建立一个强健的信息安全架构是云时代银行信息风险管理自动化、系统化,智能地管理信息安全活动的基础。
信息风险管理随着信息技术的发展而逐步演进,从信息技术安全逐步发展到信息安全并最终演变成信息风险管理,其关注点也从技术风险、被动的威胁驱动的管理,逐步发展到以技术和业务相关的风险驱动的主动并整体的管理方式。
第一阶段,信息技术安全关注基础架构方面的安全威胁,同时涵盖应用开发和安全事件管理等。第二阶段范围则扩展到整个信息的生命周期管理过程,包括机密性、完整性和可用性,在审计和监管要求的基础上适应业务。在第三阶段将信息与技术风险融入到整体风险过程,基于风险的技术将帮助业务制定风险管理的策略,并确定可接受剩余风险的水平。
除了信息技术的发展,信息风险管理还受到新出现的威胁、不断演进的业务模型和逐渐严厉的监管要求的重要影响。随着云计算、社交媒体以及大数据技术的发展,信息风险管理发展到一个全新的阶段。
云时代的银行信息风险管理完全适用于信息风险管理的3个方面。人员,主要是安全认知及其相应的培训,这里通常会涵盖技术人员与普通用户两方面,人员的信息安全意识是云时代信息风险管理的一个重要组成部分。第二方面是流程,云时代的信息风险管理仍然需要遵从风险识别、风险评估、风险消减及风险监控的过程。最后是技术,在信任计算、加密技术、数字签名等传统安全技术的基础上,遵从安全架构围绕身份管理、访问控制与授权、CIA等概念,构建安全的SaaS、IaaS和PaaS。
云时代的智能企业信息安全架构是什么样的呢?
当下多数的研究集中在信息安全技术的某个分支,如网络安全、应用安全、网格安全、Web安全、全面入侵检测等,并停留在应用层面的研究上面。第一,缺少一种能将各种不同信息安全系统或解决方案整合到一起的企业信息安全整合架构,不同的系统与解决方案之间可能的不兼容性。可能会使系统的信息风险管理控制无法有效实现。第二,由于信息风险管理系统自动信息收集仍不完善,手工的信息收集与分析过程中容易因为人为的干预而造成错误。第三,lSO/IEC 27000为企业信息安全管理提供了很好的规划与指引,但是由于缺乏合适的工具来管理,企业信息风险管理活动很难落地。
建立一个强健的信息安全架构是云时代银行信息风险管理自动化、系统化,智能地管理信息安全活动的基础,一个智能企业信息安全架构是建立在数据仓库和数据集市基础之上的,并且具有一个专有的安全服务总线,目的是通过使用业务流程管理(BPM)、规则引擎等技术,为银行提供一个集成的主动管理并能够有效控制的企业信息安全平台。通过商务智能、AI等方法,在保证信息安全管理和信息风险管控的过程中实现自优化管理。企业智能信息安全架构可以帮助银行等企业将信息安全管理提高到业务和监管机构所期望的水平。
智能企业信息安全架构应该具有如下的特性和优势:
整合:能整合所有的企业信息安全管理相关的活动,甚至可以将企业信息安全管理和风险管控整合到同一个框架中。
重用:具有行业无关性,除了银行企业外,可适用于各类金融企业和组织,服务的封装使得架构的重用变得简单,因为这些服务既不需要依存于服务的内容及其状态,又与其实施和客户需求变更无关。
面向服务的架构:SOA架构的采用为服务提供了独立性、自我管理和自我恢复机制,这将有助于构建整合的、有效的通用企业信息安全环境。
集成数据环境:需要建立在一个整合的信息安全数据环境之上,分开的运营型数据和分析型数据可以满足不同的信息安全系统在这个架构统一的平台中协同工作。
商业智能:采用数据挖掘和模式识别等BI技术、大数据技术进行高水平的信息安全管理活动,通过这些技术的运用可以减少信息风险管理工作中的大量手工作业和人为判断,提高信息安全管理和风险控制水平。