论文部分内容阅读
在当前的大数据时代背景下,金融领域组织机构也在积极变化,威胁情报、网络安全态势感知技术被越来越多的运用在该领域中,同时国内外在金融领域未能建立统一的标准模型以实现对金融机构安全状态的评估,本文基于上述情况作了如下的研究:介绍了安全领域相关标准建立的时代背景,叙述了各标准的发展历程。论述了威胁情报、网络安全态势感知技术的内涵,说明了两种技术产生的背景以及各个权威机构对于两个概念的定义和解释,对于早期各个专家建立的模型的演变过程进行了简单地描述,对两种技术的独有特点和优势进行了说明,描述了二者在实现过程中的步骤环节、拥有的各项能力以及与传统技术相比的进步之处,阐释了其在当前大数据环境下体现的价值,反映了在目前技术架构下二者举足轻重的地位。着力研究了目前国内外公认的安全领域相关的权威标准、规范以及实践。介绍了ISO/IEC 27001标准的发展历史,叙述了标准前身的各个更新版本以及新旧版本之间的主要差别和进步,之后论述了标准核心思想、标准的主体框架以及主要的关注点。对美国联邦金融机构检查委员会(即FFIEC)开发的网络安全评估工具进行了介绍,阐述了该规范中固有风险概况和网络安全成熟度两个主要模块如何对组织机构的安全状况进行评估,各个模块的主要内容以及两个模块产生评估结果的主要步骤流程。陈述了保障网络安全的关键安全管控措施(即CSC)的产生背景,说明了该规范体现的5个关键原则以及其涉及到的控制措施所覆盖的领域,阐明了规范中关于度量标准的内容。分析了NIST能力框架模型,描述了其4个组成元素的主要内容及其之间的相互关系,说明了模型进行风险管理的流程。对于所有涉及的标准进行了分析,提取了其中共同的关注点,也说明了其不足或与金融机构的不适合之处,并基于对标准的研究建立了初步的指标模型。在信息安全领域相关标准、规范、实践基础之上,结合金融行业的自身特点,设计了一个包含3大监控领域、12个维度、25个一级评价指标、众多二级指标的层级模型,并兼有时间轴向架构和组织架构,全面地覆盖了金融领域组织机构的安全态势应该考虑到的安全切入点,为模型中各个指标权重的确定给出了相关方法,可以实现将组织机构安全态势量化表述的目的。