银行业应对信息安全威胁高危的三大原则

简介:

金融系统一直是安全威胁的高危地带,典型案例就是2013年2月VISA、万事达卡、运通卡三家信用卡组织约800万张信用卡资料为黑客所盗取。针对网上银行(网上支付)的木马及其它攻击方式更是层出不穷。据统计,目前全球的黑客攻击事件,40%是针对金融系统的,在中国这个比例更高达60%以上。

按照我国相关信息安全标准,银行业金融机构的网上业务产品要达到三级以上安全标准,但目前大多数金融机构尤其是中小银行的安全状况都未达到这一要求,其自行开发、应用的网上交易系统安全防控措施不到位、抵御攻击能力弱、事件应急响应滞后、客户地址及邮箱等资源保护不力,暴露出系统虚假信息泛滥、账户密码被黑客破译、数据资料和交易指令被篡改、资金被盗取、股票债券基金等金融资产被盗卖等风险,信息的安全传递所要求的严格私密性、真实性、完整性、不可否认性等安全要素缺位。

银行应对信息安全威胁高危的三大原则

中国民生银行资深安全专家李吉慧

针对银行业信息安全面临的挑战,在ZDNet的采访中,中国民生银行资深安全专家李吉慧补充到,目前,数据大集中已成为银行业金融机构业内潮流,随之而来的信息安全风险也急剧集中。一旦数据中心发生灾难,将导致一家金融机构的所有分支机构、营业网点和全部业务处理陷于停顿,或造成客户重要数据的丢失,不但影响业务正常进行,同时造成重大的声誉风险等灾难性后果。近年发生过数起不同银行数据中心故障造成的大范围业务中断的现象,造成了国际国内重大不利影响。

并且,目前在我国银行业信息系统和网络中,虽然防病毒、网络设备、安全设施用的国产软硬件比重越来越大,但核心软硬件设施还是以国外为主,大多来自于Cisco、IBM、Oracle等国际IT巨头。这种依赖导致我们的自主控制能力不足,核心关键领域还是依赖于国外厂家的产品和服务,用户缺乏判断设备是否存在“后门”、“软件陷阱”、“软件炸弹”等安全隐患的能力。

李吉慧指出,银行业应对信息安全威胁首先要建立健全信息安全管理体系,并严格执行信息安全的报告机制和应急协调机制。

李吉慧重点从三个方面阐述了银行应该做好的安全保障规划:

建立安全可控的生产运行维护机制:自动化监控系统应包括网络自动监控、应用系统自动监控、物理环境智能化监控等方面。为了提高自动化监控系统的相应速度,应尽可能采取可视化界面设计,告警信息能够声光提示。以缺乏网络监控的系统为例,网络连接都采用主备两条线路,当一条线路中断自动切换到另一条线路时,虽然业务未受影响,但单点故障的问题却被掩盖,直到另一条线路因为故障使得网络全部中断时问题才暴露,而通过自动化监控就能早期发现问题和及时响应。

进一步提高系统自主创新能力:监管机构应协调督促金融机构,加强系统自主创新,加大对国产软硬件采购力度,减少和降低一些关键领域的对外技术依赖。对采购或使用的信息技术和产品,能自主的就要尽其所能推进自主,不能自主的,也必须保障其可知可控,要对信息技术产品的风险和隐患、漏洞和问题做到“心中有底、手中有招、控制有术”。对确需引进的技术和产品实行市场准入制度,并邀请权威机构对其产品进行安全风险和实效性评估。

加强业务连续性管理:想要在特殊时期短时间内恢复业务运行,有赖于远程灾备中心的数据备份,快速恢复业务运营。为了达到“最快恢复生产”目标,商业银行还需做好以下工作:

一是建立业务连续性管理制度。建立业务连续性管理制度,规范机构内的管理流程,明确各级机构、部门在体系中的职责。制定专业的突发事件应急预案,做到预案的标准化、流程化,一旦发生突发事件,员工能够按照预案进行业务恢复。
二是加强业务连续性日常管理。定期组织各层次的培训,组织业务连续性演练,必须组织业务级的演练而不仅是IT演练,通过演练检验各业务部门以及机构内外的联动,优化和改进业务连续性管理工作。
三是明确业务连续性牵头管理部门。因为业务连续性管理对于及时恢复系统对外服务十分重要,且涉及多个部门,因此,业务连续性管理需要专门的部门(这一职责一般是由内部审计或承担内部审计职责的部门承担)来牵头组织,督促各相关部门定期开展检查和评价。

原文发布时间为:2015年4月30日
本文作者:陈广成
本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。
目录
相关文章
免费物流快递单号查询API接口及使用教程
因为需要对接物流/快递公司接口,时常会陷入选择服务商的困境,这次我整理了市场上几乎所有主流的物流/快递api接口,并且按照支持数量、接口的丰富性/稳定性/即时性,以及价格等因素,对各大服务商做了一个评级。
|
弹性计算
阿里云服务器最新价格参考,100元-5000元预算可购买的云服务器配置及价格汇总
2024购买阿里云服务器多少钱?由于个人和企业用户的上云场景和预算不同,不同预算可购买的阿里云服务器实例规格和配置不同,一般来说个人用户购买云服务器的预算都在100元-500元以内,普通企业用户预算大多在1000-3000元之间,大型企业因为对云服务器性能要求更高,一般会将预算提高到3000元-5000元以上,那么这些预算能买到一个什么配置的阿里云服务器呢?下面是截止目前不同预算情况下,可购买的阿里云服务器配置和活动价格及券后价格整理,以供大家参考选择。
1873 1
阿里云服务器最新价格参考,100元-5000元预算可购买的云服务器配置及价格汇总
|
Ubuntu Linux
如何在 Linux 中使用 Fasd 快速访问文件和目录?
如何在 Linux 中使用 Fasd 快速访问文件和目录?
490 1
|
存储 网络性能优化 芯片
芯片引脚字母代表的意义
芯片引脚字母代表的意义---常用
6688 0
|
机器学习/深度学习 算法 知识图谱
【论文速递】ACL 2020 - 一种用于关系三元组抽取的级联二元标记框架
从非结构化文本中抽取关系三元组对于大规模知识图构建至关重要。然而,现有的工作很少能解决重叠三元组问题,即同一句子中的多个关系三元组共享相同的实体。
322 0
|
机器学习/深度学习 程序员 C语言
最近Python那么火,学习Python究竟能干些什么?
Python语法和动态类型,以及解释型语言的本质,使它成为多数平台上写脚本和快速开发应用的编程语言, 随着版本的不断更新和语言新功能的添加,逐渐被用于独立的、大型项目的开发。
447 0
最近Python那么火,学习Python究竟能干些什么?
|
前端开发 小程序 数据库
微信小程序发送-----模板消息
微信小程序发送-----模板消息
239 0
微信小程序发送-----模板消息
|
弹性计算 测试技术
免费12个月!阿里云助力中小企业0成本上云
最新消息,阿里云宣布为企业用户推出云服务器免费12个月扶持计划,助力中小企业0成本上云。阿里云表示,该计划每年投入2000万,超5万中小企业受益,本计划已于2019年11月27日上线。
|
UED 搜索推荐
案例 | 为品质生活携手,欧恩倾力打造消费者品牌
欧恩的老网站还停留在传统的企业官网展示,只是用于单纯的信息发布和产品展示,然而过时的风格版面并不能很好的支持品牌的传播和深化,同行中已经有一些做的比较好的品牌网站,如汉斯格雅、高宝厨卫等,它们在网站互动方面有所进步,页面设计也更为吸引人,通过品牌为载体,深化品牌服务,达到很好的营销效果。
|
NoSQL 数据库 MongoDB
MongoDB秒级备份恢复(SDCC上海站数据库核心技术与应用实战峰会分享PPT)
本文是我3月18日在CSDN举办的SDCC上分享的PPT内容,主要介绍如何对MongoDB复制集及分片集群实现任意时间点的备份恢复,猛击这里下载PDF版本