金融机构信息数据安全解决方案VWord格式.docx
- 文档编号:13327776
- 上传时间:2022-10-09
- 格式:DOCX
- 页数:17
- 大小:178.15KB
金融机构信息数据安全解决方案VWord格式.docx
《金融机构信息数据安全解决方案VWord格式.docx》由会员分享,可在线阅读,更多相关《金融机构信息数据安全解决方案VWord格式.docx(17页珍藏版)》请在冰豆网上搜索。
二、金融行业安全威胁 -3-
三、康众智防金融信息数据安全解决方案 -5-
3.1安全解决方案概述 -6-
3.1.1攻击行为威胁 -6-
3.1.2安全防御建设目标 -8-
3.2安全解决方案组成 -8-
3.2.1金融行业Web安全解决方案 -8-
3.2.2入侵检测与防御安全解决方案 -12-
3.2.3安全基线管理解决方案 -13-
3.3可量身定制的专业安全服务 -13-
3.4应用优化加速 -13-
3.5金融信息数据安全解决方案部署形式 -13-
四、方案价值 -14-
五、方案优势 -14-
六、公司介绍 -15-
七、联系我们 -15-
适用对象:
金融机构信息数据中心、互联网金融平台等
一、政策背景
随着信息技术的广泛应用和电子商务的快速发展,金融业务与互联网的进一步融合,我国金融业信息化正经历向信息化金融的转变,信息化金融已逐渐成为我国金融业的发展方向。
但与此同时,由于这种新型服务方式虚拟化、业务边界模糊化、经营环境开放化等特点,使得互联网上的金融业务面临网络攻击、病毒侵扰、非法窃取账户信息、客户信息泄漏等新的信息安全挑战。
党和国家领导人多次就金融行业信息安全做出重要指示,要求金融业研究和把握又好又快的发展规律,努力提高信息安全保障水平,坚决打击危害金融信息安全的犯罪活动。
2014年2月,中央网络安全和信息化领导小组成立。
习近平任组长,李克强、刘云山任副组长。
习近平在小组会议上强调,没有网络安全就没有国家安全,没有信息化就没有现代化。
建设网络强国的战略部署要与“两个一百年”奋斗目标同步推进,向着网络基础设施基本普及、自主创新能力显著增强、信息经济全面发展、网络安全保障有力的目标不断前进,网络安全问题上升到国家战略高度。
2015年6月,全国人大委员会颁布了《中华人民共和国网络安全法(草案)》,明确指出建设、运营网络或者通过网络提供服务,应当依照法律、法规的规定和国家标准、行业标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行;
国务院和各级政府扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发、应用和推广,保护网络技术知识产权,支持科研机构、高等院校和企业参与国家网络安全技术创新项目。
2015年7月,全国人大委员会颁布了《国家安全法》,要求国家建设网络与信息安全保障体系,提升网络与信息安全保护能力;
加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;
加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。
2015年8月,经李克强总理签批,国务院日前印发了《促进大数据发展行动纲要》。
《纲要》中要求在涉及国家安全稳定的领域采用安全可靠的产品和服务,到2020年,实现关键部门的关键设备安全可靠,完善网络安全保密防护体系;
建设完善金融、能源、交通、电信、统计、广电、公共安全、公共事业等重要数据资源和信息系统的安全保密防护体系。
二、金融行业安全威胁
迅速发展的信息化金融体系未匹配可靠的安全系统
数据中心作为金融机构承载业务的重要IT基础设施,承载着金融机构业务发展和创新提供基本保障的重任。
近年来,国内各类金融机构业务发展和相应的机构扩张非常迅速,建设新的数据中心和灾备中心的情况非常普遍。
在新的业务规模要求下,数据中心需要更高效地支持业务和信息共享需求,提供不间断的服务,这对数据中心的资源整合、全面安全、高效管理和业务连续性提出更高的要求。
2014年1月,韩国发生金融行业最大规模信用卡个人信息泄密事件,涉及约2000万用户,共1亿多条客户信息被泄露,最多的用户有19项个人信息被泄露。
2014年3月23日凌晨,携程被爆安全支付日志可遍历下载,因此导致大量用户银行卡信息泄露,其中包括持卡人姓名、身份证号、银行卡号、卡CVV码、6位卡Bin。
2014年10月2日,摩根大通银行承认7600万家庭和700万小企业的相关信息被泄露。
身在南欧的黑客取得摩根大通数十个服务器的登入权限,偷走银行客户的姓名、住址、电话号码和电邮地址等个人信息,与这些用户相关的内部银行信息也遭到泄露。
受影响者人数占美国人口的四分之一。
2015年5月,中国某大型保险公司公司也经历了泄露危机。
公司系统存在高危漏洞,10万份保单或遭泄露。
保单信息、微信支付信息、客户姓名、电话、身份证、住址、收入多少、职业等敏感信息一览无余。
2015年6月,信融财富、宝点网和立业贷等多家P2P平台同时遭受黑客流量攻击,造成网站无法打开或访问速度缓慢。
根据世界反黑客组织的通报,中国P2P平台已成为全世界黑客“宰割的羔羊”。
2015年11月,补天漏洞响应平台爆出重庆网贷平台易九金融的系统存在漏洞,上万用户数据泄露再次拷问国内P2P金融数据系统安全。
2016年3月7日,孟加拉国央行称,他们在美联储的账户遭遇黑客攻击,部分资金被盗走,被盗资金约为1亿美元。
不安全的网络正在遭受更不安全的使用
各金融机构缺乏严格的政策管理和代码审计,业务发展的速度又远超安全可提供的支撑能力,前台代码质量较低,导致出现大量设计逻辑错误、SQL注入、跨站脚本攻击;
从业人员安全意识低,管理不到位,导致出现大量弱口令、框架漏洞、配置错误、敏感信息泄露;
软件更新缓慢,导致框架错误等。
“乌云”等知名漏洞响应平台曾曝光了多家银行、券商、保险、基金公司网站存在漏洞。
2015年上半年我国金融机构的互联网安全漏洞数量快速增长,投资者的个人信息、账号密码、交易记录均存在被泄露的风险。
银行、证券、保险、基金等均有知名机构“中招”,“乌云”平台漏洞数据显示,仅2015年上半年,已被金融机构确认、修复的自身网站安全漏洞的数量已超过去年同期,其中金融机构网站高危和中危漏洞数量的总和,已占总体探知漏洞总数的97.2%。
2015年9月至11月三个月的时间里,安华金和在乌云漏洞平台上汇总金融行业已被客户确认的安全漏洞共206个。
其中高危漏洞195个,中危漏洞9个,低危漏洞2个。
而这206个漏洞中,直接与数据泄露相关的漏洞110个,占漏洞总量的的53%。
更深度的安全威胁日渐繁多
金融机构所面临的安全形势也越来越严峻,安全威胁越来越突出,病毒、木马、蠕虫、黑客攻击等,都可能使数据中心网络和核心业务造成严重的破坏。
数据中心与灾备中心是金融机构绝大部分重要信息系统所在的位置,通常包括核心生产系统、网上银行系统、支撑系统、交易系统、管理系统及其他运行关键业务或涉及客户身份、资产、交易记录等敏感信息的重要信息系统。
一旦出现问题,后果将不堪设想。
金融行业重要的信息系统关系到国计民生,是国家信息安全重点保护对象,国家信息安全监管职能部门需要对其重要信息和信息系统的信息安全保护工作进行指导监督。
因此金融监管部门要求金融机构的信息科技风险和信息安全管理水平必须符合一定的要求,以免某个机构自身的问题影响金融业整体安全与稳定。
三、康众智防金融信息数据安全解决方案
3.1安全解决方案概述
3.1.1攻击行为威胁
金融信息数据的风险和安全问题,主要来自有组织有目的黑客频繁侵袭、拒绝服务攻击(DDOS)、恶意代码(如病毒蠕虫)、越权访问、网络传输泄密、内部人员越权和滥用、数据篡改和抵赖行为等。
1、黑客攻击:
攻击者利用黑客技术非法入侵机构的数据库等系统,窃取、篡改、拷贝系统数据,私自添加或删除账号、注入木马、盗取用户账户、修改用户设置、盗取敏感信息等从而进行有目的的金融犯罪行为;
常见的攻击场景如下:
(1)黑客利用对网站影响较大的漏洞,如,Stuts2命令执行漏洞,轻易攻陷网站服务器,获取网站注册用户的帐号密码和个人资料;
(2)机构平台受到大规模钓鱼攻击,大量客户诱骗录入用户名、账号、转账密码等敏感信息造成资金损失。
(3)黑客行为所带来的影响也难以预知,如果黑客试图操纵股票价格,或虚假交易,或篡改账户信息,或者获得一些内幕消息,也会不可避免的使投资者的资产化为泡沫。
2、拒绝服务攻击(DDOS攻击):
金融机构由于外部访问门户网站及互联网交易平台IP数剧增,攻击者的网络地址针对注册页面发起探测攻击,尝试上百万个身份证信息进行用户注册,从而导致服务平台无法正常提供服务,导致门户网站及交易平台反应迟缓,互联网出口堵塞,网络使用带宽超过日常使用值,且占满总体带宽。
这种攻击使金融行业的门户网站、交易网站无法为客户提供正常服务,造成经济损失,同时也使行业形象受到损害。
3、蠕虫、病毒攻击:
蠕虫、病毒泛滥可能导致机构重要信息遭到损坏,或者导致机构网络和信息系统瘫痪。
以移动智能终端病毒为例,典型的攻击场景如下:
(1)手机支付病毒植入机构手机客户端再通过二次打包的方式把恶意代码嵌入机构的APP程序,一旦被该病毒感染,会不经用户允许私自下载软件并安装,危及用户的帐号安全。
(2)攻击者欺骗买家或卖家在手机上扫描二维码查看订单详情或者打折优惠,被植入“验证码”大盗病毒,攻击者会通过“验证码”大盗病毒截获某些电商官方发送的相关验证码信息,通过重置电商支付帐号密码,盗取资金。
4、安全系统疏于维护:
因为金融行业一般都较早的进行了信息化建设和维护,很多时候做过周密的预案和灾备演练后就放松了对系统的整体安全维护,让怀有不轨想法的内、外部泄密人员钻了空子,而这点往往是泄密事件高发的诱因。
3.1.2安全防御建设目标
根据金融信息数据的风险和安全问题,金融行业数据信息的安全方案应根据不同系统承载的功能进行对应的设计,重点保障与核心业务、实时业务有关的系统,以保证业务持续运行和数据安全为主要目标。
金融行业信息数据网络可以根据业务连续和数据安全的原则进行保护措施的设计,可能包括访问控制、异常流量检测与清洗、Web应用防护、入侵检测、安全漏洞管理、安全配置管理、病毒检测与清除、安全运维管理、认证和加密等。
康众智防结合行业观察以及相关实践,为金融行业提供整体安全解决方案,以长期保证金融系统的信息安全。
3.2安全解决方案组成
康众智防针对金融行业的主要威胁,提供以下安全解决方案:
Ø
金融行业Web应用安全解决方案
入侵检测与防御安全解决方案
安全基线管理解决方案
可量身定制的专业安全服务
3.2.1金融行业Web安全解决方案
康众智防系统属于国内领先,世界先进的大型网络防御系统。
在国内尚无同类产品可形成同等技术高度和性能的对比。
针对金融行业Web应用威胁的特点,从开发(代码层)和运行等环节,从事前、事中、事后等风险管理角度出发,采用内、外的结合的防护手段,建立了主动、纵深、多层面的安全保障体系,可以有效保护金融行业web应用的安全性,降低系统面临的风险。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 金融机构 信息 数据 安全 解决方案