亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        新形勢(shì)下商業(yè)銀行網(wǎng)絡(luò)安全威脅環(huán)境分析及信息安全體系轉(zhuǎn)型研究

        2015-10-08 17:11:51宮哲張建毅
        現(xiàn)代管理科學(xué) 2015年10期
        關(guān)鍵詞:金融安全

        宮哲 張建毅

        摘要:在互聯(lián)網(wǎng)金融模式興起、外部安全環(huán)境惡化以及自身系統(tǒng)架構(gòu)日趨復(fù)雜的新形勢(shì)下,商業(yè)銀行正面臨著愈發(fā)嚴(yán)峻的網(wǎng)絡(luò)安全威脅。文章從對(duì)全球銀行業(yè)網(wǎng)絡(luò)安全威脅事件的匯總分析入手,闡述我國(guó)商業(yè)銀行應(yīng)對(duì)網(wǎng)絡(luò)安全威脅所面臨的困難和挑戰(zhàn),并從系統(tǒng)架構(gòu)、安全技術(shù)、風(fēng)險(xiǎn)評(píng)估、安全管理和安全規(guī)劃五個(gè)維度對(duì)銀行信息安全體系轉(zhuǎn)型進(jìn)行要點(diǎn)分析。

        關(guān)鍵詞:銀行信息安全;金融安全;商業(yè)銀行轉(zhuǎn)型

        一、 引言

        伴隨著金融電子化需求的日益迫切和信息技術(shù)的日新月異,商業(yè)銀行傳統(tǒng)金融業(yè)務(wù)與新興互聯(lián)網(wǎng)技術(shù)正在經(jīng)歷密切的融合,這種融合促進(jìn)了商業(yè)銀行的金融模式創(chuàng)新和服務(wù)渠道轉(zhuǎn)型,但同時(shí)也帶來(lái)了嚴(yán)峻的網(wǎng)絡(luò)安全威脅挑戰(zhàn)。信息安全風(fēng)險(xiǎn)在銀行信息化進(jìn)程中一直受到監(jiān)管部門(mén)的重視。

        早在1999年,巴塞爾銀行監(jiān)管委員會(huì)就專(zhuān)門(mén)設(shè)立電子銀行小組(EBG),并在2004年發(fā)布的《巴塞爾資本協(xié)議II》中將信息安全風(fēng)險(xiǎn)作為新型風(fēng)險(xiǎn)納入總體風(fēng)險(xiǎn)框架中,使信息安全成為商業(yè)銀行風(fēng)險(xiǎn)管理中的重要內(nèi)容,隨后全球各地區(qū)的銀行監(jiān)管機(jī)構(gòu)都設(shè)立專(zhuān)門(mén)的IT風(fēng)險(xiǎn)監(jiān)管部門(mén),并推行嚴(yán)格的信息安全管理制度和框架,例如美國(guó)三大銀行業(yè)監(jiān)管機(jī)構(gòu)制定的《電子銀行最終規(guī)則》、《銀行用戶身份認(rèn)證體系》等,歐洲中央銀行發(fā)布的《ESCB信息系統(tǒng)安全政策》、《關(guān)鍵系統(tǒng)支付體系業(yè)務(wù)連續(xù)性縱覽》等。我國(guó)銀監(jiān)會(huì)近年也陸續(xù)推出《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》、《電子銀行安全評(píng)估指引》等制度規(guī)范。2014年,在中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組成立的大背景下,銀監(jiān)會(huì)發(fā)布了《關(guān)于應(yīng)用安全可控信息技術(shù)加強(qiáng)銀行業(yè)網(wǎng)絡(luò)安全和信息化建設(shè)的指導(dǎo)意見(jiàn)》,表明我國(guó)銀行業(yè)對(duì)信息安全的重視程度已達(dá)到空前高度。在此趨勢(shì)下,國(guó)內(nèi)對(duì)銀行信息安全問(wèn)題的理論研究逐漸增多,如吳溥峰(2010)提出一個(gè)綜合動(dòng)態(tài)的網(wǎng)上銀行信息安全體系框架模型,可有效降低、控制網(wǎng)上銀行的運(yùn)行風(fēng)險(xiǎn)。汪軼(2011)對(duì)商業(yè)銀行信息安全風(fēng)險(xiǎn)的VaR計(jì)量方法進(jìn)行研究,為建立完整的信息科技風(fēng)險(xiǎn)監(jiān)管框架提供了依據(jù)。在移動(dòng)金融發(fā)展的背景下,夏偉等(2012)對(duì)移動(dòng)網(wǎng)銀方案進(jìn)行研究,提出了一種假設(shè)移動(dòng)終端不可信的基于智能銀行卡的移動(dòng)安全網(wǎng)銀解決方案。

        銀行業(yè)關(guān)系到國(guó)計(jì)民生和社會(huì)穩(wěn)定,在當(dāng)前日益嚴(yán)峻的金融信息安全威脅形勢(shì)下,重新審視商業(yè)銀行信息系統(tǒng)和安全管理體系中的缺陷,優(yōu)化甚至重構(gòu)已有的信息安全技術(shù)架構(gòu),實(shí)施安全管理與策略的升級(jí)轉(zhuǎn)型,將成為我國(guó)商業(yè)銀行構(gòu)建自主可控的信息安全體系的重要內(nèi)容。

        二、 全球銀行業(yè)網(wǎng)絡(luò)安全威脅事件匯總及形勢(shì)分析

        縱觀全球,無(wú)論從技術(shù)建設(shè)水平還是從風(fēng)險(xiǎn)監(jiān)管環(huán)境看,銀行業(yè)的信息安全體系相比其他行業(yè)更為成熟和完善,商業(yè)銀行除了具有網(wǎng)絡(luò)防御、信息備份、災(zāi)難恢復(fù)和系統(tǒng)性能保障等完備的信息安全保障措施,還要定期接受?chē)?yán)格的合規(guī)檢查。然而,隨著銀行自身業(yè)務(wù)電子化依賴程度的加深以及金融服務(wù)趨于開(kāi)放互聯(lián),近年來(lái)全球銀行業(yè)的網(wǎng)絡(luò)安全威脅事件不降反升,嚴(yán)重影響了銀行聲譽(yù)和社會(huì)穩(wěn)定,也打擊了公眾對(duì)數(shù)字金融的使用信心,這些威脅事件突顯了金融領(lǐng)域信息安全問(wèn)題的嚴(yán)峻性、持續(xù)性和衍生性。(1)在歐洲, 2007年~2010年,黑客先后多次攻破荷蘭銀行的防火墻,盜取了部分賬戶信息并成功進(jìn)行了轉(zhuǎn)賬操作。2014年,俄羅斯央行和商業(yè)銀行的在線服務(wù)遭受DDoS攻擊,造成長(zhǎng)時(shí)間服務(wù)癱瘓。2015年伊始,芬蘭波赫尤拉銀行和瑞典北歐聯(lián)合銀行同時(shí)遭受了24小時(shí)持續(xù)性DDoS攻擊,致使其停止線上服務(wù)訪問(wèn),經(jīng)調(diào)查本次攻擊技術(shù)并不復(fù)雜,實(shí)施者可能是業(yè)余黑客。(2)在美洲,2011年,美國(guó)花旗銀行數(shù)據(jù)庫(kù)系統(tǒng)被黑客侵入,20萬(wàn)用戶的信用卡信息被盜。2014年,摩根大通發(fā)現(xiàn)黑客利用復(fù)雜的技術(shù)潛入其內(nèi)部網(wǎng)絡(luò)2個(gè)月,竊取了8 300萬(wàn)客戶資料等大量情報(bào),震動(dòng)了奧巴馬政府,經(jīng)調(diào)查攻擊者來(lái)自當(dāng)時(shí)正被西方經(jīng)濟(jì)制裁的俄羅斯,可能有國(guó)家黑客背景。(3)在亞洲,2012年,香港匯豐銀行的匯豐理財(cái)服務(wù)等全球多個(gè)網(wǎng)站受到攻擊,經(jīng)調(diào)查可能系伊斯蘭極端組織所為。2009年~2014年,韓國(guó)友利、韓亞、農(nóng)協(xié)、濟(jì)州等銀行多次遭遇大型網(wǎng)絡(luò)攻擊,致使網(wǎng)絡(luò)癱瘓,全國(guó)柜臺(tái)和ATM無(wú)法提供數(shù)字服務(wù),甚至災(zāi)備系統(tǒng)全部失效。2014年更是發(fā)生了銀行信用卡信息泄露事件,導(dǎo)致韓國(guó)全民排隊(duì)更換信用卡,影響了社會(huì)秩序。(4)在非洲,2012年南非郵政銀行遭受一次策劃已久的網(wǎng)銀偷盜活動(dòng),黑客通過(guò)潛入內(nèi)部員工計(jì)算機(jī)數(shù)月闖進(jìn)銀行核心系統(tǒng),共盜取700萬(wàn)美元。

        經(jīng)過(guò)對(duì)上述安全事件的匯總分析,可以發(fā)現(xiàn)銀行業(yè)網(wǎng)絡(luò)威脅環(huán)境正面臨著新形勢(shì),不僅涉及安全管理和技術(shù)問(wèn)題,背后還常常伴隨著國(guó)家政治經(jīng)濟(jì)環(huán)境問(wèn)題,信息安全風(fēng)險(xiǎn)邊界呈現(xiàn)出擴(kuò)大化、分散化的趨勢(shì),主要表現(xiàn)在以下幾點(diǎn):

        1. 從威脅模式看,商業(yè)銀行面臨多樣化的網(wǎng)絡(luò)攻擊形式,高等級(jí)攻擊增多。從案例中可以發(fā)現(xiàn),商業(yè)銀行面臨的最主要的網(wǎng)絡(luò)威脅是資金盜竊、數(shù)據(jù)泄露以及系統(tǒng)服務(wù)中斷。具體到攻擊模式,商業(yè)銀行由于數(shù)據(jù)資產(chǎn)附加值高且安防體系健全,攻擊者愿意付出更大代價(jià),嘗試新型復(fù)雜的技術(shù)手段和社會(huì)工程方法。一是針對(duì)大型銀行系統(tǒng)的APT攻擊日漸流行,其攻擊行為潛伏策劃期長(zhǎng),入侵行為隱蔽,通過(guò)層層滲透逐步獲取核心系統(tǒng)權(quán)限;二是對(duì)于“零日”漏洞,攻守兩端存在知識(shí)不對(duì)等的局面,已成為網(wǎng)絡(luò)攻擊中最有效的突破口;三是很多案例中反映出攻擊者已不僅僅依靠單純的技術(shù)手段,還表現(xiàn)出周密的偵察組織能力以及對(duì)銀行業(yè)務(wù)流程的熟悉,甚至還出現(xiàn)內(nèi)部技術(shù)人員參與協(xié)作的情況。

        2. 從涉及地域看,信息安全風(fēng)險(xiǎn)正在威脅全球范圍的商業(yè)銀行。區(qū)別于實(shí)地"搶銀行"的概念,在互聯(lián)網(wǎng)金融時(shí)代,黑客已突破洲際地域界限,可以將任何區(qū)域的商業(yè)銀行信息系統(tǒng)作為攻擊目標(biāo),開(kāi)展有組織的網(wǎng)絡(luò)竊取和破壞活動(dòng),針對(duì)商業(yè)銀行的網(wǎng)絡(luò)攻擊行為已成為全球性的普遍問(wèn)題。從案例中可以看出無(wú)論是位于全球金融中心的美國(guó)摩根大通,還是遠(yuǎn)在非洲的南非郵政銀行,都出現(xiàn)過(guò)較為嚴(yán)重的網(wǎng)絡(luò)威脅事件記錄,很多銀行還不止一次的遭受黑客攻擊。隨著國(guó)內(nèi)商業(yè)銀行線上經(jīng)營(yíng)環(huán)境的快速開(kāi)放,網(wǎng)絡(luò)威脅事件發(fā)生的概率將進(jìn)一步提高。

        3. 從成本投入看,攻擊成本和防御成本呈現(xiàn)嚴(yán)重不對(duì)稱(chēng)性。商業(yè)銀行在安全設(shè)施、人才培養(yǎng)和技術(shù)研發(fā)方面的投入正逐年增加,例如摩根大通宣稱(chēng)其2014年的網(wǎng)絡(luò)安全開(kāi)支已達(dá)25億美元,并配備了上千名專(zhuān)職員工,遠(yuǎn)高于IT巨頭谷歌公司,但龐大的投資并未阻止其2014年發(fā)生嚴(yán)重的信息泄露事件。隨著同類(lèi)業(yè)務(wù)的泛化、攻擊方法的簡(jiǎn)化和惡意工具的普及,網(wǎng)絡(luò)攻擊難度和成本正在降低,很多案件的攻擊者文化水平并不高,甚至使用開(kāi)源工具和簡(jiǎn)單技術(shù)即能實(shí)施攻擊,即便無(wú)法實(shí)現(xiàn)難度較高的資金和信息竊取,也存在利用蠻力方法造成服務(wù)中斷的可能。

        4. 從外部因素看,網(wǎng)絡(luò)安全與地緣政治、民族宗教等問(wèn)題緊密相連,存在跨界震蕩。當(dāng)前,國(guó)際政治、軍事、宗教等領(lǐng)域發(fā)生區(qū)域沖突和爭(zhēng)端越來(lái)越多的轉(zhuǎn)嫁于網(wǎng)絡(luò)空間,帶有政治意圖或意識(shí)形態(tài)的網(wǎng)絡(luò)威脅大幅增加,最典型的例子是2010年美國(guó)利用“震網(wǎng)”病毒入侵伊朗核設(shè)施網(wǎng)絡(luò),成功改變了系統(tǒng)相關(guān)參數(shù),導(dǎo)致伊朗核計(jì)劃延遲。思科在2015年度安全報(bào)告中首次將地緣政治因素納入網(wǎng)絡(luò)安全威脅考量。從全球銀行業(yè)網(wǎng)絡(luò)安全威脅的案例中,同樣能發(fā)現(xiàn)“國(guó)家黑客”或恐怖主義所帶來(lái)的影響。因此,商業(yè)銀行作為國(guó)民經(jīng)濟(jì)的命脈,其網(wǎng)絡(luò)安全環(huán)境必然與外部情報(bào)態(tài)勢(shì)存在聯(lián)系。

        三、 我國(guó)商業(yè)銀行應(yīng)對(duì)網(wǎng)絡(luò)威脅遇到的困難與挑戰(zhàn)

        全球金融信息安全形勢(shì)為我國(guó)商業(yè)銀行的經(jīng)營(yíng)發(fā)展敲響警鐘,以人為鏡,可以明得失,從不同維度分析我國(guó)商業(yè)銀行在新形勢(shì)下存在的信息安全風(fēng)險(xiǎn),主要存在以下幾點(diǎn)困難和挑戰(zhàn):

        1. 系統(tǒng)架構(gòu)日趨復(fù)雜考驗(yàn)自主可控能力。這主要涉及兩個(gè)方面:一是國(guó)內(nèi)銀行網(wǎng)絡(luò)基礎(chǔ)設(shè)施和核心業(yè)務(wù)系統(tǒng)長(zhǎng)期依賴國(guó)外廠商的技術(shù)和設(shè)備,國(guó)外IT廠商的大型機(jī)、小型機(jī)、數(shù)據(jù)庫(kù)、存儲(chǔ)設(shè)備等在國(guó)內(nèi)銀行業(yè)處于壟斷地位。基礎(chǔ)設(shè)施和核心架構(gòu)受制于人,無(wú)法實(shí)現(xiàn)安全自主可控。二是信息安全技術(shù)架構(gòu)日趨復(fù)雜,業(yè)務(wù)系統(tǒng)增長(zhǎng)使安全加固點(diǎn)增多,不同網(wǎng)絡(luò)位置的安全設(shè)備產(chǎn)生海量、多源、異構(gòu)的原始流量信息和安全日志,同時(shí)業(yè)務(wù)數(shù)據(jù)本身也隱藏安全風(fēng)險(xiǎn),目前尚欠缺對(duì)這些數(shù)據(jù)有效的關(guān)聯(lián)分析和安全聯(lián)動(dòng),難以掌握整體網(wǎng)絡(luò)安全態(tài)勢(shì),實(shí)現(xiàn)安全可控。

        2. 新興業(yè)務(wù)應(yīng)用的增長(zhǎng)帶來(lái)安全隱患。移動(dòng)金融、網(wǎng)絡(luò)理財(cái)、第三方支付、企業(yè)網(wǎng)絡(luò)融資、直銷(xiāo)銀行等新應(yīng)用的出現(xiàn)使銀行線上業(yè)務(wù)鏈條拉長(zhǎng),漏洞隱患隨之增多,不僅帶來(lái)了技術(shù)安全問(wèn)題,還表現(xiàn)出業(yè)務(wù)安全隱患,傳統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估方法已難以適應(yīng)。更根本的原因是目前銀行的安全體系建設(shè)并未納入到業(yè)務(wù)發(fā)展整體中考慮,導(dǎo)致業(yè)務(wù)發(fā)展與安全建設(shè)脫節(jié)。

        3. 網(wǎng)絡(luò)數(shù)據(jù)量的上升引發(fā)性能瓶頸。隨著傳統(tǒng)金融業(yè)務(wù)進(jìn)一步向互聯(lián)網(wǎng)遷移,網(wǎng)絡(luò)流量呈指數(shù)級(jí)上升,網(wǎng)絡(luò)設(shè)備數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)速率要求越來(lái)越高,銀行系統(tǒng)產(chǎn)生的海量數(shù)據(jù)為現(xiàn)有安全設(shè)備與分析方法帶來(lái)了性能考驗(yàn),一是對(duì)于事中的流量安全檢測(cè),實(shí)時(shí)處理、檢測(cè)和響應(yīng)難度加大,二是對(duì)于事后的安全審計(jì)與取證,對(duì)海量數(shù)據(jù)歸集存儲(chǔ)能力和快速全文檢索能力提出較高要求。

        4. 新型攻擊模式考驗(yàn)防御技術(shù)體系。從對(duì)現(xiàn)有案例的分析發(fā)現(xiàn),APT等新型攻擊已逐漸成為網(wǎng)絡(luò)攻擊者滲透大型商業(yè)銀行網(wǎng)絡(luò)的常態(tài)化模式,這類(lèi)攻擊具有潛伏期長(zhǎng)、不確定性強(qiáng)、弱特征的特點(diǎn),善于利用未知漏洞形成單點(diǎn)突破,再逐層開(kāi)展內(nèi)網(wǎng)滲透,慢速的竊取數(shù)據(jù)或有計(jì)劃的破壞網(wǎng)絡(luò)?,F(xiàn)有防御思路更關(guān)注單點(diǎn)防御和階段性防御,對(duì)于新型攻擊模式缺乏有效應(yīng)對(duì)手段。

        5. 信息安全管理手段仍存較大缺陷。目前,商業(yè)銀行通常采用較為成熟的信息安全管理規(guī)范來(lái)制定安全管理制度,其中運(yùn)維保障、網(wǎng)絡(luò)隔離、數(shù)據(jù)加密存儲(chǔ)等技術(shù)性基礎(chǔ)工作一般完成較好,但人員管理成為難點(diǎn)。核心科技人員和外包技術(shù)人員的增多,使銀行網(wǎng)絡(luò)設(shè)備及敏感數(shù)據(jù)越來(lái)越多的機(jī)會(huì)被直接操作,增加了系統(tǒng)不確定性和數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

        四、 我國(guó)商業(yè)銀行信息安全體系建設(shè)轉(zhuǎn)型要點(diǎn)

        外部威脅環(huán)境的變化、監(jiān)管合規(guī)要求的提高以及自身業(yè)務(wù)系統(tǒng)架構(gòu)的復(fù)雜化都要求商業(yè)銀行在信息安全體系發(fā)展建設(shè)中進(jìn)行多方位轉(zhuǎn)型,以實(shí)現(xiàn)整體的安全自主可控。本文主要從系統(tǒng)架構(gòu)、安全技術(shù)、風(fēng)險(xiǎn)評(píng)估、安全管理和安全規(guī)劃五個(gè)維度對(duì)商業(yè)銀行信息安全體系轉(zhuǎn)型進(jìn)行要點(diǎn)分析。

        1. 系統(tǒng)架構(gòu)向自主可控轉(zhuǎn)型?!袄忡R門(mén)”事件反映出以國(guó)外軟硬件產(chǎn)品為核心的銀行信息系統(tǒng)存在安全隱患,根據(jù)國(guó)家政策導(dǎo)向趨勢(shì),“去IOE”已成為國(guó)內(nèi)各大銀行不得不面對(duì)的問(wèn)題。然而“去IOE”并不等于生硬的國(guó)產(chǎn)化替代,在具體實(shí)施時(shí)將面對(duì)極為復(fù)雜的技術(shù)挑戰(zhàn)和業(yè)務(wù)風(fēng)險(xiǎn)。要解決好這個(gè)問(wèn)題,商業(yè)銀行應(yīng)化被動(dòng)為主動(dòng),把國(guó)家層面自主可控戰(zhàn)略作為一次系統(tǒng)架構(gòu)升級(jí)轉(zhuǎn)型契機(jī),以業(yè)務(wù)長(zhǎng)期發(fā)展需求為核心統(tǒng)籌規(guī)劃,改善自主創(chuàng)新環(huán)境,逐步向高彈性、可擴(kuò)展的架構(gòu)模式轉(zhuǎn)型,一方面實(shí)現(xiàn)對(duì)IOE架構(gòu)依賴度的降低,另一方面實(shí)現(xiàn)業(yè)務(wù)發(fā)展的自主可控。這個(gè)問(wèn)題可以借鑒互聯(lián)網(wǎng)企業(yè)的成功經(jīng)驗(yàn),例如阿里巴巴從2007年開(kāi)始實(shí)施“去IOE”計(jì)劃,到2012年最后一臺(tái)IBM小型機(jī)下線,共歷時(shí)5年,主要思路包括:一是一切以業(yè)務(wù)為導(dǎo)向,逐步向云計(jì)算服務(wù)模式遷移;二是向x86架構(gòu)轉(zhuǎn)型,降低成本;三是開(kāi)源軟件與自主研發(fā)相結(jié)合的技術(shù)發(fā)展路線;四是通過(guò)業(yè)務(wù)創(chuàng)新推動(dòng)技術(shù)創(chuàng)新,實(shí)現(xiàn)基礎(chǔ)架構(gòu)的高可用(例如“雙十一”、“搶紅包”等新興業(yè)務(wù)訪問(wèn)量大,使后臺(tái)技術(shù)能力不斷站上新的臺(tái)階)。

        2. 安全技術(shù)向大數(shù)據(jù)智能安全升級(jí)。傳統(tǒng)的安全軟硬件產(chǎn)品如殺毒軟件、入侵檢測(cè)、Web防火墻等,主要解決的是單點(diǎn)安全問(wèn)題,且多是基于特征碼和規(guī)則庫(kù)的檢測(cè)方法,缺乏網(wǎng)絡(luò)全局的安全態(tài)勢(shì)感知能力和基于行為的智能分析手段,無(wú)法應(yīng)付新型的高等級(jí)威脅?;诖髷?shù)據(jù)技術(shù)的智能安全將是銀行安全技術(shù)轉(zhuǎn)型的方向,著名信息技術(shù)咨詢公司Gartner(2014)預(yù)測(cè)2016年25%的國(guó)際型大公司會(huì)將大數(shù)據(jù)技術(shù)應(yīng)用于至少一個(gè)安全或異常檢測(cè)中。大數(shù)據(jù)智能安全技術(shù)主要包括兩大部分:一是安全數(shù)據(jù)的感知?dú)w集。主要任務(wù)是對(duì)異源異構(gòu)的安全數(shù)據(jù)進(jìn)行采集、過(guò)濾、存儲(chǔ)和格式化,對(duì)于銀行系統(tǒng),數(shù)據(jù)源不僅要包含網(wǎng)絡(luò)設(shè)備的流量數(shù)據(jù)和應(yīng)用系統(tǒng)的服務(wù)日志,還要包含業(yè)務(wù)系統(tǒng)的各類(lèi)操作日志,為后續(xù)的安全分析和取證提供基礎(chǔ)。二是安全數(shù)據(jù)的關(guān)聯(lián)分析。建立在大數(shù)據(jù)存儲(chǔ)的基礎(chǔ)上,安全防護(hù)具備了長(zhǎng)周期檢測(cè)和異源異構(gòu)關(guān)聯(lián)分析條件,Hadoop、Spark等技術(shù)的發(fā)展為海量數(shù)據(jù)的高效并行計(jì)算為技術(shù)團(tuán)隊(duì)基于大數(shù)據(jù)的安全建模能力。

        3. 風(fēng)險(xiǎn)評(píng)估向動(dòng)態(tài)開(kāi)放方向轉(zhuǎn)型。目前,我國(guó)商業(yè)銀行主要是遵從或參考《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》、《信息安全等級(jí)保護(hù)管理辦法》、GB20984 、ISO27001、COBIT等國(guó)內(nèi)外較為成熟的安全評(píng)估管理標(biāo)準(zhǔn)和規(guī)范,開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估、測(cè)試、改進(jìn)等工作,以滿足內(nèi)部控制和合規(guī)管理的要求。從實(shí)際效果看,這些標(biāo)準(zhǔn)在實(shí)踐中有效幫助商業(yè)銀行建立了規(guī)范完善的信息安全評(píng)估管理體系,能夠及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)并采取控制措施。而在新技術(shù)條件下,現(xiàn)有的評(píng)估管理體系略顯機(jī)械,很多評(píng)估結(jié)果僅是列出孤立的風(fēng)險(xiǎn)項(xiàng),無(wú)法反映核心問(wèn)題,以年為周期組織的評(píng)估活動(dòng)也無(wú)法適應(yīng)不斷變化的網(wǎng)絡(luò)威脅環(huán)境。建議在現(xiàn)有風(fēng)險(xiǎn)評(píng)估體系基礎(chǔ)上增加靈活性:一是可酌情引入“白帽子”評(píng)估測(cè)試機(jī)制,“白帽子”漏洞發(fā)現(xiàn)能力強(qiáng),評(píng)估方法客觀,可避免評(píng)估思路的固化單一;二是常態(tài)化的開(kāi)展動(dòng)態(tài)局部的評(píng)估活動(dòng),而不是簡(jiǎn)單應(yīng)付幾月一次的整體合規(guī)檢查;三是對(duì)新業(yè)務(wù)開(kāi)展有效的專(zhuān)項(xiàng)安全評(píng)估,例如手機(jī)銀行安全評(píng)估、私有云安全評(píng)估等。

        4. 安全管理應(yīng)突出“以人為本”。人是信息系統(tǒng)的擁有者、管理者和使用者,據(jù)統(tǒng)計(jì),只有20%~30%的信息安全事件是因?yàn)榧兒诳腿肭只蚱渌獠吭蛟斐?,另?0%~80%都存在內(nèi)部員工的疏忽或有意泄漏。商業(yè)銀行在落實(shí)信息安全管理制度時(shí),應(yīng)將人員管理作為安全管理的核心。一是進(jìn)行細(xì)粒度的系統(tǒng)權(quán)限劃分,根據(jù)內(nèi)部人員開(kāi)發(fā)、維護(hù)、管理職責(zé)和級(jí)別的不同進(jìn)行權(quán)限分配,規(guī)范操作流程,避免修改刪除自操作日志等情況。二是在外包項(xiàng)目中要加強(qiáng)對(duì)第三方人員的操作監(jiān)控,對(duì)于核心數(shù)據(jù)讀取和計(jì)算場(chǎng)景,增加數(shù)據(jù)同態(tài)加解密、數(shù)據(jù)脫敏等機(jī)制。三是強(qiáng)化日常運(yùn)維、應(yīng)急響應(yīng)、安全專(zhuān)家等專(zhuān)設(shè)小組的職能定位和能力建設(shè),打造立體化的信息安全管理隊(duì)伍。四是定期開(kāi)展信息安全培訓(xùn)和演練,提高全員安全意識(shí)和安全技能。

        5. 安全規(guī)劃要與銀行戰(zhàn)略和業(yè)務(wù)需求相捆綁。傳統(tǒng)的安全規(guī)劃更像是安全設(shè)備和產(chǎn)品的采購(gòu)方案,關(guān)注眼前的安全防護(hù),并與實(shí)際業(yè)務(wù)脫節(jié)嚴(yán)重,在商業(yè)銀行線上業(yè)務(wù)快速擴(kuò)展的背景下,這種規(guī)劃方法已遠(yuǎn)遠(yuǎn)不夠。商業(yè)銀行信息安全規(guī)劃必須更具前瞻性,要從企業(yè)戰(zhàn)略和業(yè)務(wù)需求出發(fā),追求規(guī)劃的持續(xù)性、實(shí)施的可操作性以及應(yīng)用實(shí)施時(shí)的彈性。國(guó)際流行的EA、TOGAF、SABSA等架構(gòu)模型都為商業(yè)銀行安全規(guī)劃轉(zhuǎn)型提供了參考,其核心思想都是建立從企業(yè)戰(zhàn)略、到業(yè)務(wù)需求、到系統(tǒng)架構(gòu)、到技術(shù)架構(gòu)、到實(shí)施管理、再到新業(yè)務(wù)和架構(gòu)變更的全生命周期安全規(guī)劃框架。

        參考文獻(xiàn):

        [1] 吳溥峰.網(wǎng)上銀行信息安全體系框架的構(gòu)建[J].西北大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版),2010,(2).

        [2] 汪軼.我國(guó)商業(yè)銀行信息科技風(fēng)險(xiǎn)監(jiān)管研究[D].西南財(cái)經(jīng)大學(xué)學(xué)位論文,2011.

        [3] 夏偉,李暉,崔彥平.移動(dòng)網(wǎng)銀安全研究[J].信息網(wǎng)絡(luò)安全,2012,(10).

        [4] Cisco 2015 Annual Security Report[EB/OL]2015,http://www.cisco.com/web/offers/lp/2015-annual-security-report/index.html.

        基金項(xiàng)目:中國(guó)博士后科學(xué)基金面上資助一等資助(項(xiàng)目號(hào):2015M570186);中央高校基本科研業(yè)務(wù)費(fèi)支持(項(xiàng)目號(hào):2015xs1-zjy)。

        作者簡(jiǎn)介:宮哲(1985-),男,漢族,山東省濟(jì)南市人,北京郵電大學(xué)工學(xué)博士,中國(guó)農(nóng)業(yè)銀行和清華大學(xué)聯(lián)合培養(yǎng)博士后,研究方向?yàn)殂y行信息化、金融安全;張建毅(1983-),男,漢族,山東省濟(jì)南市人,北京郵電大學(xué)工學(xué)博士,北京電子科技學(xué)院講師,研究方向?yàn)榻鹑诜雌墼p、信息安全管理。

        收稿日期:2015-08-20。

        猜你喜歡
        金融安全
        做好維護(hù)國(guó)家安全的“壓艙石”
        人民論壇(2017年21期)2017-08-14 20:33:34
        區(qū)塊鏈技術(shù)與金融業(yè)務(wù)創(chuàng)新問(wèn)題研究
        關(guān)于新時(shí)期房地產(chǎn)市場(chǎng)管理與調(diào)控的金融安全分析
        金融反腐敗與金融安全
        在校大學(xué)生金融安全意識(shí)調(diào)查
        國(guó)家審計(jì)維護(hù)金融安全功能與路徑研究
        關(guān)于我國(guó)金融監(jiān)管體制改革的研究
        高校增設(shè)金融安全的國(guó)防教育課程研究
        考試周刊(2016年38期)2016-06-12 13:14:33
        經(jīng)濟(jì)轉(zhuǎn)型時(shí)期的金融風(fēng)險(xiǎn)及現(xiàn)實(shí)影響
        中國(guó)影子銀行體系及其監(jiān)管分析
        国产三级av在线精品| 男人天堂网在线视频| 亚洲国产一区二区三区在线视频| 丰满人妻无套内射视频| 99精品国产一区二区三区| 真人做人试看60分钟免费视频| 国产精品久久久av久久久| 无码熟妇人妻AV不卡| 国产亚洲专区一区二区| 亚洲欧洲成人精品香蕉网| 国产女女精品视频久热视频| 美女爽好多水快进来视频| 亚洲日本中文字幕乱码| 国产精品麻豆va在线播放| 吃奶摸下的激烈视频| 国产成人精品日本亚洲直播| 强迫人妻hd中文字幕| 初尝人妻少妇中文字幕| 国产精品久久久av久久久| 亚洲国产成人久久综合三区| 日韩女优图播一区二区| 狠狠色噜噜狠狠狠777米奇小说| 精精国产xxxx视频在线| 激情五月天俺也去综合网| 一区二区三区四区草逼福利视频 | 日韩一区二区av伦理| 国产精品天干天干综合网| 少妇人妻偷人精品一区二区| 粉嫩国产白浆在线播放| 免费观看人妻av网站| 日韩丰满少妇无码内射| 亚洲天堂资源网| av大片网站在线观看| 人人妻人人澡人人爽人人dvd| 国产精品亚洲综合色区韩国| 国产精品久久久久久久久久影院| 国产av一区二区毛片| 欧美丰满熟妇xxxx性| 在线观看无码一区二区台湾| 国产丝袜长腿在线看片网站| 色欲网天天无码av|