本文是一篇安全管理论文,安全管理主要是组织实施企业安全管理规划、指导、检查和决策,同时,又是保证生产处于最佳安全状态的根本环节。(以上内容来自百度百科)今天为大家推荐一篇安全管理论文,供大家参考。
第 1 章 绪 论
1.1 选题背景及意义
1.1.1 选题背景
金融制度是经济社会发展的重要基础性制度,国家对金融体系的重视,彰显了在新的历史时期党和国家对金融在经济发展和稳定中地位的肯定。随着信息技术的发展,科技手段不断更新,新的科技产品不断涌现,在金融行业的应用越来越广泛,金融行业大部分的工作都与信息科技存在直接或间接的联系,信息安全在金融行业的重要性越来越高。习近平总书记曾多次在不同的重要会议中提出信息安全的重要性。信息安全的重要性越来越高,渗透到了生活的方方面面,信息安全已上升到国家战略的层面。随着国务院金融稳定发展委员会的设立和《网络安全法》正式颁布,落实党中央、国务院关于守住不发生系统性金融风险的底线,以及《网络安全法》对网络和信息安全管理提出的相关具体要求,是我国金融行业当前以及未来的重要责任和义务。特别是近年来,云计算、大数据、移动支付、区块链、虚拟现实、人工智能等技术的不断兴起,一方面推动了金融业不断加快技术创新的步伐,极力提高金融行业服务市场和客户的能力;另一方面也由于新兴技术尚未成熟和缺乏相应的制度和监管,本身也可能蕴含着尚未暴露的风险和安全隐患。因此,金融行业的安全管理工作任重道远。银行业作为我国信息化前沿的的关键行业,安全形势一直备受社会的关注。随着对信息科技的重视和科技产品的应用,银行业信息化管理水平不断提高,安全管理也取得了初步成效。但是当前针对银行业的网络攻击行为也在不断加剧,信息技术固有的安全隐患显得越来越突出。银行业向互联网和移动互联网方向的快速转型,针对银行的网络攻击事件频发,网络犯罪数量急剧攀升,使得银行业信息安全形势日趋严峻。
............
1.2 国内外文献综述
1.2.1 国外文献综述
国外学者对信息安全的研究起步较早,国外的信息安全标准提出较早,在国际上取得了举足轻重的地位。早期国外的信息安全研究在密码技术方面成就尤为突出,在 20 世纪初期,W.Firedman 和 C.shannon 在密码管理方面,分别提出使用重合指数破译多表代替密码技术和保密系统通信理论。具有里程碑式的意义,密码管理学正式作为一项科学学科,保密科学正式登上历史的舞台;在 20 世纪 70年代由 IBM 公司的 DES 和 Diff-Hellman 提出了公开密钥的思想,1977 年第一个RSA 公钥密码算法被提出,公钥密钥算法被广泛应用,直到 2000 年左右,DES 加密算法还在金融机构有举足轻重的作用。随着密码学的发展和应用,访问控制学科得到飞速发展,也是在 20 世纪 70 年代初期,B.Lampson 提出了访问控制的模型,初次提出了访问控制主体和客体的概念,并提出相关的操作策略。1973 年 D.Bell和 L.Lapadula 提出了多级安全模型,在安全策略管理方面取得了重大突破。在以上雏形的基础上,安全评估管理体系框架逐渐形成,如:TCSEC、ITSEC 和 CC等。在国际信息安全管理方面举足轻重,特别是 ISO/IEC 27001 至今仍为信息安全管理的主要标准。20 世纪 80 年代后,计算机网络逐步普及,大范围的实现网络互连,打破原有的单机概念,计算机病毒、网络攻击、信息泄露、DDOS 攻击等安全事件逐步进入人们的视野,信息安全产业规模越来越大。Robert lucky(1991)提出,信息数据的价值是呈金字塔形分布的,越向顶层的数据,信息的价值越高;1999 年美国联邦颁布的《格雷姆-里奇-比利雷法》也称为《金融服务现代化法案》,在法案中对客户信息的收集和限制做出了规定,对于金融机构客户信息的私密性要采取严格控制措施,金融机构要采取必要的措施保障客户信息的私密性;R·E·Bryant、R·H·Katz、E·D·Lazowska(2008)认为大数据的重要性不是指数据本身,而是数据的新用途和通过数据产生的新见解;Bruce Schneier(2016)认为云服务是安全的,各企业应该像信任软件、硬件、服务供应商一样去信任云服务。
.......
第 2 章 信息安全管理概述
信息系统是银行业正常运行的重要平台支撑,如果信息系统出现了故障或者受到恶意攻击,可能给银行带来服务性故障,会导致局部银行系统甚至整体瘫痪。随着信息技术的发展和黑客产业链的形成,银行业的信息系统已成为重要的攻击目标之一,信息安全管理面临着巨大的挑战。
2.1 信息安全的内涵
最初的信息安全是指防止信息系统遭到未授权的访问和恶意破坏,其中信息系统除了包含与信息相关的硬件设备、软件设备等还包括物理环境也包括供电设施、防雷设施等基础设施。恶意的破坏是指通过非正常的手段,在未经授权的情况下,破坏数据的四大要素。后来随着信息安全范畴的扩大和业内理论知识框架的完善,信息安全从单纯防护延伸出安全监测、风险评估、过程控制等理论。具体来说,信息安全主要体现在保证信息的机密性、完整性、可用性、真实性、可核查性、不可否认和可靠性七个方面。其中:机密性是指信息不能被未授权的个人、实体或者过程知晓和利用;完整性是指信息的准确性和完整性;可用性是指根据权限实现的可访问和利用的特性;真实性是确保主体或资源与他们声称一致的特性;可核查性是确保实体的活动可以唯一追溯到该实体的特性;不可否认性是指确认实体活动发生或未发生的特性;可靠性是预期的行为和结果的一致性。信息安全包括的范围很大,其中包括如何防范泄密、防范不良信息的泛滥、个人信息的泄密等。随着网络的发展还延伸到网络管理、系统管理、协议管理等相关内容,从而影响到企业的战略和业务连续性管理等方面。
.......
2.2 信息安全管理的定义
信息安全是保障数据的机密性、完整性和可用性的实施过程。主要是指通过实施策略、规范、流程和技术等控制措施,保护信息的机密性、完整性和可用性的过程。根据目前信息安全管理的现状,信息安全管理可以分为信息资产安全、人员安全、物理环境安全、网络安全、主机及服务器安全、应用系统安全、数据安全和运维安全等方面的管理。(一)信息资产安全是指有价值且与信息相关的资产,包括在信息获取、传输、处理、存储和使用中的电子及纸质文档、使用的设备和工具、承载的介质、所需的服务以及承担相关活动的人员等的安全管理。如:信息资产进行分类,从主机、应用、数据、人员等层面识别信息资产;按照信息资产的保密性、完整性、可用性和业务相关性等进行分级;按信息资产分类分级要求建立信息资产清单,并定期盘点信息资产;在信息资产新增、变更、废弃处置时,经部门负责人审核和批准,变更信息资产清单,并保留审核和批准记录;根据信息资产类别,采取不同的方式进行标记;当信息资产的信息发生变更时,更新相应标记。(二)人员安全是指根据员工信息安全管理要求,建立员工信息安全管理机制,对员工岗位操作和离岗交接等进行安全控制。主要包括应考查员工相应岗位的专业知识,确保其具备相应的技能,并签订相关保密协议;员工离岗时,应收回其持有的相应岗位信息资产和访问权限等。(三)物理环境安全管理是指保障信息安全的物理的基础设施的管理。主要体现在中心机房及相关基础设施的建设方面。主要包括确定主机房设计要求,包括:选址、环境要求、电力要求、楼层要求、承重要求等。
........
第 3 章 银行业信息安全管理综述............ 13
3.1 银行业信息安全管理的现状.... 13
3.2 银行业信息安全管理存在的问题....... 15
3.3 银行信息安全风险的成因.........16
第 4 章 HX 银行济南分行信息安全管理概述...... 18
4.1 HX 银行济南分行简介....18
4.2 HX 银行济南分行信息安全管理现状............ 19
4.3 HX 银行济南分行信息安全管理环境分析....20
第 5 章 HX 银行济南分行信息安全管理规划....26
5.1 HX 银行济南分行信息安全分析......... 26
5.1.1 HX 银行济南分行信息安全管理现状..............26
5.1.2 HX 银行济南分行当前面临的主要风险..........27
5.2 信息安全管理规划的目标、形式和体系建设........28
5.3 HX 银行的信息安全管理规划............. 33
5.4 HX 银行信息安全管理策略的实施效果........ 37
#p#分页标题#e#
第 6 章 强化银行业信息安全管理的对策建议
6.1 强化信息安全监控和检查
信息安全监控和检查是信息安全管理的重要环节,对于商业银行能够及时识别风险,实现信息安全管理工作的持续改进有着至关重要的作用。信息安全监控主要是指通过现有的技术手段实施的监控信息系统网络、主机、用户等异常行为,及时有效的识别风险,对风险行为进行跟踪统计,从而采集积极有效的防御措施,实施安全防护。在安全监控的基础上,通过安全检查与监控的有机结合,对信息安全风险、实施部署、现有的权限和措施进行检查,从而改进工作。信息安全的监控和安全检查与信息安全管理一样,互相依托,是一个持续管理和改进的过程,通过信息安全的监控和检查能够及时的发现问题,处置问题,从而达到持续改进的目的。信息安全检查的组织,鉴于信息安全工作的重要性,建议在银行的安全管理部门中设置专门的工作岗位,来负责信息安全的检查和监控工作,从而保障信息安全工作的有序开展。检查和监控岗位的主要职责应至少包括检查的规划、组织实施、检查结果的运用、问题持续改进的落实情况等。再次基础上配合各部门设置的信息安全管理人员,从全行范围内开展安全管理工作。信息安全检查和监控工作的开展可以分为部门内部自查、安全管理部门例行检查、不定时抽查和专项检查集中形式,除了信息安全的自查有各部门的信息安全管理员负责外,其它集中方式都是由信息安全的管理部门发起。在此基础上,银行业要在重要的节假日前夕、国家重要会议期间、系统的重要变更前后等时间点,重点关注信息安全监控和检查工作。检查内容要涵盖基础设施、安全环境、安全工具等在内的所有安全环节,排查安全隐患。
..........
结论
随着信息科技的发展,HX 银行济南分行在近几年来逐步重视信息安全工作,信息安全管理工作逐步走上正轨。信息安全管理的架构也日益规范。但是信息技术是一把双刃剑,巩固了安全的同时,也增加了安全管理的难度。特别是随着黑客产业链的形成,工具更具有目的性和实效性。对银行特别是商业银行等信息安全防护能力薄弱的金融机构是一个很大的挑战,现有的安全管理架构,需要不断的完善和调整,时时的应对各方面的攻击和嗅探。本文以 HX 银行济南分行作为样本,并结合在 HX 银行济南分行的工作经验和体会,从信息安全管理的角度出发,全面解析 HX 银行济南分行安全管理方面的内外部环境、行业环境,结合 HX 银行济南分行现有的安全手段和技术架构,打造一个行之有效的信息安全管理模式。最后从 HX 银行济南分行整体建设着手,分析信息技术安全管理规划的保障措施,分别从组织体系、企业文化、技术工具支持、人才队伍建设和制度体系建设等方面阐述了 HX 银行济南分行信息安全管理规划实施的有力保障,展现出 HX 银行济南分行信息安全规划的发展愿景。
..........
参考文献(略)
