国产强伦姧在线观看无码,中文字幕99久久亚洲精品,国产精品乱码在线观看,色桃花亚洲天堂视频久久,日韩精品无码观看视频免费

一、信息安全管理面臨的挑戰(zhàn)

信息技術的快速發(fā)展和廣泛應用，使金融行業(yè)對信息科技高度依賴，銀行信息安全事件往往會導致服務質量下降、業(yè)務中斷、賬務差錯；或者造成資金損失、敏感信息泄露、數據損毀等嚴重后果；或者衍生出違反內部操作規(guī)程、違反法律法規(guī)等案件。傳統(tǒng)的信息安全管理已經上升為科技風險管理的高度，銀行的信息科技風險來源于自然因素、人員因素、技術因素、業(yè)務因素等四個方面；科技風險管控的要素包括人、流程和技術，其中人是最關鍵因素，信息科技風險管理的核心就是對人的管控。

對金融行業(yè)來說，廣義的信息安全管理目標從微觀到宏觀可以概括為信息安全、業(yè)務連續(xù)性、金融安全、經濟安全、社會穩(wěn)定等多個層面。具體而言，網絡、系統(tǒng)、數據是安全運營的底層和基礎，支撐上層的產品與服務，以及客戶和機構的運營。就目標而言，信息安全保障業(yè)務連續(xù)性，業(yè)務連續(xù)性的目標是金融安全，金融安全為了經濟安全，經濟安全為了國家安全和社會穩(wěn)定。

1.銀行IT風險概述

信息科技風險是指信息科技在商業(yè)銀行運用過程中，由于自然因素、人為因素、技術漏洞和管理缺陷所產生的操作、法律和聲譽等風險。

已將信息科技風險與信用風險、市場風險、操作風險等并列為重要風險領域，并要求銀行設立或指派特定部門負責信息科技風險管理工作，將信息科技風險管理納入全行風險管理、內部控制和應急處置體系。對商業(yè)銀行進行監(jiān)管評級中，信息科技風險占比達10%，信息科技風險與資本充足狀況、資產質量、管理狀況等指標一樣，已成為直接影響商業(yè)銀行業(yè)務發(fā)展的考核指標。在銀行各類風險中，信息科技風險是能夠導致銀行全部業(yè)務在瞬間癱瘓的風險，具有隱蔽性、突發(fā)性和災難性的特征。

銀行信息安全管理的目標是通過建立有效的機制，實現對信息科技風險的識別、計量、監(jiān)測和控制，促進信息系統(tǒng)安全、持續(xù)、穩(wěn)健運行，推動業(yè)務創(chuàng)新，提高信息技術使用水平，增強核心競爭力和可持續(xù)發(fā)展能力。

圖1為信息安全和科技風險的關系，根據《商業(yè)銀行信息科技風險管理指引》，信息科技風險主要分布在IT治理、信息安全等八個領域。作為信息科技風險的重要組成部分，信息安全管理做不好一定會導致科技風險，任何一個金融機構或者其他機構，信息安全管理一定是貫穿在各個條線、各個業(yè)務流程中的。

圖1 信息安全和科技風險的關系

2.銀行信息化的新趨勢和新挑戰(zhàn)

當前，銀行信息化發(fā)展趨勢主要表現在業(yè)務科技深度融合與DevOps(開發(fā)運維一體化)、跨界業(yè)務聯動與互聯網金融生態(tài)蓬勃發(fā)展、移動互聯普及與客戶體驗追求、新技術的廣泛應用與數字化智能化轉型等方面。由此帶來信息安全管理的新挑戰(zhàn)，一是敏捷開發(fā)快速迭代對運維安全的挑戰(zhàn)，大型商業(yè)銀行每年投產的軟件版本多達上萬個，其中一半以上是敏捷和快速迭代需求，給運維帶來較大壓力。二是互聯網金融生態(tài)對網絡安全防護能力的挑戰(zhàn)，銀行傳統(tǒng)的網絡安全策略是通過防火墻實現內外網隔離，現在互聯網金融生態(tài)使得內外網關聯度日益密切，總行、分行、附屬公司都需要與不同的合作單位對接；此外，銀行的APP為了場景生態(tài)建設直接調用合作方的接口，雙方的SDK開發(fā)組件嵌入對方APP中，諸如此類的做法存在很多風險和不安全因素，包括身份認證、數據保護、交易完整性等，對安全管理帶來很大挑戰(zhàn)。三是業(yè)務聯動和信息共享對數據安全的挑戰(zhàn)，“讓數據多跑路，讓百姓少跑腿”已成為移動互聯發(fā)展的共識。實際上，在衣食住行越來越方便、快捷的背后是數據在政府部門、金融機構和不同企業(yè)之間的廣泛流動和共享，其中的數據泄露風險不言而喻。對銀行來說，為了老百姓能享受到更加便捷的金融服務，需要與很多合作機構共享數據，數據共享的同時如何做好數據保護？對中國銀行來說，還面臨較大的海外監(jiān)管壓力，需要應對包括GDPR歐盟一般數據保護法案(歐盟個人隱私保護法)等的在數據隱私安全方面的嚴格的要求。四是大數據、人工智能、生物識別技術對個人隱私保護的挑戰(zhàn)，大數據透露個人行為和隱私，生物識別技術本身的局限可能造成身體特征一次泄露影響終生，這些問題都給信息安全管理帶來了嚴峻的挑戰(zhàn)。

             二、信息安全管理工作概述

1、信息安全管理工作的特點、難點和原則

信息安全工作具有無邊界、無小事、無止境、無聲息的特點。信息安全管理是一門科學，根據木桶理論與鏈條原理，安全的度是由弱的環(huán)節(jié)決定，提升安全性的方法就是找差距、補短板，但薄弱環(huán)節(jié)和短板往往只有在發(fā)生安全事件的時候才能被認識到。信息安全管理是一門藝術，難點在于需要處理好安全與發(fā)展、管理與技術、自主與外包、防守與反擊等多重對立統(tǒng)一的關系。

信息安全管理的原則：，以人為本，腳踏實地。“人是生產力中的決定性因素”，人也是安全流程中的執(zhí)行者和控制者，只有把人管好，按照流程、規(guī)定辦事，安全工作才有可能做好。第二，明確基線，界定紅線?；€如嚴禁在第三方APP上輸入客戶賬戶密碼（、、存折等），以防由于第三方系統(tǒng)不可靠導致客戶密碼被的風險。紅線如嚴禁員工將客戶信息批量下載到自己的手機或電腦上，類似的安全基線和紅線一定要有清晰的界定。第三，統(tǒng)一規(guī)劃，分步實施。安全防護體系的建設是永無止境、螺旋提升的過程，要有統(tǒng)一的規(guī)劃和循序漸進的實施計劃，比如可以制定三年規(guī)劃和每年的工作計劃。第四，取長補短，持續(xù)優(yōu)化。“安全行業(yè)是天然的同盟軍”，面對組織和敵對勢力，必須建立統(tǒng)一戰(zhàn)線，在實際工作中的交流互鑒很重要，安全行業(yè)應建立共同防線，別人出問題的時候正是自己最需要扎緊籬笆和補短板的時候，在安全實踐中互相驗證有效性和共同提升安全管理的水平。第五，亡羊補牢，舉一反三。出現安全問題不可避免，但要及時解決，引以為戒，同樣的問題不能屢次出現，大銀行、大機構尤為如此。

此外，信息安全管理要有體系、有參照，ISO27001共包含14個控制域，35個控制目標及114個控制點，是一個可對標的通用信息安全管理體系。需要強調的是，信息安全永無止境，開展27001認證是手段而不是目的，通過認證只能說明信息安全工作站在了新的起點，進入了新的階段。

  2. 信息安全控制  

安全控制策略包括：遵守政府的法律和監(jiān)管機構的法規(guī)要求；提供IT服務的同時，實施必要的風險管理和安全控制機制；IT系統(tǒng)規(guī)劃時，同時考慮安全管控措施，同步實施，同步運行；管理措施與技術手段并重，持續(xù)完善安全管控機制等。實際上，安全控制的方法主要分為事前防范、事中控制、事后檢查，事前做好規(guī)劃、設計和實施；事中做好風險監(jiān)測、應急管理、事件管理；事后做好評估、審計和整改。

圖2是中行信息安全體系架構，參照ISO27001的控制域、控制點，逐一落實。每一個控制域和控制點都需要根據具體的業(yè)務場景進行風險分析，提出安全策略和控制要求，以下列示了數據安全管理、備份管理和變更管理三個控制點需要遵循的策略和管控要求。

圖2 中行信息安全體系架構

（1）數據安全管理。遵循全生命周期保護、最小、分級保護、敏感信息脫敏、定期審計、可審計原則，采取分級（數據分為公開、內部、敏感、關鍵四級，不同級別數據采取不同保護措施）、獲取/處理（使用數據須經數據所有者；建立完善的數據管理流程，包括需求受理、審批、處理和交付等內容；數據用于測試演練等非生產目的時，需進行脫敏處理）、存儲（對不同機構的數據進行隔離存儲保護；各機構只能操作本機構數據；根據備份策略對數據進行備份）、傳輸（數據傳輸采取加密措施，各一級分行、海外機構與總行建立數據傳輸專線）、銷毀（對廢棄存儲介質進行數據清除；建立待銷毀存儲介質入庫登記和安全銷毀的完整管理流程）管理措施。

（2）備份管理。根據監(jiān)管要求以及業(yè)務需要，制定應用系統(tǒng)數據備份方案；數據備份方案需經過技術管理委員會評審通過后實施；定期對備份數據進行有效性檢查，包括備份執(zhí)行情況和數據恢復驗證。備份實施措施，一是根據應用系統(tǒng)數據恢復要求，實施同城或異地備份策略；二是根據系統(tǒng)平臺和數據保存期限不同，采用磁盤、磁帶等不同存儲介質進行備份；三是根據不同業(yè)務需求采取不同備份周期策略，包括：日備份、月備份、年備份以及重要時點備份；四是對備份數據和介質的有效性進行定期檢查。

（3）變更管理。傳統(tǒng)的變更管理有一套嚴格的控制流程，包括：制定變更實施計劃，按照計劃實施；變更實施前進行全面的風險評估，并采取風險控制措施，盡量降低變更風險；所有變更均需審批，未經審批的變更不得實施；建立完善生產變更流程，嚴格按照變更流程實施。變更控制措施包括：由技術專家組對生產變更進行全面風險評估；根據業(yè)務影響，通過門戶網站、公告、客服等途徑告知客戶，并根據監(jiān)管要求報備；建立了嚴格的變更流程，在變更的開發(fā)、SIT、UAT、演練等環(huán)節(jié)進行控制；變更前制定回退方案，在緊急情況下實施回退；生產變更原則上安排在對客戶服務影響最小的時間段實施；變更實施過程中進行現場雙人復核，避免操作失誤和非法操作；對變更過程進行記錄并進行定期審計。

三、銀行信息安全管理實踐

1.信息安全制度體系建設

信息安全制度體系是信息安全管理、運作、技術體系標準化、制度化后形成的一整套對信息安全的管理規(guī)定。完善的信息安全制度體系應由管理政策、管理辦法、管理流程、實施指引等各級制度組成。

中行信息安全制度體系分為四級，一級為管理政策：明確管理目標、原則、架構等；二級為管理辦法和流程：為落實政策框架做出安排，并對管理流程提出基本要求；三級為實施細則和指引：用于指導落實各項管理要求和管理流程；四級為具體記錄和表單：用于具體操作和記錄。

中行信息安全制度覆蓋ISO27001信息安全管理各領域，并定期更新。同時因地制宜，針對境內分行和海外分（子）行的不同需求，分別進行指引。 

圖3 信息安全制度體系

2.安全培訓

目前中行主要開展了信息安全專業(yè)認證培訓、信息安全管理及技術培訓、信息安全意識教育培訓。

3.應用系統(tǒng)全生命周期安全管控

將信息安全融入軟件開發(fā)全生命周期，并在投產、運維階段持續(xù)強化安全管理。開展上線前安全測評，將安全工作前移，對信息系統(tǒng)投產進行安全準入控制，避免投產后安全修復帶來的變更風險和業(yè)務影響。

4.移動APP安全治理

主要對APP進行安全加固，包括APK加固、代碼掃描、APP檢測、數據傳輸安全、密碼安全、高強度認證等方面的工作。

5.漏洞管理

首先明確管理部門、開發(fā)單位、運維單位、業(yè)務部門等的責任。其次對不同系統(tǒng)制定風險等級,如核心銀行系統(tǒng)、網上銀行系統(tǒng)、系統(tǒng)等支撐客戶的資金交易，存儲或處理大量客戶敏感信息，遭受破壞將產生重大影響的系統(tǒng)為高風險應用系統(tǒng)；風控系統(tǒng)、報表系統(tǒng)、數據查詢系統(tǒng)等支撐非核心交易業(yè)務或支持內部管理，涉及部分客戶，存儲或處理部分客戶敏感信息的系統(tǒng)為中風險應用系統(tǒng)；醫(yī)療管理、后勤保障、人力資源輔助系統(tǒng)等不涉及面向客戶的業(yè)務，不涉及客戶信息，僅針對內部員工辦公使用，安全威脅低，遭受安全破壞時影響較低的系統(tǒng)為低風險應用系統(tǒng)。再次，根據風險等級采取修復、容忍、補償控制、臨時下線等不同的漏洞處置方法。最后，將漏洞處置時限分為特高危漏洞(確認后24小時內完成處置)、高危漏洞（確認后15天內完成處置）、中危漏洞（確認后3個月內完成處置）、低危漏洞（確認后6個月內完成處置）。此外，通過漏洞信息庫對漏洞進行統(tǒng)一監(jiān)控、管理。

6.多種認證級別和認證方式

認證級別分為：游客、弱實名、中實名、強實名。認證方式包括：密碼、短信驗證碼、TOKEN/KEY、硬件設備綁定、指紋認證、人臉識別（活體檢測）、SIM盾/手機盾等。根據不同的業(yè)務場景和風險度，在安全和客戶體驗中取得平衡。

7.網絡安全防御技術框架

基于流量信息、資產信息、日志信息等建立主動防御、縱深防御體系。

8.網絡對抗演練   

搭建指揮室和室，設立攻擊方、防守方和裁判組；分別由行業(yè)高水平白帽子從互聯網進行攻擊，行內自有技術專家從內網進行攻擊，驗證被攻入DMZ或進入內網后的相關防御場景；演練期間互聯網攻擊隊伍至少采用10種攻擊行為，包括釣魚郵件社工、Github等源碼倉庫、權限維持等，同時禁止采用高風險攻擊行為，包括DDOS攻擊、ARP欺騙攻擊、DHCP欺騙等。通過演練，全面提高了全體員工的網絡安全防護意識，發(fā)現了潛在的網絡安全薄弱環(huán)節(jié)，磨合、提升了聯動處置效率。

9.信息安全與IT合規(guī)檢查

信息科技風險與合規(guī)檢查工作覆蓋集團各類機構，通過開展現場檢查工作，及時排查并處置IT風險與違規(guī)隱患，督促各機構提升IT合規(guī)管理水平，保障IT合規(guī)管理要求得到有效落實。將檢查發(fā)現的問題分為風險和合規(guī)兩類,合規(guī)問題要求99%整改，納入績效考核;風險問題以風險可控為前提，被查機構根據本機構風險容忍度，制定風險處置方案。同時綜合主觀調閱材料和客觀數據，建立非現場檢查工作平臺，部分替代現場檢查工作。

10.安全運營中心（SOC）

建立安全運營中心平臺，對安全事件和問題進行集中監(jiān)控、統(tǒng)一管理。

在日前由農信銀資金清算中心主辦、金科創(chuàng)新社承辦的“2019農村金融科技創(chuàng)新與共享發(fā)展會議暨第三屆農村金融科技創(chuàng)新優(yōu)秀案例評選”上，中國銀行信息安全團隊主管夏建偉先生從信息安全管理面臨的挑戰(zhàn)、信息安全管理的重點內容、銀行信息安全管理實踐三方面進行了經驗分享，本文內容摘自此會議報告。