大数据时代的互联网信息安全_第1页
大数据时代的互联网信息安全_第2页
大数据时代的互联网信息安全_第3页
大数据时代的互联网信息安全_第4页
大数据时代的互联网信息安全_第5页
已阅读5页,还剩2页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

大数据时代的互联网信息安全在互联网进入中国近三十年后的今天,我国已成为世界网络第一使用大国,全球互联网公司的前十强中,中国便占了四席,互联网、移动互联网、网银、手机银行与手机股民的用户数均居全球之最。互联网与互联网金融在使得生活变得方便、快捷的同时,也存在着极大的安全隐患,因此,如何普及网络安全知识,掌握安全技能,提升风险防范能力成为互联网及互联网金融发展的基础,“发展与安全”也已成为推动互联网发展的关键与动力,两者缺一不可。本文主要探讨互联网金融信息安全风险的监管与防控。一、互联网金融及风险互联网金融是指以大数据、云计算为支撑,依靠网络,操作电脑、手机等接入的终端设备,随时随地便能完成资金融通、支付、投资、理财和信息中介等金融服务的一种新型金融运作模式。由于它基于网络,使得金融业务具备了“透明度强、参与度高、协作性好、中间成本低、操作便捷”等特征。任何涉及广义金融的互联网应用,都可称为互联网金融。目前,互联网金融主要包括网络支付结算、网络借贷、股权众筹融资和网络证券等十余种业务。其中网络支付结算、网络借贷、网络融资发展最快,它的运营场所、运营方式看不到、摸不着,能7x24小时运行,用户只需使用网络接入终端,便能自行完成业务操作,为用户提供了“全方位、差异化、个性化、多元化”的3A(Anytime、Anywhere、Anyhow)混业金融服务,具有“虚拟化、一体化、高效性、直接性、普惠性与风险性”六大特征。互联网金融风险是指从业机构在经营过程中,由于制度因素和非制度因素致使资金、财产、信誉等遭受预期、非预期或灾难性损失的可能性。它既有道德、市场、6******************************I信息安全信用等各类风险,又有网络技术的新特征:一是由于使用了计算机与网络技术,信息安全风险无处不在,防不胜防,信息安全风险极高;二是络节点出现微小的差错或风险,便能快速地传播、聚集、放大到局部乃至整个行业,具有超强的传染性与感染性;三是完全虚拟化、不可预知、隐蔽性强。互联网金融在提供便利的同时,易引发影响更大、更广、更深的金融风险,防范与处置复杂度及难度极大。二、我国互联网金融的监管现状我国实行的是“分业经营、分业监管”,一是对实质上已实现混业经营的互联网金融企业,没有明确监管机构;二是法律法规不健全,对互联网金融的准入、退出、犯罪及信息披露等没有明确的规定;三是从业机构未建立完善的内控体系,没有压力测试及风险评估体制,对每项业务的潜在风险,不能提前识别,不能运用风险分散、对冲、转移、规避和补偿等措施进行有效管理与控制。互联网金融已进入快速发展阶段,其隐藏的风险也与日俱增,必须高度重视。对其监管已刻不容缓,已成为互联网金融乃至整个金融体系稳定健康发展的决定性因素。三、互联网金融的信息安全风险目前,互联网金融信息安全主要存在如下风险:(1)核心技术风险。互联网金融信息系统的部分高端设备与核心软件都来自国外,缺乏具有自主知识产权的硬件设备与管理软件,系统开发与集成能力差,缺乏互联网金融信息安全的法律法规,安全标准与技术规范不全。(2)数据信息风险。互联网金融是建立在数据中心、云计算与大数据基础上的信息挖掘、分析与共享,目的是实现科学的预测与合理的判断。随着交易的爆炸式增长,从业机构要对客户线上线下交易等各方面信息进行广泛、全方位地搜集,通过相关数据模型,科学分析并保存。对这些海量信息管理不当,会造成客户个人隐私信息的“泄露、丢失”。很多从业机构没有在“采、传、存、密、用、毁”等各环节建立起保护大数据的有效机制,使得数据信息风险日益加剧。(3)骇客攻击。网络是开放的,骇客能随时攻击含有大量客户个人与账户信息的各类网站,窃为己有。现在,全国平均每天都有一个P2P平台(网络借贷)因受到骇客攻击面临倒闭。据世界反骇客组织的通报,中国的P2P平台已成为全世界骇客宰割的羔羊。(4)漏洞与缺陷风险。系统软件存在各种漏洞与设计缺陷,后果可怕。据乌云平台统计,仅P2P平台自2014年1月〜2015年8月共发现、收到402个漏洞报告。其中,有226个属影响资金安全的高危性漏洞,占比高达56.2%。有些系统缺陷会导致系统瘫痪与崩溃。(5)病毒与协议安全风险。病毒能通过网络快速扩散,一旦感染传播,整个互联网金融的交易都会受到威胁,严重时会出现系统性金融风险。现广泛使用的TCP/IP等协议只注重信息沟通的流畅性,没有加密措施,安全性欠缺,极易导致数据在传输时被截获和窥探,最终造成交易主体的信息丢失与资金损失。(6)密码风险。部分客户的密码过于简单且长期不变,如对于将自己所有账户设置为同一密码的安全级别较低的类别。骇客一旦攻破一个账户,等于击破客户所有的“防线”,便能轻易盗走客户的信息、验证码,并最终转账、盗刷客户的资金并变现。目前,全国共有2300万台家用路由器篡改过DNS(负责域名到IP地址的映射),5100万台家用路由器未修改出厂时设置,风险隐患极大。四、互联网金融信息安全的监管与防范互联网金融监管的出发点是实现便利性、普惠性与安全性的有机统一,目的是在促进金融体系健康发展的同时,保护好金融消费者的合法权益。其信息安全的监管与防控重点如下。1.明确互联网金融信息安全的监管主体(1)成立专门监管机构,组建管理体系。要从国家安全的战略高度,成立专门的互联网金融监管机构,颁布相关的法律法规,编制全国统一的信息安全规则。加快人才培养与投入,提高信息与安全领域的技术研发、制造与系统集成能力,采用自主可控的核心软、硬件系统,制定互联网金融各种业务的管理办法与监管规则。现阶段互联网金融的监管应由央行负责。其信息安全的监管要在央行科技部门的牵头下,统筹协调,组建互联网金融信息安全工作的组织管理体系,制定互联网金融的技术与信息安全标准。按照“谁运行谁负责安全”的原则,明确信息安全工作的责任主体,全面落实信息安全的防护规范。(2)实施安全审批与准入机制。任何一个从业机构,在开业前或预开展一项新业务时,先向安全监管部门上报业务系统的技术。由监管部门对进行安全分析与风险评估。只有满足了安全标准,才能上线运营。凡信息安全不达标的不得入网,不得开展互联网金融业务。(3)监管部门通过网络或现场检查方式,对互联网金融行业进行动态监测,实时了解掌握每个运行平台的运营状况,及时掌控全行业存在的安全隐患,将发现的问题、漏洞、隐患、防范处置措施等通知从业机构、发布到专门的网站上,进行必要的信息披露及预警提示,通过惩罚机制,限期整改,勒令严重者停业整顿,直至关闭。(4)人民银行联合其他部委,在旧系统的基础上,建立全国统一、完整、全新的征信系统,为全社会提供实时、完整、可靠、公正、准确的信用报告。新系统不仅能实时更新升级,更要防止客户信息的泄密、盗用、破坏、滥用与丢失。(5)实施身份认证。监管部门要依托《中华人民共和国电子签名法》,建立第三方电子商务身份认证体系。为互联网金融提供“全程、核心、实时”的网络的认证服务,实现交易中的身份认证、电子签名、交易不可抵赖,确保交易信息的可靠性与权威性,有效保障交易的真实性。2.互联网金融从业机构内部的信息安全防控从业机构须强化内部管理,完善内部组织结构和规章制度,制订业务操作规程,建立完整的风险防控机制,严格遵守公司治理章程、行业自律规则及互联网金融的技术与信息安全标准。从以下方面做好内部的信息安全工作:(1)成立信息安全的管理机构。每个从业机构的经理是本单位信息安全的第一责任人,安排一名副总,专门负责信息化与信息安全工作,并成立以经理为组长的信息安全工作领导小组,明确本单位信息安全工作的职责、任务及目标。结合系统特征,制定“数据中心、业务平台、网络”等各系统的信息安全防护制度、实施细则及“计算机病毒、系统堵塞、业务系统、网络系统、骇客攻击、灾备切换、防火、UPS电源”等涵盖全部业务的《信息安全突发事件应急处置预案》,装订成册,人手一套,严格执行。每年制定方案,组织演练。不断完善制度、预案,提高处置能力。(2)将系统的“数据库、业务平台、网络”等每个子系统,按安全的重要性进行等级划分,将各部分信息安全工作的目标任务,责任到部门、到人,并签订年度《信息安全目标责任书》,实施等级保护。(3)系统采用一主一备双线热备自动切换模式。业务系统用一套路由器、交换机,内部管理用另一套,二者通过防火墙实现有条件的联接。按需求对路由器进行“安全访问控制、划分虚拟子网、实施定期监控和QoS保障”等各种安全策略配置。(4)系统的数据库、运行平台、网络系统、UPS电源等关键设备,均采用双机热备自动切换模式。每台服务器安装两块以上大容量热插拔硬盘,进行实时备份。采用前置机模式,以隐藏服务器地址,使外部无法随便访问,实现“”上的隔离。配专门网络版防病毒服务器,按时升级,实时查杀。定时做好系统的远程异地灾备,确保系统能快速地切换与恢复。系统的拓扑结构如图1所示。(5)安排人员全天24小时监控整个系统的运行及安全状况,查看相关网站,了解最新的安全隐患与防治措施。发现问题及时处置、登记上报。仅允许核心人员操作“运行平台、数据库、网络”等关键部位。系统的前台,严格划分操作权限,实行密码管理,严禁交叉操作,防止“一手清”。(6)密码、密钥等要专人登记,专柜保管。凡敏感数据,需使用HTTPS(安全套接字层超文本)或SET(安全电子交易)等加密协议,以解决持卡人、商家、支付网关、认证中心、互联网金融、信用卡结算中心之间的数据加密传输与CA认证问题。防止敏感数据被第三方获取、冒充或篡改,实现整个交易过程中的数据保密、资料完整及身份认证。(7)开发相关应用软件,实现手机绑定、动态口令和验证码等各种安全引擎与工具,全方位提高互联网金融的安全性。3.互联网金融客户端的安全防控客户在具体操作过程中必须使用各种安全工具,做好安全的自我防护,使自己的资金与交易更安全:(1)安装正版的操作系统、防病毒、客户端及防火墙等软件系统,及时打好“补丁”。防病毒软件设成开机自动查杀与实时升级模式。严禁打开会造成“系统瘫痪、篡改文件、资料与资金被盗”的“程序包、压缩文件、图片、视频”等软件。合理设置路由器。(2)所有密码按类别分别设置成英文字母与数字混合的长密码(至少6位),尽量避免不同账户使用统一密码。要保管好自己的密码、口令、账号和USBKey等,做到定期更换。(3)按金融机构的要求,在电脑与手机上安装使用动态验证码与U盾等各种网络安全支付工具。不轻信任何套取账号与密码的行为。若泄露,立即报停、修改。在输入密码,接收短信口令与验证码前,务必确认显示的“手机或身份证号”为本人的号码。不轻信收到的“中奖、还款”等短信或电话。交易未完成前,中途不能离开交易终端,交易完成后立即“退出”系统。退出网银或暂时离开终端时,一定将自己的U盾带走。开通互联网金融的“短信提醒”功能,让账户的任何变动,马上“提醒”自己。发现异常,立即联系银行,采取措施。综上所述,互联网金融是政府、监管方、运行方与客户共赢的新生态,不是滋生风险的源头,是风险可测、可控的全新模式。对互联网金融的风险,尤其信息安全风险,须这四方共同防控。国家层面要做好保障,明确监管主体,通过立法,颁布相应的法律法规与管理规定,规范其发展;监管部门负责制定行业

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论