信息安全是金融行业永远的话题
安全是金融行业永远的话题。金融信息系统外应用系统相互牵连、使用对象多样化、安全风险的多方位、信息可靠性、保密性要求高等特征构成了金融系统的突出特点。国际金融危机以来,金融系统的风险控制和监管被提到了前所未有的高度。如何利用信息技术的优势加强金融机构的内部控制,提高金融监管和服务水平,防范和化解金融风险,促进金融改革和创新,从而推动我国经济社会的发展,是当前我国金融业信息化建设面临的重大问题。
大多数中小商业银行网络系统是于近几年规划建设实施的生产、办公、通信综合系统网络。随着银行业务范围的不断扩展,业务应用的不断深入,IT 需求不断增加,网络系统逐步显现出可管理性差、攻击防护设备老化等安全隐患,监管部门也进行了信息安全风险的相关提示。
一、中小银行所面临的信息安全风险
随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式。随着网络技术在金融行业的全面应用,大大提高了金融行业的业务处理效率和管理水平,促成了各项创新的金融业务的开展,改善了整个金融行业的经营环境,增强了金融信息的可靠性,使金融服务于社会的手段更趋现代化。但是,同其他任何行业一样,网络安全风险伴随着网络技术在金融行业的全面应用而全面笼罩在金融行业的每个业务角落。
金融行业IT 系统由于涉及信息的敏感性自然会成为内部和外部黑客攻击的目标,面临的网络安全风险叙述如下八类:
1、非法访问:现有网络设备本身具备一定的访问控制能力,而这些访问控制强度较弱,攻击者可以在任一终端利用现有的大量攻击工具发起攻击;另一方面金融行业(如银行)开发的很多增值业务、代理业务,存在大量与外界互连的接口,外部网络可能会通过这些接口攻击银行,造成巨大损失。
2、失密和窃密:利用搭线窃听窃收,使用协议分析仪器窃收计算机系统的操作密码,破解系统的核心密码,窃取用户帐号、密码等;或利用间谍软件获得敏感的金融信息。
3、信息篡改:利用信息篡改攻击手段,非授权改变金融交易传输过程、存储过程中的信息。
4、内部人员破坏:内部人员熟悉金融行业网络系统的应用业务和薄弱环节,可以比较容易地篡改系统数据、泄露信息和破坏系统的软硬件。
5、黑客入侵:利用黑客技术非法侵入金融行业的网络系统,调阅各种资料,篡改他人的资料,破坏系统运行,或者进行有目的的金融犯罪活动。
6、假冒和伪造:假冒和伪造是金融行业网络系统中经常遇见的攻击手段。如伪造各类业务信息,未授权篡改数据,改变业务信息流的次序、时序、流向,破坏金融信息的完整性,假冒合法用户实施金融欺诈等。
7、蠕虫、病毒泛滥:蠕虫、病毒泛滥可能导致金融行业的重要信息遭到损坏,或者导致金融行业网络系统瘫痪。
8、拒绝服务:拒绝服务攻击使金融行业的电子商务网站无法为客户提供正常服务,造成经济损失,同时也使行业形象受到损害。
二、中小银行信息安全现状及需求分析
下面以某家城市商业银行的网络及应用现状,分析在不同层次的安全需求,进而揭示大部分中小银行所具有共性。
(一)网络层
为保证网络数据传输的可靠性和安全性,网络层存在的安全风险主要包括以下几个方面:
1、网络结构以及网络数据流通模式的风险:
现有主要的网络结构为星形、树形、环形以及网状,随着网络节点间的连接密度的增加,整个网络提供的线路冗余能力也会增加,提供的网络数据的流动模式会更灵活,整个网络可靠性和可用性也会大大的增加。呼和浩特市商业银行现有的网络结构,能够满足数据流动模式的需求,为了保证网络系统的可靠性,可以采取的有效可行的措施是加强网络设备和线路备份措施的实施。
2、网络设备安全有效配置的风险:
网络设备是网络数据传输的核心,是整个网络的基础设施,各种网络设备本身的安全与可靠性以及这些设备上应用策略的安全都需要进行合理的配置才能够保证。
3、来自不同安全域的访问控制的风险:
网络结构越来越复杂,接入网络的用户也越来越多,必须能够在不同的网络区域之间采取一定的控制措施,有效控制不同的网络区域之间的网络通信,以此来控制网络元素间的互访能力,避免网络滥用,同时实现安全风险的有效的隔离,把安全风险隔离在相对比较独立以及比较小的网络区域。
4、网络攻击行为的检测和防范的风险:
基于网络协议的缺陷,尤其是TCP/IP协议的开放特性,带来了非常大的安全风险,常见的IP 地址窃取、IP 地址假冒,网络端口扫描以及危害非常大的拒绝服务攻击(DOS、DDOS)等,必须能够对这些攻击行为进行有效的深度防御。
5、网络数据传输的机密性和完整性的风险:
网络数据在传输的过程中,很可能被通过各种方式窃取,因此保证数据在传输的过程中机密性(保证数据传递的信息不被第三方获得),完整性(保证数据在传递过程中不被人修改)是非常重要的,尤其是在传递的信息的价值不断提高情况下。
(二)用户层
1、用户操作系统平台安全漏洞的风险:
大部分的网络攻击行为以及网络病毒的传播都是由于操作系统平台本身存在的安全漏洞,微软不断发布系统补丁即是明证,因此必须有效避免系统漏洞造成的安全风险,同时对操作系统的安全机制进行合理的配置。
2、用户主机遭受网络病毒攻击的风险:
网络给病毒的传播提供了很好的路径,网络病毒传播速度之快、危害之大是令人吃惊的,特别是流行的一些蠕虫病毒,更是防不胜防,因此必须建设全面的网络防病毒系统,层层设防,逐层把关,堵住病毒传播的各种可能途径。
3、针对用户主机网络攻击的安全风险:
目前Internet 上有各种完善的网络攻击工具,在局域网的环境下,这种攻击会更加有效,针对的目标会更加明确,据统计,有97%的攻击是来自内部的攻击,而且内部攻击成功的概率要远远高于来自于Internet 的攻击,造成的后果也严重的多。
4、用户网络访问行为有效控制的风险:
首先需要对用户接入网络的能力进行控制,同时需要更细粒度的访问控制,尤其是对Internet 资源的访问控制,比如应该能够控制内部用户访问Internet 的什么网站。在此基础之上,必须能够进行缜密的行为审计管理。
(三)业务层
1、服务器及数据存储系统的可用性风险:
业务系统的可靠性和可用性是网络安全的一个很重要特性,必须保证业务系统硬件平台(主要是大量的服务器)以及数据硬件平台(主要是存储系统)的可靠性。
2、操作系统和网络服务平台的安全风险:
通过对各种流行的网络攻击行为的分析,可以发现绝大多数的攻击是利用各种操作系统和一些网络服务平台存在的一些已公开的安全漏洞发起,因此,杜绝各种操作系统和网络服务平台的已公开的安全漏洞,可以在很大程度上防范系统攻击的发生。
3、用户身份认证及资源访问权限的控制:
由于网络中的各个应用系统上有很多信息是提供给不同权限用户查阅的,不同级别、不同部门、不同人员能够访问的资源都不一样,因此需要严格区分用户的身份,设置合理的访问权限,保证信息可以在被有效控制下共享。
4、用户对业务访问的有效的记录和审计:
业务系统必须能够对用户的各种访问行为进行详细的记录,以便进行事后查证。
三、中小银行信息安全体系建设的思路
金融系统的网络应用比较复杂,对安全的要求也很高,根据中小银行所面临的风险以及上述安全现状和需求,在信息安全体系建设过程中应该关注以下几个方面。
第一、进行网络安全区域设计
网络安全区域设计是网络安全建设的基础,其他的网络安全建设措施全部都是基于这个基本设计展开的。当然要根据银行的实际情况进行划分,例如根据呼和浩特市商业银行网络和应用的现状,可以进行如下安全区域的划分:
数据中心区:由呼和浩特市商业银行生产服务群构成,是呼和浩特市商业银行一切生产活动的基础。这个区域的安全性要求最高,对业务连续性要求也最高。要求不能随便进行任何可能影响业务的操作,包括为服务器打补丁,管理起来也最为复杂。
外联边界区:与外联单位进行中间业务服务器构成的安全区域。与外联单位一般采用专线连接,由于业务具有一定的保护手段,对业务连续性要求不如数据中心区。
外联服务区:开展对外服务的服务器所在的安全区域。由于直接与公网连接,同时又是比较敏感的金融业务,因此安全性要求非常高,对业务连续性要求也较高。同时也最容易遭受包括DoS/DDoS 攻击在内的来自互联网的威胁。
内网办公区:办公服务器所在的安全区域,主要用于内部OA系统等应用。对安全的要求较前面讲的各个安全区域低,业务持续性要求也相对较低。多采用Windows 服务器,比较容易遭受病毒等威胁的影响。
网络管理区:网管业务开展的区域,由网管类服务器和网管工作站构成。封闭性较强,这个区域的安全与否直接关系到网络的稳定运行,某些方面的要求可能还要高于内网办公区。
分支机构区:所有分支机构共同构成的安全区域,一般采用专线接入数据中心。对数据中心来说这个区域属于外网,一般是另外单独考虑这个区域内各个节点的安全。
第二、以安全为核心规划网络
现有网络大多是以连通性作为中心进行设计的,而很少考虑安全性。例如最典型的网络三层架构模型(核心层、汇聚层、接入层架构)中,网络是向核心层集中的而并没有考虑同一层不同节点之间的安全隔离问题。而在网络安全改造中首先需要改变的就是将以连通性为中心的设计思路转变为以安全为中心的设计思路。并按照以安全为核心的设计思路的要求对网络进行重新设计,这就好比要有好的网络贴身保镖。
第三、用防火墙隔离各安全区域
防火墙作为不同网络或网络安全域之间信息的出入口,能根据安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
第四、对关键路径进行深度检测防护
深度检测防御是为了检测计算机网络中违反安全策略行为。一般认为违反安全策略的行为有入侵和滥用,深度检测防御可以识别出任何不希望有的活动,从而限制这些活动,以保护系统的安全。深度检测防御的应用目的是在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。
第五、对终端进行安全访问控制
目前,针对病毒、蠕虫的防御体系还是以孤立的单点防御为主,并不能有效应对病毒和蠕虫的威胁,主要表现在被动防御、单点防御、分散管理。只有从用户的接入终端进行安全控制,才能够从源头上防御威胁,而分散管理的安全体系无法彻底解决病毒和操作系统漏洞带来的网络安全威胁,只有集中管理、强制终端用户执行,才能够起到统一策略、全局防范的效果。
第六、全网部署防病毒系统
在所有计算机安全威胁中,计算机病毒是最为严重的,它发生的频率高、损失大、潜伏性强、覆盖面广。由于Internet 技术及信息技术的普及和发展,病毒的传染速度越来越快。在银行内部的办公系统、协同系统的使用,使得病毒在银行内部的传染速度加快,各个员工在共享信息的同时,有可能共享病毒。因此全网部署防病毒系统就显得非常重要。
第七、根据实际需要部署其他安全系统
以上的安全系统部署基本可以涵盖一般性网络安全需求,但是很多特殊的应用也需要特别的应用保护系统。例如:移动办公VPN 系统、补丁管理系统、反垃圾邮件系统、漏洞扫描工具、网络流量监测与审计等等。
第八、建立科学的安全管理机制
前面七个方面是从技术手段上考虑的思路,而信息安全体系的建设必须管理、技术两手
抓。从管理方面考虑,首先要提高意识,时时刻刻具备防微杜渐的意识;其次要完善制度,“三份技术七分管理”,完善的信息安全管理制度是IT 系统安全的基础保证。由于自身的能力制约,中小银行可以考虑聘请第三方专家与银行相关人员组成联合小组,借鉴相关企业的管理经验,进行信息安全咨询服务,共同制定银行的信息安全管理制度;同时信息安全建设并不是一蹴而就建设完成的,是分步实施、循序渐进的过程,应该定期进行相关的安全评估,为不同阶段信息安全建设提供参考。
四、安全体系全员参与
目前金融机构已经从传统的资产负债经营转向风险经营,一个完善的金融机构必须构建一个覆盖业务各个维度的风险经营管理体系。从小的方面来说,可以是一个较为完整的安全体系。
对于小范围安全体系,在这里我们可以先看看巴塞尔Ⅱ协议,流动性风险、市场风险和操作风险,已经覆盖了金融机构运营的各个角度和维度。
对于信息风险(安全)我们可以从操作风险的角度来审视,由于目前IT应用已经涉及到金融的各个业务和办公领域,对于IT带来的风险管理已经是金融运营不可切割的一部分。所以,我们认为对于金融机构的风险管理体系(或安全体系)应该是一个从业务部门到技术部门都必须参与控制的过程。
不管从巴塞尔Ⅱ协议,还是我国商业银行风险指引都要求我国银行构建一个完整的风险管理体系。我们认为信息科技安全体系应该是一个从需求、设计、上线、运维到下线,一个全生命周期的风险(安全)管理体系,涉及与各环境相关的业务部门和科技部门。通常来说7分管理3分技术,在这里强调一下管理的重要性,我们认为管理不仅仅是人员、岗位、角色的管理,也包含着策略和流程。如下图所示:
故而我们建议对于金融信息科技风险管理(安全管理)体系的目标是围绕业务发展,紧密结合业务发展战略,利用科技手段构建风险防范平台,锻造精细风险管理能力,深化风险防范建设,为促进金融机构发展提供可靠保障。
围绕目标在金融机构的各个部门从方针政策、人员到策略、流程直至技术防控措施全方位、全视角构建风险管理体系(安全体系)。
随着技术的发展和业务的扩展,银行的核心业务系统和后台管理系统要进行不断的升级换代,在此基础上的安全防御系统也要调整配合。
五、从2个角度去看待这样的工作
1.全生命周期的配合
风险防控是对IT系统全生命周期的管理。不是单独的一个环节。由于业务发展需要,对银行IT系统不断更新和换代这是正常的。这样需要IT风险管理也是要动态、同步跟进系统建设。
2.PDCA,即使IT系统不进行更新和换代,由于漏洞的发现和黑客技术的更新,同样也需要风险管理的及时跟进。
所以说IT风险管理比IT系统更新换代更需要敏捷性。
对于一个良好的银行机构不仅需要IT风险管理的同步更新,同时也需要风险管控部门及时对风险拨备进行更新。
六、将新技术纳入风险防控体系
在这个竞争激烈的年代,银行必须通过不断的业务创新来发展自己的业务,那么对于现在不断发展的技术来说,是金融创新的辅助手段和工具,诸如:internet、3G、云计算、SOA 等技术,这些新技术的应用给银行机构带来了业务的增长,同时也带来了相应的风险。我们应该采取积极创取,谨慎对待的态度。
银行是一个经营风险的机构,积极进取、稳健经营是一个银行机构经营的宗旨。科技创新带动业务创新也是新一代金融机构发展的另外一个口号和宗旨。故而银行机构在采用新技术时会积极并且稳健。
对于银行来说,既要对新技术的出现采取积极的态度和精神去跟进,同时也要通过不同纬度去审视新技术带来的安全隐患和风险。
我们认为,任何一项技术的采用和使用都是因其业务发展的需要。机遇永远与风险并存,故此我们建议在采用一项新技术之前要进行严格的风险评议,并且有相应的流程去审议这些新技术的采用。对于任何新技术的采用可以建立完整的风险防控机制,并纳入到风险防控体系中。
七、亡羊补牢,未为晚也
中小型金融机构信息系统众多环节都存在漏洞,在建设过程中因为没有统筹考虑,对于系统安全建设部分中的硬件设施、软件设计模块缺乏,造成诸如审计、保密、数据传输中的完整性、数据正确性、对外来攻击的预防等安全措施弱化或缺失。
对于中、小金融系统来说,在其IT系统建设过程中如果没有进行统筹考虑,只考虑了业务功能性要求,对风险和安全控制没有进行安排和规划,会导致目前的运行中出现各类相应的隐患和问题。
信息科技风险,是一个动态的过程,并且对信息科技风险的识别、管理和控制这样的过程也是一个动态的过程。所谓“亡羊补牢,未为晚也,”对于信息科技风险管理是一个非常明智的选择。
2018年度大数据时代的互联网信息安全 1.我们经常从网站上下载文件、软件,为了确保系统安全,以下哪个处理措施最正确。(B )(单选题2分) A.直接打开或使用 B.先查杀病毒,再使用 C.习惯于下载完成自动安装 D.下载之后先做操作系统备份,如有异常恢复系统 2.使用微信时可能存在安全隐患的行为是?(A )(单选题2分) A.允许“回复陌生人自动添加为朋友” B.取消“允许陌生人查看10张照片”功能 C.设置微信独立帐号和密码,不共用其他帐号和密码 D.安装防病毒软件,从官方网站下载正版微信 3.日常上网过程中,下列选项,存在安全风险的行为是?(B )(单选题2分) A.将电脑开机密码设置成复杂的15位强密码 B.安装盗版的操作系统 C.在QQ聊天过程中不点击任何不明链接 D.避免在不同网站使用相同的用户名和口令 4.我国计算机信息系统实行(B )保护。(单选题2分) A.主任值班制 B.安全等级 C.责任制 D.专职人员资格 5.重要数据要及时进行(C ),以防出现意外情况导致数据丢失。(单选题2分) A.杀毒 B.加密 C.备份 D.格式化 6.小强接到电话,对方称他的快递没有及时领取,请联系XXXX电话,小强拨打该电话后提供自己的私人信息后,对方告知小强并没有快递。过了一个月之后,小强的多个账号都无法登录。在这个事件当中,请问小强最有可能遇到了什么情况?(B )(单选题2分) A.快递信息错误而已,小强网站账号丢失与快递这件事情无关 B.小强遭到了社会工程学诈骗,得到小强的信息从而反推出各种网站的账号密码 C.小强遭到了电话诈骗,想欺骗小强财产 D.小强的多个网站账号使用了弱口令,所以被盗。 7.没有自拍,也没有视频聊天,但电脑摄像头的灯总是亮着,这是什么原因(A )(单选题2分) A.可能中了木马,正在被黑客偷窥 B.电脑坏了 C.本来就该亮着 D.摄像头坏了 8.刘同学喜欢玩网络游戏。某天他正玩游戏,突然弹出一个窗口,提示:特大优惠!1元可购买10000元游戏币!点击链接后,在此网站输入银行卡账号和密码,网上支付后发现自己银行卡里的钱都没了。结合本实例,对发生问题的原因描述正确的是?(C )(单选题2分)A.电脑被植入木马
浅谈大数据时代的客户数据安全与隐私保护如何运用好“大数据”这把双刃剑 数据如同一把双刃剑,在带来便利的同时也带来了很多安全隐患。数据对于互联网服务提供者而言具备了更多的商业价值,但数据的分析与应用将愈加复杂,也更难以管理,个人隐私无处遁形。回顾2014年,全球各地用户信息安全事件频出: 2014年3月22日“携程网”出现安全支付日志漏洞,导致大规模用户信息如姓名、身份证号、银行卡类别、银行卡卡号、银行卡CVV等信息泄露。 2014年5月13日,小米论坛用户数据库泄露,涉及约800万使用小米手机、MIUI系统等小米产品的用户,泄露的数据中带有大量用户资料,可被用来访问“小米云服务”并获取更多的私密信息,甚至可通过同步获得通信录、短信、照片、定位、锁定手机及删除信息等。 2014年12月2日乌云漏洞平台公开了一个导致“智联招聘网”86万用户简历信息泄露的漏洞。黑客可通过该漏洞获取包含用户姓名、婚姻状况、出生日期、出生日期、户籍地址、身份证号、手机号等各种详细的信息。 2014年12月25日,12306网站用户数据信息发生大规模泄露。 2014年8月苹果“iCloud服务”被黑客攻破,造成数百家喻户晓的名人私密照片被盗。 …… 这些信息安全事件让人们开始感受到“数据”原来与我们的生活接触如此紧密,数据泄露可以对个人的生活质量造成极大的威胁。大数据时代,如何构建信
息安全体系,保护用户隐私,是企业未来发展过程中必须面对的问题。安全技术水平的提高、法律法规的完善、以及企业和个人用户正视数据的运用的意识缺一不可。 数据安全技术是保护数据安全的主要措施 在大数据的存储,传输环节对数据进行各种加密技术的处理,是解决信息泄露的主要措施。对关键数据进行加密后,即使数据被泄漏,数据的盗取者也无法从中获得任何有价值的信息。尽管对于大数据的加密动作可能会牺牲一部分系统性能,但是与不加密所面临的风险相比,运算性能的损失是值得的。这实际上是企业管理和风险管理间的协调,重要的是企业要有将信息安全放在第一位的理念。 目前数据加密保护技术主要包括:数据发布匿名保护、社交网络匿名保护、数据水印等几种。此外,除了对数据进行加密处理以外,也有许多可以运用在数据的使用过程,以及发生数据泄露之后的相关保护技术。这些技术可以有效地降低数据安全事故带来的损失。 1、数据发布匿名保护技术 数据发布匿名保护技术是对大数据中结构化数据实现隐私保护的核心关键与基本技术手段。能够很好地解决静态、一次发布的数据隐私保护问题。 2、社交网络匿名保护技术 社交网络匿名保护技术包括两部分:一是用户标识与属性的匿名,在数据发布时隐藏用户的标志与属性信息;二是用户间关系的匿名,在数据发布时隐藏用户之间的关系。 3、数据水印技术
新形势下我国金融行业的信息安全 --转自《赛迪智库报告》随着信息技术的广泛应用和电子商务的快速发展,金融服务模式正由传统的柜台服务模式向网上银行、第三方支付、P2P小额贷款、企业网络融资等新型服务模式扩展。这种扩展推动了金融业务与互联网的进一步融合,我国金融业信息化正经历向信息化金融的转变,信息化金融已逐渐成为我国金融业的发展方向。但与此同时,由于这种新型服务方式虚拟化、业务边界模糊化、经营环境开放化等特点,使得互联网上的金融业务面临网络攻击、病毒侵扰、非法窃取账户信息、客户信息泄漏等新的信息安全问题。 金融行业信息安全存在的问题 金融领域核心软硬件被国外垄断、金融行业服务外包高度依赖国外厂商、金融信息系统灾备和应急响应能力差、金融业务系统风险控制水平低等问题,严重威胁金融行业信息安全。 1.金融领域核心软硬件被国外垄断,严重威胁行业信息安全。 当前,包括金融、军工、能源、民航在内的很多涉及国计民生的领域越来越依赖信息网络系统,我国金融行业的网络基础设施、大型机、小型机、存储设备、芯片、数据库、操作系统、核心业务系统等几乎都被国外垄断,使得我国金融信息系统很容易被国外掌控,严重威胁我国金融行业信息安全。 2.金融行业服务外包高度依赖国外厂商,加大了风险控制难度。 目前金融行业服务外包高度依赖国外厂商。尤其是一些政策性银行、股份制银行和外资参股的中小金融机构,为节约成本、提高效率和规模、加快扩张速度,服务外包时高度依赖国外厂商。这种金融服务外包高度依赖国外厂商的状况,容易导致极大的信息安全风险。一是信息泄漏,在外包逐渐深化过程中,金融机构逐步将自己全部的关键信息提供给服务提供商去管理维护和开发,这些金融机构的敏感信息、核心技术就存在泄密的可能性,一旦被竞争对手或者不法分子获取,将产生严重后果。二是服务提供商在工作中越俎代庖,封闭执行全部工作,不向金融机构提供关键技术,服务提供商在系统中是否留有后门,金融机构不得而知,造成很大的信息安全隐患。三是随着金融企业信息技术平台交由国外厂商来管理,如骨干网络系统管理、业务系统运维和管理、业务系统开发与维护、数据备份及异地灾难恢复等,一旦发生问题,金融企业就处于被动地位,故障无法及时处理,风险难以得到控制,极易扩大问题的影响面而引发大的信息安全事件。 3.金融信息系统灾备建设与国外差距大,应急响应能力有待提高。
大数据对信息安全带来的技术和挑战 周恩来政府管理学院政治学与行政学宋梓林1312756 1.大数据时代 最早提出“大数据”时代已经到来的机构是全球知名咨询公司麦肯锡。麦肯锡在研究报告中指出,数据已经渗透到每一个行业和业务职能领域,逐渐成为重要的生产因素;而人们对于直面大数据对信息安全的挑战。 对于“大数据”(Big data)研究机构Gartner给出了这样的定义。“大数据”是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。大数据技术的战略意义不在于掌握庞大的数据信息,而在于对这些含有意义的数据进行专业化处理。换言之,如果把大数据比作一种产业,那么这种产业实现盈利的关键,在于提高对数据的“加工能力”,通过“加工”实现数据的“增值”。 从技术上看,大数据与云计算的关系就像一枚硬币的正反面一样密不可分。大数据必然无法用单台的计算机进行处理,必须采用分布式架构。它的特色在于对海量数据进行分布式数据挖掘(SaaS),但它必须依托云计算的分布式处理、分布式数据库(PaaS)和云存储、虚拟化技术(IaaS)。 大数据可分成大数据技术、大数据工程、大数据科学和大数据应用等领域。目前人们谈论最多的是大数据技术和大数据应用。工程和科学问题尚未被重视。大数据工程指大数据的规划建设运营管理的系统工程;大数据科学关注大数据网络发展和运营过程中发现和验证大数据的规律及其与自然和社会活动之间的关系。 物联网、云计算、移动互联网、车联网、手机、平板电脑、PC以及遍布地球各个角落的各种各样的传感器,无一不是数据来源或者承载的方式。有些例子包括网络日志,RFID,传感器网络,社会网络,社会数据(由于数据革命的社会),互联网文本和文件,互联网搜索索引,呼叫详细记录,天文学,大气科学,基因组学,生物地球化学,生物,和其他复杂或跨学科的科研,军事侦察,医疗记录,摄影档案馆,视频档案和大规模的电子商务。 随着云时代的来临,大数据(Big data)也吸引了越来越多的关注。《著云台》的分析师团队认为,大数据(Big data)通常用来形容一个公司创造的大量非结构化数据和半结构化数据,这些数据在下载到关系型数据库用于分析时会花费过多时间和金钱。大数据分析常和云计算联系到一起,因为实时的大型数据集分析需要像MapReduce一样的框架来向数十、数百或甚至数千的电脑分配工作。 大数据需要特殊的技术,以有效地处理大量的容忍经过时间内的数据。适用于大数据的技术,包括大规模并行处理(MPP)数据库、数据挖掘电网、分布式文件系统、分布式数据库、云计算平台、互联网和可扩展的存储系统。 2.大数据技术给信息安全带来的技术支持 信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。 信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。根据国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略。但是,对于不同的部门和行业来说,其对信息安全的要求和重点却是有区别的。 信息安全其根本目的就是使内部信息不受内部、外部、自然等因素的威胁。为保障信息
金融信息安全特点与现状分析 在现代金融行业里,网络有着广泛全面的应用,现代金融管理正朝着电子化、信息化、网络安全化的方向在发展,尤其是网络信息安全化发展的VPN技术在现代金融行业管理中起着越来越重要的作用。 摘要:本文阐述了金融系统的网络安全特点、现状和解决方案,重点阐述了VPN技术及其在现代金融管理系统中的实现与应用。 关键词:网络;VPN;金融;信息;安全 一、现代金融网络系统典型架构及其安全现状 就金融业目前的大部分网络应用而言,典型的省内网络结构一般是由一个总部(省级网络中心)和若干个地市分支机构、以及数量不等的合作伙伴和移动远程(拨号)用户所组成。除远程用户外,其余各地市分支机构均为规模不等的局域网络系统。其中省级局域网络是整个网络系统的核心,为金融机构中心服务所在地,同时也是该金融企业的省级网络管理中心。而各地市及合作伙伴之间的联接方式则多种多样,包括远程拨号、专线、Internet等。 从省级和地市金融机构的互联方式来看,可以分为以下三种模式:(1)移动用户和远程机构用户通过拨号访问网络,拨号访问本身又可分为通过电话网络拨入管理中心访问服务器和拨入网络服务提供商两种方式;(2)各地市远程金融分支机构局域网通过专线或公共网络与总部局域网络连接;(3)合作伙伴(客户、供应商)局域网通过专线或公共网络与总部局域网连接。 由于各类金融机构网络系统均有其特定的发展历史,其网络技术的运用也是传统技术和先进技术兼收并蓄。通常在金融机构的网络系统建设过程中,主要侧重于网络信息系统的稳定性并确保金融机构的正常生产营运。 就网络信息系统安全而言,目前金融机构的安全防范机制仍然是脆弱的,一般金融机构仅利用了一些常规的安全防护措施,这些措施包括利用操作系统、数据库系统自身的安全设施;购买并部署商用的防火墙和防病毒产品等。在应用程序的设计中,也仅考虑到了部分信息安全问题。应该说这在金融业务网络建设初期的客观环境下是可行的,也是客观条件限制下的必然。由于业务网络系统中大量采用不是专为安全系统设计的各种版本的商用基础软件,这些软件通常仅具备一些基本的安全功能,而且在安装时的缺省配置往往更多地照顾了使用的方便性而忽略了系统的安全性,如考虑不周很容易留下安全漏洞。 此外,金融机构在获得公共Internet信息服务的同时并不能可靠地获得安全保障,Internet服务提供商(ISP)采取的安全手段都是为了保护他们自身和他们核心服务的可靠性,而不是保护他们的客户不被攻击,他们对于你的安全问题的反应可能是提供建议,也可能是尽力帮助,或者只是关闭你的连接直到你恢复正常。因此,总的来说金融系统中的大部分网络系统远没有达到与金融
大数据时代数据分析与信息安全 目前,中国已进入大数据时代,科学的大数据管理对于我国实现网络强国目标具有重要意义。本文基于目前全球数据发展的推动作用,结合中国大数据时代的具体特点,分析、探讨大数据时代背景下的信息安全特点,并作简要讨论。 标签:大数据;信息安全;数据分析 大数据是社会科学技术发展和工业化的融合,目前随着全球化进程的加剧,数据信息的增加,其发展规模和速度都发生了巨大变化。全球化的大数据融合,必然会引起各国对信息安全的高度重视,尤其是与其他国家相连接和互动的国际信息。这些信息不仅会影响我国的外交、经济、军事、政治和文化,更会给我国的信息安全管理工作带来巨大挑战。本文通过分析大数据时代的发展趋势,着重探索其特点和安全要求。 一、大数据时代的发展趋势 近年来,相关业界和学术界提出了大数据的讨论,大数据时代已经到来。大数据给学术界带来了新的思路,且颠覆了很多传统的行业模式,并为之带来了新的发展变化。据预测,大数据将成为企业、政府、研究、教育、医疗和其他行业的新挑战。大数据的核心技术是对信息的存储和传输进行整理分析,要求做到数据实时处理、真实有效。相比于传统信息的挖掘和应用,大数据更具优势,打破了传统数据源的局限性,给全世界的商业模式带来了新的机遇和挑战,其潜在的价值也将带来新的市场空间。与此同时,无处不在的数据,也对信息安全提出了新的标准和要求。与大数据技术相关的产业链将迎来一个新的发展时期,美国在20世纪90年代就提出了“信息高速公路”项目和技术,此外,日本、英国、澳大利亚和其他国家都已出台了战略举措和相应的大数据技术。 大数据属于数据集,其特点是种类多、容量大、应用方便、存取方便、发展速度快,大数据的科学管理方法已成为新一代的重要信息技术。在大数据背景下逐渐形成的万物互联的发展趋势促进了全球经济的发展。国际经济新格局的发展趋于网络化、智能化,数据共享日益方便,因此互联网信息安全也进入大数据时代。发达国家相继出台与大数据相关的政策,使大数据成为经济发展和转型的新动力,并且给国家带来新的发展机遇。2014年中国正式提出行动数据大计划,将发展大数据作为未来发展的重要战略目标。在大数据时代,我国的信息安全管理工作也将迎来新的发展机遇和挑战,政府和各行业间的信息资源,将通过整合、共享、相互渗透,实现数据间的有效连接,由此将会带来信息安全保证的挑战,促使信息安全管理变得更加全面,使人们不得不树立新的信息安全管理意识。 二、数据分析现状及发展 大数据的价值不可估量,并且被誉为“未来石油”。企业通过海量的数据信息挖掘,从中发现商机、明确客户需求,从而准确锁定目标客户。大数据产业具有
金融行业 信息(内网)安全管理规定
ViaControl信息安全管理规定(参考) 第一章总则 第一条为了强化XX银行的信息安全管理,防范计算机信息技术风险,保障我行的电子文档安全,保障员工规范利用公司网络资源,保障网络及终端的软硬件资产安全,提高网络系统维护的响应能力和速度,保障公司计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,结合本公司的实际,特制定本规定。 第二条本规定所称信息安全管理,是指在XX银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条XX银行信息安全管理工作实行统一领导和分级管理。总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。 第四条XX银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。 第五条本规定适用于XX银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。所有使用XX银行网络或信息资源的其他外部机构和个人均应遵守本规定。 第六条信息安全管理制度辅助实施工具采用上海互普信息技术有限
公司生产的ViaControl威盾网络保安系统。 第七条任何单位和个人不得以任何理由逃避该安全制度的管理,不得利用联网计算机从事危害本地局域网服务器、工作站的活动,不得危害或侵入未授权的(包括CERNET或其它互联网在内的)服务器、工作站。不得从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息网络系统的全面安全。 第八条ViaControl控制台权限划分:
金融行业信息安全解决方案
目录 一、行业方案概述 (3) 二、功能需求分析 (4) 三、相应实施方案 (5) 四、综合价值体现 (6) 五、行业成功案例 (6)
一、行业方案概述 金融业是指经营金融商品的特殊行业,它包括银行业、保险业、信托业、证券业和租赁业。金融业具有指标性、垄断性、高风险性、效益依赖性和高负债经营性的特点。指标性是指金融的指标数据从各个角度反映了国民经济的整体和个体状况,金融业是国民经济发展的晴雨表。垄断性一方面是指金融业是政府严格控制的行业,未经中央银行审批,任何单位和个人都不允许随意开设金融机构;另一方面是指具体金融业务的相对垄断性,信贷业务主要集中在四大商业银行,证券业务主要集中在国泰、华夏、南方等全国性证券公司,保险业务主要集中在人保、平保和太保。高风险性是指金融业是巨额资金的集散中心,涉及国民经济各部门。单位和个人,其任何经营决策的失误都可能导致“多米诺骨牌效应”。效益依赖性是指金融效益取决于国民经济总体效益,受政策影响很大。高负债经营性是相对于一般工商企业而言,其自有资金比率较低。金融业在国民经济中处于牵一发而动全身的地位,关系到经济发展和社会稳定,具有优化资金配置和调节、反映、监督经济的作用。金融业的独特地位和固有特点,使得各国政府都非常重视本国金融业的发展。我国对此有一个认识和发展过程。过去我国金融业发展既缓慢又不规范,经过十几年改革,金融业以空前未有的速度和规模在成长。随着经济的稳步增长和经济、金融体制改革的深入,金融业有着美好的发展前景。 金融基础设施的现代化水平明显提高。中国现代化支付系统建设取得了突破性进展,基本建立了覆盖广泛、功能齐全的跨市场、跨境支付结算体系,人民币在香港和澳门实现清算安排。以网络为基础的电子资金交易系统不断完善,实现了银行间债券市场券款对付(DVP)清算,为投资者提供了安全、高效、便捷的资金交易和清算服务。中央银行建立和完善了一系列的金融监控信息系统,支付清算、账户管理、征信管理、国库管理、货币金银管理、反洗钱监测分析、金融统计监测管理信息等和办公政务实现了信息化。商业银行的综合业务处理、资金汇兑、银行卡服务等基本实
金融业信息安全事件的防范 1信息安全事件的发生和分析 随着金融业务系统的日益复杂化,安全隐患也散布于各点,科技部门 也无法准确预测到问题会出现在什么地方,任何一个错误操作都可能 造成整个系统的瘫痪,这对科技部门操作流程的规范性提出了更高的 要求。2012年10月,某金融机构操作人员因为误操作将业务系统的交易日志文件关闭,导致系统不能正常运行;2012年11月,某金融机构维护人员错误操作,导致生产和备份系统重要系统文件丢失,造成服 务器宕机,导致重要业务系统无法正常启动。错误操作的发生源于操 作人员的粗心,但关键是因为操作流程不规范,对重要操作缺乏切实 有效的监管措施。(1)信息安全管理未贯穿于信息系统的全生命周期。部分机构忽视信息系统全生命周期的安全管理,在业务系统开发部署 上线时,未配套进行安全体系的设计和建设,或流于形式,不对方案 进行充分地测试。2012年3月,某机构生产线路发生中断,但因为技 术方案问题未能顺利切换到备份线路,导致业务发生中断;2012年11月,某机构因为未发现备份系统早已出现问题,在生产系统出现问题时,主备切换失败,导致业务中断。系统的安全体系流于形式,备份 系统测试不充分,或疏于监控维护,都可能导致安全事件的发生。(2)优先恢复业务的意识不足,应急处置能力有待提升。绝大多数金融机 构都制定了信息系统应急预案,并定期演练。但部分金融机构存有着 应急预案与实际不符,可操作性不强,对部分情况无明确处置方法的 情况,并且部分科技人员对应急预案不够熟悉,不清楚启动预案的条 件和流程,不能迅速的处置解决问题。2012年7月,某机构因为设备 故障导致业务处理速度缓慢,但因为该设备上承载了多项重要业务, 原有应急预案未充分考虑实际情况,科技部门未能按照预案执行,导 致事件处理时间延后,影响扩大。该事件的发生一方面是因为系统建 设时未充分考虑信息安全因素,不符合核心系统专机专用的安全思路,另一方面就是因为应急预案与实际不符合,可操作性不强,导致了事 件影响扩大。综合来看,银行业金融机构在信息安全方面特别是安全
【背景链接】 随着全球范围内大数据产业的全面推进,公民隐私及个人信息保护问题也日益凸显,传统个人信息保护框架在大数据时代遭遇严峻冲击,如何寻求个人信息的合理及有效保护成为各国普遍面临的难题。 一段时间以来,个人信息安全备受关注。数据显示,截至2015年底,中国网民规模达到6.88亿,在网活跃智能设备数量接近9亿。伴随移动互联网应用向经济社会生活方方面面的渗透,海量的个人身份信息、生活信息、金融信息乃至生物信息,都会散布于无处不在的网络之中。根据中国互联网协会发布的《中国网民权益保护调查报告(2015)》,63.4%的网民通话记录、网上购物记录等网上活动信息遭泄露;78.2%的网民个人身份信息曾被泄露,包括姓名、家庭住址、身份证号及工作单位等。 尽管舆论对于相关问题的关注度不断加大,互联网用户个人信息保护意识也有所增强,但个人防范始终跟不上技术演进,正如央视315晚会曝光的那样,用户在公共场合连接一个wifi都面临个人信息被窃取的风险。 刚出生的婴儿躺在保育箱内,旁边的贴纸上,“姓名”、“年龄”、“诊断病情”、“入院日期”等信息一览无余。2016年7月,安徽大量新生儿的住院视频,出现在了一家商业视频网站上,引发网络热议。(7月12日《新京报》) 【综合分析】 [泄露原因] 一是在市场需求和利益驱动下,一些不法分子打起了获取、兜售公民个人信息的歪主意。 二是一些网络、电话销售、保险、贷款等公司的从业人员,把自己掌握的“个人信息资源”,卖给了不法分子。 三是个人在浏览、登录网站,点击中奖信息、随便安装来路不明的软件等,不慎泄露了自己的信息。 [大数据时代个人信息保护的新挑战] 大数据时代,个人信息保护面临前所未有的新挑战。 首先,随着移动互联网的普及和智能穿戴等物联网设备的应用,个人信息的收集日益密集和隐蔽. 第二,多重来源的个人信息进行比对累积,能够形成完整的个人画像和实时追踪,使人们无处遁形. 第三,大数据技术能通过特定算法从既有信息中挖掘出新结论,不仅增加敏感信息暴露的风险,还可能用于影响个人权益的决策,如评估个人信用状况等.
大数据时代面临的信息安全问题分析 王小君 (深圳信息职业技术学院,广东深圳518172) 摘要:互联网的普及以及相关科技的发展进步,各类信息在便捷快速的环境下交换,进而形成极为复杂的信息网。在大数据时代,信息被有效利用的同时,也产生了信息安全问题。原有的信息安全保护机制已经不能满足大数据时代技术更新换代的要求,人们的生活生产活动的信息安全受到一定的威胁和挑战。为此,文章就大数据时代面临的信息安全问题进行了探讨,并提出了几点看法和建议。 关键词:大数据;信息安全;互联网 中图分类号:TP309文献标识码:A文章编号:1673-1131(2016)10-0161-02 0引言 互联网的普及以及各种科技产品的推陈出新,数据、信息呈现每天爆发增长的趋势,而数据、信息的爆发似乎已经成为人们生活生产的活动中习以为常的事情。人们通过手机、电脑等各种终端和客户端享受着信息交换带来的好处,最为显著的好处就是带来了巨大的经济效益。通过手机、电脑等产生的网络传输、互动网络社交等都在产生大量的数据,依据相关统计,光是中国产生的数据信息在2013年已经超过了0.8ZB(相当于8亿TB),并且预计到2020年中国产生的数据总流量达到2013年数据量的10倍以上,超过8.5ZB[1]。 在大数据时代,数据包含了四大特征:数据量大、类型繁多、价值密度低、速度快实效高。当前,社会数据得到广泛的应用,通过手机或电脑等网络相关设备,随时都可以看到网络日志、音频、视频、图片等[2]。而当数据信息量达到一定的规模和程度,数据管理和处理的难度加大,数据信息安全也存在一定的风险。信息安全风险包括个人信息、企业信息以及国家信息的泄露风险,因此在大数据时代做好数据信息的管理与安全防范非常重要。1大数据时代信息安全面临的问题 在大数据时代,信息量庞大,在利用和交换信息的过程中还应当重视保护信息安全。信息传输与交换也日益频繁,大数据时代面临的信息安全问题也日益凸显。 1.1隐私泄漏问题 在人们的日常生活生产当中,涉及到的信息多种多样,包括自己的相关信息也包括别人的信息。总而言之,日常生活生产使用信息是不可避免的。在大数据时代背景下,信息能够更加快捷方便地交换传输,提高人们生活工作的效率[3]。但大量的数据信息汇集,用户的信息隐私等泄漏的风险也在加大。例如,用户通过微信、QQ、微博等社交平台晒自己的生活日常,以及网上购物,收发邮件等都会涉及到个人信息以及个人隐私,如手机号码、姓名、住址、照片等等,这些信息不仅会被他人的掌握,也被网络运营商掌握。通过我们的网上足迹,可以查到我们的很多的信息和隐私。以网上购物为例,新浪微博和阿里巴巴公司合作后,淘宝用户浏览的相关商品以及购物的习惯等会被记录下来,当与之关联的账户登录新浪微博时,数据库会经过特定算法推算后,精确地推荐该用户应该感兴趣的商品信息[4]。网络服务渐趋“人性化”,但与此同时也 监控系统的安装场所一般较为嘈杂,共现矩阵的抗干扰性强,再加上纹理不变的特征,通过共现矩阵来提取关键帧的特征值,能够保证特征值的准确性。例如,在银行营业厅,客户在ATM机办理取款业务,由于营业厅人员众多,环境混乱,通过监控系统采集客户的面貌特征,并通过建立共现矩阵来提取其中的关键帧特征值,能够保存取款人的准确信息,以便出现问题提供有效取证。 在消费者办理IC卡时,一般通过设置密码、输入指纹、确定身份证号等方式进行一一匹配。而密码、指纹和身份证号均是能够准确确认客户的唯一性信息,也属于免疫系统特征值的一种。在现实生活中,如果消费者在进入楼宇门厅时,大部分都需要输入密码,或者按压指纹,只有信息正确,也就是免疫系统特征值与数据库中信息能够吻合,才能够顺利打开门厅,进入楼内,大大提高了门禁系统的安全性。 3结语 本文以视频监控系统在IC卡消费中的应用为研究对象,对IC卡消费过程中,监控系统如何传输图像和信息数据,对大量数据进行分类存储,并根据其中特定唯一的特征值,与视频信息进行匹配,使得客户在搜索查询视频信息时,能够快速准确地得到有效信息。另一方面,通过监控视频系统的技术提高,也增强了IC卡消费时的安全性,为使用IC卡消费人群的进一步扩大提供了技术保障。 参考文献: [1]刘俊,谭建军,邵长高.基于Flex的WebGIS框架设计与实 现[J].计算机工程,2010,36(10):242-244. [2]汪林林,胡德华,王佐成,等.基于Flex的RIAWebGIS研究 与实现[J].计算机应用,2008,28(12):3257-3260. [3]尤亮.基于流媒体技术的在线视频教学系统的设计与实现 [D].厦门:厦门大学,2008. [4]章毓晋基于内容的视觉信息检索[M].北京:科学出版社, 2003. [5]付信际,杨汝良,岳海霞.一种新的灰度共现矩阵特征提取 算法[J].测试技术学报,2005,19(3):310-314. [6]严柏军,郑链,王克勇.基于亮度差和纹理的货车类型的识 别[J].计算机工程,2003,29(1):41-42+78. [7]徐春鸽.人工免疫系统研究及其在数据聚类中的应用[D]. 广州:华南师范大学,2007. [8]刘韬,王耀才,王致杰.一种基于人工免疫系统的聚类算法 [J].计算机工程与应用,2004,40(19) :182-184. 161
大数据时代下的信息安全 来到信息工程大学后,我接触到了许多信息安全与网络空间安全的知识,在这一学期选报的信息安全创新实践后,我对信息安全的重要性的理解越来越深入,也对信息安全相关内容产生了浓厚的兴趣,基于我所学的大数据专业,结合自己近一年来所学的零碎内容,结合网上和图书馆中的文献资料,谈谈我的理解。 大数据时代已经到来 物联网、云计算、移动互联网等新技术的发展,使得手机、平板电脑、PC及遍布地球各个角落的传感器,成为数据来源和承载方式。据估计,互联网上的数据量每两年会翻一番,到2013年,互联网上的数据量将达到每年667EB(1EB=230GB)。这些数据绝大多数是“非结构化数据”,通常不能为传统的数据库所用,但这些庞大的数据“宝藏”将成为“未来的新石油”。 1.大数据具有四个典型特征 大数据(Big Data)是指“无法用现有的软件工具提取、存储、搜索、共享、分析和处理的海量的、复杂的数据集合”。业界通常用四个V来概括大数据的特征。 ——数据体量巨大(Volume)。到目前为止,人类生产的所有印刷材料的数据量是200PB(1PB=210TB),而历史上全人类说过的所
有的话的数据量大约5EB(1EB=210PB)。当前,典型个人计算机硬盘的容量为TB量级,而一些大企业的数据量已经接近EB量级。 ——数据类型繁多(Variety)。这种类型的多样性也让数据被分为结构化数据和非结构化数据。相对于以往便于存储的以文本为主的结构化数据,非结构化数据越来越多,包括网络日志、音频、视频、图片、地理位置信息等,这些多类型的数据对数据的处理能力提出了更高要求。 ——价值密度低(Value)。价值密度的高低与数据总量的大小成反比。以视频为例,一部1小时的视频,在连续不间断的监控中,有用数据可能仅有一两秒。如何通过强大的机器算法更迅速地完成数据的价值“提纯”,成为目前大数据背景下亟待解决的难题。 ——处理速度快(Velocity)。这是大数据区分于传统数据挖掘的最显著特征。根据IDC的“数字宇宙”报告,预计到2020年,全球数据使用量将达到35.2ZB(1ZB=210EB)。在如此海量的数据面前,处理数据的效率就是企业的生命。 2.大数据成为国家和企业的核心资产 2012年瑞士达沃斯论坛上发布的《大数据大影响》报告称,数据已成为一种新的经济资产类别,就像货币或黄金一样。奥巴马政
金融行业的信息安全技术体系浅析 【摘要】互联网正在影响着人们的生活,信息安全成为个人和企业的头等大事,为了防止不法分子通过各种手段侵害用户权益,信息安全技术已成为金融行业中最重要部分。本文主要阐述了信息安全的重要性,介绍了金融行业采用的常见信息安全技术,并针对存在的安全风险和解决措施展开了探讨。 【关键词】金融;信息安全技术;计算机;风险 金融行业的信息安全技术体系是否完善,关系到金融行业的发展。随着科技的不断进步和经济水平的发展,人们的消费习惯也在逐渐变化,如网上购物,网上汇款等。基于互联网的网上银行则充分满足了用户的需求,由此可见,信息安全技术对于用户和金融行业而言是至关重要的。 一、信息安全的重要性 互联网正在影响着人们的生活,人们对于网络的依赖性与日俱增。同时,信息安全也成为个人和企业的头等大事。一旦信息安全技术不到位,给个人、企业甚至国家造成的损失可能是无法估量的。各行各业都要重视信息安全,尤其是金融行业的信息安全技术体系需要不断完善,确保用户的信息资源的安全性,避免不法分子利用用户的信息去做违法犯
罪的事情,损害用户的权益。 如今,计算机所承载的内容和任务越来越繁重,不管是个人还是集体,许多重要的工作都要由计算机来完成。信息在处理的过程中存在极大的安全隐患,许多不法分子常常通过各种高科技手段窃取或篡改信息。因此,信息安全技术体系一定要不断完善,使保密措施更加多元化。 二、金融行业采用的信息安全技术有哪些 1.身份识别 在信息安全系统中,身份识别是最基本的安全功能,通过身份验证的用户才能进一步申请系统的相关服务。静态密码已不能满足更高的需求,动态口令、数字证书等一系列身份认证方式成为信息安全技术不断向前发展的标志。 2.存取权限控制 信息安全技术已经从最初的防守变成主动出击,主要针对不法分子。为确保用户信息和资源的安全,控制存取权限,谨防不法分子别有居心对用户资源进行使用,维护用户的合法权益。 3.数字签名 数字签名,也可称作公钥数字签名,用于辨别和验证签署人的身份。若要伪造可谓难上加难,数字签名可作为信息真实有效的证明。 4.数据完整性保护
金融业个人信息安全事件分析与应对 摘要:本文针对当前发生的个人信息泄露事件,从金融安全的角度分析个人信息保护方面的现状,提出银行类金融企业应对信息安全的策略与个人信息安全保护建设的解决方案。 关键词:个人信息、隐私保护、安全方案 上篇:个人信息泄露安全事件分析 在信息安全领域中,个人信息的安全保护是一个关系到个人、企业、国家各方利益的综合性问题,个人信息泄露事件已经在社会上产生了巨大的影响,因此在国家、行业和企业层面加强对个人信息的保护势在必行,分析这些个人信息安全事件,可以为我们进一步的进行保护提供良好的基础。以下几部分总结近期个人信息泄露的事件,深入分析事件对我们进行安全保护的启示。 1、个人信息大规模泄露社会影响巨大 个人信息泄密事件已经引起了巨大的社会影响,从2011年底披露在媒体上的各种信息来看泄露事件被集中的揭露出来,而且至今还在不断的发展过程中,关于这个事件综合各方媒体的报道,我们可以大致梳理一下发生发展的脉络如下: 2011年网站“泄密”事件 12月21日知名程序员网站CSDN的一份用户数据库由于未查明原因被曝光,包含超过600万个注册邮箱账号和对应明文密码。 12月22日网友爆料游戏网站多玩网有800万用户资料被泄露。同日,网上还流传着疑似人人网、猫扑、7K7K等多个网站的用户信息库。 12月25日天涯社区4000万用户账号和密码被泄露,天涯表示“天涯社区早期使用过明文密码,此次被盗的数据为2009年之前的备份数据”。 12月27日京东商城在某些业务上存在用户权限控制不当的漏洞,导致用任意用户登录后都可以访问到所有用户的姓名、地址、电话、Email等。
大数据时代下信息安全的特点与现状 大数据时代悄然而至,社会经济、军事、民生等都随之发生了转变,带来高效便捷的同时,海量的数据信息使得计算机网络信息安全受到冲击,整个计算机网络系统面临威胁。本文从大数据时代和信息安全的概念引入,分析其特点并描述发展现状,总结大数据时代下信息安全相关问题,希望对计算机网络健康发展有所裨益。 标签:大数据时代;信息安全;计算机网络;特点;现状; 计算机网络技术处于飞速发展阶段,新技术层出不穷的改变着我们的日常学习和生活,而事物的两面性又警告我们在舒适便利的同时,关注其带来的漏洞,其中计算机网络信息安全最为瞩目,由数据泄露带来的犯罪案例逐年递增,严重制约了大数据时代下计算机网络的安全发展。 1 大数据时代与信息安全 大数据即海量的数据信息集合,具有多元化、更新快、成本低等特点,随着计算机网络技术发展,大数据的概念被广为人知,也被运用于各个领域中,企业、高校、政府等都通过大数据便利自身,人与人之间的交流更为紧密,迎来了高科技时代的加速发展。 信息安全是随之而来的重要概念,其涵盖了信息的保密、真实、完整、安全等内容[1],了解并采取一些手段保证信息安全,有助于减少网络犯罪,维护个人和企业利益,保障网络信息服务通畅运行、安全可靠。其安全体系包括安全操作系统、安全协议等,建立以密码论为基础的计算机安全领域,维护公共利益和网络安全。 2 大数据时代下信息安全的特点 现代化社会使得人类面临的风险增多,且具有整体性、全球性和自反性,难以感知和明确,而这也会对大数据时代下信息安全造成众多影响,使其呈现出各种各样的特点,从性质、时间、空间、内容、形态等方面总结如下: 第一,规模安全。大数据时代使得整个世界的关联性增加,其数据来源具有全方位和立体化的特点,携各个领域融入多样化载体平台,据预测,至2020年,500亿台设备通过互联网建立沟通联系[2],云端平台和数据中心所涵盖数据已无法计算,带来的风险和危害程度无法预测,个人信息泄露和黑客攻击窃取信息的案例层出不穷,所造成的危害和涵盖的面积规模越来越大。 第二,泛在安全。安全信息在传播中具有即时性,网络空间的治理模式也将改变,由静态管理转为动态治理,需要无所不在的泛在安全以满足信息的多样化、灵活性和移动性的特征。
龙源期刊网 https://www.doczj.com/doc/6d14884101.html, 金融行业计算机信息系统安全问题分析及风险防范 作者:王常华 来源:《时代金融》2019年第35期 摘要:在崭新的信息化互联网时代,金融行业已经成为国家经济发展的支柱性产业。而与此同时,金融行业也积极联动计算机行业,希望构建金融行业计算机信息系统,体现大数据时代新技术优势。当然,金融行业在构建计算机信息系统过程中也必须思考复杂网络环境背景下所带来的各种系统安全问题。本文从技术层面探讨了金融行业计算机信息系统的诸多安全问题,并提出了相关风险防范措施。 关键词:金融行业计算机信息系统安全问题风险防范措施 金融行业计算机信息系统构建的关键在于渗透应用信息共享机制,借由计算机信息系统本身的开放性与安全性相互矛盾,深入分析存在于系统中的软件设计漏洞与硬件脆弱性问题,同时充分体现金融行业计算机信息系统安全防范工作的重要性。 一、金融行业构建计算机信息系统的基本内涵与特征 金融行业构建计算机信息系统所追求的就是网络金融平台构建,希望通过计算机互联网平台开展一系列的金融行业业务,并借此提高行业业务服务质量与效率。相比于传统金融产业,网络金融系统平台构更加追求网络虚拟化发展内涵,因为网络金融主要通过互联网实现各项业务流程的优化,所以从某种层面讲其虚拟化程度越高,金融行业企业业务项目运作的空间就越大。 再次,金融企业构建计算机信息系统的覆盖面较广。网络平台构建在最大限度上避免了传统金融企业所存在的业务服务盲区,提高了金融资源配置应用的合理合规性,为更好服务客户奠定良好基础。 二、金融行业计算机信息系统的安全问题分析 存在于金融行业计算机信息系统中的安全问题主要围绕动态防护等等方面展开,因为伴随当前社会上高科技手段的不断丰富,入侵金融行业计算机信息系统的病毒及黑客危险因素也越来越多,它导致系统漏洞百出,因此必须考虑其系统安全问题,实现安全防护产品统一优化调整,保证金融系统动态安全防护问题被有效解决。具体来讲,本文认为目前存在于金融行业计算机信息系统中的安全问题包括以下几点:
金融行业解决方案 行业背景 金融行业按照客户类型划分可分为国有商业银行(政策性商业银行)、股份制商业银行(大型股份制商业银行、城市商业银行、农村信用社等)、证券、基金、期货、保险等,近年来为加强金融行业信息科技风险管理,各行业监管机构相继出台了针对信息科技安全的相关政策法规,如《商业银行信息科技风险管理指引》、《证券公司网上证券信息系统技术指引》、《期货公司信息技术管理指引》和《保险公司信息化管理工作指引》,可以看出目前各个金融行业客户对信息安全建设十分重视,纷纷加大信息科技管理方面的投入力度。 行业现状 金融行业客户出于信息业务安全和维护等多方面考虑,一般都会自己搭建数据中心,因此随着银行、证券行业业务量火热发展,信息安全风险也随之增大,业务访问效率同时也变成了网络和应用管理员最头疼的话题。 商业银行客户的业务系统一般包括核心应用系统、网上银行系统、办公系统、监控系统、认证系统等;证券基金客户的业务系统包括网上交易查询系统、银行结算系统、办公系统和门户网站等;保险行业客户业务系统包括CRM系统、核心业务系统、保单管理系统、财务系统等。各类不同的行业客户在信息系统建设和使用过程中都会遇到诸如物理层、网络架构、终端和操作系统、应用系统、核心业务数据等多方面的安全和优化问题,因此我们的方案主要针对以上各个方面。 建议网络架构
下载后可见 移动办公接入(SSLVPN网关): 客户为加强远程办公终端的安全性和易用性,采用SSLVPN的接入方式,利用对客户端安全检查、灵活定制访问策略和权限的技术手段,满足移动办公用户接入数据中心简单方便。 服务器负载均衡、应用优化(本地流量管理器): 由于网上交易系统都采用SSL 加密的方式,对于如何卸载服务器在处理SSL 加解密方面的压力,在不影响服务器性能的前提下,对数据进行加解密就变成了一个重要的话题,使用本地流量管理器,把大量用户的请求平均分发到多台服务器上面,同时能够对数据进行SSL 加速,卸载服务器处理SSL 加解密的压力。在站点之内,负载均衡产品能够同时对Web 前置服务器、应用服务器、数据库服务器、缓存服务器等多种服务器进行负载均衡。 各类应用安全防护(WEB防火墙、数据库安全审计、动态口令认证系统): 客户在数据中心的建设过程中最重要的就是核心业务系统,它包含了至关重要的应用系统服务器和核心数据,在核心业务系统中一般采用三层部署的标准架构,Web服务器、应用服务器、数据库,因此各类服务器的安全防护是客户最关心的重点,建议采用Web防火墙对Web服务器进行安全保护,避免针对服务器应用层和源代码攻击的风险,采用数据库安全审计平台对各类数据库操作,数据表调用和修