金融业信息系统安全现状
一、金融业信息系统安全现状
(一)现状:
中国金融业信息化建设本身已完成金融电子化阶段、金融数据集中化阶段、金融信息系统业务综合化阶段三个阶段的发展规划工作。
与此同时,金融业对信息技术的依赖程度越来越大,金融业信息安全保障难度持续加大,给我国金融业信息安全带来新的更大的挑战。如何应对,要求我们必须高度重视。
1.安全
2.威胁
金融业信息安全工作正面临比以往更严峻的形势,围绕信息网络空间的斗争日趋尖锐,境内外网络违法犯罪活动呈快速递增趋势,恶意代码和网络攻击呈多样化局面,金融业信息系统安全运行的难度加大,挑战增多。
一是人民银行的业务指导、监督管理滞后于金融业信息化发展。
与金融业信息化的高速发展相比,金融业信息安全的指导、监管工作还需要进一步加强。国内曾有专家明确提出,在金融信息化、网络化时代,“信息资产风险监管是现代金融监管体系的核心理念。”信息资产风险指在信息化中,信息资产的规划、设计、开发、生成、存在、运用、服务、管理、维护、监管以及其他相关过程中产生的信用、市场、操作与业务风险。人民银行在金融信息规划、信息标准、信息安全等诸多方面承担着重要职责,在2008奥运年中发挥了重要、积极的作用。但总体来看,人民银行及其分支行对金融机构信息安全工作的指导和监管,还处于初级阶段,由于人民银行分支机构对各金融机构信息安全缺乏指导、缺乏统一的监管目标、缺乏完整的认识,以及缺乏监督管理的依据和标准,从而导致监管措施不到位,监管手段缺失,致使基层行监管缺乏主动性。
二是核心设备和技术依赖于国外,底层技术难以掌握,存在安全隐患。
目前,我国金融业信息系统和网络中,大量使用国外厂商生产的设备,这些设备使用的操作系统、数据库、芯片也大多数是由国外厂商生产。外方不可能提供设备的核心技术和专利,我方很难判断设备是否存在“后门”、“软件陷阱”、“系统漏洞”、“软件炸弹”等安全漏洞。据调查,一些重要网络系统中使用的信息技术产品,都不可避免地存在一定的安全漏洞。这些漏洞可能是开发过程中有意预留,也可能是无意疏忽造成的。特殊情况下,特定安全漏洞可能被利用实施人侵,修改或破坏设备程序,或从设备中窃取机密数据和信息。前一阶段国外炒作的IC卡安全问题以及近年来出现的微软“黑屏事件”,已经为我们敲响了警钟。
三是境内外网络违法犯罪活动呈快速递增趋势,新技术的应用使我们面临更大的挑战。
金融业信息网络和重要信息系统正成为敌对势力、不法分子进行攻击、破坏和恐怖活动的重点目标。金融业信息系统已经遭受到多次攻击,整体信息安全形势严峻。2009年国防科技大学的一项研究表明,我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵人,其中银行、金融和证券机构是攻击重点。
2005年6月18日,被称为有史以来最严重的信息安全案件在美国爆发,万事达、VISA和美国运通公司的主要服务商的数据处理中心网络被黑客程序侵人,导致4000万个账户信息被黑客截获,使客户资金处于十分危险的状态。
由此可见,基于开放性网络的金融服务对我国金融信息安全工作提出严峻的挑战。
四是数据大集中的同时,也使技术风险相对集中。
伴随着数据大集中的实现,风险也相对集中.一旦数据中心发生灾难,将导致金融业的所有分支机构、营业网点和全部的业务处理停顿,或造成客户重要数据的丢失,其后果不堪设想。
近年来,国内外金融机构因为信息技术系统故障导致大面积、较长时问业务中断的事件时有发生。2006年,日本花旗银行出现交易系统故障,5天内约27.5万笔公用事业缴费遭重复扣划或交易后未作月结记录,造成该行的重大声誉损失。
信息系统潜在的风险已引起金融业的高度重视,如何保障后数据大集中时代金融业信息系统安全稳定运行,是需要整个金融业深入研究的课题。
银行业目前存在的安全隐患
●信息传递的安全隐患:
网络硬件的安全缺陷:如可靠性差、电磁辐射、电磁泄漏等。
通信链路的安全缺陷:如电磁辐射、电磁泄露、搭线、串音等。
技术被动引起的网络安全缺陷:计算机的核心芯片多依赖于进口。不少关键网
络设备也依赖于进口。
缺乏系统的安全标准引起的安全缺陷:中国虽然已经有了一些网络安全标准,
但还是很不完善。
●业务系统的安全隐患:
据ICSA统计,来自计算机系统内部的安全威胁高达60%。
非法用户进入系统及合法用户对系统资源的非法使用。
被非法用户截获敏感数据。
非法用户对业务数据进行恶意的修改或插入。
数据发送方在发出数据后加以否认或接收方在收到数据后篡改数据。
在不可信的计算机基础上建立可信点。
3.安全体系
中国人民银行发布《金融行业信息系统信息安全等级保护实施指引》等三项行业标准
为落实国家对金融行业信息系统信息安全等级保护相关工作要求,加强金融行业信息安全管理和技术风险防范,保障金融行业信息系统信息安全等级保护建设、测评、整改工作顺利开展,中国人民银行组织编制了金融行业信息系统信息安全等级保护系列标准(以下简称“金融行业等保标准”)。金融行业等保标准包含《金融行业信息系统信息安全等级保护实施指引》(以下简称“《实施指引》”)、《金融行业信息系统信息安全等级保护测评指南》(以下简称“《测评指南》”)、《金融行业信息安全等级保护测评服务安全指引》(以下简称“《安全指引》”)三项标准。
《实施指引》依据国家《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》标准,结合金融行业特点以及信息系统安全建设需要,对金融行业的信息安全体系架构采用分区分域设计, 并从安全技术、安全管理两个方面详细阐述了对不同等级信息系统的具体要求。安全技术从物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复几个方面提出要求;安全管理从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出要求。
《测评指南》是对《实施指引》中的测评要求提出了具体可操作的测评方法。包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
《安全指引》总结了金融行业应用系统多年的安全需求和业务特点,并参考国际、国内相关信息安全标准及行业标准,明确等级保护测评服务机构安全、人员安全、过程安全、测评对象安全、工具安全等方面的基本要求。
金融行业等保标准为首次发布,将国家等级保护要求行业化、具体化,为金融行业重要网络和信息系统健康、良好发展奠定了基础。(完)
金融行业信息系统信息安全等级保护测评指南JR/T0072-2012
https://www.wendangku.net/doc/783246298.html,/read-htm-tid-17486.html
金融行业信息系统信息安全等级保护实施指引JR/T0071-2012
https://www.wendangku.net/doc/783246298.html,/read-htm-tid-15451.html
金融行业信息安全等级保护测评服务安全指引JR/T0073-2012
https://www.wendangku.net/doc/783246298.html,/read-htm-tid-19169.html
信息传递的安全解决方案:
对于物理层,主要通过制定物理层面的管理规范和措施来提供安全解决方案
对于网络接口层,主要通过线路加密机对数据加密保护。它对所有用户数一起加密,加密后的数据通过通信线路送到另一节点后解密。
对于网际层,主要通过IP密码机来保证网络层数据传输的安全性。
对于传输层,主要通过SSL协议和VPN技术来保证传输层安全。
对于应用层,可以采用节点式密码机来保证应用数据的保密性。
4.算法
目前采用国际算法:DES、IDEA、RSA、MD5、SHA-1
准备迁移的国家商用密码:SM1(芯片实现)、SM2、SM3、SM4
(二)运作思路
1.终极目标
安全芯片供应商
2.途径
从金融业国密迁移咨询入手,介入银行信息系统安全建设;
以与相关部门联合,成为联合体的方式,在人行挂号,在业内树立权威;
二、民生项目方案细化
金融行业轻松建立整体信息安全体系
2010-09-03 11:08出处:安全在线作者:佚名【我要评论4】[导读]伴随着金融服务多样化和金融业务规模不断扩大,尤其是金融行业网络结构和网络应用日趋复杂,其中所蕴含的信息安全风险也日益暴露出来。
金融行业信息安全面临极大风险
伴随着金融服务多样化和金融业务规模不断扩大,尤其是金融行业网络结构和网络应用日趋复杂,其中所蕴含的信息安全风险也日益暴露出来。包括边界安全风险、内网安全风险、应用安全风险和管理安全风险在内的四类信息安全风险严重威胁着金融行业的网络系统架构。其中,由于金融类企业网络结构复杂且多样化,导致在广域网、互联网、企业网内部、第三方接入网边界所受到的黑客攻击、信息传输、病毒入侵、垃圾邮件、越权访问等边界安全风险不可避免。
同时,由于金融类企业具有数据量庞大,业务种类繁杂,通过非法手段可轻易获得高额利益等特点,随着主机系统漏洞、服务配置不当、桌面系统漏洞、内部用户错误操作、合法用户恶意破坏而发生的内网安全风险亦时时威胁着金融类企业网络体系。此外,面对Web 服务器安全、文件服务器安全、业务系统安全等应用安全风险也时时考验着金融类企业网络安全防范措施的功效。
金融行业网络系统的诸多安全风险中,病毒的威胁占据举足轻重的地位。经过对金融业业务现状和网络架构体系等页面的综合分析,瑞星公司认为:金融行业的生产网、办公网下级级联对网关病毒防护和网络监控部署不完善,现有防病毒体系过于老旧,无法满足现代病
毒防护要求,缺乏整体的桌面、主机安全策略,不能完全解决当下的病毒问题。网络安全的压力还来自于不完善的账号管理、认证和授权以及审计等方面,金融业不断多样化的业务需求与信息安全之间的矛盾也在日渐深化。
以整体安全为目标的瑞星解决方案
针对金融行业的三级式网络结构,服务器端与客户端受病毒、木马、蠕虫攻击的特点,以及第三方网络接入口处易产生威胁等网络安全风险,瑞星公司制定了一系列的解决方案。通过瑞星防毒墙、瑞星杀毒软件网络版以及瑞星网络安全预警系统的立体配合为金融机构建立坚实的信息安全保护机制。
首先,瑞星将会在金融行业的总部、省分行、市支行三层网关以及与第三方网络接入口处分别部署瑞星防毒墙,对外部的网络病毒和攻击进行防范。瑞星防毒墙在使用中无需在客户端和服务器上进行设置,而是作为独立于操作系统之外的硬件防毒网关,在企业网络的入口处提供“即插即用”式的保护,将绝大多数病毒悄然挡在企业局域网外面。瑞星防毒墙以瑞星公司先进的第八代虚拟机脱壳引擎和70万的庞大病毒库为基础,能够快速有效地阻断多种网络蠕虫病毒的渗透,维护带宽的正常使用,针对感染病毒的文件进行修复,并删除或隔离无法修复的部分。通过病毒响应机制达到迅速抑制病毒在企业网络中的传播,并通过日志管理功能记录进出网络的数据包,为网络安全问题的查询提供依据。
其次,在金融行业机构全网内部署瑞星杀毒软件网络版,全面监控内部网络的信息安全情况,以求消除网络内及客户端存在的病毒,确保客户端防毒系统的运行及升级正常,并且能够向网络管理员提供指导性的操作建议,帮助他们及时掌握网络中的总体安全情况并针对金融行业特点对防毒策略进行调整。同时,金融类企业的客户段具有分布面积广,端点数量多的特点,瑞星杀毒软件网络版可以帮助网络管理员对这些客户端的查杀病毒、实时监控、主动防御、自我保护、扫描漏洞、安装补丁、即时升级和发送消息等方面进行远程控制。瑞星网络版杀毒软件还具备分组管理的功能,让管理员可以在控制台上按照需要,进行有针对性的特别管理、查杀病毒、设置统一防毒策略、锁定关键选项以防止客户端的修改。由于金融类企业具有严格的层级结构,瑞星所具备的智能升级策略通过下属层从上一层进行升级、分开升级周期、时间,并且允许用户根据自身业务要求调整升级时间,在保证及时升级的同时,能够减少对正常的金融业务通讯造成的影响。
瑞星网络版杀毒软件在金融行业三层的每层核心交换机处架设瑞星网络安全预警系统,借助该系统的快速上报和响应能力、先进的信息交流、指挥功能以及强大的预案和数据库来处理突发事件。根据过往相关项目试验经验所提炼出的整套突发安全事件应急预警与指挥系统解决方案能够帮助金融机构改善安全效果。
瑞星网络版杀毒软件为金融行业信息安全制定的整体解决方案建立于对金融行业信息安全风险深入分析和理解的基础之上,其充分模块化的安全组合、多重防护的安全体系、软硬件间的相互联动以及集中统一的管理与监控,都将极大的提升金融行业企业内部网络的安全系数。
原文出自【比特网】,转载请保留原文链接:https://www.wendangku.net/doc/783246298.html,/52/11519052.shtml
计算机信息系统安全现状及分析 刘莹
计算机信息系统安全现状及分析刘莹 发表时间:2018-11-20T15:20:53.123Z 来源:《防护工程》2018年第20期作者:刘莹 [导读] 计算机使用中,风险种类多,来源广泛,极易造成个人隐私泄露、关键数据丢失等状况,对个人或企业均会产生严重危害。 天津市滨海新区新城镇社区卫生服务中心天津 300450 摘要:计算机使用中,风险种类多,来源广泛,极易造成个人隐私泄露、关键数据丢失等状况,对个人或企业均会产生严重危害。为此,必须提高对网络安全的重视度,结合新型信息技术、管理制度等进行全面防护。本文对计算机信息系统安全现状及措施进行了探讨。 关键词:计算机;信息安全;防范技术 当今的计算机网络信息技术已经成为了人们生活中必不可缺的一部分,人们已经对网络信息技术产生了巨大的依赖,人们通过网络信息技术获取自己想要的信息,这样非常快捷方便。但随着计算机网络技术的不断发展,其中的安全隐患不断出现,出现了越来越多的网络信息诈骗,对人们的生命财产安全造成了极大的威胁。因此,如何加强人们在使用网络技术时保护个人信息的意识特别重要。 1 计算机信息安全重要性 计算机技术可以对数据信息进行快速的收集、处理和存储,在各行各业都有着广泛的应用,其应用范围大到国家机密,小到个人的隐私。随着计算机技术的飞速发展,安全问题引起的信息窃取和数据泄露等问题日益频繁,并有越来越广泛的趋势。这对经济、建设等领域都有着很严重的影响,涉及很多商业机密、商业信息和数据,一旦计算机系统安全保护由病毒或黑客窃取信息的感染,就会造成数据丢失、系统崩溃,给用户造成了一定的经济损失。因此,一定要加强计算机信息安全的防护,确保计算机信息的安全性、完整性、保密性。 2计算机信息系统安全现状 2.1病毒攻击和黑客侵入 计算机病毒就是指通过恶意指令等来干扰与破坏计算机网络系统的稳定运转,即部分不法分子为了达到某一目的而将病毒植入到计算机系统当中,进而来得到其想要得到的数据。潜伏、复制以及寄生性是计算机病毒所具备的几大主要特征,并且其传播起来极其迅速,假如用户出现操作不当或误入某个连接,就会导致计算机感染上病毒。以另一角度来讲,计算机病毒在传播方式方面主要为程序复制,即在程序运转与复制时来对病毒予以传播。其次,会对计算机网络安全造成威胁的还有网络黑客的恶意干扰与攻击,主要为两种类型,即网络攻击与侦查。其中,网络攻击主要指的是黑客通过各类技术手段有目的的对计算机网络予以攻击,进而导致大量数据被泄露和丢失,使得用户面临巨大的损失;网络侦查则主要指的是黑客利用自己所掌握的相关计算机技术将某个或某些计算机当成攻击目标,并破译与截取其中的数据信息,以此来达到其想要达到的目的。尽管这类黑客攻击并不会为计算机的运转带来影响与干扰,但产生的危害是巨大的。 2.2网络管理排除障碍的技术滞后 现阶段,在相关技术人员的推动下,计算机网络得到了进一步发展,进而让人们的生活更加便捷与丰富,但就从事网络管理技术应用的相关企业而言,网络故障对他们来讲极其的令人头疼。主要是由于他们在实际工作的过程中必然会遇到各类问题,并且这些问题都是无法避免与逃避的,需要他们及时发现并在第一时间排除各类障碍的干扰。所以网络管理方面的排除障碍技术需要增强,若网络软件出现停滞,则会导致其工作无法正常的开展,同时也无法在第一时间进行有效的沟通解决,进而在一定程度上阻碍网络工作进度的推进,威胁着相关企业的稳定发展。因此,为了能够让相关企业能够得到更好的发展,就需要不断提升网络技术工作人员的专业素质与管理水平,以此来构建一个和谐、安全的网络环境。 3 计算机信息安全的防范技术 3.1提高用户计算机信息安全防护意识 现阶段,互联网技术在人们生活中的重要性逐渐凸显出来,并且计算机信息安全问题成为影响互联网技术发展的关键部分。因此,应充分重视对计算机信息安全的防护,重点在于提升用户的计算机信息安全防护意识。为了保证计算机用户安全意识的强化,应对其进行基础安全防护知识的讲解,如强调不能轻易打开未知来源的链接,并且要求用户能加强对自身账号的管理,保证账号的安全性。另外,需要政府部门加大有关网络安全知识的宣传力度,提高用户警惕性。例如,相关部门可定期组织计算机信息安全技术的培训活动,主要针对计算机使用规范以及安全防护措施等进行培训,是保证计算机技术可靠性的有效措施。 3.2 安装杀毒软件以抵抗病毒攻击 杀毒软件能自发检测数据安全性,当发现可疑数据信息时,杀毒软件将对其进行清理,进而保证计算机运行环境的安全性和可靠性。例如,大多数计算机用户会选择将杀毒软件下载到计算机中,并保证软件与计算机同步运行,这时在系统内出现可能带有病毒的文件时,杀毒软件将对其进行拦截处理。但是,对于对安全性要求较高的计算机系统来讲,如国家机密或者企业文件信息等,需要应用效果更强的杀毒软件,能对进出系统的数据进行细致检测,并对可疑文件的敏感度更高。通过合理选择并应用杀毒软件,能有效实现计算机运行环境的可靠性。 3.3防火墙技术 防火墙是保障计算机应用安全的重要系统之一,防火墙技术主要将计算机的软件系统与硬件系统加以融合,通过加设的网关系统对不良的网络系统入侵行为加以阻止,避免有盗取用户信息的行为出现在计算机之中。在防火墙系统中,包过滤、验证工具以及访问策略均对信息保障工作发挥了重要作用。虽然在过去,防火墙系统一直在计算机设备的安全防护工作中发挥着不可替代的作用,但是在计算机病毒种类增加之后,发展缓慢的防火墙系统暴露出了很多缺陷,可有效防护的病毒的类型逐渐减少。 当有病毒侵入到计算机系统保存的文件之中时,文件传递工作仍旧可以持续开展,防火墙系统并不具有阻拦传递文件的功能。就这一种缺点,相关技术人员可以通过改进防火墙来扩展防火墙的安全防范范围,借由防火墙来实现对计算机信息系统的全方位防护。 3.4数据加密技术 这一技术在网络信息安全防护中得到广泛应用,能保证数据传输的安全性。数据加密技术通常被应用在军事领域,是保证数据信息安全传输的有效措施。随着科学技术的不断发展,数据加密技术也得到了创新发展,并且其应用成效也在不断提升。信息加密技术总体来讲
金融行业信息化报告
金融行业信息化报告 图为金融行业信息化指数 这几年,金融信息化领域最热门的词汇非“大集中”莫属,直接动因在于要借助构建集中信息系统,将传统总分体制分散的资源集中到总部。因为历史原因,我国金融企业的组织架构都是总部-分部模式,业务信息系统几乎都是以银行分行、保险公司分公司、证券公司营业部为主体建立的。由于金融业对信息的高度依存,企业的很多资源都以数字化形式存 在信息系统中,金融企业的分支机构因为能够调用较多的资源,因此拥有相对独立的经营决策权。这种状况使得金融企业很难转向集约化管理模式,提供统一而标准化的产品与服务,而这些都是现代金融企业的基本生存条件。 除了这个直接动因外,让金融行业热衷于“集中”的根本原因是近四五年来,金融企业纷纷开始战略转型,向真正的现代金融企业变革:银行要从简单的存贷款业务转向替客户管理资产,让客户的资产增值;保险公司要从“卖保险”转而给客户提供全面的金融解决方案;证券公司要从简单的买卖股票的交易通道向理财服务转型。这些战略目标没有一个能离开IT 的支持。 此外,管理的集中还能从根本上解决分散架构带来的经营风险。在分散的IT架构下,证券公司营业部总经理勾结电脑部经理就可以违规动用上亿元的企业资金,甚至一家违规经营的营业部就可以拖垮一家券商,银行分行挪用、贪污巨额资金的案件也不时上演。 于是,近几年,国内的金融企业几乎都开始“以客户为中心,以产品和服务为核心”,展开了大规模的集中信息系统建设,集中成为金融信息化不可逆转的趋势。如今,国有4大银行中,除农行外,基本都完成了数据层面的集中,全国性股份制银行也几乎都完成了包括核心交易系统在内的各种业务系统的集中,集中的浪潮已经波及城市商业银行和农村信用社。证券公司尽管经历了好几年的漫长熊市,逆境反而让监管机构和券商高层意识到集约化经营和管理的必要性,“大集中”从当初电脑部自发行为演变为自上而下的“规定动作”。从2002年开始,国内大中型保险公司也进入了大规模集中信息系统阶段,它们纷纷引入国外的核心
安全运维服务方案
1概述 1.1服务范围和服务内容 本次服务范围为XX局信息化系统硬件及应用系统,各类软硬件均位于XX局第一办公区内,主要包括计算机终端、打印机、服务器、存储设备、网络(安全)设备以及应用系统。服务内容包括日常运维服务(驻场服务)、专业安全服务、主要硬件设备维保服务、主要应用软件系统维保服务、信息化建设咨询服务等。 1.2服务目标 ●保障软硬件的稳定性和可靠性; ●保障软硬件的安全性和可恢复性; ●故障的及时响应与修复; ●硬件设备的维修服务; ●人员的技术培训服务; ●信息化建设规划、方案制定等咨询服务。 2系统现状 2.1网络系统 XX局计算机网络包括市电子政务外网(简称外网)、市电子政务内网(简称内网)以及全国政府系统电子政务专网(简称专网)三部分。内网、外网、专网所有硬件设备集中于XX局机房各个独立区域,互相物理隔离。 外网与互联网逻辑隔离,主要为市人大建议提案网上办理、XX局政务公开等应用系统提供网络平台,为市领导及XX局各处室提供互联网服务。外网安全加固措施:WSUS服务器、瑞星杀毒软件服务器为各联网终端提供系统补丁分发和瑞星杀毒软件管理服务,建立IPS、防火墙等基本网络安全措施。 内网与外网和互联网物理隔离,为XX局日常公文流转、公文处理等信息化系统提供基础网络平台。内网安全加固措施:WSUS服务器、瑞星杀毒软件服务器为各联网终端提供系统补丁分发和瑞星杀毒软件管理服务;配备防火墙实现内网中服务器区域间的逻辑隔离及安全区域间的访问控制,重点划分服务器区,实现相应的访问控制策略。 专网由XX局电子政务办公室统一规划建设,专网和互联网、内网及其他非涉密网络严格物理隔离,目前主要提供政务信息上报服务和邮件服务。
信息系统安全情况总结报告三篇.doc
信息系统安全情况总结报告三篇 第1条 信息系统安全总结报告第一章信息系统安全总结报告 1 、信息安全综合评价本单位信息安全工作概况、信息安全工作较去年取得的新进展、本单位信息安全综合评价。 二、信息安全自查根据《信息系统安全自查报告表》的要求,逐项描述本单位在信息安全组织管理、日常信息安全管理、信息安全防护管理、信息安全应急管理、信息安全教育培训、信息安全检查等方面的工作。 3 、检查整改中发现的主要问题(1)主要问题及其原因描述本单位安全检查特别是技术检查中发现的主要问题和薄弱环节,并分析其存在的原因。 (2)下一步是针对检查中发现的问题提出整改方案或措施。 (2)四个、对信息安全工作的意见和建议;对信息安全工作,特别是信息安全检查工作的意见和建议。 I 、本单位基本信息(小计5分,得分)单位名称主管信息安全领导(2分)信息安全责任部门(科)室(1.5分)信息安全员(1.5分)姓名职务职称负责人职务电话姓名职务电话号码2 、基本信息系统(小计13分,(得分)信息系统基本信息(3分)(1)信息系统总数(2)向公众提供服务的信息系统数量(1) (3)委托社会第三方进行日常运营和维护管理的信息系统数量,其中签订运营和维护外包服务合同的信息系统数量为互联网接入端口总数(2)互联网接入条件总数。其中□连接接入端
口数量(1)接入带宽(这是统计项目,不得分1)□电信接入端口数量2接入带宽100Mb □其他接入端口数量1接入带宽Mb系统等级1级2级1级3级(2分)系统安全评估(8分)3 、日常信息安全管理(小计8分,得分)人事管理四级五级未定二级安全评估(含风险评估、级评估)系统编号0 ①岗位信息安全保密责任制□已建立□本报告表未列选项均为 (5分)②重要岗位人员信息安全保密协议□全部签署□部分签署□未签署□ ③离职人员安全管理规定□已建立□未建立□外部人员进入机房等重要区域管理制度□已建立□未建立□信息安全设备运行维护管理□指定负责人□未指定□定期配置检查、日志审核等。□未执行□设备维护和报废销毁管理□已建立管理体系。维护和报废销毁记录完整□管理体系已建立,但维护和报废销毁记录不完整□管理体系尚未建立资产管理(3分)4 、信息安全保护管理(小计37分,得分)网络边界保护管理(6分)①网络区域划分是否合理□合理□不合理□安全保护设备策略□使用默认配置□根据应用独立配置□互联网访问控制□有访问控制措施□无访问控制措施□互联网访问日志□保留日志□未保留日志□服务器安全保护□关闭不必要的应用、服务、端口□未关闭□账户密码满足8位数字。包括数字、字母或符号□未满足□账户密码定期更新□未定期更新□漏洞扫描定期、病毒木马检测□未进行信息系统安全管理(6分)□网络设备保护□安全策略配置有效□无效□账户密码满足8位数字。包含数字、字母或符号□不符合□定期更新帐户密码□未能定期更新□定期执行漏洞扫描、病毒特洛伊木马检测□未能执行③
金融行业信息化需求
金融业信息化需求暴涨 2007-5-17 22:34:33 文章来源:CIO时代网 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 五一节过后一天早上8点半,中国工商银行北京分行鼓楼外大街储蓄所门口,值班经理手里厚厚一摞《基金申请书》被排队购买基金的人一抢而空。10点30分,这家银行的等候人数已经达到276人,这其中只有几个人是取工资或进行其它业务的。像这家储蓄所门口的情景一样,为了买到基金,北京许多银行门口都排起了长队。 随着股市牛市一天天的红火,金融业也愈加成为国内最火的行业之一,为了进一步提高企业核心竞争力,信息化应用整合也更加成为国内金融企业关注的一项重要举措。除了基金和股市带给老百姓的强烈投资欲望,包括银行业、保险业、证券业在内的国内金融业的信息化需求也引发了诸多商机。 银行业商业智能商机凸显 ①银行业信息化投资规模暴涨。CMP咨询分析预计,在2007-2011年期间,中国银行业信息化整体投资规模的年度复合增长率(CAGR)将达到8.75%,预计2007年投资规模达到432.7亿元,到2011年投资规模将达到590亿元以上。 图2004-2011年中国银行信息化整体市场投资规模及其增长情况 数据来源:CMP咨询2007.02 ②银行业信息化的关注焦点是什么?
截至2006年底,中国银行业信息化应用主要关注的焦点问题包括核心业务系统升级、电子银行(网上银行、手机银行、电话银行、ATM等)、数据大集中、灾备与信息安全、IT外包等。 数据集中和围绕金融创新的应用整合在过去几年成为我国银行信息化发展的主要方向之一;以客户为中心的新一代核心业务系统的建立和相关改造成为最新的关注重点;以BI应用为主的管理决策信息支持系统建立也成为银行业信息化应用的重要发展方向之一;金融创新所需要的多种银行业务渠道的开拓和相关信息安全体系建设成为近期关注的核心内容之一,而灾难备份与网络安全等则成为其中的重要部分;银行业也在逐步尝试科学的IT外包发展;最后,需要特别指明的是,金融机具的创新正在金融创新的过程中成为一个新的需求。 ③七大需求的商机分析。 展望未来5年中国银行业发展所面临的环境以及中国银行业信息化发展的需求,主要表现在以下几点: 需求一:竞争加剧,客户关系管理及以客户为核心的新一代核心业务体系需要不断升级,以形成能够粘着客户的运营体系; 需求二:商务智能以及相应的决策管理系统的建设为提高客户服务水平与业务创新提供重要支撑; 需求三:随着数据集中的进一步进行,电子银行等新业务渠道的开拓,灾难备份与信息安全体系建设需要进一步深入进行; 需求四:从分业经营到混业经营的过渡将对银行信息化提出更多的要求; 需求五:IT外包是国外银行业成功的经验,国内银行业未来竞争过程中仍需要适度进行IT外包; 需求六:根据CMP咨询对金融机具市场的研究,围绕信息化应用与业务创新的金融机具升级与应用仍将是未来几年中的发展方向之一。 ①证券业投资增速快于银行业。 CMP咨询分析认为,2006年中国证券业信息化整体投资规模达到了75.2亿元,自2004年出现小幅负增长以后,市场呈现加速增长的态势。预计在2007-2011年期间,中国证券业信息化整体投资规模的年度复合增长率(CAGR)将达到8.77%,预计2007年投资规模达到86.1亿元,到2011年投资规模将达到114.5亿元以上。 图2004-2011年中国证券业信息化整体市场投资规模及其增长情况
信息化系统安全运维服务方案技术方案(标书)
信息化系统 安全运维服务方案
目录
概述 服务范围和服务内容 本次服务范围为局信息化系统硬件及应用系统,各类软硬件均位于局第一办公区内,主要包括计算机终端、打印机、服务器、存储设备、网络(安全)设备以及应用系统。服务内容包括日常运维服务(驻场服务)、专业安全服务、主要硬件设备维保服务、主要应用软件系统维保服务、信息化建设咨询服务等。 服务目标 ●保障软硬件的稳定性和可靠性; ●保障软硬件的安全性和可恢复性; ●故障的及时响应与修复; ●硬件设备的维修服务; ●人员的技术培训服务; ●信息化建设规划、方案制定等咨询服务。 系统现状 网络系统 局计算机网络包括市电子政务外网(简称外网)、市电子政务内网(简称内网)以及全国政府系统电子政务专网(简称专网)三部分。内网、外网、专网所有硬件设备集中于局机房各个独立区域,互相物理隔离。 外网与互联网逻辑隔离,主要为市人大建议提案网上办理、局政务公开等应用系统提供网络平台,为市领导及局各处室提供互联网服务。外网安全加固措施:服务器、瑞星杀毒软件服务器为各联网终端提供系统补丁分发和瑞星杀毒软件管理服务,建立、防火墙等基本网络安全措施。 内网与外网和互联网物理隔离,为局日常公文流转、公文处理等信息化系统提供基础网络平台。内网安全加固措施:服务器、瑞星杀毒软件服务器为各联网终端提供系统补丁分发和瑞星杀毒软件管理服务;配备防火墙实现内网中服务器区域间的逻辑隔离及安全区域间的访问控制,重点划分服务器区,实现相应的访问控制策略。 专网由局电子政务办公室统一规划建设,专网和互联网、内网及其他非涉密网络严格物理隔离,目前主要提供政务信息上报服务和邮件服务。
金融行业信息化建设
金融行业信息化建设 金融行业信息化建设 金融行业信息化现状金融行业的主要分成三大行业,即:银行、证券和保险业。所谓“金融信息化”,是构建在由通信网络、计算机、信息资源和人力资源等四要素组成的国家信息基础框架之上,由具有统一技术标准,能以不同速率传送数据、语音、图形图像、视频影像的综合信息网络,将具备智能交换和增值服务的多种以计算机为主的金融信息系统互连在一起,创造金融经营、管理、服务新模式的长期系统工程。1.金融行业信息化发展历程到上个世纪末为止,我国的金融信息化已经走过2 0多个年头,在数万金融科技工作人员的努力下取得了巨大的成就,从无到有、从有到精、由点及面,初步建成了日趋成熟完整的金融信息体系。在这段发展时期,金融信息化工作形成了以金融企业和行业监管部门为核心的发展模式,即在中 国人民银行、中国证监会、中国保监会等行业监管机构的领导下,各个
金融企业根据自己的实际情况,确定金融信息化的发展战略和实施原则。我国金融行业信息系统的建立相对于发达国家来讲起步较晚,从70年代开始至今尽管只有20多年的短短历程,但发展速度较快。目前一些大中城市的金融行业信息系统已基本上接近了发达国家80年代中期的水平。计算机进入我国银行业,最早可追溯到50 年代,当时,中国人民银行引进了苏联的电磁式分析计算机,用以进行全国联行对帐表的工作。但是计算机在我国银行业的真正发展还是从70年代开始的,因此,我国金融行业信息化的发展大致经历了三个阶段:第一阶段一一70年代起步阶段从70年代中国银 行引进了第一套理光一8型(RICOH—8)主机系统开始,揭开了我国金融行业信息系统发展的序幕,当时的主要目标是利用计算机处理效率高、准确性强、功能丰富的特点,对银行的部分手工业务用计算机来进行处理,主要软件采用COBOL语言编写,实现了诸如对公业务、储蓄业务、联行对帐业务、编制会计报表等日常业务的自动化处理。尽管在当时只在某些地区的某几个分行着手试点,但是试点的成功为后来的大发展积累了丰富的经验。在这一阶段主要的处理方 式也是采用脱机批处理的方式,解决了大量琐碎、重复性的劳动。第二阶段一一80年代推广应用阶段80年代我国银行业相继引进了日本的M—150、美国IBM公司的4361、4381型主机系统。进一步在大中城市推广应用各类柜面业务处理系统,在此基础上各行分别建立了自己的联网系统,实现了同城各专业银行自身间的活期储蓄通存通兑,基本实现了各专业行、各营业网点之间业务的联网处理。计
新形势下我国金融行业的信息安全
新形势下我国金融行业的信息安全 --转自《赛迪智库报告》随着信息技术的广泛应用和电子商务的快速发展,金融服务模式正由传统的柜台服务模式向网上银行、第三方支付、P2P小额贷款、企业网络融资等新型服务模式扩展。这种扩展推动了金融业务与互联网的进一步融合,我国金融业信息化正经历向信息化金融的转变,信息化金融已逐渐成为我国金融业的发展方向。但与此同时,由于这种新型服务方式虚拟化、业务边界模糊化、经营环境开放化等特点,使得互联网上的金融业务面临网络攻击、病毒侵扰、非法窃取账户信息、客户信息泄漏等新的信息安全问题。 金融行业信息安全存在的问题 金融领域核心软硬件被国外垄断、金融行业服务外包高度依赖国外厂商、金融信息系统灾备和应急响应能力差、金融业务系统风险控制水平低等问题,严重威胁金融行业信息安全。 1.金融领域核心软硬件被国外垄断,严重威胁行业信息安全。 当前,包括金融、军工、能源、民航在内的很多涉及国计民生的领域越来越依赖信息网络系统,我国金融行业的网络基础设施、大型机、小型机、存储设备、芯片、数据库、操作系统、核心业务系统等几乎都被国外垄断,使得我国金融信息系统很容易被国外掌控,严重威胁我国金融行业信息安全。 2.金融行业服务外包高度依赖国外厂商,加大了风险控制难度。 目前金融行业服务外包高度依赖国外厂商。尤其是一些政策性银行、股份制银行和外资参股的中小金融机构,为节约成本、提高效率和规模、加快扩张速度,服务外包时高度依赖国外厂商。这种金融服务外包高度依赖国外厂商的状况,容易导致极大的信息安全风险。一是信息泄漏,在外包逐渐深化过程中,金融机构逐步将自己全部的关键信息提供给服务提供商去管理维护和开发,这些金融机构的敏感信息、核心技术就存在泄密的可能性,一旦被竞争对手或者不法分子获取,将产生严重后果。二是服务提供商在工作中越俎代庖,封闭执行全部工作,不向金融机构提供关键技术,服务提供商在系统中是否留有后门,金融机构不得而知,造成很大的信息安全隐患。三是随着金融企业信息技术平台交由国外厂商来管理,如骨干网络系统管理、业务系统运维和管理、业务系统开发与维护、数据备份及异地灾难恢复等,一旦发生问题,金融企业就处于被动地位,故障无法及时处理,风险难以得到控制,极易扩大问题的影响面而引发大的信息安全事件。 3.金融信息系统灾备建设与国外差距大,应急响应能力有待提高。
金融业信息系统安全现状
一、金融业信息系统安全现状 (一)现状: 中国金融业信息化建设本身已完成金融电子化阶段、金融数据集中化阶段、金融信息系统业务综合化阶段三个阶段的发展规划工作。 与此同时,金融业对信息技术的依赖程度越来越大,金融业信息安全保障难度持续加大,给我国金融业信息安全带来新的更大的挑战。如何应对,要求我们必须高度重视。 1.安全 2.威胁 金融业信息安全工作正面临比以往更严峻的形势,围绕信息网络空间的斗争日趋尖锐,境内外网络违法犯罪活动呈快速递增趋势,恶意代码和网络攻击呈多样化局面,金融业信息系统安全运行的难度加大,挑战增多。 一是人民银行的业务指导、监督管理滞后于金融业信息化发展。 与金融业信息化的高速发展相比,金融业信息安全的指导、监管工作还需要进一步加强。国内曾有专家明确提出,在金融信息化、网络化时代,“信息资产风险监管是现代金融监管体系的核心理念。”信息资产风险指在信息化中,信息资产的规划、设计、开发、生成、存在、运用、服务、管理、维护、监管以及其他相关过程中产生的信用、市场、操作与业务风险。人民银行在金融信息规划、信息标准、信息安全等诸多方面承担着重要职责,在2008奥运年中发挥了重要、积极的作用。但总体来看,人民银行及其分支行对金融机构信息安全工作的指导和监管,还处于初级阶段,由于人民银行分支机构对各金融机构信息安全缺乏指导、缺乏统一的监管目标、缺乏完整的认识,以及缺乏监督管理的依据和标准,从而导致监管措施不到位,监管手段缺失,致使基层行监管缺乏主动性。 二是核心设备和技术依赖于国外,底层技术难以掌握,存在安全隐患。
目前,我国金融业信息系统和网络中,大量使用国外厂商生产的设备,这些设备使用的操作系统、数据库、芯片也大多数是由国外厂商生产。外方不可能提供设备的核心技术和专利,我方很难判断设备是否存在“后门”、“软件陷阱”、“系统漏洞”、“软件炸弹”等安全漏洞。据调查,一些重要网络系统中使用的信息技术产品,都不可避免地存在一定的安全漏洞。这些漏洞可能是开发过程中有意预留,也可能是无意疏忽造成的。特殊情况下,特定安全漏洞可能被利用实施人侵,修改或破坏设备程序,或从设备中窃取机密数据和信息。前一阶段国外炒作的IC卡安全问题以及近年来出现的微软“黑屏事件”,已经为我们敲响了警钟。 三是境内外网络违法犯罪活动呈快速递增趋势,新技术的应用使我们面临更大的挑战。 金融业信息网络和重要信息系统正成为敌对势力、不法分子进行攻击、破坏和恐怖活动的重点目标。金融业信息系统已经遭受到多次攻击,整体信息安全形势严峻。2009年国防科技大学的一项研究表明,我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵人,其中银行、金融和证券机构是攻击重点。 2005年6月18日,被称为有史以来最严重的信息安全案件在美国爆发,万事达、VISA和美国运通公司的主要服务商的数据处理中心网络被黑客程序侵人,导致4000万个账户信息被黑客截获,使客户资金处于十分危险的状态。 由此可见,基于开放性网络的金融服务对我国金融信息安全工作提出严峻的挑战。 四是数据大集中的同时,也使技术风险相对集中。 伴随着数据大集中的实现,风险也相对集中.一旦数据中心发生灾难,将导致金融业的所有分支机构、营业网点和全部的业务处理停顿,或造成客户重要数据的丢失,其后果不堪设想。 近年来,国内外金融机构因为信息技术系统故障导致大面积、较长时问业务中断的事件时有发生。2006年,日本花旗银行出现交易系统故障,5天内约27.5万笔公用事业缴费遭重复扣划或交易后未作月结记录,造成该行的重大声誉损失。 信息系统潜在的风险已引起金融业的高度重视,如何保障后数据大集中时代金融业信息系统安全稳定运行,是需要整个金融业深入研究的课题。 银行业目前存在的安全隐患 ●信息传递的安全隐患: 网络硬件的安全缺陷:如可靠性差、电磁辐射、电磁泄漏等。 通信链路的安全缺陷:如电磁辐射、电磁泄露、搭线、串音等。 技术被动引起的网络安全缺陷:计算机的核心芯片多依赖于进口。不少关键网 络设备也依赖于进口。 缺乏系统的安全标准引起的安全缺陷:中国虽然已经有了一些网络安全标准, 但还是很不完善。 ●业务系统的安全隐患: 据ICSA统计,来自计算机系统内部的安全威胁高达60%。 非法用户进入系统及合法用户对系统资源的非法使用。 被非法用户截获敏感数据。 非法用户对业务数据进行恶意的修改或插入。 数据发送方在发出数据后加以否认或接收方在收到数据后篡改数据。 在不可信的计算机基础上建立可信点。
最新 金融信息安全特点与现状分析-精品
金融信息安全特点与现状分析 在现代金融行业里,网络有着广泛全面的应用,现代金融管理正朝着电子化、信息化、网络安全化的方向在发展,尤其是网络信息安全化发展的VPN技术在现代金融行业管理中起着越来越重要的作用。 摘要:本文阐述了金融系统的网络安全特点、现状和解决方案,重点阐述了VPN技术及其在现代金融管理系统中的实现与应用。 关键词:网络;VPN;金融;信息;安全 一、现代金融网络系统典型架构及其安全现状 就金融业目前的大部分网络应用而言,典型的省内网络结构一般是由一个总部(省级网络中心)和若干个地市分支机构、以及数量不等的合作伙伴和移动远程(拨号)用户所组成。除远程用户外,其余各地市分支机构均为规模不等的局域网络系统。其中省级局域网络是整个网络系统的核心,为金融机构中心服务所在地,同时也是该金融企业的省级网络管理中心。而各地市及合作伙伴之间的联接方式则多种多样,包括远程拨号、专线、Internet等。 从省级和地市金融机构的互联方式来看,可以分为以下三种模式:(1)移动用户和远程机构用户通过拨号访问网络,拨号访问本身又可分为通过电话网络拨入管理中心访问服务器和拨入网络服务提供商两种方式;(2)各地市远程金融分支机构局域网通过专线或公共网络与总部局域网络连接;(3)合作伙伴(客户、供应商)局域网通过专线或公共网络与总部局域网连接。 由于各类金融机构网络系统均有其特定的发展历史,其网络技术的运用也是传统技术和先进技术兼收并蓄。通常在金融机构的网络系统建设过程中,主要侧重于网络信息系统的稳定性并确保金融机构的正常生产营运。 就网络信息系统安全而言,目前金融机构的安全防范机制仍然是脆弱的,一般金融机构仅利用了一些常规的安全防护措施,这些措施包括利用操作系统、数据库系统自身的安全设施;购买并部署商用的防火墙和防病毒产品等。在应用程序的设计中,也仅考虑到了部分信息安全问题。应该说这在金融业务网络建设初期的客观环境下是可行的,也是客观条件限制下的必然。由于业务网络系统中大量采用不是专为安全系统设计的各种版本的商用基础软件,这些软件通常仅具备一些基本的安全功能,而且在安装时的缺省配置往往更多地照顾了使用的方便性而忽略了系统的安全性,如考虑不周很容易留下安全漏洞。 此外,金融机构在获得公共Internet信息服务的同时并不能可靠地获得安全保障,Internet服务提供商(ISP)采取的安全手段都是为了保护他们自身和他们核心服务的可靠性,而不是保护他们的客户不被攻击,他们对于你的安全问题的反应可能是提供建议,也可能是尽力帮助,或者只是关闭你的连接直到你恢复正常。因此,总的来说金融系统中的大部分网络系统远没有达到与金融
关于信息系统安全问题浅谈
关于信息系统安全问题浅谈 一、概述 根据信息系统安全的整体结构来看,信息系统安全可从五个层面:物理、网络、主机系统、应用系统和数据对系统进行保护,因此,技术类安全要求也相应的分为五个层面上的安全要求: ◆物理层面安全要求:主要是从外界环境、基础设施、运行硬件、介质等方面为信息系统的安全运行提供基本的后台支持和保证; ◆网络层面安全要求:为信息系统能够在安全的网络环境中运行提供支持,确保网络系统安全运行,提供有效的网络服务; ◆主机层面安全要求:在物理、网络层面安全的情况下,提供安全的操作系统和安全的数据库管理系统,以实现操作系统和数据库管理系统的安全运行; ◆应用层面安全要求:在物理、网络、系统等层面安全的支持下,实现用户安全需求所确定的安全目标; ◆数据及备份恢复层面安全要求:全面关注信息系统中存储、传输、处理等过程的数据的安全性。
二、关于物理安全 物理安全保护的目的主要是使存放计算机、网络设备的机房以及信息系统的设备和存储数据的介质等免受物理环境、自然灾难以及人为操作失误和恶意操作等各种威胁所产生的攻击。物理安全是防护信息系统安全的最底层,缺乏物理安全,其他任何安全措施都是毫无意义的。 物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。具体包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等十个方面。 三、网络安全 网络安全为信息系统在网络环境的安全运行提供支持。一方面,确保网络设备的安全运行,提供有效的网络服务,另一方面,确保在网上传输数据的保密性、完整性和可用性等。由于网络环境是抵御外部攻击的第一道防线,因此必须进行各方面的防护。对网络安全的保护,主要关注两个方面:共享和安全。开放的网络环境便利了各种资源之间的流动、共享,但同时也打开了“罪恶”的大门。因此,必须在二者之间寻找恰当的平衡点,使得在尽可能安全的情况下实现最大程度的资源共享,这是我们实现网络安全的理想目标。
金融行业信息化解决方案_0
金融行业信息化解决方案 一、金融行业信息安全概述 金融行业信息化系统经过多年的发展建设,目前信息化程度已达到了较高水平。信息技术在提高管理水平、促进业务创新、提升企业竞争力方面发挥着日益重要的作用。随着银行信息化的深入发展,银行业务系统对信息技术的高度依赖,银行业网络信息安全问题也日益严重,新的安全威胁不断涌现,并且由于其数据的特殊性和重要性,更成为黑客攻击的重要对象,针对金融信息网络的计算机犯罪的案件呈逐年上升趋势,特别是银行全面进入业务系统整合、数据大集中的新的发展阶段,以及银行卡、网上银行、电子商务、网上证券交易等新的产品和新一代业务系统的迅速发展,现在不少银行开始将部分业务放到互联网上,今后几年内将迅速形成一个以基于TCP/IP协议为主的复杂的、全国性的网络应用环境,来自外部和内部的信息安全风险将不断增加,这就对金融系统的安全性提出了更高的要求,金融信息安全对金融行业稳定运行、客户权益乃至国家经济金融安全、社会稳定都具有越来越重要的意义。金融业迫切需要建设主动的、深层的、立体的信息安全保障体系,保障业务系统的正常运转,保障企业经营使命的顺利实现。 二、金融业安全风险及需求分析 金融行业典型网络拓扑如下,通常为一个层次化的互联广域网体系结构: 2、1金融行业风险分析 金融行业网络系统面临的风险复杂多样,既有来自外部的,也有来自内部的。可以概括为以下三个大的方面: ·组织方面的风险。缺乏统一的安全规划和安全职责部门; ·技术方面的风险。安全保护措施不充分。尽管已经采用了一些安全技术和安全产品,但是目前安全技 术的采用是不足的,存在大量这样、那样的风险和漏洞; ·管理方面的风险。安全管理有待提高,安全意识培训、安全策略和业务连续性计划都需要完善和加 强; 具体风险分析如下: ·缺乏对内部用户的行为控制和行为监管,表现在对内部人员的过分信任,没有可靠的管理手段往往是 出现内部高科技犯罪的开始。 ·虽然制定了一系列信息安全规定,但是没有一个科学的评估方法和管理手段,无法对系统的安全状况 进行量化的分析和科学的管理,结果往往是事与愿违。 ·缺乏专业的安全组织结构和明确的管理流程(如应急响应流程)。 ·业务系统操作人员安全管理薄弱,口令系统混乱,安全性差。 ·部分同城清算、联行系统保护脆弱,可能被攻破和渗透。 ·开放的TCP/IP协议的的先天设计缺陷,易于遭受IP欺骗攻击和各种拒绝服务攻击。 ·操作系统和应用软件系统存在大量安全漏洞。 ·蠕虫、病毒、垃圾邮件、间谍软件带来的数据破坏和泄露风险。 ·大量的、分散的安全资源的整合和集中管理问题,以及海量安全事件和告警需要
信息化系统运行维护内容
信息化系统运行维护内容 信息技术运行维护(简称:IT 运维)是信息系统全生命周期中的重要阶段,对系统主要提供维护和技术支持以及其它相关的支持和服务。运维阶段包括对系统和服务的咨询评估、例行操作、响应支持和优化改善以及性能监视、事件和问题识别和分类,并报告系统和服务的运行情况。 一、运维服务类型主要包括以下三种类型: 1、基础服务 确保计算机信息系统安全稳定运营,必须提供的基础性的保障和维护工作。 2、性能优化服务 计算机信息系统在运营过程中,各项应用(硬件基础平台、系统平台、存储平台、应用系统平台、安全平台等)、各项业务的性能、效能的优化、整合、评估等服务。 3、增值服务 保证计算机信息系统运营的高效能、高效益,最大限度的保护并延长已有投资,在原有基础上实施进一步的应用拓展业务。 二、运维主要服务工作方式主要包括响应服务、主动服务两类。 1、响应式服务
响应式服务是指,用户向服务提供者提出服务请求,由服务提供者对用户的请求做出响应,解决用户在使用、管理过程中遇到的问题,或者解决系统相关故障。 响应式服务采用首问负责制。第一首问为本单位信息中心。信息中心负责接受用户服务请求,并进行服务问题的初步判断。如果问题能够解决则直接给客户反馈,否则提交到首问服务外包商。对于明确的问题,信息中心将问题直接提交到相应的服务外包商。 首问外包服务商在信息中心的支持下,负责对问题进行排查,力争将问题精确定位到某具体环节。问题定位后将其转发给相应的服务外包商。如果问题范围较大,涉及到多个服务外包商时,由信息中心进行协调,在首问外包服务商统一指导下进行联合作业,直至问题解决完毕。 问题处理完成后,由责任服务外包商、首问服务外包商填写相应服务表单,并由首问外包服务商提交给信息中心,信息中心再向最终用户反馈。 服务外包商首先通过电话/电子邮件/远程接入等手段进行远程解决,如果能够解决问题,则由工程师负责填写服务单,季度汇总后提交信息中心签字备案。 远程方式解决无效时,服务外包商工程师进行现场工作。根据故障状况,工程师现场能解决问题的,及时解决用户的问题;如不能,则由信息中心协调其他相关服务外包商进行
信息系统运行维护内容
信息系统运行维护内容 Company number:【WTUT-WT88Y-W8BBGB-BWYTT-19998】
信息系统运行维护内容 按照GB/T 22032-2008 的规定,信息技术运行维护(简称:IT 运维)是信息系统全生命周期中的重要阶段,对系统主要提供维护和技术支持以及其它相关的支持和服务。运维阶段包括对系统和服务的咨询评估、例行操作、响应支持和优化改善以及性能监视、事件和问题识别和分类,并报告系统和服务的运行情况。 一、运维服务类型主要包括以下三种类型: 1、基础服务 确保计算机信息系统安全稳定运营,必须提供的基础性的保障和维护工作。 2、性能优化服务 计算机信息系统在运营过程中,各项应用(硬件基础平台、系统平台、存储平台、应用系统平台、安全平台等)、各项业务的性能、效能的优化、整合、评估等服务。 3、增值服务 保证计算机信息系统运营的高效能、高效益,最大限度的保护并延长已有投资,在原有基础上实施进一步的应用拓展业务。 二、运维主要服务工作方式主要包括响应服务、主动服务两类。
1、响应式服务 响应式服务是指,用户向服务提供者提出服务请求,由服务提供者对用户的请求做出响应,解决用户在使用、管理过程中遇到的问题,或者解决系统相关故障。 响应式服务采用首问负责制。第一首问为本单位信息中心。信息中心负责接受用户服务请求,并进行服务问题的初步判断。如果问题能够解决则直接给客户反馈,否则提交到首问服务外包商。对于明确的问题,信息中心将问题直接提交到相应的服务外包商。 首问外包服务商在信息中心的支持下,负责对问题进行排查,力争将问题精确定位到某具体环节。问题定位后将其转发给相应的服务外包商。如果问题范围较大,涉及到多个服务外包商时,由信息中心进行协调,在首问外包服务商统一指导下进行联合作业,直至问题解决完毕。 问题处理完成后,由责任服务外包商、首问服务外包商填写相应服务表单,并由首问外包服务商提交给信息中心,信息中心再向最终用户反馈。 服务外包商首先通过电话/电子邮件/远程接入等手段进行远程解决,如果能够解决问题,则由工程师负责填写服务单,季度汇总后提交信息中心签字备案。 远程方式解决无效时,服务外包商工程师进行现场工作。根据故障状况,工程师现场能解决问题的,及时解决
金融业信息安全事件的防范
金融业信息安全事件的防范 1信息安全事件的发生和分析 随着金融业务系统的日益复杂化,安全隐患也散布于各点,科技部门 也无法准确预测到问题会出现在什么地方,任何一个错误操作都可能 造成整个系统的瘫痪,这对科技部门操作流程的规范性提出了更高的 要求。2012年10月,某金融机构操作人员因为误操作将业务系统的交易日志文件关闭,导致系统不能正常运行;2012年11月,某金融机构维护人员错误操作,导致生产和备份系统重要系统文件丢失,造成服 务器宕机,导致重要业务系统无法正常启动。错误操作的发生源于操 作人员的粗心,但关键是因为操作流程不规范,对重要操作缺乏切实 有效的监管措施。(1)信息安全管理未贯穿于信息系统的全生命周期。部分机构忽视信息系统全生命周期的安全管理,在业务系统开发部署 上线时,未配套进行安全体系的设计和建设,或流于形式,不对方案 进行充分地测试。2012年3月,某机构生产线路发生中断,但因为技 术方案问题未能顺利切换到备份线路,导致业务发生中断;2012年11月,某机构因为未发现备份系统早已出现问题,在生产系统出现问题时,主备切换失败,导致业务中断。系统的安全体系流于形式,备份 系统测试不充分,或疏于监控维护,都可能导致安全事件的发生。(2)优先恢复业务的意识不足,应急处置能力有待提升。绝大多数金融机 构都制定了信息系统应急预案,并定期演练。但部分金融机构存有着 应急预案与实际不符,可操作性不强,对部分情况无明确处置方法的 情况,并且部分科技人员对应急预案不够熟悉,不清楚启动预案的条 件和流程,不能迅速的处置解决问题。2012年7月,某机构因为设备 故障导致业务处理速度缓慢,但因为该设备上承载了多项重要业务, 原有应急预案未充分考虑实际情况,科技部门未能按照预案执行,导 致事件处理时间延后,影响扩大。该事件的发生一方面是因为系统建 设时未充分考虑信息安全因素,不符合核心系统专机专用的安全思路,另一方面就是因为应急预案与实际不符合,可操作性不强,导致了事 件影响扩大。综合来看,银行业金融机构在信息安全方面特别是安全
关于信息系统安全问题浅谈
信息系统安全问题浅谈 一、概述 根据信息系统安全的整体结构来看,信息系统安全可从五个层面:物理、网络、主机系统、应用系统和数据对系统进行保护,因此,技术类安全要求也相应的分为五个层面上的安全要求: ◆物理层面安全要求:主要是从外界环境、基础设施、运行硬件、介质等方面为信息系统的安全运行提供基本的后台支持和保证; ◆网络层面安全要求:为信息系统能够在安全的网络环境中运行提供支持,确保网络系统安全运行,提供有效的网络服务; ◆主机层面安全要求:在物理、网络层面安全的情况下,提供安全的操作系统和安全的数据库管理系统,以实现操作系统和数据库管理系统的安全运行; ◆应用层面安全要求:在物理、网络、系统等层面安全的支持下,实现用户安全需求所确定的安全目标; ◆数据及备份恢复层面安全要求:全面关注信息系统中存储、传输、处理等过程的数据的安全性。 二、关于物理安全 物理安全保护的目的主要是使存放计算机、网络设备的机房以及信息系统的设备和存储数据的介质等免受物理环境、自然灾难以及人为操作失误和恶意操作等各种威胁所产生的攻击。物理安全是防护信息系统安全的最底层,缺乏物理安全,其他任何安全措施都是毫无意义的。 物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。具体包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等十个方面。 三、网络安全 网络安全为信息系统在网络环境的安全运行提供支持。一方面,确保网络设
备的安全运行,提供有效的网络服务,另一方面,确保在网上传输数据的保密性、完整性和可用性等。由于网络环境是抵御外部攻击的第一道防线,因此必须进行各方面的防护。对网络安全的保护,主要关注两个方面:共享和安全。开放的网络环境便利了各种资源之间的流动、共享,但同时也打开了“罪恶”的大门。因此,必须在二者之间寻找恰当的平衡点,使得在尽可能安全的情况下实现最大程度的资源共享,这是我们实现网络安全的理想目标。 网络安全主要关注的方面包括:网络结构、网络边界以及网络设备自身安全等,具体的方面包括:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等七个方面。 三、关于主机安全 主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机,服务器则包括应用程序、网络、web、文件与通信等服务器。主机系统是构成信息系统的主要部分,其上承载着各种应用。因此,主机系统安全是保护信息系统安全的中坚力量。 四、关于应用安全 通过网络、主机系统的安全防护,最终应用安全成为信息系统整体防御的最后一道防线。在应用层面运行着信息系统的基于网络的应用以及特定业务应用。基于网络的应用是形成其他应用的基础,包括消息发送、web浏览等,可以说是基本的应用。业务应用采纳基本应用的功能以满足特定业务的要求,如电子商务、电子政务等。由于各种基本应用最终是为业务应用服务的,因此对应用系统的安全保护最终就是如何保护系统的各种业务应用程序安全运行。 五、数据安全及备份恢复 信息系统处理的各种数据(用户数据、系统数据、业务数据等)在维持系统正常运行上起着至关重要的作用。一旦数据遭到破坏(泄漏、修改、毁坏),都会在不同程度上造成影响,从而危害到系统的正常运行。由于信息系统的各个层面(网络、主机、应用等)都对各类数据进行传输、存储和处理等,因此,对数