時間:2023-10-12 09:37:05
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇金融企業信息安全范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
【 關鍵詞 】 信息安全;安全治理;框架;風險管理
1 引言
隨著企業的信息化建設,企業信息系統在縱、橫向的耦合程度日益加深,系統間的聯系也日益緊密,因此企業的信息安全影響著企業信息系統的安全、持續、可靠和穩定運行。此外,美國明尼蘇達大學Bush-Kugel的研究報告指出企業在沒有信息資料可用的情況下,金融業至多只能運作2天,商業則為3天,工業則為5天。而從經濟情況來看,25%的企業由于數據損毀可能隨即破產,40%會在兩年內破產,而僅有7%不到的企業在5年后繼續存活。伴隨著監管機構對信息安全日趨嚴格的要求,企業對信息安全的關注逐漸提高,并對信息安全投入的資源不斷增加,從而使得信息安全越來越為公司高級管理層所關注。
2 信息安全問題
目前企業信息安全問題主要包括幾個方面。
(1)信息質量底下:無用信息、有害信息或劣質信息滲透到企業信息資源中, 對信息資源的收集、開發和利用造成干擾。
(2)信息泄漏:網絡信息泄漏和操作泄漏是目前企業普遍存在的信息安全困擾。網絡信息泄漏是信息在獲取、存儲、使用或傳播的時候被其他人非法取得的過程。而操作泄漏則是由于不正當操作或者未經授權的訪問、蓄意攻擊等行為,從而使企業信息泄漏。
(3)信息破壞:指內部員工或者外部人員制造和傳播惡意程序, 破壞計算機內所存儲的信息和程序, 甚至破壞計算機硬件。
(4)信息侵權:指對信息產權的侵犯。現代信息技術的發展和應用, 導致了信息載體的變化、信息內容的擴展、信息傳遞方式的增加, 一方面實現了信息的全球共享, 但同時也帶來了知識產權難以解決的糾紛。
3 信息安全治理的困惑
基于信息安全的重要性,企業在信息安全治理方面投入了諸多資源,但是在信息安全治理成效方面仍不盡如人意,主要問題在于幾個方面。
(1)信息安全治理的范圍不明確:目前企業都在盡力實現良好的信息安全治理,但是由于無法正確理解信息安全治理和信息安全管理的區別,導致了信息安全治理無法與企業的安全規劃和企業戰略形成一致性。表1從工作內容、執行主體和技術深度三個層面分析了兩者的區別。
從表1中可以明確:信息安全治理是為組織機構的信息安全定義一個戰略性的框架,指明了具體安全管理工作的目標和權責范圍,使信息系統安全專業人員能夠準確地按照企業高層管理人員的要求開展工作。
(2)企業信息安全治理路徑的錯誤理解:企業在信息安全治理的過程中,最常用的手法是采用信息安全的技術措施,如使用加密和防偽技術、認證技術、防病毒技術、防火墻技術等方式來進行,但是往往企業投入很多,卻沒有達到預想的效果,問題在于,信息安全治理并不單單是技術問題,信息安全治理也包含了安全戰略、風險管理、績效評估、層級報告以及職責明確等方面。
4 信息安全治理關注的領域
(1)戰略一致性:信息安全治理需與企業的發展戰略和業務戰略相一致,建立相互協作的解決方案。
(2)價值交付:衡量信息安全治理價值交付的基準是信息安全戰略能否按時、按質并在預算內實現預期的價值目標。因此需要設計明確的價值目標,對信息安全治理的交付價值進行評估。
(3)資源管理:實現對支持信息運行的關鍵資源進行最優化投資和最佳管理。
(4)風險管理:企業管理層應具備足夠的風險意識,明確企業風險容忍度,制定風險管理策略,將風險管理融入到企業的日常運營中。
(5)績效度量:利用科學的管理方法,將信息安全治理轉換為可評價的目標的行動,便于對信息安全各項工作的績效進行有效管理。
5 信息安全治理框架
通過良好的信息安全治理, 可以保護企業的信息資產,避免遭受各種威脅,降低對企業之傷害,確保企業的永續經營,以及提升企業投資回報率及競爭優勢。
通過長期的實踐經驗以及結合COBIT標準和GB/T 22080-2008,總結出信息安全治理的框架主要由四部分組成,如圖1所示。
(1)信息安全戰略:結合企業的整體信息技術戰略規劃和信息安全治理現狀,制定信息安全戰略。
(2)信息安全組織架構:根據企業層面在決策、管理和執行機制對組織結構的要求,建立信息安全治理框架和決策溝通機制,明確公司各級管理層及相關部門在信息安全組織架構中的工作職責與角色定位。
(3)信息安全職責:根據公司信息安全組織架構,進一步明確信息安全相關崗位的工作職責、分工界面和匯報路徑等。
(4)信息安全管理制度:信息安全管理制度通過建立一個層次化的制度體系,針對不同的需求方(管理者、執行者、檢查者等)從政策、制度、流程、規范和記錄等方面進行信息安全活動相關的規定,實現信息安全的功能和管理目標。
6 信息安全治理評估
企業信息安全治理評估有助于提高信息安全治理投資的效益和效果。企業的最高管理層和管理執行層可以使用信息安全治理成熟度模型建立企業的安全治理級別。該模型,如表2所示,被應用為幾個方面。
(1)在市場環境中,相對于國際信息安全治理標準、行業最佳實踐,以及直接競爭對手,了解企業在信息安全治理上的級別。
(2)進行差距分析,為改進措施提供明確的路徑。
(3)了解企業的競爭優勢和劣勢。
(4)有利于對信息安全治理進行績效評估。
7 結束語
本文從企業信息安全治理的實踐出發,概述了目前企業信息安全治理存在的問題和困惑,總結了企業實現有效的信息治理的關注領域和實施內容,為企業建立良好的信息安全治理提供了基本框架。
參考文獻
[1] 馬峰輝,劉壽強.企業信息安全治理的經濟性探析.計算機安全,2003:70-71.
[2] 婁策群,范昊,王菲.現代信息技術環境中的信息安全問題及其對策.中國圖書館學報,2000(11):33-37.
[3] 劉金鎖,李筱煒,楊維永.企業實現有效的信息安全治理之路.中國管理信息化,2012(11):37-39.
[4] 黃華軍,錢亮,王耀鈞.基于異常特征的釣魚網站URL檢測技術[J].信息網絡安全,2012,(01):23-25.
[5] 黃世中.GF(2m)域SM2算法的實現與優化[J].信息網絡安全,2012,(01):36-39.
建立金融信息安防體系刻不容緩
“互聯網+金融”成為傳統金融行業轉型“觸電”的新模式,新形式下的數據安全狀況變得越發嚴重,金融行業已經淪為數據泄密的重災區,再次給人們敲響數據安全的警鐘,其中直接由于純粹是信息安全技術缺失所導致的風險案例不勝枚舉。麥肯錫公司在其的《中國銀行業創新系列報告》中指出,2015年年底,中國互聯網金融的市場規模達到12萬-15萬億元,占GDP的近20%。互聯網金融用戶人數已經超過5億,這樣龐大的用戶群和涉及面,如果信息安全事件愈演愈烈甚至失控,將會對國家和社會造成不可估量的損失,互聯網金融信息安全已經刻不容緩。
目前,金融企業內部IT系統更為復雜化,外包合作使內部風險管理更加復雜,BYOD(攜帶自己的設備辦公)使企業信息資產無處不在,大數據使核心資產淹沒在之中難以識別,云計算打破了傳統的網絡邊界防護。李晨指出,企業安全威脅也在逐漸升級,正在從以蠕蟲病毒、拒絕服務攻擊、溢出類漏洞攻擊、注入等Web攻擊為主的傳統威脅升級到以0Day攻擊、多態及變形等逃避技術、多階段組合攻擊、有組織的定向攻擊為主要手段的新一代威脅,企業安全運維面臨更多的新的挑戰。與會專家再次呼吁,建立金融信息安全防御體系刻不容緩。
綠盟科技智慧安全2.0戰略應運而生
信息安全行業專家綠盟科技積極應對,幫助銀行、保險等各類企業實現變革,助力金融智能安全運營防線的構建,綠盟科技智慧安全2.0戰略應運而生。
綠盟科技智慧安全2.0戰略是一個企業整體運營的升級換代過程,它幫助企業安全防護真正做到智能、敏捷和可運營。該方案包含綠盟云、安全態勢感知解決方案、云計算安全解決方案以及下一代威脅防御解決方案。李晨表示,態勢感知使安全耳聰目明、軟件定位給安全運維帶來敏捷應變、縱深防御帶來彈性和生存能力。它緊緊圍繞用戶需求,大力提升線上也就是云中的安全能力,打通技術、產品和服務、解決方案、交付運營等各個環節,構建真正的智能安全防御系統。
同時,綠盟科技可協助客戶建立企業安全應急響應中心(SRC),幫助企業建立和維護自主可控的自有業務漏洞收集平臺,從而避免漏洞在第三方平臺上暴露。通過SRC的運維數據積累,企業建立貼合自有業務的漏洞知識庫來提升安全團隊技術能力,并且通過SRC可與白帽子直接建立長期的信任互贏關系,幫助企業更從容地面對安全威脅。
數據安全歷來是企業信息安全工作的“最高使命”。綠盟科技適時推出了數據泄露防護系統,基于數據存在的三種形態(存儲、使用、傳輸),對數據生命周期中的各種泄密途徑進行全方位的監查和防護,保證了敏感數據泄露行為事前能被發現,事中能被攔截和監查,事后能被追溯。
【關鍵字】IT服務外包;信息資產;ISO27000
A企業是某歐洲跨國金融公司在廣東的IT服務外包公司,主要對母公司在亞太地區的業務提供軟件開發和維護工作,企業的核心業務構建和運行在以信息技術為基礎的網絡和系統上。作為金融行業的IT外包公司,提升A企業的信息安全管理水平也成為企業內部和外部的緊迫要求。
ISO27000信息安全管理體系要求是國際標準化組織頒布的有關信息安全管理的標準,此標準采用了PDCA循環管理的方法,以求最終建立適合企業需要的信息安全管理體系。其實現主要通過現場診斷、風險評估、體系制度編寫、試運行和外部審核幾個階段,而整個項目的出發點就是完善資產管理。
A企業正是選擇了通過ISO27000架構構建信息安全體系。在ISO27000的管理框架下,資產是指任何對組織有價值的信息或資源,根據表現形式的不同,與信息相關的資產可分為數據、文件、軟件、硬件、服務、人員等類型。資產識別的正確性和準確性對于后續的風險要素評估及信息安全策略至關重要。
本項目之前,A企業有來自總部的一些信息安全方面的基本要求,但要求較為抽象、概括,并沒有在本地形成有效的管理體系。在信息資產管理方面,A企業就信息資產進行了一些定義,制定了部分規章,但不夠系統和完整。對于信息資產的管理更多地限于IT部門管理的硬件及軟件等有形資產的管理上,沒有從數據的角度出發,也沒有把服務、人員以及其他非IT資產視為信息資產的一部分納入信息資產保護的范疇。
因此,在構建新信息安全管理體系項目中,A公司在進行資產識別時,將信息資產按照信息、文檔、軟件、硬件、人員及服務六大類進行分類。其具體實施過程為:
1、將原有的信息資產清單依照上述六類進行劃分。在此基礎上,依照公司的組織架構和業務范圍與各部門負責人進行訪談,了解業務流程,以識別所有的信息資產。
2、對于每一項信息資產,根據“誰使用,誰負責”的原則確定責任人。由責任人負責對信息資產進行分類、分級。同時可設定 “維護人”,由“責任人”將具體的安全職責委派給“維護人”,但“責任人”仍須承擔資產安全的最終責任。
3、由信息資產責任人對資產進行分級評分。按照信息安全的三要素:機密性、完整性、可用性,對資產分三個要素進行賦值(如表1示):
4、基于對每一項信息資產的在機密性、完整性、可用性三方面的賦值,通過矩陣計算出信息資產的總價值(如表2示)。
由上表可見,信息資產總價值總共分為5級,其中,評分為4的資產為最高級,0為最低級。設置重要資產劃分的基準線為1,即選取評分為1及以上的資產,進入下一步的資產風險評價。
“中國企業員工的信息安全意識可謂不容樂觀,提升員工信息安全意識刻不容緩。”谷安天下副總經理魏彩霞對當前企業員工的信息安全意識現狀表示擔憂,“不同行業的信息安全意識現狀不同,電信、金融等行業由于業務的特殊性,安全意識較高,而其他行業的信息安全意識整體狀況則依舊薄弱”。
調查顯示,接近50%的受訪者認為單位領導的信息安全意識一般、很差或者還不如自己。而據魏彩霞介紹,一些企業中即使領導非常重視信息安全,希望提升員工的保密意識,但“只是看到別人的明文密碼導致信息泄漏就更改自己的網頁設置等單個事件,并不能系統地提升企業員工整體的信息安全意識”。
由于員工信息安全意識薄弱而給企業帶來災難性損失的案例屢見不鮮。據統計,世界上每分鐘就有兩家企業因為信息安全的問題而倒閉。而在所有信息安全事件中,只有20%~30%是因為黑客入侵或其他外部原因造成,另外70%~80%是由于內部員工的疏忽或有意泄漏造成,而78%的企業數據泄漏是由于內部員工不規范的操作造成的。
事實上,與其他聯網設備一樣,對于企圖侵犯數據的破壞者而言,打印機也是可以被伺機入侵的終端。
除了辦公室和寫字樓,在學校、醫院、工廠、金融機構以及公共服務部門等場所,只要是有信息打印輸出和流轉的地方,就存在著對文印安全的需求。
幾個月前,惠普創意工作室(HP Studios)攜手美國影星克里斯汀?史萊特(Christian Slater),推出了聚焦辦公室信息安全的系列短片“狼”(The Wolf),在海內外引起不小反響。短片中男主角利用未加防護的文印設備和電腦,直接侵入一家大型財務公司的IT系統并影響了關鍵談判的結果。近日,“The Wolf”第二季短片再度曝光。片中,黑客利用未加防護的打印機和電腦,在一家醫療軟件公司首席信息安全官Todd就診期間,輕松修改了系統中Todd的身份信息和診斷記錄,切斷了外界聯系,致使其公司的安全防御系統陷入癱瘓,上百萬病人的醫療數據被盜取。雖然是虛擬場景,但是這場由一張醫療診斷書引發的大規模信息安全危機,為更多行業的文印安全再一次敲響了警鐘。
文印安全迫在眉睫
事實上,影片中的案例毫不夸張。據調查,僅在2016年,全球就有超過400萬條信息記錄暴露在危險之中,相比兩年前增長了4倍。信息安全的形勢日益嚴峻,企業內部的安全防護亟需提升。
調查顯示,企業的銷售和人力資源部門分別有高達93%和76%的信息安全風險都源自缺乏安全防護的打印設備。缺乏安全防護措施的打印機,會在不知不覺中發生信息泄露,使信息安全陷入威脅之中。
隨著相關安全解決方案的推廣,越來越多的企業和機構開始意識到,在辦公環境中,IT設備的安全對于公司的運營至關重要。行業客戶對安全的需求不斷提升,推動了包括惠普文印管理服務(MPS)在內的管理解決方案的創新和發展。在全球范圍內,惠普文印管理服務(MPS)的客戶已經覆蓋了金融、教育、文娛、醫療、制造、公共服務等領域,客戶數量也在持續增長。據IDC預測,亞太區(不含日本)安全服務市場規模將在未來四年間保持20.5%的年復合增長率,其中,安全管理服務細分市場的規模預計將在2020年增長到38.6億美元。很顯然,根據各行業的不同需求,為企業客戶提供定制化的安全解決方案,已成為未來安全管理服務的發展方向。
從醫療到制造
為文印安全保駕護航
惠普在安全管理方面具有豐富的技術積累和服務經驗,致力于為客戶研發和提供文印安全解決方案。行業客戶借助惠普文印管理服務(MPS),部署和應用一流的文印安全解決方案,從架構層面加強文印安全防護水平,提升工作效率,降低整體運營成本。
如同“The Wolf”中所呈現的,醫療機構經常通過打印設備輸出包括病歷、檢查結果、處方在內的重要信息。作為核心節點,打印設備的安全關系到醫師和患者的隱私,也直接影響到醫院的服務水平。
以美國Baptist Health公司為例,其旗下運營著7家醫院和300多家附屬機構,擁有近2000名專業醫生,采購了近3000臺惠普激光打印機和多功能復合機,日夜工作記錄和傳輸醫療信息。隨著文印安全問題逐漸成為行業焦點,Baptist Health公司亟需進一步加強醫療隱私保護,提升整體文印安全水平。
為此,惠普幫助該公司采用惠普智優安全解決方案(HP Jet Advantage Security Manager),定制并部署了覆蓋所有聯網打印設備的統一安全策略。它能夠立即識別安全網絡內新接入的打印設備,自動部署安全策略,保障設備安全。這一策略還通過移除默認密碼、設置多重密碼防護、禁用具有安全風險的外部打印協議、標準化訪問等方式,從多個維度提升設備安全。在惠普的支持下,Baptist Health從架構層面和設備端掌控了文印安全,為更安全放心的醫療服務提供了保障。
對于文印安全的需求不僅存在于醫療機構,在聚集科技和創新的硅谷,許多企業也在積極行動,提升文印安全。在一家領先的跨國科技制造企業,每天有超過2000臺惠普激光打印機和頁寬打印機為全球各地的業務部門提供文印服務。在過去,文印安全的漏洞隨處可見,例如員工將重要文件遺漏在打印機托盤,或是聯網打印設備因缺乏安全防護措施,直接面臨入侵風險。
近10年來,該企業與惠普保持長期和緊密的合作,通過文印管理服務來提升文印安全。惠普的專業工程師為其制定了一套完整的安全打印解決方案,幫助IT運維人員充分利用惠普智優安全解決方案,統一規劃和管理企業內的安全打印流程。此外,借助惠普訪問控制和安全拖打印(HP Access Control Secure Pull Printing)功能,員工把文件發送到打印服務器后,可以在公司任意一網惠普打印設備上輸入PIN碼或者刷工卡驗證身份,實現就近即時打印,同時保障安全。
專家建議
架構+設備兩手抓
從架構層面對文印安全進行整體部署和管理,是企業提升文印安全水平的重點所在。對于IT團隊來說,如何更科學地部署和管理設備?對此,惠普的文印安全專家提出以下幾點關鍵建議:
1.每個設備節點都面臨著潛在風險,必須將打印設備和PC設備的安全放在同等重要的位置;
2.網絡的安全取決于設備節點的安全,公司的每一網設備,都需要相應的安全管理策略;
3.隨著越來越多的移動設備通過網絡與打印設備相連,相關的數據傳輸通路都需要嚴密保護;
4.IT運維人員可以借助設備自帶的安全管理設置,以及內置行業標準安全策略的管理工具來簡化管理流程、保障網絡安全;
5.打印設備應當接入安全威脅和事件監測系統,并通過安全信息和事件管理(SIEM)工具,及時監測潛在的安全威脅。
防患未然,謹防文印之“狼”
設備安全也是文印安全中的重要一環,配置了安全防護措施的設備能夠從接入端防患于未然。反之,如果像“The Wolf”短片中的打印設備那樣缺乏安全防護措施,則會讓“狼”輕易入侵、監視和竊取數據。
作為在打印安全領域起步早、技術積累深厚的領先企業,為提升打印設備的安全性,惠普很早就將文印安全作為重點,不斷革新產品和相關解決方案。而在這方面最新的動作,則是A3智能復合機的推出。
今年4月,惠普新一代A3智能復合機系列正式推出,除了在彩打成本方面的優勢之外,多達30款A3彩色頁寬復合機和A3激光數碼復合機還配備了嵌入式安全防護功能,可以全面保護設備、文檔和數據的安全。該系列A3打印機支持PIN碼打印、白名單、實時入侵檢測、安全啟動、加密硬盤、訪問控制等安全解決方案,通^BIOS級別的安全防護有效監測和阻止外部入侵,確保重要信息的安全。企業的信息安全,往往取決于整個IT架構中最薄弱的一環。
[關鍵詞] 云計算;金融信息;系統安全
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 06. 018
[中圖分類號] TP393;F931 [文獻標識碼] A [文章編號] 1673 - 0194(2014)06- 0026- 04
1 引 言
在經濟全球化和信息技術高速發展的今天,瞬息萬變的市場環境對金融企業管理、業務創新、市場開拓、服務水平等提出了更高的要求,金融企業信息化進程成為制約金融企業快速發展或轉型的關鍵。而傳統的信息化建設和管理模式很難滿足金融企業在靈活性、多樣性、個性化等需求。面對逐年增加的IT建設和運營投入,越來越多的金融企業開始尋找新的途徑。云計算作為新型的計算和服務模式為金融系統信息化建設提供了新的實施方式。云計算提供了一種計算機資源按需獲取和交付的業務模式,可以向用戶提供可無限伸縮的服務來滿足客戶和業務需求。云計算的技術優勢極大降低了金融企業 IT 建設及運營維護成本,使金融企業能夠更快捷、廉價地獲取必需的IT資源[1]。
“云金融”是云計算在金融領域的行業應用,可以將金融機構的數據中心與客戶端分散到“云”里,提高信息共享程度。通過有效的基礎實施即服務、平臺即服務、軟件即服務的眾多業內知名金融企業,聯合將線上線下資源整合成一套包括交易平臺、結算平臺、網上支付平臺、外匯交易實體平臺、中小金融企業云服務平臺等經濟活動融為一體的、全面的、綜合的金融信息系統,為金融客戶提供生產中心、災備中心、存儲中心、災難恢復、金融演練、遠程數據保護、網絡優化、安全管理等全方位的外包服務及各種云應用平臺服務,最終形成面對金融行業的整體解決方案[2]。
目前,我國金融云應用尚處在探索和起步階段,沒有統一的行業技術標準,缺乏相關的監管政策支持。云環境的安全性問題是金融信息系統需要考慮的重點問題。
隨著云計算平臺相關技術的發展以及SaaS等新型架構的成熟,云環境下的金融信息系統成為現實,而安全問題是云平臺需要重點考慮的問題。本文結合當前金融信息系統的云計算發展趨勢以及存在的問題展開研究,通過分析現有云平臺以及基于SaaS的金融信息系統中的安全隱患,提出云金融信息系統的安全框架,為云計算環境下的金融信息系統提供了安全解決方案[2]。
2 云平臺核心安全問題分析
基于云平臺SaaS架構的金融信息系統由于云計算環境的公開化、開放性等特征面臨著安全問題。云計算平臺需要得到用戶的信任,這樣用戶才能將數據托管在這個云環境中;同時,云計算服務提供商應該保障云資源的可靠性和完整性,要具備高水平的災難恢復能力。根據美國著名市場研究公司Gartner的研究表明,云安全服務存在7大潛在安全風險[3-4]。基于對云計算環境以及SaaS的分析,得出云平臺的如下核心安全問題:
(1)特權用戶訪問。在云平臺中能夠繞過公司內部對于相關程序的物理、邏輯以及人員進行操作,因此,在企業外部處理敏感數據的方式具有與生俱來的風險性。
(2)法規遵從。云服務提供商只托管企業數據,客戶對于自身的數據的安全性和一致性仍然負有最終責任。傳統的服務供應商受制于到外部審計和安全認證。而云計算技術則拒絕接受類似的審查。
(3)數據位置。云服務的分布式特性使得企業在使用云服務時無法知道數據托管的具置,更無法知道當地運營機構是否嚴格遵守隱私保護要求。
(4)數據隔離。云服務中的數據通常是與其他客戶的數據一起共享存儲的,但是加密方式不能絕對的保障數據絕對安全,所以要將自己數據與其他企業用戶的數據隔離開來。
(5)災難恢復。云服務提供商應當對用戶數據進行有效的備份,保證在災難時能及時恢復保證業務正常運行。如果缺失,對企業而言將是巨大損失。所以企業用戶一定要求云服務商做出承諾,必須對所托管數據進行備份。
(6)調查支持。云計算會將多個用戶的數據和記錄同時存放在一起,或者跨主機、數據中心存儲,企業的正常的數據調查會得不到許可或困難重重。如果你的供應商無法做出相關承諾,那么一旦違法行為發生時,你將面臨無法取證的尷尬。
3 基于云計算技術的金融信息系統安全風險分析
云環境下金融信息系統將某個銀行的全部的數據集中在總行計算機系統中統一管理、協調,為加速資金的流動和創新業務的實施奠定基礎。在互聯網上部署這類系統可以極大地提升企業的業務數據處理能力,但同時也向那些企圖進入金融企業信息系統內部獲取機密數據的人敞開了大門,因此,保證軟件系統的安全顯得尤為重要。從以下幾個方面對云計算SaaS基礎上的金融信息系統所面臨的安全風險進行分析[2]。
3.1 物理和環境安全
物理安全對金融企業基礎設施來說非常重要,所面臨的問題比較多元化,主要涉及數據中心設計、弱電規劃、火災等突發事件應急、訪問控制、閉路電視(closed-circuit television,CCTV)實施等。物理安全用于保護金融企業資產不受損失,是對環境風險和不可預知認為活動的第一道防線。這類風險主要有:①內部人員“濫用”造成的資產損失;②設施缺陷造成的業務中斷或數據損失;③缺少有效的訪問控制和監控制度;④缺少必要的災備和業務連續性計劃[5]。在云計算環境中,數據資源保存在遠程服務器中,其物理和環境安全對于金融企業用戶來說具有不可控性。
3.2 災備和業務連續性
服務器群突發技術故障會造成數以千計金融企業網站服務中斷,給金融企業造成巨大損失。災難恢復的目的是將災難造成的損失降到最低程度,業務連續性計劃的目的則是從更長遠的角度來解決問題來保障業務能夠長期、穩定的運營。中小金融企業中往往都缺少相關管理制度和規劃,在突發事件中,不穩定管理業務系統將會給金融企業帶來極大的運營風險甚至直接經濟損失。云計算服務器的災備回復能力是關系到業務系統能否連續性運行的關鍵。
3.3 網絡安全
網絡包含了許多不同的機制、設備、軟件和協議,它們互相關聯形成一個整體。網絡安全涉及了網絡上數據信息的保密性、完整性、可用性、真實性和可控性。拒絕服務攻擊和無加密的數據傳輸是常見的兩類網絡安全隱患。在云平臺SaaS架構下,不安全的協議和密碼泄露都會對金融信息系統的安全保密造成破壞;無加密的數據傳輸對金融信息系統而言將會是致命打擊,數據在傳輸過程中可能會被截取并被篡改,這不僅會造成金融企業數據丟失,甚至還會影響到金融企業的正常運營、數據的泄露等,同時有可能需要金融企業來承擔法律責任。因此,需要探討SaaS所帶來的網絡安全隱患,并采取措施來避免這些安全問題。
3.4 數據安全
數據是SaaS金融信息系統的核心資產, 直接關系到金融企業的商業隱私。數據安全除了傳輸安全之外還包括存儲安全、靜止數據安全等。存儲或備份在磁盤上的業務數據往往都缺少必要的安全機制,例如存儲加密,直接或者間接訪問和篡改都會給金融企業造成巨大風險;存放在數據庫中的靜態數據通常而言都沒有進行加密。在多組戶環境下,上層應用的邏輯缺陷將導致其他惡意“租戶”對金融企業私有靜態數據進行直接訪問或操作。Web應用安全和數據安全緊密結合相輔相成缺一不可。
3.5 Web應用安全
絕大部分SaaS信息系統都是以瀏覽器作為用戶訪問的瘦客戶端,Web服務器就成為聯通互聯網和內部網絡的橋梁。應用安全的架構決定了SaaS金融信息系統的安全性,多組戶環境下的配置管理、權限分配、虛擬資源的訪問控制都和安全息息相關。據美國應急響應中心統計,2010年全年披露的漏洞80%以上和Web應用相關。作為業務前端的Web應用程序的脆弱性直接影響到整個系統的質量保證。開放式Web應用程序安全項目(OWASP,Open Web Application Security Project)是一個組織,它提供有關計算機和互聯網應用程序的公正、實際、有成本效益的信息。如表1所示,OWASP十大頁面應用程序安全風險項目提出了當前最具有風險的漏洞類型及攻擊方法。
3.6 訪問控制
訪問控制是保證金融企業信息安全的重要手段,信息安全的根本也是通過控制信息資源訪問來保護系統資源免受未授權訪問。SaaS金融信息系統中訪問控制包含的范圍很廣泛,涵蓋了從上層應用的用戶身份管理到底層網絡邊界控制的很多方面。在缺少有效的身份供應機制的系統中,離職員工賬戶或存在弱口令的賬戶都將對業務模塊造成嚴重的威脅。底層架構在缺乏有效邊界保護或安全域劃分的情況下同樣會產生更多安全隱患。
3.7 網絡病毒及木馬程序
SaaS金融信息系統威脅主要來自網絡病毒,在受到病毒攻擊時,服務器未受到有效保護的話,數據就會丟失,造成的破壞是無法彌補的。木馬程序也是業務數據安全的隱患之一。如果數據服務器被植入木馬程序后,木馬程序平常是隱藏的,但其會隨著系統悄無聲息地啟動,一旦木馬在服務器后臺運行起來,服務器系統就會有端口被打開,黑客就會利用控制端程序潛入到服務器內部,服務器上的所有程序和數據暴露無疑,這樣安全和隱私就全無保障了。病毒和木馬的防范對于系統安全來說至關重要,需要有健全的病毒木馬防御體系來保證數據的安全。
3.8 系統安全
云計算的分布式特性導致了在任何一個系統中都可能找到金融企業的敏感數據,在這個前提下系統的安全性同樣不能忽視,尤其是在訪問控制不到位的環境下,很有可能存在直接暴露在互聯網上的IT系統。
系統安全漏洞根據對其系統造成的潛在威脅 (破壞性、危害性、嚴重性)以及被利用的可能性為依據將系統漏洞分為緊急、重要、警告、注意等。對“緊急”或者“重要”級別的系統漏洞需要及時的安裝補丁程序。常見的漏洞類型歸類如表2所示。
4 云環境下金融信息系統安全框架構建
基于上述云平臺自身安全問題以及SaaS金融信息系統所面臨的常見安全風險的分析,對于每個風險點都可以采用相應的策略來進行規避,從而提升系統的整體安全水平。本文提出如圖1所示的安全框架,以解決基于SaaS的金融信息系統的安全問題。
如圖1所示的金融信息系統安全框架,包括金融企業信息安全治理、第三方管控、風險評估等6個主要解決方案,具體詳細介紹如下。
4.1 金融企業信息安全治理
由于金融信息系統的特殊性,不管金融企業采用的是什么服務或部署模型,金融企業用戶和服務提供商應當協商進行信息安全治理來達到支持業務需求和信息安全保障的一致目標。信息安全治理類似于IT治理,都是為了確保企業的生存和發展為目標的。隨著新的法規法案的頒布,對金融企業管理要求的提高會增加金融企業安全治理的需求。金融企業用戶應當制訂符合自身發展的信息安全規劃,投入適當人力對IT系統進行定期評估和審計。
4.2 第三方管控
對云服務提供商的供應鏈進行深入的調查和評估涉及事件管理、業務連續性、災難恢復等方面的策略、流程和規程,包括對共用場地和相關設施的審查。對云服務提供商遵從自身策略和規范的執行力進行內部評估,同時評估提供商在相關領域的指標體系。考察服務提供商是否有完備的安全治理能力,文檔化的風險評估實施過程、安全審計流程。
4.3 風險評估
對應用系統、操作系統、網絡架構進行定期的風險評估和滲透測試,最大程度地發現整系統中的安全隱患并及時修復。劃分安全域對網絡邊界有效控制,采用三層架構將表示層、業務層、后端層邏輯隔離。創建符合金融企業自身需求的安全基線,對IT系統定期人工核查。對于上市及金融和電子商務客戶可能還需要滿足SOX、PCIDSS、DISA、ISO 27001等標準的合規遵從要求,涉及人員管理、Web應用安全、系統安全、數據保護、網絡安全、審計、 物理安全、代碼安全生命周期等。
4.4 信息內控
加強對業務信息系統進行信息內控,建立IAA(Identification, Authentication and Access)體系對用戶身份認證訪問控制管理與審計。創建用戶角色和職務列表,記錄用戶的所有操作并強制性審計。從制度上完善對用戶工作職務變更與中斷進行管理[6]。在金融企業執行管理層,制定信息安全保障策略,做出如何執行金融企業安全戰略的決策,確定IT治理和控制的整體方法。在業務層對特定業務活動進行控制,尤其是對于IT應用系統關聯緊密的業務過程。在IT基礎層,對網絡、數據庫、操作系統以及存儲設施等采取一般性IT控制,不完善的變更管理會破壞IT基礎層的完整性和可靠性。
4.5 業務連續性計劃
制定滿足金融企業自身特點的業務連續性計劃和策略,提供為實施應急響應、數據備份、災后恢復操作的流程規范確保在緊急情況下做出適當響應。根據BSI的BS 25999業務連續性標準,業務連續性計劃實施可以包括為6個步驟,啟動項目、業務影響分析、確定恢復計劃、制訂業務連續性計劃、測試和演練、維護和更新計劃。①項目啟動階段主要工作是準備必須的資源和前期調研工作,如得到管理層對項目的支持和授權、明確項目實施的組織結構和人員角色權責,為項目實施分配資源、制訂項目實施計劃;②業務影響分析主要是對公司業務流程進行分析和評估影響程度;③恢復計劃制訂時需要從組織、流程、技術、資源等幾個角度考慮,建立了戰略層、戰術層和操作層面的應急管理組織;④災難恢復預案主要包括災難恢復的時間和范圍、災難恢復組織架構、聯絡清單、應急處理流程、事件通報流程、損害識別和評估流程、災難宣告流程、核心金融信息系統恢復流程、業務恢復流程、重續運營管理流程、災后重建流程、災后回退流程、計劃內切換與回退流程等[7]。
4.6 安全風險防范措施
云計算的發展加快了金融信息系統的發展進程,但隨之也帶來一些安全性問題。我們不能因為網絡的不安全性而停止網絡服務,要使云服務平臺良好地運行需要單位負責人樹立好安全意識,系統操作人員提高業務素質,服務器維護人員要有良好的技術水平。針對云計算應用中的安全性問題,需要預先采取措施來減輕這些威脅。
(1)系統運行服務器和數據存儲服務器一定要請專業的安全公司指導定期升級操作系統漏洞,關閉不必要的服務和不用的網絡端口。
(2)安裝網絡版殺毒軟件,并及時更新病毒庫,使服務器系統安全性提高,能抵抗最新病毒的攻擊。
(3)系統服務器和工作站要安裝防火墻,一定不要直接暴露在互聯網上,對接入Internet要嚴格限制。服務器端只開放必須的應用端口,封閉其他端口,最好只對接入客戶端的IP地址段開放。
(4)密碼攻擊是黑客們最常見的入侵方式之一。為提高系統的安全性,一定要設置一個高強度密碼。密碼的“弱”和“強”是相對的,不同的環境對于密碼強度有不同的要求,即使再強的密碼也有可能被破譯或泄漏,所以密碼要經常更新,更新的時間長度基于數據的敏感程度。
(5)要保證數據的安全性,一定要對服務器業務數據進行有效備份,異地備份是最可靠的備份方式,如果當地發生毀滅性的自然災害,事故后還能從遠程恢復數據和業務,可以保證業務數據的完整性和安全性。
5 結 語
云計算的浪潮已經無法阻擋,云環境下的金融信息系統使得金融系統與信息技術高度融合,提高了金融機構迅速發現并解決問題的能力,提升了整體工作效率,改善了流程,降低了金融企業信息采集的成本。然而安全問題很大程度上阻礙了這種模式的普及。本文從宏觀上介紹了當前云環境下基于SaaS的金融信息系統所面臨的安全風險,提出了相應的解決方案。隨著云技術的發展、安全策略的更新、攻擊技術的演變,本文提出的安全解決方案所產生的實際防御效果還需要進一步證實。
主要參考文獻
[1]張建文,汪鑫.云計算技術在銀行中的應用探討[J].華南金融電腦,2009(6).
[2]謝世清,論云計算及其在金融領域的應用[J].金融與經濟,2010(11).
[3]Gartner.Seven Cloud-Computing Security Risks[EB/OL].http:///d/security-central/gartner-seven-cloud-computing-security-risks-853,2008.
[4]和訊網.云計算技術的七大安全風險[EB/OL].http:///133/8201133. shtml,2009.
[5]哈里斯.CISSP認證考試指南[M]. 北京:科學出版社,2009.
關鍵詞:信息系統;安全管理措施;計算機網絡
中圖分類號:TU714文獻標識碼: A 文章編號:
1.前言
當今社會信息技術不斷發展,信息時代的到來以及不斷的發展給人們帶來了很多的便利,計算機網絡技術得到了非常廣泛的應用,隨之而來的問題是計算機網絡信息系統的安全性,這個問題已經成為了一個重要的時代課題,人們對于網絡信息系統的安全管理提出了更多的要求和建議,而另一方面信息時代的不斷發展的結果是社會上的信息傳輸量不斷的增加,而有一些部門的一些上網數據就得到了不同程度的破壞,嚴重還會造成公司信息的泄露,給公司的業務安全造成一定的影響。對于網絡中的信息,不法攻擊者能夠通過計算機病毒等各種形式盜取企業的信息,只要是信息存在于網絡中,都能夠被竊取,這種問題的出現使得很多企業或者是相關組織都受到了沉重的打擊,企業的信息安全性以及利益已經收到了非常嚴重的威脅,所以在這種情況下網絡信息系統的安全性以及安全管理已經成為了一個時代重要的研究課題,關系到一個企業甚至是整個社會的信息安全和正常運作,解決好網絡信息系統的安全問題是確保當前信息網絡正常運行的基礎保障,能夠更好的為各行各業提供更加安全的信息系統管理,讓信息社會更加的安全。
2.國內信息系統發展現狀以及存在的問題
企業對于一個國家經濟的發展來說有著非常重要的作用,企業信息系統的建設關系到企業的發展,是一個企業在現代化社會站穩腳步的必經之路。當前來說,近些年國內很多企業都在不同程度上遇到過信息系統安全問題,有的甚至還因此受到了重大的打擊,我們國家從上世界八十年代開始國家相關部門才開始重視企業的信息系統建設,就是年代之后伴隨著互聯網等技術的飛速發展,企業更是意識到了這一點的重要性,開始投入大量的人力、物力以及財力去研究企業的信息系統。在當今信息化迅猛發展的過程中,我們一方面應該看到互聯網等技術的發展給信息化發展帶來的廣闊前景,同時另一方面還必須認識到信息化時代所存在的問題,應該及時的發現這些問題,對企業的信息系統進行安全系統的管理,盡管國內的一些企業認識到了這些問題同時也都為此做出了很多努力,但是真正的效果并不是很理想,一些企業的信息系統實際上根本沒有起到安全管理企業信息的作用,這就在很大程度上證明了國內的一些企業盡管都使用網絡信息系統,到那時信息系統的安全管理措施還都有待加強。
3.大型信息系統安全管理的措施分析
3.1信息系統結構設計是關鍵因素
一個企業的信息系統的安全與否關系到一個企業信息的安全,而一個企業網絡信息系統的安全關鍵在系統結構是否設計的合理。一般情況下,大型的企業信息系統都會存在一些固有的網絡安全隱患,針對這些固有的網絡安全隱患可以采取以下安全管理措施:首先是網絡信息分段技術的使用,這項技術的使用能夠是大型的信息系統從源頭上排除信息安全隱患,針對企業網絡存在形式局域網,可以使用物理以及邏輯分段相結合的方法來實現信息系統的安全管理,這樣做的目的就是將企業以外未經授權的非法用戶和一些對企業比較敏感的網絡資源進行有效的分離,保證企業信息的安全流通;其次是集線器的更換,目前大多數信息系統出問題企業大型網絡都是使用的共享式的集線器,從這上面吸取教訓,將共享式的集線器更換成交換式的集線器,這樣同樣是局域網的信息系統結構,安全系數就大大的增加了。
3.2進一步加強計算機的安全管理
大型的信息系統儲存的信息都是需要通過計算機來傳輸的,所以必須對計算機進行安全管理,這樣才能保證信息系統在傳輸信息的過程中不會出現安全問題。
3.2.1加強設備的管理
對于設備的管理首先需要確保計算機網絡信息系統的實體絕對安全,必須健全信息安全管理制度,防止企業之外未經授權的非法用戶進去到企業的信息系統中進行非法行為,加強計算機軟硬件等相關連接設施的安全管理,不定期的對相關設施進行維護管理。
3.2.2計算機病毒防護措施
第一:對于Windows的操作系統,要經常性的對系統的漏洞進行修補,做到隨時的補充漏洞,防止因為系統漏洞問題造成的信息安全問題。
第二:要經常性的對企業的計算機網絡中的防病毒定義碼進行及時的更新換代升級,避免因為計算機系統防病毒軟件出現問題造成的信息安全隱患。
第三:對于企業信息防火墻,首先必須進行合理的布置,除此之外信息系統的安全管理策略要要個的掌握,盡量的及時關閉掉信息系統中不需要運行的端口操作,用以防止非法用戶對信息系統的攻擊,同時計算機信息系統管理人員在及時的了解計算機應用程序經常使用的端口,避免不良運行造成的系統故障。
第四:大型的信息系統的管理人員必須熟悉黑客的一般攻擊和相關規律手段,能夠對黑客的一般性攻擊做出及時的預警和防范。
3.2.3強化信息系統的訪問控制
3.2.3.1強化企業信息系統的訪問控制嫩鞏固保證網絡系統的正常運行。首先需要做的就是建立和企業信息系統的入網訪問相關的功能板塊,具體的是通過特定的網絡分段以及相關服務來建立屬于企業自身信息系統的訪問控制體系,這樣就能夠保證大部分的非法訪問都能夠在進入信息系統之前被拒絕,強化企業信息系統的訪問控制是為企業的信息系統安全管理提供了第一層保護,通過這個設置企業可以設定具體的訪問對象,對于一些機密的信息可以不予共享,這樣即使是得到了企業的授權,對于一些重要的信息還是得不到訪問,具體的分為三個訪問過程,首先是用戶名的相關識別和驗證,其次是口令識別和驗證,最后是用戶賬號的識別驗證,同時還需要保證三個環節都沒有出錯才能對企業信息系統進行訪問。
3.2.3.2需要建立企業信息網絡的權限控制板塊。對于企業網絡信息系統的權限控制針對的是沒有經過系統允許的非法訪問者所提供的一種安全保證措施,權限控制板塊具體針對三種類型的訪問:信息的特殊訪問用戶、信息的一般訪問用戶以及信息的審計者。
3.2.3.3需要建立企業信息系統的屬性安全服務模塊。對于企業信息系統的屬性的安全控制能夠就將特定屬性的信息和網絡服務器存儲的文件等聯系在一起,這樣就進一步的增加了信息系統的安全系數。網絡屬性安全版塊易爆有下面幾種訪問權限:往某個特定的文件傳輸數據、復制一個特定的文件、對于文件目錄的刪除和查看、信息的共享以及系統相關屬性等,最重要的是能夠有效的保護信息系統中存在的重要的目錄以及機密文件,能夠有效的防止文件的遺失和更改。
3.2.3.4建立信息檔案的加密保護制度。主動的對企業的信息通訊過程進行加密,這樣能夠避免非法訪問者深入的了解信息系統的相關信息和運行狀態,防止信息系統的數據泄露。
3.3信息系統穩定性的安全管理
信息系統的安全運行需要的是一個穩定的環境和運行狀態,所以必須對信息系統的穩定性進行安全管理:
3.3.1有關信息系統可靠性問題的安全管理
對于和信息系統的可靠性有關的系統安全問題,通常可以使用“磁盤冗余陣列”或者是“雙機熱備”等方法來進行安全管理,這主要是在企業信息出現遺失或者是顯示錯誤的時候能夠保證相關信息的及時性恢復所作出的操作,同時還能夠進一步的找出出現故障的原因并及時的解決問題。
3.3.2信息系統通訊故障造成的系統不穩定
對于信息系統經常出現的通訊故障,需要根據企業的具體狀況以及對于信息系統安全級別,使用備用信息系統線路,大型的信息系統的備用線路可以使很多條的,主要是為了能夠保證企業信息通訊線路的穩定性,對于級別比較高信息系統來說,可以使用專線的方式保證系統穩定性。
3.4基于RMS的信息系統安全管理模式
RMS信息管理模式(Rights Management System)是一種和相關的特定應用程序進行寫作來保護信息數據安全的一項新技術,能夠有效的保證重要信息文件、電子郵件以及信息系統儲存的信息安全的技術。對于大型的信息系統的安全管理人員來說可以嚴格的規定能夠打開企業文件、讀取相關信息以及修改特定內容的人群,能夠有效的保證組織的創建權限,是確保具體實施的用戶能夠應用于信息內容的策略。
4.結論
信息化的發展給社會帶來的是巨大的進步,同時對于信息系統的安全管理也是同時存在的時代問題,保證大型信息系統的安全運行,關系到一個企業甚至是社會信息的安全,所以必須有一套真正有效的安全管理措施保證信息系統的安全運行,希望文章的觀點能夠為此做出貢獻。
參考文獻:
[1]余志偉.面向業務過程的信息系統安全需求識別方法及其關鍵技術研究[D];浙江大學;2009年
[2]吳保林.試論計算機網絡信息系統的安全管理[J]電腦知識與技術;2011年24期
[3]肖國煜.信息系統等級保護測評實踐[J]信息網絡安全;2011年07期
[4]武俊芳,鄭秋生.重要信息系統安全測評工具的研究與設計[A]計算機研究新進展(2010)——河南省計算機學會2010年學術年會論文集[C];2010年
多年來,得安科技先后承擔并參與了30多項國家和地方科研項目和產業化任務,并在面向金融領域的關鍵安全技術、信息安全基礎設施關鍵技術體系研究等關鍵領域做出了突出貢獻,取得了創新性的科研成果。得安科技載譽業內的實事,讓我們不得不去關注隱藏在其高速發展背后的研發實力和技術動力。今天的得安,對其自身如何定位?其發展潛力何在?以得安科技為代表的密碼核心技術提供商又如何看待國內信息安全市場發展趨勢?為尋找這些問題的答案,中國信息化周報記者約訪了得安科技技術總監孔凡玉。
中國信息化周報:商用密碼產品及服務是信息安全產業的重要一環,也是得安的核心競爭力。基于怎樣的背景,得安投入商用密碼技術研發?
孔凡玉:所謂網絡安全、信息安全,最重要的目標是保證信息系統和網絡環境中的“數據”、“信息”的安全,而不單是對計算機設備、網絡設備自身的安全防護。大到一個國家,小到一個企業和個人,多數黑客進行攻擊的真正目的就是竊取機密數據和信息,而不僅僅是破壞信息系統本身。因此,商用密碼產品及服務作為保障數據的機密性、完整性等安全性的關鍵一環,是信息安全產業的重要組成部分。
得安公司成立于1997年10月7日,是我國最早致力于商用密碼產品研發及產業化的企業之一,這與我國當時對網絡安全和商用密碼產品的迫切需求密切相關:一個是隨著互聯網技術的發展,網上銀行、網上證券等金融業務的開展迫切需要商用密碼產品和網絡安全系統的出現;另一個是,我國信息化建設的飛速發展迫切需要實現商用密碼技術的國產化,以保證信息安全核心技術的獨立性和自主性。
中國信息化周報:得安現有哪些科研成果?具有哪些核心技術優勢?
孔凡玉:得安科技自主研發的“SMS100-1網絡安全平臺”,這是國內最早通過國家密碼管理機構組織鑒定的商用密碼PKI產品,并榮獲國家科技進步三等獎和密碼科技進步二等獎,此系統已在上海證券中國證券登記結算公司的證券系統中成功使用。此外,得安公司也順利完成了中國金融認證中心CFCA的商用密碼模塊的國產化開發項目,實現了商用密碼產品和接口的國產化,并逐漸將服務器密碼機、智能IC卡等產品廣泛應用于中國建設銀行等各大銀行以及郵政、電信、稅務、電力、煤炭、石化、廣電、煙草、航空等行業。
十六年以來,得安公司一直注重商用密碼和信息安全核心技術的創新,在高速密碼服務器、數字認證系統、智能IC卡、VPN設備、安全文件傳輸系統、云安全密碼服務平臺、大數據安全、移動安全計算等方面具備良好的技術積累,得安參與研發的多項產品和技術填補了國內外空白,保證了核心技術的領先優勢。
中國信息化周報:從國家政策層面強化網絡安全意識,到首席安全官漸成大型企業標配職位的發展現狀,您如何理解密碼安全對于企業信息安全堡壘建設的核心意義?
孔凡玉:在目前的互聯網時代,每一個企業和個人都在享受著互聯網給工作和生活帶來的便捷的同時,也遭遇著前所未有的信息安全的巨大風險。中央網絡安全和信息化小組的成立,標志著我國已經把網絡信息安全上升為國家戰略的層面。
在網絡信息安全防護中,以數據加密、身份認證、數字簽名等為代表的密碼技術和以網絡攻防、系統漏洞分析、防病毒、入侵檢測等為代表的系統安全技術是網絡信息安全的兩大類核心技術。所以,商用密碼安全產品和系統是信息安全市場的必不可少的重要組成部分。
近年來,發生的信息安全事件大致分為兩種:一種是單純的病毒、木馬、系統攻擊,沒有特別的針對性,造成的后果是計算機系統的崩潰或者網絡無法正常訪問;第二種是針對數據和信息的竊取,這會造成重要數據或個人隱私的泄露,帶來嚴重的后果。最近爆發的信息安全事件,八成以上都涉及到數據泄露問題,例如2013年底發生的美國第二大零售商Target的4000萬用戶的信用卡和借記卡信息泄露事件,近期爆出的OpenSSL的幾個嚴重漏洞,以及我國近年發生的多個網站的數據泄露問題,這都存在密碼技術防護措施不足的問題。這需要對數據的存儲和傳輸進行加密保護,并進行嚴格的身份認證、訪問控制、安全管理等。
得安科技大力推廣信息安全服務的理念,所提出的企業信息安全堡壘的建設方案,是一個從技術實現到管理制度、從硬件產品到軟件系統、從內部加固到外部防范的立體化的整體解決方案,實現服務端的核心數據的加密、安全可靠的網絡數據傳輸、遠程用戶的身份認證和訪問控制等功能,實現企業信息系統的高安全性和可靠性,為企業提供信息安全保障。
中國信息化周報:在與用戶接觸過程中,您認為目前企業信息安全系統普遍薄弱的環節有哪些?
孔凡玉:在云計算和大數據時代來臨之際,任何信息系統的核心都是“數據”,因此任何信息系統的安全最重要的就是保證“數據”的安全。而數據的安全,包括了數據的產生、存儲、傳輸、訪問、處理、共享、銷毀等各個環節的安全,這形成一個環環相扣的系統。
在與很多用戶進行交流時,我們了解到,現在企業信息安全系統普遍存在的問題是缺乏一個完整、系統的安全解決方案,僅在某一個或幾個方面進行了安全防護,但是仍然存在其他方面的漏洞,不能形成一個完整的防護體系。
中國信息化周報:對此,得安科技針對不同行業、不同應用場景下的安全問題,推出了哪些解決方案?
孔凡玉:得安公司一直專注于信息安全核心技術以及信息安全整體解決方案的研發和應用,針對不同行業、不同應用場景,已經在云計算安全、大數據安全、電子商務安全、企業級安全等領域形成了一系列先進的、成熟的、可靠的信息安全整體解決方案,包括云安全密碼服務平臺、遠程文件安全傳輸解決方案、數字證書認證系統解決方案、安全移動辦公解決方案、手機安全支付解決方案、桌面安全解決方案、統一認證授權平臺等。具體包括:
■云安全密碼服務平臺:這是得安公司研發的基于“云計算”技術的高性能密碼平臺,將多款高端密碼設備和軟件中間件技術有機融合,以高安全性、高效率、高穩定性為目標,以先進的分布式計算和并行處理技術為核心,提供高性能的數據加密、數字簽名、身份認證等密碼服務功能。
■遠程文件安全傳輸解決方案:此方案用于解決企業的總部與各分支機構、出差員工之間的文件安全傳輸問題,在數據的安全、可靠、高效的傳輸方面,可以解決FTP等傳統傳輸方式的種種不足,為廣大企業客戶所信賴。同時,該方案可以集成于各類企業的信息系統平臺中,實現企業的遠程文件的安全傳輸,目前已經廣泛應用于金融、證券、石油化工、電力等行業。
■數字證書認證系統解決方案:此方案用于解決企業內部的身份識別與認證的問題。數字證書是由權威機構―CA機構頒發的、標識身份信息的電子文件,提供了一種在網絡環境中驗證身份的方式,類似于日常生活中的身份證。得安數字證書認證系統簡稱CA系統,采用雙證書機制,利用PKI技術提供數字證書的簽發、驗證、注銷、更新等功能,將個人信息或單位信息及密鑰、密碼算法集合在一起,提供在虛擬的互聯網世界可用的“網上身份證”。得安數字證書認證系統,已經成功應用于廣東電子政務認證中心、貴州省數字認證中心的建設,并順利運行。
■安全移動辦公解決方案:此方案用于解決企業的各分支機構和出差員工的遠程辦公、移動辦公問題。通過采用IPSec VPN、SSL VPN、安全網關以及安全客戶端等產品,可實現各種復雜環境下的遠程和移動辦公系統。遠程用戶在通過互聯網登錄企業內部業務系統時,首先需要經過安全網關的身份認證,認證通過后才能訪問其權限范圍內的業務系統;可以在安全網關上進行細粒度的權限配置,保證接入終端的安全性;同時,安全網關支持客戶端訪問企業內網時不能同時訪問其它互聯網的功能,更加保證了接入的安全性。目前該解決方案已成功應用于國土資源、石油、煤炭、電力、電信、銀行等行業。
■手機安全支付解決方案:得安公司研發的智能SD卡以及軟件系統,是近年新興的一種信息安全產品,把高性能的安全模塊集成到SD卡中,這樣用戶既可以像使用普通SD卡那樣使用其大容量存儲功能,又可以像使用智能IC卡那樣使用SD卡中集成的安全模塊,具有密鑰管理、證書存儲、權限控制、數據加解密等功能,實現個人隱私數據的加密保護和安全支付。此方案已經在金融、電信以及中小企業中推廣使用。
■桌面安全解決方案:此方案用于解決企業內部計算機設備的安全控制和信息保密問題,采用智能密碼鑰匙、安全加密U盤、文件加密軟件、Word/PDF文件簽名等產品和技術,確保了信息在單位內的安全存儲,確保了計算機設備的安全使用。該系統是針對客戶端PC安全的整體解決方案,它的最大特點是既能“攘外”,又能“安內”,部署靈活且易于使用,特別適合金融、電信、政府機關、制造業等具有分布式網絡應用的行業。
■統一認證授權解決方案:本方案可以為企業的多個業務系統提供安全支撐,簡化業務系統的管理方式和使用方式,提高整體系統安全性。通過該解決方案,可以為企業提供各個業務系統的統一認證和登錄服務,提供數據傳輸的加密服務、高強度的身份認證、人員的集中管理和應用的集中管理,適合在具有多個業務信息系統的企業中部署實施。
中國信息化周報:在國內市場,用戶往往會在IT價值與IT風險之間尋求一個平衡。讓用戶為安全買單,很多用戶關心的問題是需要支付哪些成本?又能獲得哪些收益?得安科技的解決方案又是如何來降低用戶IT應用風險的?
孔凡玉:得安科技采用的是一套科學的、系統的信息安全工程建設方法,達到用戶的IT價值和風險、收益和成本之間的平衡。
首先,用戶的信息系統和數據的有形資產和無形資產是可以進行估算的。這些數據的重要程度,一旦泄露會產生什么樣的后果,決定了數據的價值。數據的價值越高,一旦泄露帶來的后果越嚴重,因此需要投入的安全成本就越高。舉例來說,價值100萬的數據,如果投入200萬進行安全防護可能是不必要的;同樣,價值1億的數據,僅投入1萬元進行安全防護則可能具有極大的安全風險。
評估了資產的價值后,然后就要分析信息系統存在的風險和威脅,包括目前的信息系統存在哪些漏洞和弱點,內部和外部可能有哪些潛在的攻擊威脅等。之后,就要和企業一起制定信息安全保障系統建設的內容,這主要取決于哪些風險必須要降低,降低到什么程度,采用哪些技術手段,成本是多少等。這樣,在系統建設之前,用戶很清楚建設目標是什么,需要花費多大的成本,會帶來怎樣的收益,做到有的放矢、未雨綢繆。在系統建設、維護運行以及管理等方面,還有一系列的方法和措施,以保證信息安全項目建設的可控性。
中國信息化周報:相比其他應用安全企業,得安科技有何自身特色?具體到商用密碼解決方案,相比其他軟件公司,得安科技有哪些獨特的優勢和創新?
孔凡玉:與其它信息安全企業相比,得安公司的特色體現在三方面。
第一,在商用密碼及信息安全核心技術方面具有創新優勢。作為國內最早從事商用密碼產品研發及產業化的企業之一,得安公司在商用密碼以及信息安全核心技術方面具有18年的積累,在高速密碼算法實現、數字認證技術、云計算安全、大數據安全、移動互聯網安全等方面具備核心技術的創新優勢。
第二,在參與國家和行業標準制定方面具有領先優勢。作為商用密碼基礎設施技術標準組的成員單位,得安公司主持或參與了服務器密碼機技術規范等20多項國家標準、行業標準的制定,因此在把握行業的發展趨勢方面具有優勢。2012年,得安牽頭制定的《密碼應用標識規范》作為我國第一批密碼行業標準進行頒布;兩年來,《服務器密碼機技術規范》、《簽名驗證服務器技術規范》等行業標準也陸續正式頒布。
第三,具備成熟的信息安全服務理念,并在多個行業成功應用實施。得安一直秉承為用戶提供信息安全服務的理念,以可靠的技術實力、穩定的產品性能、優質的服務團隊、強大的分支網絡贏得了用戶的信賴,成功案例遍布于金融、證券、稅務、電信、郵政、石油、煤炭等行業。
得安科技的商用密碼解決方案,具有以下獨特的優勢和創新:
(1) 核心產品可靠性和高效性:解決方案中所采用的硬件產品和軟件系統必須具有高可靠性和高效性,才能保證整個信息系統的安全性和穩定性。例如,云安全密碼服務平臺采用了多機并行、動態分配、冗余配置、負載均衡等技術,保證整個平臺的可靠和高速。
(2) 量身定制的整體安全架構:這些解決方案不是單純的硬件和軟件的累加,而是經過系統的整體設計后形成的有機整體,而且每一個方案的確立和實施,都要根據用戶的信息系統的特點進行量身打造,以保證方案的科學性和合理性。
(3) 運維支持和管理制度:信息安全設施的建設,三分憑技術,七分靠管理。每一個解決方案中都包含了系統的運行維護方案和管理制體系,保證信息安全系統運行期間的動態實時監控和管理崗位的協同工作。
中國信息化周報:得安科技未來的市場競爭策略和發展目標是什么?
孔凡玉:得安未來的市場競爭策略和發展目標,可概括為兩個詞。
一是“共贏”。“共贏”是指與客戶的關系,是對“服務”理念的拓展。“服務”是被動地滿足用戶的安全需求;“共贏”是主動地去幫助客戶發現信息系統中的安全問題并提出科學的解決方案,從而達到與客戶共贏的最終目標。
二是“領先”。“領先”是指保持公司的核心競爭力,是對“創新”理念的拓展。不僅要“創新”,還要領先一步,在新的技術出現和產業變化來臨之際,率先致力于未來核心技術和產品的研發,領先于時代,領先于同行。
今年年中,工業和信息化部、國家統計局、國家發展和改革委員會、財政部四部委聯合印發了中小企業劃型標準。在這四部委的劃分中,小企業被劃分為中型、小型、微型三種類型,普遍來說,從業人員100人及以上的為中型企業,從業人員10人及以上的為小型企業,從業人員10人以下的為微型企業。
與大多數中小企業相比較,微型企業的信息化具有什么樣的特點,又該如何對之服務?
存在四大管理難題
周老板是北京動物園服裝批發市場的小老板,他的生意模式簡單,就是從外地工廠進貨,賣給那些來批發市場的全國各類服裝銷售商。周老板一年的銷售額是6000萬元,在相隔不遠的官園服裝批發市場也有攤位。庫房在這兩個經營點之間,周老板的每個攤位各有幾名員工,手機成為他們之間使用最多的通信工具。
這是一家典型的微型企業。周老板說,做了幾年服裝批發生意,感覺把生意精細化管理有困難。“如果自己再想擴大經營,必須使用軟件產品,主要用來管理財務等。”但是他對信息化系統有模糊的印象,并不清楚究竟要什么樣的產品和服務。
周老板所面臨的管理和信息化難題具有普遍性,挑戰如下:首先是資金問題,由于他是轉租的攤位,在銀行開賬戶、資金往來存在問題;第二是管理問題,庫存盤點用紙質記錄,存在模糊不清晰的情況,這將直接影響下一個季度的銷售;第三是溝通問題,用手機溝通會出現沒電、沒有信號或者手機不在身邊等情況,容易丟單;第四則是對銷售情況不了解,由于他主要做老客戶的生意,若彼此的資金往來、進銷存等都不清楚,對客戶關系維護、進貨決策等有影響。
如何解決類似周老板這樣的微小型企業的困惑?也許,目前業界盛行的云計算可以做到――只要中小企業的云無所不在,而又輕松部署、便于使用。
飄來小企業云
“面對中小企業的云,要像水電那樣,零初始成本,用多少付多少錢;還要像用手機那樣簡單易用,無需學習;這種云全面互聯,連接內外部的各類軟件,并且無需維護,自動更新升級。” 暢捷通總裁兼CEO曾志勇描述了小企業的云特點說,只有這樣,才能解決小老板們對技術的恐懼,讓他們輕易上手,讓信息化提升企業的競爭力。
據了解,當前小企業的商務溝通模式已經不再局限于傳統的“電話+傳真”,小企業的信息化模式開始朝著經營過程全互聯網化轉型。云應用將促使小企業信息化從“奢侈品”變成了“日用品”,從幫助企業管理變成了幫助企業經營:企業只需購買云計算服務,不僅可降低企業的軟件服務擁有成本,縮短信息化建設周期,還可大大減少企業運維成本。“云計算是解放小企業的唯一方式。”
曾志勇總結說:“云計算將給小企業帶來全新的經營模式變革,隨著暢捷通云服務戰略的不斷完善和整合,暢捷通將進一步契合小企業云應用需求,為它們提供易獲得、低成本、見效快、免維護的云服務,引領小企業管理信息化進入云時代。”
金融信息安全問題是每個銀行面臨的重要挑戰,規劃信息安全,廣發銀行從監控平臺入手。
廣發銀行: 安全從監控平臺入手
本報記者胡英
隨著金融行業對信息化依賴程度日益增強,各種面向金融行業的網絡犯罪事件的不斷增多,信息安全問題成為銀行面臨的最重要的挑戰。為此,廣發銀行先行一步,著手打造安全監控服務平臺。
信息安全需整體規劃
廣發銀行成立于1988年,是中國最早組建的股份制商業銀行之一,截至2010年末,廣發銀行的全行總資產超過了8000億元,并連續多年入選全球銀行500強。自建行以來,廣發銀行就實施“科技興行”的戰略,投入了巨資進行信息化建設。至今,其銀行網絡已經覆蓋了全部的營業網點。
隨著人們對在網上辦理業務的需求日益增加,廣發銀行業務對信息化提出了日益緊迫和嚴格的需求,廣發銀行意識到,建立全行信息安全需有一個整體規劃,需要制定一個統一、立體的網絡安全策略,做到可監控、可預警。他們請來了專業信息安全公司趨勢科技的專家進行整體安全規劃。
據趨勢科技中國金融行業客戶總監劉科先生介紹,趨勢科技根據多年在金融行業的安全建設經驗,提出對廣發銀行的安全規劃從監控服務平臺建設著手。
“雖然廣發銀行全網都已經部署了趨勢科技officescan防病毒軟件,但全國各分行及營業網點分散,總行很難及時了解和掌控整體系統的運行狀況,而分行也很難做到安全事件的實時通報,急需統一的監控平臺了解全行的信息。為此,首先引入了趨勢科技的MOC監控服務平臺。”劉科介紹。
該平臺可以提供針對整個安全生命周期內各種威脅和漏洞的可量化、可評估的防御,借助7 x 24全天候的監控機制、完善的安全流程、專業技術以及專家分析和建議來保證業務連續性,并可通過對防病毒軟件的運行數據做分析,根據設定的監控指標,一旦有安全風險出現,管理員和監控中心就可以得到相關的信息和處理方法,及時采取措施,避免陷入被動的局面。
專屬服務為平臺護航
