金融银行业信息安全整体解决方案
技术创新,变革未来
信息安全培训试题 一、单选 1、信息科技风险指在商业银行运用过程中,由于自然因素、(B)、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 A 制度落实 B 技术标准 C 人为因素 D 不可抗力 2、信息科技风险管理的第一责任人是(A)。 A 银行的法定代表人 B 信息技术部负责人 C CIO D 其他 3、信息科技指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行(A),建立完整的管理组织架构,制订完善的管理制度和流程。 A 信息科技治理 B 信息安全管理
系统持续性管理C. D 突发事件管理 4、所有科技风险事件都可以归于信息系统连续性或(D)出问题的事件。 A 保密性 B 完整性 C 可用性 D 安全性 5、设立或指派一个特定部门负责信息科技(D)管理工作,该部门为信息科技突发事件应急响应小组的成员之一。 A 安全 B 审计 C 合规 D 风险 6、内部审计部门设立专门的信息科技风险审计岗位,负责(A)进行审计。 A 信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等 B制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等 C 信息科技审计制度和流程的实施,对信息科技整个生命周期和重大事件等
信息科技审计制度和流程的实施,制订和执行信息科技审计计划D 等 7、信息科技风险管理策略,包括但不限于下述领域(C)。 A信息分级与保护;信息系统开发、测试和维护;信息科技运行和维护;访问控制;物理安全;人员安全 B信息分级与保护;信息系统开发、测试和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置C信息分级与保护;信息系统开发、测试和维护;信息科技运行和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置 D 信息分级与保护;信息科技运行和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置 8、依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。定义每个业务级别的控制内容,包括最高权限用户的审查、控制对数据和系统的物理和逻辑访问、访问授权(C)为原则、审批和授权、验证和调节。。 A以“最小授权” B以“必需知道” C以“必需知道”和“最小授权” D以上都不是 9、信息科技风险管理应制定明确的(D)等,定期进行更新和公示A信息科技风险管理制度 B 技术标准
专业简介 本专业是计算机、通信、数学、物理、法律、管理等学科的交叉学科,主要研究确保信息安全的科学与技术。培养能够从事计算机、通信、电子商务、电子政务、电子金融等领域的信息安全高级专门人才。信息安全的概念在本世纪经历了一个漫长的历史阶段,90年代以来得到了深化。进入21世纪,随着信息技术的不断发展,信息安全问题也日显突出。如何确保信息系统的安全已成为全社会关注的问题。国际上对于信息安全的研究起步较早,投入力度大,已取得了许多成果,并得以推广应用。目前国内已有一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机构与高科技企业,形成了我国信息安全产业的雏形,但由于国内专门从事信息安全工作技术人才严重短缺,阻碍了我国信息安全事业的发展。信息安全专业是十分具有发展前途的专业。 专业培养目标 本专业是培养拥护党的基本路线,适应我国全面建设小康社会实际需要的,在生产、建设、服务和管理第一线需要的。具有必要的基础理论知识,具备信息安全必要的基本理论、基本知识、基本技能及综合应用能力;熟悉国家信息安全管理的政策和法律法规;了解信息安全的发展动向;具备对计算机网络及信息安全工程进行设计,实施及管理的能力;具有良好的职业道德,敬业与创新精神的高素质技能型人才。 课程设置 在校期间,不仅强调学生对基础知识的掌握,更强调对其专业素质和能力的培养。学生除学习理工专业公共基础课外,学习的专业基础和专业课主要有:高等数学、线性代数、计算方法、概率论与数理统计、计算机与算法初步、C++语言程序设计、数据结构与算法、计算机原理与汇编语言、数据库原理、操作系统、大学物理、集合与图论、代数与逻辑、密码学原理、编码理论、信息论基础、信息安全体系结构、软件工程、数字逻辑、计算机网络等。
附件 省银行业金融机构信息安全管理指引(试行) 第一章总则 第一条为切实加强省银行业金融机构(以下简称银行机构)信息安全工作的管理和指导,进一步增强银行机构信息安全保障能力,保障国家经济金融运行安全,保护金融消费权益和维护社会稳定,根据国家和人民银行总行有关规定和要求,特制订本指引。 第二条本指引所称信息安全管理,是指在银行机构计算机系统建设、运行、维护、使用及废止等过程中,保障计算机数据信息、计算机系统、网络、机房基础设施等安全的一系列活动。 第三条省人民银行分支机构按属地管理原则对辖银行机构信息安全工作进行管理、指导和协调。各银行机构负责本系统(单位)的信息安全管理,完成人民银行交办的信息安全管理任务、接受人民银行的监督和检查。 第四条各银行机构信息安全管理工作的目标是:建立和完善与金融机构信息化发展相适应的信息安全保障体系,满足金融机构业务发展的安全性要求,保证信息系统和相关基础设施功能的正常发挥,有效防、控制和化解信息技术风险,增强信息系统安全预警、应急处置和灾难恢复能力,保障数据安全,显著提高金融机构业务持续运行保障水平。 第五条各银行机构信息安全管理工作的主要任务是: (一)加强组织领导,健全信息安全管理体制,建立跨部门、
跨行业协调机制; (二)加强信息安全队伍建设,落实岗位职责制,不断提高信息安全队伍业务技能; (三)保证信息安全建设资金的投入,将信息安全纳入“五年”发展规划和年度工作计划,不断完善信息安全基础设施建设; (四)进一步加强信息安全制度和标准规体系建设; (五)加大信息安全监督检查力度;加快以密码技术应用为基础的网络信任体系建设; (六)加强安全运行监控体系建设; (七)大力开展信息安全风险评估,实施等级保护; (八)加快灾难恢复系统建设,建立和完善信息安全应急响应和信息通报机制; (九)广泛、深入开展信息安全宣传教育活动,增强全员安全意识。 第六条本指引适用于在省设立的各政策性银行、国有商业银行、股份制银行、邮政储蓄银行、城市商业银行、农村商业银行、城市信用合作社、农村信用合作社、村镇银行的总部和分支机构。非银行机构参照执行。 第二章组织机构 第七条各银行机构应建立健全信息安全管理机构。应建立由行领导负责、相关部门负责人及部专家组成的信息安全领导机构,负责本系统(单位)信息安全管理工作,决策本系统(单位)信息安全重大事宜。
一、引言 我们正在走进一个信息化社会,信息正在充斥着我们的工作和生活,改变着我们的生活方式和社会形态。面对面的交谈变成了缺少真实的视觉信息、表情信息的文字聊天。一个原来只是自言自语的行为,变成了可以迅速传播的广知信息。两个人面对面的私人谈话,信息可以得到充分保护,但是我们用网络进行,情况又会怎么样,我们不得不面临信息化带来的诸多问题,特别是信息领域的安全问题,更是引起社会方方面面的关注,而且将是一个长期的不断解决和不断变化的课题。它不仅是信息技术问题,也将涉及道德、法律问题,并成为社会公共安全的一部分。为了把信息领域的安全问题研究好,解决好,首先应建立一个科学、清晰的认知体系。 二、怎样界定信息领域 我们通常理解的信息领域是指通过电子、电磁、光技术对信息进行处理的整个领域。因此,信息产业部是国务院进行信息处理的所有产业领域实施监管的部门。社会的发展、技术的变化冲击着我们原来的认知体系,对我们分析问题和处理问题造成了一定的麻烦。例如,原来我们看的书藉、文章公开发售是出版范畴,可是现在寄生在电子产品或网络中的电子图书已经分不清是信息产品还是出版物了。原来在公共场所贴出一些非法告示,是一种刑事问题,由公安机关来处理。由于是公共场所,一般没有人承担连带的管理责任,但是如果在互联网上出现了类似的问题,是由当事人负责还是谁应该负一定的管理责任等都属于信息领域。因此,笔者认为应该从信息化社会发展的角度科学界定信息领域的范畴,明确技术归属,研究技术手段,建立完善的法制规范体系,使技术和社会得以健康有序地发展。 信息是指能适合于通信、存贮或处理的形式表示的智能或知识(引自国家标准GB/T14733.1193《电信术语》,等效于国际电工词汇(IEV704))。因此,信息产业或信息领域是指对信息进行不同表达形式的处理,用电子、电磁、光形式承载、贮存、转换,就像在邮政系统处理信件一样,或者说如同出版过程的排版、印刷、装订、包运一样。但对于信息的内涵,也就是智能或知识是什么,用来干什么,似乎不在信息领域的范畴。实际情况告诉我们,一些信息的内涵已成为信息网络系统的毒瘤,严重威胁着网络的正常运转,还有一些信息内涵与社会意识形态相抵触,在网络里传播,造成许多社会问题。这种现象和控制手段又与信息网络技术分不开,因此对信息内涵的控制在一定程度上也应纳入信息领域的范畴。 三、什么是信息领域的安全 通常我们说信息安全或网络、信息安全想要表达的就是信息领域的安全。这种表达既不完整,也不确切,严格地讲信息安全或网络、信息安全与信息领域所涉及的整体安全是不相同的,我们已经感到不对信息领域的安全问题进行清晰的表达将会影响我们对相关问题的研究和解决,因此正确表达我们所谈及的范畴,对我们所要进行的研究非常重要。 1.信息和信息安全 前面谈到信息是指能以适合于通信、存贮或处理的形式表达的智能或知识。信息安全应该是指那些智能或知识在通信、存贮或处理的各个过程中是否能得到妥善的、完好无损的保护。其安全特征表现在那些智能或知识无论是什么,都不能被盗窃,丢失,修改,被错误投
新形势下我国金融行业的信息安全 --转自《赛迪智库报告》随着信息技术的广泛应用和电子商务的快速发展,金融服务模式正由传统的柜台服务模式向网上银行、第三方支付、P2P小额贷款、企业网络融资等新型服务模式扩展。这种扩展推动了金融业务与互联网的进一步融合,我国金融业信息化正经历向信息化金融的转变,信息化金融已逐渐成为我国金融业的发展方向。但与此同时,由于这种新型服务方式虚拟化、业务边界模糊化、经营环境开放化等特点,使得互联网上的金融业务面临网络攻击、病毒侵扰、非法窃取账户信息、客户信息泄漏等新的信息安全问题。 金融行业信息安全存在的问题 金融领域核心软硬件被国外垄断、金融行业服务外包高度依赖国外厂商、金融信息系统灾备和应急响应能力差、金融业务系统风险控制水平低等问题,严重威胁金融行业信息安全。 1.金融领域核心软硬件被国外垄断,严重威胁行业信息安全。 当前,包括金融、军工、能源、民航在内的很多涉及国计民生的领域越来越依赖信息网络系统,我国金融行业的网络基础设施、大型机、小型机、存储设备、芯片、数据库、操作系统、核心业务系统等几乎都被国外垄断,使得我国金融信息系统很容易被国外掌控,严重威胁我国金融行业信息安全。 2.金融行业服务外包高度依赖国外厂商,加大了风险控制难度。 目前金融行业服务外包高度依赖国外厂商。尤其是一些政策性银行、股份制银行和外资参股的中小金融机构,为节约成本、提高效率和规模、加快扩张速度,服务外包时高度依赖国外厂商。这种金融服务外包高度依赖国外厂商的状况,容易导致极大的信息安全风险。一是信息泄漏,在外包逐渐深化过程中,金融机构逐步将自己全部的关键信息提供给服务提供商去管理维护和开发,这些金融机构的敏感信息、核心技术就存在泄密的可能性,一旦被竞争对手或者不法分子获取,将产生严重后果。二是服务提供商在工作中越俎代庖,封闭执行全部工作,不向金融机构提供关键技术,服务提供商在系统中是否留有后门,金融机构不得而知,造成很大的信息安全隐患。三是随着金融企业信息技术平台交由国外厂商来管理,如骨干网络系统管理、业务系统运维和管理、业务系统开发与维护、数据备份及异地灾难恢复等,一旦发生问题,金融企业就处于被动地位,故障无法及时处理,风险难以得到控制,极易扩大问题的影响面而引发大的信息安全事件。 3.金融信息系统灾备建设与国外差距大,应急响应能力有待提高。
金融信息安全特点与现状分析 在现代金融行业里,网络有着广泛全面的应用,现代金融管理正朝着电子化、信息化、网络安全化的方向在发展,尤其是网络信息安全化发展的VPN技术在现代金融行业管理中起着越来越重要的作用。 摘要:本文阐述了金融系统的网络安全特点、现状和解决方案,重点阐述了VPN技术及其在现代金融管理系统中的实现与应用。 关键词:网络;VPN;金融;信息;安全 一、现代金融网络系统典型架构及其安全现状 就金融业目前的大部分网络应用而言,典型的省内网络结构一般是由一个总部(省级网络中心)和若干个地市分支机构、以及数量不等的合作伙伴和移动远程(拨号)用户所组成。除远程用户外,其余各地市分支机构均为规模不等的局域网络系统。其中省级局域网络是整个网络系统的核心,为金融机构中心服务所在地,同时也是该金融企业的省级网络管理中心。而各地市及合作伙伴之间的联接方式则多种多样,包括远程拨号、专线、Internet等。 从省级和地市金融机构的互联方式来看,可以分为以下三种模式:(1)移动用户和远程机构用户通过拨号访问网络,拨号访问本身又可分为通过电话网络拨入管理中心访问服务器和拨入网络服务提供商两种方式;(2)各地市远程金融分支机构局域网通过专线或公共网络与总部局域网络连接;(3)合作伙伴(客户、供应商)局域网通过专线或公共网络与总部局域网连接。 由于各类金融机构网络系统均有其特定的发展历史,其网络技术的运用也是传统技术和先进技术兼收并蓄。通常在金融机构的网络系统建设过程中,主要侧重于网络信息系统的稳定性并确保金融机构的正常生产营运。 就网络信息系统安全而言,目前金融机构的安全防范机制仍然是脆弱的,一般金融机构仅利用了一些常规的安全防护措施,这些措施包括利用操作系统、数据库系统自身的安全设施;购买并部署商用的防火墙和防病毒产品等。在应用程序的设计中,也仅考虑到了部分信息安全问题。应该说这在金融业务网络建设初期的客观环境下是可行的,也是客观条件限制下的必然。由于业务网络系统中大量采用不是专为安全系统设计的各种版本的商用基础软件,这些软件通常仅具备一些基本的安全功能,而且在安装时的缺省配置往往更多地照顾了使用的方便性而忽略了系统的安全性,如考虑不周很容易留下安全漏洞。 此外,金融机构在获得公共Internet信息服务的同时并不能可靠地获得安全保障,Internet服务提供商(ISP)采取的安全手段都是为了保护他们自身和他们核心服务的可靠性,而不是保护他们的客户不被攻击,他们对于你的安全问题的反应可能是提供建议,也可能是尽力帮助,或者只是关闭你的连接直到你恢复正常。因此,总的来说金融系统中的大部分网络系统远没有达到与金融
信息安全 主要概念 网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、消息认证、数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。信息安全服务至少应该包括支持信息网络安全服务的基本理论,以及基于新一代信息网络体系结构的网络安全服务体系结构。 定义 信息安全是指为数据处理系统而采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。这里面既包含了层面的概念,其中计算机硬件可以看作是物理层面,软件可以看做是运行层面,再就是数据层面;又包含了属性的概念,其中破坏涉及的是可用性,更改涉及的是完整性,显露涉及的是机密性。 发展趋势 信息安全学科可分为狭义安全与广义安全两个层次,狭义的安全是建立在以密码论为基础的计算机安全领域,早期中国信息安全专业通常以此为基准,辅以计算机技术、通信网络技术与编程等方面的内容;广义的信息安全本专业是一门综合性学科,从传统的计算机安全到信息安全,不但是名称的变更也是对安全发展的延伸,安全不在是单纯的技术问题,而是将管理、技术、法律等问题相结合的产物。培养能够从事计算机、通信、电子商务、电子政务、电子金融等领域的信息安全高级专门人才。信息安全的概念在本世纪经历了一个漫长的历史阶段,90年代以来得到了深化。进入21世纪,随着信息技术的不断发展,信息安全问题也日显突出。如何确保信息系统的安全已成为全社会关注的问题。国际上对于信息安全的研究起步较早,投入力度大,已取得了许多成果,并得以推广应用。中国已有一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机构与高科技企业,形成了中国信息安全产业的雏形,但由于中国专门从事信息安全工作技术人才严重短缺,阻碍了中国信息安全事业的发展。信息安全专业是十分具有发展前途的专业。 在信息交换中,“安全”是相对的,而“不安全”是绝对的,随着社会的发展和技术的进步,
1.PDRR: Protect (保护) Detect(检测) React(反应) Restore(恢复) 2.IDS:(Intrusion detection system)-入侵检测系统 3.IPS:(Intrusion Provision system)-入侵防御系统 4.VPN:(Virtual private network)-虚拟专用网技术 5.DES:(Data encryption standard)-数据加密标准 6.AES:(Advanced encryption standard)—高级加密标准 二、填空题 1.主动的信息安全防御模型可以抽象为(风险评估)、制定安全策略、实施保护、(实时监测)、及时响应和(快速恢复)6个环节。 2.安全扫描技术主要分为主机安全扫描技术和(网络安全扫描技术)。 3.IDS一般分为基于主机的HIDS和(NIDS)两类。 4.(安全策略)是信息系统安全模型与安全保护的核心。 5. (屏蔽)是防止雷电电磁脉冲辐射对电子设备影响最有效的方法。 6.(防火墙)是信息系统网络安全防御体系的第一道防线。 7.身份认证技术中,(一次性口令认证技术)最安全。 8. 金融信息系统是由客户端、(应用服务器)与(数据库服务器)组成的三层架构系统。 9. 银行事务处理系统可以划分为(核心层)、业务层、(服务层)和客户层4个层次结构。 10. EDPS、MIS、DSS3个系统之间联系的纽带为数据库、算法库以及(模型库)三库系统,他们是金融信息系统的核心。 11.金融信息系统的逻辑结构可分为(信息管理系统)、(决策支持系统)和事务处理系统三个层次。 12. 金融信息系统由客户端、(数据库服务器)、(应用服务器)、网络和用户组成。 13.请列出信息安全的主要特征(机密性Confidentially)(完整性Integrity)(可用性Availability)(可控性Controllability)(不可抵赖性Non-repudiation)。 14. 以“可信计算机系统评估准则(TCSEC)”为标志的是(信息安全阶段) 15. 体现动态安全理念的PDRR模型的5个安全环节是(物理安全)(运行安全)(数据安全)(内容安全)(管理安全)。 16. 为达到金融信息安全“看不懂”的目标,需要借助(加密)机制 17. 为达到金融信息安全“进不来”的目标,需要借助(访问控制)机制 三、简答: 1、对金融行业来说,金融信息化指的是什么? 答:金融信息化是指在金融领域全面发展和应用现代信息技术,以创新智能技术工具更新改造和装备金融业,使金融活动的结构框架从物理性空间向信息性空间转变的过程。、 2、请列出常见的至少5种信息安全技术,并对每种技术的特征作简要描述。 答:常见的信息安全技术有防火墙、访问控制、身份认证、入侵检测系统、病毒防护、虚拟专用网(VPN)、安全审计、数据加密、电子签名、内容安全等。 1>防火墙:是一个有硬件和软件组合而成的设备,设置在计算机网络的内部网和外部网之 间的连接处,保护内部网络免遭非法用户通过外部网络的入侵。a、网络流量过滤b、网络审计监控c、形成集中式安全管理d、多功能网络技术支持服务 2>虚拟专用网(VPN virtual protect network):在不安全的公共网络中利用加密技术建设私 有网络。 3>入侵检测系统(IDS Intrusion detection system):作为防火墙的补充,用于实时发现和抵 御黑客的攻击.\ 4>病毒防护:计算机防护病毒的主要技术有检测和清除,用于及时发现并清除病毒。病毒
防灾科技学院 成人高等教育毕业论文 题目互联网金融的风险与监管分析 专业 层次 学号 答辩人张全东 指导教师 完成时间
互联网金融的风险与监管分析 防灾科技学院成人高等教育专升本(专科)****级*****专业 ***** 摘要:随着金融全球化和综合化发展趋势进一步增强,我国金融业已经进入互联网金融阶段。在这一阶段,随着互联网用户急剧增多,消费者的网络消费习惯逐渐形成,为互联网金融的发展提供了良好的外部条件。在2014 年,互联网金融被写入政府工作报告,显示出我国对互联网金融发展的重视。互联网金融快速发展,在满足实体经济发展、推进我国利率市场化、信息技术革新、普惠金融的发展等方面都发挥着积极作用。互联网金融对我国金融体系的完善有着重要的意义,与此同时,这一新生金融事物也存在许多问题,尤其是在对互联网金融监管问题的研究,更是显得尤其重要。基于此,本文重点分析了现阶段我国互联网金融风险监管过程中出现的问题并提出相应的解决措施。通过本文论述,以期对我国金融行业的健康稳定发展有一定的理论和实践指导意义。 关键词:互联网金融中国金融业影响风险监管
目录 一、绪论 (1) (一)研究背景 (1) (二)研究意义 (1) (三)文献综述 (2) 二、互联网金融理论概述 (3) (一)互联网金融 (3) (二)互联网金融的优势 (3) (三)互联网金融发展 (4) 三、互联网金融风险存在的原因分析 (5) (一)现有金融体制方面的不足 (5) (二)现实供需矛盾的存在 (5) (三)低成本高收益的盈利模式 (6) 四、互联网金融监管风险监管存在的问题 (6) (一)市场机制不完善 (6) (二)现行体制和社会主义经济体制不适应 (7) (三)政府监督体系不健全 (7) 五、完善互联网金融监管的措施和建议 (8) (一)进一步完善市场体系 (8) (二)创建互联网金融监督机构的行政管理机制 (9) (三)健全政府部门监督管理 (9) 六、互联网金融环境下实现中国金融的新发展 (11) (一)转变观念,认清互联网金融的价值 (11) (二)提高金融机构电子化 (11) (三)提高互联网金融的网络安全性 (12) 结论 (13) 参考文献 (14) 致谢 (15)
信息安全管理练习题-2014 判断题: 1. 信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。(×) 注释:在统一安全策略的指导下,安全事件的事先预防(保护),事发处理(检测Detection和响应Reaction)、事后恢复(恢复Restoration)四个主要环节相互配合,构成一个完整的保障体系,在这里安全策略只是指导作用,而非核心。 2. 一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。(×) 注释:应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型(×) 注释:共3种计算机犯罪,但只有2种新的犯罪类型。 单选题: 1. 信息安全经历了三个发展阶段,以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D. 安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性,下列(C)不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的(A)安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是(C)的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国 注:美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是(D)。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是(B)。 A. ISO 15408 B. ISO 17799/ISO 27001(英) C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国(A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部令 8. 在PDR安全模型中最核心的组件是(A)。 A. 策略 B. 保护措施 C. 检测措施 D. 响应措施 9. 在完成了大部分策略的编制工作后,需要对其进行总结和提炼,产生的结果文档被称为(A)。 A. 可接受使用策略AUP B. 安全方针 C. 适用性声明 D. 操作规范
金融业信息安全事件的防范 1信息安全事件的发生和分析 随着金融业务系统的日益复杂化,安全隐患也散布于各点,科技部门 也无法准确预测到问题会出现在什么地方,任何一个错误操作都可能 造成整个系统的瘫痪,这对科技部门操作流程的规范性提出了更高的 要求。2012年10月,某金融机构操作人员因为误操作将业务系统的交易日志文件关闭,导致系统不能正常运行;2012年11月,某金融机构维护人员错误操作,导致生产和备份系统重要系统文件丢失,造成服 务器宕机,导致重要业务系统无法正常启动。错误操作的发生源于操 作人员的粗心,但关键是因为操作流程不规范,对重要操作缺乏切实 有效的监管措施。(1)信息安全管理未贯穿于信息系统的全生命周期。部分机构忽视信息系统全生命周期的安全管理,在业务系统开发部署 上线时,未配套进行安全体系的设计和建设,或流于形式,不对方案 进行充分地测试。2012年3月,某机构生产线路发生中断,但因为技 术方案问题未能顺利切换到备份线路,导致业务发生中断;2012年11月,某机构因为未发现备份系统早已出现问题,在生产系统出现问题时,主备切换失败,导致业务中断。系统的安全体系流于形式,备份 系统测试不充分,或疏于监控维护,都可能导致安全事件的发生。(2)优先恢复业务的意识不足,应急处置能力有待提升。绝大多数金融机 构都制定了信息系统应急预案,并定期演练。但部分金融机构存有着 应急预案与实际不符,可操作性不强,对部分情况无明确处置方法的 情况,并且部分科技人员对应急预案不够熟悉,不清楚启动预案的条 件和流程,不能迅速的处置解决问题。2012年7月,某机构因为设备 故障导致业务处理速度缓慢,但因为该设备上承载了多项重要业务, 原有应急预案未充分考虑实际情况,科技部门未能按照预案执行,导 致事件处理时间延后,影响扩大。该事件的发生一方面是因为系统建 设时未充分考虑信息安全因素,不符合核心系统专机专用的安全思路,另一方面就是因为应急预案与实际不符合,可操作性不强,导致了事 件影响扩大。综合来看,银行业金融机构在信息安全方面特别是安全
银行征信信息安全自查汇报 银行征信信息安全自查报告1 一、本行相关征信工作人员在使用办理征信业务时,严格按照中国人民银行《征信业管理条例》执行,遵循合规、审慎、保密、维护金融消费者权益的原则,对自己的查询帐号严格保密,密码定期修改。 二、在查询过程中,按照审慎和维护金融消费者权益的原则,对每一笔被查询者,由被查询者当面签订查询授权书,按照被查询者的授权的查询原因,进行授权内查询,做到无无权查询和越权查询。 并且对每一笔查询结果,做到保密制度,切实维护被查询者的个人隐私。 三、对每一笔查询者,在查询之前,做好查询登记制度,登记被查询者的姓名、住址、身份证号码、联系号码、查询原因进行详细登记,对每笔查询记录逐笔登记,并按季度对其登记簿进行装订保存。 四、现我行被查询者为借款人,对其符合发放贷款的被查询者,查询报告都做为贷款资料保存,对不符合贷款条件的贷户,我行对其查询报告进行专夹保管,查询者对其信息绝不对外宣传,保证其查询信息不泄漏,影响个人信誉。五、对其查询的个人与单位征信,本着全面、客观、合理的原则对客户进行综合评价,征信信息仅供参考,不应简单以个人与单位征信系统存在负面数据为由,正确使用征信系统,合规开展征信业务。 六、对个人贷款户进行贷款后管理查询,严格按照主管授权制 度,对每笔需要贷后检查的个人征信查询,按照先登记授权,后查询的原则
办理查询业务。 自查人:xx (二)系统管理情况我行健全内部控制制度, 通过权限管理设置, 加强对X-PAD 系统、CRM系统、个人征信信息系统的管理,系统的使用人员都经过了严格的审批程序,并明确了管理责任, 确保个人金融信息在收集、传输、加工、保存、使用等环节不被泄露和盗用。今年以来,我行通过对个人客户经理的风险排查和对基层网点常规业务检查对涉及个人金融信息的保密环节进行了自查和检查,目前尚未发现个人信息泄漏的情况。 (三)重点业务和关键环节的检查情况2 为强化内部控制,加强个人金融业务操作风险管理,促进个人金融业务又好又快发展,预防和遏制由于内部监督控制不力、违规操作而导致的重大风险,个金部将重点业务和关键环节的检查均纳入检查计划作为常规检查项目,认真开展个人金融业务的检查。 1 、银行卡业务管理 (1)在发卡审核环节,对所有申请进件进行了100%电核,对有疑问的或批量进件由风险人员和直销领队上门核实包括真实性,所有进件均实行了“三亲见”制度,并通过身份联网核查和人行征信系统进行了身份核查和征信调查。 (2)我行严把特约商户准入关。按照各级监管部门的有关规定, 正确使用和设置特约商户的结算账户。落实特约商户实名制,在充分了解核实商户相关信息的同时,在人民银行联网核查系统和中国银联的不良信息系统核实商户法定代表人或负责人、授权经办人的个人身份和资信。严格执行商户调
互联网金融的蓬勃发展有力推进了我国传统金要:摘 融业的改革,但也对风险防控、金融稳定、监管创新提出了新的挑战。在新常态下,如何应对挑战,做到既能充分包容创新又能确保风险防控到位,亟需加强研究。本文分析互联网金融发展存在的风险以及当前的管理政策,提出强化互联网风险防控、创新监管的对策建议。研究对策互联网 金融关键词:风险防控 一、国内互联网发展基本情况 近年来,互联网金融呈蓬勃发展态势。2014年中国互联网金融规模已突破10万亿元,第三方互联网支付市场交易规模 达万亿元,P2P市场规模约1000亿元,众筹市场规模约100亿元,网络小贷市场规模约5000亿元,基金销售约6000亿元,金融机构创新约1000亿元,财富管理约100亿元。互 联网金融快速发展与其独特的优势密不可分,与传统金融相比,网络技术使金融信息和业务处理方式更加先进,能为客户提供更自主灵活和方便快捷的金融体验。 二、互联网金融的主要风险 (一)对互联网金融本质认识不清导致投资者风险意识薄弱。互联网金融没有改变传统金融的功能和本质,创新之处. 在于创造了新的业务技术、交易渠道和方式,主要功能仍是
资金融通、价格发现、支付清算等方面,没有超越现有金融体系范畴。这也说明互联网金融与传统金融同样会具有较大风险,甚至面临的局部风险远大于传统金融。比如,“余额宝”等产品直接将收益冠以活期储蓄的若干倍,忽视了货币市场基金的风险特征。再如,人人贷(P2P)型网上借贷机构向企业发放贷款的行为缺乏足够贷后管理和风险防控措施,导致一部分网贷企业因为不良贷款不断积累或突发贷款损失而无法正常运营。然而,由于没有认清互联网金融本质,很多投资者把互联网金融当作“救命稻草”,一旦互联网金融局部风险扩大可能导致系统性风险。 (二)混业经营加大分业监管风险。 互联网环境下的金融业务普遍具有跨行业、跨部门、业务交叉性强等特征,形成了银行业务、证券业务、保险业务以互联网为基础进行深度融合和交叉的模式。在目前分业监管格局下,对于涉及银行、券商、基金、保险等多方面的互联网金融产品,具体谁来监管、如何监管以及工信部、公安部等其他相关部门如何协调配合,已成为现有监管体系面临的巨大挑战。跨部门监管协调机制尚不成熟、部门间职能不清等方面问题,导致互联网金融业存在很多不规范的领域与灰色地带。如处理不当,既有可能影响金融创新,也有可能带来监管套利,影响金融秩序稳定。. (三)技术漏洞和信用缺失风险。
信息安全的主要威胁及研究的主要领域 随着信息技术的不断发展,信息日益成为一种重要的战略资源。信息技术的应用几乎涉及到了各个领域,信息技术正逐渐改变着人们的日常生活和工作方式。信息产业已经成为新的经济高速增长点,信息的获取、处理和保障能力成为一个国家综合国力的重要组成部分。可以说,信息安全事关国家安全、社会稳定,信息安全的重要性由此而知。 21世纪既是信息的时代,也是我们的时代。作为国家社会主义事业的建设者和接班人的当代大学生,必须了解信息安全的研究领域,必须学习一定的保障信息安全的基本知识。 1信息安全的基本概念 信息安全就是防止非法的攻击和病毒的传播,保证计算机系统和通信系统的正常运作,保证信息不被非法访问和篡改。信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。 信息安全的根本目的就是使内部信息不受外部威胁,因此信息通常要加密。为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有非法操作。 2信息安全的主要威胁 信息安全的威胁来自方方面面,不可一一罗列。但这些威胁根据其性质,基本上可以归结为以下几个方面: (1) 信息泄露:保护的信息被泄露或透露给某个非授权的实体。 (2) 破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。 (3) 拒绝服务:信息使用者对信息或其他资源的合法访问被无条件地阻止。 (4) 非法使用(非授权访问):某一资源被某个非授权的人,或以非授权的方式使用。 (5) 窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。 (6) 业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。 (7) 假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。我们平常所说的黑客大多采用的就是假冒攻击。 (8) 旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”,利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。 (9) 授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。 (10)抵赖:这是一种来自用户的攻击,涵盖范围比较广泛,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。 (11)计算机病毒:这是一种在计算机系统运行过程中能够实现传染和侵害功能的程序,行为类似病毒,故称作计算机病毒。
附件 四川省银行业金融机构信息安全管理指引(试行) 第一章总则 第一条为切实加强四川省银行业金融机构(以下简称银行机构)信息安全工作的管理和指导,进一步增强银行机构信息安全保障能力,保障国家经济金融运行安全,保护金融消费权益和维护社会稳定,根据国家和人民银行总行有关规定和要求,特制订本指引。 第二条本指引所称信息安全管理,是指在银行机构计算机系统建设、运行、维护、使用及废止等过程中,保障计算机数据信息、计算机系统、网络、机房基础设施等安全的一系列活动。 第三条四川省内人民银行分支机构按属地管理原则对辖内银行机构信息安全工作进行管理、指导和协调。各银行机构负责本系统(单位)的信息安全管理,完成人民银行交办的信息安全管理任务、接受人民银行的监督和检查。 第四条各银行机构信息安全管理工作的目标是:建立和完善与金融机构信息化发展相适应的信息安全保障体系,满足金融机构业务发展的安全性要求,保证信息系统和相关基础设施功能的正常发挥,有效防范、控制和化解信息技术风险,增强信息系统安全预警、应急处臵和灾难恢复能力,保障数据安全,显著提高金融机构业务持续运行保障水平。 第五条各银行机构信息安全管理工作的主要任务是: (一)加强组织领导,健全信息安全管理体制,建立跨部门、
跨行业协调机制; (二)加强信息安全队伍建设,落实岗位职责制,不断提高信息安全队伍业务技能; (三)保证信息安全建设资金的投入,将信息安全纳入“五年”发展规划和年度工作计划,不断完善信息安全基础设施建设; (四)进一步加强信息安全制度和标准规范体系建设; (五)加大信息安全监督检查力度;加快以密码技术应用为基础的网络信任体系建设; (六)加强安全运行监控体系建设; (七)大力开展信息安全风险评估,实施等级保护; (八)加快灾难恢复系统建设,建立和完善信息安全应急响应和信息通报机制; (九)广泛、深入开展信息安全宣传教育活动,增强全员安全意识。 第六条本指引适用于在四川省内设立的各政策性银行、国有商业银行、股份制银行、邮政储蓄银行、城市商业银行、农村商业银行、城市信用合作社、农村信用合作社、村镇银行的总部和分支机构。非银行机构参照执行。 第二章组织机构 第七条各银行机构应建立健全信息安全管理机构。应建立由行领导负责、相关部门负责人及内部专家组成的信息安全领导机构,负责本系统(单位)信息安全管理工作,决策本系统(单位)信息安全重大事宜。
金融行业信息安全解决方案
目录 一、行业方案概述 (3) 二、功能需求分析 (4) 三、相应实施方案 (5) 四、综合价值体现 (6) 五、行业成功案例 (6)
一、行业方案概述 金融业是指经营金融商品的特殊行业,它包括银行业、保险业、信托业、证券业和租赁业。金融业具有指标性、垄断性、高风险性、效益依赖性和高负债经营性的特点。指标性是指金融的指标数据从各个角度反映了国民经济的整体和个体状况,金融业是国民经济发展的晴雨表。垄断性一方面是指金融业是政府严格控制的行业,未经中央银行审批,任何单位和个人都不允许随意开设金融机构;另一方面是指具体金融业务的相对垄断性,信贷业务主要集中在四大商业银行,证券业务主要集中在国泰、华夏、南方等全国性证券公司,保险业务主要集中在人保、平保和太保。高风险性是指金融业是巨额资金的集散中心,涉及国民经济各部门。单位和个人,其任何经营决策的失误都可能导致“多米诺骨牌效应”。效益依赖性是指金融效益取决于国民经济总体效益,受政策影响很大。高负债经营性是相对于一般工商企业而言,其自有资金比率较低。金融业在国民经济中处于牵一发而动全身的地位,关系到经济发展和社会稳定,具有优化资金配置和调节、反映、监督经济的作用。金融业的独特地位和固有特点,使得各国政府都非常重视本国金融业的发展。我国对此有一个认识和发展过程。过去我国金融业发展既缓慢又不规范,经过十几年改革,金融业以空前未有的速度和规模在成长。随着经济的稳步增长和经济、金融体制改革的深入,金融业有着美好的发展前景。 金融基础设施的现代化水平明显提高。中国现代化支付系统建设取得了突破性进展,基本建立了覆盖广泛、功能齐全的跨市场、跨境支付结算体系,人民币在香港和澳门实现清算安排。以网络为基础的电子资金交易系统不断完善,实现了银行间债券市场券款对付(DVP)清算,为投资者提供了安全、高效、便捷的资金交易和清算服务。中央银行建立和完善了一系列的金融监控信息系统,支付清算、账户管理、征信管理、国库管理、货币金银管理、反洗钱监测分析、金融统计监测管理信息等和办公政务实现了信息化。商业银行的综合业务处理、资金汇兑、银行卡服务等基本实
互联网金融风险专项整治工作实施方案规范发展互联网金融是国家加快实施创新驱动发展战略、促进经济结构转型升级的重要举措,对于提高我国金融服务的普惠性,促进大众创业、万众创新具有重要意义。经党中央、国务院同意,2015年7月人民银行等十部门联合印发了《关于促进互联网金融健康发展的指导意见》(以下简称《指导意见》);有关部门及时出手,打击处置一批违法经营金额大、涉及面广、社会危害大的互联网金融风险案件,社会反映良好。为贯彻落实党中央、国务院决策部署,鼓励和保护真正有价值的互联网金融创新,整治违法违规行为,切实防范风险,建立监管长效机制,促进互联网金融规范有序发展,制定本方案。 一、工作目标和原则 1、工作目标 落实《指导意见》要求,规范各类互联网金融业态,优化市场竞争环境,扭转互联网金融某些业态偏离正确创新方向的局面,遏制互联网金融风险案件高发频发势头,提高投资者风险防范意识,建立和完善适应互联网金融发展特点的监管长效机制,实现规范与发展并举、创新与防范风险并重,促进互联网金融健康可持续发展,切实发挥互联网金融支持大众创业、万众创新的积极作用。 2、工作原则 打击非法,保护合法。明确各项业务合法与非法、合规与违规的边界,守好法律和风险底线。对合法合规行为予以保护支持,对违法违规行为予以坚决打击。 积极稳妥,有序化解。工作稳扎稳打,讲究方法步骤,针对不同风险领域,明确重点问题,分类施策。根据违法违规情节轻重和社会危害程度区别对待,做好风险评估,依法、有序、稳妥处置风险,防范处置风险的风险。同时坚持公平公正开展整治,不搞例外。 明确分工,强化协作。按照部门职责、《指导意见》明确的分工和本方案要求,采取“穿透式”监管方法,根据业务实质明确责任。坚持问题导向,集中力量对当前互联网金融主要风险领域开展整治,有效整治各类违法违规活动。充分考虑互联网金融活动特点,加强跨部门、跨区域协作,共同承担整治任务,共同落实整治责任。 远近结合,边整边改。立足当前,切实防范化解互联网金融领域存在的风险,对违法违规行为形成有效震慑。着眼长远,以专项整治为契机,及时总结提炼经验,形成制度规则,建立健全互联网金融监管长效机制。 二、重点整治问题和工作要求 1、P2P网络借贷和股权众筹业务 (1)P2P网络借贷平台应守住法律底线和政策红线,落实信息中介性质,不得设立资金池,不得发放贷款,不得非法集资,不得自融自保、代替客户承诺保本保息、期限错配、
个人金融信息安全管理 一、个人金融信息保护法律规定 目前,我国尚未出台专门的个人金融信息保护的法律,但在《中华人民共和国中国人民银行法》、《中华人民共和国商业银行法》、《中华人民共和国证券法》、《中华人民共和国保险法》等法律法规中,都有保护个人金融信息的条款。例如: (一)《商业银行法》第六条规定:商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。第二十九条规定:商业银行办理个人储蓄存款业务,应当遵循为存款人保密的原则,对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。 (二)《中华人民共和国反洗钱法》第五条规定:对依法履行反洗钱职责或者义务获得的客户身份资料和交易信息,应当予以保密;非依法律规定,不得向任何单位和个人提供。 (三)《刑法》修正案七规定:国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。 (四)《征信业管理条例》第十三条规定:采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法
律、行政法规规定公开的信息除外。第十四条规定:征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息,但征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意采集的除外。第二十六条规定:信息主体认为征信机构或者信息提供者、信息使用者侵害其合法权益的,可以向所在地的国务院征信业监督管理部门派出机构投诉,信息主体认为征信机构或者信息提供者、信息使用者侵害其合法权益的,可以直接向人民法院起诉。 (五)其他规范性文件。《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发…2011?17号)规定,银行业金融机构在收集、保存、使用、对外提供个人金融信息时,应当严格遵守法律规定,采取有效措施加强对个人金融信息保护,确保信息安全,防止信息泄露和滥用。特别在收集个人金融信息时,应当遵循合法、合理原则,不得收集与业务无关的信息和采取不正当的方式收集信息。银行业金融机构不得篡改、违法使用个人金融信息。在使用个人金融信息时,应当符合收集该信息的目的,不得出售个人金融信息,不得向本金融机构以外的其他金融机构和个人提供个人金融信息(但个人书面授权同意、以及法律法规另有规定的除外),不得在个人提出反对的情况下,将个人金融信息用于产生该信息以外的本金融机构其他营销活动。 二、金融监管部门保护措施