第一篇:互聯(lián)網(wǎng)金融十大信息安全風(fēng)險(xiǎn)與最佳安全實(shí)踐
互聯(lián)網(wǎng)金融十大信息安全風(fēng)險(xiǎn)與最佳安全實(shí)踐
(中國(guó)電子商務(wù)研究中心訊)據(jù)中國(guó)互聯(lián)網(wǎng)信息中心發(fā)布《第35次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》的顯示,2014年中國(guó)網(wǎng)民規(guī)模6.49億,手機(jī)網(wǎng)民5.57億。其中使用網(wǎng)上支付的用戶(hù)規(guī)模達(dá)3.04億,手機(jī)支付用戶(hù)規(guī)模達(dá)到2.17億,2014年也被認(rèn)為是中國(guó)互聯(lián)網(wǎng)金融元年。作為一項(xiàng)金融創(chuàng)新,隨著大家對(duì)互聯(lián)網(wǎng)金融關(guān)注的提升和其本身規(guī)模的不斷壯大,互聯(lián)網(wǎng)金融發(fā)展形成了第三方支付、P2P網(wǎng)貸、大數(shù)據(jù)金融、眾籌、信息化金融機(jī)構(gòu)、互聯(lián)網(wǎng)金融門(mén)戶(hù)等多種模式。據(jù)媒體報(bào)道稱(chēng),中國(guó)的互聯(lián)網(wǎng)金融市場(chǎng)規(guī)模已是世界第一。與此同時(shí),國(guó)內(nèi)的網(wǎng)絡(luò)安全技術(shù)平臺(tái)、安全防護(hù)機(jī)制尚不成熟,互聯(lián)網(wǎng)金融各方參與者對(duì)于數(shù)據(jù)安全、客戶(hù)信息安全的風(fēng)險(xiǎn)防患意識(shí)較弱的問(wèn)題應(yīng)受到更多的認(rèn)識(shí)與關(guān)注。
十大信息安全風(fēng)險(xiǎn)
互聯(lián)網(wǎng)金融中金融信息的風(fēng)險(xiǎn)和安全問(wèn)題,主要來(lái)自互聯(lián)網(wǎng)金融黑客頻繁侵襲、系統(tǒng)漏洞、病毒木馬攻擊、用戶(hù)信息泄露、用戶(hù)安全意識(shí)薄弱,不良虛假金融信息的傳播、移動(dòng)金融威脅逐漸顯露等十個(gè)方面。
1、有組織有目的性的金融網(wǎng)絡(luò)犯罪集團(tuán)興起
攻擊者由過(guò)去的單兵作戰(zhàn),無(wú)目的的攻擊轉(zhuǎn)為以經(jīng)濟(jì)利益為目的的、具有針對(duì)性的集團(tuán)化攻擊。從敏感信息的收集與販賣(mài),到偽卡制卡,甚至網(wǎng)銀木馬的量身定制,在網(wǎng)絡(luò)上都能找到相應(yīng)的服務(wù)提供商,并且形成完整的以金融網(wǎng)絡(luò)犯罪分子為中心的“傳、取、銷(xiāo)”的經(jīng)濟(jì)產(chǎn)業(yè)鏈。
2、DDoS攻擊
屏蔽此推廣內(nèi)容DDoS攻擊是目前最有效的一種網(wǎng)絡(luò)惡意攻擊形式,近期的個(gè)案顯示不同規(guī)模的銀行正面臨不同形式的DDoS攻擊,這包括傳統(tǒng)SYN攻擊、DNS泛洪攻擊、DNS放大攻擊,以及針對(duì)應(yīng)用層和內(nèi)容更加難以防御的應(yīng)用層DDOS攻擊。
3、互聯(lián)網(wǎng)業(yè)務(wù)支撐系統(tǒng)自身安全漏洞
當(dāng)今的互聯(lián)網(wǎng),病毒、蠕蟲(chóng)、僵尸網(wǎng)絡(luò)、間諜軟件、DDoS猶如洪水般泛濫,所有的這一切都或多或少地從互聯(lián)網(wǎng)業(yè)務(wù)支撐系統(tǒng)漏洞走過(guò)。如Apache Struts 2遠(yuǎn)程代碼執(zhí)行漏洞,漏洞的爆發(fā)直接導(dǎo)致國(guó)內(nèi)的多家銀行遭受惡意攻擊。
4、病毒木馬
目前針對(duì)網(wǎng)上銀行的木馬程序、密碼嗅探程序等病毒不斷翻新,通過(guò)盜取客戶(hù)資料,直接威脅網(wǎng)銀安全,用戶(hù)如果未對(duì)其計(jì)算機(jī)安裝相應(yīng)的木馬查殺軟件,就非常容易被感染。
5、信息泄露
在互聯(lián)網(wǎng)環(huán)境下,交易信息通過(guò)網(wǎng)絡(luò)傳輸,一些交易平臺(tái)并沒(méi)有在“傳輸、存儲(chǔ)、使用、銷(xiāo)毀”等環(huán)節(jié)建立保護(hù)敏感信息的完整機(jī)制,大大加劇了信息泄露風(fēng)險(xiǎn)。
6、網(wǎng)絡(luò)釣魚(yú)
雖然金融機(jī)構(gòu)對(duì)釣魚(yú)網(wǎng)站帶來(lái)的金融信息危害極其重視,但大量釣魚(yú)網(wǎng)站都建立在海外的網(wǎng)絡(luò)空間,因而加大了安全監(jiān)管的難度。
7、移動(dòng)威脅
移動(dòng)金融信息風(fēng)險(xiǎn),主要由于移動(dòng)應(yīng)用軟件的信息安全隱患和用戶(hù)的防范意識(shí)薄弱,給用戶(hù)造成了嚴(yán)重的經(jīng)濟(jì)損失,同時(shí)也為移動(dòng)金融的發(fā)展造成阻礙。
8、APT攻擊
由于其利益驅(qū)動(dòng)特性,與交易和金錢(qián)直接相關(guān)的金融行業(yè),成為了黑客進(jìn)攻“首選”,淪為APT攻擊重災(zāi)區(qū)。
9、外包風(fēng)險(xiǎn)
由于其利益驅(qū)動(dòng)特性,與交易和金錢(qián)直接相關(guān)的金融行業(yè),成為了黑客進(jìn)攻“首選”,淪為APT攻擊重災(zāi)區(qū)。
10、內(nèi)控風(fēng)險(xiǎn)
互聯(lián)網(wǎng)金融服務(wù)內(nèi)控風(fēng)險(xiǎn)通常與不適當(dāng)?shù)牟僮骱蛢?nèi)部控制程序、信息系統(tǒng)失敗和人工失誤密切相關(guān),該風(fēng)險(xiǎn)可能在內(nèi)部控制和信息系統(tǒng)存在缺陷時(shí)導(dǎo)致不可預(yù)期的損失。
十大信息安全最佳實(shí)踐
基于互聯(lián)網(wǎng)技術(shù)發(fā)展起來(lái)的互聯(lián)網(wǎng)金融,其信息安全技術(shù)還有待關(guān)注與加強(qiáng)。傳統(tǒng)的信息安全防護(hù)體系已經(jīng)難以提供可靠的安全防護(hù),特別是針對(duì)APT攻擊、零天型漏洞攻擊或者是來(lái)自企業(yè)內(nèi)部的網(wǎng)絡(luò)攻擊,當(dāng)前的互聯(lián)網(wǎng)金融系統(tǒng)信息安全保障體系無(wú)法提供足夠的保護(hù)能力。因此,安恒信息結(jié)合行業(yè)觀(guān)察以及相關(guān)實(shí)踐,建議互聯(lián)網(wǎng)金融企業(yè)進(jìn)行以下安全建設(shè),以長(zhǎng)期保證金融系統(tǒng)的信息安全。
1、制定行業(yè)標(biāo)準(zhǔn)
重點(diǎn)防范互聯(lián)網(wǎng)金融可能出現(xiàn)的系統(tǒng)性風(fēng)險(xiǎn),而且要堅(jiān)持線(xiàn)上線(xiàn)下一致性的原則,要注重法律法規(guī)的有效銜接,不斷地完善相關(guān)的監(jiān)管制度。同時(shí)政府應(yīng)該有一個(gè)統(tǒng)一的分類(lèi),并按類(lèi)別制定互聯(lián)網(wǎng)金融信息安全行業(yè)標(biāo)準(zhǔn),指導(dǎo)各企業(yè)進(jìn)行相應(yīng)的信息安全建設(shè)和安全運(yùn)維管理,提高互聯(lián)網(wǎng)金融企業(yè)的安全準(zhǔn)入門(mén)檻。
2、加大信息安全投入
互聯(lián)網(wǎng)金融企業(yè)應(yīng)加大對(duì)信息安全技術(shù)的投資力度,應(yīng)結(jié)合安全開(kāi)發(fā)、安全產(chǎn)品、安全評(píng)估、安全管理等多個(gè)方面,從整個(gè)信息系統(tǒng)生命周期(ESLC)的角度來(lái)實(shí)現(xiàn)互聯(lián)網(wǎng)金融長(zhǎng)期有效的安全保障。對(duì)于已經(jīng)在線(xiàn)的生產(chǎn)系統(tǒng),當(dāng)務(wù)之急則是采用防火墻、數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)容災(zāi)等多種手段提升對(duì)用戶(hù)和數(shù)據(jù)的安全保障能力。
3、增強(qiáng)APT防護(hù)能力
加入APT防護(hù)控制手段,加固環(huán)境,考慮雙因素認(rèn)證、網(wǎng)絡(luò)限制、反垃圾郵件過(guò)濾、WEB過(guò)濾等高級(jí)限制方式。
4、加強(qiáng)信息系統(tǒng)的審計(jì)與風(fēng)險(xiǎn)控制
對(duì)越來(lái)越龐大的金融信息系統(tǒng)部署運(yùn)維審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)通過(guò)賬號(hào)管理、身份認(rèn)證、自動(dòng)改密、資源授權(quán)、實(shí)時(shí)阻斷、同步監(jiān)控、審計(jì)回放、自動(dòng)化運(yùn)維、流程管理等功能增強(qiáng)金融信息系統(tǒng)運(yùn)維管理的安全性。
5、采用自主可控的產(chǎn)品和技術(shù)
以防范阻止、檢測(cè)發(fā)現(xiàn)、應(yīng)急處置、審計(jì)追蹤、集中管控等為目的,研究適合自身信息系統(tǒng)特點(diǎn)的安全保護(hù)策略和機(jī)制;開(kāi)展安全審計(jì)、強(qiáng)制訪(fǎng)問(wèn)控制、系統(tǒng)結(jié)構(gòu)化、多級(jí)系統(tǒng)安全互聯(lián)訪(fǎng)問(wèn)控制、產(chǎn)品符合性檢驗(yàn)等相關(guān)技術(shù);研發(fā)用于保護(hù)重點(diǎn)信息系統(tǒng)的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心的核心技術(shù)產(chǎn)品;研發(fā)自主可控的計(jì)算環(huán)境、操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)等基礎(chǔ)產(chǎn)品,實(shí)現(xiàn)對(duì)國(guó)外軟硬件的替代;建設(shè)模擬仿真測(cè)試環(huán)境,通過(guò)可靠的測(cè)試技術(shù)和測(cè)試工具實(shí)現(xiàn)對(duì)信息系統(tǒng)的安全檢測(cè),確保降低信息系統(tǒng)使用過(guò)程中發(fā)生的安全事件。
6、突出保護(hù)重點(diǎn)系統(tǒng)
對(duì)需要保護(hù)的信息資產(chǎn)進(jìn)行詳細(xì)梳理,以整體利益為出發(fā)點(diǎn),確定出重要的信息資產(chǎn)或系統(tǒng),然后將有限的資源投入到對(duì)于這些重要信息資源的保護(hù)當(dāng)中。
7、核心安全建設(shè)由可信隊(duì)伍建設(shè)
對(duì)我國(guó)的金融信息系統(tǒng)進(jìn)行核心安全建設(shè)和保障的機(jī)構(gòu),應(yīng)具備專(zhuān)業(yè)信息安全服務(wù)能力及應(yīng)急響應(yīng)能力獲得權(quán)威認(rèn)證的、具有一定規(guī)模、具備專(zhuān)業(yè)掃描檢測(cè)與滲透測(cè)試產(chǎn)品的安全服務(wù)團(tuán)隊(duì)。
8、基于大數(shù)據(jù)與云計(jì)算的解決方案
以信息安全等級(jí)保護(hù)為基礎(chǔ),在控制風(fēng)險(xiǎn)的基礎(chǔ)上,充分利用云計(jì)算和大數(shù)據(jù)的優(yōu)勢(shì),建立適合互聯(lián)網(wǎng)金融自身信息系統(tǒng)的建設(shè)規(guī)范與信息安全管理規(guī)范,豐富已有安全措施規(guī)范,完善整體信息安全保障體系,建立云計(jì)算和數(shù)據(jù)保護(hù)的標(biāo)準(zhǔn)體系,健全協(xié)調(diào)機(jī)制,提高協(xié)同發(fā)展能力。
9、外包風(fēng)險(xiǎn)防范
實(shí)行業(yè)務(wù)外包以前,金融機(jī)構(gòu)應(yīng)制定外包的具體政策和標(biāo)準(zhǔn),全面考慮業(yè)務(wù)外包的程度問(wèn)題、風(fēng)險(xiǎn)集中問(wèn)題,以及將多項(xiàng)業(yè)務(wù)外包給同一個(gè)服務(wù)商時(shí)的風(fēng)險(xiǎn)問(wèn)題。同時(shí)在外包的過(guò)程中時(shí)刻對(duì)風(fēng)險(xiǎn)進(jìn)行內(nèi)部評(píng)估。
10、健全內(nèi)控制度
建立直接向最高級(jí)別領(lǐng)導(dǎo)匯報(bào)的風(fēng)險(xiǎn)管理部門(mén),獨(dú)立于所有業(yè)務(wù)部門(mén)進(jìn)行風(fēng)險(xiǎn)的評(píng)估、分析和審核;根據(jù)自身的業(yè)務(wù)特點(diǎn)建立完整的工作流程體系;根據(jù)各業(yè)務(wù)環(huán)節(jié)的風(fēng)險(xiǎn),總體評(píng)估自身的風(fēng)險(xiǎn)特征;根據(jù)工作流程各環(huán)節(jié)的風(fēng)險(xiǎn)點(diǎn),設(shè)計(jì)標(biāo)準(zhǔn)的內(nèi)部控制操作方案,以有效保障每個(gè)工作環(huán)節(jié)的準(zhǔn)確執(zhí)行。(來(lái)源:賽迪網(wǎng);文/子鉃;編選:中國(guó)電子商務(wù)研究中心)
第二篇:互聯(lián)網(wǎng)金融安全風(fēng)險(xiǎn)對(duì)策研究
互聯(lián)網(wǎng)金融安全風(fēng)險(xiǎn)對(duì)策研究
【摘 要】我國(guó)金融領(lǐng)域已步入互聯(lián)網(wǎng)時(shí)代,互聯(lián)網(wǎng)在提供快捷、便利金融服務(wù)的同時(shí),亦存在著一定的安全風(fēng)險(xiǎn)。本文對(duì)互聯(lián)網(wǎng)金融安全風(fēng)險(xiǎn)進(jìn)行了分類(lèi),研究了防范和化解互聯(lián)網(wǎng)金融安全風(fēng)險(xiǎn)的對(duì)策,并展望了其發(fā)展前景。
【關(guān)鍵詞】互聯(lián)網(wǎng)金融;安全風(fēng)險(xiǎn);對(duì)策
我國(guó)的金融行業(yè)已經(jīng)全面進(jìn)入互聯(lián)網(wǎng)時(shí)代,互聯(lián)網(wǎng)金融對(duì)傳統(tǒng)金融業(yè)形成了革命性的沖擊,潛移默化地改變著銀行業(yè)在金融市場(chǎng)中的定位。據(jù)統(tǒng)計(jì),2012年移動(dòng)支付占全球支付市場(chǎng)比例已達(dá)到2.2%,并且以年均40%的速度繼續(xù)增長(zhǎng);第三方互聯(lián)網(wǎng)支付的增長(zhǎng)速度達(dá)到100%;網(wǎng)上銀行對(duì)柜臺(tái)業(yè)務(wù)的替代率超過(guò)了50%。互聯(lián)網(wǎng)金融的高效、便捷等特點(diǎn),極大地提高了金融改革體系的效率。與此同時(shí),由于互聯(lián)網(wǎng)安全方面眾所周知的缺陷,以及金融業(yè)的重要地位,因此當(dāng)前對(duì)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)的研究也得到了越來(lái)越多的重視。
一、互聯(lián)網(wǎng)金融安全風(fēng)險(xiǎn)分類(lèi)
互聯(lián)網(wǎng)金融安全風(fēng)險(xiǎn)可以分為信息技術(shù)類(lèi)安全風(fēng)險(xiǎn)和業(yè)務(wù)類(lèi)安全風(fēng)險(xiǎn)兩大類(lèi)。信息技術(shù)類(lèi)安全風(fēng)險(xiǎn)是由于互聯(lián)網(wǎng)信息技術(shù)自身不完善導(dǎo)致的,包括信息技術(shù)選擇風(fēng)險(xiǎn)、信息技術(shù)安全風(fēng)險(xiǎn);業(yè)務(wù)類(lèi)安全風(fēng)險(xiǎn)是互聯(lián)網(wǎng)金融業(yè)務(wù)自身特點(diǎn)導(dǎo)致的,包括業(yè)務(wù)操作風(fēng)險(xiǎn)、商譽(yù)風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)。
1.信息技術(shù)類(lèi)安全風(fēng)險(xiǎn)
(1)信息技術(shù)選擇風(fēng)險(xiǎn)
金融機(jī)構(gòu)為支持和提供互聯(lián)網(wǎng)金融服務(wù),必須選擇一種互聯(lián)網(wǎng)金融技術(shù)解決方案。信息技術(shù)供應(yīng)商提供的技術(shù)解決方案不存在統(tǒng)一的標(biāo)準(zhǔn),金融機(jī)構(gòu)選擇的技術(shù)方案可能存在設(shè)計(jì)缺陷或漏洞,會(huì)造成互聯(lián)網(wǎng)金融的信息技術(shù)選擇風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)會(huì)使金融機(jī)構(gòu)后續(xù)互聯(lián)網(wǎng)金融服務(wù)跟不上互聯(lián)網(wǎng)金融發(fā)展速度,更新升級(jí)困難,引起巨大的技術(shù)損失。
(2)信息技術(shù)安全風(fēng)險(xiǎn)
互聯(lián)網(wǎng)金融的信息技術(shù)安全風(fēng)險(xiǎn)主要來(lái)源于服務(wù)器系統(tǒng)故障風(fēng)險(xiǎn)和網(wǎng)絡(luò)通信安全風(fēng)險(xiǎn)。互聯(lián)網(wǎng)金融交易基于互聯(lián)網(wǎng)通信,交易記錄存儲(chǔ)于服務(wù)器系統(tǒng)中。無(wú)論從硬件技術(shù)還是軟件技術(shù)上講,現(xiàn)有的網(wǎng)絡(luò)技術(shù)都不是絕對(duì)完備和可靠的。合法用戶(hù)接入網(wǎng)絡(luò)的端口或門(mén)戶(hù)的同時(shí),黑客等惡意攻擊者也能乘虛而入。網(wǎng)絡(luò)安全不僅與漏洞有關(guān),還與病毒和制作木馬的黑客相關(guān)。病毒作為一種傳統(tǒng)的網(wǎng)絡(luò)安全威脅,在互聯(lián)網(wǎng)金融時(shí)代仍將是一大挑戰(zhàn)。
2.業(yè)務(wù)類(lèi)安全風(fēng)險(xiǎn)
(1)業(yè)務(wù)操作風(fēng)險(xiǎn)
金融機(jī)構(gòu)提供互聯(lián)網(wǎng)金融服務(wù)的網(wǎng)上銀行系統(tǒng)的設(shè)計(jì)缺陷、網(wǎng)上銀行的系統(tǒng)錯(cuò)誤、銀行員工的操作失誤等都有可能導(dǎo)致互聯(lián)網(wǎng)金融業(yè)務(wù)發(fā)生操作風(fēng)險(xiǎn),嚴(yán)重情形下可能危及網(wǎng)上銀行的總體安全;網(wǎng)上銀行客戶(hù)泄漏自己的重要信息也可能導(dǎo)致互聯(lián)網(wǎng)金融業(yè)務(wù)的操作風(fēng)險(xiǎn)。當(dāng)前操作風(fēng)險(xiǎn)主要來(lái)自于銀行內(nèi)部員工犯罪以及客戶(hù)不當(dāng)操作泄漏個(gè)人賬戶(hù)信息。
(2)商譽(yù)風(fēng)險(xiǎn)
商譽(yù)風(fēng)險(xiǎn)是指金融機(jī)構(gòu)的商業(yè)信用風(fēng)險(xiǎn)。商業(yè)信用風(fēng)險(xiǎn)會(huì)給金融機(jī)構(gòu)帶來(lái)長(zhǎng)久的、持續(xù)的消極影響。互聯(lián)網(wǎng)金融提供網(wǎng)上消費(fèi)信貸、網(wǎng)上投資等更多金融服務(wù),同時(shí)也給金融機(jī)構(gòu)帶來(lái)更多的商譽(yù)風(fēng)險(xiǎn)。
(3)法律風(fēng)險(xiǎn)
金融機(jī)構(gòu)必須遵守已有法律,但互聯(lián)網(wǎng)金融發(fā)展日新月異,為了占領(lǐng)市場(chǎng),新業(yè)務(wù)的推出總是超前于相關(guān)法律制度的出臺(tái)。新業(yè)務(wù)的迅猛發(fā)展與相關(guān)法律出臺(tái)的滯后可能引發(fā)金融機(jī)構(gòu)與客戶(hù)的法律糾紛,增加互聯(lián)網(wǎng)金融交易費(fèi)用,影響互聯(lián)網(wǎng)金融業(yè)務(wù)健康發(fā)展。
二、互聯(lián)網(wǎng)金融安全風(fēng)險(xiǎn)對(duì)策
1.建立和完善互聯(lián)網(wǎng)金融前瞻性的法律法規(guī)
防范和控制互聯(lián)網(wǎng)金融風(fēng)險(xiǎn)的法律體系建設(shè)遠(yuǎn)遠(yuǎn)落后于互聯(lián)網(wǎng)金融的發(fā)展,是各國(guó)對(duì)互聯(lián)網(wǎng)金融缺乏監(jiān)管的根本原因之一。行之有效的法律框架才是防范和化解互聯(lián)網(wǎng)金融風(fēng)險(xiǎn),推動(dòng)互聯(lián)網(wǎng)金融積極健康發(fā)展的有力保障。因此,修改現(xiàn)有法律條款或制定新的適合并促進(jìn)互聯(lián)網(wǎng)金融法律法規(guī)尤為重要和緊迫。
2.制定互聯(lián)網(wǎng)應(yīng)用技術(shù)規(guī)范和標(biāo)準(zhǔn)
互聯(lián)網(wǎng)金融業(yè)務(wù),特別是電子商務(wù)、第三方支付、P2P網(wǎng)絡(luò)借貸等業(yè)務(wù)發(fā)展日益迅猛,但配套技術(shù)規(guī)范跟不上,特別是安全技術(shù)缺乏必要的標(biāo)準(zhǔn)。金融平臺(tái)開(kāi)發(fā)和使用前缺乏充足測(cè)試,存在安全隱患。因此應(yīng)用技術(shù)開(kāi)發(fā)測(cè)試要盡早規(guī)范化、標(biāo)準(zhǔn)化,相應(yīng)的互聯(lián)網(wǎng)金融安全標(biāo)準(zhǔn)也必須加快推出。
3.加強(qiáng)互聯(lián)網(wǎng)金融系統(tǒng)的基礎(chǔ)建設(shè)
我國(guó)信息技術(shù)水平,特別是在移動(dòng)支付等領(lǐng)域還是比較落后,這對(duì)我們防范和化解互聯(lián)網(wǎng)金融風(fēng)險(xiǎn)帶來(lái)了許多不利影響。因此,必須重視互聯(lián)網(wǎng)金融基礎(chǔ)設(shè)施建設(shè),提高計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)關(guān)鍵技術(shù)水平,大力發(fā)展具有自主知識(shí)產(chǎn)權(quán)的信息技術(shù),全面提高互聯(lián)網(wǎng)軟硬件安全風(fēng)險(xiǎn)防范能力。
4.建設(shè)互聯(lián)網(wǎng)金融安全風(fēng)險(xiǎn)評(píng)估和監(jiān)管體系
發(fā)展培養(yǎng)互聯(lián)網(wǎng)金融人才隊(duì)伍,完善互聯(lián)網(wǎng)金融安全風(fēng)險(xiǎn)認(rèn)證、評(píng)估體系。要長(zhǎng)期有效地防范互聯(lián)網(wǎng)金融風(fēng)險(xiǎn),就應(yīng)將網(wǎng)絡(luò)金融風(fēng)險(xiǎn)防范納入到現(xiàn)代金融體系建設(shè)制度中來(lái),建立起發(fā)展互聯(lián)網(wǎng)金融的總體規(guī)劃和統(tǒng)一的技術(shù)標(biāo)準(zhǔn)。
三、結(jié)語(yǔ)及前景
互聯(lián)網(wǎng)金融為人們提供快捷、便利的金融服務(wù)的同時(shí),也帶來(lái)了前所未有的潛在風(fēng)險(xiǎn),影響到交易和資金的安全性。因而,防范網(wǎng)絡(luò)金融風(fēng)險(xiǎn),以保障網(wǎng)絡(luò)金融業(yè)務(wù)對(duì)經(jīng)濟(jì)發(fā)展的促進(jìn)作用是非常必要。我們必須重視互聯(lián)網(wǎng)金融的發(fā)展方向,預(yù)防和化解各類(lèi)安全風(fēng)險(xiǎn),迎接互聯(lián)網(wǎng)金融時(shí)代的挑戰(zhàn)。
參考文獻(xiàn):
[1]謝平,鄒傳偉.互聯(lián)網(wǎng)金融[J].金融研究,2012(12):11-22
[2]龔衍斌.網(wǎng)絡(luò)金融風(fēng)險(xiǎn)防范措施研究[J].金融經(jīng)濟(jì),2013(2):45-47
[3]魏亮.云計(jì)算安全風(fēng)險(xiǎn)及對(duì)策研究[J].郵電設(shè)計(jì)技術(shù),2011(10):19-22
[4]王琴,王海權(quán).網(wǎng)絡(luò)金融發(fā)展趨勢(shì)研究[J].商業(yè)時(shí)代,2013(8):55-57
第三篇:互聯(lián)網(wǎng)金融有限公司信息安全審計(jì)管理辦法
西安北創(chuàng)互聯(lián)網(wǎng)金融信息服務(wù)有限公司
信息安全審計(jì)管理辦法
第一章 總則
第一條 為督促落實(shí)各項(xiàng)網(wǎng)絡(luò)與信息安全管理辦法、技術(shù)規(guī)范,規(guī)范各項(xiàng)網(wǎng)絡(luò)與信息安全檢查工作(以下簡(jiǎn)稱(chēng)“信息安全審計(jì)”,根據(jù)總部信息安全相關(guān)文件規(guī)定,特制訂本辦法。
第二條 安全審計(jì)內(nèi)容分為管理和技術(shù)兩個(gè)方面,管理審計(jì)檢查安全管理制度的執(zhí)行情況;技術(shù)審計(jì)檢查企業(yè)網(wǎng)、局域網(wǎng)、互聯(lián)網(wǎng)出口和各信息系統(tǒng)符合設(shè)備安全技術(shù)要求、安全配置要求以及其他技術(shù)規(guī)范的情況。第三條 安全審計(jì)通過(guò)設(shè)立獨(dú)立的審計(jì)崗位或交叉審計(jì)等方式開(kāi)展。
第二章 適用范圍
第四條 本辦法適用于西安北創(chuàng)互聯(lián)網(wǎng)金融信息服務(wù)有限公司和各分公司。
第五條 可依據(jù)本辦法開(kāi)展企業(yè)網(wǎng)、局域網(wǎng)、互聯(lián)網(wǎng)出口和各信息系統(tǒng)的安全審計(jì),開(kāi)展信息安全等其他安全管理方面的審計(jì)。
第六條 用于指導(dǎo)開(kāi)展定期和不定期,全面和針對(duì)特定目的的安全審計(jì)。
第三章 組織與職責(zé)
第七條 發(fā)起網(wǎng)絡(luò)與信息安全審計(jì)工作的部門(mén)是:總公司信息管理處、各分公司信息管理部門(mén)。
第八條 信息管理處在西安北創(chuàng)互聯(lián)網(wǎng)金融信息服務(wù)有限公司信息安全領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下,組織開(kāi)展所轄子公司信息安全審計(jì)工作:
(一)落實(shí)總部信息安全工作總體安排;
(二)組織制定信息安全審計(jì)細(xì)則;
(三)組織制定并實(shí)施公司級(jí)的信息安全審計(jì)計(jì)劃;
(四)對(duì)各分公司進(jìn)行指導(dǎo)、審批、檢查和備案;
(五)匯總、審閱信息安全審計(jì)報(bào)告,制定整改方案,解決發(fā)現(xiàn)的突出問(wèn)題,重大問(wèn)題或者需要對(duì)技術(shù)、管理流程做出重大調(diào)整時(shí),應(yīng)向西安北創(chuàng)互聯(lián)網(wǎng)金融信息服務(wù)有限公司信息化領(lǐng)導(dǎo)小組匯報(bào)。第九條 各分公司信息部門(mén)職責(zé):
(一)配合完成信息安全領(lǐng)導(dǎo)小組、信息管理處安排的信息安全審計(jì)任務(wù);
(二)制定本單位內(nèi)部信息安全審計(jì)實(shí)施細(xì)則;
(三)制定本單位信息安全審計(jì)計(jì)劃和實(shí)施方案,并上報(bào)信息管理處備案審核;
(四)按照信息安全審計(jì)計(jì)劃實(shí)施工作;
(五)提交信息安全審計(jì)報(bào)告,針對(duì)審計(jì)發(fā)現(xiàn)的問(wèn)題,形成改進(jìn)方案。
第四章 信息安全審計(jì)重點(diǎn)內(nèi)容
第十條 信息安全審計(jì)原則:對(duì)重要系統(tǒng)、核心設(shè)備、規(guī)章制度和技術(shù)要求,進(jìn)行重點(diǎn)檢查。第十一條 信息安全審計(jì)頻次:
(一)針對(duì)公司范圍進(jìn)行的全面審計(jì),每年一次,不定期開(kāi)展;
(二)對(duì)局部范圍進(jìn)行的安全策略技術(shù)審計(jì),根據(jù)總部信息安全等級(jí)保護(hù)文件規(guī)定,三級(jí)系統(tǒng)每半年審計(jì)一次,三級(jí)以下系統(tǒng)每年審計(jì)一次,并形成分系統(tǒng)的審計(jì)報(bào)告。
第十二條 信息安全審計(jì)重點(diǎn)應(yīng)包括重點(diǎn)要求、重點(diǎn)規(guī)范、重要系統(tǒng)中的重要設(shè)備,以及用戶(hù)的操作行為等。
第五章 審計(jì)內(nèi)容和審計(jì)方法
第十三條 安全審計(jì)主要依據(jù)各項(xiàng)安全管理規(guī)定和技術(shù)檢查,檢查具體要求的落實(shí)情況。
第十四條 審計(jì)方法包括:對(duì)安全運(yùn)行維護(hù)等記錄的抽樣檢查、系統(tǒng)檢查、現(xiàn)場(chǎng)訪(fǎng)問(wèn)等。
第十五條 可以采用人工和技術(shù)手段進(jìn)行。
第六章 工作步驟
第十六條 制定計(jì)劃,確定審計(jì)范圍、審計(jì)重點(diǎn)、時(shí)間安排、審計(jì)人員和配合人員安排,采用的技術(shù)手段、主要風(fēng)險(xiǎn)及規(guī)避方案等。
第十七條 細(xì)化審計(jì)內(nèi)容。審計(jì)的系統(tǒng)范圍,檢查的重點(diǎn)項(xiàng),各個(gè)系統(tǒng)中增刪改等重點(diǎn)操作的指令、關(guān)鍵詞等。第十八條 編寫(xiě)《信息安全審計(jì)檢查表》等工作底稿。檢查表應(yīng)包括信息安全審計(jì)內(nèi)容、審計(jì)方式、依據(jù)標(biāo)準(zhǔn)、審計(jì)方法、審計(jì)結(jié)果、問(wèn)題描述、審計(jì)人員和被審計(jì)人員簽字欄等。第十九條 按照《信息安全審計(jì)檢查表》,采用人工和技術(shù)手段相結(jié)合的方式,進(jìn)行抽樣檢查、系統(tǒng)檢查、現(xiàn)場(chǎng)訪(fǎng)問(wèn)等,并逐一記錄結(jié)果。
第二十條 提交《信息安全審計(jì)報(bào)告》,總結(jié)審計(jì)情況,分析主要問(wèn)題,提出改進(jìn)意見(jiàn)及下次審計(jì)重點(diǎn)等建議。第二十一條 被審計(jì)系統(tǒng)責(zé)任部門(mén)按照審計(jì)報(bào)告,形成《信息安全審計(jì)問(wèn)題整改計(jì)劃及實(shí)施方案》,并提交《信息安全審計(jì)改進(jìn)情況報(bào)告》。
第二十二條 各方簽字的《信息安全審計(jì)報(bào)告》、《信息安全審計(jì)問(wèn)題整改計(jì)劃及實(shí)施方案》和《信息安全審計(jì)改進(jìn)情況報(bào)告》等相關(guān)文檔,經(jīng)過(guò)審批后提交信息安全領(lǐng)導(dǎo)小組、信息管理處存檔。
第七章 監(jiān)督執(zhí)行
第二十三條 各信息部門(mén)應(yīng)督促各級(jí)領(lǐng)導(dǎo)對(duì)辦法執(zhí)行情況進(jìn)行有效監(jiān)督和管理。第二十四條 本辦法自下發(fā)之日起執(zhí)行。
第四篇:互聯(lián)網(wǎng)信息安全責(zé)任書(shū)
互聯(lián)網(wǎng)信息安全備案責(zé)任書(shū)
用戶(hù)著重承諾本承諾書(shū)的有關(guān)條款,如有違反本承諾書(shū)有關(guān)條款的行為,由用戶(hù)承擔(dān)由此帶來(lái)的一切民事、行政和刑事責(zé)任。
一、用戶(hù)承諾遵守《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》和《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》及其他國(guó)家有關(guān)法律、法規(guī)和行政規(guī)章制度。
二、用戶(hù)己知悉并承諾遵守信息產(chǎn)業(yè)部等國(guó)家相關(guān)部門(mén)有關(guān)文件的規(guī)定。
三、用戶(hù)保證不利用網(wǎng)絡(luò)危害國(guó)家安全、泄露國(guó)家秘密,不侵犯國(guó)家的、社會(huì)的、集體的利益和
第五篇:互聯(lián)網(wǎng)信息安全承諾書(shū)
互聯(lián)網(wǎng)信息安全承諾書(shū)
一、本單位(或個(gè)人)因?yàn)椋ā鯙楣催x項(xiàng)):
□ 使用__________________________________的互聯(lián)網(wǎng)絡(luò)資源; □ 與____________________________________開(kāi)展其他互聯(lián)網(wǎng)合作項(xiàng)目。
鄭重承諾遵守承諾書(shū)的有關(guān)條款,如有違反本承諾書(shū)有關(guān)條款的行為,由本單位(或個(gè)人)承擔(dān)由此帶來(lái)的一切民事、行政和刑事責(zé)任。
二、本單位(或個(gè)人)承諾遵守《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》和《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》等國(guó)家的有關(guān)法律、法規(guī)和行政規(guī)章制度。
三、本單位(或個(gè)人)開(kāi)設(shè)的網(wǎng)站,在開(kāi)通聯(lián)網(wǎng)的30天內(nèi)到白銀市公安局網(wǎng)監(jiān)部門(mén)履行備案手續(xù),并將接受白銀市公安局網(wǎng)監(jiān)部門(mén)的監(jiān)督和檢查,如實(shí)主動(dòng)提供有關(guān)安全保護(hù)的信息、資料及數(shù)據(jù)文件,積極協(xié)助查處通過(guò)國(guó)際聯(lián)網(wǎng)的計(jì)算機(jī)信息網(wǎng)絡(luò)違法犯罪行為。
四、本單位(或個(gè)人)保證不利用國(guó)際互聯(lián)網(wǎng)危害國(guó)家安全、泄露國(guó)家秘密、不侵犯國(guó)家的、社會(huì)的、集體的利益和公民的合法權(quán)益,不從事違法犯罪活動(dòng)。
五、本單位(或個(gè)人)承諾嚴(yán)格按照國(guó)家相關(guān)的法律法規(guī)做好網(wǎng)站的信息安全管理工作,設(shè)立信息安全責(zé)任人和信息安全審查員,信息安全責(zé)任人和信息安全審查員在參加白銀市公安局網(wǎng)監(jiān)部門(mén)認(rèn)可的安全技術(shù)培訓(xùn)后,持證上崗。
六、本單位(或個(gè)人)承諾健全各項(xiàng)互聯(lián)網(wǎng)安全保護(hù)管理制度和落實(shí)各項(xiàng)安全保護(hù)技術(shù)措施。
七、本單位(或個(gè)人)承諾不制作、復(fù)制、查閱和傳播下列信息:
1、反對(duì)憲法所確定的基本原則的;
2、危害國(guó)家安全,泄露國(guó)家秘密,顛覆國(guó)家政權(quán),破壞國(guó)家統(tǒng)一的;
3、損害國(guó)家榮譽(yù)和利益的;
4、煽動(dòng)民族仇恨、民族歧視,破壞民族團(tuán)結(jié)的;
5、破壞國(guó)家宗教政策,宣揚(yáng)邪教和封建迷信的;
6、散布謠言,擾亂社會(huì)秩序,破壞社會(huì)穩(wěn)定的;
7、散步淫穢、色情、賭博、暴利、兇殺、恐怖或者教唆犯罪的;
8、侮辱或者誹謗他人,侵害他人合法權(quán)益的;
9、含有法律、行政法規(guī)禁止的其他內(nèi)容的。
八、本單位(或個(gè)人)承諾不從事下列危害計(jì)算機(jī)信息網(wǎng)絡(luò)安全的活動(dòng):
1、未經(jīng)允許,進(jìn)入計(jì)算機(jī)信息網(wǎng)絡(luò)或者計(jì)算機(jī)信息網(wǎng)絡(luò)資源的;
2、未經(jīng)允許,對(duì)計(jì)算機(jī)信息功能進(jìn)行刪除、修改或者增加的;
3、未經(jīng)允許,對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)中存儲(chǔ)或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改或者增加的;
4、故意制作、傳播計(jì)算機(jī)病毒等破壞性程序的;
5、其他危害計(jì)算機(jī)信息網(wǎng)絡(luò)安全的。
九、本單位(或個(gè)人)承諾當(dāng)計(jì)算機(jī)信息系統(tǒng)發(fā)生重大安全事故時(shí),立即采取應(yīng)急措施,保留有關(guān)原始記錄,并在24小時(shí)內(nèi)向白銀市公安局網(wǎng)監(jiān)部門(mén)報(bào)告。
十、若違反本承諾書(shū)有關(guān)條例和國(guó)家相關(guān)法律法規(guī)的,本單位(或個(gè)人)直接承擔(dān)相應(yīng)法律責(zé)任;造成第三方財(cái)產(chǎn)損失的,本單位(或個(gè)人)將在國(guó)家有關(guān)機(jī)關(guān)確認(rèn)的責(zé)任范圍內(nèi)直接賠償。
十一、本承諾書(shū)自簽署之日起施行。
責(zé)任單位(或個(gè)人):
法人代表(或授權(quán)代表):
二○
****年**月**日
點(diǎn)擊咨詢(xún) 