DOIT 发表于:14年06月05日 23:17 [综述] DOIT.com.cn
2014年,互联网金融给传统金融业带来的冲击,第三方支付理财、电子银行、P2P网贷、众筹平台、互联网基金和互联网保险等形态逐步取代传统的金融服务形式。明朝万达专注于金融数据安全领域的专家注意到,金融业新形势如火如荼发展的同时,交易方式虚拟化、业务边界模糊化和交易环境开放化使数据安全问题随之而来:客户信息泄露,非法盗取账户信息及交易信息、金融系统资料泄密等数据安全风险倍增。
金融变革背景下,数据安全风险现状
1、金融行业面临的境内外攻击和威胁形式严峻
去年年底的支付宝泄密事件闹得人心惶惶,刚刚发生的“心脏出血”事件再次将整个互联网搞得风声鹤唳,众多银行支付端口均受到不同程度波及。据不完全统计,全国受此影响的端口达3.3万个,涉及到的网民数量大约2亿人。最让用户担心的是在各大购物及理财银行网站设置的用户名和密码的安全性,一旦账号被盗,个人账号内的资金将彻底暴露在黑客面前,社会影响更是无法估算。明朝万达观测到,接连不断的数据泄密事件引发整个金融行业对信息安全风险状况的深思。
2、金融业对信息安全的依赖性越来越强
互联网金融持续升温使得金融行业对信息安全的依赖性越来越强,第三方支付、手机银行和互联网基金都依赖于计算机系统。我国金融业市场与信息网络的联系越来越紧密,信息安全风险系数提高。
3、金融信息化核心设备和技术多来自进口
我国的金融系统信息化“起步晚,却发展迅猛”,大量借鉴了国外金融信息化发展模式,部署了大量国外网络设备和主机设备、操作系统、中间件系统以及金融核心业务系统。思科、IBM等国外IT企业占据绝大部分的市场份额,控制着我们金融行业网络和信息系统,这些国外企业是否在核心系统装入后门,我们无从知晓。
防范金融业数据安全风险对策
金融业作为国计民生的支柱产业,信息安全关乎国家经济的生死命脉。明朝万达安全专家认为,防范金融业数据安全风险要从政策、管理和技术等不同纬度多管齐下。
1、 尽快制定国家金融行业信息安全规范体系
金融业作为国家信息安全部署重点行业面临着严峻挑战,应该尽快制定金融行业信息安全标准规范,完善国家信息安全体系建设,强化基础网络和重要信息系统的等级化保护和监督管理。虽然已经出台了一系列的规定,但对于日新月异的金融业还存在一定滞后性,应该细化和完善实施细则和法律法规,政策上规范金融行业信息安全,对于防范金融业数据安全风险具有重要意义。
2、加快建立金融业安全运维管理体系
从国家层面,一方面加大自主研发资金的支持,积极推进金融行业信息安全的国产化,提升对金融信息风险的预控;另一方面,应加强对国外引入的设备、软件和服务的监管,通过严格的技术审核和批准流程控制,及时发现可能存在的“软件炸弹”和“系统漏洞”,防范信息安全风险。
对于金融单位来说,应以“安全服务”为核心理念,保障业务连续性为依据,制定针对性强、嵌入度适中的数据安全解决方案,规避敏感信息外泄风险。“三分技术,七分管理”,一方面要做好与相关信息安全企业的接口连接工作,运用技术手段降低外联接口风险;另一方面要加强内部信息安全管理制度,严格落实内控制度和审计制度,技术与管理双管齐下,真正做到安全管理可控。
明朝万达Chinasec(安元)金融业数据安全解决方案提供各种安全组件供业务系统或用户使用,实现敏感数据在企业内网和互联网中从产生、存储、使用、流转、追踪到销毁的整个生命周期平台化安全管控。在满足金融行业信息安全方案的技术性要求基础上,提供系统运行维护阶段强力度安全支持;根据金融单位的数据安全现状进行搭配,具有良好的延展性;并提供“数据安全中间件”和“移动安全中间件”为用户业务系统提供可“按需定制的安全防护服务”,即可以贴身保护业务系统安全,又由于“内建式安全”实现无感知安全防护获得良好用户体验。
3、 尽快完成自主可控的金融业数据安全软件国产化替代
我国金融行业被美国IT技术公司全面渗透,部分产品和服务呈现垄断态势,他们对于“监控者”来说几乎是透明的,更不用说其自身具有的“后门”。“棱镜门”、“心脏出血”事件折射出,我国亟待完成自主可控、安全可靠的数据安全国产化替代。明朝万达作为国内数据安全领导企业,自主研发的Chinasec(安元)数据安全系列产品采取国密算法,具有高可靠性和合规性等特点,符合国家对金融行业数据安全政策性要求,响应了国家倡导金融行业IT建设产品选型、自主知识产权的国家号召。
明朝万达在金融行业已经赢得了广泛的认可和口碑,成为金融行业数据安全提供商首选。成功服务光大银行、中国银行、中国农业银行、广发银行、民生银行、中信银行、中国邮政储蓄银行、北京农商银行、包商银行、南京银行和中原证劵等。