行业概述
金融行业作为国民经济的重要组成部分,其网络及信息安全直接关系到国家的经济安全和国家安全,在国家的信息安全保障体系中占有重要的地位。同时金融系统也属于国家政策要求实施安全等级保护的11大类关键信息基础设施中的重点系统。
在整个金融业的发展历程中,现代金融业的迅猛发展是与信息技术的发展密切相关的。行业的电子化建设为各种金融业务的开展提供了坚实的基础。由于金融行业的特殊性,金融行业的正常运作必须依赖于信息系统的安全可靠,保障信息系统的安全可靠,减少金融风险,提高金融业的核心竞争力,从而保障客户的根本利益不受侵害,这是金融行业信息化建设的基本要求。
安全需求分析
金融业信息系统的建设和IT技术在行业中应用的深度和广度都位于国内行业的前茅,计算机与网络通信技术已成为支撑各项业务运转的关键设施,其网络建设先后经历了分散式和集中式等阶段。网络中包含了多种的网络操作系统平台、多种网络协议、基于各种开发模式的行业应用,网络系统必须随时适应新的中间业务等应用的不断变化,网络规模非规则递增;同时,金融网络系统是面向顾客的交易服务系统,其用户数随时呈线型增长。
以上几个方面均有不同的安全需求,单一的安全技术远不能满足以上的复杂要求,每个方面会有不同的安全需求,要求采取不同的安全解决办法。因此金融行业需要在整体考虑的基础上,建立起完整的安全控制体系和保证体系,以保障信息的保密性、可用性和完整性。
目前金融行业常见的信息安全需求如下:
人员管理和安全技术结合
我国在金融监管机构的组织下,开展了对金融业国际标准的跟踪分析和相应的国家和行业标准的制定工作,进行了信息安全标准规范和体系结构及示范系统的研制,并开始贯彻实施。大部分金融机构也根据自己的实际情况,在应用系统开发、网络建设等方面均做了相应的规范,但仍然存在较多问题需要进一步解决。
目前行业内应用广泛的安全管理大部分停留在数据应用层,对整体网络安全的角度考虑不足,针对组织或流程的管理方法尚未和信息系统安全技术进行有机的结合,无法体现对整个企业安全链进行统一管理的思想,同时也导致针对内部人员的管理尚存在较大的问题。
安全资源的整合和集中管理
金融系统在多年的发展历程中,对信息安全的特定组成部分,如密码技术等方面有这多年的应用和积累,在网络通讯、应用系统等各方面,大量使用高安全性的加密设备。例如,防火墙设备、可信操作系统、数字签名和身份认证技术等。不同类型的安全产品如各种型号的加密机、支付密码器、VPN设备等在银行得到了大量的应用。
仅依赖于某些安全产品,不可能有效地保护自己的整体网络安全,行业客户还必须认识到,安全是一个整体,需要把安全过程中的有关各方如各层次的安全产品、分支机构、运营网络、客户等纳入一个紧密的安全链中,才能有效地保障企业的网络安全和保护原有投资。行业客户整体安全水平的高低不是单一的安全产品的比较,而是整体的安全链之间的比较。
应用业务的安全性
金融行业的业务系统是企业的主要利润来源,具体分析下来,银行、证券、保险等金融行业的应用软件来源各不相同,如银行系统较多使用自主开发的系统应用,而目前证券行业的应用软件市场大部分集中在几家特定的厂商。但不管是自主研发还是外购产品,对网络的实时性和安全性要求都非常高,这是由金融行业独有的行业特性所决定的。
而在绿盟科技所进行过的金融行业应用软件的评测过程中,发现由于种种原因,如软件编写缺乏严格的质量控制、程序设计人员对安全了解程度不足等,经常导致非常严重的后果,例如可以绕过程序的风险管理限制对数据进行操作等。这些都需要相应的安全服务来解决。
网络的可用性
随着网络的飞速发展,金融业已经逐步提供网上金融业务。金融行业的客户要得到的是及时、有效、准确的信息,交易信息必须及时传递到客户手中,任何延误与滞后都会给客户判断带来错觉,甚至失误,会造成无法估量的后果。因此在开展这方面服务的同时,基于TCP、IP架构的信息安全技术和措施在金融业也得到了空前的重视。
绿盟科技在此领域拥有国际领先的技术实力和多项专利,为金融行业客户提供专业的网络安全服务及安全解决方案的实施,保障网络的可用性和行业客户的满意度。
绿盟科技与金融行业
绿盟科技作为国内首家专业的安全服务提供商,一直以来的服务宗旨是“为客户创造价值”。先后给客户建设和实施了多个备受称赞的网络安全项目,并且提供了优质的安全服务。
对于金融行业的信息系统,涉及行业的特殊需求和复杂的网络环境。依据绿盟科技多年在网络安全防护领域安全实践的总结和对国际安全技术的研究,利用完整的信息安全框架(NSFOCUS Information Security Framework,简称N-ISF)来指导信息系统安全和相应支持体系的设计。分别从技术体系,组织体系和管理体系的角度来提供网络安全专业服务和整体解决方案,保障行业客户在面临加入WTO及混业经营等情况下的核心竞争力。