前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的加強(qiáng)網(wǎng)絡(luò)安全隊伍建設(shè)主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:信息安全 防御體系 醫(yī)院信息化管理
中圖分類號:TP316 文獻(xiàn)標(biāo)識碼:A 文章編號:1674-098X(2014)06(a)-0038-01
1 醫(yī)院信息安全現(xiàn)狀分析
1.1 信息安全策略不明確
醫(yī)院信息安全策略工作的不明確,使醫(yī)院對于信息工作提出了更高的要求。醫(yī)院信息安全工作的建設(shè)并不是那樣的簡單,有些醫(yī)院只是簡單的注重各種網(wǎng)絡(luò)安全產(chǎn)品的采購,但是并沒有制定信息安全的中、長期的計劃,這些醫(yī)院沒有根據(jù)自己的網(wǎng)絡(luò)安全出現(xiàn)的一些問題而采取一些應(yīng)對措施,也沒有根據(jù)自己的信息安全目標(biāo)制定符合實際的安全管理策略。以上現(xiàn)象的出現(xiàn),使醫(yī)院信息安全產(chǎn)品不能發(fā)揮出應(yīng)有的作用,不能得到適當(dāng)?shù)膬?yōu)化和合理的配置。
1.2 計算機(jī)病毒等危害日益嚴(yán)重
醫(yī)院網(wǎng)絡(luò)安全事件頻繁發(fā)生,直接影響到醫(yī)院活動的正常運(yùn)行。據(jù)調(diào)查,網(wǎng)絡(luò)安全問題是由病毒泛濫、黑客攻擊、系統(tǒng)漏洞等原因造成的,網(wǎng)絡(luò)安全事件與脆弱的用戶終端和“失控”的網(wǎng)絡(luò)密切相關(guān),用戶終端不及時升級系統(tǒng)補(bǔ)丁和病毒庫,或者私設(shè)服務(wù)器、濫用政府禁用軟件、私自訪問外部網(wǎng)絡(luò)的現(xiàn)象普遍存在,如果失控的用戶終接入網(wǎng)絡(luò),就會使?jié)撛诘耐{趁虛而入,并大幅度的擴(kuò)散開來,后果不可想象。想要解決目前醫(yī)院網(wǎng)絡(luò)安全管理問題,需要我們保證用戶終端的安全、阻止威脅入侵網(wǎng)絡(luò)和對用戶的網(wǎng)絡(luò)訪問行為進(jìn)行有效的控制。這樣,醫(yī)院網(wǎng)絡(luò)安全才可以進(jìn)入可觀局面。
1.3 信息安全意識不強(qiáng),安全制度不健全
信息安全事件存在多方面的不足,歸結(jié)起來要么是醫(yī)院未制定安全管理制度,要么制度后實際卻沒去實施。對于醫(yī)院信息安全問題來說,醫(yī)院內(nèi)部人員起到很大的作用,但是實際情況下,醫(yī)院內(nèi)部人員的計算機(jī)知識卻相對薄弱,特別是在信息安全知識和意識方面,所以醫(yī)院應(yīng)加強(qiáng)對內(nèi)部員工安全知識的培訓(xùn)。
2 構(gòu)建醫(yī)院信息安全及防御體系的措施
目前,想要完成醫(yī)院信息安全的任務(wù),首先要根據(jù)醫(yī)院的實際狀況出發(fā),制定出相應(yīng)的措施。醫(yī)院信息安全應(yīng)包括安全策略、安全管理和安全技術(shù),只有將這三個方面的安全措施做好,醫(yī)院信息安全便可取得一定的效果。
2.1 提升信息安全策略
網(wǎng)絡(luò)信息安全需要從管理和技術(shù)兩方面下功夫。網(wǎng)絡(luò)信息安全并不是一個單一或獨(dú)立的問題,在根據(jù)醫(yī)院網(wǎng)絡(luò)信息實際出現(xiàn)的問題采取相對應(yīng)的措施外,還應(yīng)該嚴(yán)格務(wù)實的實施下去,只有這樣可以提高網(wǎng)絡(luò)信息系統(tǒng)安全性。我們在網(wǎng)絡(luò)安全實施的策略及步驟上應(yīng)包括以下五方面的內(nèi)容: 制定統(tǒng)一的安全策略、購買相應(yīng)的安全產(chǎn)品實施安全保護(hù)、監(jiān)控網(wǎng)絡(luò)安全狀況(遇攻擊時可采取安全措施)、主動測試網(wǎng)絡(luò)安全隱患、生成網(wǎng)絡(luò)安全總體報告并改善安全策略。
2.2 完善信息安全管理
從安全管理上,要制定出相對完善的機(jī)制,遵守并實施安全管理制度,加強(qiáng)對醫(yī)院員工的安全意識培訓(xùn),引導(dǎo)并督促他們對安全意識深入了解,最后還要制定出網(wǎng)絡(luò)安全應(yīng)急方案等。
第一,安全機(jī)構(gòu)建設(shè)。成立專門的信息管理組,并設(shè)立各個部門及其主要領(lǐng)導(dǎo),每個部門規(guī)定相應(yīng)的職責(zé),層層推進(jìn),共同實施信息管理任務(wù)。除此之外,還應(yīng)該及時的進(jìn)行信息的安全檢查和應(yīng)急安全演練。
第二,安全隊伍建設(shè)。若想要醫(yī)院信息系統(tǒng)能夠正常有序的運(yùn)行,則需要建立一支較高水平、較高實力的安全管理隊伍。安全管理隊伍可通過引進(jìn)或則培訓(xùn)等渠道建立。
第三,安全制度建設(shè)。為了確保醫(yī)療工作的正常運(yùn)行,需要建立一套可行的安全制度,其內(nèi)容包括很多方面,比如:系統(tǒng)與數(shù)據(jù)安全、應(yīng)用安全、網(wǎng)絡(luò)安全、信息安全、物理安全和運(yùn)行安全等等。
2.3 提升醫(yī)院信息安全技術(shù)水平
依據(jù)安全技術(shù)的實施結(jié)果分析,要針對檢測到的安全漏洞,制定出全面且徹底的補(bǔ)救方案與改進(jìn)措施。
(1)冗余技術(shù)。冗余技術(shù)的作用可以實現(xiàn)網(wǎng)絡(luò)的可靠性,冗余技術(shù)包括:電源冗余、處理器冗余、模塊冗余、設(shè)備冗余、鏈路冗余等。若無冗余技術(shù)的作用,醫(yī)院信息網(wǎng)絡(luò)就會就會出現(xiàn)故障或變化,這樣會導(dǎo)致醫(yī)院業(yè)務(wù)的瞬間質(zhì)量的惡化甚至內(nèi)部業(yè)務(wù)系統(tǒng)的中斷,并且醫(yī)院信息網(wǎng)絡(luò)作用于整個醫(yī)院的業(yè)務(wù)系統(tǒng),需要保證網(wǎng)絡(luò)可靠并正常的運(yùn)轉(zhuǎn),這就更需要冗余技術(shù)來發(fā)揮維持網(wǎng)絡(luò)穩(wěn)定性的作用了。
(2)建立安全的數(shù)據(jù)中心。無論對于患者或是醫(yī)院來說,醫(yī)院的醫(yī)療數(shù)據(jù)都是非常重要的,但是由于醫(yī)療系統(tǒng)的數(shù)據(jù)類型非常豐富,在對數(shù)據(jù)的多次讀取的和儲存的同時,難免造成數(shù)據(jù)的丟失,或則被惡意破壞、非法利用等安全問題,所以,建立一個安全的數(shù)據(jù)中心成為必需。一個安全的數(shù)據(jù)中心具有以下功能:有效的杜絕安全隱患、確保病患的及時信息交互、保證各個醫(yī)療系統(tǒng)的健康運(yùn)轉(zhuǎn)和加強(qiáng)醫(yī)療系統(tǒng)的安全等級。數(shù)據(jù)交換、數(shù)據(jù)庫、服務(wù)器集群、安全防護(hù)和遠(yuǎn)程優(yōu)化等組件都是融合的醫(yī)療數(shù)據(jù)中心的組成部分。
2.4 安裝安全監(jiān)控系統(tǒng)
想要保持醫(yī)院內(nèi)部的安全策略,安全監(jiān)控系統(tǒng)扮演著非常重要的角色。安全監(jiān)控系統(tǒng)不僅能充分的利用了醫(yī)院現(xiàn)有的網(wǎng)絡(luò)投資,還可以起到監(jiān)督的作用,監(jiān)控各種網(wǎng)絡(luò)行為和操作進(jìn)行,可以隨時隨地的記錄各個終端和網(wǎng)絡(luò)設(shè)備的使用狀況,而且還能起到隔離部分被攻擊的組件的作用,
3 結(jié)語
醫(yī)院信息安全并不是一個簡單的系統(tǒng),應(yīng)該采取多種有效的技術(shù)手段來應(yīng)對不同網(wǎng)絡(luò)威脅,當(dāng)然,也應(yīng)該清醒的認(rèn)識到不可能把信息安全問題徹底解決掉,絕對安全是不存在的。但是,只要我們把系統(tǒng)合理、安全規(guī)劃,技術(shù)上制定好相應(yīng)的安全防護(hù)措施并認(rèn)真務(wù)實的執(zhí)行下去,建立一個將誤差降低最小的安全防護(hù)系統(tǒng),才是我們一直追求的目標(biāo),才能實現(xiàn)保護(hù)醫(yī)院信息安全的目的。
參考文獻(xiàn)
[1] 魏牧.淺談醫(yī)院信息系統(tǒng)的安全管理[J].科技資訊,2009(8).
[2] 管斌,孫曼凌.淺談醫(yī)院信息管理系統(tǒng)[J].中國社區(qū)醫(yī)師(綜合版),2007(18).
[3] 黃俊星.現(xiàn)代化醫(yī)院建設(shè)中醫(yī)院信息系統(tǒng)管理的探索[J].江蘇衛(wèi)生事業(yè)管理,2007(1).
關(guān)鍵詞:網(wǎng)絡(luò)安全;風(fēng)險評估;安全措施
中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2008)06-11012-01
A Survey of Network Security Risk Assessment
CHEN Jun-wei
(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)
Abstract:To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.
Key words:Network security; risk assessment; security measures
1 引言
頻頻發(fā)生的信息安全事件正在日益引起全球的關(guān)注,列舉的近年來的網(wǎng)絡(luò)突發(fā)事件,不難發(fā)現(xiàn),強(qiáng)化提升網(wǎng)絡(luò)安全風(fēng)險評估意識、強(qiáng)化信息安全保障為當(dāng)務(wù)之急。所謂風(fēng)險評估,是指網(wǎng)絡(luò)安全防御中的一項重要技術(shù),它的原理是,根據(jù)已知的安全漏洞知識庫,對目標(biāo)可能存在的安全隱患進(jìn)行逐項檢查。然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報告,為提高網(wǎng)絡(luò)安全整體水平提供重要依據(jù)。完成一個信息安全系統(tǒng)的設(shè)計與實施并不足以代表該信息安全事務(wù)的完結(jié)。隨著新技術(shù)、新應(yīng)用的不斷出現(xiàn),以及所導(dǎo)致的信息技術(shù)環(huán)境的轉(zhuǎn)變,信息安全工作人員要不斷地評估當(dāng)前的安全威脅,并不斷對當(dāng)前系統(tǒng)中的安全性產(chǎn)生認(rèn)知。
2 網(wǎng)絡(luò)安全風(fēng)險評估的現(xiàn)狀
2.1 風(fēng)險評估的必要性
有人說安全產(chǎn)品就是保障網(wǎng)絡(luò)安全的基礎(chǔ),但有了安全產(chǎn)品,不等于用戶可以高枕無憂地應(yīng)用網(wǎng)絡(luò)。產(chǎn)品是沒有生命的,需要人來管理與維護(hù),這樣才能最大程度地發(fā)揮其效能。病毒和黑客可謂無孔不入,時時伺機(jī)進(jìn)攻。這就更要求對安全產(chǎn)品及時升級,不斷完善,實時檢測,不斷補(bǔ)漏。網(wǎng)絡(luò)安全并不是僅僅依靠網(wǎng)絡(luò)安全產(chǎn)品就能解決的,它需要合適的安全體系和合理的安全產(chǎn)品組合,需要根據(jù)網(wǎng)絡(luò)及網(wǎng)絡(luò)用戶的情況和需求規(guī)劃、設(shè)計和實施一定的安全策略。通常,在一個企業(yè)中,對安全技術(shù)了如指掌的人員不多,大多技術(shù)人員停留在對安全產(chǎn)品的一般使用上,如果安全系統(tǒng)出現(xiàn)故障或者黑客攻擊引發(fā)網(wǎng)絡(luò)癱瘓,他們將束手無策。這時他們需要的是安全服務(wù)。而安全評估,便是安全服務(wù)的重要前期工作。網(wǎng)絡(luò)信息安全,需要不斷評估方可安全威脅。
2.2 安全評估的目標(biāo)、原則及內(nèi)容
安全評估的目標(biāo)通常包括:確定可能對資產(chǎn)造成危害的威脅;通過對歷史資料和專家的經(jīng)驗確定威脅實施的可能性;對可能受到威脅影響的資產(chǎn)確定其價值、敏感性和嚴(yán)重性,以及相應(yīng)的級別,確定哪些資產(chǎn)是最重要的;準(zhǔn)確了解企業(yè)網(wǎng)的網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀;明晰企業(yè)網(wǎng)的安全需求;制定網(wǎng)絡(luò)和系統(tǒng)的安全策略;制定網(wǎng)絡(luò)和系統(tǒng)的安全解決方案;指導(dǎo)企業(yè)網(wǎng)未來的建設(shè)和投入;通過項目實施和培訓(xùn),培養(yǎng)用戶自己的安全隊伍。而在安全評估中必須遵循以下原則:標(biāo)準(zhǔn)性原則、可控性原則、整體性原則、最小影響原則、保密性原則。
安全評估的內(nèi)容包括專業(yè)安全評估服務(wù)和主機(jī)系統(tǒng)加固服務(wù)。專業(yè)安全評估服務(wù)對目標(biāo)系統(tǒng)通過工具掃描和人工檢查,進(jìn)行專業(yè)安全的技術(shù)評定,并根據(jù)評估結(jié)果提供評估報告。
目標(biāo)系統(tǒng)主要是主流UNIX及NT系統(tǒng),主流數(shù)據(jù)庫系統(tǒng),以及主流的網(wǎng)絡(luò)設(shè)備。使用掃描工具對目標(biāo)系統(tǒng)進(jìn)行掃描,提供原始評估報告或由專業(yè)安全工程師提供人工分析報告?;蚴侨斯z查安全配置檢查、安全機(jī)制檢查、入侵追查及事后取證等內(nèi)容。而主機(jī)系統(tǒng)加固服務(wù)是根據(jù)專業(yè)安全評估結(jié)果,制定相應(yīng)的系統(tǒng)加固方案,針對不同目標(biāo)系統(tǒng),通過打補(bǔ)丁、修改安全配置、增加安全機(jī)制等方法,合理進(jìn)行安全性加強(qiáng)。
系統(tǒng)加固報告服務(wù)選擇使用該服務(wù)包,必須以選擇ISMR/SSMR/HME服務(wù)包為前提,針對評估分析報告,提出加固報告。系統(tǒng)加固報告增強(qiáng)服務(wù)選擇使用該服務(wù)包,必須以選擇ISMR/SSMR/HME服務(wù)包為前提,針對評估分析報告,提出系統(tǒng)加固報告,并將系統(tǒng)加固報告、加固步驟、所需補(bǔ)丁程序以光盤形式提交客戶。系統(tǒng)加固實施服務(wù)選擇使用該服務(wù)包,必須以選擇 ISMR/SSMR/HME服務(wù)包為前提,針對評估分析報告,提出系統(tǒng)加固報告,并將系統(tǒng)加固報告、加固步驟、所需補(bǔ)丁程序以光盤形式提交客戶,并由專業(yè)安全工程師實施加固工作。
3 網(wǎng)絡(luò)安全風(fēng)險評估系統(tǒng)
討論安全評定的前提在于企業(yè)已經(jīng)具有了較為完備的安全策略,這項工作主要檢測當(dāng)前的安全策略是否被良好的執(zhí)行,從而發(fā)現(xiàn)系統(tǒng)中的不安全因素。當(dāng)前計算機(jī)世界應(yīng)用的主流網(wǎng)絡(luò)協(xié)議是TCP/IP,而該協(xié)議族并沒有內(nèi)置任何安全機(jī)制。這意味著基于網(wǎng)絡(luò)的應(yīng)用程序必須被非常好的保護(hù),網(wǎng)絡(luò)安全評定的主要目標(biāo)就是為修補(bǔ)全部的安全問題提供指導(dǎo)。
評定網(wǎng)絡(luò)安全性的首要工作是了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),拓?fù)涿枋鑫臋n并不總能反映最新的網(wǎng)絡(luò)狀態(tài),進(jìn)行一些實際的檢測是非常必要的。最簡單的,可以通過Trackroute工具進(jìn)行網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn),但是一些網(wǎng)絡(luò)節(jié)點(diǎn)可能會禁止Trackroute流量的通過。在了解了網(wǎng)絡(luò)拓?fù)渲?,?yīng)該獲知所有計算機(jī)的網(wǎng)絡(luò)地址和機(jī)器名。對于可以訪問的計算機(jī),還應(yīng)該了解其正在運(yùn)行的端口,這可以通過很多流行的端口發(fā)現(xiàn)工具實現(xiàn)。當(dāng)對整個網(wǎng)絡(luò)的架構(gòu)獲得了足夠的認(rèn)知以后,就可以針對所運(yùn)行的網(wǎng)絡(luò)協(xié)議和正在使用的端口發(fā)現(xiàn)網(wǎng)絡(luò)層面的安全脆弱點(diǎn)了。通常使用的方法是對協(xié)議和端口所存在的安全漏洞逐項進(jìn)行測試。
安全領(lǐng)域的很多專家都提出邊界防御已經(jīng)無法滿足今天的要求,為了提高安全防御的質(zhì)量,除了在網(wǎng)絡(luò)邊界防范外部攻擊之外,還應(yīng)該在網(wǎng)絡(luò)內(nèi)部對各種訪問進(jìn)行監(jiān)控和管理。企業(yè)組織每天都會從信息應(yīng)用環(huán)境中獲得大量的數(shù)據(jù),包括系統(tǒng)日志、防火墻日志、入侵檢測報警等。是否能夠從這些信息中有效的識別出安全風(fēng)險,是風(fēng)險管理中重要一環(huán)。目前的技術(shù)手段主要被應(yīng)用于信息的收集、識別和分析,也有很多廠商開發(fā)出了整合式的安全信息管理平臺,可以實現(xiàn)所有系統(tǒng)模塊的信息整合與聯(lián)動。
數(shù)據(jù)作為信息系統(tǒng)的核心價值,被直接攻擊和盜取數(shù)據(jù)將對用戶產(chǎn)生極大的危害。正因為如此,數(shù)據(jù)系統(tǒng)極易受到攻擊。對數(shù)據(jù)庫平臺來說,應(yīng)該驗證是否能夠從遠(yuǎn)程進(jìn)行訪問,是否存在默認(rèn)用戶名密碼,密碼的強(qiáng)度是否達(dá)到策略要求等。而除了數(shù)據(jù)庫平臺之外,數(shù)據(jù)管理機(jī)制也應(yīng)該被仔細(xì)評估。不同級別的備份措施乃至完整的災(zāi)難備份機(jī)制都應(yīng)該進(jìn)行有效的驗證,不但要檢驗其是否存在安全問題,還要確認(rèn)其有效性。大部分?jǐn)?shù)據(jù)管理產(chǎn)品都附帶了足夠的功能進(jìn)行安全設(shè)定和數(shù)據(jù)驗證,利用這些功能可以很好的完成安全評定工作并有效的與安全策略管理相集成。攻擊者的一個非常重要目的在于無需授權(quán)訪問某些應(yīng)用,而這往往是獲得系統(tǒng)權(quán)限和數(shù)據(jù)的跳板。事實上大部分的安全漏洞都來自于應(yīng)用層面,這使得應(yīng)用程序的安全評定成為整個工作體系中相當(dāng)重要的一個部分。與更加規(guī)程化的面向體系底層的安全評定相比,應(yīng)用安全評定需要工作人員具有豐富的安全知識和堅實的技術(shù)技能。
4 結(jié)束語
目前我國信息系統(tǒng)安全風(fēng)險評估工作,在測試數(shù)據(jù)采集和處理方面缺乏實用的技術(shù)和工具的支持,已經(jīng)成為制約我國風(fēng)險評估水平的重要因素。需要研究用于評價信息安全評估效用的理論和方法,總結(jié)出一套適用于我國國情的信息安全效用評價體系,以保證信息安全風(fēng)險評估結(jié)果準(zhǔn)確可靠,可以為風(fēng)險管理活動提供有價值的參考;加強(qiáng)我國信息安全風(fēng)險評估隊伍建設(shè),促使我國信息安全評估水平得到持續(xù)改進(jìn)。
參考文獻(xiàn):
[1] 陳曉蘇,朱國勝,肖道舉.TCP/IP協(xié)議族的安全架構(gòu)[N].華中科技大學(xué)學(xué)報,2001,32-34.
[2] 賈穎禾.國務(wù)院信息化工作辦公室網(wǎng)絡(luò)與信息安全組.信息安全風(fēng)險評估[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2004(7),21-24.
[3] 劉恒,信息安全風(fēng)險評估挑戰(zhàn)[R],信息安全風(fēng)險評估與信息安全保障體系建設(shè)研討會,2004.10.12.
[4] [美]Thomas A Wadlow.網(wǎng)絡(luò)安全實施方法.瀟湘工作室譯.北京:人民郵電出版社,2000.
[5] 張衛(wèi)清,王以群.網(wǎng)絡(luò)安全與網(wǎng)絡(luò)安全文化[J].情報雜志,2006(1),40-45
[6] 趙戰(zhàn)生,信息安全風(fēng)險評估[R],第全國計算機(jī)學(xué)術(shù)交流會,2004.7.3.
論文關(guān)鍵詞:金觸信息系統(tǒng)風(fēng)險隱患防范措施
隨著,國金融電子化建設(shè)的不斷深人,電子化、網(wǎng)絡(luò)化、集約化已經(jīng)成為金融業(yè)信息化發(fā)展的大趨勢,電子計算機(jī)及信息技術(shù)的應(yīng)用已經(jīng)滲透到金融業(yè)經(jīng)營的各個層面,成為了金融業(yè)務(wù)開展的基礎(chǔ),現(xiàn)代金融就是“貨幣+信息”。金融信息化系統(tǒng)安全的重要性也與日俱增,成為金融業(yè)經(jīng)營管理工作中的頭等大事。本文就當(dāng)前金融信息系統(tǒng)風(fēng)險隱患的成因進(jìn)行剖析并提出對策措施。
一、金融信息風(fēng)險成因
1.系統(tǒng)運(yùn)行環(huán)境的不安全。一是操作系統(tǒng)平臺的漏洞。金融信息系統(tǒng)主要是基于UNIX.Windows,SUN等系統(tǒng)平臺設(shè)計的,而這些操作系統(tǒng),安全級別較差,存在著安全漏洞,如系統(tǒng)崩潰漏洞、拒絕服務(wù)攻擊漏洞、緩沖區(qū)溢出漏洞等,都能導(dǎo)致系統(tǒng)的癱瘓。二數(shù)據(jù)庫管理系統(tǒng)的缺陷。數(shù)據(jù)管理系統(tǒng)是信息系統(tǒng)的基礎(chǔ),必須與操作系統(tǒng)的安全配套,但這無疑是一個先天不足。三是網(wǎng)絡(luò)協(xié)議安全的脆弱。計算機(jī)網(wǎng)絡(luò)系統(tǒng)大都使用TCPIIP協(xié)議,傳統(tǒng)的FTP,E-MAIL等服務(wù)都包含著影響金融信息安全的因素,存在著漏洞,容易被攻擊,直接威脅到金融信息系統(tǒng)的安全。
2.信息系統(tǒng)設(shè)計不完善。近幾年,金融信息系統(tǒng)不斷開發(fā)出來和投人運(yùn)用,創(chuàng)新了金融工具和金融業(yè)務(wù),但由于有的系統(tǒng)在開發(fā)中,片面注重科技創(chuàng)新追求快出成果,對安全的認(rèn)知程度不高,缺少風(fēng)險管理概念,忽視了系統(tǒng)的有效性和安全性,系統(tǒng)沒有統(tǒng)一的安全標(biāo)準(zhǔn),功能單一、容災(zāi)、容錯能力弱,應(yīng)用效果差,沒有發(fā)揮應(yīng)有的作用,造成信息資源的浪費(fèi)。
3.安全系統(tǒng)建設(shè)缺乏整體性。根據(jù)木桶理論,金融信息系統(tǒng)的整體安全性,取決于安全系統(tǒng)的最薄弱環(huán)節(jié),而當(dāng)前安全系統(tǒng)只重視單一或幾個安全產(chǎn)品的部署,網(wǎng)絡(luò)安全產(chǎn)品仍然是在以“點(diǎn)”發(fā)展,停留在訪問控制、病毒掃描、內(nèi)容過濾等方面,而忽視整體安全系統(tǒng)建設(shè)。
4.安全隊伍建設(shè)和員工安全意識教育不到位。高素質(zhì)的安全管理人員的缺乏嚴(yán)重地影響了計算機(jī)信息系統(tǒng)安全措施的有效落實。就當(dāng)前情況來看,金融機(jī)構(gòu)安全管理人員大都是由計算機(jī)工程技術(shù)人員兼任,他們既是電子化工程項目的建設(shè)者、管理者,也是信息安全的管理者,集電子化建設(shè)和信息安全管理于一身,職責(zé)不明,責(zé)任不清,不能有效地對安全現(xiàn)狀進(jìn)行真實、客觀的評估和審計。
5.安全防范措施不力,內(nèi)部控制不產(chǎn)。落后的管理也使計算機(jī)安全工作大打折扣。據(jù)統(tǒng)計我國銀行業(yè)的IT投人有59%花費(fèi)在了硬件設(shè)施上,軟件投人所占比例為23%,管理服務(wù)上的投人少,只有18%,這與國外銀行業(yè)的IT投人比例形成了鮮明的對比。落后的管理也使計算機(jī)安全工作大打折扣。從已經(jīng)發(fā)生過的金融計算機(jī)犯罪事例來看,大多數(shù)問題出在疏于檢查、放松管理上。據(jù)有關(guān)部門統(tǒng)計,我國銀行系統(tǒng)發(fā)生的計算機(jī)犯罪案件,85%來自內(nèi)部人員或內(nèi)外勾結(jié)作案。
二、構(gòu)建安全的金觸信息系統(tǒng)
1.樹立正確的信息安全觀。從金融管理機(jī)構(gòu)到金融機(jī)構(gòu)、從金融管理層到基層員工都要高度重視金融信息安全,清醒的認(rèn)識到加強(qiáng)金融信息安全的根本是保障金融業(yè)務(wù)的連續(xù)性、是促進(jìn)金融的可持續(xù)發(fā)展,有效的金融信息安全管理策應(yīng)對企業(yè)的財務(wù)狀況,現(xiàn)金流量等進(jìn)行分析。一是資產(chǎn)負(fù)債結(jié)構(gòu)。分析受評企業(yè)負(fù)債水平與債務(wù)結(jié)構(gòu)有助于了解管理層理財策略(如債務(wù)到期安排,企業(yè)償付能力等)。此外,企業(yè)的融資租賃、未決訴訟中的負(fù)債項目也會影響評級結(jié)果;二是盈利能力。通過對銷售利潤率、凈值報酬率、總資產(chǎn)報酬率等指標(biāo)衡量;三是現(xiàn)金流量充足性?,F(xiàn)金流量是衡量受評企業(yè)償債能力的核心指標(biāo)。凈現(xiàn)金流量、留存現(xiàn)金流量和自由現(xiàn)金流量與到期總債務(wù)的比率,基本可以反映受評企業(yè)營運(yùn)現(xiàn)金對債務(wù)的保障程度;四是資產(chǎn)流動性。主要考察企業(yè)流動資產(chǎn)與長期資產(chǎn)的比例結(jié)構(gòu)。同時,通過存貨周轉(zhuǎn)率、應(yīng)收賬款周轉(zhuǎn)率等指標(biāo)反映流動資產(chǎn)轉(zhuǎn)化為現(xiàn)金的速度,以評估企業(yè)償債能力的高低。
為了能準(zhǔn)確地考察借款人的償債能力,非財務(wù)因素對于借款人的影響也是不可忽視的。非財務(wù)因素主要指借款人所處的行業(yè)、經(jīng)營特征、管理方式、還款意愿以及其他一些因素。
上述模型考慮了企業(yè)自身的內(nèi)部組織結(jié)構(gòu),經(jīng)營方式的不同給銀行在實際貸款時可能帶來的不同程度風(fēng)險。該模型對各因素的內(nèi)容作了具體描述,對風(fēng)險的程度劃分詳細(xì),便于操作。在深層次的信用評級中,還應(yīng)考慮相關(guān)的實際因素如行業(yè)風(fēng)險、業(yè)務(wù)風(fēng)險等對企業(yè)信用的影響。