金融行业信息安全研究(精选9篇)
金融行业信息安全研究 篇1
国内金融业时有发生的信息安全事件一再提醒我们:安全之事不可忘, 安全建设不可松。而为了加强金融机构信息安全建设, 防范信息科技风险, 金融监管机构也陆续出台了一系列的规范文件, 并加大了监管力度。
在第16届亚运会即将在广州举行之际, 《华南金融电脑》杂志社和上海琮谷信息科技有限公司于4月30日在广州联合主办了“2010年广东金融行业信息安全高层专题研讨会”, 以进一步推动广东金融业信息安全建设。广东人民银行、银监局、证监局、保监局, 银行、证券、保险等金融机构科技部门的领导和安全管理人员共30多人参加了此次研讨会, 共同探讨金融业信息安全的热点和难点问题。
会议期间, 上海琮谷信息科技有限公司总经理张永勤先生结合金融业安全认证的发展趋势, 重点介绍了琮谷公司IDtrust安全认证管理平台, 并请工作人员现场示范电话认证这一具有创新意义的认证方式, 引起了与会领导的浓厚兴趣;飞塔信息科技 (北京) 有限公司中国区技术总监李宏凯先生分析了三层安全体系架构, 并向参会代表介绍了飞塔公司安全产品解决方案;EMC公司代表则重点介绍了EMC/R SA金融业信息技术风险管理解决方案。而广东省农村信用社联合社信息技术部副总经理韦旦博士则结合自身工作经验, 作了“Web时代银行信息系统的安全挑战和应对”的主题演讲, 细致地分析了银行信息系统面临的安全问题和应对策略, 引发了各位代表的深刻思考。
会上, 与会代表结合各自实际工作情况提出了相关问题, 分享了信息安全建设的经验, 现场气氛热烈。同时对《华南金融电脑》杂志社策划的本次研讨会给予了高度评价。
金融行业信息安全研究 篇2
各银监局,各国有商业银行、股份制商业银行,邮政储蓄银行,各省级农村信用联社:
为督促银行业金融机构建立有效的信息系统安全保障机制,落实信息系统安全保障责任制度,确保银行业金融机构信息系统在北京奥运会期间的安全、持续、稳定运行,现将《银行业金融机构信息系统安全保障问责方案》印发给你们,请认真执行。请各银监局将本通知转发至辖内银行业金融机构,并要求法人机构签署信息系统安全保障承诺书,指导、督促银行业金融机构加强信息安全管理,落实信息系统安全保障责任。
银行业金融机构信息系统安全保障问责方案
为建立有效的银行业金融机构信息系统安全保障体系,落实信息系统安全保障责任,特制定本方案。
一、总体原则
(一)明确责任。银行业金融机构要建立信息安全治理架构,明确董事会、高管层对信息系统安全管理的职责权限,建立并落实信息安全管理责任制。
(二)主动预防。银行业金融机构要建立信息安全突发事件风险防范体系,建立有效的信息安全风险评估、风险预警机制,对可能导致突发事件的风险进行有效识别、分析和控制,并实施对风险指标的动态、持续监测。
(三)快速响应。银行业金融机构要建立统一指挥、反应灵敏、功能齐全、协调有序、运转高效的信息安全应急管理机制,确保突发事件发生时响应及时、联系通畅、操作准确、处理高效。
(四)持续改进。银行业金融机构要定期评价信息安全管理工作,定期对各级信息安全责任人进行考核,持续改进信息安全保障制度及方案。
二、问责机制
(一)各银行业金融机构法定代表人为本机构信息系统安全保障的第一责任人,按照“谁主管谁负责、谁运行谁负责”的原则,层层落实信息安全责任制。
(二)各银行业金融机构要将信息系统安全保障责任分解细化,逐项落实到具体部门、具体责任人,逐级签订信息系统安全保障责任书,强化信息安全管理执行力。
(三)银监会将把银行信息安全事件管理纳入到银监会统一的重大失职和大案要案责任追究认定管理范畴内,建立起信息安全非现场和现场检查激励约束机制,并把信息系统安全事件报告制度执行情况列为对银行业金融机构考核内容。
(四)银监会和各银监局按照监管权责,敦促法人机构签署信息系统安全保障承诺书,明确高管人员对信息系统安全保障的管理责任。
(五)对于以下情形,银监会及其派出机构根据信息系统安全保障承诺书追究银行业金融机构信息安全管理责任人责任。对于信息安全管理失职并造成严重不良后果的,将对其通报批评,情节特别严重、造成严重危害后果的,依据有关规定追究法律责任。
1.因信息安全管理工作不到位或失职,导致本机构发生重大信息安全事件;
2.迟报、漏报、瞒报信息安全事件,或对信息安全事件处理措施不到位;
3.不遵守有关信息安全规章制度,不执行上级部门及监管部门的信息安全管理要求。
三、组织机制
各银行业金融机构要建立有效的信息安全治理架构,制定信息安全战略,完善信息安全内部管理组织架构和工作机制,将信息安全管理纳入本机构整体信息科技风险管理框架。
(一)各银行业金融机构要高度重视和支持信息安全管理工作,法定代表人要对本机构信息安全管理负总责。要成立信息安全领导机构,由高管层、风险管理部门、信息科技部门、审计部门、合规部门及相关业务部门负责人共同组成,负责重大信息安全事项的决策和审批,明确各部门的信息安全管理职能分工,授权有关部门和人员组织开展信息安全工作,为实施信息安全管理提供坚强的组织保障。
(二)各银行业金融机构应在信息安全领导机构的指导下,设立专门的信息安全管理机构,制定具体的信息安全管理策略和规章制度,组织实施信息安全管理措施。各分支机构及相关部门要设立信息安全管理岗位,由专人负责各项信息安全规章制度和保障措施的落实。
四、监管机制
银监会及其派出机构通过非现场监管、现场检查、应急管理、风险提示、协同保障等工作机制,指导并督促各银行业金融机构加强信息安全管理,落实信息系统安全保障责任。
(一)非现场监管。建立非现场监管分析、预警模型,及时发现风险点,有针对性的指导现场检查工作。开展对银行业金融机构信息科技综合评级,系统评价其信息科技的治理水平和风险状况,建立评级评价体系。
(二)现场检查。组织信息安全现场检查,开展差距分析、后评价等监管措施,实现持续监管,督促各银行业金融机构落实责任。
(三)应急管理。督促银行业金融机构建立应急管理机制,开展信息安全应急演练,不断提高应急处置能力。
(四)风险提示。建立风险提示机制,适时就银行业信息科技风险发出提示,警示银行业金融机构及时了解信息安全风险态势,落实风险防范措施,防患于未然。
(五)协同保障。建立与公安机关、中国银联、电力、电信、证券等部门以及重要信息系统服务商的安全突发事件应急协调机制,加强情报交流,加强技术协作,提高协同保障能力。
附件:信息系统安全保障承诺书
附件
信息系统安全保障承诺书
为确保我行信息系统连续、安全、稳定运行,根据中国银行业监督管理委员会(以下简称“银监会”)《银行业重要信息系统突发事件应急管理规范(试行)》、《银行业金融机构信息系统安全保障问责方案》、《银行、证券跨行业信息系统突发事件应急处置指引》以及银监会关于信息系统风险相关提示各项要求,结合我行实际,现就做好有关信息系统安全保障工作承诺如下:
一、总体目标
全面落实信息系统安全保障措施,确保重要信息系统连续、安全、稳定运行。
二、领导责任
我行法定代表人对本行全国范围内的信息系统安全保障工作负第一责任,并组成相应的管理和专业技术队伍组织落实。
三、工作目标承诺
(一)切实做好信息系统安全保障工作
1.建立有效的信息安全治理框架,明确责任,制定信息安全政策和程序,制定信息安全策略,完善信息安全内部管理组织架构和工作机制。
2.成立信息安全领导机构,明确各部门的信息安全管理职能分工,授权有关部门和人员组织开展信息安全工作。
3.建立信息安全管理机构,建立信息安全管理体系,制定信息安全管理策略和规章制度,组织实施信息安全管理措施;各分支机构及部门设立信息安全管理岗位,负责各项信息安全制度和措施在本部门的落实。
(二)切实做好重要信息系统突发事件应急管理工作
我行要尽快建立和完善信息系统安全应急管理组织架构,明确职责和工作流程。开展重要信息系统应急演练。对演练中发现的问题及时整改,并将演练的过程及效果报监管部门。
(三)严格执行信息系统重大突发事件的报告制度
我行将及时、全面、客观地向监管部门报告本行所发生的信息系统重大突发事件。
四、问责承诺
(一)因保障措施不力导致不能提供正常服务等重大突发事件且造成较大社会影响的,我行将严肃追究相关领导和负责人的责任。
(二)对因瞒报、谎报、迟报、漏报信息系统突发事件的,视情节轻重,我行将严肃追究相关人员责任。
五、本承诺书自签署之日起生效。
六、本承诺书一式贰份,承诺方与银监会(银监局)各保留壹份,贰份具同等效力。
法定代表人
金融行业信息安全研究 篇3
近年来,随着入世“过渡期”的正式结束,国内外金融市场的联系更为紧密,全球金融市场呈现出融合发展的趋势,这一切都对我国金融体系的发展提出了更高的要求。莱芜商业银行为满足客户境内商品及劳务服务、金融市场交易等各类交易对安全高效外币支付结算服务的需求,作为直接参与者第二批加入人民银行牵头建设的境内外币支付系统。
NCS为莱芜市商业银行开发了其行内系统与人民银行境内外币支付系统之间直联方式下的应用接口系统:ECP-PowerClear。该系统采用先进的基于WEB技术、轻量级J2EE的技术体系,实现了动态分布式业务应用系统模式。该系统既可以与商业银行的后台业务系统无缝联接,实现境内外币支付业务的大道直通处理,同时自己也拥有完整的业务处理工作流程,支持业务人员通过系统发起和处理境内外币支付业务报文,从而满足境内外币支付业务的要求。
ECP-PowerClear系统是在NCS开发的具有自主产权的SWIFT中间件平台系统——ECP业务整合平台(Exchange Connect Platform)的基础上开发的满足特定业务功能的解决方案,作为连接金融机构后台业务系统和SWIFT系统的中间平台,ECP业务整合平台能帮助两者进行简单高效的业务流程自动化处理。
除了ECP-PowerClear系统,NCS还开发了同样基于ECP业务整合平台的从事报文管理的ECP-PowerMessage系统和高度自动化银行支付类业务查询查复的ECP-PowerX系统。这些解决方案可以使银行机构能够快速、安全地部署系统(ECP或现代化支付系统),降低运营成本、提高机构效率,从而增强银行的竞争力,并提高客户满意度。
NCS中国金融事业部总监秦纬业先生介绍说,“在广大金融客户的支持下,我们在国内的业务有了长足的发展,NCS赢得了世界顶尖金融机构和中国本土银行的青睐。在IDC2007年的中国金融支付和清算市场排名中,NCS排名前10位。我们将不断努力,为中国金融行业信息化贡献一份自己的力量。”
金融行业信息安全研究 篇4
一、存在的问题
(一) 网络机房的安全与管理不达标。
检查中发现辖内各银行业金融机构的网络机房各种物理指标多不达标, 部分表现为:大多数金融机构网络间的地板未能满足地板离地高度的要求, 不利于其地板下走线和通风;大多银行业金融机构的网络间无排水设施且无防水报警装置;个别银行业金融机构的网络机房地板下走线桥架是贴地面铺设, 不利于防水;个别银行业金融机构网络机房强、弱电线混放置于地面上, 未设置桥架放置;强弱电混搭, 轻者造成干扰、电话通话杂音多、电视及监控画面雪花噪点多、网络信号传输不稳定甚至掉线, 重者发生火灾等严重后果;个别银行业金融机构的网络机房机柜内网线无明显标识, 有的布线不符合规范, 有的甚至还很杂乱, 不便于网络的维护;个别银行业金融机构的网络机房无防雷检测报告, 个别银行业金融机构的网络机房无防雷措施, 一旦出现雷击将直接影响此机构辖内业务的正常运行;个别银行业金融机构的网络机房没有配备空调, 温湿度不能达标, 存在火灾隐患, 有的无消防部门提供的消防验收报告, 有的机房内无手持灭火气, 有的机房配有七氟丙烷灭火器但未配有氧气呼吸器, 安全和防火意识淡薄。
(二) 计算机信息安全组织机构不健全。
在检查的过程中发现, 辖内银行业金融机构大多数没有计算机信息安全管理专设机构。计算机信息安全完全依赖其上级行和人员的自觉性。这说明各银行业金融机构的分支机构计算机信息安全管理还停留在较低的水平, 还没有形成系统的计算机信息安全管理体系和危机处理机制, 计算机信息安全工作局限于个别部门与岗位, 缺乏全员安全防范意识。
(三) 计算机信息安全意识不强, 安全管理不到位。
检查中发现各银行业金融机构对计算机信息安全的风险认识不足, 特别是各商业银行完成了数据大集中后, 分支行普遍认为计算机信息安全是总行考虑的事。没有认识到数据的集中, 也是风险的集中, 缺乏对分散风险和控制风险的考虑。检查中发现网络机房管理、保密等制度不健全, 机房监控不到位等问题。这些都反映出各银行业金融机构在计算机信息安全方面意识缺乏、管理失位。
(四) 信息系统外包, 对外依赖严重。
在检查中某些银行的科技人员对有些系统不熟悉, 问及原因时, 得知其信息化服务都已外包给第三方公司, 系统的建设和运行维护严重依赖于集成商和外包服务公司。这使得系统出现问题时, 依靠自身的力量根本不能够解决, 对外依赖严重。
(五) 灾难应急措施不健全, 缺乏应急处理机制。
在调查中还发现各银行业金融机构缺乏计算机信息系统的应急处理准备, 应急方案、措施也不健全。这些表明各商业银行在进行系统建设时, 计算机信息安全的管理没有贯穿信息系统建设的整个过程, 缺乏计算机信息安全的主动保护意识。
(六) 银行卡方面的安全隐患。
目前辖区内各银行卡发卡机构发行的银行卡几乎全部为磁条式银行卡, 从技术和物理特性上看, 磁条卡这种磁介质具有内含的数据信息容易被复制盗取的安全隐患。
(七) 部分ATM使用环境存在安全隐患。
个别银行业金融机构24小时自动柜员机区域的ATM机面部摄像头放置位置不正, 无法清晰观察到取款人完整面部;有些ATM环境监控及加取钞录像记录保存不到3个月, 一旦出现恶性事件将没有第一手影像资料;个别银行业金融机构存在ATM设备老化、机具安全性达不到要求、运维管理欠佳等问题, 均会给银行和银行卡用户带来一些安全隐患。
(八) 监督管理缺位。
从检查的情况来看, 各银行业金融机构计算机信息安全的监督管理上还不到位。除部分银行业金融机构近年来开展过自上而下的计算机信息安全检查外, 多数商业银行没有开展过系统的计算机信息安全专项检查。人民银行虽对多家银行业金融机构开展综合执法检查, 但在计算机信息安全方面没有相应的处罚依据, 有些问题因金融机构的重视和投入不够迟迟未能达标。
二、问题分析
存在以上问题的原因是多方面的, 一是因为银行业金融机构计算机信息系统建设本身就是一个复杂的系统工程, 涉及电力、通信、系统集成、设备供应、业务运用、监督与管理等多个方面, 各方面对银行计算机信息安全的认识不一, 造成计算机信息安全管理缺位;二是银行业金融机构分支机构对计算机信息安全认识和重视不够, 对发现不符合计算机信息安全保障要求的项目, 都认为是其上级行没有相关的要求并与自己关系不大, 既缺乏内部管控, 也缺乏外部监管;三是没有认识到银行业金融机构计算机信息安全的本质是银行业务的安全, 没有从国家金融安全的高度, 从维护金融稳定、社会稳定的视角出发, 做好计算机信息安全保障工作;四是在计算机信息安全管理的投入不够, 特别是在商业银行的分支机构中, 无论人员上还是在财力上都存在计算机信息安全管理投入不足的现象, 辖区内银行业金融机构的网络间或网络机房的投入不足现象尤为严重。
三、相关建议
(一) 提高银行业金融机构计算机信息安全管理意识。
一要认识到金融机构间的资金清算依托于计算机网络系统实现, 目前由人民银行、银联公司、各家金融机构、清算中心为金融机构搭建了资金清算的平台, 如果某家金融机构出现计算机信息安全问题, 不仅会影响自身, 也会影响其他资金清算参与者, 因此计算机信息安全问题关系着全局。二要认识到各家金融机构无论在管理上还是在业务处理上, 均依托的计算机网络信息系统实现, 计算机信息安全问题关系着能否为客户提供安全、快捷、高效的服务, 一旦发生信息系统安全事件, 会直接影响其客户群体, 甚至会影响局部的金融稳定。三要认识到有效保障网络计算机系统安全已成为金融机构竞争力的一项重要内容, 哪家机构的网络应用系统安全可靠, 快捷方便, 就会赢得客户的信赖, 从而增强自身的竞争力, 为推动自身的进一步发展壮大奠定坚实的基础。
(二) 建立计算机信息安全保障组织体系, 实施有效的计算机信息安全防范。
加大计算机信息安全保障的人员、软硬件设施的投入, 建立健全计算机信息安全组织机构以及各类计算机信息安全管理制度, 定期进行信息系统安全隐患排查及安全评估, 与外包商签订安全保密协议, 同时推行银行计算机信息安全岗位任职资格制度, 提高银行计算机信息安全管理人员的从业素质。
(三) 加强银行计算机信息安全等级保护工作。
严格按公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合制定的《信息安全等级保护管理办法 (试行) 》开展银行计算机信息安全等级保护工作。
(四) 建立银行重要信息系统应急协调机制与应急预案。
以国家网络与计算机信息安全协调小组办公室印发的《银行重要信息系统应急协调预案》为指南, 制定《区域性银行重要信息系统应急协调预案》, 建立健全应急协调机制。同时, 建立与信息系统安全运行相关的应急预案并经常演练且做好演练记录。
(五) 积极推进金融IC卡的应用。
银行业开放与金融安全的关系研究 篇5
从上世纪80年代到现在, 发展中国家, 也包括一些发达国家, 刚开始是在挪威、芬兰等国家, 它们主要是因为金融业的管制放开, 国家对信贷的管制放松, 从而引起大规模的贷款浪潮。泡沫经济破碎后, 出现了国家的经济危机。大的经济衰退很大程度上与金融业的自由化和金融业的开放程度密切相关。在这个过程当中还有大量的外国资本进来做一些投机, 这就跟金融的相对开放有密切的关系。这些投机资本的冲击对一国的金融体系的确有一些很不好的作用, 所以大家都开始关注金融安全这个问题。
马克思曾对金融体系的内在不稳定做出深刻论述, 其后Minsk y、Ber nank e等人对金融体系的不稳定进行了理论阐释。东南亚金融危机、南美洲金融危机的爆发, 引发了人们对金融危机的思考, 提出金融安全的问题。1997年的亚洲金融危机给东亚经济造成了极大的灾难, 一些亚洲国家因此遭受巨大的损失, 金融危机的破坏是持久的, 研究这些问题对于防止危机再次发生有十分重要的现实意义, 金融安全问题也因此成为经济学者一个重要的研究领域。
二、金融安全的概念
金融安全是经济安全的一个重要组成部分, 因此国外学者通常将金融安全放在国家经济安全和国家安全战略的系统中探讨。我国学者对金融安全的广泛研究探讨开始于1997年亚洲金融危机之后。王元龙 (1998) 首先根据金融的实质对金融安全进行界定, 凡是与货币流通及信用有关的活动都属于金融安全的范围, 因此金融安全概念中包括了整个金融体系和金融运行的安全。从金融的实质角度界定金融安全概念时特别强调一国对外金融的安全, 认为一国国际收支和资本流动的各个方面, 无论是对外贸易, 还是利用外商直接投资、借用外债等都属于金融安全问题的范畴, 其状况如何直接影响着经济安全。郑汉通认为, 所谓的金融安全, 即一国金融利益不受侵犯, 金融体系的正常运转不受破坏和威胁, 金融体系能抵御各种金融危机对其的侵害。反之, 当一国金融利益受到侵犯, 金融体系不能正常运转, 面对各种各样的金融危机毫无抵抗能力, 就是金融不安全。雷家骕认为, 所谓金融安全, 主要是指金融领域能够通过利用各种手段抵御和消除来自内部及外部的各种威胁和侵害, 以确保正常的金融功能和金融秩序。
本文认为, 金融安全有广义和狭义之分。狭义的金融安全主要是针对金融和货币领域的动态均衡状态。而广义的金融安全则是指在拥有国家主权的前提下, 经济和金融领域的动态均衡。它是在金融全球化条件下, 一国在其金融发展过程中具备抵御国内外各种威胁、侵袭的能力, 确保金融体系、金融主权不受侵害、使金融体系保持正常运行与发展的一种态势。
三、金融安全的影响因素
从影响因素的性质来看, 影响一国金融安全的因素分为内在因素和外在因素, 内在因素是指经济体系本身的原因引起的金融形势恶化, 包括实质经济和金融体系本身。一国金融安全状况如何主要取决于该国防范和控制金融风险的能力与市场的感觉与态度。金融安全问题的国别差异使各国维护金融安全的能力与信心有所不同, 从而影响各国金融安全的因素也就有所不同。
第一, 内在因素包括国家的经济实力和金融体系的完善程度。当一国面临金融危机的威胁, 通常需要强大的经济实力来摆脱危机, 若一国具有完善的金融体系, 则抵御危机的能力就会大大增强, 金融体系的完善程度可以从两个方面理解, 一是该国的宏观经济环境是否与金融体系相协调, 即金融体系的正常运行是否有良好的宏观经济环境;二是金融体系自身制度环境的完善程度, 如金融机构的产权制度状况、治理结构状况、内部控制制度状况等。
第二, 外在因素包括在国际金融体系中的地位和国际游资的冲击。一国在国际金融体系中的地位极大地影响着其维护金融安全的能力。如该国的货币是否是主要国际储备货币, 该国是否拥有制定国际金融规则的主导权。对大多数发展中国家来说, 如果金融安全发生了问题, 往往会危及金融体系和金融制度的稳定, 甚至还会危及经济社会安全。国际游资的冲击有可能成为引发金融体系不安全的直接原因。从近年来爆发的金融危机来看, 国际游资通常都是将已经出现明显内部缺陷的国家或地区作为冲击的首选目标, 特别是那些短期外债过多、本币汇率严重偏离实际汇率的国家或地区往往是首当其冲。
四、金融安全的指标体系
在金融自由化浪潮中为保持我国金融业稳定, 建立完善的适应我国经济发展需要的金融安全预警指标体系非常重要。中国对金融安全评价指标体系的研究远晚于国外。赵英等 (1994) 设计的经济安全指标体系从内容上看比较全面, 但许多指标不具有操作性, 不具体。伍志文 (2002) 、王明华和黎志成 (2005) 采用了信号分析的方法定义金融稳定并进行预警判断。从国内近年的研究成果可以看出, 金融预警研究主要集中在危机原理和预警指标体系的探讨, 实证检验主要以1997年爆发金融危机的亚洲国家作为检验样本。本文将针对美国次贷危机的爆发, 分析构建适合我国国情的新的金融产业安全评价指标体系。在确定指标之前, 将某些不易量化但是可以用替代变量来表示的变量数量化, 将那些不能通过替代变量表示的变量去除以此减少对整个评估体系的影响。
五、中国银行业开放对金融安全的影响
外资银行进入中国的可选择路径大致有四种:成立外资独资银行, 即法人机构;在中国开办独立的分支机构;购买并持有中国国内银行机构的股份;与中方合资建立新的银行。在中国加入WTO以前, 外资银行进入中国市场的主要途径是在中国开设分支机构;中国加入WTO以来, 入股中资银行的方式逐渐受到外资银行的重视;而法人机构的设立在入世过渡期的五年中基本上处于停滞状态, 但随着2006年12月我国银行业的全面开放, 最新的《外资银行管理条例》及其细则的实施, 外资银行法人机构的设立将迅速增加。
对外资参股或者并购对于我国银行业发展和金融安全的影响, 要辩证的看待。
第一, 从我国宏观调控的角度看, 外资参股或并购所带来的市场化运作机制有助于市场成熟和完善, 使政策传导机制更加畅通, 但是抑制了我国政府对银行的干预作用, 弱化了我国宏观调控政策的效应, 调控效果弱化, 维护金融稳定的能力减弱。
第二, 外资银行具有先进的服务理念和丰富的经验, 对本国银行业构成了强大的竞争力, 一些中小银行因而有可能破产, 影响国家的金融安全。但是外资的参股是提高银行竞争力的重要措施之一, 实行开放实质上是打破银行业的垄断, 促使他们反思、学习、变革和完善;而外资入股中资银行则是直接地为被入股银行带来先进的治理结构和管理理念。
第三, 从金融监管的角度看, 外资银行能够采用一些较强的规避管制措施, 可能导致国家对外资银行无法实施有效的监管。将金融不安全因素引入本国, 若本国政府未采取有效的措施, 则会对本国的经济体系产生严重的危害, 外资进入将会给中国带来严峻的挑战。
第四, 从银行开放与银行不良资产之间的关系看, 影响银行信贷资产质量的各个因素大都与银行业的垄断有关, 由此产生了道德风险, 造成不良贷款清收不力的局面。银行业的开放将极大提高商业银行减少不良信贷资产的水平, 有利于我国银行业的发展和国家的金融安全。
第五, 按照国家有关规定, 单一国外战略投资者入股国内银行比例最高不超过20%, 所有外国机构入股的比例上限为25%, 国家保持着国有商业银行的绝对控股权。因此即使国家开放银行业, 国家对银行业的控股地位不会变, 外资入股完全在国家的掌控之下。
六、维护国家金融安全的建议
金融开放是国家经济安全的一部分。通过开放引进外国先进的技术和管理经验, 提高国内的金融实力, 服务于经济发展和增进社会福利本身就是国家金融安全的一个主题, 没有一个大国是对外完全敞开大门的, 都存在或多或少的金融限制。国内的经济发展需要金融业更有活力、更有效率, 需要有一定的开放;但开放过程中往往会带来各种各样的问题, 因为国内的各种法律制度、经济结构等, 很可能并不适应这种开放, 或者短期内要承受很大的阵痛, 这是发展中国家普遍面临的一个问题。过度不开放会导致金融风险几率增大, 进而导致金融危机发生, 而过度的开放又使得本国经济不稳定, 更易受国际经济波动的影响, 那银行业金融开放会对我国金融安全产生哪些影响, 我国应该怎么样选择银行开放程度, 这是一个至关重要的问题。
第一, 在微观层面上, 要坚定地推进银行业的开放, 鼓励外资入股中资银行, 在开放条件下对本国银行进行适度保护, 要合理把握保护的度, 保护过度会造成银行缺乏竞争力, 产生垄断, 服务质量低下, 而保护不足又会导致外资银行对我国的经济体系进行操控, 造成金融系统混乱。要适当提高外资银行进入本国金融市场的门槛, 增强我国政府对外资银行的控制, 控制各家外资机构资本的进入总量。
第二, 要增强我国银行的自身竞争力, 将引进来与走出去相结合, 根据国际金融市场的发展状况和资本流动的特点制定适合自身发展的战略模式, 突出核心业务, 对自身的业务进行创新, 重点开拓成熟或新兴市场, 提高核心竞争力。加强内部风险管理和内部控制, 加强外资银行的监管, 建立外资银行市场准入和市场退出机制。
第三, 要尽快建立健全金融安全体制, 在制定基本法的基础上, 制定一系列与之配套的特别法, 加强法律和法规建设, 促进监管机构之间的信息交流, 构建具有制度性的信息共享机制, 克服监管效率低下的局面。制定一部基本法律来调整外资银行的状况, 增强法律的稳定性, 尽量避免出台过多的内部通知, 加强法制建设, 只有这样, 才能促进我国银行业的健康发展, 维护我国的金融安全。
金融行业信息安全研究 篇6
会议主要包括了4项议程:一是总结2013年广东省金融科技学会工作, 研究部署2014年工作任务, 通报“第八届广东金融科学技术进步奖”获奖项目、“2013年度广东省卡跨行交易质量月”活动优胜单位;二是开展金融科技工作专题交流, 人民银行广州分行科技处3位科长分别对金融信息安全事件案例、LEI及金融标准化、金融机构编码信息管理工作进行了宣讲和介绍分析;三是举行广州地区金融机构代码证首发仪式, 由中国人民银行广州分行副行长李升高在会上为中国工商银行广东省分行颁发金融机构代码证;四是由李升高副行长通报相关工作情况, 部署2014年重点工作。李升高副行长在讲话中充分肯定了全省在金融IC卡应用推广、金融业机构信息管理、金融城域网建设、金融业信息安全保障等工作方面取得的成绩, 并对今后一段时期全省金融业信息化建设和科技管理工作提出了具体要求。
李升高副行长在为工行广东省分行颁发金融机构代码证
金融行业信息安全研究 篇7
一、互联网金融给传统金融信息安全带来的影响
(一) 互联网金融时代的到来
阿里巴巴集团CEO马云曾说过:“如果银行不改变, 我们就改变银行。”短短几年时间, 在互联网技术飞速发展的推动下, 阿里巴巴的支付宝业务已是第三方支付领域的翘楚, 后来发布的余额宝产品更是引发了基金界地震。这些产品让同行及传统金融大亨们对其刮目相看。当下中国互联网金融发展之迅猛, 一时间不仅让金融界大吃一惊, 就连互联网金融自身也始料未及, 他们在心有余悸感触的同时, 也开始反思互联网金融未来发展的方向。虽然传统金融大亨们已经开始反击、应对新生互联网金融企业的挑战, 但互联网金融依靠虚拟化的服务方式、模糊化的业务边界、开放的经营环境和透明化的市场运行, 正在创造一个又一个的财富奇迹, 同时一场让传统金融格局发生质变的互联网金融大幕已经开启。
(二) 互联网金融对金融信息安全带来的影响
一是互联网金融让金融实现去中介化, 最终实现资金融通双方直接对接, 这一直是金融发展的一个重要目标。虽然互联网金融的实质就是以信息化为手段, 实现资金融通双方直接对接, 但是目前大多的互联网金融只是利用了互联网技术手段来从事金融中介业务, 还未能真正实现资金融通双方直接对接的目标, 不过它至少已经让人们看到“金融脱媒”最终实现的希望。
二是互联网金融让传统金融模式倍感压力。有别于传统金融, 互联网金融提供了更方便快捷的支付方式、更低的交易成本、更优化的资源配置方案, 这三大优势让传统金融的商业模式受到了史无前例的竞争压力, 这也是未来互联网金融立足金融业的根本基础。
三是互联网金融能解决一些传统金融长久以来无法很好解决的问题。互联网技术发展到今天, 云计算和大数据技术赋予互联网金融传统金融无法实现的一个最大优势——为小微客户提供成本最低的金融服务。所以占全国企业总数九成的小微企业, 在互联网金融时代到来后, 多年梦寐以求的低成本、高效率的融资服务得以实现。
四是互联网金融为创新提供了更广阔的舞台。虽然现在还不能准确预计互联网金融未来发展的方向, 但从目前互联网金融发展的三大形态——第三方支付、P2P和众筹融资, 可以基本明确未来的互联网金融发展一定是在网络IT技术突飞猛进的基础上, 将更多已有的线下金融服务变为线上金融服务, 让金融的创新空间得到大范围的扩张。
(三) 传统金融信息安全观正出现新的变化趋势
从以上互联网金融的实际发展变化看, 传统的金融安全观正在呈现出一些新的趋势。这些趋势一方面有别于传统金融信息安全观, 互联网金融虚拟化的服务方式、跨领域的业务开展、开放与透明的市场经营环境, 使其具备了互联网所包含的信息安全的动态性、综合性等特点;另一方面, 互联网金融背景下的信息安全风险, 除了具有传统金融业经营过程中存在的流动性风险、市场风险和利率风险外, 还存在基于信息技术导致的平台风险、技术风险、系统安全风险和基于虚拟金融服务的业务风险, 且风险诱因更加复杂、风险扩散传播速度快。
二、互联网金融时代, 金融信息安全面临的主要挑战
由于技术平台、安全防护机制尚不成熟, 除传统互联网自身安全风险外, 互联网金融信息安全正面临着新形势、新技术、新业态的全方位多层次的挑战。
(一) 互联网金融信息安全保障体系的建设速度滞后于互联网金融业务的发展速度
互联网金融在新兴技术的推动下, 第三方支付、在线理财、众筹网贷和在线保险等各类金融业务如雨后春笋般出现。因此病毒、木马等威胁比以往任何时候对金融信息安全的威胁都大。但是一个旨在全面支撑和保护互联网金融信息安全的保障体系还未到位, 面对互联网金融日新月异的发展速度, 符合互联网金融要求的信息安全保障体系建设已经迫在眉睫。
(二) 层出不穷的互联技术应用是当前金融信息安全面临的最大挑战
移动互联、云计算、下一代互联网和大数据等新兴技术的蓬勃发展, 是催生互联网金融时代快速到来的主要推手。一方面, 这些基于开放性网络的互联网金融服务, 使得以往金融信息安全技术防范已经不能全部适应新互联网技术的进步速度;另一方面, 这些新兴互联网技术自身还在不断发展, 其技术成熟度还不稳定, 特别是第三方支付、P2P等互联网金融新业态还处于起步阶段, 其信息安全管理水平不高。如何尽快建立一套既符合金融行业特点, 又能快速跟进互联网新技术发展需要的金融信息安全技术规范显得十分紧迫。
(三) 网络安全防控是互联网金融信息安全防范的难点
《2013年中国互联网发展报告》中指出2013年互联网遭到的网络攻击同比增长14%, 已经连续多年呈上升趋势, 其中涉及客户信用卡信息、各种资金账户信息的非法网络攻击行为增速位居前列。曾有专家说过, “互联网金融第一要素就是互联网, 安全就是生命线。”由于互联网模糊了传统金融领域的界限, 使得金融行为范畴借助互联网技术衍生到前所未有的新领域。一方面, 无论是传统金融机构还是新生的互联网金融公司, 来自互联网的各种入侵破坏行为已经成为日常信息安全防范的重点;另一方面, 在互联网开放性的影响下, 各类基于互联网平台的金融创新业务也带来一些类似网络洗钱和网上支付诈骗的社会安全问题, 这类网络安全防控不断突破传统金融安全的范畴, 让金融信息安全防范的工作变得更加复杂。
(四) 新生银行机构缺乏互联网金融信息安全防控方面的保障
随着中国银行业逐步向民营资本开放, 这些新生的民营银行机构, 包括一些地方性中小银行, 他们无论大小和成立时间的长短都想上马网上银行项目, 尽快发布互联网理财的金融业务, 目的就是搭上互联网金融的顺风车, 从互联网金融的大蛋糕中分得一份。但这些银行机构往往只看到了互联网金融低成本的一面, 却习惯性忽视了信息安全的投入, 这些机构迫切需要加大对互联网信息安全投入。
(五) 对互联网金融监管需要与时俱进的改进
2014年初, 金融监管当局多次强调互联网金融有两条红线不能碰, 一个是非法吸收公共存款, 另一个是非法集资。所以, 新时期下金融监管必须有一个符合时代发展要求的金融信息安全防范体系作保障。这一体系需要从技术和制度上确保足够的风险预警时间, 帮助金融监管当局最大限度避免互联网金融从线上向线下实体金融输出风险, 避免系统性金融风险。除此以外, 如何把控监管的度, 不让过度监管扼杀互联网金融, 也需要行之有效的信息安全防范做保证。
三、相关对策建议
(一) 完善顶层设计, 尽快构建适应互联网金融发展需要的金融信息安全保障体系
虽然我国已经建立了金融信息安全保障体系, 但这一体系是建立在原有金融信息化建设基础上, 主要是针对基于密钥管理、身份识别、核心数据访问控制等传统金融信息安全领域, 对迅速兴起的互联网金融没有充足的准备。面对新的形势, 《2013年中国互联网金融发展报告》建议尽快建立我国互联网金融安全主动防御体系, 它的核心就是建立国家层面金融与安全部门的信息安全服务保障联盟, 从而进一步完善现有的金融信息安全组织保障体系。新的金融安全保障体系要包含符合互联网金融快速发展需要的法律法规、自有知识产权技术、人才队伍建设和社会信用体系建设等内容。
(二) 加大自主知识产权的金融信息安全技术研发力度, 为金融信息安全体系建设提供可靠的技术保障
一是加快制定互联网金融信息安全标准规范, 进一步完善相关信息安全等级保护内容, 从而指导各类互联网金融业务服务平台安全建设和运营。二是深刻吸取“棱镜门”安全事件的教训, 大力研发具有自主知识产权的互联网信息安全技术, 避免出现关键核心技术受制于人的窘境。三是积极与安全部门合作, 加快研发互联网金融安全自动化实时监控技术, 及时发现和预防互联网金融犯罪。
(三) 加快安全网络体系建设, 最大限度提升金融网络防御攻击的水平
一是加快采用可信计算、可信网络等可信技术。在自主研发的基础上, 充分利用云计算和大数据分析的技术优势, 进行精准的信用习惯数据分析。通过掌握云计算分析的结果, 对网络平台可信程度进行评估。二是努力建设互联网金融征信网络。在可信网络的基础上, 通过整合互联网络、社交平台、政府征信资源等数据信息, 逐步建立面向互联网金融行业, 提供统一权威可信的征信服务网络。三是考虑建立以金融网络为基础的中国金融网 (CFNET) 。可以参考中国教育网 (CERNET) 或是中国科学技术网 (CSTNET) 的模式, 建设金融系统互联网络, 并接入公共互联网。同时根据不同行业进行接入分级, 金融行业为最高级, 其他行业根据可信级别进行区分, 这样可以很大程度解决互联网金融网络安全的问题。
(四) 加强对新生金融实体从事互联网金融业务的信息安全保障
一方面开展对新生银行机构从事互联网金融业务进行准入审批。通过建立制度提高新生银行机构从事互联金融业务的门槛, 对那些不具备实力, 信息安全保障投入不足的新生银行机构暂缓其涉足互联网金融业务;另一方面建议逐步建立由央行主导的互联网金融业务报备制度, 特别是对那些新发起涵盖银行、证券和保险综合性强的互联网金融业务实体, 进行严格的信息安全备案审查制度, 达不到标准不得开展相关业务, 或是降低开展业务规模和范围。
(五) 积极探索适合监管互联网金融的金融信息安全防范措施
金融行业信息安全研究 篇8
我国金融信息化建设的不断深入, 促使金融行业对信息资源的依赖程度不断提高, 虽然有助于金融服务效益和市场竞争实力的强化, 但与此同时也衍生了安全隐患, 而且我国金融机构出现的几起信息风险事件已经为我们敲响了警钟, 故构建并完善金融信息系统安全保障体系迫在眉睫。下面, 笔者就其现实障碍和构建策略加以研究。
1 金融信息系统安全保障体系的重要性
就当下而言, 金融是现代经济的枢纽与核心, 涉及了社会生活生产的方方面面, 而这必然离不开金融信息系统的有力支持和帮助, 可以说在信息时代下, 金融行业对其的依赖会与日俱增, 那么信息安全的重要性便不言而喻, 以至于关乎金融机构的生死存亡, 金融市场的稳定发展, 以及经济、社会和国家安全, 毕竟银行、基金、证券、保险等金融机构的信息数据直接相连着现实财富。如早在2003年, 1200多家欧美银行和保险公司便称, 其信用卡号码和客户密码等重要数据可能已被黑客窃取, 而且据统计, 2013年全球金融行业因网络攻击、电脑病毒、设备故障、系统异常、管理不善等多种因素引发的信息安全时间同比增长高达170%[1]。足以见得构建并完善金融信息系统安全保障体系必要而迫切。
2 构建金融信息系统安全保障体系的现实问题
虽然金融行业已明显意识到信息安全的重要性, 但在构建安全保障体系的过程中, 依旧存在着诸多阻碍和不足。如电子支付、手机银行、网上银行等金融新产品的出现和应用, 增大了黑客入侵、网络攻击、电脑病毒、内部人员作案等公共网络安全风险;因信息系统安全软硬件配备缺乏预见性、系统性和自主性, 灾备中心平台尚不成熟, 以及系统内外网隔离存在漏洞, 致使信息安全技术和产品效用较低, 进而增大了风险几率; 受POS、ATM、网上银行等核心业务的迅猛发展和数据大量集中现象的普遍存在, 致使信息系统在规划、建设、运行和管理中不可避免的出现各种风险;同时信息安全风险测试和评估难以真正落实, 应急处置规程复杂而不易操作, 以及金融信息安全法律保障的缺失, 均在不同程度上制约着金融信息安全保障体系的进一步完善。
3 金融信息系统安全保障体系构建的策略研究
3.1 以合理的构建目标为指导
为切实推进安全保障体系的顺利构建和完善, 就必须将构建目标合理化和明确化, 即基本实现物理安全、信息设备安全、网络安全、信息内容安全、数据安全以及公共信息安全, 最终实现信息机密、可用而完整, 业务可持续发展, 信息系统主体和资源可控。但在具体构建时, 必须符合信息安全的相关法律、政策、标准、指南和细则, 如必须遵守国家和部门推行的法律法规, 符合金融国家标准、标准体系等要求;必须兼顾金融机构、客户、管理部门等多方利益, 以最大限度的提升体系的安全水平;必须对信息系统的薄弱环节、潜在风险、资产价值、防护措施等加以分析, 评估出现风险事件的几率和损失, 并制定管理措施, 以此提升体系的整体水平[2];必须做到同步跟进内外环境变化, 以期通过体系的不断调整和改进控制风险;必须认真遵循自顶向下、集中管理的基本原则, 对方针政策、安全策略、技术防控、操作流程以及人员管理等加以全面管理, 以此有效降低信息系统安全风险。
3.2 以科学的体系架构为基础
经对金融机构信息系统建设和应用现状的分析, 并结合安全保障体系的构建目标, 将其体系架构划分为了核心信息模块、信息交流模块、内部系统模块、分支节点模块以及管理模块。其中核心模块主要是金融机构开展活动的基础, 既要求不能随意干扰业务操作, 也有着极高的安全性和封闭性要求, 其主要通过深度检测违反安全策略的网络行为及时报警, 并在防护系统的作用下限制和消除入侵攻击;交流模块主要负责与外部进行业务交流, 因其与公网直接相连且较为敏感, 故对业务连续性和区域安全性要求极高, 考虑到其易遭受内部威胁, 故需要在全网部署完善的病毒防御系统, 并经专线连接外联单位;内部系统模块则通常为OA系统提供服务, 除了借助全网病毒防御系统用于维护办公和协同系统安全外, 还需设置防火墙[3];对于分支节点模块, 则需加以安全访问控制, 以期通过节点强制执行和集中管理解决网络威胁问题;而管理模块则强调从技术和管理两大方面加强控制, 但需要循序渐进的分布实施。
3.3 以可靠的安全技术为支撑
安全技术是彰显金融信息系统安全保障体系效用的重要支撑和具体措施, 常用的安全技术和安全产品有:桌面安全系统、硬件加密机、网络防火墙、病毒防范工具、身边识别技术、密钥管理、VPN/IP保密机、风险评估以及信息审计工具等。而对于金融信息系统而言, 必须具备下述几项功能:身份识别是最基本的安全工具, 即用户在请求系统服务时必须通过身份验证, 如Password和User ID输入;为避免合法用户非法使用信息资源或防止非法用户进入系统必须借助存取权限技术加以有效控制;为确保信息来源可靠, 可基于RSA公约加密算法等数字签名技术用于准确判断信息只能属于某数据源;为保证数据完整, 可通过设置消息摘要等控制机制确定信息是否存在非法修改, 同时结合审计追踪技术查明原因, 以防止遭受虚假信息欺骗; 同时还应充分发挥病毒检测防御软件的优势, 其中应通过入侵检测、非法外联、漏洞扫描、补丁分发等安全技术对重点区域加以分割管理, 以此提高信息安全防护水平。
3.4 以完善的运维管理为保障
金融信息系统的安全管理应贯穿于系统运行的每个环节, 这就要求金融机构结合相关规定和自身实际, 对信息系统加以规范化和标准化管理, 如加强教育宣传, 督促内部人员强化金融信息保密意识, 根据安全保障体系框架设立专门的机构岗位, 并对设备、软件、网络、存储媒介、人事、场地、密钥和密码、审计等主要信息安全管理内容加以具体化和规范化, 如要求聘用的信息安全管理人员必须掌握一定的信息管理、金融业务、金融经济与管理等专业知识和技术;业务数据必须进行分布式备份, 分支机构和数据中心的服务器必须设有磁带库, 且存储规范而及时, 重要数据要采取双份异地存数;物理安全管理必须符合防尘、防雷、阻燃、降噪、防盗等要求, 通信线路必须穿线深埋、标记明显, 以防无意损坏;操作系统、应用系统必须安全可靠无隐患, 严禁应用Terminal Services、Task Scheduler等服务等。
4 结束语
总之, 金融信息系统安全保障体系的构建既是金融信息化发展的必然趋势, 更是其内在要求, 毕竟其信息资源与金融机构生存、行业市场稳定乃至国家利益密切相关, 因此我们必须全面分析金融信息系统安全的影响因素和主要威胁, 以此找准切入点加以有效防范, 进而形成一个多层次、全方位的安全保障体系, 推动金融信息化安全、高效、稳定发展。
摘要:随着金融信息系统规模的不断壮大和体系的日趋完善, 信息资源无疑为金融行业的高效服务和快速发展带来了便捷和机遇, 但也在无形中增大了潜在风险, 毕竟信息系统的安全性直接关乎金融行业的稳定性。对此, 本文从金融信息系统安全保障体系的重要性出发, 结合其面临的安全问题, 就体系的构建策略进行了研究。
关键词:金融信息系统,安全保障体系,金融信息化
参考文献
[1]祝慧洁.金融信息系统安全保障体系构建研究[J].中小企业管理与科技 (上旬刊) , 2012 (02) .
[2]杨春秀.当前金融信息系统的安全挑战及其对策[J].金融科技时代, 2011 (15) .
金融行业信息安全研究 篇9
关键词:云计算,金融信息,系统安全
1引言
在经济全球化和信息技术高速发展的今天, 瞬息万变的市场环境对金融企业管理、业务创新、市场开拓、服务水平等提出了更高的要求, 金融企业信息化进程成为制约金融企业快速发展或转型的关键。 而传统的信息化建设和管理模式很难满足金融企业在灵活性、多样性、个性化等需求。 面对逐年增加的IT建设和运营投入,越来越多的金融企业开始寻找新的途径。 云计算作为新型的计算和服务模式为金融系统信息化建设提供了新的实施方式。 云计算提供了一种计算机资源按需获取和交付的业务模式, 可以向用户提供可无限伸缩的服务来满足客户和业务需求。 云计算的技术优势极大降低了金融企业IT建设及运营维护成本,使金融企业能够更快捷、廉价地获取必需的IT资源[1]。
“云金融”是云计算在金融领域的行业应用, 可以将金融机构的数据中心与客户端分散到“云”里,提高信息共享程度。 通过有效的基础实施即服务、平台即服务、软件即服务的众多业内知名金融企业,联合将线上线下资源整合成一套包括交易平台、结算平台、网上支付平台、外汇交易实体平台、中小金融企业云服务平台等经济活动融为一体的、全面的、综合的金融信息系统,为金融客户提供生产中心、灾备中心、存储中心、灾难恢复、金融演练、远程数据保护、网络优化、安全管理等全方位的外包服务及各种云应用平台服务, 最终形成面对金融行业的整体解决方案[2]。
目前,我国金融云应用尚处在探索和起步阶段,没有统一的行业技术标准,缺乏相关的监管政策支持。 云环境的安全性问题是金融信息系统需要考虑的重点问题。
随着云计算平台相关技术的发展以及Saa S等新型架构的成熟,云环境下的金融信息系统成为现实,而安全问题是云平台需要重点考虑的问题。 本文结合当前金融信息系统的云计算发展趋势以及存在的问题展开研究,通过分析现有云平台以及基于Saa S的金融信息系统中的安全隐患, 提出云金融信息系统的安全框架,为云计算环境下的金融信息系统提供了安全解决方案[2]。
2云平台核心安全问题分析
基于云平台Saa S架构的金融信息系统由于云计算环境的公开化、开放性等特征面临着安全问题。 云计算平台需要得到用户的信任,这样用户才能将数据托管在这个云环境中;同时,云计算服务提供商应该保障云资源的可靠性和完整性,要具备高水平的灾难恢复能力。 根据美国著名市场研究公司Gartner的研究表明,云安全服务存在7 大潜在安全风险[3-4]。 基于对云计算环境以及Saa S的分析,得出云平台的如下核心安全问题:
(1)特权用户访问。 在云平台中能够绕过公司内部对于相关程序的物理、逻辑以及人员进行操作,因此,在企业外部处理敏感数据的方式具有与生俱来的风险性。
(2)法规遵从。 云服务提供商只托管企业数据,客户对于自身的数据的安全性和一致性仍然负有最终责任。 传统的服务供应商受制于到外部审计和安全认证。 而云计算技术则拒绝接受类似的审查。
(3)数据位置。 云服务的分布式特性使得企业在使用云服务时无法知道数据托管的具体位置,更无法知道当地运营机构是否严格遵守隐私保护要求。
(4)数据隔离。 云服务中的数据通常是与其他客户的数据一起共享存储的,但是加密方式不能绝对的保障数据绝对安全,所以要将自己数据与其他企业用户的数据隔离开来。
(5)灾难恢复。 云服务提供商应当对用户数据进行有效的备份,保证在灾难时能及时恢复保证业务正常运行。 如果缺失,对企业而言将是巨大损失。 所以企业用户一定要求云服务商做出承诺,必须对所托管数据进行备份。
(6)调查支持。 云计算会将多个用户的数据和记录同时存放在一起,或者跨主机、数据中心存储,企业的正常的数据调查会得不到许可或困难重重。 如果你的供应商无法做出相关承诺,那么一旦违法行为发生时,你将面临无法取证的尴尬。
3基于云计算技术的金融信息系统安全风险分析
云环境下金融信息系统将某个银行的全部的数据集中在总行计算机系统中统一管理、协调,为加速资金的流动和创新业务的实施奠定基础。 在互联网上部署这类系统可以极大地提升企业的业务数据处理能力, 但同时也向那些企图进入金融企业信息系统内部获取机密数据的人敞开了大门,因此,保证软件系统的安全显得尤为重要。 从以下几个方面对云计算Saa S基础上的金融信息系统所面临的安全风险进行分析[2]。
3.1 物理和环境安全
物理安全对金融企业基础设施来说非常重要, 所面临的问题比较多元化,主要涉及数据中心设计、弱电规划、火灾等突发事件应急、访问控制、闭路电视(closed-circuit television,CCTV)实施等。 物理安全用于保护金融企业资产不受损失,是对环境风险和不可预知认为活动的第一道防线。 这类风险主要有:1内部人员“滥用”造成的资产损失;2设施缺陷造成的业务中断或数据损失;3缺少有效的访问控制和监控制度;4缺少必要的灾备和业务连续性计划[5]。在云计算环境中,数据资源保存在远程服务器中, 其物理和环境安全对于金融企业用户来说具有不可控性。
3.2 灾备和业务连续性
服务器群突发技术故障会造成数以千计金融企业网站服务中断,给金融企业造成巨大损失。 灾难恢复的目的是将灾难造成的损失降到最低程度, 业务连续性计划的目的则是从更长远的角度来解决问题来保障业务能够长期、稳定的运营。 中小金融企业中往往都缺少相关管理制度和规划,在突发事件中,不稳定管理业务系统将会给金融企业带来极大的运营风险甚至直接经济损失。 云计算服务器的灾备回复能力是关系到业务系统能否连续性运行的关键。
3.3 网络安全
网络包含了许多不同的机制、设备、软件和协议,它们互相关联形成一个整体。 网络安全涉及了网络上数据信息的保密性、完整性、可用性、真实性和可控性。 拒绝服务攻击和无加密的数据传输是常见的两类网络安全隐患。在云平台Saa S架构下,不安全的协议和密码泄露都会对金融信息系统的安全保密造成破坏;无加密的数据传输对金融信息系统而言将会是致命打击,数据在传输过程中可能会被截取并被篡改, 这不仅会造成金融企业数据丢失,甚至还会影响到金融企业的正常运营、数据的泄露等,同时有可能需要金融企业来承担法律责任。 因此,需要探讨Saa S所带来的网络安全隐患,并采取措施来避免这些安全问题。
3.4 数据安全
数据是Saa S金融信息系统的核心资产, 直接关系到金融企业的商业隐私。 数据安全除了传输安全之外还包括存储安全、静止数据安全等。 存储或备份在磁盘上的业务数据往往都缺少必要的安全机制,例如存储加密,直接或者间接访问和篡改都会给金融企业造成巨大风险; 存放在数据库中的静态数据通常而言都没有进行加密。 在多组户环境下,上层应用的逻辑缺陷将导致其他恶意 “租户” 对金融企业私有静态数据进行直接访问或操作。 Web应用安全和数据安全紧密结合相辅相成缺一不可。
3.5 Web应用安全
绝大部分Saa S信息系统都是以浏览器作为用户访问的瘦客户端,Web服务器就成为联通互联网和内部网络的桥梁。 应用安全的架构决定了Saa S金融信息系统的安全性, 多组户环境下的配置管理、权限分配、虚拟资源的访问控制都和安全息息相关。据美国应急响应中心统计,2010 年全年披露的漏洞80%以上和Web应用相关。 作为业务前端的Web应用程序的脆弱性直接影响到整个系统的质量保证。 开放式Web应用程序安全项目(OWASP,Open Web Application Security Project) 是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。 如表1 所示,OWASP十大页面应用程序安全风险项目提出了当前最具有风险的漏洞类型及攻击方法。
3.6 访问控制
访问控制是保证金融企业信息安全的重要手段, 信息安全的根本也是通过控制信息资源访问来保护系统资源免受未授权访问。 Saa S金融信息系统中访问控制包含的范围很广泛,涵盖了从上层应用的用户身份管理到底层网络边界控制的很多方面。在缺少有效的身份供应机制的系统中, 离职员工账户或存在弱口令的账户都将对业务模块造成严重的威胁。 底层架构在缺乏有效边界保护或安全域划分的情况下同样会产生更多安全隐患。
3.7 网络病毒及木马程序
Saa S金融信息系统威胁主要来自网络病毒, 在受到病毒攻击时,服务器未受到有效保护的话,数据就会丢失,造成的破坏是无法弥补的。 木马程序也是业务数据安全的隐患之一。 如果数据服务器被植入木马程序后,木马程序平常是隐藏的,但其会随着系统悄无声息地启动,一旦木马在服务器后台运行起来,服务器系统就会有端口被打开, 黑客就会利用控制端程序潜入到服务器内部,服务器上的所有程序和数据暴露无疑,这样安全和隐私就全无保障了。 病毒和木马的防范对于系统安全来说至关重要,需要有健全的病毒木马防御体系来保证数据的安全。
3.8 系统安全
云计算的分布式特性导致了在任何一个系统中都可能找到金融企业的敏感数据, 在这个前提下系统的安全性同样不能忽视,尤其是在访问控制不到位的环境下,很有可能存在直接暴露在互联网上的IT系统。
系统安全漏洞根据对其系统造成的潜在威胁(破坏性、危害性、严重性)以及被利用的可能性为依据将系统漏洞分为紧急、重要、警告、注意等。 对“紧急”或者“重要”级别的系统漏洞需要及时的安装补丁程序。 常见的漏洞类型归类如表2 所示。
4云环境下金融信息系统安全框架构建
基于上述云平台自身安全问题以及Saa S金融信息系统所面临的常见安全风险的分析, 对于每个风险点都可以采用相应的策略来进行规避,从而提升系统的整体安全水平。 本文提出如图1所示的安全框架,以解决基于Saa S的金融信息系统的安全问题。
如图1 所示的金融信息系统安全框架, 包括金融企业信息安全治理、第三方管控、风险评估等6 个主要解决方案,具体详细介绍如下。
4.1 金融企业信息安全治理
由于金融信息系统的特殊性, 不管金融企业采用的是什么服务或部署模型, 金融企业用户和服务提供商应当协商进行信息安全治理来达到支持业务需求和信息安全保障的一致目标。信息安全治理类似于IT治理, 都是为了确保企业的生存和发展为目标的。 随着新的法规法案的颁布,对金融企业管理要求的提高会增加金融企业安全治理的需求。 金融企业用户应当制订符合自身发展的信息安全规划, 投入适当人力对IT系统进行定期评估和审计。
4.2 第三方管控
对云服务提供商的供应链进行深入的调查和评估涉及事件管理、业务连续性、灾难恢复等方面的策略、流程和规程,包括对共用场地和相关设施的审查。 对云服务提供商遵从自身策略和规范的执行力进行内部评估,同时评估提供商在相关领域的指标体系。 考察服务提供商是否有完备的安全治理能力,文档化的风险评估实施过程、安全审计流程。
4.3 风险评估
对应用系统、操作系统、网络架构进行定期的风险评估和渗透测试,最大程度地发现整系统中的安全隐患并及时修复。 划分安全域对网络边界有效控制,采用三层架构将表示层、业务层、后端层逻辑隔离。 创建符合金融企业自身需求的安全基线,对IT系统定期人工核查。 对于上市及金融和电子商务客户可能还需要满足SOX、PCIDSS、DISA、ISO 27001 等标准的合规遵从要求,涉及人员管理、Web应用安全、系统安全、数据保护、网络安全、审计、 物理安全、代码安全生命周期等。
4.4 信息内控
加强对业务信息系统进行信息内控,建立IAA ( Identification ,Authentication and Access)体系对用户身份认证访问控制管理与审计。 创建用户角色和职务列表,记录用户的所有操作并强制性审计。 从制度上完善对用户工作职务变更与中断进行管理[6]。 在金融企业执行管理层,制定信息安全保障策略,做出如何执行金融企业安全战略的决策,确定IT治理和控制的整体方法。 在业务层对特定业务活动进行控制, 尤其是对于IT应用系统关联紧密的业务过程。 在IT基础层,对网络、数据库、操作系统以及存储设施等采取一般性IT控制,不完善的变更管理会破坏IT基础层的完整性和可靠性。
4.5 业务连续性计划
制定满足金融企业自身特点的业务连续性计划和策略,提供为实施应急响应、数据备份、灾后恢复操作的流程规范确保在紧急情况下做出适当响应。 根据BSI的BS 25999 业务连续性标准,业务连续性计划实施可以包括为6 个步骤,启动项目、业务影响分析、确定恢复计划、制订业务连续性计划、测试和演练、维护和更新计划。 1项目启动阶段主要工作是准备必须的资源和前期调研工作,如得到管理层对项目的支持和授权、明确项目实施的组织结构和人员角色权责,为项目实施分配资源、制订项目实施计划;2业务影响分析主要是对公司业务流程进行分析和评估影响程度;3恢复计划制订时需要从组织、流程、技术、资源等几个角度考虑,建立了战略层、战术层和操作层面的应急管理组织;4灾难恢复预案主要包括灾难恢复的时间和范围、灾难恢复组织架构、联络清单、应急处理流程、事件通报流程、损害识别和评估流程、灾难宣告流程、核心金融信息系统恢复流程、业务恢复流程、重续运营管理流程、灾后重建流程、灾后回退流程、计划内切换与回退流程等[7]。
4.6 安全风险防范措施
云计算的发展加快了金融信息系统的发展进程,但随之也带来一些安全性问题。我们不能因为网络的不安全性而停止网络服务, 要使云服务平台良好地运行需要单位负责人树立好安全意识,系统操作人员提高业务素质,服务器维护人员要有良好的技术水平。 针对云计算应用中的安全性问题,需要预先采取措施来减轻这些威胁。
(1)系统运行服务器和数据存储服务器一定要请专业的安全公司指导定期升级操作系统漏洞, 关闭不必要的服务和不用的网络端口。
(2)安装网络版杀毒软件,并及时更新病毒库,使服务器系统安全性提高,能抵抗最新病毒的攻击。
(3)系统服务器和工作站要安装防火墙,一定不要直接暴露在互联网上,对接入Internet要严格限制。 服务器端只开放必须的应用端口,封闭其他端口,最好只对接入客户端的IP地址段开放。
(4)密码攻击是黑客们最常见的入侵方式之一。 为提高系统的安全性,一定要设置一个高强度密码。 密码的“弱”和“强”是相对的,不同的环境对于密码强度有不同的要求,即使再强的密码也有可能被破译或泄漏,所以密码要经常更新,更新的时间长度基于数据的敏感程度。
(5)要保证数据的安全性,一定要对服务器业务数据进行有效备份,异地备份是最可靠的备份方式,如果当地发生毁灭性的自然灾害,事故后还能从远程恢复数据和业务,可以保证业务数据的完整性和安全性。
5结语
【金融行业信息安全研究】推荐阅读:
金融行业05-31
走进金融行业08-03
金融行业与房地产行业05-22
金融行业自我介绍08-26
金融行业高管薪酬原因05-21
金融行业网络解决方案08-26
金融服务行业FDI07-29
余额宝模式颠覆金融行业06-12
地产金融行业产业链07-04
系统集成商金融行业07-24