互联网信息安全评估
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇互联网信息安全评估范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
互联网信息安全评估范文第1篇
一、互联网金融的概述
1.互联网金融的定义互联网金融就是指传统的金融结构利用互联网技术,两者进行有机的相互融合,在支付、投资的新兴金融业务模式。大概从两个方面来分析新兴金融业务模式的改革。首先互联网领头人在互联网的金融发展中不断探索创新,使人民更好的融入其中。其次打破传统的面对面交易模式,保证在金融交易上更加方便快捷,方便人们的生活。2.互联网金融的发展之路互联网金融逐渐发展成为了第三方支付、信息化金融机构等金融模式的联合,伴随着互联网电子商务的飞速发展,传统的交易模式逐渐转变为了物流快递的形式,网络的虚拟化与资金流向在时间上大不相同,在交易时买家会担心如果收不到商品怎么办,或者商品质量出现问题谁来负责,卖家也同样会担心客户收到商品之后不付款怎么办,双方在交易时都要承担一定的风险,特别是在金额较大的时候风险也会随之增加,导致网络交易出现故障。但随着金融的发展,金融体系的主体也会拓展,对互联网进行了较大的改造。
二、互联网金融信息的特征
1.影响范围广阔作为国家重要基础设施的互联网,随着国家各个领域对互联网的依赖程度越来越高,使其逐步成为了重要的数据传播方式。通过大量的互联网金融数据,能够通过表面看出事情的本质,反映出一个国家经济、政治等方面的现状,是一个能够涉及到国家金融体系的重要内容,除此之外还有可能被利用去直接影响到大众的日常生活。但是当互联网金融体系一旦受到范围较大的安全事故,国家的经济体系很有可能变成瘫痪状态,同时也会对国家的安全问题但来不良影响。2.难以评估的风险问题如今的互联网金融操作层面、业务层面甚至是管理层面都会涉及到IT技术,但是现代的业务风险与传统的业务风险相比较,IT风险管理的专业性与技术性更占优势,由于目前还无法准确的制定IT风险的计量标准,最终无法用常规的方法进行检测与控制。例如在面对IT风险的损失衡量、风险程度等等,都没有制定出一套较为具体的计量体系。此外IT风险还极易容易与其他风险相互交织,导致风险的评估与计量更加无法顺利的进行。3.快速的扩散性在信息科技时代,网络技术在互联网金融当中被主要运用,扩展的速度快是网络技术的一大特点。以往的金融业务当中,信息技术风险所带来的损失并不是很大,但是在现如今的互联网金融业务中,处于一个环环性扣的状态,其中的任何一个小环节出现问题时都会使风险快速的蔓延到与其相关的系统网络当中,使局部风险扩散开来,甚至导致整个金融市场都受到威胁。此外传统的金融中还有一些离线的业务操作,对于偶尔出现的错误也有时间去更正,但现如今的互联网金融业务都是在线操作的,一旦出现问题就是在很短的时间内爆发,纠正错误的机会被大大减小,加大了风险补救成本。
三、金融信息安全问题面临的挑战
1.落后的信息安全保障体系由于互联网金融技术的飞速发展,为金融行业提供了一个全新的发展方向,但是相关的金融信息保障系统并没有完善,伴随着各种不断涌现出的理财问题、保险问题,这对于互联网金融业务的发展无疑是一种如履薄冰的行为。以此互联网金融业务的发展需要强大的互联网金融安全信息保障体系作为强大的后盾,不完善的金融信息安全一定会加大金融业务的风险问题。就现代的互联网金融发展而言,不相融洽的金融业务与信息安全保障体系,尽管可以维持着金融业务的顺利开展,但这样的局面随时都可能受到威胁。2.难以预防的网络安全问题威胁金融安全的另一个问题就是难以防控的网络安全,这一安全隐患也是互联网安全自身存在的问题。匿名性与开放性是互联网自身的性质,导致许多不法分子有机可乘,这也是互联网金融信息安全所要重点注意的。想要在互联网这个平台上健康的发展金融行业,从根本上解决网络安全问题,将它从一个难点问题发展到重点问题。互联网金融安全问题不仅是一个机遇也是一个挑战,凡事都具有两面性。一方面互联网金融所带来的发展,要将压力转变为动力,使互联网金融中存在的问题得到根本上的解决。另一方面威胁互联网金融安全,会影响到互联网金融业的发展,为国民经济的发展做出更大的贡献。3.快速更新的互联网金融技术快速更新的互联网技术应用也是金融安全信息所面临的另一挑战,伴随着互联网技术的不断提高,越来越多以互联网技术为基础的发展平台如雨后春笋般生长出来,第三方支付平台的出现打破了传统金融业务的机制,消费者的个人金融信息安全也受到了泄露的风险。日新月异的互联网应用技术不仅使互联网金融安全问题受到挑战也使互联网技术更加快速的发展。因此制定出相关的安全管理策略来保证其安全的运行,成为了当今互联网金融发展的关键问题。
四、加强互联网金融信息的相关对策
1.强化金融信息安全保障体系因为外界的安全问题不能从根本上消除,为了确保互联网金融企业的健康发展,因此加强安全保障体系建设来保证金融信息安全必不可少。有了相关体系的支持才能保证互联网金融安全的平稳运行,我国现存的金融信息安全保障体系依旧以传统的金融信息安全问题为基础,这显然已经跟不上现如今的互联网金融信息的安全需要。因此国家将强相关制度的建立,提供最高端严谨的技术支持,以完善当前金融信息安全保障为基础,随时关注互联网金融业务的变化,最终实现金融安全问题的防范。2.对信息安全风险进行评估对计算机信息安全保护进行分等级划分,再对互联网金融信息进行安全风险评估。评估这一环节可以预防可能引发信息安全问题产生的风险,根据完整性与保密性存在的薄弱环节。对风险进行评估之前,为了防止计算风险值时存在误差,可以事先采取相关的安全防范措施。在对风险评估进行一段之后,所计算的综合值随时都有可能发生误差,这一因素也会随时影响到互联网金融中的资产。最后就是计算风险综合值的公式,它是利用字母的代表值和之前所分析的信息安全风险所联系,从而降低风险值的范围。3.对网络身份进行认证在互联网时代当中无疑就是交易形式发生了改变,交易过程中双方无法运用面对面方式确认是否是合法身份,但是在交易的过程中个人的信息就会被传送,如果有不法分子居心叵测,那么信息的安全风险就会大大提升。为了保证互联网金融信息的安全,双方在信息交换之前能够对真正的身份进行确认,所以交换信息的基础与关键就是身份证。采用身份证实名制的策略,设置一个网络身份证认证中心,运用集中式的方法对网络身份证确认,并通过一些安全设置防止非法网络用户的登路。
五、结语
综上所述,在互联网金融时代的这个大背景下,金融信息中的安全问题至关重要。互联网金融的发展必定是金融发展的趋势,对信息安全问题也提出了许多的挑战,因此需要多方面的相互协调发展。首先要保证金融系统的可靠性和技术手段的及时更新,其次需要国家在法律条约与相关技术方面提出有效的支持,最后需要互联网用户、金融机构等金融参与者学会自我约束遵纪守法。新型的互联网金融监管与传统的金融业相似,简而言之就是微观监督与宏观调控的结合,两者要相辅相成共同进步。由此更好的促进互联网金融行业的健康稳定发展,更好的服务于人民。
参考文献:
[1]颜秋霞.“互联网+”金融信用风险体系构建的对策研究--以互联网银行为例[J].时代金融,2017(08).
[2]陈一鼎,乔桂明.“互联网+金融”模式下的信息安全风险防范研究[J].苏州大学学报(哲学社会科学版),2015(06).
互联网信息安全评估范文第2篇
(一)境外信息安全威胁已然显现
棱镜门事件折射出美国通过国内高科技公司实施全球网络空间霸权的战略图谋,为我国金融业敲响警钟。是国外对中国金融信息的窃取仅次于军事情报,我国金融业核心软硬件多为国外企业产品,使得我国金融信息系统容易被国外掌控,为行业信息安全埋下隐患。服务外包对国外厂商依赖度较高,加大了风险控制难度,敏感信息、核心技术泄密的可能性增加。我国对外政治经济摩擦不断增多,金融改革持续推进,竞争进一步激烈,金融机构数据中心遭受境外黑客攻击的可能性大大增加。例如,2013年11月29日,“中国煤炭银行”官网被黑,其官网称此次事件系日本金融财阀勾结国内金融集团所为。
(二)互联网舆情威胁不容忽视
互联网是广大网民获取信息资源、表达诉求最便捷和最有效的平台。微博客、网络社区、论坛等网络舆论平台飞速发展,成为社会舆论的发动机。网络舆论与摘要:我国金融业信息化进程不断加速,国内外信息安全环境深刻变化,金融机构须定期判断和分析国内外信息安全形势,不断提高风险防范水平。本文分析了当前金融业面临的信息安全形势,并从完善信息安全组织机制、夯实信息安全基础、强化互联网风险防范等角度提出应对策略和建议。关键词:金融业;信息安全;安全威胁;形势分析;应对策略传统媒体相互呼应,将迅速形成风险扩散的“蝴蝶效应”,放大信息安全风险。一旦金融机构局部的信息安全风险被网络聚焦、放大,会加大风险控制与事件处置的难度。此外,一些组织或个人出于竞争、报复或利益的目的,通过互联网关于金融机构的不实信息,营造“伪舆论”。还有一些小摩擦或小纠纷,由于没有得到及时察觉和合理处置,引发网民围观,形成网络热点事件。这些不仅会严重影响金融机构声誉,还会给整个行业带来不良社会影响,甚至造成巨额经济损失,实力相对较小的微型金融机构可能面临倒闭风险。
(三)互联网金融使信息安全形势更趋复杂
2013年中国互联网金融出现了快速发展势头,被称为中国互联网金融元年,各大互联网企业巨头纷纷进军互联网金融,推出“余额宝”、“微银行”、“京宝贝”等金融产品和服务。面对激烈竞争,传统金融机构积级调整战略介入其中。互联网金融为金融业带来新的发展机遇的同时,同样引入了信息安全风险和威胁。除具有传统金融业经营过程中存在的流动性风险、市场风险和利率风险外,互联网金融还存有信息技术导致的平台风险、技术风险、系统安全风险和基于虚拟金融服务的业务风险,且风险诱因更加复杂、风险扩散传播速度更快。移动互联网发展和智能手机的普及使互联网金融随处可及,互联网金融活动突破了时间和空间的局限,将成为网络钓鱼、黑客攻击的新目标,金融业面临信息安全形式更趋复杂。
二、新形势下金融业信息安全应对策略
(一)完善信息安全工作的组织机制
组织机制是保障信息安全最基础、最有效的长效机制,金融机构要基于当前信息安全形势和监管部门要求,进一步完善信息安全工作的组织机制。
1.明确不同部门和岗位的信息安全职责。当前,保障信息安全已不是一个或几个部门的责任,而是机构内所有部门、全体员工共同的职责。金融机构要明确业务部门、内控部门与技术部门共担信息安全风险的责任,将信息安全保障纳入到各岗位职责中,将信息安全工作作为一项重要的日常工作,努力形成全员参与信息安全保障的局面。
2.严格信息安全责任追究。按照“谁主管,谁负责;谁使用,谁负责”的原则,落实信息安全问责制,把信息安全风险的防范、识别、消除纳入业绩考核范畴,使所有员工意识到信息安全责任重于天。
3.提高制度的执行力。建立健全制度落实的规范流程和监督检查机制,关注各流程、环节之间的衔接性,实现部门自控与机构内控相结合。及时发现和解决制度执行中的问题,保证制度的有效落实,维护制度的严肃性和权威性。
(二)夯实信息安全基础,提升风险防范水平
信息安全工作涉及内容较多,内外部的信息安全威胁不断发生变化,信息安全保障和风险防范不可能一蹴而就,而是一项不断建设、持续完善的工程。金融机构应根据机构现状和内外部安全形势,科学制定机构信息安全发展规划,有重点、有层次推进机构信息安全工作,不断提升信息安全防范水平。
1.切实落实国家信息安全等级保护和信息系统分级保护工作。按照国家有关等级保护和分级保护的管理规范和技术标准开展等级保护和分级保护工作,严格遵照安全等级划分标准确定机构计算机网络和信息系统的安全等级,并按相应等级具体要求,建设安全设施、建立安全制度、落实安全责任,接受公安机关、保密部门、国家密码工作部门对信息安全等级保护工作的监督、指导,保障信息系统安全。
2.稳步推进信息产品国产化进程。“棱镜门”事件后,信息安全国产化进程加快,金融业要牢牢把握国产化机遇期,以安全生产为底线,按照“推广成熟、扩大基本成熟、试点逐步成熟、攻关不成熟”的策略,稳步推进金融业信息技术国产化进程,逐步实现信息安全产品、关键设备、核心系统、系统等国有产品替换。加强人才队伍建设和培养,提高自主运维能力和水平,逐渐减少对国外企业外包服务的依赖。
3.安全管理与技术防护并重。综合使用多种安全机制,将不同安全机制的保护效果有机结合,安全管理与技术防护双管齐下,相互配合,形成完整的立体防护体系。金融机构要摒弃“重技术,轻管理”的认识误区,突出安全管理在信息安全保障体系中的重要性,增强技术防护体系的效率和效果,弥补当前技术不能完全解决的安全缺陷,实现最佳的保护效果。
4.完善灾备体系建设和管理。灾备体系是保障金融业务连续性的重要防线,是维护信息系统和网络安全的重要措施。金融机构要把灾备中心建设规划提升到国家信息安全战略高度予以重视,扎实做好机构灾备中心布局规划和灾备建设工作。定期研究、评估当前灾备中心布局,对存在的问题及时进行整改。对于核心业务系统,要实现应用级备份,保证突发事件发生时可及时恢复业务运营。确保备份数据的有效性,定期对冗余备份系统、备份介质进行深度可用性验证。
5.加强人员操作行为管理,防范操作风险。从风险防范角度进一步完善网络和信息系统的操作流程,加强操作流程管理和审查,实现人员操作事前能控制、事中可监控、事后有审计,使风险防范从“管住人”进一步发展到“管住行为”。善于运用技术手段加强对操作风险防控,达到从管理和技术两个方面防范技术人员操作风险的目标,确保操作零风险。
6.提高机房设施保障水平。计算机机房是信息中心的核心部位,除承载机构的重要网络和信息系统外,还有空调、消防、防雷等保障机房设备安全稳定运行的机房设施。要加强机房设施的监测和风险评估工作,确保UPS供配电子系统、机房空调子系统、防雷接地子系统、设备监控子系统、机柜微环境子系统、安全消防子系统等机房设施健康运转,为机房这个“躯体”提供充足的“氧气“和“血液”,保障作为“器官”的各信息系统正常运行。将机房设施安全放在同网络和信息系统安全同等重要地位,发现风险隐患及时整改,勿将本应发挥安全保障功能的机房设施变成风险易发区域。
7.重视应急演练工作,提高应对突发事件的能力和水平。全面评估信息安全风险,建立风险全覆盖的应急预案体系和应急演练常态化工作机制。根据风险的等级和影响程度,合理确定单项演练、综合演练、跨部门演练、跨地域演练等不同类型演练的组合,具备应对不同类型风险的应急处置能力。依据风险的变化和应急演练效果完善应急预案,不断提高应急预案的可操作性。坚持在演练中锻炼队伍,持续提高人员的风险意识和突发事件的响应处置能力。
(三)强化互联网风险防控工作
1.加强互联网舆情监测,妥善处置网络热点事件。完善互联网舆情监测系统,加强人才队伍建设,建立网络舆情摘报和热点专报制度,及时掌控舆情动态,尽早发现各种形式“伪舆论”,避免形成网络热点事件,影响正常的金融秩序。重视信息和舆论引导工作,做到未雨绸缪、预防在先。完善舆情热点事件处置机制和流程,做到反应快速、判断准确、处置合理,充分发挥传统媒体与网络媒体的协同作用,对网络舆情进行正面引导和回应,将不利影响控制在最小范围内。
互联网信息安全评估范文第3篇
关键词:互联网保险;问题;对策
20世纪90年代以来,网络技术的快速发展和逐步完备的电子商务平台给保险业的发展带来了巨大冲击,作为一种以网络信息平台为载体的新型商业模式,互联网保险通过互联网平台为客户提供保险产品和服务,实现部分业务或全部流程的网络化,为保险业发展带来新的机遇和挑战。以“互联网+”为代表的信息化使人们的生活变得更加便捷,互联网成为保险业发展的加速器。
互联网保险的发展对传统保险业是一个极大地挑战,因为互联网保险所具有的全天随时随地服务的天然优势不仅真正实现了人人平等享有网络优质服务的理念,让人们自由、平等、便捷地享受金融服务,还可以通过互联网,免去保险营销人员等中介环节,缩短保险业务整体流程的时间,提高营销、服务、售后的效率。所以,保险业如何在网络化、信息化的背景下,融入互联网金融的潮流,成为近年来保险行业和学术界重点关注的课题。
一、我国互联网保险存在的问题
1.互联网保险相关法律法规缺失
虽然近年来,国家开始关注互联网保险,并且也出台了一些相关规章制度,但总体来说,互联网保险相关法律法规依然缺失,目前能对互联网保险营运进行约束与规范的主要法律依据依然是1995年颁布的《保险法》,然而,这部法律所调整的行为主要是传统的保险业务,而互联网保险业务却有着无形的经济保障合同的特性,这使得目前的互联网保险活动并不能真正得到法律法规的调整和规范,如在互联网保险业务中关于电子保单的法律效力、时效等问题仍无具体法律做出明确的司法解释,不利于互联网保险业务的规范健康发展。
2.互联网保险业务中信息不对称容易导致道德风险
互联网保险是借助信息网络技术进行营销和管理,保险公司和消费者之间不能通过面对面沟通,保险公司不能通过直接接触和观察去了解投保人的风险情况,投保人也缺少了保险营销人员这一了解产品及公司信息的渠道,信息的不对称必然容易产生道德风险。
当前我国还没有建立起信息共享的个人信用体系,保险公司在不充分了解消费者信用状况的情况下,仅通过网络平台的筛选和辨别,无法真正识别客户所提交资料的真伪。一般来说,投保人在提交审查材料时会提交有利于自己的资料和信息,剔除隐瞒不利于自己顺利投保或有可能增加保费金额的信息,以便实现以更优惠的价格来获得更大的保险权益,这使得保险公司的风险大增。虽然目前的技术水平下,保险公司对于客户风险级别的评估不能十分准确,但部分互联网保险公司为了拓展业务,依然会在信息不完备的情况下对客户进行承保,某些轻率承保的行为必然会给互联网保险业务增加一定的风险,当然最终也会损害消费者权益。
3.互联网保险产品缺乏创新,导致结构单一、同质化现象突出
我国互联网保险的业务模式多是在传统销售渠道基础上增加了一项互联网业务渠道而已,并没有真正改变现有的核心运营模式,更没有设计出个性化、创新的、适合互联网销售的保险产品品种。从目前的实践来看,我国互联网保险产品多同质化,各大实行互联网营销的保险公司的业务基本都集中于交通工具意外险、旅游意外险、简单的寿险、理财类保险等方面,缺乏契合互联网用户消费需求和习惯的个性化产品,缺乏新意的产品自然就没有竞争力。从互联网保险未来的发展来看肯定是弊大于利。
4互联网信息安全技术不成熟,信息安全隐患大
虽然互联网保险机构一直以来都非常注重保护客户的信息安全,但由于保险公司拥有大量完备的个人和企业信息,因此常被不法分子觊觎。由于互联网的开放性特征,加之各保险公司对网络信息安全技术方面的投入力度各异,致使我国的互联网保险在网络技术安全和信息隐私方面非常薄弱,互联网保险业务存在着较大的安全风险,为某些商业机构利用不正当手段篡改或窃取网络保险数据资料提供了可乘之机,使得互联网保险客户的信息资料安全遭受严重的威胁。除此之外,随着互联网保险业务对大数据信息的依赖,互联网信息的商业价值也越来越高,不可避免地会出现保险公司内部的少数职员窃取客户的个人资料并泄露出去的情况,做出有损商业道德的事情。而目前我国针对互联网保险的网络信息安全由于缺失有效的监管手段和监管法规,导致互联网保险在开展业务过程中网络风险和市场风险频发。要想促进我国互联网保险能在一个安全的环境中积极健康发展,有必要加强互联网信息安全建设,保障互联网保险发展中的信息安全。
二、进一步发展我国互联网保U的对策建议
针对我国互联网保险行业存在的问题,本文从以下方面提出针对性的建议,以促进我国互联网保险行业的健康有序发展。
1.建立健全互联网相关法律法规,保障其健康运营
基于信息技术支持的互联网保险新模式,其将互联网线上保险和传统的线下保险业务相结合,在运作中必然需要监管和法律法规的到位,才能有效解决保险业运作过程中常见的网络安全问题和索赔欺诈问题。因此,一方面,加快完善互联网保险发展业务的法律法规。由于互联网保险的迅猛发展,传统保险业的相关法律与具有网络虚拟性的互联网保险并不十分匹配,要想更好的提供给互联网保险业发展的法制环境,必须尽快完备同时适用传统保险业务和互联网保险的相关法律法规。另一方面,加强网络平台、信息安全相关法律制度的建设和完善,实现互联网保险平台上电子合同、投保、支付、理赔等有法可依,实现互联网保险监管和营运的可持续健康发展。
2.完善保险行业信用体系建设,降低互联网保险道德风险
保险产品的价格水平与其风险级别相关,而保险行业的盈利水平也基于风险评估。客户的征信记录和风险测评结果对保险公司针对保户制定价格具有决定性意义。因此,完善保险行业信用体系建设,健全而精确的征信信息、权威评级机构的风险测评对于互联网保险业务的开展和运行尤为重要。一方面,积极引导市场对信用产品的需求,培育信用市场主体。利用政府的影响力和权威性,建立适应市场需求的风险评估机构和征信评定机构,并为其保驾护航,引导其良性发展。同时,政府应鼓励和要求媒体对征信系统进行有效宣传,在整个社会中营造良好信用环境,让诚信深入人心,内化为人们日常行为的一部分。另一方面,建立健全失信惩罚措施,搭建系统的、可共享的公共信息服务平台。通过与医疗机构、社保机构、交通部门、银行、电子商务等的合作,实现征信信息共享,把信用信息充分渗透到经济生活的各个角落。同时要加大对失信行为的惩罚力度,提高失信成本,提高人们的征信意识。而互联网保险公司则可以借助信息公众平台获取权威数据资料,从而提高工作效率,降低风险。
3.重视互联网保险产品创新,丰富产品体系,优化产品结构
大数据时代的到来,信息技术的普及,与网络有千丝万缕联系的单个个体的行为、特征以及相关数据资料都被计算机进行有效的整合、分析、记录,这也是保险行业基于精准大数据为保户量身定做个性化保险产品的前提。首先,通过设计标准化的保险产品打开互联网保险市场。设计标准化产品通过互联网营销的模式已在国外较为普遍。我国现阶段的互联网保险营销可以通过设计适于推广的个险产品来打开互联网渠道,因标准化的个险产品和保险理财产品,保单标准化程度较高,且保费较为低廉,保险条款一般便于保户理解,保单核保手续简便,有些保单甚至能够实现网络自动核保,如此线上推广与传统线下推广并无矛盾之处,比较适宜网上销售。其次,当互联网保险发展到一定程度之后,标准化的产品设计就不能完全满足互联网保险的需求。要想真正推进互联网保险的快速发展,就要对互联网用户进行调查研究,分析市场优劣,分析竞争对手产品,分析客户需求,并根据客户需要设计出个性化的保险产品,提供个性化的保险服务,只有这样,才能在激烈竞争的保险市场占领先机。但需要注意的一个问题是,保险本身是为了保障风险损失,而不是保障投机行为,所以,契合互联网的新产品设计首要条件是满足保障风险。第三,互联网保险机构可借鉴企业自身积累的大数据,利用严格的精算系统,分析消费者对保险产品的潜在需求,结合市场需求,创新产品,优化产品结构。可以通过对较为复杂的保险产品根据客户的个体差异以及具体保障对象的不同进行分拆,提供差异化的产品,简化客户网上选择、投保、索赔流程,提供客户体验,使客户可以根据自身实际情况进行选择,形成互联网销售的独特优势。此外,互联网保险公司还应积极利用微信、淘宝等新媒体、电商平台,基于大数据分析推出开发出符合客户需求的新产品。最后,营造互联网保险的品牌效应。在我,利用互联网来购买保险的客户多多集中在25岁到45岁,他们不仅对产品要求高,对保险公司的品牌也会有很高的要求。客户在进行互联网消费时对保险公司的是否了解和信任极为重要。营造互联网保险的品牌效应就显得意义非凡,如果能够建设和推广互联网保险电子商务平台、树立自己的品牌,并能在平台上让优质购买力客户体验到品质和便利,必然能吸引大量的客户参与其中。
互联网信息安全评估范文第4篇
关键词:互联网金融 信息安全 信息技术风险 防控措施
中图分类号:F830.2 文献标识码:A
文章编号:1004-4914(2015)09-175-01
我国互联网信息安全形势严峻,特别是大数据和云计算等新技术的发展,使互联网金融业务面临更加严峻的挑战,支付宝漏洞、P2P平台黑客攻击、网银木马病毒等风险事件频发,而当前互联网金融支撑保障体系的发展速度远远落后于互联网金融业务运营的发展,信息安全成为保障互联网金融创新发展的重中之重。
一、互联网金融面临的信息技术风险
互联网金融是建立在互联网大数据和云计算框架上的。互联网金融的云计算(或称金融云)是利用云计算的模型构成原理,将各金融机构的信息系统架构转移到端;或是利用互联网实现数据中心互联互通,形成高效的数据共享机制;或利用云计算服务提供商的云网络,将金融产品、新闻、服务到云网络中,提升企业整体工作效率,优化业务流程,降低运营成本,为客户提供更便捷的金融服务。但支撑互联网金融的大数据、云计算等新技术发展还不成熟,云计算又是一个开放的网络环境,安全机制尚不完善;同时,第三方支付、P2P等互联网金融新业态还处于起步阶段,安全管理水平较低。因此,互联网在带来金融创新的同时,也带来了新的风险。
1.数据安全问题。主要体现在三个方面,一是后台数据库安全问题。大数据由于拥有庞大的数据库,一旦数据遭到窃取、泄露、非法篡改,将对个人隐私、客户权益、人身安全构成威胁,犯罪分子可以通过对大数据的收集分析,有机会获得更精准有用的信息,因此,后台数据库安全要解决核心数据资源面临的“越权使用、权限滥用、权限盗用”等安全威胁;二是数据传输安全,数据在传输过程中数据传输安全;三是数据容灾备份,大数据对数据的容灾机制要求比较高。
2.网络安全风险。与传统商业银行有着独立性很强的通信网络不同,互联网金融企业处于开放式的网络通信系统中,TCP/IP协议自身的安全性面临较大非议。另外,互联网金融交易平台需要在三个层面保障安全,安全环境检测、安全控件的加载以及用户账户口令认证,但当前的密钥管理与加密技术并不完善,这就导致互联网金融体系很容易遭受计算机病毒以及网络黑客的攻击。一旦遭遇黑客攻击,互联网金融的正常运作会受到影响,危及消费者的资金安全和个人信息安全。
3.安全应急技术薄弱。在信息技术发展迅猛的当下,互联网金融企业自身所具备的安全故障恢复机制以及所需的安全保障技术储备仍具有一定的局限性和薄弱性。面对Web应用漏洞以及已经造成的危害,企业自身的技术团队力量及资源不足以提供所需的安全响应支撑,使得在出现突发安全事故的情况下,企业不能及时作出安全应急响应,迅速进行运营恢复,深入解决安全问题,从而最大程度的降低整体安全风险及提高信息系统的安全等级。
二、互联网金融信息安全风险防控措施
针对上述风险,保障互联网金融信息安全应当从以下几个方面入手。
1.严格遵照金融行业信息系统信息安全等级保护要求加强信息系统安全防护。加强信息安全等级保护工作的组织领导,认真梳理信息系统,科学合理定级,备案。按照不同等级采取相应的安全防护措施,并制定合理的安全策略。适时进行相关信息系统威胁分析和相互依赖分析,积极开展信息系统等级保护测评工作。通过制定配套的管理规范、技术标准、技术手段,以此来加强信息安全管理水平。
2.加强数据安全管理。可以通过数字证书等安全认证机制和传输加密机制来保障数据传输安全。如采用SSL加密技术对数据进行加密。SSL采用RC4、MD5以及RSA等加密算法,运行在TCP/IP层之上、应用层之下,为应用程序提供加密数据通道,加密和解密需要发送方和接受方通过交换密钥来实现,因此,所传送的数据不容易被网络黑客截获和解密,最大限度地保证了客户信息的安全和资金流向的安全。而在数据备份方面,可以采用服务器集群及异地热备技术,保障平台的高性能和高可用性。异地热备技术是指硬盘放在磁盘阵列柜里面,两台服务器与磁盘阵列柜连接,共用里面的资料,当一台服务器出现问题时会自动切换到另一台服务器,既确保了数据备份安全,又保障了使用效率。
3.加强网络安全防护。在系统安全和数据通讯层面采取措施,通过网络安全协议、电子签名等,如建立反钓鱼机制,解决电子支付安全问题,大力推广可靠电子签名应用。将电子签名向供应链融资、网络微贷、P2P、众筹等其他业务形态中推广;积极选用国产厂商自主可控的网络信息系统;部署网络安全防护产品,如部署防火墙保障网络边界访问安全,部署防病毒系统实时进行病毒检测与防护;部署漏洞扫描系统,主动进行威胁、脆弱性分析与安全检测;部署入侵检测系统,拦截黑客攻击,加强防入侵能力,加固边界安全等。
4.增强信息安全风险防范意识,提升风险事件应急处置能力。始终将信息安全工作放在首位,进一步完善风险管理控制体系,定期对系统进行风险评估,加强防御手段。制定和不断完善应急预案,提高金融网络系统应对突发事件的能力,有效、快速、合理地应对突发事件,最大程度地减少信息安全事件造成的损失和影响,保障金融业务的连续运行。
参考文献:
[1] 姚文平.互联网金融:即将到来的新金融时代[M].中信出版社,2014
[2] 周小娟.我国互联网金融面临的风险及应对措施[J].时代经贸,2013,22(1):111-113
[3] 陈子永.互联网金融风险与防范[J].商,2013,21(1):166-168
互联网信息安全评估范文第5篇
目前,我国的信息安全事件和事故的频繁发生,这和老百姓最为直接的就是个人网络账号被盗。据赛门铁克诺顿公司9月11日的诺顿安全报告显示,从2011年7月至2012年7月,网络犯罪致使全球个人用户蒙受的直接损失高达1100亿美元。同期,中国估计有超过2.57亿人成为网络犯罪受害者,直接经济损失达人民币2890亿元。
针对日趋严重的网络安全问题。工信部通信保障局网络安全处副处长付景广对记者说,工信部建立了通讯行业和网络安全防护、应急演练等等,以保障网络运行的稳定和安全。“针对网络钓鱼、垃圾信息等危险用户的切实利益问题,我们与中国互联网协会、中国网络互联网信息中心等建立了相关的机制,以净化网络环境。”
信息安全风险管理需常态化
国家信息化专家咨询委员会委员、国家信息化中国专家委员会副主任宁家骏认为,当前,信息安全形势变化总体来说是国家信息安全形势的一种表现。2010年前后可以看到美国进一步调整它的国家信息安全战略,俄罗斯、纽约也在调整,日本更明确把国家的安全防范对象转向我们国家。“9·11恐怖事件”发生后,美国的多部门独立管理,多种模式逐渐感到没有办法适应信息时代国家安全战略调整需求。所以,它先后整合了一些部门通管他们信息安全技术,另外也任命了公安局的局长出任网络司令部的司令整合军内的信息战略领域。
在当前我们必须看到我们国家的网络信息安全工作面临新的复杂的形势。进入新世纪以来,经济、社会发展对我们信息网络和信息化的依赖程度越来越高,现在我们可以说金融、交通、电力、水务等都离不开信息网络。
宁家骏指出,信息网络的发展已经成为推动社会和经济发展的重要力量,也是各国竞争的制高点。一方面我们看到信息化的大势不可逆转,但是同时我们要必须看到,随着我们中国的迅速崛起,也引起了国际社会的广泛关注。在这种背景下,在全球网络空间国际竞争日趋激烈的背景下,我们的信息安全问题更加错综复杂。所以,对信息安全保障体系的建设需求更加紧迫,面对国内和国际形势,必须进一步提高对我们重要性系统的信息安全保障体系建设的高度重视和对风险的应对能力。
特别是在当前互联网这种特性——规模庞大、带宽持续增长和应用逻辑日益复杂的情况下,如果继续在不同的安全领域中间各自为战将不能适应信息安全新的发展要求。如何处理这种信息访问的瓶颈?如何应对这种开放协议的安全事件?如何来解决我们应用软件中安全漏洞难以避免的现实?宁家骏认为,这些问题要求我们必须解决在信息安全保障中全局协同的问题,同时要提高我们的效能,提高我们对事件处置能力和事前应急预警的能力。
在世界竞争日趋复杂的环境中,已经发生的一些重大信息安全事件对我国的发展产生不同的损失,对我国信息安全的重要性提出了更加紧迫的要求。特别是我们看到威胁在不断的演变,有些部门的人觉得自己的电脑没有什么可以保密的文件,疏忽管理。其实恰恰不然,很多的隐蔽性的网络攻击就是把这些看似没有价值的电脑作为网络攻击的第一个跳板。特别是当前移动互联网的发展,智能终端的广泛应用已经成为当前在网络攻击中的一个最好的获利的平台。
所以,国外每年银行卡信息被盗损失的金额非常巨大,特别是在当前我们这种移动终端,包括山寨手机内置的一些软件,包括我们恶意捆绑那些流氓的软件,使得我们的手机不仅仅是被吸取话费,而且把病毒传播开来。宁家骏说:“未来一方面是信息化安全技术,一方面是面临这种复杂的环境,使我们应对危机的难度在增加。所以,我们必须看到我们存在明显的不足,清醒的认识到这种日益增加的战略层面的巨大的威胁,包括我们很多的技术手段。同时,我们必须要解决这种各自为战的,要克服这种谁主管、谁负责的局限性。”
“我们又必须看到风险管理的滞后和非常态化。当前,我们重视了风险评估工作,但是往往我们对风险的理解常常是限定在技术层面,而没有考虑到相关方的核心力。”宁家骏说,“我们的风险评估常常基于静态,没有真正的开展常态化的、动态的持续的监管。特别是我们个人信息的保护严重的滞后,所以在这里既有我们用户和企业的意识淡薄,更有我们法律的欠缺,也有我们相应的服务和管理上的约束的不足。”
手机信息安全不容忽视
黑客的入侵手法日益更新,传统的网络安全问题正逐渐向移动互联网等领域延伸。付景广介绍,手机终端与PC终端面临的问题没有本质的区别,都面临木马病毒等问题。但是,手机的缴费和扣费功能更容易受到黑客的关注。调查发现有些木马病毒可以操控手机,定制收费业务,造成用户的经济损失,有的还可以远程窃取手机的位置信息和通话记录等,导致用户隐私泄露。
今年以来,社会上有一些企业搜集用户的个人信息引起人们关注。付景广说:“我们需要增强安全意识,这与现实生活中的偷盗诈骗等相比,手机的安全问题和虚拟性、空间地域性,使网络的安全问题变得更加隐蔽和复杂。”他认为,人们只有树立起正确的防范意识,才会自觉地养成良好的防范举措。但是,还有很多在信息产业中的从业人员对信息安全的防范也是一知半解。
最近,工信部发文明确要求:
第一,手机制造企业和行业协会要承担起指导用户安全使用手机的责任,加强风险提示等。
第二,加强应用商店安全管理,控制手机恶意程序的渠道。对捆绑恶意功能的程序必须加大力度处理;另一方面开办应用商店的基础企业,移动互联网企业和手机制造企业要切实履行好各自的责任和安全的审核机制。
