第一篇:互联网金融十大信息安全风险与最佳安全实践
互联网金融十大信息安全风险与最佳安全实践
(中国电子商务研究中心讯)据中国互联网信息中心发布《第35次中国互联网络发展状况统计报告》的显示,2014年中国网民规模6.49亿,手机网民5.57亿。其中使用网上支付的用户规模达3.04亿,手机支付用户规模达到2.17亿,2014年也被认为是中国互联网金融元年。作为一项金融创新,随着大家对互联网金融关注的提升和其本身规模的不断壮大,互联网金融发展形成了第三方支付、P2P网贷、大数据金融、众筹、信息化金融机构、互联网金融门户等多种模式。据媒体报道称,中国的互联网金融市场规模已是世界第一。与此同时,国内的网络安全技术平台、安全防护机制尚不成熟,互联网金融各方参与者对于数据安全、客户信息安全的风险防患意识较弱的问题应受到更多的认识与关注。
十大信息安全风险
互联网金融中金融信息的风险和安全问题,主要来自互联网金融黑客频繁侵袭、系统漏洞、病毒木马攻击、用户信息泄露、用户安全意识薄弱,不良虚假金融信息的传播、移动金融威胁逐渐显露等十个方面。
1、有组织有目的性的金融网络犯罪集团兴起
攻击者由过去的单兵作战,无目的的攻击转为以经济利益为目的的、具有针对性的集团化攻击。从敏感信息的收集与贩卖,到伪卡制卡,甚至网银木马的量身定制,在网络上都能找到相应的服务提供商,并且形成完整的以金融网络犯罪分子为中心的“传、取、销”的经济产业链。
2、DDoS攻击
屏蔽此推广内容DDoS攻击是目前最有效的一种网络恶意攻击形式,近期的个案显示不同规模的银行正面临不同形式的DDoS攻击,这包括传统SYN攻击、DNS泛洪攻击、DNS放大攻击,以及针对应用层和内容更加难以防御的应用层DDOS攻击。
3、互联网业务支撑系统自身安全漏洞
当今的互联网,病毒、蠕虫、僵尸网络、间谍软件、DDoS犹如洪水般泛滥,所有的这一切都或多或少地从互联网业务支撑系统漏洞走过。如Apache Struts 2远程代码执行漏洞,漏洞的爆发直接导致国内的多家银行遭受恶意攻击。
4、病毒木马
目前针对网上银行的木马程序、密码嗅探程序等病毒不断翻新,通过盗取客户资料,直接威胁网银安全,用户如果未对其计算机安装相应的木马查杀软件,就非常容易被感染。
5、信息泄露
在互联网环境下,交易信息通过网络传输,一些交易平台并没有在“传输、存储、使用、销毁”等环节建立保护敏感信息的完整机制,大大加剧了信息泄露风险。
6、网络钓鱼
虽然金融机构对钓鱼网站带来的金融信息危害极其重视,但大量钓鱼网站都建立在海外的网络空间,因而加大了安全监管的难度。
7、移动威胁
移动金融信息风险,主要由于移动应用软件的信息安全隐患和用户的防范意识薄弱,给用户造成了严重的经济损失,同时也为移动金融的发展造成阻碍。
8、APT攻击
由于其利益驱动特性,与交易和金钱直接相关的金融行业,成为了黑客进攻“首选”,沦为APT攻击重灾区。
9、外包风险
由于其利益驱动特性,与交易和金钱直接相关的金融行业,成为了黑客进攻“首选”,沦为APT攻击重灾区。
10、内控风险
互联网金融服务内控风险通常与不适当的操作和内部控制程序、信息系统失败和人工失误密切相关,该风险可能在内部控制和信息系统存在缺陷时导致不可预期的损失。
十大信息安全最佳实践
基于互联网技术发展起来的互联网金融,其信息安全技术还有待关注与加强。传统的信息安全防护体系已经难以提供可靠的安全防护,特别是针对APT攻击、零天型漏洞攻击或者是来自企业内部的网络攻击,当前的互联网金融系统信息安全保障体系无法提供足够的保护能力。因此,安恒信息结合行业观察以及相关实践,建议互联网金融企业进行以下安全建设,以长期保证金融系统的信息安全。
1、制定行业标准
重点防范互联网金融可能出现的系统性风险,而且要坚持线上线下一致性的原则,要注重法律法规的有效衔接,不断地完善相关的监管制度。同时政府应该有一个统一的分类,并按类别制定互联网金融信息安全行业标准,指导各企业进行相应的信息安全建设和安全运维管理,提高互联网金融企业的安全准入门槛。
2、加大信息安全投入
互联网金融企业应加大对信息安全技术的投资力度,应结合安全开发、安全产品、安全评估、安全管理等多个方面,从整个信息系统生命周期(ESLC)的角度来实现互联网金融长期有效的安全保障。对于已经在线的生产系统,当务之急则是采用防火墙、数据库审计、数据容灾等多种手段提升对用户和数据的安全保障能力。
3、增强APT防护能力
加入APT防护控制手段,加固环境,考虑双因素认证、网络限制、反垃圾邮件过滤、WEB过滤等高级限制方式。
4、加强信息系统的审计与风险控制
对越来越庞大的金融信息系统部署运维审计与风险控制系统通过账号管理、身份认证、自动改密、资源授权、实时阻断、同步监控、审计回放、自动化运维、流程管理等功能增强金融信息系统运维管理的安全性。
5、采用自主可控的产品和技术
以防范阻止、检测发现、应急处置、审计追踪、集中管控等为目的,研究适合自身信息系统特点的安全保护策略和机制;开展安全审计、强制访问控制、系统结构化、多级系统安全互联访问控制、产品符合性检验等相关技术;研发用于保护重点信息系统的安全计算环境、安全区域边界、安全通信网络和安全管理中心的核心技术产品;研发自主可控的计算环境、操作系统、中间件、数据库等基础产品,实现对国外软硬件的替代;建设模拟仿真测试环境,通过可靠的测试技术和测试工具实现对信息系统的安全检测,确保降低信息系统使用过程中发生的安全事件。
6、突出保护重点系统
对需要保护的信息资产进行详细梳理,以整体利益为出发点,确定出重要的信息资产或系统,然后将有限的资源投入到对于这些重要信息资源的保护当中。
7、核心安全建设由可信队伍建设
对我国的金融信息系统进行核心安全建设和保障的机构,应具备专业信息安全服务能力及应急响应能力获得权威认证的、具有一定规模、具备专业扫描检测与渗透测试产品的安全服务团队。
8、基于大数据与云计算的解决方案
以信息安全等级保护为基础,在控制风险的基础上,充分利用云计算和大数据的优势,建立适合互联网金融自身信息系统的建设规范与信息安全管理规范,丰富已有安全措施规范,完善整体信息安全保障体系,建立云计算和数据保护的标准体系,健全协调机制,提高协同发展能力。
9、外包风险防范
实行业务外包以前,金融机构应制定外包的具体政策和标准,全面考虑业务外包的程度问题、风险集中问题,以及将多项业务外包给同一个服务商时的风险问题。同时在外包的过程中时刻对风险进行内部评估。
10、健全内控制度
建立直接向最高级别领导汇报的风险管理部门,独立于所有业务部门进行风险的评估、分析和审核;根据自身的业务特点建立完整的工作流程体系;根据各业务环节的风险,总体评估自身的风险特征;根据工作流程各环节的风险点,设计标准的内部控制操作方案,以有效保障每个工作环节的准确执行。(来源:赛迪网;文/子鉃;编选:中国电子商务研究中心)
第二篇:互联网金融安全风险对策研究
互联网金融安全风险对策研究
【摘 要】我国金融领域已步入互联网时代,互联网在提供快捷、便利金融服务的同时,亦存在着一定的安全风险。本文对互联网金融安全风险进行了分类,研究了防范和化解互联网金融安全风险的对策,并展望了其发展前景。
【关键词】互联网金融;安全风险;对策
我国的金融行业已经全面进入互联网时代,互联网金融对传统金融业形成了革命性的冲击,潜移默化地改变着银行业在金融市场中的定位。据统计,2012年移动支付占全球支付市场比例已达到2.2%,并且以年均40%的速度继续增长;第三方互联网支付的增长速度达到100%;网上银行对柜台业务的替代率超过了50%。互联网金融的高效、便捷等特点,极大地提高了金融改革体系的效率。与此同时,由于互联网安全方面众所周知的缺陷,以及金融业的重要地位,因此当前对互联网安全风险的研究也得到了越来越多的重视。
一、互联网金融安全风险分类
互联网金融安全风险可以分为信息技术类安全风险和业务类安全风险两大类。信息技术类安全风险是由于互联网信息技术自身不完善导致的,包括信息技术选择风险、信息技术安全风险;业务类安全风险是互联网金融业务自身特点导致的,包括业务操作风险、商誉风险和法律风险。
1.信息技术类安全风险
(1)信息技术选择风险
金融机构为支持和提供互联网金融服务,必须选择一种互联网金融技术解决方案。信息技术供应商提供的技术解决方案不存在统一的标准,金融机构选择的技术方案可能存在设计缺陷或漏洞,会造成互联网金融的信息技术选择风险。这些风险会使金融机构后续互联网金融服务跟不上互联网金融发展速度,更新升级困难,引起巨大的技术损失。
(2)信息技术安全风险
互联网金融的信息技术安全风险主要来源于服务器系统故障风险和网络通信安全风险。互联网金融交易基于互联网通信,交易记录存储于服务器系统中。无论从硬件技术还是软件技术上讲,现有的网络技术都不是绝对完备和可靠的。合法用户接入网络的端口或门户的同时,黑客等恶意攻击者也能乘虚而入。网络安全不仅与漏洞有关,还与病毒和制作木马的黑客相关。病毒作为一种传统的网络安全威胁,在互联网金融时代仍将是一大挑战。
2.业务类安全风险
(1)业务操作风险
金融机构提供互联网金融服务的网上银行系统的设计缺陷、网上银行的系统错误、银行员工的操作失误等都有可能导致互联网金融业务发生操作风险,严重情形下可能危及网上银行的总体安全;网上银行客户泄漏自己的重要信息也可能导致互联网金融业务的操作风险。当前操作风险主要来自于银行内部员工犯罪以及客户不当操作泄漏个人账户信息。
(2)商誉风险
商誉风险是指金融机构的商业信用风险。商业信用风险会给金融机构带来长久的、持续的消极影响。互联网金融提供网上消费信贷、网上投资等更多金融服务,同时也给金融机构带来更多的商誉风险。
(3)法律风险
金融机构必须遵守已有法律,但互联网金融发展日新月异,为了占领市场,新业务的推出总是超前于相关法律制度的出台。新业务的迅猛发展与相关法律出台的滞后可能引发金融机构与客户的法律纠纷,增加互联网金融交易费用,影响互联网金融业务健康发展。
二、互联网金融安全风险对策
1.建立和完善互联网金融前瞻性的法律法规
防范和控制互联网金融风险的法律体系建设远远落后于互联网金融的发展,是各国对互联网金融缺乏监管的根本原因之一。行之有效的法律框架才是防范和化解互联网金融风险,推动互联网金融积极健康发展的有力保障。因此,修改现有法律条款或制定新的适合并促进互联网金融法律法规尤为重要和紧迫。
2.制定互联网应用技术规范和标准
互联网金融业务,特别是电子商务、第三方支付、P2P网络借贷等业务发展日益迅猛,但配套技术规范跟不上,特别是安全技术缺乏必要的标准。金融平台开发和使用前缺乏充足测试,存在安全隐患。因此应用技术开发测试要尽早规范化、标准化,相应的互联网金融安全标准也必须加快推出。
3.加强互联网金融系统的基础建设
我国信息技术水平,特别是在移动支付等领域还是比较落后,这对我们防范和化解互联网金融风险带来了许多不利影响。因此,必须重视互联网金融基础设施建设,提高计算机系统网络关键技术水平,大力发展具有自主知识产权的信息技术,全面提高互联网软硬件安全风险防范能力。
4.建设互联网金融安全风险评估和监管体系
发展培养互联网金融人才队伍,完善互联网金融安全风险认证、评估体系。要长期有效地防范互联网金融风险,就应将网络金融风险防范纳入到现代金融体系建设制度中来,建立起发展互联网金融的总体规划和统一的技术标准。
三、结语及前景
互联网金融为人们提供快捷、便利的金融服务的同时,也带来了前所未有的潜在风险,影响到交易和资金的安全性。因而,防范网络金融风险,以保障网络金融业务对经济发展的促进作用是非常必要。我们必须重视互联网金融的发展方向,预防和化解各类安全风险,迎接互联网金融时代的挑战。
参考文献:
[1]谢平,邹传伟.互联网金融[J].金融研究,2012(12):11-22
[2]龚衍斌.网络金融风险防范措施研究[J].金融经济,2013(2):45-47
[3]魏亮.云计算安全风险及对策研究[J].邮电设计技术,2011(10):19-22
[4]王琴,王海权.网络金融发展趋势研究[J].商业时代,2013(8):55-57
第三篇:互联网金融有限公司信息安全审计管理办法
西安北创互联网金融信息服务有限公司
信息安全审计管理办法
第一章 总则
第一条 为督促落实各项网络与信息安全管理办法、技术规范,规范各项网络与信息安全检查工作(以下简称“信息安全审计”,根据总部信息安全相关文件规定,特制订本办法。
第二条 安全审计内容分为管理和技术两个方面,管理审计检查安全管理制度的执行情况;技术审计检查企业网、局域网、互联网出口和各信息系统符合设备安全技术要求、安全配置要求以及其他技术规范的情况。第三条 安全审计通过设立独立的审计岗位或交叉审计等方式开展。
第二章 适用范围
第四条 本办法适用于西安北创互联网金融信息服务有限公司和各分公司。
第五条 可依据本办法开展企业网、局域网、互联网出口和各信息系统的安全审计,开展信息安全等其他安全管理方面的审计。
第六条 用于指导开展定期和不定期,全面和针对特定目的的安全审计。
第三章 组织与职责
第七条 发起网络与信息安全审计工作的部门是:总公司信息管理处、各分公司信息管理部门。
第八条 信息管理处在西安北创互联网金融信息服务有限公司信息安全领导小组的领导下,组织开展所辖子公司信息安全审计工作:
(一)落实总部信息安全工作总体安排;
(二)组织制定信息安全审计细则;
(三)组织制定并实施公司级的信息安全审计计划;
(四)对各分公司进行指导、审批、检查和备案;
(五)汇总、审阅信息安全审计报告,制定整改方案,解决发现的突出问题,重大问题或者需要对技术、管理流程做出重大调整时,应向西安北创互联网金融信息服务有限公司信息化领导小组汇报。第九条 各分公司信息部门职责:
(一)配合完成信息安全领导小组、信息管理处安排的信息安全审计任务;
(二)制定本单位内部信息安全审计实施细则;
(三)制定本单位信息安全审计计划和实施方案,并上报信息管理处备案审核;
(四)按照信息安全审计计划实施工作;
(五)提交信息安全审计报告,针对审计发现的问题,形成改进方案。
第四章 信息安全审计重点内容
第十条 信息安全审计原则:对重要系统、核心设备、规章制度和技术要求,进行重点检查。第十一条 信息安全审计频次:
(一)针对公司范围进行的全面审计,每年一次,不定期开展;
(二)对局部范围进行的安全策略技术审计,根据总部信息安全等级保护文件规定,三级系统每半年审计一次,三级以下系统每年审计一次,并形成分系统的审计报告。
第十二条 信息安全审计重点应包括重点要求、重点规范、重要系统中的重要设备,以及用户的操作行为等。
第五章 审计内容和审计方法
第十三条 安全审计主要依据各项安全管理规定和技术检查,检查具体要求的落实情况。
第十四条 审计方法包括:对安全运行维护等记录的抽样检查、系统检查、现场访问等。
第十五条 可以采用人工和技术手段进行。
第六章 工作步骤
第十六条 制定计划,确定审计范围、审计重点、时间安排、审计人员和配合人员安排,采用的技术手段、主要风险及规避方案等。
第十七条 细化审计内容。审计的系统范围,检查的重点项,各个系统中增删改等重点操作的指令、关键词等。第十八条 编写《信息安全审计检查表》等工作底稿。检查表应包括信息安全审计内容、审计方式、依据标准、审计方法、审计结果、问题描述、审计人员和被审计人员签字栏等。第十九条 按照《信息安全审计检查表》,采用人工和技术手段相结合的方式,进行抽样检查、系统检查、现场访问等,并逐一记录结果。
第二十条 提交《信息安全审计报告》,总结审计情况,分析主要问题,提出改进意见及下次审计重点等建议。第二十一条 被审计系统责任部门按照审计报告,形成《信息安全审计问题整改计划及实施方案》,并提交《信息安全审计改进情况报告》。
第二十二条 各方签字的《信息安全审计报告》、《信息安全审计问题整改计划及实施方案》和《信息安全审计改进情况报告》等相关文档,经过审批后提交信息安全领导小组、信息管理处存档。
第七章 监督执行
第二十三条 各信息部门应督促各级领导对办法执行情况进行有效监督和管理。第二十四条 本办法自下发之日起执行。
第四篇:互联网信息安全责任书
互联网信息安全备案责任书
用户着重承诺本承诺书的有关条款,如有违反本承诺书有关条款的行为,由用户承担由此带来的一切民事、行政和刑事责任。
一、用户承诺遵守《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络国际联网安全保护管理办法》及其他国家有关法律、法规和行政规章制度。
二、用户己知悉并承诺遵守信息产业部等国家相关部门有关文件的规定。
三、用户保证不利用网络危害国家安全、泄露国家秘密,不侵犯国家的、社会的、集体的利益和
第五篇:互联网信息安全承诺书
互联网信息安全承诺书
一、本单位(或个人)因为(□为勾选项):
□ 使用__________________________________的互联网络资源; □ 与____________________________________开展其他互联网合作项目。
郑重承诺遵守承诺书的有关条款,如有违反本承诺书有关条款的行为,由本单位(或个人)承担由此带来的一切民事、行政和刑事责任。
二、本单位(或个人)承诺遵守《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络国际联网安全保护管理办法》等国家的有关法律、法规和行政规章制度。
三、本单位(或个人)开设的网站,在开通联网的30天内到白银市公安局网监部门履行备案手续,并将接受白银市公安局网监部门的监督和检查,如实主动提供有关安全保护的信息、资料及数据文件,积极协助查处通过国际联网的计算机信息网络违法犯罪行为。
四、本单位(或个人)保证不利用国际互联网危害国家安全、泄露国家秘密、不侵犯国家的、社会的、集体的利益和公民的合法权益,不从事违法犯罪活动。
五、本单位(或个人)承诺严格按照国家相关的法律法规做好网站的信息安全管理工作,设立信息安全责任人和信息安全审查员,信息安全责任人和信息安全审查员在参加白银市公安局网监部门认可的安全技术培训后,持证上岗。
六、本单位(或个人)承诺健全各项互联网安全保护管理制度和落实各项安全保护技术措施。
七、本单位(或个人)承诺不制作、复制、查阅和传播下列信息:
1、反对宪法所确定的基本原则的;
2、危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
3、损害国家荣誉和利益的;
4、煽动民族仇恨、民族歧视,破坏民族团结的;
5、破坏国家宗教政策,宣扬邪教和封建迷信的;
6、散布谣言,扰乱社会秩序,破坏社会稳定的;
7、散步淫秽、色情、赌博、暴利、凶杀、恐怖或者教唆犯罪的;
8、侮辱或者诽谤他人,侵害他人合法权益的;
9、含有法律、行政法规禁止的其他内容的。
八、本单位(或个人)承诺不从事下列危害计算机信息网络安全的活动:
1、未经允许,进入计算机信息网络或者计算机信息网络资源的;
2、未经允许,对计算机信息功能进行删除、修改或者增加的;
3、未经允许,对计算机信息网络中存储或者传输的数据和应用程序进行删除、修改或者增加的;
4、故意制作、传播计算机病毒等破坏性程序的;
5、其他危害计算机信息网络安全的。
九、本单位(或个人)承诺当计算机信息系统发生重大安全事故时,立即采取应急措施,保留有关原始记录,并在24小时内向白银市公安局网监部门报告。
十、若违反本承诺书有关条例和国家相关法律法规的,本单位(或个人)直接承担相应法律责任;造成第三方财产损失的,本单位(或个人)将在国家有关机关确认的责任范围内直接赔偿。
十一、本承诺书自签署之日起施行。
责任单位(或个人):
法人代表(或授权代表):
二○
****年**月**日
点击咨询 