● 摘要
基金公司是管理着巨大财富的重要金融机构之一,其信息系统支撑着基金管理、信息服务、交易、投资理财、客户沟通和客户关系管理以及办公等多种重要业务。由于建设时间较久,又经过多次扩容、扩充,基金公司的信息系统逐渐暴露出一些风险隐患,安全事件时有发生,影响了系统的可用性、稳定性和业务连续性,因此,急需进行一次全面的健康检查和风险评估。本研究课题是参照风险评估标准和管理规范,对某基金公司信息系统的重要资产、薄弱环节、潜在威胁和已采取的防护措施等进行识别、赋值和分析,以判断信息系统的薄弱环节一旦被威胁利用后可能造成的损失,为信息系统的安全加固和提高风险管理水平提供依据,并提出风险管理改进建议。课题研究主要运用定量分析、定性分析的方法和分级保护的思路;在威胁研究方面,采用了专业工具和手工测试相结合,并模拟黑客探测和攻击手段进行扫描和测试,包括渗透性测试,并对当前威胁最大的SQL注入和跨站点脚本攻击问题进行了研究分析;在薄弱环节研究方面,通过手工检查和扫描来发现漏洞,并参考漏洞数据库US-CERT和CVE等以来确定风险等级。通过本课题的研究,该基金公司掌握了其信息系统的安全状况和所面临的安全形势,及时采取了紧急加固措施,提高了信息系统安全管理水平,并通过了国家主管部门组织的安全测试和检查。
相关内容
相关标签