银行业信息安全基砂知识(网络银行信息的安全简答)

1.网络银行信息的安全简答

但是网上银行的重点又将是哪些？

我们可以看到，2002年初，对于网上银行讨论的焦点仍然集中在“网上银行是鸡肋还是利器”，现在看来答案是显而易见的了。时过两年，中国工商银行行长姜建清已经成为了全球电子金融三十杰中的一员，所以如果更好地实施网上银行，建立高人一筹的网上银行系统才是今日的焦点。

从网上银行的应用背景上说，中国的网上银行用户由2000年下半年的90万人增加到2002年底的250万，2003年，仅中国工商银行透露的网上银行用户就已经达到了800万人。到2005年，预计这个数字将达到1.4亿。

拓展领域

众所周知，网上银行与传统银行最大的不同就在于它建立在充分应用各类先进的通信网络和信息技术手段基础上的金融业务。而高速发展的网络通信、无线应用使得建立在其上的网上银行可以在任何时间、任何地点实现业务。

从国外的情况来看，最近几年以来，网上银行持续以两位数字增长，而这种势头即使IT通信业大滑坡的情况下也未停止。

而就新技术应用程度来看，银行业无疑成为了最新IT技术和通信技术应用最快、普及程度最高的行业，这也使每一个IT公司和通信公司对于银行业的重视程度远远超过了其他行业。

所以说，网上银行的高速发展对于IT技术来说提出了更高的要求。

试想，当你在网上进行任何一笔交易的时候，不管是查询、转账支付还是其他，你在享受这些随时随地能够提供便捷服务的同时，你最需要的是什么？当然是安全的保证。所以说，信息安全技术如防火墙、入侵检测、CA加密、容灾备份等，对于网上银行的安全则更为重要。

而在后台的技术上说，任何一个网上银行的用户希望能够节省更多的时间，也就是希望得到有针对性的信息，那么对于银行的管理来说，如何将以账户为中心的平台转换为以客户为中心的平台也是一个重要的挑战。理所当然的是，当新一代客户关系管理（CRM）软件成熟应用后，网上银行可以很方便地进一步提供并存储客户服务信息，同时利用商业智能技术（BI）挖掘客户资源，实现交叉销售。这样银行的客户资料就变成了指导银行提供更优质服务的向导和扩大赢利空间的沃土。

更进一步，我们还看到从国外网上银行的发展借鉴过来的是，网上银行如果和企业、家庭使用的一些财务管理软件更好地结合起来成为一个互联互通的系统，那么网上银行对于客户的吸引力则必然更大一些。美国的网上银行就是将网上银行与美国家庭普遍使用的Quicken,Intuit、微软Money等家庭理财软件联到一起，使美国家庭通过家庭理财系统与银行直接相连管理家庭的报税、投资、预算等事务。

并不乐观的报告

据CNNIC的统计数据显示，截至2003年12月31日，中国上网用户人数已经达到7950万人。同1997年10月的62万上网用户人数相比，如今的上网用户人数已是当初的128.2倍。

由于电子商务以及各类网上交易的迅速增长对在线支付产生了巨大的需求，这些都为网上银行业务实现快速发展提供了可观的需求。

尽管如此，CNNIC报告却给网上银行的现状泼了点“冷水”。

据调查，中国网络用户对网上银行的整体评价中，对网上银行表示非常满意和比较满意的占46%，表示不太满意和很不满意的占16%，而有40%的客户对网上银行的评价是一般。

其次，作为网上银行重要功能之一的网上支付功能还远远没有得到客户的普遍认可。调查显示，仅有1/3强的客户在网上购物时，选择网上支付付款；而有2/3的客户则宁愿选择传统的货到付款或者汇款等支付方式。

调查显示，不愿意选择网上银行的客户中有76%是出于安全考虑。其次是由操作比较复杂、暂时没有需要、网上银行服务太少、不知道银行网址等。

2.大数据时代银行信息安全如何防护

互联网的放大效应使公众的容忍度越来越低，尤其是信息安全事件的影响，让银行面临的声誉风险压力倍增。

不容乐观的是，在数据大集中已经成为潮流的今天，信息安全风险也在急剧集中，银行重要客户的数据一旦被不法分子利用，产生身份冒充、钓鱼诈骗等违法事件将极难防范。 如何既守住信息安全底线，又保障业务健康发展，是摆在众多银行面前的一道难题。

这也是为什么在银行的IT基础设施里几乎看到安全产品的“全家福”的原因，各种防火墙、WAF、IDS、IPS、DLP应接不暇。 但在这样的情况下，依然没能避免数据泄露、钓鱼欺诈的事件发生。

让人不禁要问，银行信息安全防护之路在何方？ 弄清楚这个问题，就要从这些传统的检测机制上寻找原因。可以说，传统的防御机制都是在牺牲了无数“小白鼠”之后，对这些已知的攻击特征做的针对性防护机制，但相信哪个黑客也不会傻到用路人皆知的攻击手段，冒着被全球追捕的危险去打银行的主意。

大数据技术的出现能否力挽狂澜？ 在攻击者与防御者一直处于道高一尺魔高一丈的状态下，SIEM/SOC的产品出现了，其建立在早期的日志管理之上，更多的关注日志采集后的分析、审计并发现问题，将日志分析的功效发挥出来。 这给安全防护工作带来了新的思路，毕竟攻击者在每个环节下都会雁过留痕，通过数据分析，如果真的能把隐匿在数据海洋中的攻击者或者潜在攻击者“揪”出来，那么攻击方在暗处，防守方在明处的不利局面将被彻底扭转。

但往往事实总是与愿违，受限于技术约束，传统的安全分析大都仅针对样本数据进行分析，并将分析结果推论到剩余的数据集合上。 而随着高级威胁和欺诈行为的不断进化，越来越需要对全量数据，甚至是相关的情境数据进行分析。

并且当银行每天的数据量高达TB级时，SIEM/SOC的瓶颈出现了，庞大的数据量和多样性迅速成为“骆驼背上的稻草”，并且会产生很多误报。 大数据开始一度成为热词，这也让银行业尝到了甜头。

利用大数据分析不仅可以挖掘客户的消费习惯做精准营销，还可以在安全防护能力上更上一层楼。借助大数据安全分析技术，能够更好地解决天量安全要素信息的采集、存储的问题。

不过这似乎与传统数据分析除了在数据处理能力上，其他差异并不是那么直观。 毕竟信息安全十多年来一直在利用网络流量、系统日志和其它信息源的分析甄别威胁，检测恶意活动，而这些传统方式跟大数据有何不同还是不太清晰，如果大数据安全分析仅是这样，那么想在安全领域力挽狂澜显然是不够的。

如何做好大数据安全分析 其实不然，在一个较为完备的基于大数据安全分析的解决方案中，通常会有一个大数据安全分析平台作为整个方案的核心部件，承载大数据分析的核心功能，将所有分散的安全要素信息进行集中、存储、分析、可视化，对分析的结果进行分发。 注意，是所有的安全要素，而并非仅仅是安全设备，无论是终端的、主机的、应用的、网络设备的、安全设备的，还是第三方云上的，通过收集这些全量数据进行统一的存储、分析和展现，从而发现里面的异常行为，并进一步找到未知的安全威胁。

这种思路常见于美国FireEye、PhantomCyber等公司的解决方案，当然也包括中国的HanSight。 做大数据分析，数据质量也非常关键，如果提供分析的数据本身就有问题或者错误，那么分析结果必然有问题。

具体来说，如果IT人员仅针对海量日志进行分析，可能由于攻击者将关键日志抹除，或者故意掺入假日志，反而会让基于日志的大数据安全分析误导。 这时，IT人员很强调对原始网络流量的分析，将这些流量转换为元数据，然后进行大数据分析，配合日志分析，效果更佳。

能够更加智能地洞悉信息也是大数据安全分析的优势之一。以银行业为例，黑客通过一些手段伪装成真实合法的用户进行资金划转，但上一笔记录是北京，而五分钟之后的记录发生在广州，这对于银行系统来说，只要是合法用户的操作，就不会干预。

但显然在五分钟的时间里除了超人，没人能做到从北京直接到广州。通过用户异常行为的安全分析引擎，便会将这种违约交易进行阻挡，防患于未然。

对于黑客攻击网银系统经常使用的“低频暴力破解”手法，大数据安全分析也带来了奇效。所谓低频暴力破解就是利用手机银行在后台服务端可以多次密码试错的情况下，不停的撞库进行破解。

而利用大数据安全分析便对这些仿制的原始IP查封，加入到黑名单。 不仅如此，大数据安全分析的发展还将改变传统的网络安全防护架构、安全分析体系，并深刻变革现有的网络安全业务模式。

包括 SIEM、日志分析、欺诈检测、威胁情报在内的多种服务都在积极拥抱大数据安全分析技术。 大数据安全分析已成为安全业务模式变革的催化剂。

而也正是如 HanSight这样的团队努力下，让大数据安全分析开始崭露头角，使银行安全防护的道路逐渐明朗了起来。

3.金融机构信息安全包括哪些方面

(1) 信息泄露：保护的信息被泄露或透露给某个非授权的实体。

(2) 破坏信息的完整性：数据被非授权地进行增删、修改或破坏而受到损失。

(3) 拒绝服务：信息使用者对信息或其他资源的合法访问被无条件地阻止。

(4) 非法使用（非授权访问）：某一资源被某个非授权的人，或以非授权的方式使用。

(5) 窃听：用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听，或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。（6） 业务流分析：通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究，从中发现有价值的信息和规律。

(7) 假冒：通过欺骗通信系统（或用户）达到非法用户冒充成为合法用户，或者特权小的用户冒充成为特权大的用户的目的。我们平常所说的黑客大多采用的就是假冒攻击。

(8) 旁路控制：攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如，攻击者通过各种攻击手段发现原本应保密，但是却又暴露出来的一些系统“特性”，利用这些“特性”，攻击者可以绕过防线守卫者侵入系统的内部。

(9) 授权侵犯：被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其他非授权的目的，也称作“内部攻击”。

(10)抵赖：这是一种来自用户的攻击，涵盖范围比较广泛，比如：否认自己曾经发布过的某条消息、伪造一份对方来信等。

(11)计算机病毒：这是一种在计算机系统运行过程中能够实现传染和侵害功能的程序，行为类似病毒，故称作计算机病毒。

(12)信息安全法律法规不完善：由于当前约束操作信息行为的法律法规还很不完善，存在很多漏洞，很多人打法律的擦边球，这就给信息窃取、信息破坏者以可趁之机。

4.商业银行信息安全策略应涉及哪些领域

（一） 安全策略；

（二） 内控制度建设；

（三） 风险管理状况；

（四） 系统安全性；

（五） 业务运行连续性计划；

（六） 业务运行应急计划；

（七） 风险预警体系；

（八） 其他重要安全环节和机制的管理。

技术方面需要考虑：

（一） 物理安全；

（二） 数据通讯安全；

（三） 应用系统安全；

（四） 密钥管理；

（五） 客户信息认证与保密；

（六） 入侵监测机制和报告反应机制。

5.如何理解银行业关键信息基础设施

第一，银行业具有足够数量的数据资源和数据信息。银行业拥有天然的数据基因，掌握着大量的国民经济和客户经营信息，同时还掌握着真实可靠的客户信用记录或信用数据，能满足大数据技术的工作需要。

第二，银行业具有较强的信息科技建设实力，能为互联网金融基础设施、科技设备和人力资源的投入提供及时的资金支持。

第三，银行业拥有直接面向客户，提供支付结算、代收代缴、投资理财等金融服务的功能相对完备的门户网站和网络平台，且拥有较为统一的基础数据接口和高效精准的后台数据处理能力。

第四，银行业拥有足够数量、功能齐备的线下网点，更易形成线上线下齐发并进的渠道优势。

第五，银行业具有更为成熟的风控手段和较为强大的“公信力”，能对客户产生更为稳健、安全的业务吸引力。

6.金融行业对信息安全方面相关法规有哪些

多了去了。

既有针对整体的，又有针对某业务的。

下面列一些：

《商业银行外包风险管理指引（征求意见稿）》.doc

关于印发银监会《银行业金融机构信息系统安全保障问责方案》的通知.doc

关于做好网上银行风险管理和服务的通知 银监办发[2007]134号.doc

（银监办发〔2011〕26号）关于征求银行业“十二五”信息科技发展规划相关意见的通知.pdf

（银监办发〔2011〕62号）关于进一步加强网上银行风险防控工作的通知.pdf

网上银行安全风险管理指引（征求意见稿）.pdf

银发[2011]17号中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知.PDF

转发中国人民银行办公厅《金融业信息安全风险提示》的通知.pdf

7.银行信息安全体系制度的建设

中小银行信息安全体系建设的目标 根据上述中小银行所面临的信息安全风险，我认为中小银行信息安全体系建设的目标是通过建立完善的信息安全管理制度和智能、深度的安全防御技术手段，构建一个管理手段与技术手段相结合的全方位、多层次、可动态发展的纵深安全防范体系，来实现信息系统的可靠性、保密性、完整性、有效性、不可否认性，为金融业务的发展提供一个坚实的信息系统基础保障。

信息安全防范体系的覆盖范围是整个信息系统。 中小银行信息安全建设的主要工作内容有： 1、建立银行信息安全管理组织架构，专门负责信息系统的安全管理和监督。

2、制订金融安全策略和安全管理制度。安全管理部门结合银行信息系统的实际情况，制订合理的安全策略，对信息资源进行安全分级，划分不同安全等级的安全域，进行不同等级的保护。

制订并执行各种安全制度和应急恢复方案，保证信息系统的安全运行。这些包括：密码管理制度、数据加密规范、身份认证规范、区域划分原则及访问控制策略、病毒防范制度、安全监控制度、安全审计制度、应急反应机制、安全系统升级制度等。

3、设计并实施技术手段，技术手段要包括外网边界防护、内网区域划分与访问控制、端点准入、内网监控与管理、移动办公接入、拨号安全控制、病毒防范、安全审计、漏洞扫描与补丁管理等诸多方面安全措施。 4、建立安全运维管理中心，集中监控安全系统的运行情况，集中处理各种安全事件；统一制订安全系统升级策略，并及时对安全系统进行升级，以保证提高安全体系防护能力。

8.商业银行如何保护个人信息安全

商业银行在征信体系既是信息的提供者又是使用者，也承担着保护个人信息安全的职责。在信息的采集和使用上，商业银行有其规章制度和合规流程，以确保个人信息安全。

中国工商银行管理信息部总经理苏宗国介绍，工行在采集和向征信机构报送个人信息的时候要取得个人同意、授权，查询个人信息要获得个人的授权，在授权中要说明用途。

对于银行内部信用信息使用，工行建立了白名单制度。苏宗国介绍，工行所有分支机构纳入白名单的用户也就200多人，只有这些人可以登录人行征信系统查询，但只能做个人的异议处理或者用户管理。

对于银行内部信息使用者，工行还设立了前置系统。“该系统跟人行征信系统对接，系统用户必须通过征信信息安全测试，形象的比喻就是‘考驾照’，经过测试，成绩合格后才能进入。”操作系统时，还需要通过双重密码认证。

在加强系统监测方面，苏宗国表示，对没有业务背景的信息查询，对非工作时间的查询，对过量的查询还有报告超期保存，工行都会实时监控，一旦系统发现违规、自动报警的，由管理员及时去核查，并交由该用户上级去核实