时间:2023-10-12 09:37:05
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇金融企业信息安全范例。如需获取更多原创内容,可随时联系我们的客服老师。
【 关键词 】 信息安全;安全治理;框架;风险管理
1 引言
随着企业的信息化建设,企业信息系统在纵、横向的耦合程度日益加深,系统间的联系也日益紧密,因此企业的信息安全影响着企业信息系统的安全、持续、可靠和稳定运行。此外,美国明尼苏达大学Bush-Kugel的研究报告指出企业在没有信息资料可用的情况下,金融业至多只能运作2天,商业则为3天,工业则为5天。而从经济情况来看,25%的企业由于数据损毁可能随即破产,40%会在两年内破产,而仅有7%不到的企业在5年后继续存活。伴随着监管机构对信息安全日趋严格的要求,企业对信息安全的关注逐渐提高,并对信息安全投入的资源不断增加,从而使得信息安全越来越为公司高级管理层所关注。
2 信息安全问题
目前企业信息安全问题主要包括几个方面。
(1)信息质量底下:无用信息、有害信息或劣质信息渗透到企业信息资源中, 对信息资源的收集、开发和利用造成干扰。
(2)信息泄漏:网络信息泄漏和操作泄漏是目前企业普遍存在的信息安全困扰。网络信息泄漏是信息在获取、存储、使用或传播的时候被其他人非法取得的过程。而操作泄漏则是由于不正当操作或者未经授权的访问、蓄意攻击等行为,从而使企业信息泄漏。
(3)信息破坏:指内部员工或者外部人员制造和传播恶意程序, 破坏计算机内所存储的信息和程序, 甚至破坏计算机硬件。
(4)信息侵权:指对信息产权的侵犯。现代信息技术的发展和应用, 导致了信息载体的变化、信息内容的扩展、信息传递方式的增加, 一方面实现了信息的全球共享, 但同时也带来了知识产权难以解决的纠纷。
3 信息安全治理的困惑
基于信息安全的重要性,企业在信息安全治理方面投入了诸多资源,但是在信息安全治理成效方面仍不尽如人意,主要问题在于几个方面。
(1)信息安全治理的范围不明确:目前企业都在尽力实现良好的信息安全治理,但是由于无法正确理解信息安全治理和信息安全管理的区别,导致了信息安全治理无法与企业的安全规划和企业战略形成一致性。表1从工作内容、执行主体和技术深度三个层面分析了两者的区别。
从表1中可以明确:信息安全治理是为组织机构的信息安全定义一个战略性的框架,指明了具体安全管理工作的目标和权责范围,使信息系统安全专业人员能够准确地按照企业高层管理人员的要求开展工作。
(2)企业信息安全治理路径的错误理解:企业在信息安全治理的过程中,最常用的手法是采用信息安全的技术措施,如使用加密和防伪技术、认证技术、防病毒技术、防火墙技术等方式来进行,但是往往企业投入很多,却没有达到预想的效果,问题在于,信息安全治理并不单单是技术问题,信息安全治理也包含了安全战略、风险管理、绩效评估、层级报告以及职责明确等方面。
4 信息安全治理关注的领域
(1)战略一致性:信息安全治理需与企业的发展战略和业务战略相一致,建立相互协作的解决方案。
(2)价值交付:衡量信息安全治理价值交付的基准是信息安全战略能否按时、按质并在预算内实现预期的价值目标。因此需要设计明确的价值目标,对信息安全治理的交付价值进行评估。
(3)资源管理:实现对支持信息运行的关键资源进行最优化投资和最佳管理。
(4)风险管理:企业管理层应具备足够的风险意识,明确企业风险容忍度,制定风险管理策略,将风险管理融入到企业的日常运营中。
(5)绩效度量:利用科学的管理方法,将信息安全治理转换为可评价的目标的行动,便于对信息安全各项工作的绩效进行有效管理。
5 信息安全治理框架
通过良好的信息安全治理, 可以保护企业的信息资产,避免遭受各种威胁,降低对企业之伤害,确保企业的永续经营,以及提升企业投资回报率及竞争优势。
通过长期的实践经验以及结合COBIT标准和GB/T 22080-2008,总结出信息安全治理的框架主要由四部分组成,如图1所示。
(1)信息安全战略:结合企业的整体信息技术战略规划和信息安全治理现状,制定信息安全战略。
(2)信息安全组织架构:根据企业层面在决策、管理和执行机制对组织结构的要求,建立信息安全治理框架和决策沟通机制,明确公司各级管理层及相关部门在信息安全组织架构中的工作职责与角色定位。
(3)信息安全职责:根据公司信息安全组织架构,进一步明确信息安全相关岗位的工作职责、分工界面和汇报路径等。
(4)信息安全管理制度:信息安全管理制度通过建立一个层次化的制度体系,针对不同的需求方(管理者、执行者、检查者等)从政策、制度、流程、规范和记录等方面进行信息安全活动相关的规定,实现信息安全的功能和管理目标。
6 信息安全治理评估
企业信息安全治理评估有助于提高信息安全治理投资的效益和效果。企业的最高管理层和管理执行层可以使用信息安全治理成熟度模型建立企业的安全治理级别。该模型,如表2所示,被应用为几个方面。
(1)在市场环境中,相对于国际信息安全治理标准、行业最佳实践,以及直接竞争对手,了解企业在信息安全治理上的级别。
(2)进行差距分析,为改进措施提供明确的路径。
(3)了解企业的竞争优势和劣势。
(4)有利于对信息安全治理进行绩效评估。
7 结束语
本文从企业信息安全治理的实践出发,概述了目前企业信息安全治理存在的问题和困惑,总结了企业实现有效的信息治理的关注领域和实施内容,为企业建立良好的信息安全治理提供了基本框架。
参考文献
[1] 马峰辉,刘寿强.企业信息安全治理的经济性探析.计算机安全,2003:70-71.
[2] 娄策群,范昊,王菲.现代信息技术环境中的信息安全问题及其对策.中国图书馆学报,2000(11):33-37.
[3] 刘金锁,李筱炜,杨维永.企业实现有效的信息安全治理之路.中国管理信息化,2012(11):37-39.
[4] 黄华军,钱亮,王耀钧.基于异常特征的钓鱼网站URL检测技术[J].信息网络安全,2012,(01):23-25.
[5] 黄世中.GF(2m)域SM2算法的实现与优化[J].信息网络安全,2012,(01):36-39.
建立金融信息安防体系刻不容缓
“互联网+金融”成为传统金融行业转型“触电”的新模式,新形式下的数据安全状况变得越发严重,金融行业已经沦为数据泄密的重灾区,再次给人们敲响数据安全的警钟,其中直接由于纯粹是信息安全技术缺失所导致的风险案例不胜枚举。麦肯锡公司在其的《中国银行业创新系列报告》中指出,2015年年底,中国互联网金融的市场规模达到12万-15万亿元,占GDP的近20%。互联网金融用户人数已经超过5亿,这样庞大的用户群和涉及面,如果信息安全事件愈演愈烈甚至失控,将会对国家和社会造成不可估量的损失,互联网金融信息安全已经刻不容缓。
目前,金融企业内部IT系统更为复杂化,外包合作使内部风险管理更加复杂,BYOD(携带自己的设备办公)使企业信息资产无处不在,大数据使核心资产淹没在之中难以识别,云计算打破了传统的网络边界防护。李晨指出,企业安全威胁也在逐渐升级,正在从以蠕虫病毒、拒绝服务攻击、溢出类漏洞攻击、注入等Web攻击为主的传统威胁升级到以0Day攻击、多态及变形等逃避技术、多阶段组合攻击、有组织的定向攻击为主要手段的新一代威胁,企业安全运维面临更多的新的挑战。与会专家再次呼吁,建立金融信息安全防御体系刻不容缓。
绿盟科技智慧安全2.0战略应运而生
信息安全行业专家绿盟科技积极应对,帮助银行、保险等各类企业实现变革,助力金融智能安全运营防线的构建,绿盟科技智慧安全2.0战略应运而生。
绿盟科技智慧安全2.0战略是一个企业整体运营的升级换代过程,它帮助企业安全防护真正做到智能、敏捷和可运营。该方案包含绿盟云、安全态势感知解决方案、云计算安全解决方案以及下一代威胁防御解决方案。李晨表示,态势感知使安全耳聪目明、软件定位给安全运维带来敏捷应变、纵深防御带来弹性和生存能力。它紧紧围绕用户需求,大力提升线上也就是云中的安全能力,打通技术、产品和服务、解决方案、交付运营等各个环节,构建真正的智能安全防御系统。
同时,绿盟科技可协助客户建立企业安全应急响应中心(SRC),帮助企业建立和维护自主可控的自有业务漏洞收集平台,从而避免漏洞在第三方平台上暴露。通过SRC的运维数据积累,企业建立贴合自有业务的漏洞知识库来提升安全团队技术能力,并且通过SRC可与白帽子直接建立长期的信任互赢关系,帮助企业更从容地面对安全威胁。
数据安全历来是企业信息安全工作的“最高使命”。绿盟科技适时推出了数据泄露防护系统,基于数据存在的三种形态(存储、使用、传输),对数据生命周期中的各种泄密途径进行全方位的监查和防护,保证了敏感数据泄露行为事前能被发现,事中能被拦截和监查,事后能被追溯。
【关键字】IT服务外包;信息资产;ISO27000
A企业是某欧洲跨国金融公司在广东的IT服务外包公司,主要对母公司在亚太地区的业务提供软件开发和维护工作,企业的核心业务构建和运行在以信息技术为基础的网络和系统上。作为金融行业的IT外包公司,提升A企业的信息安全管理水平也成为企业内部和外部的紧迫要求。
ISO27000信息安全管理体系要求是国际标准化组织颁布的有关信息安全管理的标准,此标准采用了PDCA循环管理的方法,以求最终建立适合企业需要的信息安全管理体系。其实现主要通过现场诊断、风险评估、体系制度编写、试运行和外部审核几个阶段,而整个项目的出发点就是完善资产管理。
A企业正是选择了通过ISO27000架构构建信息安全体系。在ISO27000的管理框架下,资产是指任何对组织有价值的信息或资源,根据表现形式的不同,与信息相关的资产可分为数据、文件、软件、硬件、服务、人员等类型。资产识别的正确性和准确性对于后续的风险要素评估及信息安全策略至关重要。
本项目之前,A企业有来自总部的一些信息安全方面的基本要求,但要求较为抽象、概括,并没有在本地形成有效的管理体系。在信息资产管理方面,A企业就信息资产进行了一些定义,制定了部分规章,但不够系统和完整。对于信息资产的管理更多地限于IT部门管理的硬件及软件等有形资产的管理上,没有从数据的角度出发,也没有把服务、人员以及其他非IT资产视为信息资产的一部分纳入信息资产保护的范畴。
因此,在构建新信息安全管理体系项目中,A公司在进行资产识别时,将信息资产按照信息、文档、软件、硬件、人员及服务六大类进行分类。其具体实施过程为:
1、将原有的信息资产清单依照上述六类进行划分。在此基础上,依照公司的组织架构和业务范围与各部门负责人进行访谈,了解业务流程,以识别所有的信息资产。
2、对于每一项信息资产,根据“谁使用,谁负责”的原则确定责任人。由责任人负责对信息资产进行分类、分级。同时可设定 “维护人”,由“责任人”将具体的安全职责委派给“维护人”,但“责任人”仍须承担资产安全的最终责任。
3、由信息资产责任人对资产进行分级评分。按照信息安全的三要素:机密性、完整性、可用性,对资产分三个要素进行赋值(如表1示):
4、基于对每一项信息资产的在机密性、完整性、可用性三方面的赋值,通过矩阵计算出信息资产的总价值(如表2示)。
由上表可见,信息资产总价值总共分为5级,其中,评分为4的资产为最高级,0为最低级。设置重要资产划分的基准线为1,即选取评分为1及以上的资产,进入下一步的资产风险评价。
“中国企业员工的信息安全意识可谓不容乐观,提升员工信息安全意识刻不容缓。”谷安天下副总经理魏彩霞对当前企业员工的信息安全意识现状表示担忧,“不同行业的信息安全意识现状不同,电信、金融等行业由于业务的特殊性,安全意识较高,而其他行业的信息安全意识整体状况则依旧薄弱”。
调查显示,接近50%的受访者认为单位领导的信息安全意识一般、很差或者还不如自己。而据魏彩霞介绍,一些企业中即使领导非常重视信息安全,希望提升员工的保密意识,但“只是看到别人的明文密码导致信息泄漏就更改自己的网页设置等单个事件,并不能系统地提升企业员工整体的信息安全意识”。
由于员工信息安全意识薄弱而给企业带来灾难性损失的案例屡见不鲜。据统计,世界上每分钟就有两家企业因为信息安全的问题而倒闭。而在所有信息安全事件中,只有20%~30%是因为黑客入侵或其他外部原因造成,另外70%~80%是由于内部员工的疏忽或有意泄漏造成,而78%的企业数据泄漏是由于内部员工不规范的操作造成的。
事实上,与其他联网设备一样,对于企图侵犯数据的破坏者而言,打印机也是可以被伺机入侵的终端。
除了办公室和写字楼,在学校、医院、工厂、金融机构以及公共服务部门等场所,只要是有信息打印输出和流转的地方,就存在着对文印安全的需求。
几个月前,惠普创意工作室(HP Studios)携手美国影星克里斯汀・史莱特(Christian Slater),推出了聚焦办公室信息安全的系列短片“狼”(The Wolf),在海内外引起不小反响。短片中男主角利用未加防护的文印设备和电脑,直接侵入一家大型财务公司的IT系统并影响了关键谈判的结果。近日,“The Wolf”第二季短片再度曝光。片中,黑客利用未加防护的打印机和电脑,在一家医疗软件公司首席信息安全官Todd就诊期间,轻松修改了系统中Todd的身份信息和诊断记录,切断了外界联系,致使其公司的安全防御系统陷入瘫痪,上百万病人的医疗数据被盗取。虽然是虚拟场景,但是这场由一张医疗诊断书引发的大规模信息安全危机,为更多行业的文印安全再一次敲响了警钟。
文印安全迫在眉睫
事实上,影片中的案例毫不夸张。据调查,仅在2016年,全球就有超过400万条信息记录暴露在危险之中,相比两年前增长了4倍。信息安全的形势日益严峻,企业内部的安全防护亟需提升。
调查显示,企业的销售和人力资源部门分别有高达93%和76%的信息安全风险都源自缺乏安全防护的打印设备。缺乏安全防护措施的打印机,会在不知不觉中发生信息泄露,使信息安全陷入威胁之中。
随着相关安全解决方案的推广,越来越多的企业和机构开始意识到,在办公环境中,IT设备的安全对于公司的运营至关重要。行业客户对安全的需求不断提升,推动了包括惠普文印管理服务(MPS)在内的管理解决方案的创新和发展。在全球范围内,惠普文印管理服务(MPS)的客户已经覆盖了金融、教育、文娱、医疗、制造、公共服务等领域,客户数量也在持续增长。据IDC预测,亚太区(不含日本)安全服务市场规模将在未来四年间保持20.5%的年复合增长率,其中,安全管理服务细分市场的规模预计将在2020年增长到38.6亿美元。很显然,根据各行业的不同需求,为企业客户提供定制化的安全解决方案,已成为未来安全管理服务的发展方向。
从医疗到制造
为文印安全保驾护航
惠普在安全管理方面具有丰富的技术积累和服务经验,致力于为客户研发和提供文印安全解决方案。行业客户借助惠普文印管理服务(MPS),部署和应用一流的文印安全解决方案,从架构层面加强文印安全防护水平,提升工作效率,降低整体运营成本。
如同“The Wolf”中所呈现的,医疗机构经常通过打印设备输出包括病历、检查结果、处方在内的重要信息。作为核心节点,打印设备的安全关系到医师和患者的隐私,也直接影响到医院的服务水平。
以美国Baptist Health公司为例,其旗下运营着7家医院和300多家附属机构,拥有近2000名专业医生,采购了近3000台惠普激光打印机和多功能复合机,日夜工作记录和传输医疗信息。随着文印安全问题逐渐成为行业焦点,Baptist Health公司亟需进一步加强医疗隐私保护,提升整体文印安全水平。
为此,惠普帮助该公司采用惠普智优安全解决方案(HP Jet Advantage Security Manager),定制并部署了覆盖所有联网打印设备的统一安全策略。它能够立即识别安全网络内新接入的打印设备,自动部署安全策略,保障设备安全。这一策略还通过移除默认密码、设置多重密码防护、禁用具有安全风险的外部打印协议、标准化访问等方式,从多个维度提升设备安全。在惠普的支持下,Baptist Health从架构层面和设备端掌控了文印安全,为更安全放心的医疗服务提供了保障。
对于文印安全的需求不仅存在于医疗机构,在聚集科技和创新的硅谷,许多企业也在积极行动,提升文印安全。在一家领先的跨国科技制造企业,每天有超过2000台惠普激光打印机和页宽打印机为全球各地的业务部门提供文印服务。在过去,文印安全的漏洞随处可见,例如员工将重要文件遗漏在打印机托盘,或是联网打印设备因缺乏安全防护措施,直接面临入侵风险。
近10年来,该企业与惠普保持长期和紧密的合作,通过文印管理服务来提升文印安全。惠普的专业工程师为其制定了一套完整的安全打印解决方案,帮助IT运维人员充分利用惠普智优安全解决方案,统一规划和管理企业内的安全打印流程。此外,借助惠普访问控制和安全拖打印(HP Access Control Secure Pull Printing)功能,员工把文件发送到打印服务器后,可以在公司任意一网惠普打印设备上输入PIN码或者刷工卡验证身份,实现就近即时打印,同时保障安全。
专家建议
架构+设备两手抓
从架构层面对文印安全进行整体部署和管理,是企业提升文印安全水平的重点所在。对于IT团队来说,如何更科学地部署和管理设备?对此,惠普的文印安全专家提出以下几点关键建议:
1.每个设备节点都面临着潜在风险,必须将打印设备和PC设备的安全放在同等重要的位置;
2.网络的安全取决于设备节点的安全,公司的每一网设备,都需要相应的安全管理策略;
3.随着越来越多的移动设备通过网络与打印设备相连,相关的数据传输通路都需要严密保护;
4.IT运维人员可以借助设备自带的安全管理设置,以及内置行业标准安全策略的管理工具来简化管理流程、保障网络安全;
5.打印设备应当接入安全威胁和事件监测系统,并通过安全信息和事件管理(SIEM)工具,及时监测潜在的安全威胁。
防患未然,谨防文印之“狼”
设备安全也是文印安全中的重要一环,配置了安全防护措施的设备能够从接入端防患于未然。反之,如果像“The Wolf”短片中的打印设备那样缺乏安全防护措施,则会让“狼”轻易入侵、监视和窃取数据。
作为在打印安全领域起步早、技术积累深厚的领先企业,为提升打印设备的安全性,惠普很早就将文印安全作为重点,不断革新产品和相关解决方案。而在这方面最新的动作,则是A3智能复合机的推出。
今年4月,惠普新一代A3智能复合机系列正式推出,除了在彩打成本方面的优势之外,多达30款A3彩色页宽复合机和A3激光数码复合机还配备了嵌入式安全防护功能,可以全面保护设备、文档和数据的安全。该系列A3打印机支持PIN码打印、白名单、实时入侵检测、安全启动、加密硬盘、访问控制等安全解决方案,通^BIOS级别的安全防护有效监测和阻止外部入侵,确保重要信息的安全。企业的信息安全,往往取决于整个IT架构中最薄弱的一环。
[关键词] 云计算;金融信息;系统安全
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 06. 018
[中图分类号] TP393;F931 [文献标识码] A [文章编号] 1673 - 0194(2014)06- 0026- 04
1 引 言
在经济全球化和信息技术高速发展的今天,瞬息万变的市场环境对金融企业管理、业务创新、市场开拓、服务水平等提出了更高的要求,金融企业信息化进程成为制约金融企业快速发展或转型的关键。而传统的信息化建设和管理模式很难满足金融企业在灵活性、多样性、个性化等需求。面对逐年增加的IT建设和运营投入,越来越多的金融企业开始寻找新的途径。云计算作为新型的计算和服务模式为金融系统信息化建设提供了新的实施方式。云计算提供了一种计算机资源按需获取和交付的业务模式,可以向用户提供可无限伸缩的服务来满足客户和业务需求。云计算的技术优势极大降低了金融企业 IT 建设及运营维护成本,使金融企业能够更快捷、廉价地获取必需的IT资源[1]。
“云金融”是云计算在金融领域的行业应用,可以将金融机构的数据中心与客户端分散到“云”里,提高信息共享程度。通过有效的基础实施即服务、平台即服务、软件即服务的众多业内知名金融企业,联合将线上线下资源整合成一套包括交易平台、结算平台、网上支付平台、外汇交易实体平台、中小金融企业云服务平台等经济活动融为一体的、全面的、综合的金融信息系统,为金融客户提供生产中心、灾备中心、存储中心、灾难恢复、金融演练、远程数据保护、网络优化、安全管理等全方位的外包服务及各种云应用平台服务,最终形成面对金融行业的整体解决方案[2]。
目前,我国金融云应用尚处在探索和起步阶段,没有统一的行业技术标准,缺乏相关的监管政策支持。云环境的安全性问题是金融信息系统需要考虑的重点问题。
随着云计算平台相关技术的发展以及SaaS等新型架构的成熟,云环境下的金融信息系统成为现实,而安全问题是云平台需要重点考虑的问题。本文结合当前金融信息系统的云计算发展趋势以及存在的问题展开研究,通过分析现有云平台以及基于SaaS的金融信息系统中的安全隐患,提出云金融信息系统的安全框架,为云计算环境下的金融信息系统提供了安全解决方案[2]。
2 云平台核心安全问题分析
基于云平台SaaS架构的金融信息系统由于云计算环境的公开化、开放性等特征面临着安全问题。云计算平台需要得到用户的信任,这样用户才能将数据托管在这个云环境中;同时,云计算服务提供商应该保障云资源的可靠性和完整性,要具备高水平的灾难恢复能力。根据美国著名市场研究公司Gartner的研究表明,云安全服务存在7大潜在安全风险[3-4]。基于对云计算环境以及SaaS的分析,得出云平台的如下核心安全问题:
(1)特权用户访问。在云平台中能够绕过公司内部对于相关程序的物理、逻辑以及人员进行操作,因此,在企业外部处理敏感数据的方式具有与生俱来的风险性。
(2)法规遵从。云服务提供商只托管企业数据,客户对于自身的数据的安全性和一致性仍然负有最终责任。传统的服务供应商受制于到外部审计和安全认证。而云计算技术则拒绝接受类似的审查。
(3)数据位置。云服务的分布式特性使得企业在使用云服务时无法知道数据托管的具置,更无法知道当地运营机构是否严格遵守隐私保护要求。
(4)数据隔离。云服务中的数据通常是与其他客户的数据一起共享存储的,但是加密方式不能绝对的保障数据绝对安全,所以要将自己数据与其他企业用户的数据隔离开来。
(5)灾难恢复。云服务提供商应当对用户数据进行有效的备份,保证在灾难时能及时恢复保证业务正常运行。如果缺失,对企业而言将是巨大损失。所以企业用户一定要求云服务商做出承诺,必须对所托管数据进行备份。
(6)调查支持。云计算会将多个用户的数据和记录同时存放在一起,或者跨主机、数据中心存储,企业的正常的数据调查会得不到许可或困难重重。如果你的供应商无法做出相关承诺,那么一旦违法行为发生时,你将面临无法取证的尴尬。
3 基于云计算技术的金融信息系统安全风险分析
云环境下金融信息系统将某个银行的全部的数据集中在总行计算机系统中统一管理、协调,为加速资金的流动和创新业务的实施奠定基础。在互联网上部署这类系统可以极大地提升企业的业务数据处理能力,但同时也向那些企图进入金融企业信息系统内部获取机密数据的人敞开了大门,因此,保证软件系统的安全显得尤为重要。从以下几个方面对云计算SaaS基础上的金融信息系统所面临的安全风险进行分析[2]。
3.1 物理和环境安全
物理安全对金融企业基础设施来说非常重要,所面临的问题比较多元化,主要涉及数据中心设计、弱电规划、火灾等突发事件应急、访问控制、闭路电视(closed-circuit television,CCTV)实施等。物理安全用于保护金融企业资产不受损失,是对环境风险和不可预知认为活动的第一道防线。这类风险主要有:①内部人员“滥用”造成的资产损失;②设施缺陷造成的业务中断或数据损失;③缺少有效的访问控制和监控制度;④缺少必要的灾备和业务连续性计划[5]。在云计算环境中,数据资源保存在远程服务器中,其物理和环境安全对于金融企业用户来说具有不可控性。
3.2 灾备和业务连续性
服务器群突发技术故障会造成数以千计金融企业网站服务中断,给金融企业造成巨大损失。灾难恢复的目的是将灾难造成的损失降到最低程度,业务连续性计划的目的则是从更长远的角度来解决问题来保障业务能够长期、稳定的运营。中小金融企业中往往都缺少相关管理制度和规划,在突发事件中,不稳定管理业务系统将会给金融企业带来极大的运营风险甚至直接经济损失。云计算服务器的灾备回复能力是关系到业务系统能否连续性运行的关键。
3.3 网络安全
网络包含了许多不同的机制、设备、软件和协议,它们互相关联形成一个整体。网络安全涉及了网络上数据信息的保密性、完整性、可用性、真实性和可控性。拒绝服务攻击和无加密的数据传输是常见的两类网络安全隐患。在云平台SaaS架构下,不安全的协议和密码泄露都会对金融信息系统的安全保密造成破坏;无加密的数据传输对金融信息系统而言将会是致命打击,数据在传输过程中可能会被截取并被篡改,这不仅会造成金融企业数据丢失,甚至还会影响到金融企业的正常运营、数据的泄露等,同时有可能需要金融企业来承担法律责任。因此,需要探讨SaaS所带来的网络安全隐患,并采取措施来避免这些安全问题。
3.4 数据安全
数据是SaaS金融信息系统的核心资产, 直接关系到金融企业的商业隐私。数据安全除了传输安全之外还包括存储安全、静止数据安全等。存储或备份在磁盘上的业务数据往往都缺少必要的安全机制,例如存储加密,直接或者间接访问和篡改都会给金融企业造成巨大风险;存放在数据库中的静态数据通常而言都没有进行加密。在多组户环境下,上层应用的逻辑缺陷将导致其他恶意“租户”对金融企业私有静态数据进行直接访问或操作。Web应用安全和数据安全紧密结合相辅相成缺一不可。
3.5 Web应用安全
绝大部分SaaS信息系统都是以浏览器作为用户访问的瘦客户端,Web服务器就成为联通互联网和内部网络的桥梁。应用安全的架构决定了SaaS金融信息系统的安全性,多组户环境下的配置管理、权限分配、虚拟资源的访问控制都和安全息息相关。据美国应急响应中心统计,2010年全年披露的漏洞80%以上和Web应用相关。作为业务前端的Web应用程序的脆弱性直接影响到整个系统的质量保证。开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。如表1所示,OWASP十大页面应用程序安全风险项目提出了当前最具有风险的漏洞类型及攻击方法。
3.6 访问控制
访问控制是保证金融企业信息安全的重要手段,信息安全的根本也是通过控制信息资源访问来保护系统资源免受未授权访问。SaaS金融信息系统中访问控制包含的范围很广泛,涵盖了从上层应用的用户身份管理到底层网络边界控制的很多方面。在缺少有效的身份供应机制的系统中,离职员工账户或存在弱口令的账户都将对业务模块造成严重的威胁。底层架构在缺乏有效边界保护或安全域划分的情况下同样会产生更多安全隐患。
3.7 网络病毒及木马程序
SaaS金融信息系统威胁主要来自网络病毒,在受到病毒攻击时,服务器未受到有效保护的话,数据就会丢失,造成的破坏是无法弥补的。木马程序也是业务数据安全的隐患之一。如果数据服务器被植入木马程序后,木马程序平常是隐藏的,但其会随着系统悄无声息地启动,一旦木马在服务器后台运行起来,服务器系统就会有端口被打开,黑客就会利用控制端程序潜入到服务器内部,服务器上的所有程序和数据暴露无疑,这样安全和隐私就全无保障了。病毒和木马的防范对于系统安全来说至关重要,需要有健全的病毒木马防御体系来保证数据的安全。
3.8 系统安全
云计算的分布式特性导致了在任何一个系统中都可能找到金融企业的敏感数据,在这个前提下系统的安全性同样不能忽视,尤其是在访问控制不到位的环境下,很有可能存在直接暴露在互联网上的IT系统。
系统安全漏洞根据对其系统造成的潜在威胁 (破坏性、危害性、严重性)以及被利用的可能性为依据将系统漏洞分为紧急、重要、警告、注意等。对“紧急”或者“重要”级别的系统漏洞需要及时的安装补丁程序。常见的漏洞类型归类如表2所示。
4 云环境下金融信息系统安全框架构建
基于上述云平台自身安全问题以及SaaS金融信息系统所面临的常见安全风险的分析,对于每个风险点都可以采用相应的策略来进行规避,从而提升系统的整体安全水平。本文提出如图1所示的安全框架,以解决基于SaaS的金融信息系统的安全问题。
如图1所示的金融信息系统安全框架,包括金融企业信息安全治理、第三方管控、风险评估等6个主要解决方案,具体详细介绍如下。
4.1 金融企业信息安全治理
由于金融信息系统的特殊性,不管金融企业采用的是什么服务或部署模型,金融企业用户和服务提供商应当协商进行信息安全治理来达到支持业务需求和信息安全保障的一致目标。信息安全治理类似于IT治理,都是为了确保企业的生存和发展为目标的。随着新的法规法案的颁布,对金融企业管理要求的提高会增加金融企业安全治理的需求。金融企业用户应当制订符合自身发展的信息安全规划,投入适当人力对IT系统进行定期评估和审计。
4.2 第三方管控
对云服务提供商的供应链进行深入的调查和评估涉及事件管理、业务连续性、灾难恢复等方面的策略、流程和规程,包括对共用场地和相关设施的审查。对云服务提供商遵从自身策略和规范的执行力进行内部评估,同时评估提供商在相关领域的指标体系。考察服务提供商是否有完备的安全治理能力,文档化的风险评估实施过程、安全审计流程。
4.3 风险评估
对应用系统、操作系统、网络架构进行定期的风险评估和渗透测试,最大程度地发现整系统中的安全隐患并及时修复。划分安全域对网络边界有效控制,采用三层架构将表示层、业务层、后端层逻辑隔离。创建符合金融企业自身需求的安全基线,对IT系统定期人工核查。对于上市及金融和电子商务客户可能还需要满足SOX、PCIDSS、DISA、ISO 27001等标准的合规遵从要求,涉及人员管理、Web应用安全、系统安全、数据保护、网络安全、审计、 物理安全、代码安全生命周期等。
4.4 信息内控
加强对业务信息系统进行信息内控,建立IAA(Identification, Authentication and Access)体系对用户身份认证访问控制管理与审计。创建用户角色和职务列表,记录用户的所有操作并强制性审计。从制度上完善对用户工作职务变更与中断进行管理[6]。在金融企业执行管理层,制定信息安全保障策略,做出如何执行金融企业安全战略的决策,确定IT治理和控制的整体方法。在业务层对特定业务活动进行控制,尤其是对于IT应用系统关联紧密的业务过程。在IT基础层,对网络、数据库、操作系统以及存储设施等采取一般性IT控制,不完善的变更管理会破坏IT基础层的完整性和可靠性。
4.5 业务连续性计划
制定满足金融企业自身特点的业务连续性计划和策略,提供为实施应急响应、数据备份、灾后恢复操作的流程规范确保在紧急情况下做出适当响应。根据BSI的BS 25999业务连续性标准,业务连续性计划实施可以包括为6个步骤,启动项目、业务影响分析、确定恢复计划、制订业务连续性计划、测试和演练、维护和更新计划。①项目启动阶段主要工作是准备必须的资源和前期调研工作,如得到管理层对项目的支持和授权、明确项目实施的组织结构和人员角色权责,为项目实施分配资源、制订项目实施计划;②业务影响分析主要是对公司业务流程进行分析和评估影响程度;③恢复计划制订时需要从组织、流程、技术、资源等几个角度考虑,建立了战略层、战术层和操作层面的应急管理组织;④灾难恢复预案主要包括灾难恢复的时间和范围、灾难恢复组织架构、联络清单、应急处理流程、事件通报流程、损害识别和评估流程、灾难宣告流程、核心金融信息系统恢复流程、业务恢复流程、重续运营管理流程、灾后重建流程、灾后回退流程、计划内切换与回退流程等[7]。
4.6 安全风险防范措施
云计算的发展加快了金融信息系统的发展进程,但随之也带来一些安全性问题。我们不能因为网络的不安全性而停止网络服务,要使云服务平台良好地运行需要单位负责人树立好安全意识,系统操作人员提高业务素质,服务器维护人员要有良好的技术水平。针对云计算应用中的安全性问题,需要预先采取措施来减轻这些威胁。
(1)系统运行服务器和数据存储服务器一定要请专业的安全公司指导定期升级操作系统漏洞,关闭不必要的服务和不用的网络端口。
(2)安装网络版杀毒软件,并及时更新病毒库,使服务器系统安全性提高,能抵抗最新病毒的攻击。
(3)系统服务器和工作站要安装防火墙,一定不要直接暴露在互联网上,对接入Internet要严格限制。服务器端只开放必须的应用端口,封闭其他端口,最好只对接入客户端的IP地址段开放。
(4)密码攻击是黑客们最常见的入侵方式之一。为提高系统的安全性,一定要设置一个高强度密码。密码的“弱”和“强”是相对的,不同的环境对于密码强度有不同的要求,即使再强的密码也有可能被破译或泄漏,所以密码要经常更新,更新的时间长度基于数据的敏感程度。
(5)要保证数据的安全性,一定要对服务器业务数据进行有效备份,异地备份是最可靠的备份方式,如果当地发生毁灭性的自然灾害,事故后还能从远程恢复数据和业务,可以保证业务数据的完整性和安全性。
5 结 语
云计算的浪潮已经无法阻挡,云环境下的金融信息系统使得金融系统与信息技术高度融合,提高了金融机构迅速发现并解决问题的能力,提升了整体工作效率,改善了流程,降低了金融企业信息采集的成本。然而安全问题很大程度上阻碍了这种模式的普及。本文从宏观上介绍了当前云环境下基于SaaS的金融信息系统所面临的安全风险,提出了相应的解决方案。随着云技术的发展、安全策略的更新、攻击技术的演变,本文提出的安全解决方案所产生的实际防御效果还需要进一步证实。
主要参考文献
[1]张建文,汪鑫.云计算技术在银行中的应用探讨[J].华南金融电脑,2009(6).
[2]谢世清,论云计算及其在金融领域的应用[J].金融与经济,2010(11).
[3]Gartner.Seven Cloud-Computing Security Risks[EB/OL].http:///d/security-central/gartner-seven-cloud-computing-security-risks-853,2008.
[4]和讯网.云计算技术的七大安全风险[EB/OL].http:///133/8201133. shtml,2009.
[5]哈里斯.CISSP认证考试指南[M]. 北京:科学出版社,2009.
关键词:信息系统;安全管理措施;计算机网络
中图分类号:TU714文献标识码: A 文章编号:
1.前言
当今社会信息技术不断发展,信息时代的到来以及不断的发展给人们带来了很多的便利,计算机网络技术得到了非常广泛的应用,随之而来的问题是计算机网络信息系统的安全性,这个问题已经成为了一个重要的时代课题,人们对于网络信息系统的安全管理提出了更多的要求和建议,而另一方面信息时代的不断发展的结果是社会上的信息传输量不断的增加,而有一些部门的一些上网数据就得到了不同程度的破坏,严重还会造成公司信息的泄露,给公司的业务安全造成一定的影响。对于网络中的信息,不法攻击者能够通过计算机病毒等各种形式盗取企业的信息,只要是信息存在于网络中,都能够被窃取,这种问题的出现使得很多企业或者是相关组织都受到了沉重的打击,企业的信息安全性以及利益已经收到了非常严重的威胁,所以在这种情况下网络信息系统的安全性以及安全管理已经成为了一个时代重要的研究课题,关系到一个企业甚至是整个社会的信息安全和正常运作,解决好网络信息系统的安全问题是确保当前信息网络正常运行的基础保障,能够更好的为各行各业提供更加安全的信息系统管理,让信息社会更加的安全。
2.国内信息系统发展现状以及存在的问题
企业对于一个国家经济的发展来说有着非常重要的作用,企业信息系统的建设关系到企业的发展,是一个企业在现代化社会站稳脚步的必经之路。当前来说,近些年国内很多企业都在不同程度上遇到过信息系统安全问题,有的甚至还因此受到了重大的打击,我们国家从上世界八十年代开始国家相关部门才开始重视企业的信息系统建设,就是年代之后伴随着互联网等技术的飞速发展,企业更是意识到了这一点的重要性,开始投入大量的人力、物力以及财力去研究企业的信息系统。在当今信息化迅猛发展的过程中,我们一方面应该看到互联网等技术的发展给信息化发展带来的广阔前景,同时另一方面还必须认识到信息化时代所存在的问题,应该及时的发现这些问题,对企业的信息系统进行安全系统的管理,尽管国内的一些企业认识到了这些问题同时也都为此做出了很多努力,但是真正的效果并不是很理想,一些企业的信息系统实际上根本没有起到安全管理企业信息的作用,这就在很大程度上证明了国内的一些企业尽管都使用网络信息系统,到那时信息系统的安全管理措施还都有待加强。
3.大型信息系统安全管理的措施分析
3.1信息系统结构设计是关键因素
一个企业的信息系统的安全与否关系到一个企业信息的安全,而一个企业网络信息系统的安全关键在系统结构是否设计的合理。一般情况下,大型的企业信息系统都会存在一些固有的网络安全隐患,针对这些固有的网络安全隐患可以采取以下安全管理措施:首先是网络信息分段技术的使用,这项技术的使用能够是大型的信息系统从源头上排除信息安全隐患,针对企业网络存在形式局域网,可以使用物理以及逻辑分段相结合的方法来实现信息系统的安全管理,这样做的目的就是将企业以外未经授权的非法用户和一些对企业比较敏感的网络资源进行有效的分离,保证企业信息的安全流通;其次是集线器的更换,目前大多数信息系统出问题企业大型网络都是使用的共享式的集线器,从这上面吸取教训,将共享式的集线器更换成交换式的集线器,这样同样是局域网的信息系统结构,安全系数就大大的增加了。
3.2进一步加强计算机的安全管理
大型的信息系统储存的信息都是需要通过计算机来传输的,所以必须对计算机进行安全管理,这样才能保证信息系统在传输信息的过程中不会出现安全问题。
3.2.1加强设备的管理
对于设备的管理首先需要确保计算机网络信息系统的实体绝对安全,必须健全信息安全管理制度,防止企业之外未经授权的非法用户进去到企业的信息系统中进行非法行为,加强计算机软硬件等相关连接设施的安全管理,不定期的对相关设施进行维护管理。
3.2.2计算机病毒防护措施
第一:对于Windows的操作系统,要经常性的对系统的漏洞进行修补,做到随时的补充漏洞,防止因为系统漏洞问题造成的信息安全问题。
第二:要经常性的对企业的计算机网络中的防病毒定义码进行及时的更新换代升级,避免因为计算机系统防病毒软件出现问题造成的信息安全隐患。
第三:对于企业信息防火墙,首先必须进行合理的布置,除此之外信息系统的安全管理策略要要个的掌握,尽量的及时关闭掉信息系统中不需要运行的端口操作,用以防止非法用户对信息系统的攻击,同时计算机信息系统管理人员在及时的了解计算机应用程序经常使用的端口,避免不良运行造成的系统故障。
第四:大型的信息系统的管理人员必须熟悉黑客的一般攻击和相关规律手段,能够对黑客的一般性攻击做出及时的预警和防范。
3.2.3强化信息系统的访问控制
3.2.3.1强化企业信息系统的访问控制嫩巩固保证网络系统的正常运行。首先需要做的就是建立和企业信息系统的入网访问相关的功能板块,具体的是通过特定的网络分段以及相关服务来建立属于企业自身信息系统的访问控制体系,这样就能够保证大部分的非法访问都能够在进入信息系统之前被拒绝,强化企业信息系统的访问控制是为企业的信息系统安全管理提供了第一层保护,通过这个设置企业可以设定具体的访问对象,对于一些机密的信息可以不予共享,这样即使是得到了企业的授权,对于一些重要的信息还是得不到访问,具体的分为三个访问过程,首先是用户名的相关识别和验证,其次是口令识别和验证,最后是用户账号的识别验证,同时还需要保证三个环节都没有出错才能对企业信息系统进行访问。
3.2.3.2需要建立企业信息网络的权限控制板块。对于企业网络信息系统的权限控制针对的是没有经过系统允许的非法访问者所提供的一种安全保证措施,权限控制板块具体针对三种类型的访问:信息的特殊访问用户、信息的一般访问用户以及信息的审计者。
3.2.3.3需要建立企业信息系统的属性安全服务模块。对于企业信息系统的属性的安全控制能够就将特定属性的信息和网络服务器存储的文件等联系在一起,这样就进一步的增加了信息系统的安全系数。网络属性安全版块易爆有下面几种访问权限:往某个特定的文件传输数据、复制一个特定的文件、对于文件目录的删除和查看、信息的共享以及系统相关属性等,最重要的是能够有效的保护信息系统中存在的重要的目录以及机密文件,能够有效的防止文件的遗失和更改。
3.2.3.4建立信息档案的加密保护制度。主动的对企业的信息通讯过程进行加密,这样能够避免非法访问者深入的了解信息系统的相关信息和运行状态,防止信息系统的数据泄露。
3.3信息系统稳定性的安全管理
信息系统的安全运行需要的是一个稳定的环境和运行状态,所以必须对信息系统的稳定性进行安全管理:
3.3.1有关信息系统可靠性问题的安全管理
对于和信息系统的可靠性有关的系统安全问题,通常可以使用“磁盘冗余阵列”或者是“双机热备”等方法来进行安全管理,这主要是在企业信息出现遗失或者是显示错误的时候能够保证相关信息的及时性恢复所作出的操作,同时还能够进一步的找出出现故障的原因并及时的解决问题。
3.3.2信息系统通讯故障造成的系统不稳定
对于信息系统经常出现的通讯故障,需要根据企业的具体状况以及对于信息系统安全级别,使用备用信息系统线路,大型的信息系统的备用线路可以使很多条的,主要是为了能够保证企业信息通讯线路的稳定性,对于级别比较高信息系统来说,可以使用专线的方式保证系统稳定性。
3.4基于RMS的信息系统安全管理模式
RMS信息管理模式(Rights Management System)是一种和相关的特定应用程序进行写作来保护信息数据安全的一项新技术,能够有效的保证重要信息文件、电子邮件以及信息系统储存的信息安全的技术。对于大型的信息系统的安全管理人员来说可以严格的规定能够打开企业文件、读取相关信息以及修改特定内容的人群,能够有效的保证组织的创建权限,是确保具体实施的用户能够应用于信息内容的策略。
4.结论
信息化的发展给社会带来的是巨大的进步,同时对于信息系统的安全管理也是同时存在的时代问题,保证大型信息系统的安全运行,关系到一个企业甚至是社会信息的安全,所以必须有一套真正有效的安全管理措施保证信息系统的安全运行,希望文章的观点能够为此做出贡献。
参考文献:
[1]余志伟.面向业务过程的信息系统安全需求识别方法及其关键技术研究[D];浙江大学;2009年
[2]吴保林.试论计算机网络信息系统的安全管理[J]电脑知识与技术;2011年24期
[3]肖国煜.信息系统等级保护测评实践[J]信息网络安全;2011年07期
[4]武俊芳,郑秋生.重要信息系统安全测评工具的研究与设计[A]计算机研究新进展(2010)——河南省计算机学会2010年学术年会论文集[C];2010年
多年来,得安科技先后承担并参与了30多项国家和地方科研项目和产业化任务,并在面向金融领域的关键安全技术、信息安全基础设施关键技术体系研究等关键领域做出了突出贡献,取得了创新性的科研成果。得安科技载誉业内的实事,让我们不得不去关注隐藏在其高速发展背后的研发实力和技术动力。今天的得安,对其自身如何定位?其发展潜力何在?以得安科技为代表的密码核心技术提供商又如何看待国内信息安全市场发展趋势?为寻找这些问题的答案,中国信息化周报记者约访了得安科技技术总监孔凡玉。
中国信息化周报:商用密码产品及服务是信息安全产业的重要一环,也是得安的核心竞争力。基于怎样的背景,得安投入商用密码技术研发?
孔凡玉:所谓网络安全、信息安全,最重要的目标是保证信息系统和网络环境中的“数据”、“信息”的安全,而不单是对计算机设备、网络设备自身的安全防护。大到一个国家,小到一个企业和个人,多数黑客进行攻击的真正目的就是窃取机密数据和信息,而不仅仅是破坏信息系统本身。因此,商用密码产品及服务作为保障数据的机密性、完整性等安全性的关键一环,是信息安全产业的重要组成部分。
得安公司成立于1997年10月7日,是我国最早致力于商用密码产品研发及产业化的企业之一,这与我国当时对网络安全和商用密码产品的迫切需求密切相关:一个是随着互联网技术的发展,网上银行、网上证券等金融业务的开展迫切需要商用密码产品和网络安全系统的出现;另一个是,我国信息化建设的飞速发展迫切需要实现商用密码技术的国产化,以保证信息安全核心技术的独立性和自主性。
中国信息化周报:得安现有哪些科研成果?具有哪些核心技术优势?
孔凡玉:得安科技自主研发的“SMS100-1网络安全平台”,这是国内最早通过国家密码管理机构组织鉴定的商用密码PKI产品,并荣获国家科技进步三等奖和密码科技进步二等奖,此系统已在上海证券中国证券登记结算公司的证券系统中成功使用。此外,得安公司也顺利完成了中国金融认证中心CFCA的商用密码模块的国产化开发项目,实现了商用密码产品和接口的国产化,并逐渐将服务器密码机、智能IC卡等产品广泛应用于中国建设银行等各大银行以及邮政、电信、税务、电力、煤炭、石化、广电、烟草、航空等行业。
十六年以来,得安公司一直注重商用密码和信息安全核心技术的创新,在高速密码服务器、数字认证系统、智能IC卡、VPN设备、安全文件传输系统、云安全密码服务平台、大数据安全、移动安全计算等方面具备良好的技术积累,得安参与研发的多项产品和技术填补了国内外空白,保证了核心技术的领先优势。
中国信息化周报:从国家政策层面强化网络安全意识,到首席安全官渐成大型企业标配职位的发展现状,您如何理解密码安全对于企业信息安全堡垒建设的核心意义?
孔凡玉:在目前的互联网时代,每一个企业和个人都在享受着互联网给工作和生活带来的便捷的同时,也遭遇着前所未有的信息安全的巨大风险。中央网络安全和信息化小组的成立,标志着我国已经把网络信息安全上升为国家战略的层面。
在网络信息安全防护中,以数据加密、身份认证、数字签名等为代表的密码技术和以网络攻防、系统漏洞分析、防病毒、入侵检测等为代表的系统安全技术是网络信息安全的两大类核心技术。所以,商用密码安全产品和系统是信息安全市场的必不可少的重要组成部分。
近年来,发生的信息安全事件大致分为两种:一种是单纯的病毒、木马、系统攻击,没有特别的针对性,造成的后果是计算机系统的崩溃或者网络无法正常访问;第二种是针对数据和信息的窃取,这会造成重要数据或个人隐私的泄露,带来严重的后果。最近爆发的信息安全事件,八成以上都涉及到数据泄露问题,例如2013年底发生的美国第二大零售商Target的4000万用户的信用卡和借记卡信息泄露事件,近期爆出的OpenSSL的几个严重漏洞,以及我国近年发生的多个网站的数据泄露问题,这都存在密码技术防护措施不足的问题。这需要对数据的存储和传输进行加密保护,并进行严格的身份认证、访问控制、安全管理等。
得安科技大力推广信息安全服务的理念,所提出的企业信息安全堡垒的建设方案,是一个从技术实现到管理制度、从硬件产品到软件系统、从内部加固到外部防范的立体化的整体解决方案,实现服务端的核心数据的加密、安全可靠的网络数据传输、远程用户的身份认证和访问控制等功能,实现企业信息系统的高安全性和可靠性,为企业提供信息安全保障。
中国信息化周报:在与用户接触过程中,您认为目前企业信息安全系统普遍薄弱的环节有哪些?
孔凡玉:在云计算和大数据时代来临之际,任何信息系统的核心都是“数据”,因此任何信息系统的安全最重要的就是保证“数据”的安全。而数据的安全,包括了数据的产生、存储、传输、访问、处理、共享、销毁等各个环节的安全,这形成一个环环相扣的系统。
在与很多用户进行交流时,我们了解到,现在企业信息安全系统普遍存在的问题是缺乏一个完整、系统的安全解决方案,仅在某一个或几个方面进行了安全防护,但是仍然存在其他方面的漏洞,不能形成一个完整的防护体系。
中国信息化周报:对此,得安科技针对不同行业、不同应用场景下的安全问题,推出了哪些解决方案?
孔凡玉:得安公司一直专注于信息安全核心技术以及信息安全整体解决方案的研发和应用,针对不同行业、不同应用场景,已经在云计算安全、大数据安全、电子商务安全、企业级安全等领域形成了一系列先进的、成熟的、可靠的信息安全整体解决方案,包括云安全密码服务平台、远程文件安全传输解决方案、数字证书认证系统解决方案、安全移动办公解决方案、手机安全支付解决方案、桌面安全解决方案、统一认证授权平台等。具体包括:
■云安全密码服务平台:这是得安公司研发的基于“云计算”技术的高性能密码平台,将多款高端密码设备和软件中间件技术有机融合,以高安全性、高效率、高稳定性为目标,以先进的分布式计算和并行处理技术为核心,提供高性能的数据加密、数字签名、身份认证等密码服务功能。
■远程文件安全传输解决方案:此方案用于解决企业的总部与各分支机构、出差员工之间的文件安全传输问题,在数据的安全、可靠、高效的传输方面,可以解决FTP等传统传输方式的种种不足,为广大企业客户所信赖。同时,该方案可以集成于各类企业的信息系统平台中,实现企业的远程文件的安全传输,目前已经广泛应用于金融、证券、石油化工、电力等行业。
■数字证书认证系统解决方案:此方案用于解决企业内部的身份识别与认证的问题。数字证书是由权威机构―CA机构颁发的、标识身份信息的电子文件,提供了一种在网络环境中验证身份的方式,类似于日常生活中的身份证。得安数字证书认证系统简称CA系统,采用双证书机制,利用PKI技术提供数字证书的签发、验证、注销、更新等功能,将个人信息或单位信息及密钥、密码算法集合在一起,提供在虚拟的互联网世界可用的“网上身份证”。得安数字证书认证系统,已经成功应用于广东电子政务认证中心、贵州省数字认证中心的建设,并顺利运行。
■安全移动办公解决方案:此方案用于解决企业的各分支机构和出差员工的远程办公、移动办公问题。通过采用IPSec VPN、SSL VPN、安全网关以及安全客户端等产品,可实现各种复杂环境下的远程和移动办公系统。远程用户在通过互联网登录企业内部业务系统时,首先需要经过安全网关的身份认证,认证通过后才能访问其权限范围内的业务系统;可以在安全网关上进行细粒度的权限配置,保证接入终端的安全性;同时,安全网关支持客户端访问企业内网时不能同时访问其它互联网的功能,更加保证了接入的安全性。目前该解决方案已成功应用于国土资源、石油、煤炭、电力、电信、银行等行业。
■手机安全支付解决方案:得安公司研发的智能SD卡以及软件系统,是近年新兴的一种信息安全产品,把高性能的安全模块集成到SD卡中,这样用户既可以像使用普通SD卡那样使用其大容量存储功能,又可以像使用智能IC卡那样使用SD卡中集成的安全模块,具有密钥管理、证书存储、权限控制、数据加解密等功能,实现个人隐私数据的加密保护和安全支付。此方案已经在金融、电信以及中小企业中推广使用。
■桌面安全解决方案:此方案用于解决企业内部计算机设备的安全控制和信息保密问题,采用智能密码钥匙、安全加密U盘、文件加密软件、Word/PDF文件签名等产品和技术,确保了信息在单位内的安全存储,确保了计算机设备的安全使用。该系统是针对客户端PC安全的整体解决方案,它的最大特点是既能“攘外”,又能“安内”,部署灵活且易于使用,特别适合金融、电信、政府机关、制造业等具有分布式网络应用的行业。
■统一认证授权解决方案:本方案可以为企业的多个业务系统提供安全支撑,简化业务系统的管理方式和使用方式,提高整体系统安全性。通过该解决方案,可以为企业提供各个业务系统的统一认证和登录服务,提供数据传输的加密服务、高强度的身份认证、人员的集中管理和应用的集中管理,适合在具有多个业务信息系统的企业中部署实施。
中国信息化周报:在国内市场,用户往往会在IT价值与IT风险之间寻求一个平衡。让用户为安全买单,很多用户关心的问题是需要支付哪些成本?又能获得哪些收益?得安科技的解决方案又是如何来降低用户IT应用风险的?
孔凡玉:得安科技采用的是一套科学的、系统的信息安全工程建设方法,达到用户的IT价值和风险、收益和成本之间的平衡。
首先,用户的信息系统和数据的有形资产和无形资产是可以进行估算的。这些数据的重要程度,一旦泄露会产生什么样的后果,决定了数据的价值。数据的价值越高,一旦泄露带来的后果越严重,因此需要投入的安全成本就越高。举例来说,价值100万的数据,如果投入200万进行安全防护可能是不必要的;同样,价值1亿的数据,仅投入1万元进行安全防护则可能具有极大的安全风险。
评估了资产的价值后,然后就要分析信息系统存在的风险和威胁,包括目前的信息系统存在哪些漏洞和弱点,内部和外部可能有哪些潜在的攻击威胁等。之后,就要和企业一起制定信息安全保障系统建设的内容,这主要取决于哪些风险必须要降低,降低到什么程度,采用哪些技术手段,成本是多少等。这样,在系统建设之前,用户很清楚建设目标是什么,需要花费多大的成本,会带来怎样的收益,做到有的放矢、未雨绸缪。在系统建设、维护运行以及管理等方面,还有一系列的方法和措施,以保证信息安全项目建设的可控性。
中国信息化周报:相比其他应用安全企业,得安科技有何自身特色?具体到商用密码解决方案,相比其他软件公司,得安科技有哪些独特的优势和创新?
孔凡玉:与其它信息安全企业相比,得安公司的特色体现在三方面。
第一,在商用密码及信息安全核心技术方面具有创新优势。作为国内最早从事商用密码产品研发及产业化的企业之一,得安公司在商用密码以及信息安全核心技术方面具有18年的积累,在高速密码算法实现、数字认证技术、云计算安全、大数据安全、移动互联网安全等方面具备核心技术的创新优势。
第二,在参与国家和行业标准制定方面具有领先优势。作为商用密码基础设施技术标准组的成员单位,得安公司主持或参与了服务器密码机技术规范等20多项国家标准、行业标准的制定,因此在把握行业的发展趋势方面具有优势。2012年,得安牵头制定的《密码应用标识规范》作为我国第一批密码行业标准进行颁布;两年来,《服务器密码机技术规范》、《签名验证服务器技术规范》等行业标准也陆续正式颁布。
第三,具备成熟的信息安全服务理念,并在多个行业成功应用实施。得安一直秉承为用户提供信息安全服务的理念,以可靠的技术实力、稳定的产品性能、优质的服务团队、强大的分支网络赢得了用户的信赖,成功案例遍布于金融、证券、税务、电信、邮政、石油、煤炭等行业。
得安科技的商用密码解决方案,具有以下独特的优势和创新:
(1) 核心产品可靠性和高效性:解决方案中所采用的硬件产品和软件系统必须具有高可靠性和高效性,才能保证整个信息系统的安全性和稳定性。例如,云安全密码服务平台采用了多机并行、动态分配、冗余配置、负载均衡等技术,保证整个平台的可靠和高速。
(2) 量身定制的整体安全架构:这些解决方案不是单纯的硬件和软件的累加,而是经过系统的整体设计后形成的有机整体,而且每一个方案的确立和实施,都要根据用户的信息系统的特点进行量身打造,以保证方案的科学性和合理性。
(3) 运维支持和管理制度:信息安全设施的建设,三分凭技术,七分靠管理。每一个解决方案中都包含了系统的运行维护方案和管理制体系,保证信息安全系统运行期间的动态实时监控和管理岗位的协同工作。
中国信息化周报:得安科技未来的市场竞争策略和发展目标是什么?
孔凡玉:得安未来的市场竞争策略和发展目标,可概括为两个词。
一是“共赢”。“共赢”是指与客户的关系,是对“服务”理念的拓展。“服务”是被动地满足用户的安全需求;“共赢”是主动地去帮助客户发现信息系统中的安全问题并提出科学的解决方案,从而达到与客户共赢的最终目标。
二是“领先”。“领先”是指保持公司的核心竞争力,是对“创新”理念的拓展。不仅要“创新”,还要领先一步,在新的技术出现和产业变化来临之际,率先致力于未来核心技术和产品的研发,领先于时代,领先于同行。
今年年中,工业和信息化部、国家统计局、国家发展和改革委员会、财政部四部委联合印发了中小企业划型标准。在这四部委的划分中,小企业被划分为中型、小型、微型三种类型,普遍来说,从业人员100人及以上的为中型企业,从业人员10人及以上的为小型企业,从业人员10人以下的为微型企业。
与大多数中小企业相比较,微型企业的信息化具有什么样的特点,又该如何对之服务?
存在四大管理难题
周老板是北京动物园服装批发市场的小老板,他的生意模式简单,就是从外地工厂进货,卖给那些来批发市场的全国各类服装销售商。周老板一年的销售额是6000万元,在相隔不远的官园服装批发市场也有摊位。库房在这两个经营点之间,周老板的每个摊位各有几名员工,手机成为他们之间使用最多的通信工具。
这是一家典型的微型企业。周老板说,做了几年服装批发生意,感觉把生意精细化管理有困难。“如果自己再想扩大经营,必须使用软件产品,主要用来管理财务等。”但是他对信息化系统有模糊的印象,并不清楚究竟要什么样的产品和服务。
周老板所面临的管理和信息化难题具有普遍性,挑战如下:首先是资金问题,由于他是转租的摊位,在银行开账户、资金往来存在问题;第二是管理问题,库存盘点用纸质记录,存在模糊不清晰的情况,这将直接影响下一个季度的销售;第三是沟通问题,用手机沟通会出现没电、没有信号或者手机不在身边等情况,容易丢单;第四则是对销售情况不了解,由于他主要做老客户的生意,若彼此的资金往来、进销存等都不清楚,对客户关系维护、进货决策等有影响。
如何解决类似周老板这样的微小型企业的困惑?也许,目前业界盛行的云计算可以做到――只要中小企业的云无所不在,而又轻松部署、便于使用。
飘来小企业云
“面对中小企业的云,要像水电那样,零初始成本,用多少付多少钱;还要像用手机那样简单易用,无需学习;这种云全面互联,连接内外部的各类软件,并且无需维护,自动更新升级。” 畅捷通总裁兼CEO曾志勇描述了小企业的云特点说,只有这样,才能解决小老板们对技术的恐惧,让他们轻易上手,让信息化提升企业的竞争力。
据了解,当前小企业的商务沟通模式已经不再局限于传统的“电话+传真”,小企业的信息化模式开始朝着经营过程全互联网化转型。云应用将促使小企业信息化从“奢侈品”变成了“日用品”,从帮助企业管理变成了帮助企业经营:企业只需购买云计算服务,不仅可降低企业的软件服务拥有成本,缩短信息化建设周期,还可大大减少企业运维成本。“云计算是解放小企业的唯一方式。”
曾志勇总结说:“云计算将给小企业带来全新的经营模式变革,随着畅捷通云服务战略的不断完善和整合,畅捷通将进一步契合小企业云应用需求,为它们提供易获得、低成本、见效快、免维护的云服务,引领小企业管理信息化进入云时代。”
金融信息安全问题是每个银行面临的重要挑战,规划信息安全,广发银行从监控平台入手。
广发银行: 安全从监控平台入手
本报记者胡英
随着金融行业对信息化依赖程度日益增强,各种面向金融行业的网络犯罪事件的不断增多,信息安全问题成为银行面临的最重要的挑战。为此,广发银行先行一步,着手打造安全监控服务平台。
信息安全需整体规划
广发银行成立于1988年,是中国最早组建的股份制商业银行之一,截至2010年末,广发银行的全行总资产超过了8000亿元,并连续多年入选全球银行500强。自建行以来,广发银行就实施“科技兴行”的战略,投入了巨资进行信息化建设。至今,其银行网络已经覆盖了全部的营业网点。
随着人们对在网上办理业务的需求日益增加,广发银行业务对信息化提出了日益紧迫和严格的需求,广发银行意识到,建立全行信息安全需有一个整体规划,需要制定一个统一、立体的网络安全策略,做到可监控、可预警。他们请来了专业信息安全公司趋势科技的专家进行整体安全规划。
据趋势科技中国金融行业客户总监刘科先生介绍,趋势科技根据多年在金融行业的安全建设经验,提出对广发银行的安全规划从监控服务平台建设着手。
“虽然广发银行全网都已经部署了趋势科技officescan防病毒软件,但全国各分行及营业网点分散,总行很难及时了解和掌控整体系统的运行状况,而分行也很难做到安全事件的实时通报,急需统一的监控平台了解全行的信息。为此,首先引入了趋势科技的MOC监控服务平台。”刘科介绍。
该平台可以提供针对整个安全生命周期内各种威胁和漏洞的可量化、可评估的防御,借助7 x 24全天候的监控机制、完善的安全流程、专业技术以及专家分析和建议来保证业务连续性,并可通过对防病毒软件的运行数据做分析,根据设定的监控指标,一旦有安全风险出现,管理员和监控中心就可以得到相关的信息和处理方法,及时采取措施,避免陷入被动的局面。
专属服务为平台护航
