銀行業(yè)信息安全基砂知識(網(wǎng)絡銀行信息的安全簡答)

1.網(wǎng)絡銀行信息的安全簡答

但是網(wǎng)上銀行的重點又將是哪些？

我們可以看到，2002年初，對于網(wǎng)上銀行討論的焦點仍然集中在“網(wǎng)上銀行是雞肋還是利器”，現(xiàn)在看來答案是顯而易見的了。時過兩年，中國工商銀行行長姜建清已經(jīng)成為了全球電子金融三十杰中的一員，所以如果更好地實施網(wǎng)上銀行，建立高人一籌的網(wǎng)上銀行系統(tǒng)才是今日的焦點。

從網(wǎng)上銀行的應用背景上說，中國的網(wǎng)上銀行用戶由2000年下半年的90萬人增加到2002年底的250萬，2003年，僅中國工商銀行透露的網(wǎng)上銀行用戶就已經(jīng)達到了800萬人。到2005年，預計這個數(shù)字將達到1.4億。

拓展領域

眾所周知，網(wǎng)上銀行與傳統(tǒng)銀行最大的不同就在于它建立在充分應用各類先進的通信網(wǎng)絡和信息技術手段基礎上的金融業(yè)務。而高速發(fā)展的網(wǎng)絡通信、無線應用使得建立在其上的網(wǎng)上銀行可以在任何時間、任何地點實現(xiàn)業(yè)務。

從國外的情況來看，最近幾年以來，網(wǎng)上銀行持續(xù)以兩位數(shù)字增長，而這種勢頭即使IT通信業(yè)大滑坡的情況下也未停止。

而就新技術應用程度來看，銀行業(yè)無疑成為了最新IT技術和通信技術應用最快、普及程度最高的行業(yè)，這也使每一個IT公司和通信公司對于銀行業(yè)的重視程度遠遠超過了其他行業(yè)。

所以說，網(wǎng)上銀行的高速發(fā)展對于IT技術來說提出了更高的要求。

試想，當你在網(wǎng)上進行任何一筆交易的時候，不管是查詢、轉賬支付還是其他，你在享受這些隨時隨地能夠提供便捷服務的同時，你最需要的是什么？當然是安全的保證。所以說，信息安全技術如防火墻、入侵檢測、CA加密、容災備份等，對于網(wǎng)上銀行的安全則更為重要。

而在后臺的技術上說，任何一個網(wǎng)上銀行的用戶希望能夠節(jié)省更多的時間，也就是希望得到有針對性的信息，那么對于銀行的管理來說，如何將以賬戶為中心的平臺轉換為以客戶為中心的平臺也是一個重要的挑戰(zhàn)。理所當然的是，當新一代客戶關系管理（CRM）軟件成熟應用后，網(wǎng)上銀行可以很方便地進一步提供并存儲客戶服務信息，同時利用商業(yè)智能技術（BI）挖掘客戶資源，實現(xiàn)交叉銷售。這樣銀行的客戶資料就變成了指導銀行提供更優(yōu)質服務的向導和擴大贏利空間的沃土。

更進一步，我們還看到從國外網(wǎng)上銀行的發(fā)展借鑒過來的是，網(wǎng)上銀行如果和企業(yè)、家庭使用的一些財務管理軟件更好地結合起來成為一個互聯(lián)互通的系統(tǒng)，那么網(wǎng)上銀行對于客戶的吸引力則必然更大一些。美國的網(wǎng)上銀行就是將網(wǎng)上銀行與美國家庭普遍使用的Quicken,Intuit、微軟Money等家庭理財軟件聯(lián)到一起，使美國家庭通過家庭理財系統(tǒng)與銀行直接相連管理家庭的報稅、投資、預算等事務。

并不樂觀的報告

據(jù)CNNIC的統(tǒng)計數(shù)據(jù)顯示，截至2003年12月31日，中國上網(wǎng)用戶人數(shù)已經(jīng)達到7950萬人。同1997年10月的62萬上網(wǎng)用戶人數(shù)相比，如今的上網(wǎng)用戶人數(shù)已是當初的128.2倍。

由于電子商務以及各類網(wǎng)上交易的迅速增長對在線支付產(chǎn)生了巨大的需求，這些都為網(wǎng)上銀行業(yè)務實現(xiàn)快速發(fā)展提供了可觀的需求。

盡管如此，CNNIC報告卻給網(wǎng)上銀行的現(xiàn)狀潑了點“冷水”。

據(jù)調查，中國網(wǎng)絡用戶對網(wǎng)上銀行的整體評價中，對網(wǎng)上銀行表示非常滿意和比較滿意的占46%，表示不太滿意和很不滿意的占16%，而有40%的客戶對網(wǎng)上銀行的評價是一般。

其次，作為網(wǎng)上銀行重要功能之一的網(wǎng)上支付功能還遠遠沒有得到客戶的普遍認可。調查顯示，僅有1/3強的客戶在網(wǎng)上購物時，選擇網(wǎng)上支付付款；而有2/3的客戶則寧愿選擇傳統(tǒng)的貨到付款或者匯款等支付方式。

調查顯示，不愿意選擇網(wǎng)上銀行的客戶中有76%是出于安全考慮。其次是由操作比較復雜、暫時沒有需要、網(wǎng)上銀行服務太少、不知道銀行網(wǎng)址等。

2.大數(shù)據(jù)時代銀行信息安全如何防護

互聯(lián)網(wǎng)的放大效應使公眾的容忍度越來越低，尤其是信息安全事件的影響，讓銀行面臨的聲譽風險壓力倍增。

不容樂觀的是，在數(shù)據(jù)大集中已經(jīng)成為潮流的今天，信息安全風險也在急劇集中，銀行重要客戶的數(shù)據(jù)一旦被不法分子利用，產(chǎn)生身份冒充、釣魚詐騙等違法事件將極難防范。 如何既守住信息安全底線，又保障業(yè)務健康發(fā)展，是擺在眾多銀行面前的一道難題。

這也是為什么在銀行的IT基礎設施里幾乎看到安全產(chǎn)品的“全家?！钡脑颍鞣N防火墻、WAF、IDS、IPS、DLP應接不暇。 但在這樣的情況下，依然沒能避免數(shù)據(jù)泄露、釣魚欺詐的事件發(fā)生。

讓人不禁要問，銀行信息安全防護之路在何方？ 弄清楚這個問題，就要從這些傳統(tǒng)的檢測機制上尋找原因。可以說，傳統(tǒng)的防御機制都是在犧牲了無數(shù)“小白鼠”之后，對這些已知的攻擊特征做的針對性防護機制，但相信哪個黑客也不會傻到用路人皆知的攻擊手段，冒著被全球追捕的危險去打銀行的主意。

大數(shù)據(jù)技術的出現(xiàn)能否力挽狂瀾？ 在攻擊者與防御者一直處于道高一尺魔高一丈的狀態(tài)下，SIEM/SOC的產(chǎn)品出現(xiàn)了，其建立在早期的日志管理之上，更多的關注日志采集后的分析、審計并發(fā)現(xiàn)問題，將日志分析的功效發(fā)揮出來。 這給安全防護工作帶來了新的思路，畢竟攻擊者在每個環(huán)節(jié)下都會雁過留痕，通過數(shù)據(jù)分析，如果真的能把隱匿在數(shù)據(jù)海洋中的攻擊者或者潛在攻擊者“揪”出來，那么攻擊方在暗處，防守方在明處的不利局面將被徹底扭轉。

但往往事實總是與愿違，受限于技術約束，傳統(tǒng)的安全分析大都僅針對樣本數(shù)據(jù)進行分析，并將分析結果推論到剩余的數(shù)據(jù)集合上。 而隨著高級威脅和欺詐行為的不斷進化，越來越需要對全量數(shù)據(jù)，甚至是相關的情境數(shù)據(jù)進行分析。

并且當銀行每天的數(shù)據(jù)量高達TB級時，SIEM/SOC的瓶頸出現(xiàn)了，龐大的數(shù)據(jù)量和多樣性迅速成為“駱駝背上的稻草”，并且會產(chǎn)生很多誤報。 大數(shù)據(jù)開始一度成為熱詞，這也讓銀行業(yè)嘗到了甜頭。

利用大數(shù)據(jù)分析不僅可以挖掘客戶的消費習慣做精準營銷，還可以在安全防護能力上更上一層樓。借助大數(shù)據(jù)安全分析技術，能夠更好地解決天量安全要素信息的采集、存儲的問題。

不過這似乎與傳統(tǒng)數(shù)據(jù)分析除了在數(shù)據(jù)處理能力上，其他差異并不是那么直觀。 畢竟信息安全十多年來一直在利用網(wǎng)絡流量、系統(tǒng)日志和其它信息源的分析甄別威脅，檢測惡意活動，而這些傳統(tǒng)方式跟大數(shù)據(jù)有何不同還是不太清晰，如果大數(shù)據(jù)安全分析僅是這樣，那么想在安全領域力挽狂瀾顯然是不夠的。

如何做好大數(shù)據(jù)安全分析 其實不然，在一個較為完備的基于大數(shù)據(jù)安全分析的解決方案中，通常會有一個大數(shù)據(jù)安全分析平臺作為整個方案的核心部件，承載大數(shù)據(jù)分析的核心功能，將所有分散的安全要素信息進行集中、存儲、分析、可視化，對分析的結果進行分發(fā)。 注意，是所有的安全要素，而并非僅僅是安全設備，無論是終端的、主機的、應用的、網(wǎng)絡設備的、安全設備的，還是第三方云上的，通過收集這些全量數(shù)據(jù)進行統(tǒng)一的存儲、分析和展現(xiàn)，從而發(fā)現(xiàn)里面的異常行為，并進一步找到未知的安全威脅。

這種思路常見于美國FireEye、PhantomCyber等公司的解決方案，當然也包括中國的HanSight。 做大數(shù)據(jù)分析，數(shù)據(jù)質量也非常關鍵，如果提供分析的數(shù)據(jù)本身就有問題或者錯誤，那么分析結果必然有問題。

具體來說，如果IT人員僅針對海量日志進行分析，可能由于攻擊者將關鍵日志抹除，或者故意摻入假日志，反而會讓基于日志的大數(shù)據(jù)安全分析誤導。 這時，IT人員很強調對原始網(wǎng)絡流量的分析，將這些流量轉換為元數(shù)據(jù)，然后進行大數(shù)據(jù)分析，配合日志分析，效果更佳。

能夠更加智能地洞悉信息也是大數(shù)據(jù)安全分析的優(yōu)勢之一。以銀行業(yè)為例，黑客通過一些手段偽裝成真實合法的用戶進行資金劃轉，但上一筆記錄是北京，而五分鐘之后的記錄發(fā)生在廣州，這對于銀行系統(tǒng)來說，只要是合法用戶的操作，就不會干預。

但顯然在五分鐘的時間里除了超人，沒人能做到從北京直接到廣州。通過用戶異常行為的安全分析引擎，便會將這種違約交易進行阻擋，防患于未然。

對于黑客攻擊網(wǎng)銀系統(tǒng)經(jīng)常使用的“低頻暴力破解”手法，大數(shù)據(jù)安全分析也帶來了奇效。所謂低頻暴力破解就是利用手機銀行在后臺服務端可以多次密碼試錯的情況下，不停的撞庫進行破解。

而利用大數(shù)據(jù)安全分析便對這些仿制的原始IP查封，加入到黑名單。 不僅如此，大數(shù)據(jù)安全分析的發(fā)展還將改變傳統(tǒng)的網(wǎng)絡安全防護架構、安全分析體系，并深刻變革現(xiàn)有的網(wǎng)絡安全業(yè)務模式。

包括 SIEM、日志分析、欺詐檢測、威脅情報在內的多種服務都在積極擁抱大數(shù)據(jù)安全分析技術。 大數(shù)據(jù)安全分析已成為安全業(yè)務模式變革的催化劑。

而也正是如 HanSight這樣的團隊努力下，讓大數(shù)據(jù)安全分析開始嶄露頭角，使銀行安全防護的道路逐漸明朗了起來。

3.金融機構信息安全包括哪些方面

(1) 信息泄露：保護的信息被泄露或透露給某個非授權的實體。

(2) 破壞信息的完整性：數(shù)據(jù)被非授權地進行增刪、修改或破壞而受到損失。

(3) 拒絕服務：信息使用者對信息或其他資源的合法訪問被無條件地阻止。

(4) 非法使用（非授權訪問）：某一資源被某個非授權的人，或以非授權的方式使用。

(5) 竊聽：用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息。例如對通信線路中傳輸?shù)男盘柎罹€監(jiān)聽，或者利用通信設備在工作過程中產(chǎn)生的電磁泄露截取有用信息等。（6） 業(yè)務流分析：通過對系統(tǒng)進行長期監(jiān)聽，利用統(tǒng)計分析方法對諸如通信頻度、通信的信息流向、通信總量的變化等參數(shù)進行研究，從中發(fā)現(xiàn)有價值的信息和規(guī)律。

(7) 假冒：通過欺騙通信系統(tǒng)（或用戶）達到非法用戶冒充成為合法用戶，或者特權小的用戶冒充成為特權大的用戶的目的。我們平常所說的黑客大多采用的就是假冒攻擊。

(8) 旁路控制：攻擊者利用系統(tǒng)的安全缺陷或安全性上的脆弱之處獲得非授權的權利或特權。例如，攻擊者通過各種攻擊手段發(fā)現(xiàn)原本應保密，但是卻又暴露出來的一些系統(tǒng)“特性”，利用這些“特性”，攻擊者可以繞過防線守衛(wèi)者侵入系統(tǒng)的內部。

(9) 授權侵犯：被授權以某一目的使用某一系統(tǒng)或資源的某個人，卻將此權限用于其他非授權的目的，也稱作“內部攻擊”。

(10)抵賴：這是一種來自用戶的攻擊，涵蓋范圍比較廣泛，比如：否認自己曾經(jīng)發(fā)布過的某條消息、偽造一份對方來信等。

(11)計算機病毒：這是一種在計算機系統(tǒng)運行過程中能夠實現(xiàn)傳染和侵害功能的程序，行為類似病毒，故稱作計算機病毒。

(12)信息安全法律法規(guī)不完善：由于當前約束操作信息行為的法律法規(guī)還很不完善，存在很多漏洞，很多人打法律的擦邊球，這就給信息竊取、信息破壞者以可趁之機。

4.商業(yè)銀行信息安全策略應涉及哪些領域

（一） 安全策略；

（二） 內控制度建設；

（三） 風險管理狀況；

（四） 系統(tǒng)安全性；

（五） 業(yè)務運行連續(xù)性計劃；

（六） 業(yè)務運行應急計劃；

（七） 風險預警體系；

（八） 其他重要安全環(huán)節(jié)和機制的管理。

技術方面需要考慮：

（一） 物理安全；

（二） 數(shù)據(jù)通訊安全；

（三） 應用系統(tǒng)安全；

（四） 密鑰管理；

（五） 客戶信息認證與保密；

（六） 入侵監(jiān)測機制和報告反應機制。

5.如何理解銀行業(yè)關鍵信息基礎設施

第一，銀行業(yè)具有足夠數(shù)量的數(shù)據(jù)資源和數(shù)據(jù)信息。銀行業(yè)擁有天然的數(shù)據(jù)基因，掌握著大量的國民經(jīng)濟和客戶經(jīng)營信息，同時還掌握著真實可靠的客戶信用記錄或信用數(shù)據(jù)，能滿足大數(shù)據(jù)技術的工作需要。

第二，銀行業(yè)具有較強的信息科技建設實力，能為互聯(lián)網(wǎng)金融基礎設施、科技設備和人力資源的投入提供及時的資金支持。

第三，銀行業(yè)擁有直接面向客戶，提供支付結算、代收代繳、投資理財?shù)冉鹑诜盏墓δ芟鄬ν陚涞拈T戶網(wǎng)站和網(wǎng)絡平臺，且擁有較為統(tǒng)一的基礎數(shù)據(jù)接口和高效精準的后臺數(shù)據(jù)處理能力。

第四，銀行業(yè)擁有足夠數(shù)量、功能齊備的線下網(wǎng)點，更易形成線上線下齊發(fā)并進的渠道優(yōu)勢。

第五，銀行業(yè)具有更為成熟的風控手段和較為強大的“公信力”，能對客戶產(chǎn)生更為穩(wěn)健、安全的業(yè)務吸引力。

6.金融行業(yè)對信息安全方面相關法規(guī)有哪些

多了去了。

既有針對整體的，又有針對某業(yè)務的。

下面列一些：

《商業(yè)銀行外包風險管理指引（征求意見稿）》.doc

關于印發(fā)銀監(jiān)會《銀行業(yè)金融機構信息系統(tǒng)安全保障問責方案》的通知.doc

關于做好網(wǎng)上銀行風險管理和服務的通知 銀監(jiān)辦發(fā)[2007]134號.doc

（銀監(jiān)辦發(fā)〔2011〕26號）關于征求銀行業(yè)“十二五”信息科技發(fā)展規(guī)劃相關意見的通知.pdf

（銀監(jiān)辦發(fā)〔2011〕62號）關于進一步加強網(wǎng)上銀行風險防控工作的通知.pdf

網(wǎng)上銀行安全風險管理指引（征求意見稿）.pdf

銀發(fā)[2011]17號中國人民銀行關于銀行業(yè)金融機構做好個人金融信息保護工作的通知.PDF

轉發(fā)中國人民銀行辦公廳《金融業(yè)信息安全風險提示》的通知.pdf

7.銀行信息安全體系制度的建設

中小銀行信息安全體系建設的目標 根據(jù)上述中小銀行所面臨的信息安全風險，我認為中小銀行信息安全體系建設的目標是通過建立完善的信息安全管理制度和智能、深度的安全防御技術手段，構建一個管理手段與技術手段相結合的全方位、多層次、可動態(tài)發(fā)展的縱深安全防范體系，來實現(xiàn)信息系統(tǒng)的可靠性、保密性、完整性、有效性、不可否認性，為金融業(yè)務的發(fā)展提供一個堅實的信息系統(tǒng)基礎保障。

信息安全防范體系的覆蓋范圍是整個信息系統(tǒng)。 中小銀行信息安全建設的主要工作內容有： 1、建立銀行信息安全管理組織架構，專門負責信息系統(tǒng)的安全管理和監(jiān)督。

2、制訂金融安全策略和安全管理制度。安全管理部門結合銀行信息系統(tǒng)的實際情況，制訂合理的安全策略，對信息資源進行安全分級，劃分不同安全等級的安全域，進行不同等級的保護。

制訂并執(zhí)行各種安全制度和應急恢復方案，保證信息系統(tǒng)的安全運行。這些包括：密碼管理制度、數(shù)據(jù)加密規(guī)范、身份認證規(guī)范、區(qū)域劃分原則及訪問控制策略、病毒防范制度、安全監(jiān)控制度、安全審計制度、應急反應機制、安全系統(tǒng)升級制度等。

3、設計并實施技術手段，技術手段要包括外網(wǎng)邊界防護、內網(wǎng)區(qū)域劃分與訪問控制、端點準入、內網(wǎng)監(jiān)控與管理、移動辦公接入、撥號安全控制、病毒防范、安全審計、漏洞掃描與補丁管理等諸多方面安全措施。 4、建立安全運維管理中心，集中監(jiān)控安全系統(tǒng)的運行情況，集中處理各種安全事件；統(tǒng)一制訂安全系統(tǒng)升級策略，并及時對安全系統(tǒng)進行升級，以保證提高安全體系防護能力。

8.商業(yè)銀行如何保護個人信息安全

商業(yè)銀行在征信體系既是信息的提供者又是使用者，也承擔著保護個人信息安全的職責。在信息的采集和使用上，商業(yè)銀行有其規(guī)章制度和合規(guī)流程，以確保個人信息安全。

中國工商銀行管理信息部總經(jīng)理蘇宗國介紹，工行在采集和向征信機構報送個人信息的時候要取得個人同意、授權，查詢個人信息要獲得個人的授權，在授權中要說明用途。

對于銀行內部信用信息使用，工行建立了白名單制度。蘇宗國介紹，工行所有分支機構納入白名單的用戶也就200多人，只有這些人可以登錄人行征信系統(tǒng)查詢，但只能做個人的異議處理或者用戶管理。

對于銀行內部信息使用者，工行還設立了前置系統(tǒng)?！霸撓到y(tǒng)跟人行征信系統(tǒng)對接，系統(tǒng)用戶必須通過征信信息安全測試，形象的比喻就是‘考駕照’，經(jīng)過測試，成績合格后才能進入。”操作系統(tǒng)時，還需要通過雙重密碼認證。

在加強系統(tǒng)監(jiān)測方面，蘇宗國表示，對沒有業(yè)務背景的信息查詢，對非工作時間的查詢，對過量的查詢還有報告超期保存，工行都會實時監(jiān)控，一旦系統(tǒng)發(fā)現(xiàn)違規(guī)、自動報警的，由管理員及時去核查，并交由該用戶上級去核實