銀行業(yè)信息安全基砂知識(網(wǎng)絡(luò)銀行信息的安全簡答)

1.網(wǎng)絡(luò)銀行信息的安全簡答

但是網(wǎng)上銀行的重點又將是哪些？

我們可以看到，2002年初，對于網(wǎng)上銀行討論的焦點仍然集中在“網(wǎng)上銀行是雞肋還是利器”，現(xiàn)在看來答案是顯而易見的了。時過兩年，中國工商銀行行長姜建清已經(jīng)成為了全球電子金融三十杰中的一員，所以如果更好地實施網(wǎng)上銀行，建立高人一籌的網(wǎng)上銀行系統(tǒng)才是今日的焦點。

從網(wǎng)上銀行的應(yīng)用背景上說，中國的網(wǎng)上銀行用戶由2000年下半年的90萬人增加到2002年底的250萬，2003年，僅中國工商銀行透露的網(wǎng)上銀行用戶就已經(jīng)達到了800萬人。到2005年，預(yù)計這個數(shù)字將達到1.4億。

拓展領(lǐng)域

眾所周知，網(wǎng)上銀行與傳統(tǒng)銀行最大的不同就在于它建立在充分應(yīng)用各類先進的通信網(wǎng)絡(luò)和信息技術(shù)手段基礎(chǔ)上的金融業(yè)務(wù)。而高速發(fā)展的網(wǎng)絡(luò)通信、無線應(yīng)用使得建立在其上的網(wǎng)上銀行可以在任何時間、任何地點實現(xiàn)業(yè)務(wù)。

從國外的情況來看，最近幾年以來，網(wǎng)上銀行持續(xù)以兩位數(shù)字增長，而這種勢頭即使IT通信業(yè)大滑坡的情況下也未停止。

而就新技術(shù)應(yīng)用程度來看，銀行業(yè)無疑成為了最新IT技術(shù)和通信技術(shù)應(yīng)用最快、普及程度最高的行業(yè)，這也使每一個IT公司和通信公司對于銀行業(yè)的重視程度遠遠超過了其他行業(yè)。

所以說，網(wǎng)上銀行的高速發(fā)展對于IT技術(shù)來說提出了更高的要求。

試想，當(dāng)你在網(wǎng)上進行任何一筆交易的時候，不管是查詢、轉(zhuǎn)賬支付還是其他，你在享受這些隨時隨地能夠提供便捷服務(wù)的同時，你最需要的是什么？當(dāng)然是安全的保證。所以說，信息安全技術(shù)如防火墻、入侵檢測、CA加密、容災(zāi)備份等，對于網(wǎng)上銀行的安全則更為重要。

而在后臺的技術(shù)上說，任何一個網(wǎng)上銀行的用戶希望能夠節(jié)省更多的時間，也就是希望得到有針對性的信息，那么對于銀行的管理來說，如何將以賬戶為中心的平臺轉(zhuǎn)換為以客戶為中心的平臺也是一個重要的挑戰(zhàn)。理所當(dāng)然的是，當(dāng)新一代客戶關(guān)系管理（CRM）軟件成熟應(yīng)用后，網(wǎng)上銀行可以很方便地進一步提供并存儲客戶服務(wù)信息，同時利用商業(yè)智能技術(shù)（BI）挖掘客戶資源，實現(xiàn)交叉銷售。這樣銀行的客戶資料就變成了指導(dǎo)銀行提供更優(yōu)質(zhì)服務(wù)的向?qū)Ш蛿U大贏利空間的沃土。

更進一步，我們還看到從國外網(wǎng)上銀行的發(fā)展借鑒過來的是，網(wǎng)上銀行如果和企業(yè)、家庭使用的一些財務(wù)管理軟件更好地結(jié)合起來成為一個互聯(lián)互通的系統(tǒng)，那么網(wǎng)上銀行對于客戶的吸引力則必然更大一些。美國的網(wǎng)上銀行就是將網(wǎng)上銀行與美國家庭普遍使用的Quicken,Intuit、微軟Money等家庭理財軟件聯(lián)到一起，使美國家庭通過家庭理財系統(tǒng)與銀行直接相連管理家庭的報稅、投資、預(yù)算等事務(wù)。

并不樂觀的報告

據(jù)CNNIC的統(tǒng)計數(shù)據(jù)顯示，截至2003年12月31日，中國上網(wǎng)用戶人數(shù)已經(jīng)達到7950萬人。同1997年10月的62萬上網(wǎng)用戶人數(shù)相比，如今的上網(wǎng)用戶人數(shù)已是當(dāng)初的128.2倍。

由于電子商務(wù)以及各類網(wǎng)上交易的迅速增長對在線支付產(chǎn)生了巨大的需求，這些都為網(wǎng)上銀行業(yè)務(wù)實現(xiàn)快速發(fā)展提供了可觀的需求。

盡管如此，CNNIC報告卻給網(wǎng)上銀行的現(xiàn)狀潑了點“冷水”。

據(jù)調(diào)查，中國網(wǎng)絡(luò)用戶對網(wǎng)上銀行的整體評價中，對網(wǎng)上銀行表示非常滿意和比較滿意的占46%，表示不太滿意和很不滿意的占16%，而有40%的客戶對網(wǎng)上銀行的評價是一般。

其次，作為網(wǎng)上銀行重要功能之一的網(wǎng)上支付功能還遠遠沒有得到客戶的普遍認可。調(diào)查顯示，僅有1/3強的客戶在網(wǎng)上購物時，選擇網(wǎng)上支付付款；而有2/3的客戶則寧愿選擇傳統(tǒng)的貨到付款或者匯款等支付方式。

調(diào)查顯示，不愿意選擇網(wǎng)上銀行的客戶中有76%是出于安全考慮。其次是由操作比較復(fù)雜、暫時沒有需要、網(wǎng)上銀行服務(wù)太少、不知道銀行網(wǎng)址等。

2.大數(shù)據(jù)時代銀行信息安全如何防護

互聯(lián)網(wǎng)的放大效應(yīng)使公眾的容忍度越來越低，尤其是信息安全事件的影響，讓銀行面臨的聲譽風(fēng)險壓力倍增。

不容樂觀的是，在數(shù)據(jù)大集中已經(jīng)成為潮流的今天，信息安全風(fēng)險也在急劇集中，銀行重要客戶的數(shù)據(jù)一旦被不法分子利用，產(chǎn)生身份冒充、釣魚詐騙等違法事件將極難防范。 如何既守住信息安全底線，又保障業(yè)務(wù)健康發(fā)展，是擺在眾多銀行面前的一道難題。

這也是為什么在銀行的IT基礎(chǔ)設(shè)施里幾乎看到安全產(chǎn)品的“全家?！钡脑颍鞣N防火墻、WAF、IDS、IPS、DLP應(yīng)接不暇。 但在這樣的情況下，依然沒能避免數(shù)據(jù)泄露、釣魚欺詐的事件發(fā)生。

讓人不禁要問，銀行信息安全防護之路在何方？ 弄清楚這個問題，就要從這些傳統(tǒng)的檢測機制上尋找原因?？梢哉f，傳統(tǒng)的防御機制都是在犧牲了無數(shù)“小白鼠”之后，對這些已知的攻擊特征做的針對性防護機制，但相信哪個黑客也不會傻到用路人皆知的攻擊手段，冒著被全球追捕的危險去打銀行的主意。

大數(shù)據(jù)技術(shù)的出現(xiàn)能否力挽狂瀾？ 在攻擊者與防御者一直處于道高一尺魔高一丈的狀態(tài)下，SIEM/SOC的產(chǎn)品出現(xiàn)了，其建立在早期的日志管理之上，更多的關(guān)注日志采集后的分析、審計并發(fā)現(xiàn)問題，將日志分析的功效發(fā)揮出來。 這給安全防護工作帶來了新的思路，畢竟攻擊者在每個環(huán)節(jié)下都會雁過留痕，通過數(shù)據(jù)分析，如果真的能把隱匿在數(shù)據(jù)海洋中的攻擊者或者潛在攻擊者“揪”出來，那么攻擊方在暗處，防守方在明處的不利局面將被徹底扭轉(zhuǎn)。

但往往事實總是與愿違，受限于技術(shù)約束，傳統(tǒng)的安全分析大都僅針對樣本數(shù)據(jù)進行分析，并將分析結(jié)果推論到剩余的數(shù)據(jù)集合上。 而隨著高級威脅和欺詐行為的不斷進化，越來越需要對全量數(shù)據(jù)，甚至是相關(guān)的情境數(shù)據(jù)進行分析。

并且當(dāng)銀行每天的數(shù)據(jù)量高達TB級時，SIEM/SOC的瓶頸出現(xiàn)了，龐大的數(shù)據(jù)量和多樣性迅速成為“駱駝背上的稻草”，并且會產(chǎn)生很多誤報。 大數(shù)據(jù)開始一度成為熱詞，這也讓銀行業(yè)嘗到了甜頭。

利用大數(shù)據(jù)分析不僅可以挖掘客戶的消費習(xí)慣做精準營銷，還可以在安全防護能力上更上一層樓。借助大數(shù)據(jù)安全分析技術(shù)，能夠更好地解決天量安全要素信息的采集、存儲的問題。

不過這似乎與傳統(tǒng)數(shù)據(jù)分析除了在數(shù)據(jù)處理能力上，其他差異并不是那么直觀。 畢竟信息安全十多年來一直在利用網(wǎng)絡(luò)流量、系統(tǒng)日志和其它信息源的分析甄別威脅，檢測惡意活動，而這些傳統(tǒng)方式跟大數(shù)據(jù)有何不同還是不太清晰，如果大數(shù)據(jù)安全分析僅是這樣，那么想在安全領(lǐng)域力挽狂瀾顯然是不夠的。

如何做好大數(shù)據(jù)安全分析 其實不然，在一個較為完備的基于大數(shù)據(jù)安全分析的解決方案中，通常會有一個大數(shù)據(jù)安全分析平臺作為整個方案的核心部件，承載大數(shù)據(jù)分析的核心功能，將所有分散的安全要素信息進行集中、存儲、分析、可視化，對分析的結(jié)果進行分發(fā)。 注意，是所有的安全要素，而并非僅僅是安全設(shè)備，無論是終端的、主機的、應(yīng)用的、網(wǎng)絡(luò)設(shè)備的、安全設(shè)備的，還是第三方云上的，通過收集這些全量數(shù)據(jù)進行統(tǒng)一的存儲、分析和展現(xiàn)，從而發(fā)現(xiàn)里面的異常行為，并進一步找到未知的安全威脅。

這種思路常見于美國FireEye、PhantomCyber等公司的解決方案，當(dāng)然也包括中國的HanSight。 做大數(shù)據(jù)分析，數(shù)據(jù)質(zhì)量也非常關(guān)鍵，如果提供分析的數(shù)據(jù)本身就有問題或者錯誤，那么分析結(jié)果必然有問題。

具體來說，如果IT人員僅針對海量日志進行分析，可能由于攻擊者將關(guān)鍵日志抹除，或者故意摻入假日志，反而會讓基于日志的大數(shù)據(jù)安全分析誤導(dǎo)。 這時，IT人員很強調(diào)對原始網(wǎng)絡(luò)流量的分析，將這些流量轉(zhuǎn)換為元數(shù)據(jù)，然后進行大數(shù)據(jù)分析，配合日志分析，效果更佳。

能夠更加智能地洞悉信息也是大數(shù)據(jù)安全分析的優(yōu)勢之一。以銀行業(yè)為例，黑客通過一些手段偽裝成真實合法的用戶進行資金劃轉(zhuǎn)，但上一筆記錄是北京，而五分鐘之后的記錄發(fā)生在廣州，這對于銀行系統(tǒng)來說，只要是合法用戶的操作，就不會干預(yù)。

但顯然在五分鐘的時間里除了超人，沒人能做到從北京直接到廣州。通過用戶異常行為的安全分析引擎，便會將這種違約交易進行阻擋，防患于未然。

對于黑客攻擊網(wǎng)銀系統(tǒng)經(jīng)常使用的“低頻暴力破解”手法，大數(shù)據(jù)安全分析也帶來了奇效。所謂低頻暴力破解就是利用手機銀行在后臺服務(wù)端可以多次密碼試錯的情況下，不停的撞庫進行破解。

而利用大數(shù)據(jù)安全分析便對這些仿制的原始IP查封，加入到黑名單。 不僅如此，大數(shù)據(jù)安全分析的發(fā)展還將改變傳統(tǒng)的網(wǎng)絡(luò)安全防護架構(gòu)、安全分析體系，并深刻變革現(xiàn)有的網(wǎng)絡(luò)安全業(yè)務(wù)模式。

包括 SIEM、日志分析、欺詐檢測、威脅情報在內(nèi)的多種服務(wù)都在積極擁抱大數(shù)據(jù)安全分析技術(shù)。 大數(shù)據(jù)安全分析已成為安全業(yè)務(wù)模式變革的催化劑。

而也正是如 HanSight這樣的團隊努力下，讓大數(shù)據(jù)安全分析開始嶄露頭角，使銀行安全防護的道路逐漸明朗了起來。

3.金融機構(gòu)信息安全包括哪些方面

(1) 信息泄露：保護的信息被泄露或透露給某個非授權(quán)的實體。

(2) 破壞信息的完整性：數(shù)據(jù)被非授權(quán)地進行增刪、修改或破壞而受到損失。

(3) 拒絕服務(wù)：信息使用者對信息或其他資源的合法訪問被無條件地阻止。

(4) 非法使用（非授權(quán)訪問）：某一資源被某個非授權(quán)的人，或以非授權(quán)的方式使用。

(5) 竊聽：用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息。例如對通信線路中傳輸?shù)男盘柎罹€監(jiān)聽，或者利用通信設(shè)備在工作過程中產(chǎn)生的電磁泄露截取有用信息等。（6） 業(yè)務(wù)流分析：通過對系統(tǒng)進行長期監(jiān)聽，利用統(tǒng)計分析方法對諸如通信頻度、通信的信息流向、通信總量的變化等參數(shù)進行研究，從中發(fā)現(xiàn)有價值的信息和規(guī)律。

(7) 假冒：通過欺騙通信系統(tǒng)（或用戶）達到非法用戶冒充成為合法用戶，或者特權(quán)小的用戶冒充成為特權(quán)大的用戶的目的。我們平常所說的黑客大多采用的就是假冒攻擊。

(8) 旁路控制：攻擊者利用系統(tǒng)的安全缺陷或安全性上的脆弱之處獲得非授權(quán)的權(quán)利或特權(quán)。例如，攻擊者通過各種攻擊手段發(fā)現(xiàn)原本應(yīng)保密，但是卻又暴露出來的一些系統(tǒng)“特性”，利用這些“特性”，攻擊者可以繞過防線守衛(wèi)者侵入系統(tǒng)的內(nèi)部。

(9) 授權(quán)侵犯：被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個人，卻將此權(quán)限用于其他非授權(quán)的目的，也稱作“內(nèi)部攻擊”。

(10)抵賴：這是一種來自用戶的攻擊，涵蓋范圍比較廣泛，比如：否認自己曾經(jīng)發(fā)布過的某條消息、偽造一份對方來信等。

(11)計算機病毒：這是一種在計算機系統(tǒng)運行過程中能夠?qū)崿F(xiàn)傳染和侵害功能的程序，行為類似病毒，故稱作計算機病毒。

(12)信息安全法律法規(guī)不完善：由于當(dāng)前約束操作信息行為的法律法規(guī)還很不完善，存在很多漏洞，很多人打法律的擦邊球，這就給信息竊取、信息破壞者以可趁之機。

4.商業(yè)銀行信息安全策略應(yīng)涉及哪些領(lǐng)域

（一） 安全策略；

（二） 內(nèi)控制度建設(shè)；

（三） 風(fēng)險管理狀況；

（四） 系統(tǒng)安全性；

（五） 業(yè)務(wù)運行連續(xù)性計劃；

（六） 業(yè)務(wù)運行應(yīng)急計劃；

（七） 風(fēng)險預(yù)警體系；

（八） 其他重要安全環(huán)節(jié)和機制的管理。

技術(shù)方面需要考慮：

（一） 物理安全；

（二） 數(shù)據(jù)通訊安全；

（三） 應(yīng)用系統(tǒng)安全；

（四） 密鑰管理；

（五） 客戶信息認證與保密；

（六） 入侵監(jiān)測機制和報告反應(yīng)機制。

5.如何理解銀行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施

第一，銀行業(yè)具有足夠數(shù)量的數(shù)據(jù)資源和數(shù)據(jù)信息。銀行業(yè)擁有天然的數(shù)據(jù)基因，掌握著大量的國民經(jīng)濟和客戶經(jīng)營信息，同時還掌握著真實可靠的客戶信用記錄或信用數(shù)據(jù)，能滿足大數(shù)據(jù)技術(shù)的工作需要。

第二，銀行業(yè)具有較強的信息科技建設(shè)實力，能為互聯(lián)網(wǎng)金融基礎(chǔ)設(shè)施、科技設(shè)備和人力資源的投入提供及時的資金支持。

第三，銀行業(yè)擁有直接面向客戶，提供支付結(jié)算、代收代繳、投資理財?shù)冉鹑诜?wù)的功能相對完備的門戶網(wǎng)站和網(wǎng)絡(luò)平臺，且擁有較為統(tǒng)一的基礎(chǔ)數(shù)據(jù)接口和高效精準的后臺數(shù)據(jù)處理能力。

第四，銀行業(yè)擁有足夠數(shù)量、功能齊備的線下網(wǎng)點，更易形成線上線下齊發(fā)并進的渠道優(yōu)勢。

第五，銀行業(yè)具有更為成熟的風(fēng)控手段和較為強大的“公信力”，能對客戶產(chǎn)生更為穩(wěn)健、安全的業(yè)務(wù)吸引力。

6.金融行業(yè)對信息安全方面相關(guān)法規(guī)有哪些

多了去了。

既有針對整體的，又有針對某業(yè)務(wù)的。

下面列一些：

《商業(yè)銀行外包風(fēng)險管理指引（征求意見稿）》.doc

關(guān)于印發(fā)銀監(jiān)會《銀行業(yè)金融機構(gòu)信息系統(tǒng)安全保障問責(zé)方案》的通知.doc

關(guān)于做好網(wǎng)上銀行風(fēng)險管理和服務(wù)的通知 銀監(jiān)辦發(fā)[2007]134號.doc

（銀監(jiān)辦發(fā)〔2011〕26號）關(guān)于征求銀行業(yè)“十二五”信息科技發(fā)展規(guī)劃相關(guān)意見的通知.pdf

（銀監(jiān)辦發(fā)〔2011〕62號）關(guān)于進一步加強網(wǎng)上銀行風(fēng)險防控工作的通知.pdf

網(wǎng)上銀行安全風(fēng)險管理指引（征求意見稿）.pdf

銀發(fā)[2011]17號中國人民銀行關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知.PDF

轉(zhuǎn)發(fā)中國人民銀行辦公廳《金融業(yè)信息安全風(fēng)險提示》的通知.pdf

7.銀行信息安全體系制度的建設(shè)

中小銀行信息安全體系建設(shè)的目標(biāo) 根據(jù)上述中小銀行所面臨的信息安全風(fēng)險，我認為中小銀行信息安全體系建設(shè)的目標(biāo)是通過建立完善的信息安全管理制度和智能、深度的安全防御技術(shù)手段，構(gòu)建一個管理手段與技術(shù)手段相結(jié)合的全方位、多層次、可動態(tài)發(fā)展的縱深安全防范體系，來實現(xiàn)信息系統(tǒng)的可靠性、保密性、完整性、有效性、不可否認性，為金融業(yè)務(wù)的發(fā)展提供一個堅實的信息系統(tǒng)基礎(chǔ)保障。

信息安全防范體系的覆蓋范圍是整個信息系統(tǒng)。 中小銀行信息安全建設(shè)的主要工作內(nèi)容有： 1、建立銀行信息安全管理組織架構(gòu)，專門負責(zé)信息系統(tǒng)的安全管理和監(jiān)督。

2、制訂金融安全策略和安全管理制度。安全管理部門結(jié)合銀行信息系統(tǒng)的實際情況，制訂合理的安全策略，對信息資源進行安全分級，劃分不同安全等級的安全域，進行不同等級的保護。

制訂并執(zhí)行各種安全制度和應(yīng)急恢復(fù)方案，保證信息系統(tǒng)的安全運行。這些包括：密碼管理制度、數(shù)據(jù)加密規(guī)范、身份認證規(guī)范、區(qū)域劃分原則及訪問控制策略、病毒防范制度、安全監(jiān)控制度、安全審計制度、應(yīng)急反應(yīng)機制、安全系統(tǒng)升級制度等。

3、設(shè)計并實施技術(shù)手段，技術(shù)手段要包括外網(wǎng)邊界防護、內(nèi)網(wǎng)區(qū)域劃分與訪問控制、端點準入、內(nèi)網(wǎng)監(jiān)控與管理、移動辦公接入、撥號安全控制、病毒防范、安全審計、漏洞掃描與補丁管理等諸多方面安全措施。 4、建立安全運維管理中心，集中監(jiān)控安全系統(tǒng)的運行情況，集中處理各種安全事件；統(tǒng)一制訂安全系統(tǒng)升級策略，并及時對安全系統(tǒng)進行升級，以保證提高安全體系防護能力。

8.商業(yè)銀行如何保護個人信息安全

商業(yè)銀行在征信體系既是信息的提供者又是使用者，也承擔(dān)著保護個人信息安全的職責(zé)。在信息的采集和使用上，商業(yè)銀行有其規(guī)章制度和合規(guī)流程，以確保個人信息安全。

中國工商銀行管理信息部總經(jīng)理蘇宗國介紹，工行在采集和向征信機構(gòu)報送個人信息的時候要取得個人同意、授權(quán)，查詢個人信息要獲得個人的授權(quán)，在授權(quán)中要說明用途。

對于銀行內(nèi)部信用信息使用，工行建立了白名單制度。蘇宗國介紹，工行所有分支機構(gòu)納入白名單的用戶也就200多人，只有這些人可以登錄人行征信系統(tǒng)查詢，但只能做個人的異議處理或者用戶管理。

對于銀行內(nèi)部信息使用者，工行還設(shè)立了前置系統(tǒng)。“該系統(tǒng)跟人行征信系統(tǒng)對接，系統(tǒng)用戶必須通過征信信息安全測試，形象的比喻就是‘考駕照’，經(jīng)過測試，成績合格后才能進入。”操作系統(tǒng)時，還需要通過雙重密碼認證。

在加強系統(tǒng)監(jiān)測方面，蘇宗國表示，對沒有業(yè)務(wù)背景的信息查詢，對非工作時間的查詢，對過量的查詢還有報告超期保存，工行都會實時監(jiān)控，一旦系統(tǒng)發(fā)現(xiàn)違規(guī)、自動報警的，由管理員及時去核查，并交由該用戶上級去核實