隨著云計(jì)算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等新一代信息技術(shù)在金融領(lǐng)域的逐漸推廣和應(yīng)用,金融科技在重塑金融行業(yè)形態(tài)的同時(shí),也面臨著巨大的安全風(fēng)險(xiǎn)。數(shù)據(jù)安全、交易安全和傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)和安全管理是當(dāng)前金融科技網(wǎng)絡(luò)安全的關(guān)鍵要素。敏捷科技結(jié)合金融行業(yè)特點(diǎn),基于卓越的產(chǎn)品、強(qiáng)大的研發(fā)實(shí)力和豐富的實(shí)施經(jīng)驗(yàn)來(lái)建立完整的數(shù)據(jù)安全防護(hù)體系,在滿足客戶業(yè)務(wù)需求的同時(shí),兼顧安全需求,致力于實(shí)現(xiàn)金融行業(yè)數(shù)據(jù)安全。
快速發(fā)展的信息化技術(shù)和網(wǎng)絡(luò)技術(shù),為金融行業(yè)的發(fā)展帶來(lái)了機(jī)遇與挑戰(zhàn),對(duì)其信息安全提出了更高的要求。金融行業(yè)的信息安全包括個(gè)人隱私、公眾權(quán)益、國(guó)家利益、事關(guān)國(guó)家安全、社會(huì)安定等重要問(wèn)題,如何有效地為金融行業(yè)提供安全屏障,保護(hù)其信息不受非法、違規(guī)操作使用,防御信息應(yīng)用內(nèi)容和服務(wù)可能受到的安全威脅,是當(dāng)前面臨的重大課題。
1994年,國(guó)務(wù)院第147號(hào)令《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》明確我國(guó)計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù);公安部與國(guó)家保密局、國(guó)家秘密管理局、原國(guó)務(wù)院信息化工作辦公室先后出臺(tái)了《關(guān)于印發(fā)<信息安全等級(jí)保護(hù)管理辦法>的通知》、《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》等一系列指導(dǎo)意見(jiàn)和規(guī)范。
2001年,為進(jìn)一步加強(qiáng)銀行系統(tǒng)計(jì)算機(jī)安全管理,中國(guó)人民銀行公布實(shí)施《銀行計(jì)算機(jī)信息系統(tǒng)安全技術(shù)規(guī)范》。
2002年,國(guó)家信息化領(lǐng)導(dǎo)小組針對(duì)當(dāng)時(shí)電子政務(wù)網(wǎng)絡(luò)建設(shè)各自為政、重復(fù)建設(shè)、結(jié)構(gòu)不合理等問(wèn)題,在《關(guān)于我國(guó)電子政務(wù)建設(shè)的指導(dǎo)意見(jiàn)》( 17號(hào)文)中提出建設(shè)政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)。
2005年,國(guó)務(wù)院信息化工作辦公室發(fā)布《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南》,從實(shí)際出發(fā),綜合平衡安全成本和風(fēng)險(xiǎn),優(yōu)化信息安全資源的配置,確保重點(diǎn)。
2005年,國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組正式通過(guò)了《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估的若干意見(jiàn)》,規(guī)定了信息安全風(fēng)險(xiǎn)評(píng)估的工作流程、評(píng)估內(nèi)容、評(píng)估方法和風(fēng)險(xiǎn)判斷準(zhǔn)則,適用于信息系統(tǒng)的使用單位進(jìn)行自我風(fēng)險(xiǎn)評(píng)估,以及風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的風(fēng)險(xiǎn)評(píng)估。
2006年,國(guó)辦下發(fā)了《關(guān)于推進(jìn)國(guó)家電子政務(wù)網(wǎng)絡(luò)建設(shè)的意見(jiàn)》(18號(hào)文)。進(jìn)一步細(xì)化了電子政務(wù)網(wǎng)絡(luò)建設(shè)的原則和目標(biāo),而且明確了統(tǒng)一網(wǎng)絡(luò)建設(shè)的責(zé)任主體等,增強(qiáng)了各級(jí)政府建設(shè)統(tǒng)一網(wǎng)絡(luò)的可操作性。
2008年,中國(guó)銀監(jiān)會(huì)辦公廳印發(fā)《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全保障問(wèn)責(zé)方案》,為督促銀行業(yè)金融機(jī)構(gòu)建立有效的信息系統(tǒng)安全保障機(jī)制,落實(shí)信息系統(tǒng)安全保障責(zé)任制度。
2011年,國(guó)家電子政務(wù)外網(wǎng)管理中心《關(guān)于加快推進(jìn)國(guó)家電子政務(wù)外網(wǎng)安全等級(jí)保護(hù)工作的通知》文中提出的相關(guān)要求,需要實(shí)現(xiàn)針對(duì)電子政務(wù)外網(wǎng)網(wǎng)絡(luò)的信息安全監(jiān)控體系的建設(shè),及時(shí)發(fā)現(xiàn)和處置網(wǎng)絡(luò)攻擊,防止有害信息傳播,對(duì)網(wǎng)絡(luò)和系統(tǒng)實(shí)施保護(hù)。
2014年,銀監(jiān)會(huì)印發(fā)《關(guān)于應(yīng)用安全可控信息技術(shù)加強(qiáng)銀行業(yè)網(wǎng)絡(luò)安全和信息化建設(shè)的指導(dǎo)意見(jiàn)》,提出到2019年,安全可控信息技術(shù)在銀行業(yè)總體達(dá)到75%左右的使用率。
以計(jì)算機(jī)、通信技術(shù)為代表的信息技術(shù)的發(fā)展,帶來(lái)了社會(huì)、經(jīng)濟(jì)等多方面信息化的熱潮,金融行業(yè)業(yè)務(wù)的開(kāi)展高度依賴信息技術(shù)的應(yīng)用。數(shù)據(jù)信息海量化、數(shù)據(jù)類型多樣化、數(shù)據(jù)信息傳播速度快等時(shí)代特點(diǎn),使信息安全風(fēng)險(xiǎn)成為其操作風(fēng)險(xiǎn)的重要方向。只有在保證海量數(shù)據(jù)信息安全的基礎(chǔ)上,才能充分利用數(shù)據(jù)信息技術(shù)沒(méi)公眾生產(chǎn)和生活提供服務(wù)保障。金融行業(yè)目前主要存在以下幾方面的數(shù)據(jù)安全需要:
(1)開(kāi)展風(fēng)險(xiǎn)評(píng)估,落實(shí)信息安全等級(jí)保護(hù)工作,不斷提高信息安全保障能力,為維護(hù)信息網(wǎng)絡(luò)的安全穩(wěn)定,促進(jìn)信息化發(fā)展服務(wù)。
(2)金融行業(yè)實(shí)施系統(tǒng)和數(shù)據(jù)大集中之后,風(fēng)險(xiǎn)高度集中。數(shù)據(jù)泄露常常發(fā)生在內(nèi)部,大量的運(yùn)維人員直接接觸敏感數(shù)據(jù),缺乏數(shù)據(jù)安全管控手段,需要實(shí)現(xiàn)精細(xì)控制。
(3)需要實(shí)現(xiàn)針對(duì)銀行及電子政務(wù)外網(wǎng)網(wǎng)絡(luò)的信息安全監(jiān)控體系的建設(shè),及時(shí)發(fā)現(xiàn)和處置網(wǎng)絡(luò)攻擊,防止有害信息傳播,對(duì)網(wǎng)絡(luò)和系統(tǒng)實(shí)施保護(hù)。
(4)由于銀行及電子政務(wù)系統(tǒng)較為復(fù)雜,加強(qiáng)對(duì)內(nèi)、外網(wǎng)的管理力度,對(duì)系統(tǒng)用戶進(jìn)行細(xì)粒度管理,依據(jù)涉密安全保密級(jí)別不同,進(jìn)行嚴(yán)格劃分,達(dá)到分級(jí)分域管控。
(5)新的信息化形勢(shì)下,銀行及電子政務(wù)內(nèi)網(wǎng)往往要做到異地?cái)?shù)據(jù)協(xié)同,在數(shù)據(jù)訪問(wèn)過(guò)程中應(yīng)該采用數(shù)據(jù)加密保證數(shù)據(jù)的安全性,同時(shí)不同地域的數(shù)據(jù)之間要同步,這樣既可以保證數(shù)據(jù)的保密性,同時(shí)也不能影響正常的使用。
(6)數(shù)據(jù)是金融行業(yè)的基礎(chǔ),需要為客戶提供一個(gè)可靠環(huán)境以確保客戶數(shù)據(jù)資料的準(zhǔn)確性和服務(wù)的連貫性,關(guān)注數(shù)據(jù)備份的可靠性和高可管理性以及系統(tǒng)備份時(shí)間縮短的可能,尋求一種可以實(shí)現(xiàn)集中化的數(shù)據(jù)存儲(chǔ)并能災(zāi)難恢復(fù)和數(shù)據(jù)安全的解決方案。
(7)隨著移動(dòng)終端應(yīng)用在金融領(lǐng)域不斷推廣,其所面臨的安全需求日益迫切,主要的風(fēng)險(xiǎn)出現(xiàn)在移動(dòng)終端、通信網(wǎng)絡(luò)、移動(dòng)接入?yún)^(qū)、服務(wù)端的各個(gè)環(huán)節(jié),包括非授權(quán)用戶訪問(wèn)、授權(quán)用戶的惡意訪問(wèn)或者是惡意軟件的訪問(wèn)等,需要迅速提升整個(gè)移動(dòng)辦公系統(tǒng)的信息安全防護(hù)能力。
(8)審計(jì)對(duì)金融行業(yè)的數(shù)據(jù)安全管理十分重要,目前數(shù)據(jù)訪問(wèn)追蹤信息出現(xiàn)斷層,需要業(yè)務(wù)用戶關(guān)聯(lián)審計(jì),信息中心需要準(zhǔn)確、詳細(xì)的審計(jì)記錄,需要將數(shù)據(jù)的訪問(wèn)真正定位到操作人,才能有效定責(zé)問(wèn)責(zé)。
(1)數(shù)據(jù)加密防泄漏
敏捷科技根據(jù)金融行業(yè)用戶的實(shí)際需求,結(jié)合自身在數(shù)據(jù)安全領(lǐng)域及應(yīng)用系統(tǒng)安全方面的技術(shù)積累,研發(fā)了以主動(dòng)式智能加密技術(shù)為核心的,集文檔管理、數(shù)據(jù)透明加密、外發(fā)管理、溯源水印、文件備份、終端管理等功能于一體的統(tǒng)一平臺(tái),從文件創(chuàng)建到刪除的整個(gè)生命周期進(jìn)行智能化的安全保護(hù),是解決金融行業(yè)用戶信息安全泄密問(wèn)題的最優(yōu)方案。
(2)信息安全風(fēng)險(xiǎn)評(píng)估及安全體系規(guī)劃
風(fēng)險(xiǎn)評(píng)估及安全體系規(guī)劃對(duì)金融行業(yè)用戶信息系統(tǒng)可能面臨的風(fēng)險(xiǎn)進(jìn)行分析、控制,通過(guò)信息安全漏洞掃描、信息安全風(fēng)險(xiǎn)評(píng)估、信息安全管理體系規(guī)劃等,有效地避免黑客的攻擊行為。
(3)數(shù)據(jù)溯源審計(jì)統(tǒng)一分析
對(duì)金融行業(yè)用戶的系統(tǒng)安全事件進(jìn)行多方位、多視角、大跨度、細(xì)粒度的監(jiān)測(cè),可全面監(jiān)控和處理應(yīng)用程序中的另存為、打印、拷貝粘貼、發(fā)送郵件等會(huì)引起泄密的行為,并對(duì)企業(yè)數(shù)據(jù)安全狀況的進(jìn)行統(tǒng)計(jì)分析,并提供數(shù)據(jù)統(tǒng)計(jì)柱形圖可視化地展示數(shù)據(jù)安全狀況,做到可預(yù)防、可定位、可追溯。
(1)在金融行業(yè)實(shí)施系統(tǒng)和數(shù)據(jù)大集中的同時(shí),實(shí)現(xiàn)安全可靠管理,其核心關(guān)鍵數(shù)據(jù)得到有效管控,加快推動(dòng)銀行及電子政務(wù)行業(yè)轉(zhuǎn)型發(fā)展,全面提升了其服務(wù)水平。
(2)部署的數(shù)據(jù)加密系統(tǒng)與金融行業(yè)業(yè)務(wù)系統(tǒng)良好集成,對(duì)客戶端、移動(dòng)端、介質(zhì)的數(shù)據(jù)實(shí)行安全管控,不改變工作人員的正常操作模式。在確保數(shù)據(jù)安全的同時(shí),提高了內(nèi)部文檔協(xié)同效率。
(3)客戶數(shù)據(jù)備份網(wǎng)絡(luò)得到有效提高,實(shí)現(xiàn)了更快的、可升級(jí)性更好的更穩(wěn)定的備份和恢復(fù)解決方案,保證了業(yè)務(wù)的連續(xù)性。
(4)通過(guò)對(duì)每一份電子文件實(shí)行限制操作行為、跟蹤流轉(zhuǎn)過(guò)程、阻斷非法拷貝等設(shè)置,確保內(nèi)部電子文件按照管理規(guī)范使用,并對(duì)該文件全生命周期的追根溯源,最終實(shí)現(xiàn)電子文件可控、可查、可溯、可審。
(5)風(fēng)險(xiǎn)評(píng)估方案有效地避免黑客的攻擊行為,提高了系統(tǒng)的安全防護(hù)能力、隱患發(fā)現(xiàn)能力和應(yīng)急響應(yīng)能力。
(6)角色的層次化使客戶在現(xiàn)實(shí)世界中的等級(jí)化與系統(tǒng)資源的等級(jí)之間形成了對(duì)照,不同的系統(tǒng)角色享有對(duì)應(yīng)的分級(jí)管理權(quán)限,便于系統(tǒng)管理的安全性。
(1)簡(jiǎn)介——某農(nóng)商行實(shí)施敏捷數(shù)據(jù)安全防護(hù)建設(shè)方案
銀行利用信息化技術(shù)高效率的進(jìn)行跨地域、跨國(guó)家的信息交流時(shí),海量的如客戶資料、營(yíng)銷方案、財(cái)務(wù)報(bào)表等關(guān)乎企業(yè)核心競(jìng)爭(zhēng)力的機(jī)密數(shù)據(jù)也隨之被傳輸。該農(nóng)商行的數(shù)據(jù)中心網(wǎng)絡(luò)包括生產(chǎn)網(wǎng)和辦公網(wǎng),生產(chǎn)網(wǎng)產(chǎn)生的信息與業(yè)務(wù)網(wǎng)需要進(jìn)行數(shù)據(jù)交互,數(shù)據(jù)存在形式多、訪問(wèn)人員多、易傳播。為了防止數(shù)據(jù)在交互過(guò)程中被內(nèi)部員工有意或無(wú)意的泄漏、防止員工離職帶走或者泄露銀行重要資料,該農(nóng)商行需要建立數(shù)據(jù)加密防泄漏機(jī)制,保障數(shù)據(jù)安全。
敏捷科技數(shù)據(jù)防泄漏系統(tǒng)將在原有信息化建設(shè)的基礎(chǔ)上,為該農(nóng)商行提供包括敏感內(nèi)容檢測(cè)、上網(wǎng)行為監(jiān)控、移動(dòng)外設(shè)控制等服務(wù),在終端安全、安全態(tài)勢(shì)監(jiān)控和溯源審計(jì)等方面為其建立一套集從事前預(yù)防、事中控制和事后審計(jì)為一體的全生命周期的安全防護(hù)體系。同時(shí)配合敏捷科技專業(yè)的安全服務(wù)和應(yīng)急響應(yīng)服務(wù)能力,為該農(nóng)商行的整體安全提供有力的技術(shù)支持。
(2)簡(jiǎn)介——某銀行外包業(yè)務(wù)信息安全風(fēng)險(xiǎn)評(píng)估及咨詢服務(wù)
為深入了解和掌握業(yè)務(wù)外包風(fēng)險(xiǎn)狀況,促進(jìn)業(yè)務(wù)外包健康發(fā)展,某銀行決定開(kāi)展業(yè)務(wù)外包風(fēng)險(xiǎn)評(píng)估,從制度、流程、協(xié)議等方面查找并發(fā)現(xiàn)其主要外包業(yè)務(wù)存在的缺陷和不租,并通過(guò)完善制度、優(yōu)化流程、修改協(xié)議等措施,提高該行業(yè)務(wù)外包整體風(fēng)險(xiǎn)防控能力。
敏捷科技為該行提供信息安全風(fēng)險(xiǎn)評(píng)估及安全體系規(guī)劃咨詢服務(wù),從外包業(yè)務(wù)系統(tǒng)中重要資產(chǎn)所存在的安全弱點(diǎn)以及可能面臨的安全威脅入手,針對(duì)物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用及管理等各個(gè)層面可能存在的安全風(fēng)險(xiǎn)進(jìn)行分析,全面提升其信息系統(tǒng)的安全防護(hù)能力,打造了一個(gè)高效、穩(wěn)定、安全的網(wǎng)絡(luò)及系統(tǒng)環(huán)境,為該行的網(wǎng)絡(luò)與信息化安全保駕護(hù)航。