发布时间:2023-10-10 17:14:24
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇金融企业信息安全,期待它们能激发您的灵感。
关键词:金融行业 计算机 信息安全 保障体系
随着社会的不断进步和发展,信息系统改变人们的生活方式,推动了整个社会的发展,金融行业也不例外。信息化虽然给人们带来了极大的便利,然而计算机信息技术的发展也存在潜在的信息安全问题。在这一背景下,计算机网络的开放性与金融信息的私密性又具有直接的矛盾,金融行业信息安全形势也不容乐观,加强金融行业计算机信息保护,构建更加安全可靠的金融信息安全保障体系显得尤为重要。
一、金融行业计算机信息存在的风险
(一)计算机数据被攻击窃取
计算机病毒和木马依然是目前金融行业信息风险的主要因素。计算机病毒和木马在计算机程序中潜伏,被激活后会对其他程序进行感染和破坏,轻者造成数据毁坏、丢失,严重者甚至可能使整个信息系统瘫痪,是破坏计算机数据的一个主要因素,也是计算机面临的一个主要安全问题。一旦金融计算机数据传输系统被破坏,就可能会导致数据被窃或者客户资料泄露,甚至导致客户资金或证券交易价值损失。
(二)系统设计维护的缺陷
金融行业的各项信息系统设计不可能做到完美无缺,任何一个系统都具有固有的缺陷,这就为不法分子留下攻击的漏洞,并且无效的安全管理也是造成安全隐患的重要因素,将直接影响客户和银行的资金安全。通常情况下,金融计算机系统都有管理人员对其进行监视,若发现漏洞则应对其危险程度进行分析,并应积极采取相应措施进行补救。然而即使是维护过的系统,在软件更新或者升级后又可能会产生新的漏洞,依然会危及金融系统的安全。
二、金融行业计算机信息安全保障体系的构建
为了确保金融行业计算机信息安全体系的有效运行,就必须要构建一个安全、有效的信息安全体系对其进行保护,从而在计算机技术内部形成有效的防火墙,并加强系统的维护和管理,以预防和阻止由于非法入侵、攻击、盗用等造成的信息遗失安全问题。
(一)推进金融科技标准化体系
近几年,标准化体系建设已经成为人民银行科技主管部门的一项重要工作,为金融行业信息技术发展的做出了行业规范。在实际发展中,金融行业在计算机信息管理,专业研发、维护和管理部门和人才等方面做了大量的工作。金融机构既建立计算机信息系统规划、开发、建设、维护等相关技术部门,也设立风险管理部门和安全管理部门。为了更好地推进金融科技标准化工作,各金融行业风险管理部门要加强对安全风险进行监视,从组织监督检查的角度,由金融系统内部审计部门,对其业务流程及系统运作情况进行安全监督检查,及时将监视结果提供给其他相关部门;安全管理部门要加强对管理制度、法规、安全细则等进行规定,并通过监督、指导、管理等使制度得到落实,从信息安全管理层面使金融信息安全体系的防范级别得到切实提高。
(二)加强计算机信息数据的保护
金融行业服务业已进入大数据时代,要求数据存储系统具有较高的可靠性,只有完善的数据存储才能更好的保障其访问和交易过程的顺利进行。若系统出现故障,可能会出现业务中断、客户流失,甚至资金链断裂等等诸多问题,会很多大程度影响客户体验和企业信誉度。金融行业不仅要开发适合本机构的金融产品和完整有效的信息系统,更应该加强备用数据中心的建设,强化减灾容灾能力。这样,在数据中心无法继续正常运行时,可以通过使用备用数据中心通道来维持系统的正常工作,从而更好的防范数据问题引起的服务事故,为网络信息安全保障体系建立强大的服务后盾。
(三)积极跟进新型信息安全技术
计算机信息安全技术是维持信息安全体系的关键,合理运用安全机制,积极探索和采用新型信息安全技术,可以保障系统的顺利运行和广大人民的资金财产安全。一是要加强网络访问者身份认证。金融行业要采用静态密码认证、动态密码认证、指纹识别、数字证书以及其它新型认证方式,做好客户身份认证工作,同时也要避免客户相关隐私信息被盗用。二是加强网络病毒木马的实时监测。坚持金融行业计算机网络安全以防护为主的原则,做好病毒防护系统升级工作,主动强化对病毒木马进行实时监测,分析病毒木马最新动态,制定合理的防护机制和预警机制,从而更好的 对其进行防范;三是加强计算机信息系统软硬件管理、维护和升级工作。计算机信息系统的正常运行是以软硬件设备为基础的,其安全性设计和优化配置对于保障系统信息安全都尤为重要。在实际工作中既要积极解决信息系统安全设计、生产、测试、运营、维护等方面的问题,提高系统设备安全性,从而更好的保障计算机网络安全策略的顺利执行,也要做好系统的更新和升级工作,要把用户体验好,安全防护好各类新型金融信息产品投入运行。
三、结束语
在信息化愈加普及的今天,金融机构更应重视计算机信息安全系统的构建,不仅要加强对信息资源的保护,同时还要建立完善、可靠的金融信息安全体系,以安全技术以及防护手段作为安全体系构建的支撑,确保信息体系的安全运行和实施,保障监视、评审信息安全,从而切实保障客户的个人信息安全,最终才能不断推动推动金融业的快速发展。
参考文献:
[1]韦雪江.我国金融行业计算机信息安全形势分析和研究[J].计算机光盘软件与应用,2013
[摘要] 随着经济全球化进程的加快,企业信息安全将成为企业面临到的一个主要问题,加强信息安全管理也已成为时代的召唤。本文介绍了企业信息安全,以及石油石化企业信息化建设,分析了信息安全对石油石化企业的意义以及应对策略。
[关键词] 信息安全;信息化建设;安全策略
在经济全球化的今天,企业相关人员对信息安全越来越关注。虽然企业采取了很多与员工签订保密协议,建立防火墙,以及安全管理中心等措施,但还是发生了像天涯社区、新浪等泄露用户密码、个人信息的安全事件。企业提高计算机与信息管理的水平可以防范由信息安全所造成的各项损失,完善企业信息安全管理体系是很多企业都会面临到的一个主要问题,而作为我国国民经济支柱产业的石油石化企业更应该加强信息安全的管理。
一、企业信息安全定义
近年来,经济全球化呈现加速发展的趋势,越来越多的发展中国家融入到经济全球化的大潮之中。世界政治、经济形势的深刻变化使国家安全的内涵出现了新的变化,国家经济利益和国家经济竞争力随即上升至国家安全的优先位置,国家经济安全开始成为国家安全的核心。跨国并购是经济全球化时代的重要特,尤其是近几年来,经济全球化的日益发展使资本的全球扩张进一步加强,企业兼并活动达到有史以来的最高峰。在各跨国企业扩大占有其他国家市场、资源和技术时,往往使被收购企业所在国受到很大冲击,甚至威胁到他国的经济安全。
企业信息安全是一个复杂的、多维的动态体系,受到诸多外界因素的影响,因而需要从系统的高度进行综合性的概括。企业信息安全有两种解释:一种是从具体的信息安全技术系统的角度着手,来管理企业信息,提高安全性;另一种是建立某些被指定的安全信息体系,例如:银行指挥系统等,从而加强企业信息的安全。企业信息安全的基础内容主要有:实体和运行,以及信息资产与人员安全。实体安全也是指硬件安全,既保护计算机网络硬件和存储媒体的安全,又防止计算机硬件、设备等因湿度过大、温度过高、摩擦等因素而出现的物理损坏。同时,维护硬件运行环境的稳定也是实体安全的范畴。运行安全是保障信息处理过程的安全运行,避免出现程序性故障、死机等现象,保障系统功能的安全。信息资产安全则是确保信息的控制权在企业本身手里,不被恶意篡改或破坏,不被非法操作、误操作、复制,功能稳定等。人员安全主要是指信息系统使用人员能够有明确保护信息安全的意识,遵纪守法,拥有保障企业相关信息安全的技能和能力。
二、石油石化企业的信息化建设
在国际金融危机的冲击下,我国石油石化企业受到种种压力,但同时也遇到不少发展的机遇。金融危机背景下,提升企业竞争能力和抗风险能力更显得重要,石化企业需坚持并加强信息化应用,不断地深化和优化应用。
石油石化企业是我国最早开展信息化建设的行业之一。经过多年的建设,加之逐年增加投入,石化行业整体信息化应用水平在不断提高,并取得了较高的成绩。据中国石油和化学工业协会调研显示,勘探与生产技术数据管理系统、管道生产管理系统、ERP系统等目前在大部分石油石化企业中得到应用并发挥了重要作用,集成与深化应用已经成为石油石化企业信息化建设的主流。在当前国际金融危机冲击之下,信息化在优化资源配置、强化过程管控、支持管理创新、提高经营管理水平和劳动生产率等方面的支撑作用越来越显著。
三、石油石化企业信息安全的意义
石油石化企业在国民经济中扮演者重要的角色,是其重要的支柱产业,担负着保障国家油气供应安全的重要责任。国家形象、安全及国民经济也可能要受石油石化企业安全的影响。近几十年石油石化企业的发展主要得益于信息技术的发展。石油石化企业运营绝大多数工序,从地震、钻井到化工作业、生产工艺,甚至是管理手段、战略决策等都是依靠信息系统来实现的。信息系统一旦瘫痪,企业的运营就要中断。
前不久,互联网一度让人望而却步,CSDN、天涯、新浪、京东商城、网易公司、支付宝等互联网公司以及多家银行深陷“泄密门”。这使得本来就对互联网不放心的广大消费者更加远离了网络购物,一些网络消费者也纷纷降低了购物频率。
四、中海油的企业信息安全策略
信息化是中海油科学管理的重要手段,也是企业的核心竞争力之一。多年来中海油一直坚持业务驱动应用,技术引领创新,着力打造数字海油,加强工业化与信息化的融合,提升中海油信息化水平。多年来建设了MPLS云网络,实现了物理统一、逻辑共享的网络链路;构建了以LotusNotes为基础的OA办公平台;打造了以SAP为核心的ERP系统平台;建设了勘探、开发、生产、钻完井等生产管理信息系统和Scada、DCS、MES生产信息管理系统。这些系统的建立为提高石油的产量,加速企业的运行效率奠定了基础,使得中海油各生产运行业务系统建设稳步推进,实现了整体项目生产数据的完整、有序化管理,便于生产经营决策。
随着国际化的进程,中海油和国外公司的合作联系越来越密切,如果不加强信息安全,轻则出现宕机、数据缺失、系统停止服务等信息服务事件,重则会影响我国的石油产业和我国的国民经济。目前在对网络安全方面主要从以下几点展开的:
(1)物理安全风险
在物理安全方面,企业建立合格的机房环境,设置合理的网络构架,购置高性能的硬件设施,同时安装高效的、实时的预警系统等。在这些系统的和人员管理的情况下,防止设备因水灾、火灾、系统故障等导致的计算机硬件方面的安全问题。
(2)网络管理体系方面的安全
加强网络管理体系,可以减少企业中责权不明、管理混乱等方面的安全隐患,提高员工的安全意识。同时,还可以及时发现一些外来的网络攻击和恶意的破坏。对内部终端进行管理,通过流量限制计算机上传下载速度也是有效的网络管理体系的一部分。
(3)网络拓扑结构的风险
拓扑结构形象的描述了企业网络的组织结构以及各个元件之间的相互关系,对企业的网络安全系统有着重要的影响力。假如外部和内部进行联系,内部网络系统受到威胁,就会通过这个网络拓扑结构一层一层的影响其他的系统,进而可能使整个网路拓扑结构瘫痪,影响企业的正常运行。
同时,面对日益高速化发展的今天,工作人员容易受到外界的蛊惑,因此企业应该加强对企业人员网络安全维护的教育,提高人员安全性。
五、技术展望
云计算的发展为未来企业网络安全提供了又一个技术平台。云计算是通过网络把成千上万的计算机硬件资源和软件资源聚合成一个具有强大计算能力的系统,并借助各种服务模式把强大的计算能力提供给终端用户,使人们能够像使用电、水那样使用信息资源。
在经济全球化的今天,企业相关人员对信息安全越来越关注。虽然企业采取了很多与员工签订保密协议,建立防火墙,以及安全管理中心等措施,但还是发生了像天涯社区、新浪等泄露用户密码、个人信息的安全事件。云技术网页威胁管理部署和操作简单,不仅有效且高效的防护,而且支持远程办公室和移动工作,“网络效应”和“众包”的作用更是提高了信息的安全性,因此特别适合分布式企业。而大型企业则需要一种集中化的管理和分布式、以云端为中心的智能、紧密集成等于一体的网络威胁管理构架,才能满足其庞大的网络拓扑架构的安全需要,改善远程工作者的安全性,提供全局可见性和控制能力,创建一个云迁移路径。
综上所述,中海油信息化的建设大幅提升了生产运行效率和精细化管理水平,达到了国际化先进水平,为中海油在国际的长远发展提供了坚实的基础。面对经济的全球化,各行各业,每一个企业都要建立健全、不断完善信息安全管理工作,提升企业信息安全管理水平。
参考文献
[1] 张帆;企业信息安全威胁分析与安全策略[J];网络安全技术与应用,2007,(05)
关键词:中小企业;信息安全;问题;措施
信息安全主要指的是在网络中承担信息存储的硬件或者软件能够在受到外界认为破坏、修改的情况下长期稳定地运行,保证整个系统的信息服务不中断。在当前网络高度发达的今天,良好稳定的信息安全体系是保障我国企业信息安全的重要保障,企业中的信息安全包含了计算机操作系统、网络传输协议、安全防护等级以及各类认证和签名等安全保障组件,如下图所示:
图1 中小企业信息安全结构
在整个安全体系中,一旦有某一个组件发生了信息安全问题,那么整个信息安全系统乃至整个企业的信息安全都有可能受到安全威胁。
一、我国中小企业信息安全存在的问题
1.信息安全风险大
当前我国的中小企业普遍已经开始认识到信息安全的重要性,但是在思想上还没有对企业的信息安全管理形成足够重要的认识,当前我国的多数中小企业管理人员在日常的工作中仍然沿袭传统的管理方式,并没有进行变革和创新,因此在信息化普遍应用的今天,仍然是一种信息化的表面现象,在信息安全意识没有深入根植的今天,多数的中小企业信息安全工作只是停留在表面。
2.专业人才缺乏
我国的中小企业在信息安全方面的人才一般都比较缺乏,信息安全工作的不重视使得企业管理人员不愿意花过多的资金在安全保障上,毕竟安全不能够直接产生经济效益,因此在这样的情况下,企业的信息化工作很难得到发展,主要体现在没有专业化的信息安全保障团队,即使有了专门的工作人员,也不能够在技术上达到足够专业的程度,管理人员和技术人员互相都不能够沟通和兼顾,
3.安全资金不足
在信息安全方面,由于我国的中小企业管理者普遍不够重视,因此也就很难投入大量的资金,信息化工作是一项注重系统化的工作,无论是硬件系统还是软件系统的建设维护都需要大量的资金投入,因此离开了足够的资金支持信息安全工作也就无法保证。加上我国中小企业普遍竞争激烈,用于安全的资金十分有限,依靠外部融资的话又没有足够的信用进行借贷,加上借贷的风险也十分庞大,大多数的银行或金融机构都不愿意将资金用在信息安全上。
二、我国中小企业信息安全问题的解决对策
1.强化安全风险意识
我国的中小企业,首先就需要从思想上认识到安全也是重要工作这样一种思想,只有了解以后才能够根据当前的问题进行针对性解决。信息安全系统的建设并不是所有的安全工作都到位,还需要根据企业的实际情况建立合适的安全策略,并在意识上强化工作人员的安全防范思想,将安全摆在重要的位置上,也就是说企业的信息安全工作需要企业管理人员的大力支持,还需要适合企业自身的安全防范方案,只有在管理层思想上和执行层的行动上同时做到位,企业的整体信息安全工作才能够真正有效保障企业的安全。
2.建设合理安全策略
在安全策略的选择上,无论企业选择了哪一种方案,企业的用户都要了解安全解决方案只能够是企业信息安全工作的一部分,甚至只是基础性的工作,企业不能够过度依赖安全工具的使用,而疏于防范人的因素,这是由于当前的安全事件统计来看,我国的中小企业在信息安全问题上出现最多的就是人为的安全事件,因此企业的管理者必须要针对内部控制建立有效的内部安全策略,保证企业的每一个员工都能够准确执行自身的工作任务。
值得注意的是,近些年来企业的网络信息交流工具越来越多例如Skype、BT等等,怎样对这些数据传输工具进行管理对于信息安全工作来说是十分重要的,虽然这些信息安全管理会在一定程度上影响到企业的网络质量,但是这些都是目前中小企业无法摆脱的应用工具,因此针对这样的现象我国的中小企业需要进行细分化的处理方式,例如让企业用户使用带有IPS的协议分析过滤功能的交换机,在一定安全限制的条件下进行网络数据传输应用。
3.信息安全外包建设
许多中小企业在自身信息安全建设的过程中,由于经验不足或者专业知识的缺乏无法独立完成建设,因此会在建设过程中带来大量资金的浪费,还有软硬件的升级上也需要后期的大量资金投入,加上建设工作需要消耗大量的人力资源,信息中心的网络维护工作和安全管理人员,这些都是不可避免地投入。
三、总结
总的来说,当前我国中小企业的信息安全建设工作主要集中在自身安全策略以及解决方案上,目前随着时间的发展,中小企业的信息安全漏洞会越来越多,问题也会越来越加剧,但是我国的中小企业已经正在开始意识到该问题,将越来越多的资金投入在信息安全建设上,并通过外包的方式使用性价比较高的解决方案,只有用专业的信息安全建设在自身的管理运营中,中小企业才能够真正在市场竞争中处于优势地位。
参考文献:
[1]林山.中小企业信息安全问题及解决方案[D].重庆大学,2007.
[2]佚名.中小企业您的信息安全吗?[J].网络与信息,2002,(1).
[3]陈俊豪.浅析中小企业电子商务中的信息安全问题[J].中国商贸,2010,(25).
数年来,攀普科技运用信息化安全服务模式以专业、完善的技术成功为数万家企事业单位提供了数据安全解决方案。目前公司拥有一支由业内资深技术人才、优秀的管理人才及服务人才组成的运营团队,它具有10年的数据安全研发及服务经验,与全球知名的软件厂商、硬件厂商、通信企业、金融业等紧密合作,共同为企业提供更安全、更便捷、更及时的服务体系。攀普科技信息化安全服务模式具有高安全、高效率、低成本三大特点,为企业信息数据进行多方位的安全保护,使企业核心数据安全时刻轻松掌控在企业家的手中。攀普科技创造卓越的信息化安全服务模式,为企业的IT部门建筑一道稳固的数据安全长城。
项目介绍
攀普科技数据安全项目提出信息化建设的新模式,将企业的信息化应用系统放置在攀普科技统一规划的机房内统一安全管理,提供高性能的硬件设施、专有的数据安全加密技术、全面完善的容灾备份等服务,能有效抵御黑客入侵,保证服务器在最佳的状态中运行。相对于企业现有的安全防护,这种方式更安全、更稳定,使企业无后顾之忧。
安全系数高:在数据链路层、网络层、物理层、传输层、会话层、表示层、应用层上进行周到完善的信息数据安全服务及规范管理。攀普科技的数据层做到更专业、更安全的保护。
应用效率高:攀普科技数据安全项目将企业信息系统放置在专业数据机房集中管理,由硬件工程师、软件工程师、系统工程师、网络工程师等四大专业团队共同值守维护。企业的信息系统数据存放在本地,客户只需一个电话,攀普科技的软件工程师与网络工程师就会第一时间帮客户处理问题。
建设成本低:攀普科技拥有电信级的机房,有最专业技术人才,有最安全的数据安全管理模式,能让用户的信息化建设投入成本节省60%以上,维护成本降低40%以上。
产品介绍
为了提高企业对信息数据安全行业的认知度以及对信息数据安全产品有必要了解,攀普科技为企业信息化安全提供多样型系统产品,根据企业实际需求选择对应的产品。
A系列:为企业信息化提供全方位的数据安全服务。
A1:单个小型信息系统的数据安全方案。适用于小型企业OA、HR、CRM、财务软件等小型软件。它以高安全性、高效率、快速搭建为核心的设计理念,让企业集中精力发展核心业务。
A2:中大型企业信息化安全解决方案。适用于中大型ERP或多平台的信息化软件。集中式管理、点对点服务让企业轻松掌控核心数据。
A3:定制服务灵活,运用于所有用户。根据用户实际情况由用户自行选择定制服务项目,如自定服务器品牌、自定信息安全管理方案等。它可帮助用户建立便捷、高效、完善的信息安全解决方案。
I系列:软件+安全整体信息化解决方案。
APT攻击仍是“心腹大患”
报告显示,本季度亚信安全客户终端检测并拦截恶意程序约 12128 万次,与前几个季度相比,恶意程序数量相对稳定。但是,这并不意味着企业在威胁防御方面可以掉以轻心。事实上,恶意程序正在变得更具隐蔽性、针对性,这也是APT攻击的常用手法。在Rotten Tomato APT 组织的攻击中,攻击者主要利用微软Office漏洞来将恶意程序附带到Office文件中。之后,不法分子会以清单、通知、快递等信息为幌子,精心编造邮件以诱使企业员工点击。一旦点击,恶意程序就可能通过内网感染企业系统,继而导致企业机密信息外泄。
亚信安全发现,虽然该 APT 利用的是Office 的已知漏洞,但由于大量企业用户并没有及时升级版本或修复漏洞,所以他们处于APT攻击的威胁之中。加上企业内部人员安全意识参差不齐,防病毒和入侵检测系统部署不到位,鱼叉式钓鱼邮件往往可轻松直达内网,严重威胁企业信息安全。
亚信安全技术总经理蔡N钦指出:“要更好地防范APT攻击,企业信息安全要着眼于构建多层防护体制,定期更新系统和应用软件补丁、升级安全软件特征库。同时也要加强员工信息安全培训,教育员工养成良好的安全意识,不随意打开陌生来源的邮件附件。”
金融安全再敲警钟
在第三季度,金融行业再次爆出严重的网络安全事件。7月份,台湾发生 ATM 机自动吐钱事件,总计 41 台 ATM 机被盗,被盗金额达 8327 余万元;无独有偶,一个月后,泰国 ATM 机被盗,总计 21 台 ATM 机受影响,损失达 1200万泰铢。在这两起事件中,入侵者都是通过仿冒更新软件程序在ATM 机中植入恶意程序,并通过ATM远程控制服务(Telnet Service)来控制ATM 机吐钞。
蔡N钦表示:“ATM自动吐钱事件再度证明了金融安全的脆弱性,近年来不仅与银行有关的网络钓鱼网站数量出现激增,针对金融行业的移动安全威胁、高级持续性攻击也迅速增长。要防范此类攻击,不仅要及时更新系统和安全软件,在防御构建上也要做到整体的关联与对应,这对隔离网络犯罪者的定点攻击有着关键作用。”
移动及物联网设备风险剧增
在近几年,移动及物联网设备数量出现爆发式增长,这正吸引着大量不法分子的入侵。第三季度报告显示,安卓平台的恶意程序仍然呈现快速增长的趋势,亚信安全对 APK 文件的处理数量已经累计达到 3595 万个,比去年同期增长将近一倍。
紧盯热门APP以及热门设备是移动恶意程序的突出特征。在本季度,亚信安全就截获一款仿冒《Pokemon GO》APP 的勒索软件,该款勒索软件能加密用户手机文件,以勒索高额赎金。另外,黑客还利用苹果 iOS 系统的“三叉戟”0day 漏洞来远程控制用户手机,会造成短信、邮件、通话记录、电话录音、存储密码等大量隐私数据的失窃。这提醒用户即使在使用以安全性著称的苹果手机时,也要注意防范安全风险。
网络在给人们带来方便和快捷的同时,也带来了一大堆令人头疼的安全问题。保险公司网络中大量敏感机密数据的保护,是网络发展必须要面对和解决的问题,部署更高安全级别的身份认证就是其中一个重要的措施。
近几年来,各大保险公司逐步停止各类手工保单的销售,容易遗失、涂改、仿制的手工保单将全面退出保险市场,代之以“电脑出单”。中国保监会已要求所有保险公司实现内部电脑联网、实时管理和集中管理,完成电脑出单,以减少人为错误,确保保险行业中最重要的根本因素――保单的真实可靠.
为金融信息安全保驾护航
因此专门为金融服务机构所设计的信息风险管理解决方案显得尤为重要,RSA也为中国金融业提出了“以信息为核心”的安全新思维。
此方案提供动态的防御,关注保障流动中的信息,为金融机构提供一个全面的信息风险监控和管理流程,弥补了以“边界安全”为关注点的传统安全思路所具有的缺陷。
无论信息移动到哪里、被谁访问、如何使用,该方案均能在信息的整个生命周期中及时、有效地识别评估风险,以消除企业所面临的信息风险。
EMC公司执行副总裁、EMC信息安全事业部RSA全球总裁亚瑟・科维洛表示:“全球商业日趋数字化、日趋复杂,随之出现的各类风险亦是如此,这一趋势在金融行业尤甚。
双因素动态认证。全面保护信息安全
金融机构逐渐认识到,要想真正地生存并发展繁荣,他们必须改变以往对风险简单、孤立的看法和处理方式,而需在整个企业机构及其客户群中实施全面整合的信息管理方式。这正是RSA的技术专长和解决方案所能实现的。
以中国金融行业为例,以往大都是采用传统的企业安全防御手段,通过保证边界安全来减少关键业务信息的风险。
信息安全应该是一个多层次、多因素、综合的动态过程,要求对信息系统和组织体系进行综合思考和统一规划。
企业业务发展助推器
实验项目名称:企业信息化
实验目的:了解企业信息化的一般过程。
掌握企业信息化中企业领导的管理工作。
掌握企业信息化中一般员工的工作。
实验情况及实验结果:1、上网查找一个企业信息化的成功案例,思考一下问题:
(1) 该企业为何进行信息化的建设?
答:中国人民财产保险股份有限公司就是一个成功的信息化的企业.
九十年代,随着网络等信息技术的发展,公司的信息技术建设也迈上了新的台阶。由于公司机构众多,各地业务差异较大,信息系统建设多是各自为政,全盘的考虑与规划存在不足。于是于XX年,公司与ibm携手制定了中国人保信息技术发展五年规划,这是公司战略发展的重要组成部分。规划的制定结合了公司当时的经营、管理情况,并与总公司、分公司各层级管理、技术人员充分沟通、交流,吸收了他们很多的建议、想法,同时参考了国际上许多金融企业成功案例。
(2) 该企业的信息化过程是怎样的?
答: 信息技术五年规划制定以后,信息技术部便以此为参照,目标是建设全险种、大集中、共平台、宽网络、同标准的基本体系架构。
信息化整体思路:
1、数据模型标准化,应用平台统一化;
2、业务数据逐步集中存储,业务系统逐步集中处理;
3、分析产生的数据,为业务、管理和决策服务;
4、加强网络和信息安全建设,提供多渠道的客户访问服务。
(3)信息化给企业带来了什么效益?
答: 回顾几年以来公司信息化建设历程,已基本建成全险种、大集中、共平台、宽网络、同标准的基本体系架构,并在数据的分析处理方面作了大量工作,成果斐然。信息化建设的思路是科学合理地制定战略发展规划,并建立了标准化体系,搭建了统一的应用平台,然后将数据和业务处理逐步集中,在此基础上,进行数据的分析处理,为公司业务经营和管理决策服务。与此同时,进行网络和信息安全建设,为信息化之路提供更好的条件和保障。指导思想的科学合理性与信息化建设者们的苦干实干相结合,公司的信息化建设结出了累累硕果,得到广泛好评。公司开发的“新一代综合业务处理系统”于XX年9月提名参加了chp ( computer-world honor program,计算机世界荣誉组织)“计算机世界荣誉奖”的评选,此奖项评选由idg集团组织,全球上百家顶级it公司总裁作为评委,是当今世界信息技术领域最高奖项之一,有“it奥斯卡”之称。XX年4月,该系统已经获得本年度“计算机世界荣誉奖”21世纪贡献大奖提名奖。这是今年全球唯一一家保险企业获奖,也是继招商银行去年获奖后,我国第二家以及本年度唯一一家在该奖项的“金融、保险及地产领域”获此殊荣的国内企业。
(4)结合我们学过的知识,发现mis、crm、mrp、mrpⅱ和erp等在企业信息化过程的应用。
答: mrp、mrpⅱ和erp,是企业管理信息系统发展的不同阶段。mpr主要对制造环节中的物流进行管理,使企业达到"既要保证生产又要控制库存"的目的;而mrpⅱ则集成了物流和资金流,将人、财、物,时间等各种资源进行周密计划,合理利用,以提高企业的竞争力;erp的概念则由garter group率先提出,它将供应链、企业业务流程和信息流程都囊括其中。由于erp的概念流传最广,现在已经成为企业管理信息系统的代名词。
mpr(material requirement planning)物料需求计划
mrpⅱ(manufacturing resource planning)制造企业资源计划
(1)IT治理风险。IT治理风险的宏观体现是最高管理层对信息化理解的不确定性、以及企业领导力影响的不确定性;微观体现是缺乏制度化与标准化的约束,缺乏部门之间及流程之间协调、沟通的机制,造成IT系统与业务需求的脱离,以及IT系统和企业信息资源间的孤立。
(2)遵从性风险。指企业内部IT策略与外部法律法规的遵从(Compliance)所导致的风险。伴随信息技术的发展,国内外出台大量法律法规加强了对信息系统的监管。例如,2002年美国国会的《萨班斯—奥克斯利法案》虽然没有直接明确对信息系统的要求,但据统计,企业在实施符合法案要求的工作中,信息系统方面的工作量占比超过40%;2006年中国银监会《电子银行业务管理办法》和《电子银行安全评估指引》,也直接对技术风险较大的电子银行提出了进行独立的或相对独立的信息系统审计的要求。
(3)信息安全风险。企业信息系统不断开放和复杂,使得信息安全面临来自内外部的严峻挑战。针对企业信息系统的攻击方式简单易学、攻击对象身份隐匿,造成企业信息安全风险极易转化为现实的业务威胁,如支持员工移动办公给企业资产安全性和可用性带来的压力倍增,许多敏感机密信息被轻易泄露。
(4)可用性风险。可用性风险主要来自三个方面,一是IT平台系统自身漏洞导致的系统停机事件越发难以掌控;二是由于事件管理、变更管理、配置管理、连续性计划等IT服务管理流程缺失或不到位,导致IT系统不可用;三是来自自然的灾害威胁着IT系统的可用性。
(5)绩效风险。若IT投资行为不能带来合理的回报,如规划不当、控制不严等,将使组织面临巨大财务风险。同时,如果对IT的投资绩效和运行绩效不能进行有效测量,就不能有效地发现存在的问题,并采取针对性的改进措施。随着信息系统日益成为企业经营成功的核心,且贯穿在完整的流程过程中,企业业务和支撑业务的信息系统愈加无法分割,形成有机的整体。因此,IT风险带来的挑战不仅影响到信息系统本身,也同时会影响到业务的稳定运行及发展,更有可能影响到外部的业务客户。在应对这些IT风险时,传统的方式大多是采用事后反应式的控制措施,使得技术人员疲于应付各种层出不穷的风险,且在面对制度、流程、人员行为等方面带来的风险时,传统的控制方法存在明显不足,而降低企业IT风险的关键是需要有一个主动、科学的风险管理体系。
2企业IT风险管理及其标准指南
企业IT风险管理是围绕企业信息化战略目标,通过在信息系统的规划、开发、运行、维护、监控与评价的各个阶段中降低企业风险的科学化管理流程,包括风险管理的策略制定、风险的识别、风险的评估、风险的处置等环节,以达到企业信息化可持续发展的目标。一个科学的IT风险管理体系是一个具有前瞻性、全局性的控制机制,能综合防范和应对IT治理、法规遵从、系统可用、信息安全、IT外包、业务连续性、IT绩效等诸多方面的企业风险,并能使企业IT战略与企业综合战略相融合,以实现有效益、可持续的信息化发展。信息社会环境下,无论何种规模、什么类型的企业,都需要面临围绕信息系统制定一套管理体系和控制指南,有效地管理企业面临的各种各样的风险,并随着业务环境的变化和新技术的发展及时更新。
在此方面,国内外已经有一些较为成熟的企业IT风险管理的标准或指南。例如美国反虚假财务报告委员会(COSO)于2004年颁布的《COSO企业风险管理框架》,此框架要求企业管理者以风险组合的观点看待企业风险,对包括IT风险在内的所有风险进行识别,并采取措施使企业所承担的风险在风险容纳量(RiskAppetite)的范围内。而美国信息系统审计与控制协会的COBIT标准自1996年诞生以来已经更新到了第四版,已成为全球通用的信息系统审计标准,该标准每一次更新都在不断强化IT风险控制的目标内容,为企业信息系统安全审计提出了具体指导。此外,国际知名的信息安全标准也都提出了各自的IT风险管理控制框架,包括ITIL(Infor-mationTechnologyInfrastructureLibrary,信息技术基础架构库)、ISO27001(信息安全管理使用规则)、CMMI(CapabilityMaturityModelIntegration,能力成熟度模型集成)、Prince2(ProjectsINControlledEn-vironments,受控环境下的项目)等。
近年来,我国的信息化主管部门以及各行业也积极加强了企业风险管理。以金融业为例,2004年9月银监会了《商业银行内部控制评价试行办法》,其中包括了对银行计算机系统的IT风险控制要求;2009年银监会出台了《商业银行信息科技风险管理指引》,2011年银监会了《商业银行业务连续性监管指引》。与此同时,其他行业监管部门也已经或计划出台类似的风险管理措施。上述标准或指南为企业IT风险管理提供了原则指导和对策框架,如何将这些原则性建议与企业自身的工作实际相结合,如何将IT风险管理融入常态化的企业管理机制,仍然是企业管理实践中的难点。因此,本文以我国企业IT风险管理的先行行业———金融业的管理实践为例,详细探讨企业IT风险管理的体系结构及其关系,并就企业IT风险管理的实施提出具体建议。
3企业IT风险管理的体系框架
企业IT风险管理框架通过对企业信息安全各个层面实际需求和风险的分析,引入恰当的安全控制措施,并且同信息系统审计相结合,从而保证企业信息资产的安全性、完整性和可用性。企业IT风险管理框架可分为风险治理、风险评估和风险应对三个主要的方面,并通过风险沟通和监控等手段将三方面有效结合。该体系框架遵循PDCA(Plan、Do、Check、Act)的管理模式,能确保企业IT风险管理始终保持在可持续发展的轨道上,并通过阶段性地进行信息系统审计,以发现存在的偏离,及时调整到信息化的最终目标上来。
3.1风险治理
主要内容包括建立基于风险的信息科技决策、定义风险策略、建立风险组织和风险整合等内容。例如宣传IT风险对于决策的价值、将IT风险考虑纳入业务和IT决策、整合IT风险策略和业务风险策略等都属于风险治理的内容。
3.2风险评估
主要内容包括风险识别、风险分析和风险维护等内容。诸多国际标准都提出了信息安全风险评估的标准,如ISO27001(信息安全管理体系规范)、ISO/IECTR13335(信息技术安全管理指南)、NISTSP800-30(信息技术系统风险管理指南)等,可作为企业实施风险评估实践的参考。风险评估包括识别具体的风险管理对象、识别风险、根据模型进行评估、识别现有控制、分析剩余风险等步骤。风险维护就是对企业识别出的风险进行管理,跟踪风险处置情况,更新风险清单,可通过创建和维护风险数据库来实现。风险维护也是风险评估的重要内容,以实现对风险的持续管理和改进。
3.3风险应对
风险应对就是对已识别的风险进行评估后,制定并落实相应的措施和整体策略,使剩余风险处于可控的范围。风险应对措施包括接受风险、转移风险、避免风险和降低风险。风险应对活动包括确定风险处置方案、实施风险处置、响应和处理风险事件等。
3.险监控/沟通
风险监控/沟通是链接企业IT风险管理各要素的关键环节,是企业IT风险管理体系得以运转的重要方面,包括建立和运行风险指标体系、IT风险内部监督体系、风险报告体系以及风险沟通渠道等。风险管理需要从管理层到普通员工的共同参与,这需要将风险直观准确地展现、横向和纵向的沟通、并持续进行监控。
4企业IT风险管理的实施步骤
为了推进企业IT风险管理体系的实施,本文在总结金融企业信息系统安全风险管理的实施过程,得出企业IT风险管理可行的实施步骤,具体包括识别管理对象、风险识别、风险分析评估、风险应对、风险监控/沟通等五大关键步骤。
4.1管理对象识别
明确风险管理对象是企业实施风险管理的首要步骤,本文提出风险地图(RiskMap)的概念,即实现风险评估对象的可视化,明确识别出全部或特定领域的所有管理对象,只有保证企业风险地图的全面性和准确性,才能准确识别并标示出IT风险所在的位置,从而进行有效的管理,一个全面的IT风险管理可从如下三大维度进行风险管理对象的识别:(1)从资产的角度进行识别,即对组成信息系统的系统、设备和数据等信息资产进行全面识别和统计,具体实施细则可参照ISO27001。(2)从管理领域的角度进行识别,如变更管理、事件管理、配置管理等,具体实施细则可参照COBIT。(3)从服务的角度进行识别,具体实施细可参照ISO20000执行。
4.2风险识别
风险识别是通过科学方法了解企业所面临的IT风险,分析风险的来源、性质,并进行风险处置和风险管理。风险识别通常采用以下方法:(1)头脑风暴;(2)德尔菲方法;(3)故障树分析法,又称分解分析法;(4)业务流程分析法;(5)情景分析法;(6)专家预测法,包括个人经验法、专家会议等形式;(7)筛选、监测、诊断法;(8)资产财务状况分析法。其中,德尔菲方法是最常用的IT风险分析方法之一,具体是指采用“背对背”的沟通方式征询专家小组成员的预测意见,经过几轮征询,使专家小组的意见趋于集中,最后做出合理的预测结论,利用德尔菲法进行IT风险分析的具体流程如下。除了按照上述方法识别风险,也可直接从风险来源入手建立企业的IT风险清单,如行业公认的风险清单、监管要求、监管机构风险提示、过往事件、自我或外部风险评估结果、内部审计发现、管理层和内部员工在工作中的认识等。
4.3风险分析评估
IT风险分析评估是根据一定的评估模型,评估企业IT固有风险值、控制风险值,再根据固有风险值和控制风险值计算出剩余风险值。风险分析是IT风险管理中较难实施的一个环节,尤其是评估模型的制定,可以采用较易开展的定性方式,也可采用准确度较高的定量计算,也可以定量和定性综合使用。以下是一种较为通用的风险分析模型和流程,可以对风险进行量化评估,具体流程包括:(1)计算固有风险值。从影响程度和发生可能性两个维度进行评分,可得出固有风险分值。如下是风险评估的量化模型和公式。其中风险评分从影响程度和发生可能性两方面进行计算,并给出影响程度和发生可能性两方面的评估参数示例。(2)计算控制风险值。结合现有控制评估的结果,从设计、执行、补偿性控制三个层面,参照衡量标准,最终确认控制风险分值。(3)计算剩余风险评估。在获得每一个风险的固有风险等级和控制风险等级后,可根据矩阵获得剩余风险等级值。
4.险应对
首选需要确定管理层的风险偏好等级。风险偏好是为了实现目标,企业在承担风险的种类、大小等方面的基本态度。然后根据剩余风险评估结果及风险偏好,依据内外部需求,并结合实际情况,针对剩余风险提供恰当的控制改进建议,以将剩余风险降低到可接受的水平。风险处置措施包括接受风险、转移风险、避免风险和降低风险。在风险处置计划方面,一方面需要体现可操作性,如分为短期(半年),中期(1年),长期(2-3年),同时也需要考虑多个维度,如组织架构、人员、制度流程和技术等。
4.5IT风险监控/沟通
风险指标是有效进行风险监控和沟通的重要手段。指标是一种可量化的、被事先认可的、用来反映组织目标实现程度的重要标识,是绩效管理的有效手段。企业IT风险管理引入指标体系,可以促进整个活动的有效开展。指标的功能主要表现在以下三个方面:(1)在准备阶段,可以清楚的反映目前企业的信息安全现状,并为制定目标提供依据;(2)在实施过程中,阶段性地反映进展情况;(3)便于各层人员把握活动的进展情况:使高层领导清晰地了解关键要素的进展和改进情况;使管理者集中精力于对活动中的重要和关键要素,及时诊断活动中出现的问题并采取措施。在实践中,应针对关键的风险领域,即根据企业及领导层的风险偏好,建立可监控、可量化的IT关键风险指标。IT关键风险指标来源可包括内外部监管机构数据、自动监控平台数据、IT风险检查果、IT风险自报结果等。关键风险指标可分为风险指标(KRI)、控制指标(KCI)。以变更管理的风险管理指标,可设置紧急变更次数、变更失败比例、变更导致的事件数量等,针对每个变更管理风险管理指标,制定出相应的控制指标,如预警阀值和容忍阀值。
5结语
本文列举了企业敏感信息泄密的渠道、防护措施、管理要素,系统地阐述企业内网信息防泄密的方法。敏感信息的泄密防护是一个复杂的工程,无法采用单一的技术或管理规范来实现,在信息安全管理中只有建立一个人员、技术、管理相和谐的体系,才能有效保护企业的敏感信息数据。
一、信息泄密的途径
1、互联网。
互联网高速发展的今天,企业很难和互联网隔绝,互联网泄密是信息泄密的主要渠道,常见的如下:
即时通讯软件如QQ、MSN等。主要表现在利用即时消息软件文件传输功能、QQ空间,这些软件的不当使用会传播木马,好奇和无知有助于木马的传播,当然这些软件也给主动泄密者提供了很大的方便。
文件共享与传输软件。BT、迅雷等P2P传输软件,FTP文件传输,邮件,互联网“云”资源,如网盘、云盘的不当使用。
BBS、论坛、微博。
木马控制内部机器后,将窃取的信息从内部由互联网传出。
互联网对外服务(如网站或论坛),其系统或应用漏洞被暴露或被黑客攻破。
2、电脑外设接口。
电脑外设接口是文件传输的物理渠道,常见的主要有USB、蓝牙、无线网卡、串口、SD卡、红外接口、1394口、MMC卡。
3、移动存储。
U盘、移动硬盘、各类flash、数码相机、mp3/4等,值得一提的是手机及智能移动设备,也是需要重点关注的存储介质。
4、移动终端。
企业使用的笔记本电脑,由于其移动性应是企业泄密防控的重点管理对象。
这些电脑染毒、木马或者设备本身丢失和被盗会导致员工存在本地存档的电子邮件和文件或将永久丢失,由于员工可能在本地保存重要或敏感数据,对企业也带来非常大的风险。
此外,自带设备办公(BYOD)被越来越多企业关注,一些企业已经开始BYOD应用,这种环境下企业信息流入个人设备也是一个泄密途径。
5、非法外联。
一些企业对内部网和外部网进行了物理或逻辑隔离,统一互联网出口的管控策略,但是内部机器利用拨号、、WI-FI无线路由非法连接,同时使用内外网。
6、非法接入。
不合规的终端和无权用户的非法访问网络资源,通过植入木马或人为故意窃取企业内部信息。
7、维修或报废的电脑或硬盘。
残留数据造成泄密。
8、人。
数据的产生、存储、传递、使用、销毁,数据生命周期管理中,人是最重要的参与者和数据的使用者,人员的信息安全意识差,安全策略的执行力就很低。因此,人员管理是信息泄密管理的难点。
二、信息泄密的类型
信息的泄密可分为被动泄密和主动泄密。被动泄密是指信息资产拥有者或使用人非主观意愿下泄密的风险,包括计算机硬件(笔记本电脑、硬盘、移动存储)的遗失或被窃风险;计算机感染病毒或木马导致的文件被外泄风险,或无意识的信息泄密,而主动泄密指主观故意泄露或窃取信息,具赛迪网统计80%的泄密为主动泄密,主动泄密是信息防护的主要目标。
三、信息泄密的防护
1、信息泄密的防护策略。安全分级,适度保护的策略。
信息安全的目标是保护企业的信息资产,避免遭受各种威胁,降低对企业之伤害。信息资产安全管理的重点是信息资产的安全分级和基于分级的安全保护,企业必须明确定义出敏感信息全生命周期的保护策略,并使相关人员知悉。制定安全策略,并使企业人员知悉是企业信息安全一切工作的基石。
对不同安全级别的信息资产施以相应程度的保护手段是实现“适度保护”的思路之一,“适度保护”并非中庸之道,而是指建立与企业信息安全要求相适应的安全防控体系,具体到信息资产保护策略是指要和企业信息资产的安全分级相适应的安全防护策略,矫枉过正,防护过度,给员工日常办公带来极大不便。
需要说明的是,安全分级比较复杂,根据不同的管理需要分类方法也比较多,常见的有基于系统的分级、基于信息或数据的分级、基于信息风险的分级等。目前大多数企业使用较多的分级是基于系统的等保分级,但采用单一的维度进行安全分级仍然难以提供有针对性的保护,对于信息的泄密防护,针对数据安全分级将使管理目标更为明确和直接,但较难实施,建议关注受保护数据的生命周期管理,包括数据产生、数据传输使用、数据变更、数据存储、数据处置或销毁。
2、信息泄密防护技术
企业内部的防泄密管理手段从根本上可以归结成四类:泄密渠道及边界管控,数据隔离,数据加密,审计(含身份管理)。审计可以说是“跨界”手段,通过审计可找到泄密事件的线索和证据,从而震慑恶意泄密者,而身份管理是将信息打上身份标记,确定归属,是审计的基础。
企业网边界的管控
企业网络边界管控分为外网(互联网、企业间网络)的管控,和内网接入的管控。
在经历了农业社会、工业社会之后,人类社会不可避免地进入了网络社会。网络社会在极大地方便了人们生活的同时,也同时伴生着巨大风险,信息泄露、信息滥用等行为往往导致着各种各样的直接后果和间接后果。互联网金融的发展给经济发展注入了新的活力,但是其自身的信息网络属性也隐含着巨大的信息风险。市场经济是法治经济,网络空间是法治空间,现有立法在防控互联网金融信息风险过程中是否已然充足?未来互联网金融信息风险的法律防控又该走向何处?尚需进一步研究。
一、互联网金融发展的信息风险
根据CNNIC最新的《第38次中国互联网络发展状况统计报告》显示,截至2016年6月,中国网民规模达7.10亿,全年共计新增网民2 132万人。在网民数字飞涨的背后,是互联网从根本上再构人们生活方式、再构整个社会结构的历史进程。互联网的普及极大地改变了人们的生产和生活方式,重塑了传统行业的发展模式,在“互联网+”时代,互联网与传统产业结合,催生了一大批新兴产业,互联网金融顺势而生。
谢平、邹传伟《互联网金融模式研究》正式提出互联网金融模式问题,并从支付方式、信息处理、资源配置[1]三个方面展开论述。之后,关于互联网金融的模式、种类界定林林总总:第一,三分法。中国人民银行金融稳定分析小组《中国金融稳定报告2014》认为,当前,业界和学术界对互联网金融尚无明确的、获得广泛认可的定义,但对互联网支付、P2P网贷、众筹融资等典型业态分类有比较统一的认识。第二,六分法:第三方支付、众筹、大数据金融、互联网金融门户以及金融机构信息化等[2]。第三,八分法:传统金融互联网化、移动支付和第三方支付、互联网货币、基于大数据的征信和网络贷款、基于大数据的保险、对等联网(P2P)、众筹、大数据在证券投资中的应用等。各种分类不一而足。
2015年《关于促进互联网金融健康发展的指导意见》出台,标志着我国互联网金融监管进入有规可循的时代,也明确了官方所认可的互联网金融主要形式。根据该意见,互联网金融主要包括互联网支付、网络借贷、股权众筹融资、互联网基金销售、互联网保险、互联网信托和互联网消费金融等形式,从法律上确定了若干互联网金融类型。该意见的出台确实有利于推动互联网金融发展的规范化、正常化,然而其也未能全面解决互联网金融发展的信息风险问题。对于“信息披露、风险提示和合格投资者制度”与“消费者权益保护”的概括规定显然十分有限。2016年,国务院办公厅印发了《互联网金融风险专项整治工作实施方案的通知》,其规定的重点整治的工作有四?:第一,P2P网络借贷和股权众筹业务;第二,通过互联网开展资产管理及跨界从事金融业务;第三,第三方支付业务;第四,互联网金融领域广告等行为。但是该通知也未就互联网金融的信息风险问题作出专门规定。
在互联网环境下,信息数据在成为社会运转核心方式和关键资源的同时,也成为最大的危险来源。公私领域对于数据利用的需求比以往任何一个时代更加迫切。[3]民众享受互联网金融带来便利的同时,却面临着账号被盗、资金被窃、交易欺诈以及财产损失等诸多潜在的信息安全风险[4]。每年在全球范围内有大约十亿的信息数据泄露记录并且导致近六十亿美元的经济损失。[5]对于处于社会资源配置顶端的金融业更是首当其冲,信息风险严重危及互联网金融的良性发展。其主要包括以下几个方面:
第一,信息系统风险。随着信息技术的发展,在计算机信息系统不断方便人们生活的同时,其信息系统的辐射网络也在日益膨胀,甚至于信息系统已经逐渐脱离于具体的计算机,而成为与社会成千上万人休戚相关的巨大系统。就互联网金融而言,信息系统也成为了互联网上资金周转的根本路径,也自然成为了网络攻击的重点对象。早在2013年1月9日,拍拍贷就遭到了黑客的恶意流量攻击。此后,人人贷、融信网、网贷之家、双乾支付等互联网金融平台屡屡受到攻击。比特币等虚拟货币也未能逃过一劫,比特币平台Gatecoin表示,发生在2016年5月9日到12日之间的攻击最终导致了185 000枚以太币和250枚比特币的损失,总价值200万美元,占平台总资产的15%。
第二,账户信息风险。在信息化、数据化的浪潮之中,用户的资金也愈发电子化。在互联网金融平台上流动着无数的用户资金,账户密码代替了存折、银行卡成为互联网资金的“钥匙”。然而,在互联网金融不断发展的同时,用户的账号也频频遭受信息风险。2014年,央视就曝光犯罪嫌疑人在网络上以2元钱一个的价格向别人购买支付宝账号和密码,使用亲友的身份证号、银行卡号,注册了大量支付宝账户,在十天时间里转走了32万元。其他领域的所谓“盗号”时间也屡屡发生。
第三,用户信息风险。在互联网金融蓬勃发展的同时,互联网金融用户的群体也逐渐壮大起来。在互联网环境下,无论与人身有关的个人信息,还是与行为有关的个人信息,都成为“商品”被随意买卖,互联网金融用户由于身份与金钱有关,更成为重点受害群体。早在2013年,央视“3.15”晚会就曝光,众多不法互联网广告商、网络搜索企业,均通过Cookies暗中跟踪用户的上网行为和用户隐私信息。在有的案件中个人信息倒卖十分猖獗,一个电话号码可能被卖五次,手机定位信息的买卖也司空见惯。
与互联网金融信息风险的一再蔓延相对照,现有立法却显得较为滞后。这些新的机会和风险正对我们的法律制度构成新挑战。[6]法律由于其稳定性,往往自我调整周期较长。无论是信息时代还是网络金融,便捷性、变化性均是其显著特征,这就与传统的金融立法特别是信息金融立法出现了方向性差距。然而,市场经济归根到底是法治经济,互联网金融的良性发展归根到底需要在法律的规范、引导下有序进行,否则2015年由互联网金融野蛮生长诱发的股灾还会到来,互联网金融的信息风险呼唤着立法的修正和更新。
二、防控互联网金融信息风险的立法分析
(一)现有立法概况
互联网金融信息风险多与犯罪行为、行政违法行为相关联,一般不属于平等主体之间的民商事法律关系,与传统经济金融领域的风险不同,其更多地规定在刑法、行政法之中:
第一,刑事立法现状。由于我国刑事立法一直以来采用单一的刑法典模式,有关互联网金融信息风险的犯罪行为也多通过刑法修正案的形式纳入刑法典的规定之中。经过《刑法修正案(五)》、《刑法修正案(七)》、《刑法修正案(九)》,目前主要包括以下罪名:其一,窃取、收买、非法提供信用卡信息罪。该罪由《刑法修正案(五)》于《刑法》第三章“破坏社会主义市场经济秩序罪”中增设第一百七十七条之一,规制“窃取、收买或者非法提供他人信用卡信息资料”的行为。其二,侵犯公民个人信息罪。该罪由《刑法修正案(七)》于《刑法》第四章“侵犯公民人身权利、民主权利罪”中增设第二百五十三条之一,规制“违反国家有关规定向他人出售或者提供公民个人信息”与“窃取或者以其他方法非法获取公民个人信息的”两种行为,并且对于在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的从重处罚。其三,非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪。非法侵入计算机信息系统罪在现行刑法出台时即有规定,只不过当时适用范围仅限于“国家事务、国防建设、尖端科学技术领域的计算机信息系统”,《刑法修正案(七)》将其扩大到一般计算机信息系统。另两个罪名由《刑法修正案(七)》于《刑法》第六章“妨害社会管理秩序罪”中增设第二百八十五条第二款。第二百八十五条对于侵入计算机信息系统、获取计算机信息系统数据、非法控制计算机信息系统数据的行为予以全面规制。其四,破坏计算机信息系统罪。该罪由《刑法》第六章“妨害社会管理秩序罪”中的第二百八十六条规定,规制对计算机信息系统及其存储、处理或者传输的数据和应用程序删改等破坏性行为,以及故意制作、传播计算机病毒等破坏性程序的行为。
第二,行政立法现状。有关互联网金融信息风险的行政违法行为之前主要规定在《治安管理处罚法》中,新进出台的《网络安全法》对此也有规定。其一,《治安管理处罚法》的规定。《治安管理处罚法》第二十九条规定,在违反国家规定的情况下,实施下列行为且造成特定危害的,予以行政处罚:侵入计算机信息系统;对计算机信息系统功能进行删除、修改、增加、干扰;对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的;故意制作、传播计算机病毒等破坏性程序。其二,《网络安全法》。2016年11月出台的《网络安全法》从网络信息安全的角度作出规定。《网络安全法》第四十一条至第四十三条对于个人信息搜集与保管利用提出了具体的要求,并在第四十四条明确指出任何个人和组织不得非法获取、非法出售、非法提供个人信息,第四十五条还对有关部门及其人员对于个人信息的保管提出了具体要求。上述规定构建了相对完整的了个人信息的收集、使用和保管规则体系。此外,《网络安全法》第六十四条规定了侵犯个人信息的行政处罚,对于违反个人信息的收集、使用和保管规则的行为可处警告、没收违法所得、罚款、停业整顿、吊销营业执照等处罚。第六十四条第二款中也在具体的行政处罚之前作出“尚不构成犯罪”的规定。
(二)现有立法分析
总体来看,我国已经初步形成了互联网金融信息风险法律防控体系,但是也存在一定的不足,分述如下:
第一,基本立法框架尚且不够细密。目前,经过《刑法修正案(五)》、《刑法修正案(七)》、《刑法修正案(九)》的不断修正,有关互联网金融信息风险的犯罪行为规定已经较为全面;同时,继《治安管理处罚法》后,《网络安全法》的出台特别是其中有关信息安全的条款适用,客观上对于互联网金融用户的信息安全保护也具有重要意义。鉴于我国采取的是刑法典式的一元刑事立法模式,《网络安全法》第六十四条第二款的衔接规定也有利于其与《刑法》的有关规定相协调。在这个意义上看,可以认为有关互联网金融信息风险的立法框架已经初具规模。
但是,现有立法的不足也是明显的。在《刑法修正案(九)》修正侵犯公民个人信息罪等犯罪后,2005年出台《治安管理处罚法》中的原有规定就显得十分不足。即对该类行为中较为轻微的行为,或者科以过重的刑事处罚,或者放任其一再蔓延,不利于有效地打击侵犯互联网金融用户等公民个人信息的行为。更为重要的是,目前缺乏与互联网金融信息风险直接相关的具体规定。《网络安全法》等法律中有关的条款虽然可以间接适用,但是其针对性、有效性都会大打折扣。《电子商务法》虽然已经形成草案,但是尚未出台,而且一些规定也有待于进一步完善。
第二,对于互联网金融信息风险有关双方的变化未能及时回应。一方面,现有立法对于可能遭受风险的主体扩张未能及时回应,互联网金融企业用户信息权的保护存在问题。随着互联网金融的发展,其用户范围也不仅仅局限于公民个人,而是在事实上包括了企业用户。就企业而言,传统意义上其基本法人权利可以通过《公司法》、《合伙企业法》等法律予以保护,而对于其商业秘密则可以通过《反不正当竞争法》等法律予以保护,这样的保护体系在传统社会中已然较为充足,但是在信息社会则难以面对其信息保护的问题。比如企业用户的法定代表人姓名、银行账户等信息在交易中很容易被获取,这些信息无法通过前述的保护方法予以保护,但是一旦被泄露和非法利用,很容易对于互联网金融企业的经济利润、商业声誉施加不利影响。另一方面,现有立法对于可能引起风险的主体扩张未能及时回??。不仅传统意义上恶意实施的非法侵入、破坏计算机信息系统的行为存在,“善意”的非法侵入行为也已经成为事实。比如,“白帽子”(也称“道德黑客”)的问题。“白帽子”通过向相关平台或者厂家反馈、漏洞,以敦促厂家在漏洞被黑客攻击利用之前将其修复完善,维护计算机和互联网安全。但是,这样一种行为很可能给企业带来客观的风险。2015年12月,袁某通过安全测试软件(自带缓存功能,会自动将测试信息存储到本地隐藏文件夹)发现某社交网站存在安全漏洞。为验证漏洞确实存在,袁某通过其发现的漏洞浏览了该社交网站的部分数据。随后,袁某将上述漏洞提交至其所属的某互联网漏洞报告平台(以下简称“漏洞平台”),漏洞平台遂向社交网站通知了漏洞信息,使网站漏洞得以及时修复。但在漏洞修复过程中,社交平台发现有九百余条有效数据被网站攻击者获取。对于这样“善意”带来的风险如何防控则是需要研究的新命题。
第三,互联网金融消费者信息安全的法律保护仍显不足。虽然现有刑事立法与行政立法对于包括互联网金融消费者在内的个人信息保护力度一再加强,但是目前仍然存在以下两个不足:一方面,缺乏对于互联网金融消费者信息安全的特别保护。无论《刑法》还是《网络安全法》,均是以“个人信息”为对象进行保护,但是金融领域的信息安全有其特殊性与重要性。2011年公布的《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》对此已有认识,其规定获取“支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的”即构成犯罪,而其他“身份认证信息五百组以上的”才构成犯罪。现有立法中却缺乏对于互联网金融消费者信息安全的特别保护规定。另一方面,缺乏对于非法利用互联网金融消费者信息行为的独立规制。大数据技术的发展特别是数据挖掘利用技术的提升,互联网金融消费者个人信息利用的利益也越来越大,非法利用行为已经在事实上重构了侵犯个人信息行为的体系。这些行为活动不是出售、非法提供而是非法使用公民个人信息。[7]非法利用行为不但成为体系中的重要行为之一,而且成为该体系的核心行为,成为非法获取、非法提供行为的目的和前提。比如前文所述的对于支付宝账户的利用行为,如果说直接的支付行为尚可以?{入传统的盗窃罪、诈骗罪等犯罪予以处罚,那么对于其账户本身信用、个人资料等信息的非法利用则存在入罪的障碍,不利于有效保护互联网金融消费者信息安全。因而需要重新考虑侵犯个人信息犯罪行为的体系,以有效地规制非法利用互联网金融消费者信息个人信息的行为。
三、防控互联网金融信息风险的法律对策
(一)健全互联网金融信息安全立法体系
通过法律手段有效防控互联网金融信息风险最为根本的途径就是健全完善互联网金融信息安全立法体系,使互联网金融信息风险的防控全面纳入法治的轨道。在现有的立法框架与状况下,应侧重从以下两个方面予以完善:
第一,出台专门立法与规定。信息风险防控是互联网金融与传统金融风险防控相比最为突出的新问题,传统金融相关立法在调整其信息风险过程中难以完全适用,而与信息网络有关的刑事法、行政法则多是从网络信息安全的一般层面规定,现有的诸如《关于促进互联网金融健康发展的指导意见》、《关于印发互联网金融风险专项整治工作实施方案的通知》等文件不但立法层级有限而且缺乏义务与责任的规定,应及时在立法层面制定专门的互联网金融信息风险防控立法或者规定。目前《电子商务法》正在起草过程中,其草案正向社会征求意见,然而值得玩味的是,草案第三条规定“涉及金融类产品和服务、利用信息网络播放音视频节目以及网络出版等内容方面的服务,不适用本法”。但是草案第三章“电子商务交易与服务”第二节“电子支付”从第三十一条到第三十七条却对于电子支付服务者作了极为详尽的规定,前后条文让人颇感费解。既作为互联网时代电子商务的重要形式,又作为信息社会金融业务的延伸,支付宝等第三方支付平台的双重属性为如何对其恰当立法提出了挑战。笔者认为,应当就互联网金融问题出台专门的法律或者行政法规,并且在其中以一章的篇幅规定互联网金融信息安全问题,且指明第三方支付平台的金融行为依照本法律或者行政法规的规定,以规范和指导互联网金融信息风险的防控。
第二,协调现有立法与规定。目前刑事法和行政法的相关规定仍然存在不协调之处,突出表现在《治安管理处罚法》等法律过于滞后。目前《治安管理处罚法》正处在修订过程中,公布的修订草案也在一定程度上注重与《刑法》的协调,但是仍未能完全衔接。比如,修订草案第九十六条第一款、第二款规定,“明知他人利用信息网络实施违法犯罪,为其提供互联网接入、服务器托管、网络存储、通讯传输等技术支持或者广告推广、支付结算等帮助的,处五日以上十日以下拘留;情节较重的,处十日以上十五日以下拘留。设立用于实施违法犯罪活动的网站、聊天室、论坛、通讯群组等网络平台的,依照前款规定从重处罚。”这两款规定了为其提供互联网接入、服务器托管、网络存储、通讯传输等技术支持或者广告推广、支付结算等帮助,以及设立用于实施违法犯罪活动的网站、聊天室、论坛、通讯群组等网络平台的行为,但是未就与互联网金融信息风险有关的违法犯罪信息与为实施违法犯罪信息的行为作出规定。现实中,互联网金融领域的犯罪往往与大量资金相联系,一旦有关互联网金融犯罪的信息实际上具有更大的社会危害性,修订草案的规定未对此有所体现。建议将“设立用于实施违法犯罪活动的网站、聊天室、论坛、通讯群组等网络平台的”修改为“设立用于实施违法犯罪活动的网站、聊天室、论坛、通讯群组等网络平台,违法犯罪信息,以及为实施违法犯罪信息的”。此外,也应通过修订的形式将其他法律予以完善和协调,构建科学合理的立法体系。
(二)重视互联网金融企业的信息保护
随着互联网的发展,进入互联网的主体范围早已不仅仅是具体的网民和特定的IP地址,企业作为重要的主体介入互联网发展,互联网金融信息安全领域企业信息安全的保护也应受到立法的重视:
第一,应在立法上给予互联网金融企业信息权利必要的保护。纵观我国现有立法,均是针对个人信息安全保护所展开的,《网络安全法》中所采纳的概念是“个人信息”,《刑法》中创设的罪名是“侵犯公民个人信息罪”,《关于加强网络信息保护的决定》所保护的也主要是“公民个人电子信息”。学者之前给出的相关规定也是诸如“保护电子商务消费者个人信息安全以及其他合法权益”的表述[8]。这样以个人信息为唯一保护对象的模式显然不利于企业用户信息的法律保护。应在立法中肯定包括互联网金融企业在内的企业信息权利,比如,《电子商务法》草案第四十五条的规定就可以表述为:“本法所称用户信息,是指电子商务经营主体在电子商务活动中收集的能够单独或者与其他信息结合识别特定用户的信息,如自然人姓名、身份证件号码、住址、联系方式、位置信息、银行卡信息、交易记录、支付记录、快递物流记录等,单位名称、名誉等。”
第二,应重视通过立法引导互联网金融企业信息系统安全的保护。袁某一案中,互联网企业报警信息数据被获取反而让立法机关逮捕了“白帽子”袁某,从而引起了“白帽子”群体的反对,《刑法》在这一过程中反而起了反作用,如果类似案件发生在互联网金融企业那无疑会使大量的资金陷入信息安全风险之中。应通过立法引导多方主体共同参与互联网金融企业的信息安全保护:其一,应引导官方和民间网络安全力量共同维护互联网金融企业信息系统的安全,特别是积极引导“白帽子”等民间网络安全力量与互联网金融企业实现“联姻”。其二,应引导互联网金融企业自身注重信息安全的保护,在资质审核、定期检查中将信息安全作为重要的参考依据,使互联网金融的信息安全意识与能力得到有效提升。其三,应推动良性的社会信息安全平台建立并参与互联网金融信息安全维护。在袁某一案发生后,“乌云”漏洞平台被?P闭,漏洞平台与互联网企业的紧张关系并未消弭,应以立法积极推动这一鸿沟的跨越。
(三)严厉打击侵犯互联网金融消费者信息行为
近年来,云计算及虚拟化技术凭借高效的资源利用、智能的管理模式以及强大便捷的移动办公能力,获得众多企事业单位的青睐,并在电信、能源、金融、政府、医疗和教育等行业迅速普及,可以预见,用虚拟化系统支持企业办公,将是未来的大趋势。据相关调研机构的数据显示,2012年国内虚拟化产品用户数量比2011年增加了80%左右,在未来五年中,虚拟化产品的用户数量将继续保持50%以上的年复合增长率。
近日,安全厂商瑞星公司隆重推出重量级企业信息安全产品——瑞星虚拟化系统安全软件。该款产品的问世填补了国内信息安全市场在虚拟化技术相关的空白。
瑞星安全专家介绍,虚拟化系统与传统的办公系统有着巨大的差异,该平台的应用意味着企业内部的信息安全环境将更为复杂。虚拟化系统本身具有资源、数据、服务高度集中的特点,这就使得系统的可靠性、服务的持续性、数据的安全性及网络的稳定性成为影响整个系统运行的关键性因素,一旦其中任何一个环节出现问题,虚拟化系统就面临严重的安全风险。瑞星安全专家表示,“虚拟化系统不出事则已,一旦出现问题,就将是大问题。因此,打造一套专门针对虚拟化系统的信息安全解决方案,就显得尤为重要”。
瑞星安全专家表示,此次的瑞星虚拟化系统安全软件不仅能够与VMware虚拟化平台无缝结合,而且具有非常高的可靠性和安全性,从而完美保护虚拟化系统的信息安全。虚拟化系统将为企业办公乃至未来人们的生活方式带来巨大的变革,对科技发展甚至是全球经济的发展,都将有深远的影响,瑞星此次的虚拟化安全产品不仅体现了其在信息安全领域的专业优势,而且与VMware能够完美兼容。中国首款虚拟化系统安全方案由瑞星公司来打造,对中国虚拟化市场健康快速发展将起到关键推动作用。据了解,目前虚拟化系统安全解决方案存在有和无两种模式。有模式就是在每台虚拟机中安装独立的杀毒软件,当进行全网扫描时,整个虚拟网络很可能出现大量资源被占用的情况,系统速度将严重降低甚至出现宕机,这种现象在信息安全领域被称作安全风暴。安全专家指出,安全风暴的产生实际上违背了虚拟化系统的设计初衷,高效、稳定、智能资源分配才是虚拟化系统的价值所在。针对这个问题,瑞星虚拟化系统安全软件采用了基于ESXi层的无模式,能够从最底层保护虚拟化系统的信息安全,从而大大降低了安全系统对虚拟平台的影响,避免了安全风暴的产生。从某种意义上讲,只有采用了无模式的信息安全软件才能保证虚拟化系统的高效利用和可靠性。
瑞星副总裁张雨牧表示,虚拟化技术将是未来企业办公的发展方向,虚拟化系统的信息安全将在企业乃至整个国家未来的经济发展过程中起到至关重要的作用。
关键词: 会计信息系统;系统安全体系;金融会计
一、网络金融会计信息系统的含义
网络金融会计信息系统是指建立在网络环境基础上的会计信息系统网络环境,包括两部分:一是金融企业内部网络环境,即内网,通过组建金融企业内部网络结构实现内部各部门之间的信息交流和共享;二是国际网络环境,即通过互联网使金融企业同外部进行信息交流与共享,基于互联网的会计信息系统,也可以说是基于内联网的会计信息系统,即金融企业的内联网和互联网连接,为金融企业内各部门之间,金融企业与客户、税务、审计等部门之间建立开放、分布、实时的双向多媒体信息交流环境创造了条件,也使金融企业会计与业务一体化处理和实时监管成为现实,原来封闭的局域网会计信息系统被推上开放的互联网世界后,一方面给金融企业带来了前所未有的会计与业务一体化处理和实时监管的优越性,另一方面由于互联网系统的分布式、开放性等特点,其与原有集中封闭的会计信息系统比较,系统在安全上的问题也更加突出,互联网会计信息系统的风险性更大。
二、当前网络金融会计信息系统存在安全隐患
(一)金融会计信息安全组织管理体系不完善
目前,金融企业尚未建立起一套完整的计算机安全管理组织体系,金融会计信息系统的建设在安全设计方面缺乏总体考虑和统一规划部署,各系统根据自己的理解进行规划建设,技术要求不规范,技术标准各异,技术体制混乱。国家标准制定严重滞后,法律法规不能满足金融会计信息系统的安全需求,现行计算机安全法律法规不能为金融会计信息系统安全管理提供完整配套的法律依据,在一定程度上存在法律漏洞、死角和非一致性。
(二)网络金融会计信息数据不安全
网络金融会计数据是记录在各种单、证、账、表原始记录或初步加工后的会计资料,它反映企业的经营情况和经营成果,对外具有较高的保密性,连接互连网后,会计数据能迅速传播,其安全性降低,风险因素大大增加,网络金融会计的信息工作平台是互联网,在其运作过程中,正确性、有效性会受到技术障碍的限制和网络与应用软件接口的限制,如网络软件选配不合适,网络操作系统和应用软件没有及时升级,或安全配置参数不规则,网络线路故障导致工作站瘫痪、操作失误等,系统间数据的大量流动还可能使金融企业机密数据无形中向外开放,数据通过线路传输,某个环节出现微小的干扰或差错,都会导致严重的后果,互连网结构的会计信息系统,由于其分布式、开放性、远程实时处理的特点,系统的一致性、可控性降低,一旦出现故障,影响面更广,数据在国际线路上传输,数据的一致性保障更难,系统恢复处理的成本更高。
(三) 网络金融信息泄露导致金融会计信息失真
在信息技术高速发展的今天,信息己经成为金融企业的一项重要资本,甚至决定了金融企业在激烈的市场竞争中的成败。而金融会计信息的真实、完整、准确是对金融会计信息处理的基本要求。由于金融会计信息是金融企业生产经营活动的综合、全面的反映。金融会计信息的质量不仅仅关系到金融会计信息系统,还影响到金融企业管理的其他系统,目前利用高技术手段窃取金融企业机密是当今计算机犯罪的主要目的之一,也是构成金融会计信息系统安全风险的重要形式。其主要原因:一是电信网络本身安全级别低,设备可控性差,且多采用开放式操作系统,很难抵御黑客攻击;二是由于电信网络不负责对金融企业应用系统提供安全访问控制,通信系统己成为信息安全的严重漏洞,但许多金融企业对此未加以足够重视而采取有效的防护措施。由于这些原因导致了金融会计信息系统的安全受到侵害,造成了信息的泄露,使金融会计信息失真。
(四)金融会计信息系统的存在安全威胁
目前金融企业计算机已广泛联网,这是金融企业扩大业务范围,实现信息共享的必然结果。由于网络分布广,不容易集中管理,许多系统又是在存在安全漏洞与威胁的环境下工作的,不法分子可以在网上任意地点攻击,使金融企业不知不觉中被偷盗资金或泄露机密。金融企业经营的资金,不法分子作案得逞就能弄到金钱,因此其已成为犯罪分子攻击的主要目标,且作案手段繁多,方法越来越高明。作案分子有以下三类: (1)内部人员作案。金融企业内部人员熟悉金融企业业务和金融企业会计软件的薄弱环节与漏洞,若禁不住金钱的诱惑,就会铤而走险,钻制度不严的空子,利用合法身份或明或暗或用高科技手段作案,侵吞国家资产或非法转移客户存款。( 2)外部攻击。外部攻击具有作案地点广泛、案情复杂且作案手段日趋技术化、智能化等特点,给金融企业及客户造成巨大损失,跟踪与破案难度很大。(3)内外勾结作案。犯罪分子利用金融企业管理上的漏洞与松懈,内外勾结,冲破重重关卡联合作案。此类攻击后果尤为严重,风险最大。
三、构建网络金融会计信息系统安全体系思路与方法
采用现代信息系统实用安全概念、安全防护、安全检测、安全反应是构成计算机安全管理的核心环节,各个环节形成循环密切相关。构建网络金融会计信息系统安全体系关键在以下几个方面把握:
1、完善网络金融会计信息系统技术法规、标准和制度体系建设
加快标准规范和制度体系基础工作步伐,统筹规划、结合国家和行业监管部门,重点加强电子支付及信息产品与服务的测评、准入、认证等相关技术法规与标准。密切结合金融企业信息化发展实际,借鉴国内外先进经验和做法,加紧建立和不断完善集中式数据中心运营规范和制度体系,加强网络金融会计信息安全的各项规章制度建设,逐步实现一个岗位一项制度,全面落实“让标准说话,按制度办事”的信息安全管理准则。
2、金融会计信息系统的物理安全的控制
建立金融会计信息物理安全控制,主要有三种关键技术:第一种是防火墙技术。防火墙是一组基于互联网和金融企业内联网之间的访问控制系统,它充当屏障作用,保护金融企业信息系统(内联网)免受来自互联网的攻击。防火墙由软件系统和硬件设备组合而成,它执行安全管理措施,记录所有可疑事件。防火墙产品主要包括过滤型和应用网关型两种类型。所有互联网与金融企业内联网之间的信息流都必须经过防火墙,通过条件审查确定哪些内容允许外部访问,哪些外部服务可由内部人员访问。因此,防火墙以限制金融会计信息的自由流动为代价来实现网络访问的安全性。第二种是反病毒技术。在金融会计信息系统的运行与维护过程中,应高度重视计算机病毒的防范及相应的技术手段与措施。如采用基于服务器的网络杀毒软件进行实时监控、追踪病毒等等。第三种是备份技术。备份是防止网络环境下金融会计信息系统意外事故最基本、最有效的手段,它包括硬件备份、系统备份、会计软件系统备份和数据备份四个层次。
3、构建金融会计信息保密的安全体系
(1)建立用户分类安全控制体系。在金融企业内部,不同的信息使用者,由于他们的身份不同,以及他们对获取的会计信息要求也不同,因而有必要对这些用户进行分类,以保证不同身份的用户获取与其身份及要求相符的会计信息。对用户分类是通过对用户授予不同的数据管理权限来实现的,一般将权限分为三类即数据库登录权限、资源管理权限和数据库管理员权限等。只有获得了数据库登录权限的用户才能进入数据库管理系统,才有可能进行数据的查询,以获取自己所需的金融会计数据或金融会计信息,但其不能对数据进行修改。而拥有数据管理权限的用户除了拥有上述数据访问权限之外,还可拥有数据库的创建、索引及职责范围内的修改权限等。至于拥有数据库管理员权限的用户他将有数据库管理的一切权限,包括访问其他用户的数据,授予或收回其他用户的各种权限,完成数据的备份、装入与重组以及进行系统的审计等工作。但这类用户一般仅限于极少数的用户,其工作带有全局性和谨慎性,对于金融会计信息系统而言,会计主管就可能是一个数据库管理员。
(2)建立金融会计数据分类安全体系。虽然对用户进行了分类,但并不等于一定能保证用户都根据自己的职责范围访问相关金融会计数据,这是因为同一权限内的用户对数据的管理和使用的范围是不同的,如金融会计工作中的凭证录入员与凭证的审核人员,他们的职责范围就明显地限定了其对数据的使用权限。因此,数据库管理员就必须根据数据库管理系统所提供的数据分类功能,将各个作为可查询的金融会计数据逻辑归并起来,建立一个或多个视图,并赋予相应的名称,并把该视图的查询权限授予相应的用户,从而保证各个用户所访问的是自己职责范围内的会计数据。
(3)建立会计数据加密安全体系。普通的保密技术能够满足一般系统的应用要求,只是通过密码技术对信息加密,是安全的手段。信息加密的核心是密钥,密钥是用来对数据进行编码和解码的一种算法。根据密钥的不同,可将加密技术分为对称加密体制、非对称加密体制和不可逆加密体制三种。对一般数据库来说是较为有效的,但是对金融会计信息系统来说,仅靠普通的保密技术是难以确保金融会计数据安全的。为了防止其他用户对会计数据的非法窃取或篡改,为防止非法用户窃取机密信息和非授权用户越权操作数据,在系统的客户端和服务器之间传输的所有数据都进行双层加密。即第一层加密采用标准SSL协议,该协议能够有效地防破译、防篡改,是一种安全可靠的加密协议;第二层加密采用私有的加密协议,该协议不公开、不采用公算法并且有非常高的加密强度。两层加密确保了会计信息的传输安全,从而保证金融会计信息的安全性。
4、建立网络金融会计信息系统应急预案
制订应急预案的目的是为了确保金融企业正常的金融服务和金融秩序,提高金融企业应对突发事件的能力,在网络金融会计信息系统故障时,将系统中断时间、故障损失和社会影响降到最低,应急预案的核心是建立应急模式下的业务处理流程,详细阐述应急模式的操作步骤,建立相应的事后数据补录和稽核制度,网络金融会计信息系统安全应急预案规定:系统应用部门发现信息系统故障,应及时通知部门负责人;部门负责人应立即通知计算机中心;计算机中心应立即着手查明故障原因,预计系统修复时间,并通知相应部门负责人;若暂时不能修复(超过15分钟),应向安全领导小组报告,由金融企业领导确定是否启动紧急预案;紧急预案启动后,计算机中心应通知各相关部门,启动紧急预案中相关的应急措施;在故障消除后,计算机中心应立即通知各应用部门,并报告安全领导小组,请求结束应急预案的实施;事后计算机中心应将详细的故障原因和处理结果报有关领导。
建立健全网络金融会计信息安全检查机制,加大监督检查工作力度。依据业已确立的技术法规、标准与制度,定期开展信息安全检查工作,确保信息安全保障工作落到实处。建立责任通报制度,对检查中发现的违规行为,按规定处罚相关责任人,对检查中发现的安全问题和隐患,明确责任部门和责任人,限期整改。在开展合规性检查的同时,应综合运用检测工具,明确安全控制目标,加强深度的专项安全检查工作,保证检查工作的针对性、深入性和时效性。
总之,网络金融会计信息系统所面临的外部和内部侵害,使得我们必须采取切实可行的安全对策,以确保系统具有信息保密性、身份的确定性、不可否认性、不可篡改性、可验证性和可控制性。
参考文献:
[1]周慧.《商业银行电子化的风险控制》.《金融与保险》,2003第9期
[2]乔立新、袁爱玲、冯英俊.《建立网络银行操作风险内部控制系统的策略》.《商业研究》,2003年第8期
[3]刘昊.《论我国网络银行的风险及其控制》.《新金融》,2003年第1期
[4]杨周南.《论会计管理信息化的ISCA模型》.《会计研究》,2003年第10期
[5]刘贵栓.《金融企业会计信息失真探析》,《经济师》,2003年第1期
[6]张金城.《计算机会计信息失真风险防范》,浙江人民出版社,2003年1月第1版
[7] 谢赞恩.《中国金融信息化二十年》,《互联网周刊》, 2004年第3期
[8]顾浩.《中国金融企业信息化任重道远》.《上海金融高等专科学校学报》,2003年第4期
安全威胁变局
2007年,垃圾邮件、电脑病毒等传统的安全问题依然是CIO需要防范的重点。不久前,Gartner了年度安全软件市场增长评估报告,预测2007年的销售额将在2006年全年82亿美元的基础上增长10.7%,其中将有53.8%,约为49亿美元的销售额来自反病毒市场。
与此同时,安全威胁的性质正在发生实质性的转变。现在的黑客和病毒编写者已经不再倾向于使网络瘫痪,他们更关注的是如何通过网络获取经济利益。不同来源的行业报告均显示,通过木马程序等方式窃取商业和个人机密信息的行为,以及被远程黑客控制的计算机数量均呈上升势头。随着信息的海量增长,包括各种数据和应用的信息资产对于企业运营正发挥日益重要的作用,对企业应用和数据的进攻正在取代对企业网络环境的进攻成为主要的威胁。
一份IBM专门针对中国企业安全性的调查显示,有38%的中国企业已经意识到,信息安全比实际犯罪对他们的业务更具威胁,企业的品牌和声誉很容易因此造成严重的损失。面临变化了的安全环境和不断加剧的威胁,企业需要加强信息安全意识,从信息资产管理的宏观角度建立安全防御体系。
树立风险导向意识
目前中国的安全市场仍然以安全产品的销售为主。厂家和用户从购置产品的角度看待威胁,在应对病毒破坏、黑客攻击等问题时,基本停留在“兵来将挡”的阶段。总体而言,企业在安全项目方面的回报并不很好,花了很多钱却没有用在企业需要用的地方。其中一个原因是企业难以认识到自己的风险所在,也就难以从投资回报的角度衡量安全投资。同时,安全又是一个涵盖很广的领域,不同的厂家、集成商和用户对安全的理解各有千秋,但有限范围内最好的选择未必在全局上发挥最好的效果。
内部的安全漏洞和来自外部的威胁在数量和范围上都呈现愈演愈烈之势,也给企业用户提出了严重的挑战。针对企业在信息安全领域的管理、项目规划及信息技术的投资比例,笔者认为企业在信息安全管理方面可划分为四种模型,分别为事件导向、工具导向、流程导向和风险导向。
事件导向型企业或者对信息安全的认识较为薄弱,或者缺乏足够的技能和资源来应对安全问题,对安全攻击基本处于遇到问题再解决的被动响应状态。面对每年数量呈直线上升的各类病毒在网络上流行并不断生成新的变种,购置一些基本的防毒设备不可能做到万事大吉。同时,攻击者正在不断改进攻击方法和逃避检测,并更快地利用已知漏洞发起“零日攻击”。这都对事件导向型企业的信息安全管理提出挑战,由于缺乏业务连续性规划,一旦遭受攻击就会导致业务中断,给这类企业带来损失。
工具导向型企业拥有较多的安全预算,能够主动意识到安全问题,遇到问题习惯于通过安全技术或工具来解决,安全管理呈分布式。这类企业通常都在业务运营中大量应用IT技术,对于业务连续性、时效性具有很高的要求,不能承受业务中断带来的损失。由于业务扩展和防范未知风险的需要,他们不可能等待一个安全问题暴露出来才去应对,因此有较完善的安全规划,并主动投资、积极部署最新的安全技术。电信、金融等行业是这一类别的典型。他们需要关注的是需要加强安全管理方面的工作,以配合相关安全技术与工具真正发挥作用。
流程导向型企业受预算等限制,在安全方面的投入不会很多,而侧重于从管理的角度减少安全威胁,加强对人员和流程的控制力度。通常企业会建立较为完善的安全制度和组织。这类企业包括在中国市场的一些外资企业和信息安全观念较强的民营企业。需要关注的是如何将安全的管理制度落地。
以上三种类型的企业在信息安全上都存在不足,没有从企业风险控制的全局出发来看待安全威胁。IBM提倡风险导向型的信息安全管理,这是一种采用工具与流程相结合的方式,也是最为成熟的风险管理模式。风险导向型的企业能够识别风险和确定风险的优先级,根据识别出来的不同类别的风险,决定是加强管理、改善流程,还是进行技术投资,从而做到有的放矢,集中有限的资源应对企业面临的主要威胁。
如何掌控风险
安全项目最大的回报在于降低风险对企业运营带来的损失,但如何才能真正从风险管理的角度进行信息安全建设呢?笔者建议,企业首先需要了解有哪些风险存在,预测、评估其发生的可能性以及对企业的影响程度,尽可能量化风险,然后根据优先顺序,采取适当的预防措施。
仅仅通过预防只能在一定程度上降低风险,而无法解决所有的问题,这时还需要通过制定周密的安全策略以保护企业的关键信息。在防范信息安全风险的同时,用户也应该认识到,任何企业都不会有足够多的人力、物力和财力完全消除风险,要达到100%的信息安全其实是一种不符合客观实际的期望。笔者认为信息安全管理的目标是通过控制方法,把信息风险降到最低,使成本支出达到一个非常合理的状态。总有一些风险是不能避免的,把这些风险分类记录下来,并最终接受它,才是一个理智的风险管理者应有的态度。
信息安全的基本原则要求我们了解风险,并在了解情况的前提下进行决策,以根据消除风险所需要的成本,决定对风险做出反应或者接受。树立风险导向的信息安全管理意识,最终目的在于提高信息安全项目的投资回报,将IT风险作为企业运营风险中的一部分加以管理。
建立完整安全架构
当前信息安全的发展趋势已经不仅仅是升级传统的安全产品,而是从业务策略和整体系统上来考虑安全问题,帮助企业建立安全、完善的IT环境,以应对来自内外部的攻击,降低风险和损失。因此,全方位的安全策略及解决方案对保护企业信息系统的安全不可或缺。
对于多数企业而言,目前都已制定了相关的制度和流程,但还没有企业级整体的信息安全规划和建设,信息安全还没有或很少从整体上进行考虑。IBM企业IT安全服务是一套针对企业信息安全管理的完善解决方案,能够协助企业更加全面地认识信息技术、评估企业的信息安全隐患及薄弱环节,进一步完善企业安全架构,为企业的应用构建高度信息安全的运行环境,共同规划、设计、实施、运作,从而保护企业信息系统的安全。
随着中国信息化进程的发展,信息资产在企业中的重要性不断提升。企业管理者不应该再将信息安全看作一个孤立的或是纯技术的问题,而要从企业运营的全局角度整体看待,制定与企业特点和成长潜力相适应的安全管理架构。
关注市场变化
完善的安全架构必须能够因应市场的变化进行调整,IT部门的决策者必须密切关注市场的变化。2007年安全用户在三类需求上将有突出的增长。CIO需要更好地应对日益增长的法规遵从性要求,更多地关注应用层面,与此同时,积极利用外包的机遇实现更好的投资回报。
在中国,随着信息安全和上市公司相关立法的完善,法规遵从性和相关审计在行业中的要求也正在不断普及,越来越多的公司和行业正努力去满足法律所规定的安全要求。企业在信息管理方面需要做到三点:信息的完整性、信息的保密性和要求信息能够在适当的时间以适当的格式被访问,这都与信息安全密不可分。保护企业数据安全,达到法规遵从性的要求将是CIO们2007年的一大职责。
关键词 PKI;CA;RA;数字证书;信息安全;双因素认证;数字签名;加密
中图分类号:TM769 文献标识码:A 文章编号:1671-7597(2013)15-0119-02
随着国内外网络与信息技术飞速发展和广泛应用,发电企业信息化也在不断深入开展,信息安全形势更加严峻,网络与信息安全工作问题更加突出和重要。发电企业在保证发电安全生产的基础上,逐步通过信息化建设,梳理管理流程,加强内部管控,从而达到提升竞争力的作用。
信息安全是信息化建设的基础和前提,基于PKI技术的数字证书机制构建的应用层信息安全保障体系,已经作为信息安全基础设施,在政府、金融、电信等领域得到广泛应用。如何合理构建安全认证体系,既能满足信息安全管理要求,又能保证投资和信息安全管理可控在控,已经成为发电企业越来越关注的问题。
1 发电企业信息安全现状分析
在发电企业构建电子认证体系以保障业务安全的过程中,主要面临着如下需求和问题。
1)缺少完整的电子认证基础设施,企业内部多级管理体系和独立分支机构的不同信息系统使用的数字证书不统一。
2)自建的电子认证基础设施,有可能不具备相关运营资质,并且建设和运营维护成本较大,而只采购第三方认证机构颁发的数字证书,又不能完全满足企业内部信息化管理的需要。
3)重要核心信息系统未采用双因素认证、数字签名和数据加密等技术手段,无法保证数据保密性、完整性、抗抵赖性等信息安全要求。
为了很好的解决以上问题,结合发电企业信息化建设实际情况,提出以下几点建议。
1)针对发电企业内部多级管理体系和独立分支机构,建设统一的RA注册审核机构,与第三方认证机构PKI/CA基础设施配合,将完整的电子认证服务引入到现有信息系统中,既满足了安全体系完整性,又方便了内部安全认证服务管理。
2)针对不同的信息系统特性,制定双因素认证、数字签名和数据加密等安全认证策略和实施规范,RA系统设计上应方便的与业务系统进行对接和交互,避免成为“信息孤岛”,保证数据保密性、完整性、抗抵赖性等信息安全要求。
3)针对已经使用了数字证书等安全认证的信息系统,应考虑能够实现平滑过渡和无缝对接,防止出现安全体系设计重大变更和大规模系统改造等情况。
2 PKI/CA/RA简介
1)PKI为“公钥基础设施”,是一个用非对称密码算法原理和技术实现的、具有通用性的安全基础设施。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
2)CA认证机构是采用PKI公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构。它是PKI公钥基础设施的核心,主要完成生成/签发证书、生成/签发证书撤销列表(CRL:Certificate Revocation List)、证书和CRL到目录服务器、维护证书数据库和审计日志库等功能,即证书的颁发、证书的更新、证书的查询、证书的作废、证书的归档等功能。
3)RA注册审核机构:RA是数字证书的申请、审核和注册中心。从广义上讲,RA是CA的一个组成部分,主要负责数字证书的申请、审核和注册。
3 基于PKI/CA/RA的安全认证服务平台
3.1 平台架构
通过对发电企业安全现状和需求分析,根据证书签发、证书使用两种应用环境和职责不同,将RA系统划分为RA子系统、证书验证子系统两个子系统。
1)RA子系统:负责证书的申请、签发、更新、状态变更等证书业务功能。RA子系统结构由CA能力接入、系统管理、证书服务、用户自服务等功能模块组成。CA能力接入模块面向第三方CA系统,系统管理模块面向RA系统管理员,证书服务模块面向业务系统,用户自服务模块面向使用证书业务的用户(个人用户、企业用户)。
2)证书验证子系统:负责证书有效性验证、签名验签等证书应用功能,提供非对称密钥运算、摘要运算、签名验签运算、证书验证等证书应用服务。
3.2 数字证书设计
3.2.1 设计原则
RA系统签发的数字证书应具有以下特点。
1)数字证书符合X509v3国际通用标准,可以同发电企业目前的电子认证体系无缝对接,平滑过渡。
2)数字证书获得国家电子认证服务资质认可,受《电子签名法》保护,可以对外使用。
3)支持签发软/硬两种形式的数字证书。
软证书符合PKCS12标准,能方便的在手机、PDA等终端上使用。
硬证书保存在USBKEY等硬件存储介质上,安全可靠。
3.2.2 数字证书类型
按照数字证书的颁发对象不同,数字证书主要分为个人数字证书、机构数字证书和设备数字证书等。
1)个人数字证书,主要用于标识数字证书自然人所有人的身份,包含了个人的身份信息及其公钥,如用户姓名、证件号码、身份类型等。
2)机构数字证书,主要用于标识数字证书机构所有人的身份,包含机构的相关信息及其公钥,如:企业名称、组织机构代码等。
3)设备数字证书,用于在网络应用中标识网络设备的身份,主要包含了设备的相关信息及其公钥,可用于服务器或网络设备标识和验证设备身份。
3.2.3 证书使用范围
从使用范围上来说,企业数字证书分为内部证书、外部
证书。
1)内部证书限于企业内部人员、业务使用,承担行政责任,可以用于企业内部安全保障;企业重要人员的证书采用USBKEY存放,其他人员采用软件存储。
2)外部证书限于企业外部人员、业务使用,如电子商务平台的供应商。承担法律责任,在对外业务出现纠纷时,可以用于法律鉴定,采用USBKEY存放证书。
3.2.4 证书用途
根据数字证书的密钥用途,将证书分为以下两种。
1)签名证书:其私钥可用于对信息的签名。用户在使用私钥对信息签名时,应知晓并确认签名的内容。对于具有身份鉴别用途的证书,其私钥可用于对鉴别方提交的挑战信息签名;在可能的情况下,具有身份鉴别用途的证书及信任链上的证书(根证书除外)应提交给验证方。
2)加密证书:其私钥可用于对采用对应公钥加密的信息
解密。
根据国家密码管理局的相关要求以及发电企业对证书的使用需求,个人证书、企业证书都需要签发双证书(加密证书、签名证书)。
3.2.5 证书存储形态
根据数字证书的存储形态不同,可以将证书存储在以下介质中。
1)软证书:证书以软件形式存放,包括以文件形式或者将证书导入到IE存储;根据信息系统对证书的要求,可以将个人证书(大部分)以软件形态存放。
2)USBKEY证书:证书存储在USBKEY中;企业重要人员的证书采用USBKEY存放,企业外的个人证书、企业证书全部采用USBKEY存储,便于保管。
4 应用实践
目前对于发电企业来讲,PKI/CA/RA安全认证服务主要可应用于以下几个方面。
1)办公自动化系统电子印章管理,采用数字签名及证书对称加密、非对称加密等技术,防止电子文件被篡改、电子印章被非法利用。
2)企业资源计划(ERP)、燃料管理、办公自动化、资金管理、电子商务等重要信息系统的双因素认证,为IT审计提供依据,防止抵赖,进一步保证系统安全。
3)无线网络、VPN网络等网络接入认证管理。
5 结束语
PKI/CA/RA安全认证服务平台实现了统一、完整的电子认证基础设施,为发电企业提供数字证书申请、受理、审批、签发、更新、吊销、等业务功能,数字证书与企业资源计划(ERP)、电子印章、电子商务等信息系统集成,全面支持企业内部和对外电子商务应用,以及重要信息系统、设备的双因素认证。
实践证明,PKI/CA/RA安全认证服务平台在发电企业信息安全工作中,已发挥了不可替代的重要作用,可有效提高信息系统安全性和可靠性,下一步将加强核心业务信息系统中的重要操作、重要信息系统中敏感信息加密、移动办公等方面的研究和应用。
参考文献
[1]龙玉江,白雪,汪浩.PKI/CA技术在电力信息系统安全保障方面的应用研究[J].贵州电力技术,2009(1):40.
[2]刘欣.PKI/CA技术在电力信息系统中的应用研究[J].电力信息化,2009,7(10):30.