銀行業(yè)信息安全(金融機(jī)構(gòu)信息安全包括哪些方面)

1.金融機(jī)構(gòu)信息安全包括哪些方面

(1) 信息泄露：保護(hù)的信息被泄露或透露給某個(gè)非授權(quán)的實(shí)體。

(2) 破壞信息的完整性：數(shù)據(jù)被非授權(quán)地進(jìn)行增刪、修改或破壞而受到損失。

(3) 拒絕服務(wù)：信息使用者對(duì)信息或其他資源的合法訪問被無條件地阻止。

(4) 非法使用（非授權(quán)訪問）：某一資源被某個(gè)非授權(quán)的人，或以非授權(quán)的方式使用。

(5) 竊聽：用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息。例如對(duì)通信線路中傳輸?shù)男盘?hào)搭線監(jiān)聽，或者利用通信設(shè)備在工作過程中產(chǎn)生的電磁泄露截取有用信息等。（6） 業(yè)務(wù)流分析：通過對(duì)系統(tǒng)進(jìn)行長(zhǎng)期監(jiān)聽，利用統(tǒng)計(jì)分析方法對(duì)諸如通信頻度、通信的信息流向、通信總量的變化等參數(shù)進(jìn)行研究，從中發(fā)現(xiàn)有價(jià)值的信息和規(guī)律。

(7) 假冒：通過欺騙通信系統(tǒng)（或用戶）達(dá)到非法用戶冒充成為合法用戶，或者特權(quán)小的用戶冒充成為特權(quán)大的用戶的目的。我們平常所說的黑客大多采用的就是假冒攻擊。

(8) 旁路控制：攻擊者利用系統(tǒng)的安全缺陷或安全性上的脆弱之處獲得非授權(quán)的權(quán)利或特權(quán)。例如，攻擊者通過各種攻擊手段發(fā)現(xiàn)原本應(yīng)保密，但是卻又暴露出來的一些系統(tǒng)“特性”，利用這些“特性”，攻擊者可以繞過防線守衛(wèi)者侵入系統(tǒng)的內(nèi)部。

(9) 授權(quán)侵犯：被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個(gè)人，卻將此權(quán)限用于其他非授權(quán)的目的，也稱作“內(nèi)部攻擊”。

(10)抵賴：這是一種來自用戶的攻擊，涵蓋范圍比較廣泛，比如：否認(rèn)自己曾經(jīng)發(fā)布過的某條消息、偽造一份對(duì)方來信等。

(11)計(jì)算機(jī)病毒：這是一種在計(jì)算機(jī)系統(tǒng)運(yùn)行過程中能夠?qū)崿F(xiàn)傳染和侵害功能的程序，行為類似病毒，故稱作計(jì)算機(jī)病毒。

(12)信息安全法律法規(guī)不完善：由于當(dāng)前約束操作信息行為的法律法規(guī)還很不完善，存在很多漏洞，很多人打法律的擦邊球，這就給信息竊取、信息破壞者以可趁之機(jī)。

2.大數(shù)據(jù)時(shí)代銀行信息安全如何防護(hù)

互聯(lián)網(wǎng)的放大效應(yīng)使公眾的容忍度越來越低，尤其是信息安全事件的影響，讓銀行面臨的聲譽(yù)風(fēng)險(xiǎn)壓力倍增。

不容樂觀的是，在數(shù)據(jù)大集中已經(jīng)成為潮流的今天，信息安全風(fēng)險(xiǎn)也在急劇集中，銀行重要客戶的數(shù)據(jù)一旦被不法分子利用，產(chǎn)生身份冒充、釣魚詐騙等違法事件將極難防范。 如何既守住信息安全底線，又保障業(yè)務(wù)健康發(fā)展，是擺在眾多銀行面前的一道難題。

這也是為什么在銀行的IT基礎(chǔ)設(shè)施里幾乎看到安全產(chǎn)品的“全家福”的原因，各種防火墻、WAF、IDS、IPS、DLP應(yīng)接不暇。 但在這樣的情況下，依然沒能避免數(shù)據(jù)泄露、釣魚欺詐的事件發(fā)生。

讓人不禁要問，銀行信息安全防護(hù)之路在何方？ 弄清楚這個(gè)問題，就要從這些傳統(tǒng)的檢測(cè)機(jī)制上尋找原因?？梢哉f，傳統(tǒng)的防御機(jī)制都是在犧牲了無數(shù)“小白鼠”之后，對(duì)這些已知的攻擊特征做的針對(duì)性防護(hù)機(jī)制，但相信哪個(gè)黑客也不會(huì)傻到用路人皆知的攻擊手段，冒著被全球追捕的危險(xiǎn)去打銀行的主意。

大數(shù)據(jù)技術(shù)的出現(xiàn)能否力挽狂瀾？ 在攻擊者與防御者一直處于道高一尺魔高一丈的狀態(tài)下，SIEM/SOC的產(chǎn)品出現(xiàn)了，其建立在早期的日志管理之上，更多的關(guān)注日志采集后的分析、審計(jì)并發(fā)現(xiàn)問題，將日志分析的功效發(fā)揮出來。 這給安全防護(hù)工作帶來了新的思路，畢竟攻擊者在每個(gè)環(huán)節(jié)下都會(huì)雁過留痕，通過數(shù)據(jù)分析，如果真的能把隱匿在數(shù)據(jù)海洋中的攻擊者或者潛在攻擊者“揪”出來，那么攻擊方在暗處，防守方在明處的不利局面將被徹底扭轉(zhuǎn)。

但往往事實(shí)總是與愿違，受限于技術(shù)約束，傳統(tǒng)的安全分析大都僅針對(duì)樣本數(shù)據(jù)進(jìn)行分析，并將分析結(jié)果推論到剩余的數(shù)據(jù)集合上。 而隨著高級(jí)威脅和欺詐行為的不斷進(jìn)化，越來越需要對(duì)全量數(shù)據(jù)，甚至是相關(guān)的情境數(shù)據(jù)進(jìn)行分析。

并且當(dāng)銀行每天的數(shù)據(jù)量高達(dá)TB級(jí)時(shí)，SIEM/SOC的瓶頸出現(xiàn)了，龐大的數(shù)據(jù)量和多樣性迅速成為“駱駝背上的稻草”，并且會(huì)產(chǎn)生很多誤報(bào)。 大數(shù)據(jù)開始一度成為熱詞，這也讓銀行業(yè)嘗到了甜頭。

利用大數(shù)據(jù)分析不僅可以挖掘客戶的消費(fèi)習(xí)慣做精準(zhǔn)營(yíng)銷，還可以在安全防護(hù)能力上更上一層樓。借助大數(shù)據(jù)安全分析技術(shù)，能夠更好地解決天量安全要素信息的采集、存儲(chǔ)的問題。

不過這似乎與傳統(tǒng)數(shù)據(jù)分析除了在數(shù)據(jù)處理能力上，其他差異并不是那么直觀。 畢竟信息安全十多年來一直在利用網(wǎng)絡(luò)流量、系統(tǒng)日志和其它信息源的分析甄別威脅，檢測(cè)惡意活動(dòng)，而這些傳統(tǒng)方式跟大數(shù)據(jù)有何不同還是不太清晰，如果大數(shù)據(jù)安全分析僅是這樣，那么想在安全領(lǐng)域力挽狂瀾顯然是不夠的。

如何做好大數(shù)據(jù)安全分析 其實(shí)不然，在一個(gè)較為完備的基于大數(shù)據(jù)安全分析的解決方案中，通常會(huì)有一個(gè)大數(shù)據(jù)安全分析平臺(tái)作為整個(gè)方案的核心部件，承載大數(shù)據(jù)分析的核心功能，將所有分散的安全要素信息進(jìn)行集中、存儲(chǔ)、分析、可視化，對(duì)分析的結(jié)果進(jìn)行分發(fā)。 注意，是所有的安全要素，而并非僅僅是安全設(shè)備，無論是終端的、主機(jī)的、應(yīng)用的、網(wǎng)絡(luò)設(shè)備的、安全設(shè)備的，還是第三方云上的，通過收集這些全量數(shù)據(jù)進(jìn)行統(tǒng)一的存儲(chǔ)、分析和展現(xiàn)，從而發(fā)現(xiàn)里面的異常行為，并進(jìn)一步找到未知的安全威脅。

這種思路常見于美國(guó)FireEye、PhantomCyber等公司的解決方案，當(dāng)然也包括中國(guó)的HanSight。 做大數(shù)據(jù)分析，數(shù)據(jù)質(zhì)量也非常關(guān)鍵，如果提供分析的數(shù)據(jù)本身就有問題或者錯(cuò)誤，那么分析結(jié)果必然有問題。

具體來說，如果IT人員僅針對(duì)海量日志進(jìn)行分析，可能由于攻擊者將關(guān)鍵日志抹除，或者故意摻入假日志，反而會(huì)讓基于日志的大數(shù)據(jù)安全分析誤導(dǎo)。 這時(shí)，IT人員很強(qiáng)調(diào)對(duì)原始網(wǎng)絡(luò)流量的分析，將這些流量轉(zhuǎn)換為元數(shù)據(jù)，然后進(jìn)行大數(shù)據(jù)分析，配合日志分析，效果更佳。

能夠更加智能地洞悉信息也是大數(shù)據(jù)安全分析的優(yōu)勢(shì)之一。以銀行業(yè)為例，黑客通過一些手段偽裝成真實(shí)合法的用戶進(jìn)行資金劃轉(zhuǎn)，但上一筆記錄是北京，而五分鐘之后的記錄發(fā)生在廣州，這對(duì)于銀行系統(tǒng)來說，只要是合法用戶的操作，就不會(huì)干預(yù)。

但顯然在五分鐘的時(shí)間里除了超人，沒人能做到從北京直接到廣州。通過用戶異常行為的安全分析引擎，便會(huì)將這種違約交易進(jìn)行阻擋，防患于未然。

對(duì)于黑客攻擊網(wǎng)銀系統(tǒng)經(jīng)常使用的“低頻暴力破解”手法，大數(shù)據(jù)安全分析也帶來了奇效。所謂低頻暴力破解就是利用手機(jī)銀行在后臺(tái)服務(wù)端可以多次密碼試錯(cuò)的情況下，不停的撞庫進(jìn)行破解。

而利用大數(shù)據(jù)安全分析便對(duì)這些仿制的原始IP查封，加入到黑名單。 不僅如此，大數(shù)據(jù)安全分析的發(fā)展還將改變傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)架構(gòu)、安全分析體系，并深刻變革現(xiàn)有的網(wǎng)絡(luò)安全業(yè)務(wù)模式。

包括 SIEM、日志分析、欺詐檢測(cè)、威脅情報(bào)在內(nèi)的多種服務(wù)都在積極擁抱大數(shù)據(jù)安全分析技術(shù)。 大數(shù)據(jù)安全分析已成為安全業(yè)務(wù)模式變革的催化劑。

而也正是如 HanSight這樣的團(tuán)隊(duì)努力下，讓大數(shù)據(jù)安全分析開始嶄露頭角，使銀行安全防護(hù)的道路逐漸明朗了起來。

3.網(wǎng)絡(luò)銀行信息的安全簡(jiǎn)答

但是網(wǎng)上銀行的重點(diǎn)又將是哪些？

我們可以看到，2002年初，對(duì)于網(wǎng)上銀行討論的焦點(diǎn)仍然集中在“網(wǎng)上銀行是雞肋還是利器”，現(xiàn)在看來答案是顯而易見的了。時(shí)過兩年，中國(guó)工商銀行行長(zhǎng)姜建清已經(jīng)成為了全球電子金融三十杰中的一員，所以如果更好地實(shí)施網(wǎng)上銀行，建立高人一籌的網(wǎng)上銀行系統(tǒng)才是今日的焦點(diǎn)。

從網(wǎng)上銀行的應(yīng)用背景上說，中國(guó)的網(wǎng)上銀行用戶由2000年下半年的90萬人增加到2002年底的250萬，2003年，僅中國(guó)工商銀行透露的網(wǎng)上銀行用戶就已經(jīng)達(dá)到了800萬人。到2005年，預(yù)計(jì)這個(gè)數(shù)字將達(dá)到1.4億。

拓展領(lǐng)域

眾所周知，網(wǎng)上銀行與傳統(tǒng)銀行最大的不同就在于它建立在充分應(yīng)用各類先進(jìn)的通信網(wǎng)絡(luò)和信息技術(shù)手段基礎(chǔ)上的金融業(yè)務(wù)。而高速發(fā)展的網(wǎng)絡(luò)通信、無線應(yīng)用使得建立在其上的網(wǎng)上銀行可以在任何時(shí)間、任何地點(diǎn)實(shí)現(xiàn)業(yè)務(wù)。

從國(guó)外的情況來看，最近幾年以來，網(wǎng)上銀行持續(xù)以兩位數(shù)字增長(zhǎng)，而這種勢(shì)頭即使IT通信業(yè)大滑坡的情況下也未停止。

而就新技術(shù)應(yīng)用程度來看，銀行業(yè)無疑成為了最新IT技術(shù)和通信技術(shù)應(yīng)用最快、普及程度最高的行業(yè)，這也使每一個(gè)IT公司和通信公司對(duì)于銀行業(yè)的重視程度遠(yuǎn)遠(yuǎn)超過了其他行業(yè)。

所以說，網(wǎng)上銀行的高速發(fā)展對(duì)于IT技術(shù)來說提出了更高的要求。

試想，當(dāng)你在網(wǎng)上進(jìn)行任何一筆交易的時(shí)候，不管是查詢、轉(zhuǎn)賬支付還是其他，你在享受這些隨時(shí)隨地能夠提供便捷服務(wù)的同時(shí)，你最需要的是什么？當(dāng)然是安全的保證。所以說，信息安全技術(shù)如防火墻、入侵檢測(cè)、CA加密、容災(zāi)備份等，對(duì)于網(wǎng)上銀行的安全則更為重要。

而在后臺(tái)的技術(shù)上說，任何一個(gè)網(wǎng)上銀行的用戶希望能夠節(jié)省更多的時(shí)間，也就是希望得到有針對(duì)性的信息，那么對(duì)于銀行的管理來說，如何將以賬戶為中心的平臺(tái)轉(zhuǎn)換為以客戶為中心的平臺(tái)也是一個(gè)重要的挑戰(zhàn)。理所當(dāng)然的是，當(dāng)新一代客戶關(guān)系管理（CRM）軟件成熟應(yīng)用后，網(wǎng)上銀行可以很方便地進(jìn)一步提供并存儲(chǔ)客戶服務(wù)信息，同時(shí)利用商業(yè)智能技術(shù)（BI）挖掘客戶資源，實(shí)現(xiàn)交叉銷售。這樣銀行的客戶資料就變成了指導(dǎo)銀行提供更優(yōu)質(zhì)服務(wù)的向?qū)Ш蛿U(kuò)大贏利空間的沃土。

更進(jìn)一步，我們還看到從國(guó)外網(wǎng)上銀行的發(fā)展借鑒過來的是，網(wǎng)上銀行如果和企業(yè)、家庭使用的一些財(cái)務(wù)管理軟件更好地結(jié)合起來成為一個(gè)互聯(lián)互通的系統(tǒng)，那么網(wǎng)上銀行對(duì)于客戶的吸引力則必然更大一些。美國(guó)的網(wǎng)上銀行就是將網(wǎng)上銀行與美國(guó)家庭普遍使用的Quicken,Intuit、微軟Money等家庭理財(cái)軟件聯(lián)到一起，使美國(guó)家庭通過家庭理財(cái)系統(tǒng)與銀行直接相連管理家庭的報(bào)稅、投資、預(yù)算等事務(wù)。

并不樂觀的報(bào)告

據(jù)CNNIC的統(tǒng)計(jì)數(shù)據(jù)顯示，截至2003年12月31日，中國(guó)上網(wǎng)用戶人數(shù)已經(jīng)達(dá)到7950萬人。同1997年10月的62萬上網(wǎng)用戶人數(shù)相比，如今的上網(wǎng)用戶人數(shù)已是當(dāng)初的128.2倍。

由于電子商務(wù)以及各類網(wǎng)上交易的迅速增長(zhǎng)對(duì)在線支付產(chǎn)生了巨大的需求，這些都為網(wǎng)上銀行業(yè)務(wù)實(shí)現(xiàn)快速發(fā)展提供了可觀的需求。

盡管如此，CNNIC報(bào)告卻給網(wǎng)上銀行的現(xiàn)狀潑了點(diǎn)“冷水”。

據(jù)調(diào)查，中國(guó)網(wǎng)絡(luò)用戶對(duì)網(wǎng)上銀行的整體評(píng)價(jià)中，對(duì)網(wǎng)上銀行表示非常滿意和比較滿意的占46%，表示不太滿意和很不滿意的占16%，而有40%的客戶對(duì)網(wǎng)上銀行的評(píng)價(jià)是一般。

其次，作為網(wǎng)上銀行重要功能之一的網(wǎng)上支付功能還遠(yuǎn)遠(yuǎn)沒有得到客戶的普遍認(rèn)可。調(diào)查顯示，僅有1/3強(qiáng)的客戶在網(wǎng)上購物時(shí)，選擇網(wǎng)上支付付款；而有2/3的客戶則寧愿選擇傳統(tǒng)的貨到付款或者匯款等支付方式。

調(diào)查顯示，不愿意選擇網(wǎng)上銀行的客戶中有76%是出于安全考慮。其次是由操作比較復(fù)雜、暫時(shí)沒有需要、網(wǎng)上銀行服務(wù)太少、不知道銀行網(wǎng)址等。

4.銀行卡安全知識(shí)

與現(xiàn)金相比，銀行卡是一種安全、快捷的支付手段。

目前各家商業(yè)銀行和銀聯(lián)已經(jīng)采取各種技術(shù)手段和安全措施，最大限度地努力保障持卡人的資金安全。但持卡人在使用銀行卡時(shí)具備一些必要的安全意識(shí)，了解一些常見的銀行卡犯罪手法，同時(shí)掌握基本的防范技能是非常重要的。

以下是持卡人在使用銀行卡過程中可能遇到的十大安全問題： 問題一：持卡人應(yīng)該如何保護(hù)自己銀行卡信息安全？ 有些不法分子會(huì)通過盜取持卡人的銀行卡賬戶 信息，偽造假卡后盜竊持卡人賬戶資金，還有竊取他人身份信息資料后假冒他人申請(qǐng)信用卡進(jìn)行惡意透支消費(fèi)。因此，持卡人需要保護(hù)自己銀行卡賬戶信息（卡號(hào)、密碼等）和個(gè)人信息資料安全。

防范小技巧： 1、巧設(shè)密碼很重要。持卡人拿到新的銀行卡后，要立即修改密碼，并應(yīng)定期修改密碼。

設(shè)置一些相對(duì)復(fù)雜的密碼，不要設(shè)置123456、888888等簡(jiǎn)單密碼，并應(yīng)定期修改密碼；不要用自己的生日、家庭電話號(hào)碼等作為密碼，同時(shí)在任何情形下都不要輕易向他人透露銀行卡密碼等賬戶信息。記住，任何人（包括銀行工作人員）都無權(quán)詢問您的個(gè)人密碼。

2、捂住自己的個(gè)人信息。持卡人應(yīng)注意保護(hù)自己的個(gè)人信息資料，防止個(gè)人資料被不法分子濫用。

如不要把個(gè)人資料隨便留給不熟悉的公司或個(gè)人，不要隨便在互聯(lián)網(wǎng)頁留下真實(shí)個(gè)人身份資料（包括家庭、工作信息），如為辦理某項(xiàng)業(yè)務(wù)需要留下身份證復(fù)印件時(shí)，最好在復(fù)印件上標(biāo)明用途，如“僅用于招聘”等字樣。 問題二：經(jīng)?？吹骄W(wǎng)上或報(bào)紙上有自稱經(jīng)銀行授權(quán)的信用卡中介服務(wù)機(jī)構(gòu)，可以幫助申辦金卡或提供信用卡融資的廣告，是否可信？如果個(gè)人想辦理信用卡怎么辦？ 一般來說自稱可以幫助申辦金卡或提供信用卡融資服務(wù)的所謂中介機(jī)構(gòu)絕大多數(shù)都不可信，老百姓想要辦理信用卡時(shí)應(yīng)注意以下幾點(diǎn)知識(shí)： 1、要通過正規(guī)渠道申請(qǐng)信用卡，如果申請(qǐng)人要申請(qǐng)信用卡應(yīng)直接到銀行柜臺(tái)或有經(jīng)銀行授權(quán)的正規(guī)營(yíng)銷機(jī)構(gòu)辦理，而這類營(yíng)銷機(jī)構(gòu)都不需要繳納任何辦卡費(fèi)用，也不會(huì)為你提供信用卡融資或套取現(xiàn)金的服務(wù)。

2、信用卡是銀行基于申請(qǐng)人個(gè)人良好的資信狀況給予的一種循環(huán)信用額度，發(fā)卡銀行會(huì)根據(jù)持卡人使用信用卡狀況和資信情況調(diào)整相應(yīng)的信用額度。因此，不能圖一時(shí)方便或?yàn)槿〉酶叩男庞妙~度而去通過一些非法中介機(jī)構(gòu)辦理，更不能主動(dòng)參與信用卡套現(xiàn)，一旦被銀行發(fā)現(xiàn)將對(duì)個(gè)人資信狀況造成很大傷害。

3、持卡人若發(fā)現(xiàn)非法中介或套現(xiàn)商戶，歡迎積極撥打發(fā)卡銀行的電話或銀聯(lián)客服熱線95516予以舉報(bào)，共同維護(hù)銀行卡健康良好的發(fā)展環(huán)境。 問題三：持卡人在使用ATM等銀行卡自助終端時(shí)要注意哪些？ 有些不法分子會(huì)在自助銀行及ATM機(jī)上設(shè)置一些“機(jī)關(guān)”，同時(shí)在后面偷窺密碼，當(dāng)持卡人無法正常交易或造成卡片被吞的假相時(shí)，假裝好心人幫助刷卡趁機(jī)將卡片掉包或等持卡人離開后將卡片取出盜刷。

因此，持卡人在使用ATM等銀行卡自助終端時(shí)要多個(gè)心眼。 防范小技巧： 1、使用自助銀行服務(wù)終端時(shí)要小心，留意周圍是否有可疑的人，操作時(shí)應(yīng)避免他人干擾，防止他人偷窺密碼，遭遇吞卡、未吐鈔等情況，應(yīng)撥打發(fā)卡銀行的全國(guó)統(tǒng)一客服熱線及時(shí)與發(fā)卡銀行取得聯(lián)系。

2、不要輕信“好心人”。不要撥打機(jī)具旁粘貼的電話號(hào)碼，不要隨意丟棄打印單據(jù)，另外刷卡門禁是不需要輸入密碼的。

3、刷卡消費(fèi)時(shí)卡不離眼。在公眾場(chǎng)合（如超市、餐館等）刷卡輸密碼時(shí)，可用一只手擋住密碼鍵盤，防止他人偷窺密碼。

問題四：如何識(shí)別虛假短信或電話？ 短信、電話詐騙是不法分子通過電話、手機(jī)等通訊工具，編造一些貌似合理的事由，利用持卡人貪圖便宜或緊張害怕的心理，騙取持卡人賬戶資金或卡號(hào)、密碼等賬戶信息或誘騙持卡人到ATM操作轉(zhuǎn)賬等的一種詐騙手法。常見的有如：目前盛行的手機(jī)短信假冒銀行通知或中獎(jiǎng)通知的短信詐騙，類似“中獎(jiǎng)”、“銀行卡消費(fèi)”、“退還汽車購置稅”、冒充移動(dòng)員工“退手機(jī)電話費(fèi)”，或打電話謊稱持卡人親人朋友遇到緊急事件需要資金的詐騙等等。

防范小技巧： 1、收到可疑信函、電子郵件、手機(jī)短信、電話等時(shí)，應(yīng)謹(jǐn)慎確認(rèn)，勿貪小便宜，也不要緊張害怕。 2、如有疑問應(yīng)直接到發(fā)卡銀行柜臺(tái)去詢問，或撥打發(fā)卡行統(tǒng)一的客戶服務(wù)熱線（通常都以“95”開頭）或銀聯(lián)的95516服務(wù)熱線。

問題五：碰到可疑短信或電話怎么辦？ 首先，是識(shí)別虛假短信的樣式，欺詐短信手中“銀行卡管理處”“聯(lián)合管理局”、“國(guó)家財(cái)政中心”等機(jī)構(gòu)根本就不存在，收到這樣的短信后請(qǐng)務(wù)必小心。

5.銀行信息安全體系制度的建設(shè)

中小銀行信息安全體系建設(shè)的目標(biāo)

根據(jù)上述中小銀行所面臨的信息安全風(fēng)險(xiǎn)，我認(rèn)為中小銀行信息安全體系建設(shè)的目標(biāo)是通過建立完善的信息安全管理制度和智能、深度的安全防御技術(shù)手段，構(gòu)建一個(gè)管理手段與技術(shù)手段相結(jié)合的全方位、多層次、可動(dòng)態(tài)發(fā)展的縱深安全防范體系，來實(shí)現(xiàn)信息系統(tǒng)的可靠性、保密性、完整性、有效性、不可否認(rèn)性，為金融業(yè)務(wù)的發(fā)展提供一個(gè)堅(jiān)實(shí)的信息系統(tǒng)基礎(chǔ)保障。信息安全防范體系的覆蓋范圍是整個(gè)信息系統(tǒng)。

中小銀行信息安全建設(shè)的主要工作內(nèi)容有：

1、建立銀行信息安全管理組織架構(gòu)，專門負(fù)責(zé)信息系統(tǒng)的安全管理和監(jiān)督。

2、制訂金融安全策略和安全管理制度。安全管理部門結(jié)合銀行信息系統(tǒng)的實(shí)際情況，制訂合理的安全策略，對(duì)信息資源進(jìn)行安全分級(jí)，劃分不同安全等級(jí)的安全域，進(jìn)行不同等級(jí)的保護(hù)。制訂并執(zhí)行各種安全制度和應(yīng)急恢復(fù)方案，保證信息系統(tǒng)的安全運(yùn)行。這些包括：密碼管理制度、數(shù)據(jù)加密規(guī)范、身份認(rèn)證規(guī)范、區(qū)域劃分原則及訪問控制策略、病毒防范制度、安全監(jiān)控制度、安全審計(jì)制度、應(yīng)急反應(yīng)機(jī)制、安全系統(tǒng)升級(jí)制度等。

3、設(shè)計(jì)并實(shí)施技術(shù)手段，技術(shù)手段要包括外網(wǎng)邊界防護(hù)、內(nèi)網(wǎng)區(qū)域劃分與訪問控制、端點(diǎn)準(zhǔn)入、內(nèi)網(wǎng)監(jiān)控與管理、移動(dòng)辦公接入、撥號(hào)安全控制、病毒防范、安全審計(jì)、漏洞掃描與補(bǔ)丁管理等諸多方面安全措施。

4、建立安全運(yùn)維管理中心，集中監(jiān)控安全系統(tǒng)的運(yùn)行情況，集中處理各種安全事件；統(tǒng)一制訂安全系統(tǒng)升級(jí)策略，并及時(shí)對(duì)安全系統(tǒng)進(jìn)行升級(jí)，以保證提高安全體系防護(hù)能力。

6.銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引的主要要求是什么

機(jī)構(gòu)職責(zé) 第六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立有效的信息系統(tǒng)風(fēng)險(xiǎn)管理架構(gòu)，完善內(nèi)部組織結(jié)構(gòu)和工作機(jī)制，防范和控制信息系統(tǒng)風(fēng)險(xiǎn)。

第七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)認(rèn)真履行下列信息系統(tǒng)管理職責(zé)： （一）貫徹執(zhí)行國(guó)家有關(guān)信息系統(tǒng)管理的法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)，落實(shí)銀監(jiān)會(huì)相關(guān)監(jiān)管要求； （二）建立有效的信息安全保障體系和內(nèi)部控制規(guī)程，明確信息系統(tǒng)風(fēng)險(xiǎn)管理崗位責(zé)任制度，并監(jiān)督落實(shí)； （三）負(fù)責(zé)組織對(duì)本機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)進(jìn)行檢查、評(píng)估、分析，及時(shí)向本機(jī)構(gòu)專門委員會(huì)和銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)送相關(guān)的管理信息； （四）及時(shí)向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告本機(jī)構(gòu)發(fā)生的重大信息系統(tǒng)事故或突發(fā)事件，并按有關(guān)預(yù)案快速響應(yīng)； （五）每年經(jīng)董事會(huì)或其他決策機(jī)構(gòu)審查后向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)送信息系統(tǒng)風(fēng)險(xiǎn)管理的年度報(bào)告； （六）做好本機(jī)構(gòu)信息系統(tǒng)審計(jì)工作； （七）配合銀監(jiān)會(huì)及其派出機(jī)構(gòu)做好信息系統(tǒng)風(fēng)險(xiǎn)監(jiān)督檢查工作，并按照監(jiān)管意見進(jìn)行整改； （八）組織本機(jī)構(gòu)信息系統(tǒng)從業(yè)人員進(jìn)行信息系統(tǒng)有關(guān)的業(yè)務(wù)、技術(shù)和安全培訓(xùn)； （九）開展與信息系統(tǒng)風(fēng)險(xiǎn)管理相關(guān)的其他工作。 第八條 銀行業(yè)金融機(jī)構(gòu)的董事會(huì)或其他決策機(jī)構(gòu)負(fù)責(zé)信息系統(tǒng)的戰(zhàn)略規(guī)劃、重大項(xiàng)目和風(fēng)險(xiǎn)監(jiān)督管理；信息科技管理委員會(huì)、風(fēng)險(xiǎn)管理委員會(huì)或其他負(fù)責(zé)風(fēng)險(xiǎn)監(jiān)督的專業(yè)委員會(huì)應(yīng)制定信息系統(tǒng)總體策略，統(tǒng)籌信息系統(tǒng)項(xiàng)目建設(shè)，定期評(píng)估、報(bào)告本機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)狀況，為決策層提供建議，采取相應(yīng)的風(fēng)險(xiǎn)控制措施。

第九條 銀行業(yè)金融機(jī)構(gòu)法定代表人或主要負(fù)責(zé)人是本機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理責(zé)任人。 第十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)設(shè)立信息科技部門，統(tǒng)一負(fù)責(zé)本機(jī)構(gòu)信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)和監(jiān)控，提供日常科技服務(wù)和運(yùn)行技術(shù)支持；建立或明確專門信息系統(tǒng)風(fēng)險(xiǎn)管理部門，建立、健全信息系統(tǒng)風(fēng)險(xiǎn)管理規(guī)章、制度，并協(xié)助業(yè)務(wù)部門及信息科技部門嚴(yán)格執(zhí)行，提供相關(guān)的監(jiān)管信息；設(shè)立審計(jì)部門或?qū)ｉT審計(jì)崗位，建立健全信息系統(tǒng)風(fēng)險(xiǎn)審計(jì)制度，配備適量的合格人員進(jìn)行信息系統(tǒng)風(fēng)險(xiǎn)審計(jì)。

第十一條 銀行業(yè)金融機(jī)構(gòu)從事與信息系統(tǒng)相關(guān)工作的人員應(yīng)符合以下要求： （一）具備良好的職業(yè)道德，掌握履行信息系統(tǒng)相關(guān)崗位職責(zé)所需的專業(yè)知識(shí)和技能； （二）未經(jīng)崗前培訓(xùn)或培訓(xùn)不合格者不得上崗；經(jīng)考核不適宜的工作人員，應(yīng)及時(shí)進(jìn)行調(diào)整。 第十二條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)信息系統(tǒng)風(fēng)險(xiǎn)管理的專業(yè)隊(duì)伍建設(shè)，建立人才激勵(lì)機(jī)制，適應(yīng)信息技術(shù)的發(fā)展。

第十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)依據(jù)有關(guān)法律法規(guī)及時(shí)和規(guī)范地披露信息系統(tǒng)風(fēng)險(xiǎn)狀況。 總體風(fēng)險(xiǎn)控制 第十四條 總體風(fēng)險(xiǎn)是指信息系統(tǒng)在策略、制度、機(jī)房、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風(fēng)險(xiǎn)。

第十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)根據(jù)信息系統(tǒng)總體規(guī)劃，制定明確、持續(xù)的風(fēng)險(xiǎn)管理策略，按照信息系統(tǒng)的敏感程度對(duì)各個(gè)集成要素進(jìn)行分析和評(píng)估，并實(shí)施有效控制。 第十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)采取措施防范自然災(zāi)害、運(yùn)行環(huán)境變化等產(chǎn)生的安全威脅，防止各類突發(fā)事故和惡意攻擊。

第十七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立健全信息系統(tǒng)相關(guān)的規(guī)章制度、技術(shù)規(guī)范、操作規(guī)程等；明確與信息系統(tǒng)相關(guān)人員的職責(zé)權(quán)限，建立制約機(jī)制，實(shí)行最小授權(quán)。 第十八條 在境外設(shè)立的我國(guó)銀行業(yè)金融機(jī)構(gòu)或在境內(nèi)設(shè)立的境外銀行業(yè)金融機(jī)構(gòu)，應(yīng)防范由于境內(nèi)外信息系統(tǒng)監(jiān)管制度差異等造成的跨境風(fēng)險(xiǎn)。

第十九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)嚴(yán)格執(zhí)行國(guó)家信息安全相關(guān)標(biāo)準(zhǔn)，參照有關(guān)國(guó)際準(zhǔn)則，積極推進(jìn)信息安全標(biāo)準(zhǔn)化，實(shí)行信息安全等級(jí)保護(hù)。 第二十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)信息系統(tǒng)的評(píng)估和測(cè)試，及時(shí)進(jìn)行修補(bǔ)和更新，以保證信息系統(tǒng)的安全性、完整性。

第二十一條 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)數(shù)據(jù)中心機(jī)房應(yīng)符合國(guó)家有關(guān)計(jì)算機(jī)場(chǎng)地、環(huán)境、供配電等技術(shù)標(biāo)準(zhǔn)。全國(guó)性數(shù)據(jù)中心至少應(yīng)達(dá)到國(guó)家A類機(jī)房標(biāo)準(zhǔn)，省域數(shù)據(jù)中心至少應(yīng)達(dá)到國(guó)家B類機(jī)房標(biāo)準(zhǔn)，省域以下數(shù)據(jù)中心至少應(yīng)達(dá)到C類機(jī)房標(biāo)準(zhǔn)。

數(shù)據(jù)中心機(jī)房應(yīng)實(shí)行嚴(yán)格的門禁管理措施，未經(jīng)授權(quán)不得進(jìn)入。 第二十二條 銀行業(yè)金融機(jī)構(gòu)應(yīng)重視知識(shí)產(chǎn)權(quán)保護(hù)，使用正版軟件，加強(qiáng)軟件版本管理，優(yōu)先使用具有中國(guó)自主知識(shí)產(chǎn)權(quán)的軟、硬件產(chǎn)品；積極研發(fā)具有自主知識(shí)產(chǎn)權(quán)的信息系統(tǒng)和相關(guān)金融產(chǎn)品，并采取有效措施保護(hù)本機(jī)構(gòu)信息化成果。

第二十三條 銀行業(yè)金融機(jī)構(gòu)與信息系統(tǒng)相關(guān)的電子設(shè)備的選型、購置、登記、保養(yǎng)、維修、報(bào)廢等應(yīng)嚴(yán)格執(zhí)行相關(guān)規(guī)程，選用的設(shè)備應(yīng)經(jīng)過技術(shù)論證，測(cè)試性能應(yīng)符合國(guó)家有關(guān)標(biāo)準(zhǔn)。信息系統(tǒng)所用的服務(wù)器等關(guān)鍵設(shè)備應(yīng)具有較高的可靠性、充足的容量和一定的容錯(cuò)特性，并配置適當(dāng)?shù)膫淦穫浼?/p>

第二十四條 信息系統(tǒng)的網(wǎng)絡(luò)應(yīng)參照相關(guān)的標(biāo)準(zhǔn)和規(guī)范設(shè)計(jì)、建設(shè)；網(wǎng)絡(luò)設(shè)備應(yīng)兼?zhèn)浼夹g(shù)先進(jìn)性和產(chǎn)品成熟性；網(wǎng)絡(luò)設(shè)備和線路應(yīng)有冗余備份；嚴(yán)格線路租用合同管理，按照業(yè)務(wù)和交易流量要求保證傳輸帶寬；建立完善的網(wǎng)管中心，監(jiān)測(cè)和管理通信線路及網(wǎng)絡(luò)設(shè)備，保障網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。 第二十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)網(wǎng)絡(luò)安全管理。

生產(chǎn)網(wǎng)絡(luò)與開發(fā)測(cè)試網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)應(yīng)實(shí)施隔離；加強(qiáng)無線網(wǎng)、互聯(lián)網(wǎng)接入。

7.商業(yè)銀行信息安全策略應(yīng)涉及哪些領(lǐng)域

（一） 安全策略；

（二） 內(nèi)控制度建設(shè)；

（三） 風(fēng)險(xiǎn)管理狀況；

（四） 系統(tǒng)安全性；

（五） 業(yè)務(wù)運(yùn)行連續(xù)性計(jì)劃；

（六） 業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃；

（七） 風(fēng)險(xiǎn)預(yù)警體系；

（八） 其他重要安全環(huán)節(jié)和機(jī)制的管理。

技術(shù)方面需要考慮：

（一） 物理安全；

（二） 數(shù)據(jù)通訊安全；

（三） 應(yīng)用系統(tǒng)安全；

（四） 密鑰管理；

（五） 客戶信息認(rèn)證與保密；

（六） 入侵監(jiān)測(cè)機(jī)制和報(bào)告反應(yīng)機(jī)制。

8.金融行業(yè)對(duì)信息安全方面相關(guān)法規(guī)有哪些

多了去了。

既有針對(duì)整體的，又有針對(duì)某業(yè)務(wù)的。

下面列一些：

《商業(yè)銀行外包風(fēng)險(xiǎn)管理指引（征求意見稿）》.doc

關(guān)于印發(fā)銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全保障問責(zé)方案》的通知.doc

關(guān)于做好網(wǎng)上銀行風(fēng)險(xiǎn)管理和服務(wù)的通知 銀監(jiān)辦發(fā)[2007]134號(hào).doc

（銀監(jiān)辦發(fā)〔2011〕26號(hào)）關(guān)于征求銀行業(yè)“十二五”信息科技發(fā)展規(guī)劃相關(guān)意見的通知.pdf

（銀監(jiān)辦發(fā)〔2011〕62號(hào)）關(guān)于進(jìn)一步加強(qiáng)網(wǎng)上銀行風(fēng)險(xiǎn)防控工作的通知.pdf

網(wǎng)上銀行安全風(fēng)險(xiǎn)管理指引（征求意見稿）.pdf

銀發(fā)[2011]17號(hào)中國(guó)人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知.PDF

轉(zhuǎn)發(fā)中國(guó)人民銀行辦公廳《金融業(yè)信息安全風(fēng)險(xiǎn)提示》的通知.pdf