戶和 程序使用的資源事件進行記錄和審查，以此提高安全性的重要工具。根據(jù)審計結(jié)果可以確定問題，尋找出來攻擊源。 我省農(nóng)村信用社科技信息部門目前并沒有建立積極有效的監(jiān)控和審計管理 制度，對潛在的或者是已經(jīng)存在的問題進行及吋的防范和處理，更不能防患于未 然。 提高抗風(fēng)險能力，加快核心業(yè)務(wù)系統(tǒng)災(zāi)難備份中心建設(shè) 目前，甘肅省農(nóng)村信用社的數(shù)據(jù)中心全面承載著全省業(yè)務(wù)系統(tǒng)的安全運行職 責(zé)，全省農(nóng)村信用社各機構(gòu)網(wǎng)點對綜合業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)、現(xiàn)代化支付系統(tǒng)、銀聯(lián)跨 行支付等重要業(yè)務(wù)的依賴越來越強。針對金融機構(gòu)重要業(yè)務(wù)系統(tǒng)容災(zāi)安全， 人民銀行、銀監(jiān)會等監(jiān)管部門非常重視，多次下發(fā)制度、規(guī)范并要求各金融要盡 快完成建設(shè)災(zāi)備中心的建設(shè)。同時，在完成應(yīng)用級同城災(zāi)備中心的建 設(shè)的情況下，根據(jù)實施情況，再適時完成異地數(shù)據(jù)級災(zāi)備中心。定期進行安全評 估可以及時發(fā)現(xiàn)系統(tǒng)的安全漏洞和管理的薄弱環(huán)節(jié)。 做好網(wǎng)絡(luò)信息的安全風(fēng)險評估 信息安全風(fēng)險評估是指：依據(jù)有關(guān)的國家信息安全技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及 其由其處理、傳輸、存儲的信息的保密性、可用性、完整性等安全屬性進行評價 的過程。 為了客觀公正的測評一 個產(chǎn)品或系統(tǒng)，都應(yīng)當(dāng)成立獨立行使評測職能的權(quán)威 機構(gòu)。一直 在試行或制定一些技術(shù)標(biāo)準(zhǔn)，包括網(wǎng)關(guān)安全技術(shù)要求、防火墻系統(tǒng)安全技術(shù)要求、 網(wǎng)絡(luò)入侵檢測系統(tǒng)的安全技術(shù)要求、路由器安全技術(shù)要求、數(shù)字簽名機制標(biāo)準(zhǔn)、 電子商務(wù)的密鑰管理框架、安全電子交易的抗抵賴機制標(biāo)準(zhǔn)、代理服務(wù)器安全技 術(shù)蘿求、安全電子數(shù)據(jù)交換標(biāo)準(zhǔn)、信息系統(tǒng)安全評價準(zhǔn)則及測試規(guī)范、信息安全 服務(wù)評價準(zhǔn)則、信息安全工程質(zhì)量管理要求、智能 IC卡的安全技術(shù)要求、鑒別 機制標(biāo)準(zhǔn)、電子 商務(wù)中心安全技術(shù)要求和電信交換設(shè)備的安全技術(shù)要求。第一，我們 的計算機信息系統(tǒng)、相關(guān)的網(wǎng)絡(luò)設(shè)備和安全產(chǎn)品，必須經(jīng)過權(quán)威的安全測評機構(gòu) 實施測評和認證后，方可投入使用；第二，要逐步建立完善評估隊伍，聘用專業(yè) 的安全評估人員，并且經(jīng)常評估自己系統(tǒng)的安全性。 我省農(nóng)村信用社應(yīng)該參照以上要求，形成切合實際需求的評估隊伍，這對于 日常的風(fēng)險分析是非常必要和必須的。 另一方面，可以在技術(shù)人員、操作人員和管理人員等多個層次加強對系統(tǒng)安全的 重視程度。安全 防護是為了延遲 或阻止侵入系統(tǒng)，從而為安全檢測和安全事件反應(yīng)，提供更多的 時間。 按照木桶原理，信息系統(tǒng)的安全性取決于系統(tǒng)中最薄弱的環(huán)節(jié)。我省農(nóng)村信用社系統(tǒng)只使用了一般性的系統(tǒng)監(jiān)控軟件，為了能更好和 及時的檢測出系統(tǒng)中最薄弱和最易受攻擊的環(huán)節(jié)，全面檢查系統(tǒng)存在的漏洞和弱 點等隱患，有針對性地建立防護措施和安全策略，以此增強網(wǎng)絡(luò)的安全性，我們 應(yīng)該使用當(dāng)前較為成 熟的網(wǎng)絡(luò)監(jiān)控設(shè)備或?qū)崟r入侵檢測設(shè)備，以便對訪問網(wǎng)絡(luò)的 操作進行實時檢査、監(jiān)控、阻斷和報警，從而有效地阻止對網(wǎng)絡(luò)的攻擊和犯罪行 為。安全監(jiān)控系統(tǒng)和預(yù)警系統(tǒng)是預(yù)防工 作的保證和基礎(chǔ)，早期及時的檢測出系統(tǒng)被攻擊，就能爭取時間，從而及時采取 防范和應(yīng)急措施。首先， 要加強網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施和管理平臺的建設(shè)，抓好核心業(yè)務(wù) 網(wǎng)絡(luò)系統(tǒng)安全產(chǎn)品和 安全設(shè)備的應(yīng)用；其次，要建立集網(wǎng)絡(luò)通信管理、網(wǎng)絡(luò)信息資源管理和系統(tǒng)管理 于一體的集成網(wǎng)絡(luò)管理平臺，實行統(tǒng)一管理和分級授權(quán)。我省農(nóng)村信用社系統(tǒng)內(nèi)部還沒有專 門的預(yù)警系統(tǒng)，對于來自專網(wǎng)的惡意攻擊，目前只是人為通過流量分析來判定， 而對外部網(wǎng)絡(luò)，例如網(wǎng)銀等，由于受防火墻阻擋，這些非法攻擊只能通過査看防 火墻 日志來加以分析。 比如，目前我省農(nóng)村信用社系統(tǒng)所使用的 TIVOLI監(jiān)控系統(tǒng)。 我們的真正目是通過安全技術(shù)手段防護和監(jiān)測，對監(jiān)測到的外部攻擊，采取 快速的應(yīng)急反應(yīng)。本文將用較為詳細的描述，來將 PDR安全模型進行 Pt:攻擊發(fā)生需要的時間，表示攻擊者侵入系統(tǒng)所用的時間。 Dt:監(jiān)測系統(tǒng)是否安全的時間。 Rt:安全事件的反應(yīng)的時間。 假設(shè)：一個信息系統(tǒng)的 Pt (Dt十