首页 > 专题 > 第三届互联网大会 > 论坛发言 > 正文

互联网金融信息安全最佳实践

各位领导和来宾大家下午好,非常高兴有机会在这里和大家进行探讨,之前有一些专家就互联网金融具体的业务做了非常精彩的演讲,我个人也受益匪浅。接下来作为山东省计算中心,最早从事信息化科研的机构,我们也长期以来致力于这方面的研究,之前就信息安全和体系规划都有深入地合作,也积累了经验和心得。希望这些观点在接下来的关联网金融和平台建设当中起到一些帮助。

今天的演讲主要是以下三点,第一是互联网金融面临的信息安全风险。作为互联网金融最关键是安全问题。第二是互联网金融安全建设过程当中应该如何做,才能够规避一些风险,才能够让平台更加安全。最后是结合之前的研究经验提一些建议。

我们今天的论坛主题是互联网+金融。互联网具备融合、开创共享的特点。互联网金融对资产、想象、大量资产或者项目一和大量投资人之间建立一个桥梁,在这基础上做大数据金融,同时互联网金融具有个性化定制的特点。最后它介于互联网平台,可以高效便捷地处理我们要处理的事项。在2月19日一互联网安全和问题上也指出了一些互联网金融存在的一些问题。所以在互联网平台如何在信息化安全建设一方面,它的标准化也是一个安全的方面。

互联网金融如果要做好的话,核心问题是平台安全性问题。如果平台不安全,我们很难在这平台上做交易合处置。作为我们的投资人来说,如何选择个这样一个互联网金融的平台呢?在座各位如果要选择平台,做互联网金融,原来考虑是哪个收益率高。但是随着互联网+金融的发展,大家多了一个担心,投资的时候是不是安全的。所以现在选择的时候是两方面共同考虑,既考虑收益也考虑安全性。而安全性问题反而成为一个投资首要的考虑。

基于金融插上互联网翅膀之后,面临的一些威胁,我们结合它的特点做了一些总结。首先是信息泄露,我们的信息放在互联网上会不会被泄露。再一个是网络犯罪。第三是应用数据自身的漏洞会。第四个是移动威胁,移动办公带来的新  威胁,也是对互联网很大一个冲击。最后是Ddos攻击,导致客户交易的中段,客户交易不能完成。另外是外包风险,再一个是内部控制风险。接下来针对这些做一个展开。

信息泄露大概有四个途径,首先是利用系统漏洞入侵获取数据,第二个是通过手机短APP泄露数据信息,第三个是认为因素错误操纵导致信息泄露。第四是系统木马导致的入侵。

金融网络犯罪有网络入侵,第二个是网络钓鱼、  网络诈骗,第三是获取帐户之后利用电商病态,进行网络洗钱,这个是互联网金融带来的安全风险。第三个是系统楼。刚才降到了网络缺陷,所开发的应用系统存在一些由于编码不完善出现的漏洞。包括数据库手动,等等这些都给互联网金融带来了风险。

尤其现在是进入到互联网办公时代,其中包括移动安全威胁。现在每一位都是智能手机,无论是安卓平台还是苹果平台都是会提醒大家是不是允许读取短信等等,我们就会考虑会不会装这个APP会带来信息的泄露。再一个是有可能官方发布的APP有可能已经植入了威胁代码。主流供给方式有键盘注入、界面街区,再一个是本地窃听,另外在通信的时候进行传输窃听,第五是反编译,第六是窃取本地的隐私。

APT供给包括DDOS供给,发起DDOS供给,导致业务中段,用户交易无法无按照,造成损失。

第二个是系统入侵,以智能手机、平板电脑等移动设计为跳板入侵系统。第是无疑软件供给,第四是漏洞侵权。

还有一个是互联网金融机构,往往是安全需求不明显,从开发商角度讲开发人员水平存在参差不齐现状,有时候为赶工期忽视安全代码安全,再一个是业务逻辑存在缺陷,开发组建存在漏洞。在自身也会存在安全需求不明确,项目监管部到位,缺少安全验收测试。

通过一些权威数据显示,对互联网金融机构安全事件发生最多是业务设计缺陷导致的,通过越权帐户访问其他的帐户。最后一个风险是内控的风险。这里有可能内部风控治理建构不够完善,投入范围不够明确,控制范围不全面,内控工作缺少监督,内部难以协调难以实施,导致不容易发现问题。

基于互联网金融面临的信息安全风险,我们应该怎么样实施信息安全化建设,在这里提几点。我们提出了360信息安全治理构建信息安全保障框架。有几个层面需要考虑,首先在组织战略上需要进行导向,把信息安全放在战略同等高度去看待。刚才李总和蔺总都提到了,也非常重视信息安全的问题。

第二个是从信息体系化建设进行保障信息化安全。并不是说几个设计和软件就可以保障,所以保障也需要体系华建设,来依托重要的信息平台做建设。重点抓安全建设,借助评估进行重点抓手安全评估。最后通过部门落地信息化安全的措施。

构建信息安全治理架构,形成纵深防御,比如说信息安全保障小组、信息安全审计小组。因为信息安全是一个动态变化的过程,所以要搭建安全管理制度体系。探照PDCA持续改进模型,搭建系统安全运维体系。通过考核评定进行推动安全构建。

依照纵深防御的思想,构建信息安全治理架构。第一道防线是信息安全领导小组,第二个防线是信息安全保障小组,比如说科技部、内控部、运维部,形成一个职责明确,相互制约,完善体制架构。第二是提高全员安全意识和水平,有高层前头、领导负责,全面参与,专人感觉,定期进行培训,对具体岗位能力进行培训。第三是三分技术,七分管理,建立文档化管理体系。安全策略体系包括信息安全策略、信息安全规范、信息安全操作流程和细则。

第三个是落实安全管理制度,实现安全管理措施。同时我们要构建技术最深锋驭体系,实现系统冯沪能力最大化。我们的区域边界,业务网络和外部网络的边界区域,或者互联网金融机构和其他方面接口和数据传输方面的安全控制。骨干网络是保护通信网络和基础设施,保护计算环境。

最后搭建一个系统安全运维体系,对安全态势进行感知,对资产进行管理。内部控制有些问题发现不了,可以借助信息安全风控进行评估。最后是建立一些考核机制,去考核安全体系的落地情况。

最后是几建议第一是构建机制建构,第三是加强培训,提高意识,第四是建立健全信息安全体系。第五点是引第三方安全服务,进行安全评估和运维。

刚才提到了我们和金融办公事做了一些合作。他们作为监管机构也非常重视信息安全,在设计阶段就进行了信息安全的规划,也引入了第三方的安全保障,同时对系统进行验收,有运行维护阶段。

领导高度重视,加强顶层设计,第三是严格工作标准,第四动态持续改进的理念。

山东金交所也是非常符合信息安全治理的理念的要求,领导对这块儿非常重视,前期通过等级保护和测试发现风险,  第二个做了风险分析,同时也体现了山东金交所一些专业负责的态度,第三个对网络实施安全优化,落实具体防护措施,同时新系统建设同步规划建设。

最后信息安全是持续变化,是一个动态,不能以现在的情况说  未来是安全的,安全不是一劳永逸的。基于新技术,系统演变演变,信息安全是动态变化的,我们需要做的是建立动态立体的防护系统。

接下来如果在互联网金融和信息化建设中有什么疑惑,可以做进一步交流。

【换个姿势看山东-天天豪礼有惊喜-全新界面国际范儿】

齐鲁壹点 最懂山东

齐鲁壹点

责任编辑:刘相华