银行业信息安全管理实践-工行张艳
中国银行业“换心”之道——打造新一代核心业务系统建设国际一流IT银行
也 提 出 了更 高 的要 求 。这 些 都 要
求 工 行 的核 心 系统 具 备灵 活 、高
二 、第 四代应用 系统建 设成 果
建立 了投 资理财综 合业务平台 ,支
工行第 四代应 用系统建 设2 0 持柜面 、电子 银行 、白助机具等多 08
现 ,为全行各项改革和业 务发展提供了更加强大的应用
系统 平 台。
1 FAcL oPTR F HA 6 I Nl MuE l N Ac o cN
籀
I pc l o i l ei p S aT c
在 此背 景下 ,工行开始规 划并 持 。在 此基础 上 ,形成 以客户综合
足国际化和综合化 的发 展战略 、支 综合化战略发展 的需要和各项 改革 对独立 的核算体 系 ,实现核 算处 理 持业务流程再造 、深化 全面风险管 要求 ,取得了以下几个方面 的重大 与产品系统 的松耦合 ,支持账 务上 理 、提升财务管理 以及绩效考 核管 突 破 。 收 ,核算级次调整 ,机构撤并 、拆
现 出个性化 、多样化的特点 ,商业 则 ,计划利用3 4 的 时间逐步 构 献评价体 系 ,并 基于统一评价提供 -年
银行面临 着更为激烈的市场竞争 。
建 起 具有 灵 活 性 、先进 性 、高 性 个性化 的服 务与产品。 目前 ,工行
与此 同时 ,随着银行信息化程度不 能 、抗风 险 的应 用 架 构体 系 ,实 个 人网银客户四星级以上客户在个 断提高 ,监管 部 门对商业银行信息 现 “ 户视 图统 一 、核 算 相 对 独 人 网银渗透率超过4 %。 1 客 科技风险 管理以及信息系统连续性 立 、 产 品 灵 活 配 置 、 境 外 应 用 一
银行客户信息安全管理—以中国工商银行裕华支行为例
银行客户信息安全管理—以中国工商银行裕华支行为例摘要近年来,随着客户经常使用的电子银行与电子商务银行的日益普遍,银行的客户对信息泄露不敏感的现象急剧上升。
如何合理的保护银行客户的信息安全意识,已经是放在我们面前的重要难题。
对银行客户信息安全的管理从基础的方面上已经拥有适合现代化商业银行和电子银行要求的信息科技体系和制度,使中国的金融集团特别是商业集团面对促进管理体系、服务体系和核心竞争力的环节有着较为强烈的提升,然而还有许多地方存在着细小的不足。
如何加强工商银行的客户信息安全管理水平,面对各类严重的信息安全风险和威胁,已成为至关重要的课题,本文以中国工商银行裕华支行为例,剖析客户信息安全问题,提出相应的解决方法。
本文围绕中国工商银行客户信息安全管理的问题展开剖析,通过分析现有的实例进行分析。
开篇提出客户信息安全管理的重要性,发展现状。
选择中国工商银行裕华支行的具体实例进行分析,发现工商银行的客户信息安全管理的优点以及存在的问题,包括银行内部员工对客户信息安全的管理松懈,信息传送过程中未加密,未经客户许可将客户信息私自买卖,个人授权书保管不规范的问题做出相应的分析,并提出对应的解决办法。
加强信息安全管理的建设,工商银行信息安全的风险管理必须与银行本身业务相结合,建立全方位的管理和防控。
关键词:银行客户信息;信息安全管理;问题与研究ABSTRACTIn recent years, with the increasing popularity of e-banking and e-commerce Banks, which are often used by customers, the phenomenon that bank customers are not sensitive to information leakage has risen sharply. How to reasonably protect the information security consciousness of bank customers has been an important problem in front of us. For bank customer information security management from the aspects of basic have suitable for modern commercial Banks and the requirements of the electronic banking information system and the system of science and technology, China's financial group, particularly for business groups to promote management system, service system and the improvement of the core competitiveness of link has a relatively strong, but there are many places there are tiny. How to strengthen the customer information security management level of industrial and commercial bank of China, facing all kinds of serious information security risks and threats, has become a crucial topic, this paper takes yuhua branch of industrial and commercial bank of China as an example, analyzes the customer information security problems, and puts forward the corresponding solutions. This paper analyzes the problems of customer information security management of industrial and commercial bank of China by analyzing existing examples. The first chapter puts forward the importance of customer information security management, development status. Choose theconcrete living example of yuhua branch of industrial and commercial bank of China is analyzed, found that customer information security management of the industrial and commercial bank of advantages and existing problems, including bank employees lax for customer information security, unencrypted information transmission process, without the consent of the customer, the customer information to buy and sell, personal authorization takes care of the non-standard problem makes the corresponding analysis, and put forward the corresponding solutions. To strengthen the construction of information security management, icbc's information security risk management must be combined with the bank's own business to establish an all-round management and prevention and control.Keywords:Bank customer information ; Information security management ; Problems and research目录1前言 (1)1.1研究背景 (1)1.2研究目的 (1)1.3研究意义 (1)2银行客户信息安全管理的概述 (1)2.1银行客户信息安全管理的定义 (1)2.2银行客户信息安全管理的发展状况 (2)3中国工商银行裕华支行客户信息安全管理的现状 (2)3.1中国工商银行裕华支行简介 (2)3.2中国工商银行客户信息安全管理情况的调查分析 (2)3.3中国工商银行裕华支行客户信息安全管理的现状 (3)3.3.1建立完善的客户信息安全管理体系 (3)3.3.2以顾客为核心的思想 (4)4工商银行客户信息安全管理存在的问题 (4)4.1银行对内部员工管理松懈 (4)4.2客户信息风险评估专业化有待提高 (4)4.3转送信息途中对客户信息未进行加密操作 (5)4.4个人授权书的填写和保管不合规范 (5)5工商银行裕华支行客户信息安全管理的解决办法 (5)5.1加强内部人员对客户信息的安全保护意识 (6)5.2确保客户信息风险评估专业化 (6)5.3客户信息转送过程中进行EDLP加密 (6)5.4规范填写客户信息授权书 (7)6结语 (7)参考文献 (8)1前言1.1研究背景这几年,我国的客户信息的价值在商业方面有了进一步的显现,各种各样的客户信息倒卖现象也出现了,在利益的驱使下,银行的员工和外部不法分子相互勾结,盗取和倒卖客户信息,谋取私利,使客户利益受到严重损害,给各大银行造成了不同程度的负面影响。
银行信息安全管理经验材料经验交流
银行信息安全管理经验材料经验交流银行信息安全管理是一个重要的课题,以下是我个人在此方面的一些经验材料:1. 建立完善的信息安全管理体系:银行作为一个大型金融机构,拥有大量客户的敏感信息,因此建立一个完善的信息安全管理体系非常重要。
这包括确定信息安全政策、流程和标准,制定相关的安全措施和控制措施,并建立一套有效的风险评估和管理机制。
2. 加强员工的信息安全意识培训:员工是信息安全的第一道防线,因此银行需要加强员工的信息安全意识培训,使其了解信息安全的重要性,并掌握相关的安全操作和措施。
可以组织定期的培训和考核,以确保员工的信息安全意识水平。
3. 建立有效的网络安全防护措施:银行的信息系统是最容易受到攻击的目标之一,因此需要建立有效的网络安全防护措施。
这包括完善的防火墙、入侵检测系统、网络流量监控系统等技术手段,以及建立安全的网络架构和访问控制策略。
4. 加强对关键业务系统的安全监控:银行的关键业务系统是最需要保护的对象,因此需要加强对这些系统的安全监控。
可以使用安全信息和事件管理系统(SIEM)等技术手段,对系统的安全事件进行实时监控和分析,并及时做出相应的响应措施。
5. 建立有效的漏洞管理和应急响应机制:银行的信息系统存在着各种漏洞和安全风险,因此需要建立有效的漏洞管理和应急响应机制。
可以定期进行漏洞扫描和安全评估,及时修复系统中存在的漏洞,并建立应急响应小组,对安全事件进行快速响应和处置。
6. 加强与供应商的安全合作和监管:银行的信息系统往往涉及到多个供应商的产品和服务,因此需要加强与供应商的安全合作和监管。
可以要求供应商提供相关的安全合规证书和承诺,并进行定期的安全评估和监督。
以上是我在银行信息安全管理方面的一些经验材料,希望对你有所帮助。
以科技促创新,打造可持续发展的IT能力
以科技促创新,打造可持续发展的IT能力李庆莉【摘要】近年来,我国银行业信息化建设快速发展,金融科技在保障金融安全、促进金融创新、拓展服务渠道、优化业务流程等方面发挥了重要作用。
在日前举办的2011第十二届中国金融发展论坛的“科技引领未来,智慧服务民生”分论坛上,来自中国人民银行和各大型商业银行的信息科技部门负责人就银行业信息化建设成就、科技引领战略的实施、大型商业银行IT建设的经验和挑战以及科技促进业务创新等话题展开深入讨论。
【期刊名称】《中国金融电脑》【年(卷),期】2011(000)010【总页数】5页(P16-20)【关键词】金融创新;科技部;可持续发展;IT;中国人民银行;信息化建设;能力;金融安全【作者】李庆莉【作者单位】《中国金融电脑》编辑部【正文语种】中文【中图分类】F832.33近年来,我国银行业信息化建设快速发展,金融科技在保障金融安全、促进金融创新、拓展服务渠道、优化业务流程等方面发挥了重要作用。
在日前举办的2011第十二届中国金融发展论坛的“科技引领未来,智慧服务民生”分论坛上,来自中国人民银行和各大型商业银行的信息科技部门负责人就银行业信息化建设成就、科技引领战略的实施、大型商业银行IT建设的经验和挑战以及科技促进业务创新等话题展开深入讨论。
李晓枫:金融业应充分利用信息化手段“十二五”时期是我国全面建设小康社会的关键时期,是深化改革、加快转变经济发展方式的攻坚时期。
中国人民银行科技司巡视员李晓枫在致辞中指出,金融业应该充分利用信息化的手段,继续丰富金融服务方式、拓宽服务领域、整合服务渠道、创新服务产品、延伸服务范围、提升服务效率,从而促进社会金融环境和服务水平的不断提高,着力推进金融服务创新和产品创新。
李晓枫说:“现代金融是高科技的金融,金融创新需要科技先行。
金融危机改变了世界经济格局,新兴市场经济国家,特别是中国,将在国际经济金融事务当中发挥更大的作用。
当前,国内经济发展方式加快转变,工业化、信息化、国际化趋势明显,为金融业改革和发展提供了很好的条件。
信息安全保护策略在银行系统中的实践
信息安全保护策略在银行系统中的实践随着银行系统的数字化转型,信息安全的重要性日益凸显。
银行系统搭载了大量用户的敏感信息,如账户、密码、财务资产等,而这些信息一旦遭受到黑客攻击,后果将不堪设想。
因此,银行系统必须制定完善的信息安全保护策略,以确保用户的资产和信息安全。
一、银行系统中的信息安全保护策略1.1硬件安全保障银行系统的服务器和网络设备需要安装在单独的机房内,并配备专人进行管理和维护;同时要防止非授权人员进入这些环境,使用门禁系统或视频监控设备加强安全保障。
1.2数据备份与恢复银行系统需要定期备份数据,对重要数据需要进行备份磁带、光盘等独立存放。
如发生攻击,数据集中存储的服务器面临数据被破坏、丢失等风险,导致数据恢复长时间无法实现。
1.3数据加密保护技术银行系统需要使用SSL协议、 VPN加密技术等加密手段,确保数据在传输、存储和处理过程中得到保护。
此外,对于有特殊需求的用户,可以使用加密U盾、动态口令等进行二次加密,以更好地保障用户的账号信息安全。
1.4弱口令屏蔽与密码复杂度管理银行系统要规定用户密码应包括大写、小写和数字等元素,并设定合理的密码长度;对密码过于简单或者弱的应设定屏蔽机制,保障银行系统的密码复杂度安全。
1.5安全审计银行系统应建立人工和自动化的安全审计机制,实时监控系统的日志信息和安全事件,及时发现和处理安全风险。
二、银行系统中的信息安全保护实践2.1信息披露银行系统应该将系统的安全状态信息及风险信息主动公示,避免安全套利。
因此,公开安全状态和风险状态,保障用户的知情权及做出个人合理选择。
2.2短消息验证银行系统可以将提示信息发送到银行的注册信息中,然后让用户自己在手机上验证,这样能够有效的保护用户的安全。
2.3指纹密码银行系统可以提供指纹密码的验证方式,加强登录验证,提高系统的安全性。
2.4风险保险银行系统可以向客户购买网络安全保险,以减轻网络威胁造成的损失。
同时,便于提高银行的服务品质。
工商银行信息安全工作总结
工商银行信息安全工作总结
近年来,随着互联网金融的快速发展,信息安全问题也日益凸显。
作为我国领
先的银行之一,工商银行一直以来都高度重视信息安全工作,不断加强安全防范措施,保障客户的资金和信息安全。
在过去的一段时间里,工商银行信息安全工作取得了显著成绩,现总结如下:
一、加强技术防范,提升安全防护能力。
工商银行不断引进先进的信息安全技术,建立了完善的安全防护系统,包括网络防火墙、入侵检测系统、数据加密技术等,有效防范了网络攻击和数据泄露风险。
二、加强内部管理,提高员工安全意识。
工商银行通过加强内部培训,提高员
工对信息安全的认识和重视程度,建立了完善的内部安全管理制度,加强对员工的监督和管理,确保员工不泄露客户信息。
三、加强风险评估,建立应急响应机制。
工商银行建立了完善的信息安全风险
评估体系,对各种可能的安全风险进行全面评估和预警,同时建立了应急响应机制,一旦发生安全事件能够迅速响应并采取有效措施。
四、加强合作,共同应对安全挑战。
工商银行积极与国内外信息安全机构合作,加强信息共享和技术交流,共同研究解决信息安全问题,提升整体安全防护能力。
总的来说,工商银行信息安全工作取得了显著成绩,但是在信息安全形势日益
严峻的背景下,工商银行还需要不断加强信息安全工作,持续提升安全防护能力,确保客户资金和信息的安全。
希望工商银行未来能够在信息安全领域取得更大的成就,为客户提供更加安全可靠的金融服务。
银行业信息安全管理实践工行张艳
银行业信息安全管理实践ICBC中国工商银行2017年7月内容提要一、银行业面临的信息安全挑战二、工行信息安全管理实践三、相关建议银行业安全威胁持续升级挑战安全威胁持续升级地下黑色产业链已成规模 ⏹ 诈骗集团化、专业化。
不法分子综合利用各种手段,分工协作,形成产业链条。
⏹利用黑产大数据分析,对客户实现精准诈骗。
新技术带来新的安全挑战⏹云平台资源的复用给数据有效隔离带来新的挑战⏹海量数据成为外部黑客攻击、内部信息泄露的重要渠道.⏹大量智能设备存在较多安全隐患。
新业务带来更大挑战⏹ 随着外部合作增加,接入渠道多,遭受外部攻击风险增大⏹ 随着APP 等新业务推广,网络边界已模糊,边界安全防范难度增大⏹随着金融线上线下融合,使得风险更加容易传导⏹随着国际化综合化深入,风险领域逐步扩大。
攻击手法不断升级 ⏹ DDOS 攻击⏹ APT 攻击、鱼叉攻击、水坑攻击、0-day 攻击 ⏹ 拖库、撞库、洗库通用软硬件和企业自身软件漏洞频繁被曝出 ⏹操作系统、第三方通用软硬件等高危漏洞频发⏹ 各企业网站系统等被频繁曝出高危漏洞信息泄露事件层出不穷⏹ 企业内部员工信息泄露、内外部勾结买卖客户信息事件频发。
⏹ 企业网站系统存在漏洞导致信息泄露事件不断发生攻击手法不断升级银行APT攻击撞库拖库洗库0day漏洞利用APT攻击导致银行遭受巨大损失2016年媒体披露孟加拉央行SWIFT系统被盗走8100万美元2016年媒体披露乌克兰某银行SWIFT系统被盗走1000万美元2015年香港某行遭遇DDoS攻击导致网上银行服务缓慢DDOS攻击导致银行网银服务异常2015年芬兰银行遭遇长时间DDOS攻击无法提供在线服务2015年部分国内金融企业网站被撞库,不法分子窃取客户信息进行诈骗利用撞库、银行网站漏洞窃取银行客户信息2015年某国内银行网站系统存在漏洞,导致客户信息泄露地下黑色产业链已成规模1998年 攻击对象:客户PC攻击手段:不法分子或利用银行正常业务,或通过病毒、木马、钓鱼网站等盗取客户资金。
FinTech时代r信息安全的挑战及应对
FinTech时代r信息安全的挑战及应对
张艳
【期刊名称】《中国金融电脑》
【年(卷),期】2017(0)8
【摘要】FinTech时代的到来,对于银行业是巨大的挑战,也是难得的机遇,工商银行将继续围绕从边界防御转向全面防御、从被动防护转向主动防护、从使用传统工具防护转向利用大数据技术和安全技术结合防护的总体策略,持续优化信息安全管理体系。
【总页数】5页(P12-16)
【作者】张艳
【作者单位】中国工商银行信息科技部
【正文语种】中文
【相关文献】
1.迎接FinTech时代安全挑战,创新信息系统风险管理思路 [J], 北京银行软件开发部
2.数字时代的个人信息安全与挑战——网络个人信息安全隐忧的成因研究 [J], 刘丹丹
3.FinTech在地方金融监管体系构建中的影响、挑战及应对 [J], 张倩
4.从"透明人"到"践行者":高校信息安全面临的挑战与应对
——《2021地平线报告(信息安全版)》之启示 [J], 李艳;陈新亚;孙丹;朱雨萌;翟雪松
5.后疫情时代全球高校信息安全六大挑战
《2021年EDUCAUSE地平线报告——信息安全版》分析(上) [J], 刘芝兰;刘永贵;刘瑞
因版权原因,仅展示原文概要,查看原文内容请购买。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
银行业信息安全管理实践ICBC中国工商银行2017年7月内容提要一、银行业面临的信息安全挑战二、工行信息安全管理实践三、相关建议银行业安全威胁持续升级挑战安全威胁持续升级地下黑色产业链已成规模 ⏹ 诈骗集团化、专业化。
不法分子综合利用各种手段,分工协作,形成产业链条。
⏹利用黑产大数据分析,对客户实现精准诈骗。
新技术带来新的安全挑战⏹云平台资源的复用给数据有效隔离带来新的挑战⏹海量数据成为外部黑客攻击、内部信息泄露的重要渠道.⏹大量智能设备存在较多安全隐患。
新业务带来更大挑战⏹ 随着外部合作增加,接入渠道多,遭受外部攻击风险增大⏹ 随着APP 等新业务推广,网络边界已模糊,边界安全防范难度增大⏹随着金融线上线下融合,使得风险更加容易传导⏹随着国际化综合化深入,风险领域逐步扩大。
攻击手法不断升级 ⏹ DDOS 攻击⏹ APT 攻击、鱼叉攻击、水坑攻击、0-day 攻击 ⏹ 拖库、撞库、洗库通用软硬件和企业自身软件漏洞频繁被曝出 ⏹操作系统、第三方通用软硬件等高危漏洞频发⏹ 各企业网站系统等被频繁曝出高危漏洞信息泄露事件层出不穷⏹ 企业内部员工信息泄露、内外部勾结买卖客户信息事件频发。
⏹ 企业网站系统存在漏洞导致信息泄露事件不断发生攻击手法不断升级银行APT攻击撞库拖库洗库0day漏洞利用APT攻击导致银行遭受巨大损失2016年媒体披露孟加拉央行SWIFT系统被盗走8100万美元2016年媒体披露乌克兰某银行SWIFT系统被盗走1000万美元2015年香港某行遭遇DDoS攻击导致网上银行服务缓慢DDOS攻击导致银行网银服务异常2015年芬兰银行遭遇长时间DDOS攻击无法提供在线服务2015年部分国内金融企业网站被撞库,不法分子窃取客户信息进行诈骗利用撞库、银行网站漏洞窃取银行客户信息2015年某国内银行网站系统存在漏洞,导致客户信息泄露地下黑色产业链已成规模1998年 攻击对象:客户PC攻击手段:不法分子或利用银行正常业务,或通过病毒、木马、钓鱼网站等盗取客户资金。
攻击对象:客户PC 、智能终端攻击手段:假冒APP 、木马拦截短信、伪基站等方式窃取客户资金,除了PC 、智能终端渠道,还利用第三方快捷支付渠道窃取客户资金。
攻击对象:客户PC 、智能终端攻击手段:诈骗趋向集团化专业化,不法分子综合利用各种手段,分工协作,形成产业链条。
且利用黑产大数据分析,对客户实现精准诈骗。
移动互联时代到来 快捷支付掀起热潮针对银行和银行客户的黑色产业链形成2011年 2014年钓鱼短信传统金融 互联网化通用软硬件漏洞频发基础应用和通用软硬件产品部署广泛,近年里更是频繁有漏洞爆出,影响巨大。
2014年“心脏出血”爆发3天时中国仅有18%的修复率,远低于全球平均的40%; 2015年苹果开发工具X-code 被植入恶意代码,国内数百款知名APP 收到感染;2015年国内某知名公司开发的公共套件中存在WormHole 漏洞; 2016、2017年Struct2多次爆出存在高危漏洞,需要及时进行修复。
心脏出血漏洞苹果X-code 被植入恶意代码 某公司公共套件存在WormHole 漏洞 Structs2多次爆出高危漏洞信息泄露风险仍是商业银行必须面对的痛点✓内部员工信息泄露风险将严重威胁银行客户信息安全。
近年来公安部破获了部分和银行内鬼相关的案件,在抓获犯罪嫌疑人中,就包含内部员工。
✓部分企业网站系统存在漏洞导致信息泄露事件,部分泄露信息中包括银行卡、帐户等敏感信息。
技术创新应用引发新威胁云计算 大数据移动互联网物联网恶意程序迅速增长资源的复用给数据有效隔离带来新的挑战 局部节点安全风险可能传导到同一资源域的其他节点。
海量数据成为外部黑客攻击、内部信息泄露的重要渠道,给安全防护带来新挑战。
大量智能设备仍然存在传统低级安全隐患,如弱密码写入代码、管理地址暴露等。
新业务带来更大挑战✓由于业务条线多、功能复杂,每项业务功能存在的安全隐患可能无法及时发现; ✓互联网金融发展使得新产品新业务快速推出,存在的安全隐患可能未及处置,便暴露在互联网环境下;✓随着地下产业链已经规模化、集团化发展,不法分子对个别银行业务以及业务隐患的了解可能要比银行业务人员更加深入。
电子商务网上银行。
。
银行业务线手机银行新兴业务。
内容提要一、银行业面临的信息安全挑战二、工行信息安全管理实践三、相关建议应对措施1——构建全面的信息安全防御体系治理体系⏹组织与机制⏹制度与技术规范体系⏹方针和策略管理体系⏹人员安全⏹分级与保护⏹安全监控与处置⏹第三方与外包安全⏹安全评估和评价⏹安全检查和审计⏹项目与工程安全技术体系⏹物理安全⏹网络与通讯安全⏹系统安全⏹终端安全⏹数据安全⏹应用安全⏹身份认证与集中授权⏹密码技术和密钥管理管理体系技术体系治理体系应对措施2——制定信息安全防御目标及策略⏹总体目标:实现“外部有效防御”和“内部完备防护”保障信息系统安全运行保证客户交易过程资金和信息的安全⏹总体策略:从边界防御转向全面防御由被动防护转向主动防护由使用传统工具防护转向利用大数据技术和安全技术结合应对措施3 ——全面构建网络与信息安全通报机制高度重视多部门联合全员参与运转有效信息科技管理委员会主管,健全组织机构和制度流程,下发《网络与信息安全通报机制规程》,全面推进此项工作。
各部门负责处置涉及本专业相关的信息安全风险、做好日常管理,指定通报机制成员,负责日常联络、协调积极跟进国家安全政策要求,研究网络安全法等相关安全法案在企业的落实措施。
持续开展热点安全问题跟踪研究。
持续改进信息科技部、内控合规部、办公室、管理信息部共同负责通报机制的建设,推动集团信息安全各项工作开展。
及时通报、预警、并协调处置集团内外重大信息安全风险,如struts2、Wannacry病毒等,有效督促落实信息安全措施应对措施4 ——认真贯彻落实国家安全法,提升安全管理认真解读对标整改跟踪落实做好宣贯从总则、网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任等角度对《网络安全法》进行认真分析解读。
从落实网络安全等级保护制度、关键信息基础设施保护、网络安全监测预警、安全事件应急处置与演练、个人信息保护以及内部安全审计等六大方面逐条对标,我行已基本落实了《网络安全法》的各项要求,对于个别不符合要求的情况也已组织形成了落实措施。
主管行领导撰文对网络安全法落实进行推动;多次举办网络安全法专题讲座;积极参加国家网络安全部分举办的研讨、讲座;积极跟踪网络安全法配套法规的发布、执行。
应对措施 5 —— 建立三道安全防线应对风险隐患构建信息安全管理三道防线, 层次化落实安全风险防控系统安全应用研发安全信息保护保密管理安全策略 安全评估 安全检查 安全规划第三道防线内部审计部门第二道防线信息安全风险管理部门 (总行科技、内控、管信、办公室)安全态势报告 网络安全通报机制信息安全审计第一道防线信息安全日常管理部门 (各中心、分行)日常工作过程中的安全管控、处置应对措施6 —— 培养一支专业的信息安全队伍2004年首次建立工行自己的信息安全专业团队开展网站安全检测 负责分析安全事件2009年 拓展安全团队工作范围应用版本安全测试和专项安全评估工作;开展新技术安全技术研究工作;自主研发安全监测工具,如假冒网站监测工作。
2016年开展信息安全团队优化提升扩充安全团队人员,由一支安全团队扩充到一部三中心、各分行。
按照软件生命周期管理环节,全面建设工行信息安全专业团队,形成团队合力,提升整体安全防护能力。
应对措施7 —— 采用一体化的安全监测和处置措施防范外部攻击网络边界控制终端安全防控 应用安全加固 威胁情报异常文件动态检测流量异常检测终端异常检测服务器异常检测病毒查杀 用户管控 ....... 漏洞修复 应用恢复 预防 检测响应恢复策略联动下发分析结果安全事件全生命周期管理安全策略全生命周期管理安全漏洞全生命周期管理 威胁情报大数据分析平台(IT 数据池)用户交互服务器管控 终端隔离物理边界控制数据安全保护密码技术防护系统安全保护身份认证与权限控制信息安全运营中心(SOC )安全态势分析与预警......边界阻断 系统恢复安全策略优化........应对措施8 ——建设完整的内部安全防护体系防范内部安全风险终端安全防护⏹终端完整性保护⏹终端准入控制⏹终端网络访问控制⏹终端外设控制网络与通讯安全防护⏹内部网络边界防护⏹网络准入控制⏹网络访问控制系统安全防护⏹系统完整性保护⏹系统准入控制⏹系统访问控制数据安全保护⏹业务系统数据安全保护⏹数据完整性保护⏹电子文档安全保护⏹信息防泄漏监测与扫描⏹移动存储加密身份认证与权限控制⏹账户管理⏹身份认证⏹权限控制⏹审计记录内部安全防护应对措施9 —— 建立了完善的电子银行的事前事中应用安全防护体系 ●终端安全检查 ●登录密码、卡密码 输入加密保护●登录弱密码检查 与控制,登录失败次数超限控制 ●图形验证码●密码等敏感数据加密存储和传输●手机号等敏感信息屏蔽显示 ●缓存数据清理●交易认证:短信、口令卡、密码器、U 盾 ●交易防篡改、防伪造、防重放(密码器、U 盾、安全功能等)●代码混淆●代码签名 ●完整性检查 ●敏感信息存储●防钓鱼(控件)●防病毒(小e 安全检测)客户端安全登录认证 数据安全交易安全 ●高风险交易 监控及处理 ●可疑账户和登录监控及处理风险监控应对措施10 —— 采用交易全流程安全防护措施防范外部欺诈风险交易事中监控交易事前控制交易事后分析图形验证码 可信终端检查交易安全介质保护 位置定位 防钓鱼控件、防病毒控件建设风控防控系统交易防篡改 融e 联余额变动提醒敏感信息加密传输预留验证信息 交易限额 登陆失败次数限制 融安e 信系统:黑名单布控,全渠道拦截电信诈骗 电子银行反欺诈系统、银行卡反欺诈系统:利用大数据技术和监控模型对异常交易实时预警干预。
人工电话核实建模与风险挖掘拖库风险建模与挖掘 web 威胁建模与分析 撞库风险建模与挖掘 交易异常操作建模与挖掘用户异常行为建模与挖掘 ........ 外部趋势分析外部欺诈风险趋势分析 外部攻击趋势分析应对措施11 ——开展新技术安全防护研究和应用新技术的安全防护研究新技术在安全领域的应用云平台安全防护大数据平台安全防护.......智能设备安全防护生物识别技术的应用大数据技术在安全领域的应用.......公民网络电子身份标识的应用内容提要一、银行业面临的信息安全挑战二、工行信息安全管理实践三、相关建议推动形成信息安全产学研结合的信息安全生态圈,加快研究成果的转化,形成产业联盟,促进教学、科研深入和安全可控,形成良性循环,提升我国信息安全核心竞争力。
产业联盟建立电子化的协作、共享机制,形成多部门整体协同防护的合力建立可信、可靠的公共服务机制,打通国家信息安全专业服务部门、安全厂商、社会团队、企业之间技术交流、协作通道。