基于安全基线的金融信息安全管理方法研究

龙源期刊网 https://www.sodocs.net/doc/504035833.html,

基于安全基线的金融信息安全管理方法研究作者：赵忠鑫

来源：《软件》2013年第06期

摘要：系统规模的不断扩大促使金融信息安全结构朝着复杂化，多元化发展，由此造成

了重点应用和服务器使用量基数不断变大，因此，如果工作人员在操作过程中出现失误，就很有可能给系统的正常运转带来很大的不利影响。针对这些问题，笔者认为建立健全一套金融行业信息安全管理方面的安全基线规范是十分有必要的，是确保信息系统安全运行的重要手段。

关键词：安全基线；金融；信息安全；管理办法

中图分类号：TP309 文献标识码：A DOI：10.3969/j.issn.1003-6970.2013.06.030

0 引言

近几年来，安全基线在金融行业中的应用越来越广泛，从而提高了金融行业内部网络与金融信息系统的安全系数[1]。所谓安全基线，是指在确保网络通信相关设备正常运作的基础

上，所要达到的最低层次的防护能力要求指标，是一套整体一致的安全基准。金融信息安全基线主要组成内容是一套统一的安全标准，表现某一时刻该金融单位总体信息安全所处状态，是此单位的信息安全水平综述。

1 背景

金融业系统规模扩大化影响了其内部业务系统的网络结构，使其朝着复杂方向发展[2]。

由此而引发的重点应用和服务器的总类别增大，数量增大，一旦出现工作人员操作失误或从始至终采取同一种初始系统设置，引发对安全控制标准的不重视，造成不良结果影响系统正常运作的可能性就是非常大的。

2 安全基线理论

安全基线需要设定一致的理论规范，含基线标准、基线编号、基线所处状态、基线状态说明、基线改革方法、基线审批单等七项重点内容[3]。基线版本，是指对基线标准的改变实施

跟踪、分析的方法和手段，可将其分成两部分：其一，是基线版本编号，代表的是基线标准中发生改变的内容，由四位阿拉伯数字组成，基线标准每发生一次改变，所对应的号码就随之加1；其二，是由六位阿拉伯数字组成的编号，代表含义是安全基线变更时使用的变更单编号。对于首次初始化的安全基线，需要审核工作人员在审批单的编号中注明“初始化”字样，在此后所有关于基线标准的增加、变更或删除、丢弃中，也都需要进行相关标注的审批单编号，方便日后对基线标注的发展流程进行查看和追溯。

3 基于安全基线的金融信息安全管理方法