金融业变革中的数据安全风险防范对策
作者:星期二, 五月 13, 20140

RSA2014 serversecurity

2014年,互联网金融给传统金融业带来了冲击,第三方支付理财、电子银行、P2P网贷、众筹平台、互联网基金和互联网保险等形态逐步取代传统的金融服务形式获得了社会认同。金融行业数据安全领域的专家们呼吁:金融业新形势如火如荼发展所带来的交易方式虚拟化、业务边界模糊化和交易环境开放化使数据安全问题随之而来:客户信息泄露,非法盗取账户信息及交易信息、金融系统资料泄密等数据安全风险倍增,防范金融数据安全已经迫在眉睫。
金融变革背景下,数据安全风险现状

1、金融行业面临的境内外攻击和威胁形式严峻
去年年底的支付宝泄密事件闹得人心惶惶,刚刚发生的“心脏出血”事件再次将整个互联网搞得风声鹤唳,众多银行支付端口均受到不同程度波及。据不完全统计,全国受此影响的端口达3.3万个,涉及到的网民数量大约2亿人。最让用户担心的是在各大购物及理财银行网站设置的用户名和密码的安全性,一旦账号被盗,个人账号内的资金将彻底暴露在黑客面前,社会影响更是无法估算。接连不断的数据泄密事件引发整个金融行业对信息安全风险状况的深思。

2、金融业对信息安全的依赖性越来越强
互联网金融持续升温使得金融行业对信息安全的依赖性越来越强,第三方支付、手机银行和互联网基金都依赖于计算机系统。我国金融业市场与信息网络的联系越来越紧密,信息安全风险系数提高。

3、金融信息化核心设备和技术多来自进口
我国的金融系统信息化“起步晚,却发展迅猛”,大量借鉴了国外金融信息化发展模式,部署了大量国外网络设备和主机设备、操作系统、中间件系统以及金融核心业务系统。国外IT企业产品占据绝大部分的市场份额,控制着我们金融行业网络和信息系统,这些国外企业是否在核心系统装入后门,我们无从知晓。
 防范金融业数据安全风险对策
金融业作为国计民生的支柱产业,信息安全关乎国家经济的生死命脉。专注于金融数据安全的北京明朝万达公司认为,防范金融业数据安全风险要从政策、管理和技术等不同纬度多管齐下。
尽快制定国家金融行业信息安全规范体系
金融业作为国家经济的重点行业面临着严峻挑战,应该尽快制定金融行业信息安全标准规范,完善国家金融信息安全体系建设,强化基础网络和重要信息系统的等级化保护和监督管理。虽然已经出台了一系列的规定,但对于日新月异的金融业还存在一定滞后性,应该细化和完善实施细则和法律法规,规范金融行业信息安全,对于防范金融业数据安全风险具有重要意义。

加快建立金融业安全运维管理体系
从国家层面,一方面加大自主研发资金的支持,积极推进金融行业信息安全产品的国产化,提升对金融信息风险的预控;另一方面,应加强对国外引入的设备、软件和服务的监管,通过严格的技术审核和批准流程控制,及时发现可能存在的“软件炸弹”和“系统漏洞”,防范信息安全风险。
对于金融单位来说,应以“安全服务”为核心理念,保障业务连续性为依据,制定针对性强、嵌入度适中的数据安全解决方案,规避敏感信息外泄风险。“三分技术,七分管理”,一方面要做好与相关信息安全企业的接口连接工作,运用技术手段降低外联接口风险;另一方面要加强内部信息安全管理制度,严格落实内控制度和审计制度,技术与管理双管齐下,真正做到安全管理可控。
尽快完成自主可控的金融业数据安全软件国产化替代
我国金融行业被美国IT技术公司全面渗透,部分产品和服务呈现垄断态势,他们对于“监控者”来说几乎是透明的,更不用说其自身具有的“后门”。“棱镜门”、“心脏出血”事件折射出,我国亟待完成自主可控、安全可靠的数据安全国产化替代。目前国内数据安全企业在金融数据安全软件产品上已经取得了重大突破,例如明朝万达自主研发的Chinasec(安元)数据安全系列产品采取国密算法,具有高可靠性和合规性等特点,完全符合国家对金融行业数据安全政策性要求。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章