金融信息系统的安全风险评估.pdfVIP

维普资讯 技 Technology }} _ c ． 蔓 金融信息系统 风险 对外经济贸易大学 王 强 发布了OCTAVE框架，后来又进一步改进。这是一种从 一 、 引言 系统的、组织的角度开发的新型信息安全保护方法，主 要针xC-型组织。OCTAVE方法要求一个涵盖各专业的 信息技术在金融领域的应用不断深入，引起现代金 综合分析团队来执行评估，并担当安全改进工作的核 融管理、经营以及监管方式等诸多方面的深刻变化。随 心。这种方法强调信息资产的风险，强调基于实践的风 着网络技术和信息技术的不断发展，网上金融、网上管 险缓和措施，采用公认的、良好的安全实践。 理和网上监管将逐步取代传统经营管理方式，这种非接 OCTAVE方法的实施分为三个阶段、八个过程。 触式的动态经营管理将成为现代经营管理的重要方式。 1．三个阶段 由于网络技术的快速发展，情报获取实时化、信息 (1)建立基于资产的威胁配置文件 (ThreatPro— 传输网络化 、信息链接无缝化都将实现，各级经营管理 file)。这是从组织的角度进行评估，组织的全体员工阐 机构将在广阔的网络空间实现信息的实时共享，经营管 述他们的看法，如什么对组织重要 (与信息相关的资 理将因此变得更加智能化，金融经营管理效能 、金融安 产)，应当采取什么样的措施保护这些资产等。分析团队 全和金融风险的可控性将显著提高。在这个过程中，信 整理这些信息，确定对组织最重要的资产 (关键资产 ) 息系统的安全面临着更大的挑战。从技术角度而言，信 并标识对这些资产的威胁。 息系统面临着如下风险：④技术选择风险；②系统安全 (2)标识基础结构的弱点 (InfrastructureVulnera- 风险；③网络黑客攻击风险；④病毒破坏风险；⑤外部技 bilities)，对计算基础结构进行评估。分析团队标识出与 术支持风险。 每种关键资产相关的关键信息技术系统和组件，然后对 解决信息安全问题要从技术和管理两方面同时着 这些关键组件进行分析，找出导致对关键资产产生未授 手，对信息安全进行全面系统规划，组织使用适当的安