金融安全建设精选(九篇)
前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的金融安全建设主题范文,仅供参考,欢迎阅读并收藏。
第1篇:金融安全建设范文
一、领导重视
(一)组建有力的领导班子。我们成立了金融生态环境建设领导小组,由常务副市长任组长,金融证券办、人民银行、财政、审计、监察等相关部门负责人为成员。领导小组下设办公室,具体负责日常组织、协调、考核等工作。
(二)成立专门服务金融工作的机构。将金融证券办由原来隶属于商务局的股室单位,升格为行政支持类正科级事业单位,设10个编制,并成立了3人党组,配强了领导力量,配齐了懂金融,善管理的工作人员,为今后我市金融工作的开展打下了坚实的基础。
(三)完善联席会议制度。由主管金融工作的副市长牵头,政府办、金融证券办、财政、农办、工业、公安、监察、检察、法院等市直部门及金融机构共同组成金融工作联席会议,着力研究部署、推进金融生态建设、维护金融债权、完善社会信用体系等重大问题,大大加强了党政各部门在金融工作上协调配合。每年召开几次市委常委会议、政府常务会议,听取金融工作专题汇报,部署规划金融工作。市人大、政协每年都要召开两到三次金融工作座谈会,对金融环境和信贷投放开展专题调研。
(四)安排必需的工作经费。市财政除每年预算安排专项金融工作经费外,近几年,每年还安排20万元的金融创安专项工作经费,为金融创安工作提供必要的财力保障。
二、措施得力
(一)依法规范行政程序,打造诚信政府。出台了《加快市域经济发展奖励暂行办法》。去年拿出奖励资金54万元,重奖了华融湘江银行、农发行、农行、建行、信用社等5家金融机构。作出优化经济发展环境十项公开承诺,整治面向企业和金融机构的“三乱”行为。加强政府性债务管理,确保重点工程按时兑付,及时归还银行贷款。实行干部信用报告制,探索建立干部个人信用档案,在提拔、任用干部时,将个人信用作为重要依据。
(二)财政蔸底改制企业,保障金融债权。为维护金融资产安全,我们邀请债权银行参与企业改制,共同规范改制行为。清算偿还阶段,在保证人员安置的前提下,优先保证地方金融债权;对资不抵债企业,财政垫资保障金融债权。*年,**市棉麻公司改制和粮食购销公司改制,由于企业人员包袱重,安置费用缺口大,农发行发放给两家企业的515万**1200万元贷款面临坏账风险,农发行的有关领导非常着急。为维护地方金融债权,我们主动出面,组织农发行、财政、城市建设投资公司等单位多次协调,最后由财政垫资715万元,财政担保,城市建设投资公司垫资1000万元,确保了农发行的权益。
(三)清收公职人员欠贷,增强诚信意识。从*年开始,率先在全市开展清收国家工作人员拖欠贷款专项整治行动。截至*年,1400多名公职人员还清了逾期本息,共计收回资金600多万元,落实有效资产抵押300多万元,清收率达到81.2%。
(四)实施乡村信用工程,创建诚信乡村。出台信用乡(镇)、信用村、信用农户评定办法,制定信用农户利率优惠措施,倡导诚实守信的正气清风。目前,我市已评出4个信用乡镇、163个信用村、138955户信用农户。*年,农信社新增“三农”贷款2.7亿元,有力地支持了我市新农村建设。
三、效果明显
通过几年的不断努力,金融创安的效果十分明显。*-*年,在**市金融生态环境建设考评中,我市三次名列第一,被评为**市“*年度金融安全区”。**工业园成为全省第一批中小企业信用体系实验区建设试点单位,民间借贷利率动态监测模式全省推介。*年,顺利通过省级金融安全区考核验收。
(一)社会金融意识明显增强。一是法治环境进一步改善。司法机关加大了对经济、金融纠纷案件的审理和执行力度,金融纠纷案件结案率逐年提高,有效地支持了金融机构维护债权。同时,采取铁腕手段治理“三乱”,经济发展环境不断优化。近几年,全市行政事业单位未出现乱收费、乱罚款、乱摊派的现象。二是信用环境进一步优化。社会公众、贷款企事业单位和个人金融风险意识、信用观念明显增强,诚实守信,基本能按期归还贷款本息,企业改制无逃废银行债务现象,对恶意逃废金融债务行为的单位能及时进行制裁。*年,共清收13笔行政事业单位拖欠银信部门贷款341万元,占应收款547万元的62.4%;清收73户国家公职人员拖欠银信部门贷款287万元,占应收款353万元的81.2%。
(二)金融体系不断健全。由于金融环境日益改善,继*年成功引进华融湘江银行**支行后,又成功引进了国开村镇银行入驻我市,于*年12月18日正式开张营业,短短一月时间,实现存款余额突破亿元。
(三)金融运行质量提升。*年末,全市金融机构盈利7434万元,同比增加1839万元;存贷比53.3%;流动性比例72.4%;法人资本利润率15.8%;不良贷款率仅为5.73%。
第2篇:金融安全建设范文
【关键词】金融信息 安全风险 对策
一、引言
信息安全建设应综合考虑,信息在获取过程中要考虑其的完整性、可用性等,我们要尽量的全方位考虑,将设计信息系统的安全方策略做到最好。随着网络建设的覆盖、网络安全基础设施的建立,数据的大集中已进入发展阶段,其中数据大集中成为我国金融业信息化工程的重点,方便的经营管理能有效控制外部安全风险,增强了规模化程序化效益,但同时也带来了风险。金融业的办公自动化和信息数据中心规模数据的不断扩张,这种聚集的风险会更加突出,数据控制中心一旦受到攻击,计算机将立即终止服务,同时引起与之相关联的一系列的金融服务业务暂停或瘫痪,最终将因数据的丢失而引起多起法律纠纷,这必然也会造成社会的不和谐。随着我国信息技术的快速发展,会有越来越多的安全技术问题随之而来,电脑系统的入侵与反入侵的攻击也将会变得复杂并且频繁上演。所以,金融业对网络体系实施安全保障防护的要求也就刻不容缓了。因此,要保证金融机构的信息系统平稳运行及各项业务的持续展开,必须建立一套金融信息安全保障体系,统一金融信息安全问题处理规范和流程,是有效防范和化解安全风险,以及增强金融系统的信息安全整体防范体系的关键。
二、金融信息安全的现状
由于信息技术在金融系统的广泛应用,金融业务都是以信息技术为支撑,各金融系统同中央银行、国家相关部门实现了网络联接,从而,信息安全的重要性凸现,信息安全不仅关系到金融安全,甚至关系到社会稳定和国家安全。但金融系统在建设初期“重建设,轻管理”,信息安全管理相对滞后,管理机制、管理制度、人员配备、技术手段等都同信息安全管理的要求有一定差距,致使信息安全面临的风险越来越呈现复杂性:既有环境风险、设备风险、技术风险、操作风险、人员风险,又有遭受恶意攻击和失泄密的风险,而国家有关信息安全管理的制度缺失,人民银行等监管部门在对金融系统信息安全管理方面的监管中,缺乏相关的制度规定、法律规定,相关工作的开展受到一定的影响,急需完善金融信息安全制度,加强金融系统信息安全管理工作。
三、提升金融信息安全综合保障能力的对策
努力构建金融信息安全保障体系,金融信息综合安全防护的抵抗能力要增强,这一项庞大而复杂的系统工程,信息安全防线的构成是多层次多角度的,需要有正确的信息安全意识,科学投资,抓好硬件设施建设,但也决不能靠几件安全性能的硬件就解决、放心。还需要有完善的可行性制度。因此,要加强安全管理的科学性和制度化,总结成八个字:“三分技术,七分管理”,应用这个道理,从我国金融业法制、技术、管理、人员等几方面齐步共进,来完善我国金融信息建设。
(一)树立正确的信息安全意识
信息的价值就在于它的独占性、排他性,并保证其安全性,信息安全是继领土、政治和经济之后的另一。国家只有建立保护好信息安全产业的屏障,开发具有自主知识产权的技术和产品,拥有自己的,才能在世界经济中占主动地位,进而也就避免了我国企业目前的常常被国外公司侵犯其专利权的窘境和落后的危险。
对待信息安全问题,要本着客观、公正、科学的态度,既要认识到信息安全保障系统确确实实存在安全漏洞,又要客观对待系统漏洞的状态,针对现状和有限的条件,及时对漏洞加以修补,要正视信息安全保障系统带来的利与弊。要构建一个绝对安全的完善系统是不可能的,因为在任何时候安全都是相对的,系统的开放性与方便性和系统的安全性与保密性始终是一对矛盾,因此,我们要做的就是建立一个不断完善的补充机制,来强化信息安全的屏障作用,在危机时刻数秒钟能及时更正,恢复这样的认识即可。
(二)科学均衡投资,努力抓好金融信息安全的建设
为确保信息系统的安全,硬件的投入是必要的,但仔细分析我国金融业在信息技术方面的投入发现,在投入方向上重硬件、轻软件,信息系统的建设要远远高于信息安全方面的建设,即所谓的“重业务发展,轻安全管理”。 然而,金融业的数据就是金融机构的生命,随着对计算机系统的依赖性与日俱增,就意味着金融机构的核心竞争力——金融业,是社会核心的集聚敏感的部门。从金融机构的运营角度来讲,安全性一直都是重中之重,安全建设是各金融机构应该时刻重视而且必须做好的工作。要做到未雨绸缪,安全防范,实施稳妥。因此,金融业在对待信息技术的投入方面,应高度重视信息安全,积极推进系统建设,在业务系统建设的同时,同步推进信息安全建设,做到科学投资,确保安全。
(三)构建信息安全技术保障体系
就目前的情况看,我国信息技术安全屏障防止各类复杂的信息系统攻击能力不是很好,尚不具备抵抗外界破坏的后备程序或者说应急机制,可以说我国的信息技术安全保障尚未建立成体系,应加强信息安全技术的投入和产品的研究、开发与应用,建立信息安全程序增进研发、产品跟踪反应及应用的完好优质的循环体系,要有自主知识产权的技术和产品,要从监控、系统、设备、硬件、软件等各方面,从信息流转的各个环节,和个人用户、金融机构、金融行业、国家等不同层面上,建立一个高效安全的金融信息网络通道的安全信息保障体系。
第3篇:金融安全建设范文
【关键词】企业内部审计 金融风险 防范
一、引言
经济全球化的形势愈演愈烈,金融动荡和金融危机的出现通常和金融体系的不健全有关。政策导向偏差、制度不健全,尤其是企业内部审计制度和监督管理不到位都是整个金融体系动荡的关键因素。企业内部审计制度是一项独立、客观、公正的约束与评价机制,在现代金融体系安全建设中发挥着至关重要的作用。随着经济全球化形势加剧,强化企业内部审计工作已经成为防范金融风险的强力盾牌,它能促进金融体系的健康发展,进而推动国家经济建设的顺利发展。客观分析评价企业各项规章制度和预算行为,以专业视角为管理层决策提供科学建议,针对发现的问题,深入分析原因并提请、监督决策层进行查处或改正,才能确保金融体系的安全。
二、目前企业内部审计存在的主要问题
从目前我国企业的内部审计状况来看,主要存在以下问题:
(一)内部审计的独立性欠佳,人才队伍发展缓慢
以金融行业为例,其内审机构形同虚设,绝大多数只是单纯作为金融机构自身的内部职能部门存在,组织形式和功能比较单一,没有完全的独立性。根本不利于组织本级金融行最高层次的决策和经营事项,不利于有效的监管相同级别的组织做进行的各项业务。此外,部分管理层认为内审部门耗费高昂的运营成本、占用了大量的人力编制,却无法直接带来经济效益,所以不十分重视。鉴于此,企业内审机构人员编制和流动管控愈加严格。一方面,年龄偏大、技术水平偏低的老员工暂时无法调整;另一方面,部分学历高、专业知识扎实、工作能力和责任心强的人员无法引进来充实内审团队;大大削弱企业内部审计工作的功效。
(二)内部审计的理念构建和质量标准尚未完全规范
首先,理念构建不规范。面对经济全球化的形势,国内的诸多企业并未深刻理解内部审计和风险管理的实质含义,多数企业也没有构建适应现代企业制度要求的法人治理结构,缺乏自我发展和约束的运行机制。其次,内部审计的质量标准和责任归属不清晰。没有完善的责任归属制度和质量标准,就会带来内部审计监督机制有效性不足、查出问题不知找谁解决、问题的解决流程如何制定等等突出问题,最终使得内部审计监督的权威性以及严肃性形同虚设。大量已经查出的问题无法得到真正有效的解决,大大增加了整个金融体系的运行风险。
(三)内部审计的稽核管理体制落后,制度建设亟待创新
当前,内审部门多数受制于自身单位,面临利益冲突之时不可避免的产生短视行为,单纯从局部利益出发,纵容违规违纪问题得不到彻底查处,极大地削弱了内审职能。此外,企业中普遍都存在控制不足与控制分散并存,内审制度滞后性严重的现象。或者内审制度不健全,监管部门之间责任不清,职能界定不明,问题一经发现,互相推诿。或者是诸多繁杂、分散的内审法律制度见诸于各类文件,制度之间缺少协同性。如此以来,内部审计过程中,主要负责人面对杂乱、甚至互相矛盾的内审制度,只能疲于应付,大大降低工作效率和内审监控职能。
三、健全企业内部审计、保障金融体系安全的建议
建立完善的企业内审制度是保证内部控制制度得到落实、维护金融体系安全的的重要保措施。为此,建议从以下几方面做起:
(一)确保内审独立性,提高审计人员素质
在企业的决策层内部准确和详细的渗透“内部审计”文化,大力宣传内审的紧迫性和重要性。设置独立的内部审计机构或组织,直接对企业高层负责并报告工作。清晰界定内部审计组织的各项职能,以便其能及时发现内部缺陷、及时报告、敦促相关职能部门及时处理。确保风险可控,内部控制运行有效。提高人员综合水平,一方面要引进年富力强、专业水平高、政治觉悟高的青年才俊到内审部门中;另一方面,不断的提高内审人员的专业素养,严抓组织内的理论知识以及基本技能学习。推动其熟练掌握国家的宏观经济政策和相关技能的创新知识。
(二)完善内审体系的构建,明确内审工作的质量标准
首先,搭建内审工作的关键体系,建立完善的内审信息库,对大量的相关信息进行采集,并按照内审规则和实际工作需要,分门别类,归纳分析,掌握各项风险信息的实质性关联,储存强大的信息库。
其次,结合企业经营活动涉及到的各项业务特征,在信息库中寻找有效、可靠的审计依据。
再次,建立专门的审计案例库。企业内部审计人员长期的经验积累以及企业、国家各方面内审工作中创新的案例都可以作为借鉴来充实案例库。
(三)明确内审工作的质量标准,界定责任人
依法按照严格的稽核程序和流程,制定日常工作的质量标准,对实际工作设计的各个环节制定明确的作业标准。同时,根据不同的工作需求,规定不同的验收,强调内审工作的权威性。培养积极的创新意识,从真实性入手,重点核查薄弱环节以及资产质量不高、效益不明显的关键原因;秉持精益求精的意识,把差错防弊上升为一种理性的科学思维,深查深究,一查到底,从根本上完成内部审计;强化法制观念。实际的工作开展要严格按照国家有关法律法规,严肃认真,独立客观的陈述事实;在内审过程中设置项目和主要负责人,确保各项具体的责任到人,以便工作过程中的各项风险控制和管理。
参考文献:
[1]李艺君,赵建虹.论内部审计参与风险管理的路径[J].中国商界(上半月),2010,(02).
第4篇:金融安全建设范文
一、我国证券公司发展现状
我国证券行业的总资产、股票基金交易量和主营业务的集中度都有所提高,属于准集中式产业。市场容量、企业规模和国家政策都是影响市场集中度的主要原因,但对于证券行业来说,市场容量不是主要因素,而我国证券公司因规模造成的集中度还有很大的提高潜能。互联网金融发展至今,形成了以支付宝、理财通、阿里小贷、余额宝为首的一些列金融服务方式,其中,理财通是与证券等金融机构最密切的形式。但是我国证券公司的产品和服务差异化程度较低,常见的有股票、债权、基金等,价格和服务质量也没有明显分界线,限制了券商的差别化。在证券公司营业模式转型的关键时期,让投资者享受个性化的产品和服务是券商成功的重要原因。随着信息技术的发展,互联网成为了证券行业最大的竞争者,虚拟空间给商家带来了无穷无尽的价值创造空间和速度,第三方支付、云计算等大大方便了金融产品的交易方式,互联网聚集了大量客户资源和资金往来,阿里巴巴、腾讯等客户拥有量不下几亿,支付宝交易量更是数量级。数据信息是证券公司的网络平台发展的基础,券商也需要如此大量的客户信息和数据,形成自己的资金吸聚能力,实现靶向营销,但是这是目前的券商无法企及的。
除此之外,政策与市场等外部环境因素也不可忽视。证监会对证券行业放宽政策,我国2012年的证券营业部数量已经达到5000多家,实现了网络化管理。证券、银行、保险等金融混业的形式愈加明显,具有综合性功能的金融机构越来越受市场的欢迎。证券公司在混业背景先率先进行网络金融建设将取得先机。P2P、众筹融资等各种创新业务的涌现改变了证券行业的格局,引领了资本市场融资领域的革命性创新。
二、互联网金融对证券行业的影响
随着互联网的兴起,证券公司的交易主体和交易结构也发生了根本性的改变。一方面,传统的交易方式引发了交易各方所得信息的不对称性,但是互联网的透明性和公开性最大限度的减少了这种信息不对称,其虚拟性也减少了不必要的中间成本,消费者能够在信息对称的情况下实现自由平等的金融服务,不仅体现了金融服务的民主化,还提高了金融服务的有效性。网上开户和网上证券产品销售,有助于券商拓宽营销渠道,同时佣金率得到了进一步下降,证券与互联网的加速融合使新产品经纪和资管业务的地位逐步提升,随着经济的发展,网络为资金需求双方提供了一个发现市场的机会,将成为券商发展业务和销售产品的主要平台。交易双方通过互联网了解对方的信息,借贷双方能够自主信息和选择项目,除去了一切繁杂的手续。因此,资金中介将逐渐被淘汰,第三种金融运行机制应运而生,包括P2P、众筹融资等方式,引领了资本市场融资领域的革命性创新,互联网金融化将是一个有别于商业银行间接融资和资本市场直接融资的新方式,提供咨询、评估、协议管理和回款管理等服务。互联网销售门槛较低,大大降低了券商业务成本,引发了佣金价格战。如今非现场开户现在还是初始阶段,一旦全面放行,成本减少的幅度将会更大。证券行业在互联网金融中稳定发展后,将会催生出新的商务业态,使未来的竞争更加复杂。目前已经稳步发展的网络企业正在将互联网信息数据渗透到证券行业中,这些网络企业已经具有广泛的客户资源基础,冲击了证券行业的中介服务模式。
三、证券行业互联网金融化趋势分析
1.传统业务互联网化。近几年,政府陆续放开非现场开户的限制,各大券商纷纷将传统证券业务的运营转移到互联网上,包括招商证券、中信建投、华泰证券在内的大型证券公司都利用了互联网低成本、方便、快捷的优势,开启了第三方移动端应用程序,为客户提供更有效率的金融服务。
2.基于互联网的创新业务。现阶段的互联网是依托于社交网络、移动支付、大数据、云计算的互联网,其复杂性也为市场提供了更多的可能,出现了不少基于互联网的创新业务,例如方正证券泉友会就在淘宝天猫设立了首家证券网上商城,随后齐鲁证券、华泰证券等也加入了网上业务的大军,销售资讯及金融产品,专注于用户的投资行为,实现了证券行业与互联网的自动化、专业化的全面联接,但这些还不是严格意义上的网络证券,但仍在继续探索,由此可见,网络证券是证券公司未来的发展方向。
四、证券行业互联网金融化转型分析
1.证券行业互联网金融化转型要求分析。从可行性上讲,近几年来我国网民数量不断攀升,从2005年至2015年十年内互联网普及率增长了58%,其中股民数量不在少数,传统的营业部柜台逐渐退出市场。除了计算机,手机移动客户端也使得炒股更加简单方便,齐鲁证券推出的“融易理财”、光大证券推出的移动支付等都取得了很好的反响,截至今年的网上委托交易量已经突破35万亿元。从金融产品和服务的创新来说,自从2012年互联网金融横空出世,固守传统经验模式的证券公司只有死路一条,例如,众成证券因缺乏金融产品和服务的创新,从2008年起持续亏损。细化市场、推出更多符合时展的产品和服务是证券公司应该充分予以准备的工作。从提升客户体验上讲,网上消费已经成为当今社会民众生活的一部分,而金融消费与网上实物消费并没有本质上的区别。然而,受多方面条件所限,目前客户办理各种手续任然需要到营业部现场,填写复杂的表格、签订不知所云的合同等,降低了客户的消费体验。
2.证券行业互联网金融化转型战略分析。从成本上来看,传统的营业部每年租赁商户和雇佣职员等的固定成本在950万元左右,在证券行业低迷时期,这些成本形成了券商很大的负担,也是持续亏损的原因之一。另外,很多证券公司在发展上遇到了瓶颈,需要通过细分金融产品来突破。对开户和交易对象的市场细分就要对证券公司的业务进行细分,走差异化道路,形成多功能、多款式的证券金融产品和服务。正确定位自身差异化产品后,将产品进行主次分类,主攻某个特定的客户群和某类特定的服务,其他客户群和产品作为辅助,提高公司效率。
五、证券行业开展互联网金融政策建议
1.提升客户体验感。第一,建立自助式的开户、交易功能,利用网络、移动客户端上传相关个人信息和证件信息。第二,计算机和智能手机已经得到了广泛的普及,广大的网民都是券商的潜在客户,适时的在互联网金融平台中嵌入其他服务功能,通过与其他软件品牌建立合作关系,增加客户群,实现共赢。第三,现如今的资金流动大部分都是通过网上支付,所以券商也应该打造大众化的支付功能,形成与金融机构类似的存管模式。
2.降低成本,提高服务效率。网络证券管理平台集证券交易、管理、理财为一体,统一及对客户消费行为深度分析,降低了营业部的成本。同时,经纪业务是证券公司的主要业务,网络金融模式能够再造业务流程,使经纪业务与其他业务实现协同作用,实现“1+1>2”的效果,也能够有效降低整体成本。最后,网络证券管理平台能够同时展示多种核心业务,并将各核心业务的收益余额进行整合,对于客户来说,能够同时开通股票和证券账户,因此,各核心业务之间能够互相促进从而降低成本。
3.证券金融产品细分。首先,证券公司要充分了解自己产品和经营的实际状况,确定自身优势和劣势,明确定位自身在市场中的地位。其次,证券公司要充分了解客户需求,根据市场需求对网络金融平台进行设计和维护,利用大数据技术聚集客户流量。最后,将客户进行分级分类的管理,为不同需求的客户提高量体裁衣式的服务,根据市场需求确定公司差异化发展方向。
第5篇:金融安全建设范文
信息社会 安全基石
从互联网的前身――阿帕网(APPANet)的建立,到目前全球数以亿计的上网用户;从美国政府于上个世纪90年代提出的“国家信息基础设施”(建设信息高速公路)计划,到以互联网为核心的综合化信息服务体系和信息技术在全世界各领域的广泛应用;从1971年第一封以@为标志的电子邮件的发出,到现在全球每天360亿封的电子邮件往来。当今世界的政治、军事、经济、文化等各个方面都已经离不开信息技术的强力支撑,以互联网兴起为重要标志的现代信息化社会已经建立。
随着社会的发展和稳定对信息的依赖性越来越强,始终伴随着信息化的信息安全问题在最近几年迅猛放大,已经成为抑制全球信息化进程发展的重大障碍。
从无伤大雅的恶作剧脚本,到造成几十亿美元的蠕虫病毒,从以信息共享为名的盗版软件,到如今泛滥成灾的流氓软件,信息安全已经从神秘的黑客世界走入到每一个计算机用户的面前。如何正确、有效判别这些潜在的信息风险,关系到当今社会信息化发展的大计。
不可避免的安全危胁
写一段没有任何运行错误的程序代码对于一个程序员来说很容易,但要写出一段没有任何安全问题的程序代码似乎就有些困难了。是程序员的安全素质不够,问题出在程序员身上么?要知道,即使是那些专职安全防护的软件产品也经常会曝出各种各样的漏洞,这早已不是什么新鲜的事情。
计算机世界的霸主微软公司的程序员可都是一流的精英,先不说过去Windows、Office系统中至今还补不过来的千疮百孔,往前看其新一代的号称最安全的操作系统Vista,公开的Bug已达2万个,问题代码更是多达几十万行,发行日期一拖再拖。也许这主要是因为过于庞大的系统结构和功能造成的,可在一个0和1的数字世界里,复杂才意味着技术的前进、使用的便利、功能的强大,如今许多人早已明白:没有任何问题的代码只能是没有任何功能的代码。
除了程序代码设计本身的问题,安全漏洞还存在于通讯协议、网络架构、交互中国家信息中心信息安全研究与服务中心李少鹏模式、电子辐射、信号外泄,甚至是用户安全操作和安全意识等其他与信息交流有关的任何问题中。可以说安全威胁来自于四面八方,漏洞也不可避免,而只要漏洞存在,那么威胁永远存在。
触目惊心的安全事件
2004年10月至2005年1月,某企业职工利用后门程序操纵了互联网上超过6万台的电脑主机连续攻击北京某音乐网站,致使该公司蒙受重大经济损失,这是我国首例如此大规模的“僵尸网络”攻击案;
2005年4月11日,全国超过二十个城市的互联网出现群发性故障;同年7月12日,北京20万ADSL用户断网;
2005年10月,网易计算机系统公司发现与北京市网通合作项目中,价值10元一张的网易一卡通虚拟游戏点卡被盗15.5万张,总价值155万余元;
2006年2月“全国最大网上盗窃通讯资费案”在北京开庭审理。某资深软件研发工程师被控利用工作之便侵入北京移动公司充值中心数据库,盗窃了价值38071元的充值卡密码……
公安部公共信息网络安全监察局主持的2006年全国信息网络安全状况与计算机病毒疫情调查报告中显示,在被调查的一万三千多家单位中,54%的被调查单位发生过信息网络安全事件。
同时,最近两年几乎染及所有计算机和计算机用户的网络钓鱼、流氓软件、垃圾邮件狂潮一轮又一轮的充斥着互联网。据国外的一份调查统计显示,89%的个人电脑平均感染过30种间谍软件。公安部在2005年声称中国的网络钓鱼网站占全球钓鱼网站的13%,名列全球第二位,而仅在2004年,公安部侦破的网络诈骗案件就达1350起。对此,国家反计算入侵和防病毒研究中心在公安部网监局的支持和指导下,发起成立公益性的“中反网络钓鱼联盟”。今年8月,广东首次公开处罚垃圾邮件发送者,这也是国内依据《互联网电子邮件服务管理办法》第一次公开处罚垃圾电子邮件的发送者。
安全法规需进一步完善
从1989年《中华人民共和国保守国家秘密法》伊始,到2005年《电子签名法》的实施,我国目前现行的与信息安全直接相关的法律、规章和制度有65部,“涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域”,可以说已经初步形成了一定的法规体系。尤其是在2003年《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)通过后,电子认证、电子政务、等级保护、商用密码以及银行、证券等金融行业等法规和管理办法相继出台,不仅规范了信息安全市场,还对电子商务的发展、网络经济的正常运转到了意义深远的保障作用,同时也是对“信息安全上升为国家安全”的这一宏观政策指引的响应。
尽管如此,现行的信息安全方面的法规、标准体系仍然需要进一步完善与成熟。截至目前,我国还没有一部严格意义上基于信息安全的基本法,同时这为信息安全标准与政策的制定与落实带来了一定的难度。
层出不穷的攻击手段
目前流行的攻击手段有很多,除了病毒、蠕虫、口令破解等传统方法,木马、网络钓鱼、SQL注入等较为新型的攻击方法,其攻击范围也在不断扩大。但相应的防范技术和知识已经比较普及,应对起来容易些。值得特别注意的是以下三种攻击形式,分布式拒绝服务攻击、零日攻击和社会工程学攻击。
分布式拒绝服务攻击至今还没有特别有效的防范方法,其具备攻击方法简单和攻击源无法确定的特点,上文中音乐网站被攻击的案件就是一个典型的例子。这种攻击的难点在于组建大量的傀儡主机――“僵尸网络”,通常借助即使通讯工具或电子邮件来植入木马,并通过新的系统漏洞的出现而达到顶峰。
零日攻击则是利用尚未公开或未发行补丁的漏洞实施攻击,这种攻击最为致命和可怕,因为任何人都很难对未知的情况做出正确的反应,此种攻击成功率高、隐蔽性强,往往针对某个既定目标,是今后安全防范工作的最大隐患之一。
最后一种是社会工程学,实际上它是一种非技术手段的攻击,它的直接攻击对象不是数据库也不是防火墙,而是能够出入这些敏感地带的人。技术再高也是由人来操作的,安全防范做得再好,得到授权的人也是可以出入的。世界著名黑客凯文・米特尼克在《欺骗的艺术》一书中写到:“安全不是技术问题,它是人和管理的问题……”,“由于开发商不断的创造出更好的安全科技产品,攻击者利用技术上的漏洞变得越来越困难……”,“精干的技术专家辛辛苦苦地 设计出安全解决方案来最小化使用计算机的风险,然而却没有解决最大的漏洞――人为因素。”因此,在如今信息安全技术已经趋于成熟的环境下,正确的安全防范意识无比重要。
目前,仍然还有许多人普遍缺乏安全意识。政府网站频频被黑、网上银行客户资金被盗、网上交易遭遇诈骗……,这样的安全事件几乎天天都在发生,其关健原因在于安全管理和意识的匮乏。对于被动的防范来说,意识要重于技术,甚至会超越技术。
安全技术任重道远
广义上的信息安全包括了众多内容,信息安全国家重点实验室冯登国教授曾在今年的“十一五”信息安全发展趋势论坛上讲到抽象化、可信化、网络化、标准化和集成化,是信息安全技术发展的重要趋势。目前主流安全技术不外几种。
主动防御
虽然瑞星、金山、江民三大反病毒厂商在今年先后发出推出主动防御产品的声音。但实质上,目前的主流产品还是在遵循“病毒产生――研究特征码――升级病毒库”的老路子。主动防御技术如何避免大量的提示和误报是主动防御产品是否能真正走向市场的关键性问题。
生物识别
从用户名加口令到加密锁,再从USB令牌到指纹、声纹、虹膜等生物识别。即使身份认证已经有了高级的尖端技术,可目前最为广泛应用的还是最初的用户名加口令身份认证技术,简单易用,且能够保障基本的安全需求。但不可否认,生物识别技术以其无可替代的识别优势必然随着成本的降低、需求的加大走向普及。
可信计算
严格的说,可信计算并不能算一项新兴技术,早在2002年沈昌祥院士开始在国内提倡可信计算。虽然经过了2004年的热点后,国家将其列入“十一五”规划重点支持项目,相关企业也成功的生产出TPM的安全芯片,但中国的可信计算是否能与国际标准接轨、庞大的可信计算体系涵盖内容之间是否能有序协调仍是一个未知的难题。
灾难恢复
实际上,灾难恢复主要不是技术问题,而是管理和实施问题。它的重要性随着对国民经济具有重要支撑作用的大型企事业单位以及政府部门对信息化日益增长的依赖性而凸现出来。近年来,银行、电信,海关、税务、民航等部门已经建立起自己的灾备中心。国务院信息化工作办公室2005年出台的《重要信息系统灾难恢复指南》为我国整个信息安全保障综合体系的最后一环――灾难恢复的管理和实施带来了强有力的促进和重大指导作用。
理论篇>>>
思索信息安全:内涵与外延
江常青
要谈论信息技术发展的趋势和信息安全面临内外部环境的变化,就像一个一直在匆匆行路的人,突然要停一下,观看周围环境,预估和展望前面的道路。但是要想象前方,恐怕先要回头看看走过的路,因为有两种可能:一种是走出来的路,过去和现在影响着未来;二种的情况是,也许路一直在前方,变化的则是我们的认识和行为。无论怎样,“时而思”比不思则罔更有益。
信息安全的历史有多久?五年,五十年,还是五千年?都可以。
目前,国家、企业和个人开始认识并重视信息化所带来的安全风险问题,以及国内出现专门的信息安全从业人员,仅有5―10年;而以现代计算机的发展与应用算起,信息技术渗入现在社会生活带来的信息安全问题,这段历史达到了50年;其实,自从人类文明伊始,文化和信息的使用开始就存在信息安全问题,这是5000年的历史。但是,历史从来没有象今天这样迫使我们必须去思考和面对信息安全的问题,因为当今是高度信息化的社会。我们生活在一个信息世界中,信息安全问题关系到每个人、家庭和社会各个组织机构。
从辨证学角度来说,变是绝对的,也是相对的。在5~5000年这个“漫长”的尺度上,信息安全领域有的在变,而且变化很大;有些东西也许并没有多大的进展和变化。处理信息的设施在技术发展中变化着,解决信息安全的具体技术措施和手段也随着发展,信息安全的内涵也不断延伸,但有关信息安全的一些关键和核心的问题并没有得到探讨与思考。
“谁的”信息安全?
信息安全自身没有价值和意义,它对于信息和信息系统所有者、管理者、使用者、监管者才有意义。因此,同样一个信息及其系统对于不同的人、组织甚至国家的意义是不同的,因为其安全的目标和需求是不同的。比如说,某商业银行的信息系统,对于银行自身、银行监管部门,以及政府来说,安全价值与意义有着根本的区别。作为企业的银行,其安全核心是保障组织机构的正常运行和获得商业利益的能力;作为行业管理部门是金融安全风险的一个组成部分;从国家和政府部门来说它是事关国计民生的重要信息系统,它的安全影响社会。
“什么的”安全?
从历史发展看,信息安全逐步从信息传输的安全,发展到信息产生,传输、处理、存储等整个生命周期的安全。同时,信息安全也从单纯的指信息数据的保密安全,扩展到支撑信息流动的软硬件、载体的IT安全。在新一代信息技术大规模普及的今天,信息安全还包括信息的使用安全,信息内容的安全与信息及信息系统互动的人的安全等方面。
因此,信息安全不是孤立的。当我们谈论安全时,一定是指特定对象的安全,同时要强调这个特定的对象是对于谁而言,言论中的安全必须在明确的上下文环境之中,否则就失去意义和准确性。
安全是什么?
安全是一种或多种性质或属性吗?它和色彩,质量是对象的属性类似吗?这个问题很难回答。假设安全是“属性”,安全信息安全经典定义中的保密性、完整性、可用性。这三性都是以否定语句来定义的。要证明一个肯定的性质存在比较容易,找到它即可。要证明“不被修改”等类似否定语句的性质比较困难。此外,要证明信息或系统同时满足三个性质更为困难,因为这些安全性质是动态变化,它会随着外部对手和系统内部自身变化而变化,也就是常说的今天的安全难以保证明天的安全。因此,很有必要反思安全作为性质是否妥当。近年来,从风险角度来重新定义安全的趋势十分明显,将安全定义为风险可控可管理的过程。这样一来,安全就不是系统自身的性质了,转化为对抗风险的保障能力。安全保障能力由技术、管理、人等措施来构建起来,安全亦被风险和保障两个概念所取代,隐身在后面。安全与否不再是去寻找这些性质存在与否,而是去计算保障是否大于对应风险。如果是,就是安全。这种重新定义的安全将不再是性质,而是个过程和目标,通过过程去达到目标,而目标反映了信息安全在上下文环境定要求。
这些探讨和思考能否达到我们理解信息安全的本质,笔者不得而知,但是这是一个探索的过程。在信息技术层面上,在我们实际可以设计实现的信息处理技术的进展中,可以看到未来信息安全技术的发 展趋势:
软件安全
软件是构建信息世界和社会的核心部件,安全问题的产生很大程度上来源它的不安全、不可靠,如何提高软件的安全性将会是个重点,有理由相信,随着软件形式化、自动化的提高,其安全性会快速的提高。
安全度量
有人说,不可度量的不是科学,信息安全正处于这样的境地。确实,目前我们还无法在信息安全领域找到类似物理世界的度量,如时间量、空间量、质量等,也没有类似比特的信息量,因此信息安全要成为科学还有很长的路要走。但尽管如此,我们已逐渐找到一些度量,它对提高安全是有好处的,比如安全功能强度,人力的部署和能力提升,过程控制的环节等等。
信息流控制
除了人、管理、网络系统外,信息安全的核心问题还是保证数据和信息的安全。信息流如何开放的网络系统环境中,如何在不可信、不安全的环境中构建可信的信息流动和控制机制是必须要解决的问题。因为数据和信息不可能像物理世界中永远被隔离和锁在保密柜中,它必须给该看到的人看到,就和货币要流通一样,安全必须找到自身的动态价值。
抗攻击技术
由于对手一直存在,破坏安全的外部因素不会消失。安全事故和事件时时都会产生,如何提高信息和系统抗攻击以及受攻击后降低损失的技术十分重要,以防范为主的安全技术将被抗攻击技术将逐步取代。
内部安全
安全技术也将从防范外部威胁为主,转换到关注内部威胁为,构建内控技术和管理体系将会成为最热的市场机遇。在这里,与业务逻辑和网络行为相关安全分析成为技术难点。发展篇>>>
发展篇>>>
内外之道把脉“新安全”
吴锡源
当前,大多数企业的信息安全机制不堪一击。具体来说,这些企业的安全措施所提供的防护级别难以应对它们所承受的实际风险。事实胜于雄辩:虽然各个企业已竭尽所能采取相应防护措施,但是它们仍然频繁受到攻击。据可靠数据统计:仅2005年,大约三分之二的企业至少发生一次安全事故,而半数以上的企业则至少发生三次安全事故。
面临挑战的安全管理
目前的主要问题在于,大多数企业只是采用侧重边界的高度反应性防御措施,因此无法与当前日新月异的威胁趋势保持同步。新威胁层出不穷,并以前所未有的速度和效率进行传播,在许多情况下必然会导致混乱局面比比皆是。不仅如此,可用于(或至少所分配用于)改善这种局面的资金也相对较少。实际上,Ernst&Young的《2005年全球信息安全调查》显示,各个企业将其安全预算的50%用于“日常操作和事故响应”,仅将17%的预算用于完成“更关键的战略项目”。
显而易见,企业需要采用更为完善的解决方案才能针对当前的攻击进行自我防护。因此,企业所需要的威胁管理解决方案具有以下特点:主动――能够防御未知威胁;全面――能够将所有企业内外的攻击源头阻挡在外;高效――非常经济实惠的选择。
在企业努力部署有效威胁管理解决方案的过程中,威胁趋势的日新月异、符合法规要求的需要以及对反应性对策的过度依赖对于它们面临的重重挑战来说只是凤毛麟角。
把脉新“安全”
传播速度相对较慢的基于文件的病毒和群发邮件蠕虫仍然屡见不鲜。实际上,在2005年上半年,这类威胁在向赛门铁克报告的前10位恶意代码示例中占三类。不过,黑客的动机已明显从追求名声转向牟取暴利,而漏洞开发框架的日渐普及是威胁趋势发生许多显著变化的主要原因之一。
・威胁数量与日俱增
这不足为奇。由于黑客的动机越来越强烈,并且开发新型恶意软件的难度越来越低,所以威胁的数量无疑会猛增。不仅如此,威胁制作软件及其模块化构造技术导致开发威胁变种的行为司空见惯。例如,2005年上半年,仅针对Win32平台的新病毒和蠕虫变种数量就已达到10800种。与前六个月相比,次数量就增加了48%。
・威胁生成时间日益缩短
日益成熟的黑客工具包不断增多的另一恶果是开发新威胁所需的时间明显缩短。因此,从发现新漏洞到发起针对该漏洞的特定攻击之间的时间也无可避免地大大缩短。实际上,在2005年上半年,此时间段的平均持续时间仅为六天。
・威胁传播速度正在加快
虽然近年来这方面威胁的趋势没有显著变化,但是由于威胁的传播速度已经非常惊人,所以这种形势不容乐观。例如,2001年红色代码在37分钟内即可使感染速率增加一倍。而在2003年,Sapphire蠕虫每8.5秒传播速度就会加倍,最终不到10分钟就会感染90%易受攻击的目标主机。而且,认为最终不会出现传播速度更快的威胁完全不切实际。
・威胁日益变化莫测
导致变种数量不断增多的因素也同时导致混合型威胁层出不穷。通过使用多种利用机制、有效负载和/或传播方法,这类威胁更有可能避开企业防线,然后成功施加负面影响。另外,导致局面日益恶化的另一个原因是黑客目前主要攻击系统和应用程序层的弱点,而不是网络层的漏洞。这样,他们的攻击往往成为侧重网络层活动对策的漏网之鱼;不幸的是,大多数企业目前只凭借这样的对策来保护自己。
首先,威胁数量大增意味着不仅安全员工将承受更大的压力,而且他们所实施的对策在一定程度上也会受到影响。还需要进行更多研究以确定最具破坏力的威胁、需要采取更多防御措施,最终还需要解决更多事故和故障。要使这样的等式重新达到平衡,很可能需要任命更多安全管理员或实施可提高操作效率的工具,特别是在研究和防范活动方面。第二个影响是使利用管理补丁程序进行防御的效果微乎其微。过去,从发现漏洞到漏洞被利用之间的时间长达数月,所以制造商可以从容开发和补丁程序,然后由企业对这些补丁程序进行测试和实施。但是,目前在发现漏洞后平均需要54天才能相关补丁程序,所以根本无法及时提供补丁程序。而且即便能够及时提供,还需要考虑测试和实施相应补丁程序所需时间的问题。在最紧迫的情况下,最高效的企业可能需要几天才能完成该过程。但这根本不具有代表性,企业补丁程序管理流程的常规执行时间至少需要30天。
安全之路延伸何方
面对不断变化的新威胁,信息安全的环境也在发生着深刻的变革。
首先,由于需要保持竞争优势,所以各个企业必须更迅速地应用新兴技术(例如,WLAN、VolP和Web服务)以及所有现有技术和平台的新版本。一般,各个企业不但必须管理和保护更多计算基础架构和应用程序,而且其中大部分均为新出现的复杂架构和程序,极为分散。结果是由于配置错误和疏忽导 致的代码漏洞与日俱增,而且弱点也越来越多。
其次,随着内部威胁日益严重,企业的安全观念正发生着深刻的变化。从历史角度来看,企业一般将注意力集中在保护他们与互联网的连接上面,很少保护他们的内部网络和系统。不过,由于第三方连接日益增多,现场办公的合同工需要连接到公司网络,而且公司自身员工的移动性越来越强,从而导致威胁可以绕过互联网边界控制,然后从内部以相对迅猛的速度传播。因此,除了原来必须要保护的日益增多的基础架构外,企业现在还必须保护内部网络和系统。
此外,确保内部网络安全的另外一个要素是必须遵从各种“暗示”的法规和法律(如果没有明示)。不过,从所占用的资源数量及有时会提供虚假的安全感角度来看,遵从这些要求反而会产生更多问题。事实上,一份最新调查表明遵从是信息安全活动的最重要的推动因素,该调查还表明由此而引发的主要活动是制定和更新各种策略和程序,而不是切实加强公司的安全架构或整体战略。
更现实的还有预算问题,企业面临的这方面挑战在一定程度上变得欲盖弥彰。只需看看现状就足以:目前所制定的安全预算不仅不合理,而且这部分预算的使用方式往往对防御攻击没有帮助,此外这部分预算永远处于与“企业”的其他需要进行竞争的状态。
以上复杂因素清楚地表明理想的威胁管理解决方案必须兼顾高效性和灵活性。相对于安全部门可支配的资源而言,他们需要完成的工作过于繁重。与此同时,基础业务需求(不考虑基础架构)可谓常变常新。
策略篇>>>
“湿件”:另一种思维看安全
刘 恒
鲁迪卢克在系列科幻小说《湿件》中讲述了一个人类制造的肉身机器人如何控制和改变人类的故事。该书对人类脑力智慧(湿件)与带有编码化知识(软件)的机器人(硬件)的结合并最终摆脱人类控制的前景作了最大胆的想象。
无独有偶,“湿件”先后出现在黑客界和医药界,并且成为新经济增长理论的一个术语。如今,启明星辰率先在安全业界引入“湿件”理论,并开始成功应用到安全服务领域。
看到“湿件”二字,绝大部分人认为是“事件”的笔误,其实不然,两者毫无瓜葛,截然不同。“湿件”是指与计算机软件、硬件系统紧密相连的人(程序员、操作员、管理员),及与系统相连的人类神经系统。由此可见,“湿件”,是储存于人脑之中,无法与拥有它的人分离的能力、才干、知识等。
从某种意义而言,“湿件”是与软件、硬件并列的IT第三大件,人们应该对“湿件”给予充分重视。“湿件”第一次将人的作用突出出来,而且这种作用远远高于软件和硬件。没有软件,硬件是无用的;没有人的操作或指示,软件、硬件一起也做不了什么;由此可见,“湿件”是IT系统最为基础的部分。
网络安全的脆弱一环
尽管“湿件”的作用如此基础和重要,但是长期以来却未被提到应有的重视高度。尤其是在中国的网络安全领域,对于“湿件”的研究基本是个“空白”,目前,启明星辰公司敏锐地发现这一“空白”,第一次将安全“湿件”与安全服务紧密地联系在一起,第一次将人在信息安全中的决定性作用突出了出来。
三个典型的案例很容易说明问题。
案例一:某小区的保安系统很健全,24小时有保安守卫,但最近却发现有小偷入户行窃。尽管没有搞清入侵者是从哪儿进来的,有关部门还是贴了一个告示,提醒大家夏天别开窗户以防小偷。由于没有找出问题的症结所在,同样的事情在该小区再次发生。后来有人发现,小区里栏杆的设计不合理,让小偷钻了进去,如果拉两个栏杆,就可以防止这种情况。
这个案例说明,我们必须充分了解攻击者和攻击行为发生的原因,才有可能有效防御攻击。
案例二:某部门存放重要文档的电脑出了故障,保管文档的人在部门内对电脑进行了修理。一段时间后,该重要文档泄漏了,并被公开到互联网上。经过一番追查,最后发现是修理电脑的人偷偷将文档拷贝了下来。这个案例说明,人员安全意识的缺失是遭到攻击的致命因素。
案例三:“你想要值钱的东西吗?想要,你就去拿吧。”全球最著名的黑客Mitrdck语出惊人。人们都认为他拥有无人能敌的高超技术,他却在自己的《欺骗的艺术》一书中说,安全的核心和根本,不是技术问题,而是人和管理问题;安全最薄弱的环节是人的因素,穿透人这道防火墙往往非常容易。
从这三个案例中,我们不难看出,人的因素在信息安全中是何等重要。这也是启明星辰为何将“湿件”引入安全服务的意义所在。对“安全湿件”的强调,体现了一种系统的安全设计思想,有了这种意识,用户在构建安全系统时会考虑更多的因素。如果用户没有考虑到“湿件”也是安全系统的一个组成部分,他设计出来的安全防御系统肯定是不健全的,是失去平衡的,结果是花了很多钱,建造的安全系统并不安全。
完善安全系统
信息安全是动态的,是过程,是攻击和防御的平衡,从这个角度讲,可将安全“湿件”划分为攻击型“湿件”和防御型“湿件”。攻击“湿件”和防御“湿件”都可以进一步细分下去。例如,防御型“湿件”还可以按照不同的人、不同类型的知识进行细分。
在信息安全系统中,攻击和防御是密不可分、相辅相成的两个方面。一方面,所谓“知彼知己、百战不殆”,只有在攻防结合的基础上,充分地了解甚至先考虑攻击“湿件”,知道攻击“湿件”是什么、在哪里、怎么样,才谈得上有效防御。目前很多安全产品或方案存在着一个严重的缺陷,那就是并不了解攻击者,也就是没有防御的明确目标,只是凭想象强行建立起一种防御系统。其实也许用户根本不需要那么强大的防御系统,这就是忽略了攻击“湿件”产生的问题。
安全“湿件”有助于企业提高和完善现有系统的安全性。企业在进行安全投资的时候,应该首先注重培养人才,培养“湿件”,甚至应该把“湿件”摆在硬件和软件之前考虑。实践证明,“湿件”的投资回报率相当高,产生的效果巨大。“湿件”应该是排在软件和硬件之前的基础性的部件。
由于防御型“湿件”中的人总是不可避免地具有脆弱性,这给攻击型“湿件”提供了可乘之机,安全风险在所难免,安全产品和安全技术有时也会失灵。刘恒博士指出,许多安全问题仅凭安全产品和技术是解决不了的,必须充分考虑人的因素,用基于“湿件”的服务去解决。
从上述角度来看,信息安全的关注点正在发生变化,转向关注“湿件”。高明的用户一方面要构建自己内部的安全“湿件”,另一方面在自身“湿件”不够强健时,则可以购买专业安全公司提供的安全“湿件”。“湿件”作为服务成为主流,无疑是安全产业发展的必然趋势。
崭新的安全服务
“湿件”与安全服务紧密相关,但是并 不能划等号,也不能划大于号或小于号。因为服务强调的是一种形式和过程,而安全“湿件”强调的是安全软件和硬件之外的人的重要性,突出的是系统的有机性,是一种强调完整协调一致的理念。安全“湿件”作为服务的一种形式应该成为安全业界的主流。启明星辰的M2S就是全新的基于“湿件”的安全服务。
作为一个重要的防御型“湿件”,M2S体现的是具有标志性的专业化的安全服务。这个体系是在启明星辰TSP理念的指导下,在多年安全服务最佳实践的基础上,结合国际先进的安全服务理念、模型和业务模式,以用户需求为中心,以注重实效为宗旨,推出的一种全面、细致的全新服务模式,主要包括国际化管理咨询、专业化风险评估、实时性管理监控、专家型应急响应等内容。
M2S,一个能够进行全面防范、即时监测、专家响应的实时安全过程,是一种全新的安全“湿件”。M2S有4层含义:MMS(Managed Monitoring Services),体现了专业的监控技术与服务;MSS(Managed Security Services),体现了安全企业与国际通用托管式安全服务的融合,强调安全企业要保持国际安全服务的规范性;MtoS(Management to Security),阐明了安全企业倡导的“通过管理达到安全”的理念,也契合了“服务的核心在于人”的理念;MSM(Management Secu-rity Monitory),管理安全监控,这里尤其体现了本地化差异性,与国外MSM主要根据设备来实行监控管理不同,M2S致力于解决客户几乎所有的安全问题,范围更为广泛。
可以说,“湿件”理论与M2S的有效结合,提升了网络和系统自身的防御能力,为更多的用户提升了生产效能,而将安全“湿件”与服务紧密相联,也完全可以有效帮助信息安全企业在安全服务领域树立新的里程碑。
管理篇>>>
安全风险管理的游戏规则
驾驭风险,方可掌控安全。日前,绿盟科技专业服务部总监王红阳,就目前信息安全风险评估以及风险管理的创新理念、前沿技术、创建适应企业发展的网络环境等问题,接受了《软件世界》杂志的采访。
软件世界:如何理解风险管理的概念?绿盟科技在这方面的研究有没有什么前沿性的课题?
王红阳:在COSO企业风险管理框架中,风险定义为任何可能影响某一组织实现其目标的事项。风险的范围可能是财务、合法性、符合性、运维、市场、战略、信息、技术、人员、声誉等方面。风险包括恶性事件带来的威胁、尚不能确定后果的事件、可转化为机会的事件。风险管理是发现和了解组织中风险的各个方面,并且付诸明智的行动帮助组织实现战略目标,减少失败的可能并降低不确定的经营结果的整个过程。信息安全风险评估(本文以下简称“风险评估”),则是指依据国家、国际有关信息技术、安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估活动过程,它要评估信息系统的脆弱性、信息系统面临的威胁,以及脆弱性被威胁源利用后所产生的实际负面影响等,并根据安全事件发生的可能性和负面影响的程度,来识别信息系统的安全风险。
信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想,对可能的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。企业风险管理使管理当局能够有效的应对不确定性以及由此带来的风险和机会。
软件世界:如何在一个组织的网络中识别出风险所在?
王红阳:风险评估遵循了ISOl7799、ISOl3335、ISOl5408(GB/T18336)、SSE-CMM等一系列的国际和国内标准,这些标准提供了评估过程、评估方法、评估模型、评估内容等多方面的规范化指导,同时在评估算法、评估操作等方面参考了AS/NZS4360。GAO/AIMD-00-33,GAO/AIMD-98 68.BSI PD3000等美国、澳大利亚、新西兰的标准和规范。
风险评估的过程就是对信息系统所面临的各种风险发生的可能性和风险发生后的严重性进行评价,即在国际、国内等相关标准和规范的指导下对信息系统的资产、威胁、脆弱性三要素进行详细具体的评估。
风险评估包含了(但不仅限于)以下一系列的技术评估手段和管理评估手段:
・安全扫描:通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。
・人工检查:通过人工方式直接操作评估对象来获取所需要的安全配置信息,主要解决远程无法通过工具软件或设备获得的信息,以及为避免评估意外事件而采取的方法。
・IDS取样分析:通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析。
・渗透测试:在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法。
・应用安全评估:对用户业务应用软件进行安全功能审核、渗透测试、源代码审核等。
・安全管理审计:通过文档审核、策略审核、问卷调查、顾问访谈等形式,对信息安全策略、组织信息安全、资产管理、人力资源安全、物理和环境的安全、日常运作和通讯、访问控制、系统的获得、开发与维护、信息安全事件管理、业务持续性管理、符合性等方面进行综合评估。
软件世界:信息资产风险管理的内容包括什么?通过怎样的策略和方案可以达到风险管理的目的?
王红阳:信息安全风险评估的目的是全面、准确的了解组织机构的网络安全现状,发现系统的安全问题及其可能存在的危害,以便为系统最终安全需求的提出提供依据。同时,也是为了分析网络信息系统的安全需求,找出目前的安全策略和实际需求的差距,为保护信息系统的安全提供科学依据。进而通过合理步骤,制定出适合系统具体情况的安全策略及其管理和实施规范,为安全体系的设计提供参考。
信息安全风险评估是一个组织机构实现信息系统安全必要的、重要的步骤,可以使决策者对其业务信息系统的安全建设或安全改造思路有更深刻的认识。通过信息安全风险评估,他们将清楚业务信息系统包含的重要资产、面临的主要威胁、本身的弱点;哪些威胁出现的可能性较大,造成的影响也较大,哪些威胁出现的可能性较小,造成的影响可以忽略不计;通过保护哪些资产,防止哪些威胁出现,如何保护和防止才能保证系统达到一定的安全级别;提出的安全方案需要多少技术和费用的支持,更进一步,还会分析出信息系统的风险是如何随时间变化的,将来应如何面对这些风险,这需要建立一个晚上的体系。
- 上一篇:优化营商环境目的范文
- 下一篇:营商环境的背景范文
