防DDOS攻击 防DDOS攻击


经典解决方案

金融行业如何保障信息数据安全?

发布于:2017-10-18 13:27来源: 作者:admin 点击:

6月末,安全牛发布的一篇名为《金融行业10大领域网络安全报告》的文章,将金融行业从不同维度进行安全现状分析,10个领域呈现出不同的特点。传统印象中金融行业的安全建设能力一直是名列前茅的,当看到领域细分分析结果时,不由引发对于未来安全建设方向的思考。

证券、基金、保险公司面临的安全漏洞威胁最严重

本次报告通过分析10个领域1000家金融机构进行综合评分,完成了对6种典型互联网威胁事件的分析,评估带来的安全风险。从报告中的数据可以看出,近年来互联网+金融取得了一定成绩,同时也面临着巨大的互联网威胁,金融行业在本次报告比较的10个行业中排名第八名。

看似安全的金融行业,真的坚不可摧吗?

值得注意的是,在外部安全风险分布的评估中,证券、保险、基金公司这三个领域的安全隐患占比最高,分别为31%、28%、18%。作为掌握大量用户信息、资金和数据的企业,漏洞一旦被利用,可能会造成严重的信息泄露或业务中断,对于企业和用户来说,都是极大的安全隐患。

在补天平台发布的《2016补天平台漏洞收录及行业分析报告》中,在2016年收录的不同行业网站漏洞数量对比中,金融行业以12.5%的比例位居第二位,在漏洞危险等级方面,高危漏洞40.7%,中危漏洞37.1%和低危22.2%。

看似安全的金融行业,真的坚不可摧吗?

法律规划多角度同步推动,保障体系更严格

俄罗斯银行被黑客盗走20亿卢布、孟加拉央行被黑8100万美元、美国第二大的医疗保险服务商Anthem公司信息系统被黑客攻破,近8000万员工和客户资料被盗……

在各类安全事件中,网络袭击者或是利用公司内部系统环境的漏洞,或是利用恶意程序,发动远程袭击。信息技术不断进步,必然伴随着攻击手段不断翻新,网络攻击愈演愈烈,如何尽量规避漏洞的出现,如何在出现问题的时候及时监测和响应是所有金融行业的信息安全从业者所面临的问题。

金融行业由于资金体量庞大、用户信息集中、安全隐患影响深远,安全问题变得更加刻不容缓。针对当前的安全建设现状,关于网络安全的要求也渐渐清晰并且明确到相关法律制度当中。6月1日起正式实施的《网络安全法》第四十二条中,对于网络运营者提出了明确的要求,提出网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。

6月27日,《中国金融业信息技术十三五规划》印发 ,对于金融网络安全保障体系也指出了未来的发展方向,确立了“十三五”期间金融业信息技术工作的发展目标,提到金融网络安全保障体系更加完善、金融信息技术治理能力要显著提升。

可见,法律和政策纷纷跟上脚步,对于信息安全的建设、技术手段保证信息安全都提上了日程。然而,面临如此巨大的安全人才缺口和安全建设成本,怎样简单高效低成本的解决问题,更是企业安全负责人所关注的焦点。

运用互联网思维解决互联网安全问题

风险的检测和监控离不开与时俱进的技术支持,然而黑客总是有着出其不意的脑回路,如何抵御黑客的攻击,需要用黑客思维来思考问题,方能有效的应对。有这样的一群人,他们虽然掌握着黑客技术,但不做坏事,将自己的技能用在了帮助企业发现安全问题,保护社会的网络安全上,他们——就是白帽子。

许多知名企业纷纷选择建立SRC(安全应急响应中心),运用互联网思维来解决问题,通过众包,充分发挥白帽子的能力帮助企业发现安全隐患,解决安全发现能力不足的问题。截止目前,已经有数十家企业SRC建立。

但与知名企业形成鲜明对比的是,不少企业无法有足够的人力财力独立建设并运营SRC;同时,在重大的版本上线前也有强力安全检测需求。这时候,多元化的安全服务应运而生,以安全众包的模式,切实动员起来白帽子的能力,发动民间力量,充分利用分散在社会中的安全人员资源,帮助企业解决潜在的安全隐患和问题。

截止2017年6月,补天平台汇聚3万4千余名白帽子,累计为2万多家企业报告的漏洞超过20万个。通过第三方帮助企业建立的专属SRC、定制众测项目的形式,已服务全国各地数十家银行、证券、保险公司,安全建设不断创新,安全能力稳步提升。

补天携手白帽子,希望能帮助更多的金融企业加强网络安全建设,为企业和社会的网络安全作出自己的贡献。网聚安全力量,为社会提供准确、详实的安全情报,让全中国网络都实现漏洞的及时发现与快速响应是补天平台始终坚持并不断履行的社会使命。


金融行业是一个不差钱的行业,但对安全性要求特别高,所以基本上都会是由专门的公司提供全套解决方案,当然也是处于安全角度考虑,金融领域有些功能、产品挺难用,比如有些银行的网上银行功能,比如纠结了好长时间的快捷支付功能,比如远程开户。

所以金融行业信息安全这个问题,我们也只能笼统的从概念上做个简单的解释,如果真要实施,肯定要比这个复杂的多。

 

一、哪些途径会是安全隐患

在了解数据安全如何保障之前,我们可以想想数据有哪些安全隐患,假如我们想把数据偷出来,都有哪些渠道,把这些渠道都防范住了,安全问题至少也就有了基本保障。坤鹏论大致列了几种:

1、通过u盘、移动硬盘等移动设备拷贝;

2、通过网络打印机,虚拟打印机或本地打印机打印;

3、使用电子邮件、QQ等其他相关工具发送涉密信息;

4、通过手机,相机,等摄像摄影设备,拍摄涉密文档信;

5、远程攻击存储数据的服务器,从服务器下载涉密文档;

6、劫持网络,在数据传输过程中盗取数据;

7、终端设备泄露机密,包括通过终端设备拷贝机密数据;

 

大致就这么多种方法吧?其他方法坤鹏论实在是想不出来,也欢迎大家在评论里多想想。

 

二、如何防范数据泄露

 

既然知道了数据都能通过哪些渠道泄露出去,相应的保护数据安全的解决方案也会围绕这几方面展开。总结泄露数据的这些渠道,可以大致概括为三种方式:通过服务器直接泄露、在数据传输过程中泄露、在终端设备上泄露,所以数据安全保障也是围绕这三方面进行的。

 

1、服务器泄露

 

不管是金融行业还是其他什么行业,数据存储工具一直是泄密的主要渠道,所以保障服务器安全是第一位的。一般保障服务器安全分为几步:

(1)物理隔绝

让尽可能少的人可以接触到服务器,可以有效避免通过拍照、移动存储设备拷贝等方式泄密。所以虽然坤鹏论没去过金融行业的服务器机房,相信这个机房也不是随便谁想进就能进去的,并且就算进去了,各种授权、监控之类的招数也都会有。

服务器管理员在操作服务器的时候,特别是在操作数据库服务器的时候肯定也得是各种戒备吧?权限也得是各种授权吧?

(2)结构隔绝

其实是服务器隔绝,虽然坤鹏论没接触过金融行业服务器架构,但数据库放在独立服务器上这种基础安全常识不应该不知道吧?

把提供服务和数据库存放分别放在不同的服务器上,数据库服务器不对外提供访问地址,只对内网开放有限的权限和端口,确保即使提供服务的服务器被黑客攻破,数据也是安全的。

 

2、传输泄露

银行现在都对外提供网上银行服务,同时在银行内部与各个分行、支行和柜台进行数据传输,传输过程也是泄密的途径之一,网络传输协议也有被破解的先例,所以金融行业的信息在传输过程中肯定也是加密的。

 

3、终端泄露

 

终端也就是银行内部人员,日防夜防,家贼难防,内部员工泄密是常有的事情,所以在防范内部员工泄密方面,必须也是要有一套机制的。这种机制包括不同等级的权限管理,重要操作的复审等。比如不许使用U盘、移动硬盘等非经授权使用的外部设备。比如所有操作都在监控摄像头下进行。

不过终端也是最难防范的,因为毕竟很多功能也是要开放给终端人员操作的,所以复审就很有必要。另外还有一个有必要的机制就是追责。虽然坤鹏论不知道现在金融行业有没有这样的机制,但相信应该会有,通过追责这种人员管理机制防范数据泄露应该是必不可少的环节。

tag标签:
------分隔线----------------------------
------分隔线----------------------------
[相关文章]
    • 24小时技术QQ:1767559921 24小时技术电话:13221000030
    • 公司总台电话:400-901-5608 售前咨询热线:0731-85380877
    小蚁网络-小小 小蚁网络-马马 小蚁网络-蚁蚁 小蚁网络-杨过 小蚁网络-anyyx 小蚁网络-奕奕 小蚁网络-令狐冲 小蚁网络-东邪 小蚁网络-富富 小蚁网络-鬼脚七 小蚁网络-三丰 小蚁网络-风清扬 小蚁网络-技术 投诉与建议

    投诉QQ :512360903
    非法信息举报 :[email protected]
    24小时网维支持 投诉与建议
    故障申报、处理
    24小时技术 24小时网管 企业技术支撑
    域名白名单、信息安全、备案咨询
    白名单审核周一至周六8:30-21:00 周日8:30-18:00 备案专员周一至周五8:30-18:00
    财务续费、发票
    财务续费直线:18073151018