淺析銀行業(yè)互聯(lián)網(wǎng)金融安全防護體系構(gòu)建

1、2014.12淺析銀行業(yè)互聯(lián)網(wǎng)金融安全防護體系構(gòu)建史相冬（同濟大學(xué)電信學(xué)院，上海201804）AnalysisofTheInfmationSecurityProtectionSystemfBankingInterFinanceSHIXiangdong（ElectronicsinterfinanceRiskanalysisInfmationsecurityprotectionprevention581互聯(lián)網(wǎng)金融安全現(xiàn)狀和威脅互聯(lián)網(wǎng)金融是目

2、前國內(nèi)外發(fā)展最為迅速的新興表1互聯(lián)網(wǎng)金融面臨安全威脅一覽表領(lǐng)域，在快速發(fā)展的同時，面臨著諸多安全威脅。舉例來說，通過“二維碼賬號體系LBS支付關(guān)系鏈”的線上到線下的閉環(huán)體系，形成了新的“消費場景”，但值得擔(dān)憂的是，二維碼支付突破了傳統(tǒng)受理終端的業(yè)務(wù)模式，其風(fēng)險控制水平直接關(guān)系到客戶的信息安全和資金安全。而目前，將二維碼應(yīng)用于支付領(lǐng)域有關(guān)技術(shù)，終端的安全標(biāo)準(zhǔn)尚不明確，相關(guān)支付驗證方式的安全性尚存質(zhì)疑，存在一定的支付風(fēng)險隱患。分析總結(jié)互聯(lián)網(wǎng)

3、金融面臨的安全威脅如表1所示。摘要：目前國內(nèi)銀行的互聯(lián)網(wǎng)金融業(yè)務(wù)均是以快速發(fā)展和推廣為主，互聯(lián)網(wǎng)金融安全是較新的安全技術(shù)領(lǐng)域，業(yè)內(nèi)大多處在探索階段，尚未形成完整的體系方案。通過分析互聯(lián)網(wǎng)金融的信息安全問題，對互聯(lián)網(wǎng)金融安全防護體系進行研究并提出構(gòu)建設(shè)想，期待通過提高銀行互聯(lián)網(wǎng)金融信息安全風(fēng)險防范能力，建設(shè)強大的保障體系來維護整個市場的穩(wěn)定健康發(fā)展。關(guān)鍵詞：銀行；互聯(lián)網(wǎng)金融；風(fēng)險分析；信息安全防護；2014.12COMPUTERSECUR

4、ITY學(xué)術(shù).技術(shù)加強例外防護，全面監(jiān)控風(fēng)險的工作策略。數(shù)據(jù)防泄漏是一項需循序漸進開展的工作，雖然業(yè)內(nèi)數(shù)據(jù)防泄漏方案普遍提供了較完整成熟的屏蔽和阻斷電子信息泄露的功能，但由于此類功能極易對關(guān)鍵業(yè)務(wù)流程操作效率產(chǎn)生影響，因此，上海農(nóng)商銀行數(shù)據(jù)防泄漏工作主要關(guān)注于技術(shù)和管理構(gòu)架的快速部署，通過定義、發(fā)現(xiàn)、監(jiān)控和保護的工作步驟，對防泄漏優(yōu)先級和策略的不斷優(yōu)化調(diào)整，完成信息資產(chǎn)種類的初步識別，并發(fā)現(xiàn)數(shù)據(jù)防泄漏工作中存在的關(guān)鍵問題和隱患，進行針對性

5、的保護或風(fēng)險整改。建設(shè)封閉式終端接入環(huán)境，采用瘦客戶端或其他方式接入桌面虛擬化平臺，并通過完善現(xiàn)有網(wǎng)絡(luò)環(huán)境及管理策略，在保證重要敏感數(shù)據(jù)安全性的同時，實現(xiàn)桌面虛擬化環(huán)境管理人員的高效、集中管理環(huán)境和對相關(guān)數(shù)據(jù)的訪問需求。在滿足日常工作環(huán)境要求基礎(chǔ)上，統(tǒng)一實現(xiàn)各種信息數(shù)據(jù)的安全與管控，提升桌面提供時間，增強IT服務(wù)能力。2.5信息安全管理結(jié)合互聯(lián)網(wǎng)金融業(yè)務(wù)在國際國內(nèi)的發(fā)展趨勢，可以采用平衡計分卡等工具分析互聯(lián)網(wǎng)金融業(yè)務(wù)安全風(fēng)險及安全防護新

6、要求，構(gòu)建互聯(lián)網(wǎng)金融業(yè)務(wù)安全風(fēng)險監(jiān)控及預(yù)警評價體系，通過風(fēng)險模型構(gòu)建關(guān)鍵技術(shù)，運用平衡計分卡的動態(tài)平衡原理，結(jié)合互聯(lián)網(wǎng)金融業(yè)務(wù)安全風(fēng)險，構(gòu)建分析模型，從而形成與互聯(lián)網(wǎng)金融業(yè)務(wù)快速發(fā)展相適應(yīng)的動態(tài)風(fēng)險監(jiān)測、預(yù)警、處置機制。信息安全測試與測評主要通過第三方或自有力量對系統(tǒng)安全性進行專業(yè)檢測，包括但不限于電子銀行評估、等級保護測評和滲透測試、軟件安全測試等等。通過此項工作，一方面滿足監(jiān)管要求，譬如電子銀行評估通過分析系統(tǒng)安全現(xiàn)狀與監(jiān)管要求間的

7、差距。另一方面，根據(jù)銀行自身需要，在信息系統(tǒng)建設(shè)或生產(chǎn)階段對其安全性進行測試，如通過安全性滲透測試，驗證信息系統(tǒng)在防篡改、網(wǎng)絡(luò)防滲透、數(shù)據(jù)庫防竊取、網(wǎng)絡(luò)安全體系防入侵、內(nèi)部防護等方面的安全保障能力。針對信息安全專業(yè)人員和信息科技條線的員工，開展有針對性的安全技術(shù)和技能培訓(xùn)，包括組織參與培訓(xùn)授課、安全技能實踐和對外交流等，了解和掌握最新的信息安全形勢和行業(yè)動向，學(xué)習(xí)新興的信息安全技術(shù)，尤其是針對互聯(lián)網(wǎng)金融、移動支付等亟待提升安全水平的領(lǐng)域

8、。同時加強對員工及客戶安全意識宣貫，制定通俗易懂的信息安全教育宣傳材料，通過組織各種形式培訓(xùn)及信息安全教育，增強員工和客戶信息安全意識和能力，提高銀行信息安全整體水平，有效防范日益頻繁的電信詐騙、盜取個人身份信息等違法犯罪活動。3結(jié)語互聯(lián)網(wǎng)金融信息安全體系的建設(shè)成果可應(yīng)用于互聯(lián)網(wǎng)金融平臺相關(guān)的信息安全領(lǐng)域，互聯(lián)網(wǎng)金融企業(yè)自身信息安全水平的提升，能夠減少因信息安全問題造成的損失，避免用戶的損失，體現(xiàn)了良好的社會效益。借助互聯(lián)網(wǎng)金融較強的傳

9、播性，能夠提升社會和相關(guān)企事業(yè)單位對信息安全的重視，增加安全方面的需求和投入，帶動自主可控信息安全產(chǎn)業(yè)的發(fā)展，帶動人員崗位的增加，產(chǎn)生良好的經(jīng)濟效益和社會效益。對于推動互聯(lián)網(wǎng)金融的信息安全監(jiān)管體系建立及完善也有積極作用。同時，互聯(lián)網(wǎng)金融安全體系的建設(shè)和推廣，可以推動和加強社會大眾，尤其是金融消費者的安全教育和引導(dǎo)，整合互聯(lián)網(wǎng)與金融知識，提高金融消費者的信息安全意識，促進互聯(lián)網(wǎng)金融企業(yè)提升服務(wù)規(guī)范度、增加客戶滿意度。60參考文獻[1]王國