前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的金融安全建設(shè)主題范文,僅供參考,歡迎閱讀并收藏。
一、領(lǐng)導重視
(一)組建有力的領(lǐng)導班子。我們成立了金融生態(tài)環(huán)境建設(shè)領(lǐng)導小組,由常務(wù)副市長任組長,金融證券辦、人民銀行、財政、審計、監(jiān)察等相關(guān)部門負責人為成員。領(lǐng)導小組下設(shè)辦公室,具體負責日常組織、協(xié)調(diào)、考核等工作。
(二)成立專門服務(wù)金融工作的機構(gòu)。將金融證券辦由原來隸屬于商務(wù)局的股室單位,升格為行政支持類正科級事業(yè)單位,設(shè)10個編制,并成立了3人黨組,配強了領(lǐng)導力量,配齊了懂金融,善管理的工作人員,為今后我市金融工作的開展打下了堅實的基礎(chǔ)。
(三)完善聯(lián)席會議制度。由主管金融工作的副市長牽頭,政府辦、金融證券辦、財政、農(nóng)辦、工業(yè)、公安、監(jiān)察、檢察、法院等市直部門及金融機構(gòu)共同組成金融工作聯(lián)席會議,著力研究部署、推進金融生態(tài)建設(shè)、維護金融債權(quán)、完善社會信用體系等重大問題,大大加強了黨政各部門在金融工作上協(xié)調(diào)配合。每年召開幾次市委常委會議、政府常務(wù)會議,聽取金融工作專題匯報,部署規(guī)劃金融工作。市人大、政協(xié)每年都要召開兩到三次金融工作座談會,對金融環(huán)境和信貸投放開展專題調(diào)研。
(四)安排必需的工作經(jīng)費。市財政除每年預算安排專項金融工作經(jīng)費外,近幾年,每年還安排20萬元的金融創(chuàng)安專項工作經(jīng)費,為金融創(chuàng)安工作提供必要的財力保障。
二、措施得力
(一)依法規(guī)范行政程序,打造誠信政府。出臺了《加快市域經(jīng)濟發(fā)展獎勵暫行辦法》。去年拿出獎勵資金54萬元,重獎了華融湘江銀行、農(nóng)發(fā)行、農(nóng)行、建行、信用社等5家金融機構(gòu)。作出優(yōu)化經(jīng)濟發(fā)展環(huán)境十項公開承諾,整治面向企業(yè)和金融機構(gòu)的“三亂”行為。加強政府性債務(wù)管理,確保重點工程按時兌付,及時歸還銀行貸款。實行干部信用報告制,探索建立干部個人信用檔案,在提拔、任用干部時,將個人信用作為重要依據(jù)。
(二)財政蔸底改制企業(yè),保障金融債權(quán)。為維護金融資產(chǎn)安全,我們邀請債權(quán)銀行參與企業(yè)改制,共同規(guī)范改制行為。清算償還階段,在保證人員安置的前提下,優(yōu)先保證地方金融債權(quán);對資不抵債企業(yè),財政墊資保障金融債權(quán)。*年,**市棉麻公司改制和糧食購銷公司改制,由于企業(yè)人員包袱重,安置費用缺口大,農(nóng)發(fā)行發(fā)放給兩家企業(yè)的515萬**1200萬元貸款面臨壞賬風險,農(nóng)發(fā)行的有關(guān)領(lǐng)導非常著急。為維護地方金融債權(quán),我們主動出面,組織農(nóng)發(fā)行、財政、城市建設(shè)投資公司等單位多次協(xié)調(diào),最后由財政墊資715萬元,財政擔保,城市建設(shè)投資公司墊資1000萬元,確保了農(nóng)發(fā)行的權(quán)益。
(三)清收公職人員欠貸,增強誠信意識。從*年開始,率先在全市開展清收國家工作人員拖欠貸款專項整治行動。截至*年,1400多名公職人員還清了逾期本息,共計收回資金600多萬元,落實有效資產(chǎn)抵押300多萬元,清收率達到81.2%。
(四)實施鄉(xiāng)村信用工程,創(chuàng)建誠信鄉(xiāng)村。出臺信用鄉(xiāng)(鎮(zhèn))、信用村、信用農(nóng)戶評定辦法,制定信用農(nóng)戶利率優(yōu)惠措施,倡導誠實守信的正氣清風。目前,我市已評出4個信用鄉(xiāng)鎮(zhèn)、163個信用村、138955戶信用農(nóng)戶。*年,農(nóng)信社新增“三農(nóng)”貸款2.7億元,有力地支持了我市新農(nóng)村建設(shè)。
三、效果明顯
通過幾年的不斷努力,金融創(chuàng)安的效果十分明顯。*-*年,在**市金融生態(tài)環(huán)境建設(shè)考評中,我市三次名列第一,被評為**市“*年度金融安全區(qū)”。**工業(yè)園成為全省第一批中小企業(yè)信用體系實驗區(qū)建設(shè)試點單位,民間借貸利率動態(tài)監(jiān)測模式全省推介。*年,順利通過省級金融安全區(qū)考核驗收。
(一)社會金融意識明顯增強。一是法治環(huán)境進一步改善。司法機關(guān)加大了對經(jīng)濟、金融糾紛案件的審理和執(zhí)行力度,金融糾紛案件結(jié)案率逐年提高,有效地支持了金融機構(gòu)維護債權(quán)。同時,采取鐵腕手段治理“三亂”,經(jīng)濟發(fā)展環(huán)境不斷優(yōu)化。近幾年,全市行政事業(yè)單位未出現(xiàn)亂收費、亂罰款、亂攤派的現(xiàn)象。二是信用環(huán)境進一步優(yōu)化。社會公眾、貸款企事業(yè)單位和個人金融風險意識、信用觀念明顯增強,誠實守信,基本能按期歸還貸款本息,企業(yè)改制無逃廢銀行債務(wù)現(xiàn)象,對惡意逃廢金融債務(wù)行為的單位能及時進行制裁。*年,共清收13筆行政事業(yè)單位拖欠銀信部門貸款341萬元,占應收款547萬元的62.4%;清收73戶國家公職人員拖欠銀信部門貸款287萬元,占應收款353萬元的81.2%。
(二)金融體系不斷健全。由于金融環(huán)境日益改善,繼*年成功引進華融湘江銀行**支行后,又成功引進了國開村鎮(zhèn)銀行入駐我市,于*年12月18日正式開張營業(yè),短短一月時間,實現(xiàn)存款余額突破億元。
(三)金融運行質(zhì)量提升。*年末,全市金融機構(gòu)盈利7434萬元,同比增加1839萬元;存貸比53.3%;流動性比例72.4%;法人資本利潤率15.8%;不良貸款率僅為5.73%。
【關(guān)鍵詞】金融信息 安全風險 對策
一、引言
信息安全建設(shè)應綜合考慮,信息在獲取過程中要考慮其的完整性、可用性等,我們要盡量的全方位考慮,將設(shè)計信息系統(tǒng)的安全方策略做到最好。隨著網(wǎng)絡(luò)建設(shè)的覆蓋、網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的建立,數(shù)據(jù)的大集中已進入發(fā)展階段,其中數(shù)據(jù)大集中成為我國金融業(yè)信息化工程的重點,方便的經(jīng)營管理能有效控制外部安全風險,增強了規(guī)?;绦蚧б?,但同時也帶來了風險。金融業(yè)的辦公自動化和信息數(shù)據(jù)中心規(guī)模數(shù)據(jù)的不斷擴張,這種聚集的風險會更加突出,數(shù)據(jù)控制中心一旦受到攻擊,計算機將立即終止服務(wù),同時引起與之相關(guān)聯(lián)的一系列的金融服務(wù)業(yè)務(wù)暫?;虬c瘓,最終將因數(shù)據(jù)的丟失而引起多起法律糾紛,這必然也會造成社會的不和諧。隨著我國信息技術(shù)的快速發(fā)展,會有越來越多的安全技術(shù)問題隨之而來,電腦系統(tǒng)的入侵與反入侵的攻擊也將會變得復雜并且頻繁上演。所以,金融業(yè)對網(wǎng)絡(luò)體系實施安全保障防護的要求也就刻不容緩了。因此,要保證金融機構(gòu)的信息系統(tǒng)平穩(wěn)運行及各項業(yè)務(wù)的持續(xù)展開,必須建立一套金融信息安全保障體系,統(tǒng)一金融信息安全問題處理規(guī)范和流程,是有效防范和化解安全風險,以及增強金融系統(tǒng)的信息安全整體防范體系的關(guān)鍵。
二、金融信息安全的現(xiàn)狀
由于信息技術(shù)在金融系統(tǒng)的廣泛應用,金融業(yè)務(wù)都是以信息技術(shù)為支撐,各金融系統(tǒng)同中央銀行、國家相關(guān)部門實現(xiàn)了網(wǎng)絡(luò)聯(lián)接,從而,信息安全的重要性凸現(xiàn),信息安全不僅關(guān)系到金融安全,甚至關(guān)系到社會穩(wěn)定和國家安全。但金融系統(tǒng)在建設(shè)初期“重建設(shè),輕管理”,信息安全管理相對滯后,管理機制、管理制度、人員配備、技術(shù)手段等都同信息安全管理的要求有一定差距,致使信息安全面臨的風險越來越呈現(xiàn)復雜性:既有環(huán)境風險、設(shè)備風險、技術(shù)風險、操作風險、人員風險,又有遭受惡意攻擊和失泄密的風險,而國家有關(guān)信息安全管理的制度缺失,人民銀行等監(jiān)管部門在對金融系統(tǒng)信息安全管理方面的監(jiān)管中,缺乏相關(guān)的制度規(guī)定、法律規(guī)定,相關(guān)工作的開展受到一定的影響,急需完善金融信息安全制度,加強金融系統(tǒng)信息安全管理工作。
三、提升金融信息安全綜合保障能力的對策
努力構(gòu)建金融信息安全保障體系,金融信息綜合安全防護的抵抗能力要增強,這一項龐大而復雜的系統(tǒng)工程,信息安全防線的構(gòu)成是多層次多角度的,需要有正確的信息安全意識,科學投資,抓好硬件設(shè)施建設(shè),但也決不能靠幾件安全性能的硬件就解決、放心。還需要有完善的可行性制度。因此,要加強安全管理的科學性和制度化,總結(jié)成八個字:“三分技術(shù),七分管理”,應用這個道理,從我國金融業(yè)法制、技術(shù)、管理、人員等幾方面齊步共進,來完善我國金融信息建設(shè)。
(一)樹立正確的信息安全意識
信息的價值就在于它的獨占性、排他性,并保證其安全性,信息安全是繼領(lǐng)土、政治和經(jīng)濟之后的另一。國家只有建立保護好信息安全產(chǎn)業(yè)的屏障,開發(fā)具有自主知識產(chǎn)權(quán)的技術(shù)和產(chǎn)品,擁有自己的,才能在世界經(jīng)濟中占主動地位,進而也就避免了我國企業(yè)目前的常常被國外公司侵犯其專利權(quán)的窘境和落后的危險。
對待信息安全問題,要本著客觀、公正、科學的態(tài)度,既要認識到信息安全保障系統(tǒng)確確實實存在安全漏洞,又要客觀對待系統(tǒng)漏洞的狀態(tài),針對現(xiàn)狀和有限的條件,及時對漏洞加以修補,要正視信息安全保障系統(tǒng)帶來的利與弊。要構(gòu)建一個絕對安全的完善系統(tǒng)是不可能的,因為在任何時候安全都是相對的,系統(tǒng)的開放性與方便性和系統(tǒng)的安全性與保密性始終是一對矛盾,因此,我們要做的就是建立一個不斷完善的補充機制,來強化信息安全的屏障作用,在危機時刻數(shù)秒鐘能及時更正,恢復這樣的認識即可。
(二)科學均衡投資,努力抓好金融信息安全的建設(shè)
為確保信息系統(tǒng)的安全,硬件的投入是必要的,但仔細分析我國金融業(yè)在信息技術(shù)方面的投入發(fā)現(xiàn),在投入方向上重硬件、輕軟件,信息系統(tǒng)的建設(shè)要遠遠高于信息安全方面的建設(shè),即所謂的“重業(yè)務(wù)發(fā)展,輕安全管理”。 然而,金融業(yè)的數(shù)據(jù)就是金融機構(gòu)的生命,隨著對計算機系統(tǒng)的依賴性與日俱增,就意味著金融機構(gòu)的核心競爭力——金融業(yè),是社會核心的集聚敏感的部門。從金融機構(gòu)的運營角度來講,安全性一直都是重中之重,安全建設(shè)是各金融機構(gòu)應該時刻重視而且必須做好的工作。要做到未雨綢繆,安全防范,實施穩(wěn)妥。因此,金融業(yè)在對待信息技術(shù)的投入方面,應高度重視信息安全,積極推進系統(tǒng)建設(shè),在業(yè)務(wù)系統(tǒng)建設(shè)的同時,同步推進信息安全建設(shè),做到科學投資,確保安全。
(三)構(gòu)建信息安全技術(shù)保障體系
就目前的情況看,我國信息技術(shù)安全屏障防止各類復雜的信息系統(tǒng)攻擊能力不是很好,尚不具備抵抗外界破壞的后備程序或者說應急機制,可以說我國的信息技術(shù)安全保障尚未建立成體系,應加強信息安全技術(shù)的投入和產(chǎn)品的研究、開發(fā)與應用,建立信息安全程序增進研發(fā)、產(chǎn)品跟蹤反應及應用的完好優(yōu)質(zhì)的循環(huán)體系,要有自主知識產(chǎn)權(quán)的技術(shù)和產(chǎn)品,要從監(jiān)控、系統(tǒng)、設(shè)備、硬件、軟件等各方面,從信息流轉(zhuǎn)的各個環(huán)節(jié),和個人用戶、金融機構(gòu)、金融行業(yè)、國家等不同層面上,建立一個高效安全的金融信息網(wǎng)絡(luò)通道的安全信息保障體系。
【關(guān)鍵詞】企業(yè)內(nèi)部審計 金融風險 防范
一、引言
經(jīng)濟全球化的形勢愈演愈烈,金融動蕩和金融危機的出現(xiàn)通常和金融體系的不健全有關(guān)。政策導向偏差、制度不健全,尤其是企業(yè)內(nèi)部審計制度和監(jiān)督管理不到位都是整個金融體系動蕩的關(guān)鍵因素。企業(yè)內(nèi)部審計制度是一項獨立、客觀、公正的約束與評價機制,在現(xiàn)代金融體系安全建設(shè)中發(fā)揮著至關(guān)重要的作用。隨著經(jīng)濟全球化形勢加劇,強化企業(yè)內(nèi)部審計工作已經(jīng)成為防范金融風險的強力盾牌,它能促進金融體系的健康發(fā)展,進而推動國家經(jīng)濟建設(shè)的順利發(fā)展??陀^分析評價企業(yè)各項規(guī)章制度和預算行為,以專業(yè)視角為管理層決策提供科學建議,針對發(fā)現(xiàn)的問題,深入分析原因并提請、監(jiān)督?jīng)Q策層進行查處或改正,才能確保金融體系的安全。
二、目前企業(yè)內(nèi)部審計存在的主要問題
從目前我國企業(yè)的內(nèi)部審計狀況來看,主要存在以下問題:
(一)內(nèi)部審計的獨立性欠佳,人才隊伍發(fā)展緩慢
以金融行業(yè)為例,其內(nèi)審機構(gòu)形同虛設(shè),絕大多數(shù)只是單純作為金融機構(gòu)自身的內(nèi)部職能部門存在,組織形式和功能比較單一,沒有完全的獨立性。根本不利于組織本級金融行最高層次的決策和經(jīng)營事項,不利于有效的監(jiān)管相同級別的組織做進行的各項業(yè)務(wù)。此外,部分管理層認為內(nèi)審部門耗費高昂的運營成本、占用了大量的人力編制,卻無法直接帶來經(jīng)濟效益,所以不十分重視。鑒于此,企業(yè)內(nèi)審機構(gòu)人員編制和流動管控愈加嚴格。一方面,年齡偏大、技術(shù)水平偏低的老員工暫時無法調(diào)整;另一方面,部分學歷高、專業(yè)知識扎實、工作能力和責任心強的人員無法引進來充實內(nèi)審團隊;大大削弱企業(yè)內(nèi)部審計工作的功效。
(二)內(nèi)部審計的理念構(gòu)建和質(zhì)量標準尚未完全規(guī)范
首先,理念構(gòu)建不規(guī)范。面對經(jīng)濟全球化的形勢,國內(nèi)的諸多企業(yè)并未深刻理解內(nèi)部審計和風險管理的實質(zhì)含義,多數(shù)企業(yè)也沒有構(gòu)建適應現(xiàn)代企業(yè)制度要求的法人治理結(jié)構(gòu),缺乏自我發(fā)展和約束的運行機制。其次,內(nèi)部審計的質(zhì)量標準和責任歸屬不清晰。沒有完善的責任歸屬制度和質(zhì)量標準,就會帶來內(nèi)部審計監(jiān)督機制有效性不足、查出問題不知找誰解決、問題的解決流程如何制定等等突出問題,最終使得內(nèi)部審計監(jiān)督的權(quán)威性以及嚴肅性形同虛設(shè)。大量已經(jīng)查出的問題無法得到真正有效的解決,大大增加了整個金融體系的運行風險。
(三)內(nèi)部審計的稽核管理體制落后,制度建設(shè)亟待創(chuàng)新
當前,內(nèi)審部門多數(shù)受制于自身單位,面臨利益沖突之時不可避免的產(chǎn)生短視行為,單純從局部利益出發(fā),縱容違規(guī)違紀問題得不到徹底查處,極大地削弱了內(nèi)審職能。此外,企業(yè)中普遍都存在控制不足與控制分散并存,內(nèi)審制度滯后性嚴重的現(xiàn)象?;蛘邇?nèi)審制度不健全,監(jiān)管部門之間責任不清,職能界定不明,問題一經(jīng)發(fā)現(xiàn),互相推諉?;蛘呤侵T多繁雜、分散的內(nèi)審法律制度見諸于各類文件,制度之間缺少協(xié)同性。如此以來,內(nèi)部審計過程中,主要負責人面對雜亂、甚至互相矛盾的內(nèi)審制度,只能疲于應付,大大降低工作效率和內(nèi)審監(jiān)控職能。
三、健全企業(yè)內(nèi)部審計、保障金融體系安全的建議
建立完善的企業(yè)內(nèi)審制度是保證內(nèi)部控制制度得到落實、維護金融體系安全的的重要保措施。為此,建議從以下幾方面做起:
(一)確保內(nèi)審獨立性,提高審計人員素質(zhì)
在企業(yè)的決策層內(nèi)部準確和詳細的滲透“內(nèi)部審計”文化,大力宣傳內(nèi)審的緊迫性和重要性。設(shè)置獨立的內(nèi)部審計機構(gòu)或組織,直接對企業(yè)高層負責并報告工作。清晰界定內(nèi)部審計組織的各項職能,以便其能及時發(fā)現(xiàn)內(nèi)部缺陷、及時報告、敦促相關(guān)職能部門及時處理。確保風險可控,內(nèi)部控制運行有效。提高人員綜合水平,一方面要引進年富力強、專業(yè)水平高、政治覺悟高的青年才俊到內(nèi)審部門中;另一方面,不斷的提高內(nèi)審人員的專業(yè)素養(yǎng),嚴抓組織內(nèi)的理論知識以及基本技能學習。推動其熟練掌握國家的宏觀經(jīng)濟政策和相關(guān)技能的創(chuàng)新知識。
(二)完善內(nèi)審體系的構(gòu)建,明確內(nèi)審工作的質(zhì)量標準
首先,搭建內(nèi)審工作的關(guān)鍵體系,建立完善的內(nèi)審信息庫,對大量的相關(guān)信息進行采集,并按照內(nèi)審規(guī)則和實際工作需要,分門別類,歸納分析,掌握各項風險信息的實質(zhì)性關(guān)聯(lián),儲存強大的信息庫。
其次,結(jié)合企業(yè)經(jīng)營活動涉及到的各項業(yè)務(wù)特征,在信息庫中尋找有效、可靠的審計依據(jù)。
再次,建立專門的審計案例庫。企業(yè)內(nèi)部審計人員長期的經(jīng)驗積累以及企業(yè)、國家各方面內(nèi)審工作中創(chuàng)新的案例都可以作為借鑒來充實案例庫。
(三)明確內(nèi)審工作的質(zhì)量標準,界定責任人
依法按照嚴格的稽核程序和流程,制定日常工作的質(zhì)量標準,對實際工作設(shè)計的各個環(huán)節(jié)制定明確的作業(yè)標準。同時,根據(jù)不同的工作需求,規(guī)定不同的驗收,強調(diào)內(nèi)審工作的權(quán)威性。培養(yǎng)積極的創(chuàng)新意識,從真實性入手,重點核查薄弱環(huán)節(jié)以及資產(chǎn)質(zhì)量不高、效益不明顯的關(guān)鍵原因;秉持精益求精的意識,把差錯防弊上升為一種理性的科學思維,深查深究,一查到底,從根本上完成內(nèi)部審計;強化法制觀念。實際的工作開展要嚴格按照國家有關(guān)法律法規(guī),嚴肅認真,獨立客觀的陳述事實;在內(nèi)審過程中設(shè)置項目和主要負責人,確保各項具體的責任到人,以便工作過程中的各項風險控制和管理。
參考文獻:
[1]李藝君,趙建虹.論內(nèi)部審計參與風險管理的路徑[J].中國商界(上半月),2010,(02).
一、我國證券公司發(fā)展現(xiàn)狀
我國證券行業(yè)的總資產(chǎn)、股票基金交易量和主營業(yè)務(wù)的集中度都有所提高,屬于準集中式產(chǎn)業(yè)。市場容量、企業(yè)規(guī)模和國家政策都是影響市場集中度的主要原因,但對于證券行業(yè)來說,市場容量不是主要因素,而我國證券公司因規(guī)模造成的集中度還有很大的提高潛能?;ヂ?lián)網(wǎng)金融發(fā)展至今,形成了以支付寶、理財通、阿里小貸、余額寶為首的一些列金融服務(wù)方式,其中,理財通是與證券等金融機構(gòu)最密切的形式。但是我國證券公司的產(chǎn)品和服務(wù)差異化程度較低,常見的有股票、債權(quán)、基金等,價格和服務(wù)質(zhì)量也沒有明顯分界線,限制了券商的差別化。在證券公司營業(yè)模式轉(zhuǎn)型的關(guān)鍵時期,讓投資者享受個性化的產(chǎn)品和服務(wù)是券商成功的重要原因。隨著信息技術(shù)的發(fā)展,互聯(lián)網(wǎng)成為了證券行業(yè)最大的競爭者,虛擬空間給商家?guī)砹藷o窮無盡的價值創(chuàng)造空間和速度,第三方支付、云計算等大大方便了金融產(chǎn)品的交易方式,互聯(lián)網(wǎng)聚集了大量客戶資源和資金往來,阿里巴巴、騰訊等客戶擁有量不下幾億,支付寶交易量更是數(shù)量級。數(shù)據(jù)信息是證券公司的網(wǎng)絡(luò)平臺發(fā)展的基礎(chǔ),券商也需要如此大量的客戶信息和數(shù)據(jù),形成自己的資金吸聚能力,實現(xiàn)靶向營銷,但是這是目前的券商無法企及的。
除此之外,政策與市場等外部環(huán)境因素也不可忽視。證監(jiān)會對證券行業(yè)放寬政策,我國2012年的證券營業(yè)部數(shù)量已經(jīng)達到5000多家,實現(xiàn)了網(wǎng)絡(luò)化管理。證券、銀行、保險等金融混業(yè)的形式愈加明顯,具有綜合性功能的金融機構(gòu)越來越受市場的歡迎。證券公司在混業(yè)背景先率先進行網(wǎng)絡(luò)金融建設(shè)將取得先機。P2P、眾籌融資等各種創(chuàng)新業(yè)務(wù)的涌現(xiàn)改變了證券行業(yè)的格局,引領(lǐng)了資本市場融資領(lǐng)域的革命性創(chuàng)新。
二、互聯(lián)網(wǎng)金融對證券行業(yè)的影響
隨著互聯(lián)網(wǎng)的興起,證券公司的交易主體和交易結(jié)構(gòu)也發(fā)生了根本性的改變。一方面,傳統(tǒng)的交易方式引發(fā)了交易各方所得信息的不對稱性,但是互聯(lián)網(wǎng)的透明性和公開性最大限度的減少了這種信息不對稱,其虛擬性也減少了不必要的中間成本,消費者能夠在信息對稱的情況下實現(xiàn)自由平等的金融服務(wù),不僅體現(xiàn)了金融服務(wù)的民主化,還提高了金融服務(wù)的有效性。網(wǎng)上開戶和網(wǎng)上證券產(chǎn)品銷售,有助于券商拓寬營銷渠道,同時傭金率得到了進一步下降,證券與互聯(lián)網(wǎng)的加速融合使新產(chǎn)品經(jīng)紀和資管業(yè)務(wù)的地位逐步提升,隨著經(jīng)濟的發(fā)展,網(wǎng)絡(luò)為資金需求雙方提供了一個發(fā)現(xiàn)市場的機會,將成為券商發(fā)展業(yè)務(wù)和銷售產(chǎn)品的主要平臺。交易雙方通過互聯(lián)網(wǎng)了解對方的信息,借貸雙方能夠自主信息和選擇項目,除去了一切繁雜的手續(xù)。因此,資金中介將逐漸被淘汰,第三種金融運行機制應運而生,包括P2P、眾籌融資等方式,引領(lǐng)了資本市場融資領(lǐng)域的革命性創(chuàng)新,互聯(lián)網(wǎng)金融化將是一個有別于商業(yè)銀行間接融資和資本市場直接融資的新方式,提供咨詢、評估、協(xié)議管理和回款管理等服務(wù)。互聯(lián)網(wǎng)銷售門檻較低,大大降低了券商業(yè)務(wù)成本,引發(fā)了傭金價格戰(zhàn)。如今非現(xiàn)場開戶現(xiàn)在還是初始階段,一旦全面放行,成本減少的幅度將會更大。證券行業(yè)在互聯(lián)網(wǎng)金融中穩(wěn)定發(fā)展后,將會催生出新的商務(wù)業(yè)態(tài),使未來的競爭更加復雜。目前已經(jīng)穩(wěn)步發(fā)展的網(wǎng)絡(luò)企業(yè)正在將互聯(lián)網(wǎng)信息數(shù)據(jù)滲透到證券行業(yè)中,這些網(wǎng)絡(luò)企業(yè)已經(jīng)具有廣泛的客戶資源基礎(chǔ),沖擊了證券行業(yè)的中介服務(wù)模式。
三、證券行業(yè)互聯(lián)網(wǎng)金融化趨勢分析
1.傳統(tǒng)業(yè)務(wù)互聯(lián)網(wǎng)化。近幾年,政府陸續(xù)放開非現(xiàn)場開戶的限制,各大券商紛紛將傳統(tǒng)證券業(yè)務(wù)的運營轉(zhuǎn)移到互聯(lián)網(wǎng)上,包括招商證券、中信建投、華泰證券在內(nèi)的大型證券公司都利用了互聯(lián)網(wǎng)低成本、方便、快捷的優(yōu)勢,開啟了第三方移動端應用程序,為客戶提供更有效率的金融服務(wù)。
2.基于互聯(lián)網(wǎng)的創(chuàng)新業(yè)務(wù)。現(xiàn)階段的互聯(lián)網(wǎng)是依托于社交網(wǎng)絡(luò)、移動支付、大數(shù)據(jù)、云計算的互聯(lián)網(wǎng),其復雜性也為市場提供了更多的可能,出現(xiàn)了不少基于互聯(lián)網(wǎng)的創(chuàng)新業(yè)務(wù),例如方正證券泉友會就在淘寶天貓設(shè)立了首家證券網(wǎng)上商城,隨后齊魯證券、華泰證券等也加入了網(wǎng)上業(yè)務(wù)的大軍,銷售資訊及金融產(chǎn)品,專注于用戶的投資行為,實現(xiàn)了證券行業(yè)與互聯(lián)網(wǎng)的自動化、專業(yè)化的全面聯(lián)接,但這些還不是嚴格意義上的網(wǎng)絡(luò)證券,但仍在繼續(xù)探索,由此可見,網(wǎng)絡(luò)證券是證券公司未來的發(fā)展方向。
四、證券行業(yè)互聯(lián)網(wǎng)金融化轉(zhuǎn)型分析
1.證券行業(yè)互聯(lián)網(wǎng)金融化轉(zhuǎn)型要求分析。從可行性上講,近幾年來我國網(wǎng)民數(shù)量不斷攀升,從2005年至2015年十年內(nèi)互聯(lián)網(wǎng)普及率增長了58%,其中股民數(shù)量不在少數(shù),傳統(tǒng)的營業(yè)部柜臺逐漸退出市場。除了計算機,手機移動客戶端也使得炒股更加簡單方便,齊魯證券推出的“融易理財”、光大證券推出的移動支付等都取得了很好的反響,截至今年的網(wǎng)上委托交易量已經(jīng)突破35萬億元。從金融產(chǎn)品和服務(wù)的創(chuàng)新來說,自從2012年互聯(lián)網(wǎng)金融橫空出世,固守傳統(tǒng)經(jīng)驗模式的證券公司只有死路一條,例如,眾成證券因缺乏金融產(chǎn)品和服務(wù)的創(chuàng)新,從2008年起持續(xù)虧損。細化市場、推出更多符合時展的產(chǎn)品和服務(wù)是證券公司應該充分予以準備的工作。從提升客戶體驗上講,網(wǎng)上消費已經(jīng)成為當今社會民眾生活的一部分,而金融消費與網(wǎng)上實物消費并沒有本質(zhì)上的區(qū)別。然而,受多方面條件所限,目前客戶辦理各種手續(xù)任然需要到營業(yè)部現(xiàn)場,填寫復雜的表格、簽訂不知所云的合同等,降低了客戶的消費體驗。
2.證券行業(yè)互聯(lián)網(wǎng)金融化轉(zhuǎn)型戰(zhàn)略分析。從成本上來看,傳統(tǒng)的營業(yè)部每年租賃商戶和雇傭職員等的固定成本在950萬元左右,在證券行業(yè)低迷時期,這些成本形成了券商很大的負擔,也是持續(xù)虧損的原因之一。另外,很多證券公司在發(fā)展上遇到了瓶頸,需要通過細分金融產(chǎn)品來突破。對開戶和交易對象的市場細分就要對證券公司的業(yè)務(wù)進行細分,走差異化道路,形成多功能、多款式的證券金融產(chǎn)品和服務(wù)。正確定位自身差異化產(chǎn)品后,將產(chǎn)品進行主次分類,主攻某個特定的客戶群和某類特定的服務(wù),其他客戶群和產(chǎn)品作為輔助,提高公司效率。
五、證券行業(yè)開展互聯(lián)網(wǎng)金融政策建議
1.提升客戶體驗感。第一,建立自助式的開戶、交易功能,利用網(wǎng)絡(luò)、移動客戶端上傳相關(guān)個人信息和證件信息。第二,計算機和智能手機已經(jīng)得到了廣泛的普及,廣大的網(wǎng)民都是券商的潛在客戶,適時的在互聯(lián)網(wǎng)金融平臺中嵌入其他服務(wù)功能,通過與其他軟件品牌建立合作關(guān)系,增加客戶群,實現(xiàn)共贏。第三,現(xiàn)如今的資金流動大部分都是通過網(wǎng)上支付,所以券商也應該打造大眾化的支付功能,形成與金融機構(gòu)類似的存管模式。
2.降低成本,提高服務(wù)效率。網(wǎng)絡(luò)證券管理平臺集證券交易、管理、理財為一體,統(tǒng)一及對客戶消費行為深度分析,降低了營業(yè)部的成本。同時,經(jīng)紀業(yè)務(wù)是證券公司的主要業(yè)務(wù),網(wǎng)絡(luò)金融模式能夠再造業(yè)務(wù)流程,使經(jīng)紀業(yè)務(wù)與其他業(yè)務(wù)實現(xiàn)協(xié)同作用,實現(xiàn)“1+1>2”的效果,也能夠有效降低整體成本。最后,網(wǎng)絡(luò)證券管理平臺能夠同時展示多種核心業(yè)務(wù),并將各核心業(yè)務(wù)的收益余額進行整合,對于客戶來說,能夠同時開通股票和證券賬戶,因此,各核心業(yè)務(wù)之間能夠互相促進從而降低成本。
3.證券金融產(chǎn)品細分。首先,證券公司要充分了解自己產(chǎn)品和經(jīng)營的實際狀況,確定自身優(yōu)勢和劣勢,明確定位自身在市場中的地位。其次,證券公司要充分了解客戶需求,根據(jù)市場需求對網(wǎng)絡(luò)金融平臺進行設(shè)計和維護,利用大數(shù)據(jù)技術(shù)聚集客戶流量。最后,將客戶進行分級分類的管理,為不同需求的客戶提高量體裁衣式的服務(wù),根據(jù)市場需求確定公司差異化發(fā)展方向。
信息社會 安全基石
從互聯(lián)網(wǎng)的前身――阿帕網(wǎng)(APPANet)的建立,到目前全球數(shù)以億計的上網(wǎng)用戶;從美國政府于上個世紀90年代提出的“國家信息基礎(chǔ)設(shè)施”(建設(shè)信息高速公路)計劃,到以互聯(lián)網(wǎng)為核心的綜合化信息服務(wù)體系和信息技術(shù)在全世界各領(lǐng)域的廣泛應用;從1971年第一封以@為標志的電子郵件的發(fā)出,到現(xiàn)在全球每天360億封的電子郵件往來。當今世界的政治、軍事、經(jīng)濟、文化等各個方面都已經(jīng)離不開信息技術(shù)的強力支撐,以互聯(lián)網(wǎng)興起為重要標志的現(xiàn)代信息化社會已經(jīng)建立。
隨著社會的發(fā)展和穩(wěn)定對信息的依賴性越來越強,始終伴隨著信息化的信息安全問題在最近幾年迅猛放大,已經(jīng)成為抑制全球信息化進程發(fā)展的重大障礙。
從無傷大雅的惡作劇腳本,到造成幾十億美元的蠕蟲病毒,從以信息共享為名的盜版軟件,到如今泛濫成災的流氓軟件,信息安全已經(jīng)從神秘的黑客世界走入到每一個計算機用戶的面前。如何正確、有效判別這些潛在的信息風險,關(guān)系到當今社會信息化發(fā)展的大計。
不可避免的安全危脅
寫一段沒有任何運行錯誤的程序代碼對于一個程序員來說很容易,但要寫出一段沒有任何安全問題的程序代碼似乎就有些困難了。是程序員的安全素質(zhì)不夠,問題出在程序員身上么?要知道,即使是那些專職安全防護的軟件產(chǎn)品也經(jīng)常會曝出各種各樣的漏洞,這早已不是什么新鮮的事情。
計算機世界的霸主微軟公司的程序員可都是一流的精英,先不說過去Windows、Office系統(tǒng)中至今還補不過來的千瘡百孔,往前看其新一代的號稱最安全的操作系統(tǒng)Vista,公開的Bug已達2萬個,問題代碼更是多達幾十萬行,發(fā)行日期一拖再拖。也許這主要是因為過于龐大的系統(tǒng)結(jié)構(gòu)和功能造成的,可在一個0和1的數(shù)字世界里,復雜才意味著技術(shù)的前進、使用的便利、功能的強大,如今許多人早已明白:沒有任何問題的代碼只能是沒有任何功能的代碼。
除了程序代碼設(shè)計本身的問題,安全漏洞還存在于通訊協(xié)議、網(wǎng)絡(luò)架構(gòu)、交互中國家信息中心信息安全研究與服務(wù)中心李少鵬模式、電子輻射、信號外泄,甚至是用戶安全操作和安全意識等其他與信息交流有關(guān)的任何問題中??梢哉f安全威脅來自于四面八方,漏洞也不可避免,而只要漏洞存在,那么威脅永遠存在。
觸目驚心的安全事件
2004年10月至2005年1月,某企業(yè)職工利用后門程序操縱了互聯(lián)網(wǎng)上超過6萬臺的電腦主機連續(xù)攻擊北京某音樂網(wǎng)站,致使該公司蒙受重大經(jīng)濟損失,這是我國首例如此大規(guī)模的“僵尸網(wǎng)絡(luò)”攻擊案;
2005年4月11日,全國超過二十個城市的互聯(lián)網(wǎng)出現(xiàn)群發(fā)性故障;同年7月12日,北京20萬ADSL用戶斷網(wǎng);
2005年10月,網(wǎng)易計算機系統(tǒng)公司發(fā)現(xiàn)與北京市網(wǎng)通合作項目中,價值10元一張的網(wǎng)易一卡通虛擬游戲點卡被盜15.5萬張,總價值155萬余元;
2006年2月“全國最大網(wǎng)上盜竊通訊資費案”在北京開庭審理。某資深軟件研發(fā)工程師被控利用工作之便侵入北京移動公司充值中心數(shù)據(jù)庫,盜竊了價值38071元的充值卡密碼……
公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局主持的2006年全國信息網(wǎng)絡(luò)安全狀況與計算機病毒疫情調(diào)查報告中顯示,在被調(diào)查的一萬三千多家單位中,54%的被調(diào)查單位發(fā)生過信息網(wǎng)絡(luò)安全事件。
同時,最近兩年幾乎染及所有計算機和計算機用戶的網(wǎng)絡(luò)釣魚、流氓軟件、垃圾郵件狂潮一輪又一輪的充斥著互聯(lián)網(wǎng)。據(jù)國外的一份調(diào)查統(tǒng)計顯示,89%的個人電腦平均感染過30種間諜軟件。公安部在2005年聲稱中國的網(wǎng)絡(luò)釣魚網(wǎng)站占全球釣魚網(wǎng)站的13%,名列全球第二位,而僅在2004年,公安部偵破的網(wǎng)絡(luò)詐騙案件就達1350起。對此,國家反計算入侵和防病毒研究中心在公安部網(wǎng)監(jiān)局的支持和指導下,發(fā)起成立公益性的“中反網(wǎng)絡(luò)釣魚聯(lián)盟”。今年8月,廣東首次公開處罰垃圾郵件發(fā)送者,這也是國內(nèi)依據(jù)《互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法》第一次公開處罰垃圾電子郵件的發(fā)送者。
安全法規(guī)需進一步完善
從1989年《中華人民共和國保守國家秘密法》伊始,到2005年《電子簽名法》的實施,我國目前現(xiàn)行的與信息安全直接相關(guān)的法律、規(guī)章和制度有65部,“涉及網(wǎng)絡(luò)與信息系統(tǒng)安全、信息內(nèi)容安全、信息安全系統(tǒng)與產(chǎn)品、保密及密碼管理、計算機病毒與危害性程序防治、金融等特定領(lǐng)域的信息安全、信息安全犯罪制裁等多個領(lǐng)域”,可以說已經(jīng)初步形成了一定的法規(guī)體系。尤其是在2003年《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號)通過后,電子認證、電子政務(wù)、等級保護、商用密碼以及銀行、證券等金融行業(yè)等法規(guī)和管理辦法相繼出臺,不僅規(guī)范了信息安全市場,還對電子商務(wù)的發(fā)展、網(wǎng)絡(luò)經(jīng)濟的正常運轉(zhuǎn)到了意義深遠的保障作用,同時也是對“信息安全上升為國家安全”的這一宏觀政策指引的響應。
盡管如此,現(xiàn)行的信息安全方面的法規(guī)、標準體系仍然需要進一步完善與成熟。截至目前,我國還沒有一部嚴格意義上基于信息安全的基本法,同時這為信息安全標準與政策的制定與落實帶來了一定的難度。
層出不窮的攻擊手段
目前流行的攻擊手段有很多,除了病毒、蠕蟲、口令破解等傳統(tǒng)方法,木馬、網(wǎng)絡(luò)釣魚、SQL注入等較為新型的攻擊方法,其攻擊范圍也在不斷擴大。但相應的防范技術(shù)和知識已經(jīng)比較普及,應對起來容易些。值得特別注意的是以下三種攻擊形式,分布式拒絕服務(wù)攻擊、零日攻擊和社會工程學攻擊。
分布式拒絕服務(wù)攻擊至今還沒有特別有效的防范方法,其具備攻擊方法簡單和攻擊源無法確定的特點,上文中音樂網(wǎng)站被攻擊的案件就是一個典型的例子。這種攻擊的難點在于組建大量的傀儡主機――“僵尸網(wǎng)絡(luò)”,通常借助即使通訊工具或電子郵件來植入木馬,并通過新的系統(tǒng)漏洞的出現(xiàn)而達到頂峰。
零日攻擊則是利用尚未公開或未發(fā)行補丁的漏洞實施攻擊,這種攻擊最為致命和可怕,因為任何人都很難對未知的情況做出正確的反應,此種攻擊成功率高、隱蔽性強,往往針對某個既定目標,是今后安全防范工作的最大隱患之一。
最后一種是社會工程學,實際上它是一種非技術(shù)手段的攻擊,它的直接攻擊對象不是數(shù)據(jù)庫也不是防火墻,而是能夠出入這些敏感地帶的人。技術(shù)再高也是由人來操作的,安全防范做得再好,得到授權(quán)的人也是可以出入的。世界著名黑客凱文?米特尼克在《欺騙的藝術(shù)》一書中寫到:“安全不是技術(shù)問題,它是人和管理的問題……”,“由于開發(fā)商不斷的創(chuàng)造出更好的安全科技產(chǎn)品,攻擊者利用技術(shù)上的漏洞變得越來越困難……”,“精干的技術(shù)專家辛辛苦苦地 設(shè)計出安全解決方案來最小化使用計算機的風險,然而卻沒有解決最大的漏洞――人為因素?!币虼耍谌缃裥畔踩夹g(shù)已經(jīng)趨于成熟的環(huán)境下,正確的安全防范意識無比重要。
目前,仍然還有許多人普遍缺乏安全意識。政府網(wǎng)站頻頻被黑、網(wǎng)上銀行客戶資金被盜、網(wǎng)上交易遭遇詐騙……,這樣的安全事件幾乎天天都在發(fā)生,其關(guān)健原因在于安全管理和意識的匱乏。對于被動的防范來說,意識要重于技術(shù),甚至會超越技術(shù)。
安全技術(shù)任重道遠
廣義上的信息安全包括了眾多內(nèi)容,信息安全國家重點實驗室馮登國教授曾在今年的“十一五”信息安全發(fā)展趨勢論壇上講到抽象化、可信化、網(wǎng)絡(luò)化、標準化和集成化,是信息安全技術(shù)發(fā)展的重要趨勢。目前主流安全技術(shù)不外幾種。
主動防御
雖然瑞星、金山、江民三大反病毒廠商在今年先后發(fā)出推出主動防御產(chǎn)品的聲音。但實質(zhì)上,目前的主流產(chǎn)品還是在遵循“病毒產(chǎn)生――研究特征碼――升級病毒庫”的老路子。主動防御技術(shù)如何避免大量的提示和誤報是主動防御產(chǎn)品是否能真正走向市場的關(guān)鍵性問題。
生物識別
從用戶名加口令到加密鎖,再從USB令牌到指紋、聲紋、虹膜等生物識別。即使身份認證已經(jīng)有了高級的尖端技術(shù),可目前最為廣泛應用的還是最初的用戶名加口令身份認證技術(shù),簡單易用,且能夠保障基本的安全需求。但不可否認,生物識別技術(shù)以其無可替代的識別優(yōu)勢必然隨著成本的降低、需求的加大走向普及。
可信計算
嚴格的說,可信計算并不能算一項新興技術(shù),早在2002年沈昌祥院士開始在國內(nèi)提倡可信計算。雖然經(jīng)過了2004年的熱點后,國家將其列入“十一五”規(guī)劃重點支持項目,相關(guān)企業(yè)也成功的生產(chǎn)出TPM的安全芯片,但中國的可信計算是否能與國際標準接軌、龐大的可信計算體系涵蓋內(nèi)容之間是否能有序協(xié)調(diào)仍是一個未知的難題。
災難恢復
實際上,災難恢復主要不是技術(shù)問題,而是管理和實施問題。它的重要性隨著對國民經(jīng)濟具有重要支撐作用的大型企事業(yè)單位以及政府部門對信息化日益增長的依賴性而凸現(xiàn)出來。近年來,銀行、電信,海關(guān)、稅務(wù)、民航等部門已經(jīng)建立起自己的災備中心。國務(wù)院信息化工作辦公室2005年出臺的《重要信息系統(tǒng)災難恢復指南》為我國整個信息安全保障綜合體系的最后一環(huán)――災難恢復的管理和實施帶來了強有力的促進和重大指導作用。
理論篇>>>
思索信息安全:內(nèi)涵與外延
江常青
要談?wù)撔畔⒓夹g(shù)發(fā)展的趨勢和信息安全面臨內(nèi)外部環(huán)境的變化,就像一個一直在匆匆行路的人,突然要停一下,觀看周圍環(huán)境,預估和展望前面的道路。但是要想象前方,恐怕先要回頭看看走過的路,因為有兩種可能:一種是走出來的路,過去和現(xiàn)在影響著未來;二種的情況是,也許路一直在前方,變化的則是我們的認識和行為。無論怎樣,“時而思”比不思則罔更有益。
信息安全的歷史有多久?五年,五十年,還是五千年?都可以。
目前,國家、企業(yè)和個人開始認識并重視信息化所帶來的安全風險問題,以及國內(nèi)出現(xiàn)專門的信息安全從業(yè)人員,僅有5―10年;而以現(xiàn)代計算機的發(fā)展與應用算起,信息技術(shù)滲入現(xiàn)在社會生活帶來的信息安全問題,這段歷史達到了50年;其實,自從人類文明伊始,文化和信息的使用開始就存在信息安全問題,這是5000年的歷史。但是,歷史從來沒有象今天這樣迫使我們必須去思考和面對信息安全的問題,因為當今是高度信息化的社會。我們生活在一個信息世界中,信息安全問題關(guān)系到每個人、家庭和社會各個組織機構(gòu)。
從辨證學角度來說,變是絕對的,也是相對的。在5~5000年這個“漫長”的尺度上,信息安全領(lǐng)域有的在變,而且變化很大;有些東西也許并沒有多大的進展和變化。處理信息的設(shè)施在技術(shù)發(fā)展中變化著,解決信息安全的具體技術(shù)措施和手段也隨著發(fā)展,信息安全的內(nèi)涵也不斷延伸,但有關(guān)信息安全的一些關(guān)鍵和核心的問題并沒有得到探討與思考。
“誰的”信息安全?
信息安全自身沒有價值和意義,它對于信息和信息系統(tǒng)所有者、管理者、使用者、監(jiān)管者才有意義。因此,同樣一個信息及其系統(tǒng)對于不同的人、組織甚至國家的意義是不同的,因為其安全的目標和需求是不同的。比如說,某商業(yè)銀行的信息系統(tǒng),對于銀行自身、銀行監(jiān)管部門,以及政府來說,安全價值與意義有著根本的區(qū)別。作為企業(yè)的銀行,其安全核心是保障組織機構(gòu)的正常運行和獲得商業(yè)利益的能力;作為行業(yè)管理部門是金融安全風險的一個組成部分;從國家和政府部門來說它是事關(guān)國計民生的重要信息系統(tǒng),它的安全影響社會。
“什么的”安全?
從歷史發(fā)展看,信息安全逐步從信息傳輸?shù)陌踩?,發(fā)展到信息產(chǎn)生,傳輸、處理、存儲等整個生命周期的安全。同時,信息安全也從單純的指信息數(shù)據(jù)的保密安全,擴展到支撐信息流動的軟硬件、載體的IT安全。在新一代信息技術(shù)大規(guī)模普及的今天,信息安全還包括信息的使用安全,信息內(nèi)容的安全與信息及信息系統(tǒng)互動的人的安全等方面。
因此,信息安全不是孤立的。當我們談?wù)摪踩珪r,一定是指特定對象的安全,同時要強調(diào)這個特定的對象是對于誰而言,言論中的安全必須在明確的上下文環(huán)境之中,否則就失去意義和準確性。
安全是什么?
安全是一種或多種性質(zhì)或?qū)傩詥?它和色彩,質(zhì)量是對象的屬性類似嗎?這個問題很難回答。假設(shè)安全是“屬性”,安全信息安全經(jīng)典定義中的保密性、完整性、可用性。這三性都是以否定語句來定義的。要證明一個肯定的性質(zhì)存在比較容易,找到它即可。要證明“不被修改”等類似否定語句的性質(zhì)比較困難。此外,要證明信息或系統(tǒng)同時滿足三個性質(zhì)更為困難,因為這些安全性質(zhì)是動態(tài)變化,它會隨著外部對手和系統(tǒng)內(nèi)部自身變化而變化,也就是常說的今天的安全難以保證明天的安全。因此,很有必要反思安全作為性質(zhì)是否妥當。近年來,從風險角度來重新定義安全的趨勢十分明顯,將安全定義為風險可控可管理的過程。這樣一來,安全就不是系統(tǒng)自身的性質(zhì)了,轉(zhuǎn)化為對抗風險的保障能力。安全保障能力由技術(shù)、管理、人等措施來構(gòu)建起來,安全亦被風險和保障兩個概念所取代,隱身在后面。安全與否不再是去尋找這些性質(zhì)存在與否,而是去計算保障是否大于對應風險。如果是,就是安全。這種重新定義的安全將不再是性質(zhì),而是個過程和目標,通過過程去達到目標,而目標反映了信息安全在上下文環(huán)境定要求。
這些探討和思考能否達到我們理解信息安全的本質(zhì),筆者不得而知,但是這是一個探索的過程。在信息技術(shù)層面上,在我們實際可以設(shè)計實現(xiàn)的信息處理技術(shù)的進展中,可以看到未來信息安全技術(shù)的發(fā) 展趨勢:
軟件安全
軟件是構(gòu)建信息世界和社會的核心部件,安全問題的產(chǎn)生很大程度上來源它的不安全、不可靠,如何提高軟件的安全性將會是個重點,有理由相信,隨著軟件形式化、自動化的提高,其安全性會快速的提高。
安全度量
有人說,不可度量的不是科學,信息安全正處于這樣的境地。確實,目前我們還無法在信息安全領(lǐng)域找到類似物理世界的度量,如時間量、空間量、質(zhì)量等,也沒有類似比特的信息量,因此信息安全要成為科學還有很長的路要走。但盡管如此,我們已逐漸找到一些度量,它對提高安全是有好處的,比如安全功能強度,人力的部署和能力提升,過程控制的環(huán)節(jié)等等。
信息流控制
除了人、管理、網(wǎng)絡(luò)系統(tǒng)外,信息安全的核心問題還是保證數(shù)據(jù)和信息的安全。信息流如何開放的網(wǎng)絡(luò)系統(tǒng)環(huán)境中,如何在不可信、不安全的環(huán)境中構(gòu)建可信的信息流動和控制機制是必須要解決的問題。因為數(shù)據(jù)和信息不可能像物理世界中永遠被隔離和鎖在保密柜中,它必須給該看到的人看到,就和貨幣要流通一樣,安全必須找到自身的動態(tài)價值。
抗攻擊技術(shù)
由于對手一直存在,破壞安全的外部因素不會消失。安全事故和事件時時都會產(chǎn)生,如何提高信息和系統(tǒng)抗攻擊以及受攻擊后降低損失的技術(shù)十分重要,以防范為主的安全技術(shù)將被抗攻擊技術(shù)將逐步取代。
內(nèi)部安全
安全技術(shù)也將從防范外部威脅為主,轉(zhuǎn)換到關(guān)注內(nèi)部威脅為,構(gòu)建內(nèi)控技術(shù)和管理體系將會成為最熱的市場機遇。在這里,與業(yè)務(wù)邏輯和網(wǎng)絡(luò)行為相關(guān)安全分析成為技術(shù)難點。發(fā)展篇>>>
發(fā)展篇>>>
內(nèi)外之道把脈“新安全”
吳錫源
當前,大多數(shù)企業(yè)的信息安全機制不堪一擊。具體來說,這些企業(yè)的安全措施所提供的防護級別難以應對它們所承受的實際風險。事實勝于雄辯:雖然各個企業(yè)已竭盡所能采取相應防護措施,但是它們?nèi)匀活l繁受到攻擊。據(jù)可靠數(shù)據(jù)統(tǒng)計:僅2005年,大約三分之二的企業(yè)至少發(fā)生一次安全事故,而半數(shù)以上的企業(yè)則至少發(fā)生三次安全事故。
面臨挑戰(zhàn)的安全管理
目前的主要問題在于,大多數(shù)企業(yè)只是采用側(cè)重邊界的高度反應性防御措施,因此無法與當前日新月異的威脅趨勢保持同步。新威脅層出不窮,并以前所未有的速度和效率進行傳播,在許多情況下必然會導致混亂局面比比皆是。不僅如此,可用于(或至少所分配用于)改善這種局面的資金也相對較少。實際上,Ernst&Young的《2005年全球信息安全調(diào)查》顯示,各個企業(yè)將其安全預算的50%用于“日常操作和事故響應”,僅將17%的預算用于完成“更關(guān)鍵的戰(zhàn)略項目”。
顯而易見,企業(yè)需要采用更為完善的解決方案才能針對當前的攻擊進行自我防護。因此,企業(yè)所需要的威脅管理解決方案具有以下特點:主動――能夠防御未知威脅;全面――能夠?qū)⑺衅髽I(yè)內(nèi)外的攻擊源頭阻擋在外;高效――非常經(jīng)濟實惠的選擇。
在企業(yè)努力部署有效威脅管理解決方案的過程中,威脅趨勢的日新月異、符合法規(guī)要求的需要以及對反應性對策的過度依賴對于它們面臨的重重挑戰(zhàn)來說只是鳳毛麟角。
把脈新“安全”
傳播速度相對較慢的基于文件的病毒和群發(fā)郵件蠕蟲仍然屢見不鮮。實際上,在2005年上半年,這類威脅在向賽門鐵克報告的前10位惡意代碼示例中占三類。不過,黑客的動機已明顯從追求名聲轉(zhuǎn)向牟取暴利,而漏洞開發(fā)框架的日漸普及是威脅趨勢發(fā)生許多顯著變化的主要原因之一。
?威脅數(shù)量與日俱增
這不足為奇。由于黑客的動機越來越強烈,并且開發(fā)新型惡意軟件的難度越來越低,所以威脅的數(shù)量無疑會猛增。不僅如此,威脅制作軟件及其模塊化構(gòu)造技術(shù)導致開發(fā)威脅變種的行為司空見慣。例如,2005年上半年,僅針對Win32平臺的新病毒和蠕蟲變種數(shù)量就已達到10800種。與前六個月相比,次數(shù)量就增加了48%。
?威脅生成時間日益縮短
日益成熟的黑客工具包不斷增多的另一惡果是開發(fā)新威脅所需的時間明顯縮短。因此,從發(fā)現(xiàn)新漏洞到發(fā)起針對該漏洞的特定攻擊之間的時間也無可避免地大大縮短。實際上,在2005年上半年,此時間段的平均持續(xù)時間僅為六天。
?威脅傳播速度正在加快
雖然近年來這方面威脅的趨勢沒有顯著變化,但是由于威脅的傳播速度已經(jīng)非常驚人,所以這種形勢不容樂觀。例如,2001年紅色代碼在37分鐘內(nèi)即可使感染速率增加一倍。而在2003年,Sapphire蠕蟲每8.5秒傳播速度就會加倍,最終不到10分鐘就會感染90%易受攻擊的目標主機。而且,認為最終不會出現(xiàn)傳播速度更快的威脅完全不切實際。
?威脅日益變化莫測
導致變種數(shù)量不斷增多的因素也同時導致混合型威脅層出不窮。通過使用多種利用機制、有效負載和/或傳播方法,這類威脅更有可能避開企業(yè)防線,然后成功施加負面影響。另外,導致局面日益惡化的另一個原因是黑客目前主要攻擊系統(tǒng)和應用程序?qū)拥娜觞c,而不是網(wǎng)絡(luò)層的漏洞。這樣,他們的攻擊往往成為側(cè)重網(wǎng)絡(luò)層活動對策的漏網(wǎng)之魚;不幸的是,大多數(shù)企業(yè)目前只憑借這樣的對策來保護自己。
首先,威脅數(shù)量大增意味著不僅安全員工將承受更大的壓力,而且他們所實施的對策在一定程度上也會受到影響。還需要進行更多研究以確定最具破壞力的威脅、需要采取更多防御措施,最終還需要解決更多事故和故障。要使這樣的等式重新達到平衡,很可能需要任命更多安全管理員或?qū)嵤┛商岣卟僮餍实墓ぞ?,特別是在研究和防范活動方面。第二個影響是使利用管理補丁程序進行防御的效果微乎其微。過去,從發(fā)現(xiàn)漏洞到漏洞被利用之間的時間長達數(shù)月,所以制造商可以從容開發(fā)和補丁程序,然后由企業(yè)對這些補丁程序進行測試和實施。但是,目前在發(fā)現(xiàn)漏洞后平均需要54天才能相關(guān)補丁程序,所以根本無法及時提供補丁程序。而且即便能夠及時提供,還需要考慮測試和實施相應補丁程序所需時間的問題。在最緊迫的情況下,最高效的企業(yè)可能需要幾天才能完成該過程。但這根本不具有代表性,企業(yè)補丁程序管理流程的常規(guī)執(zhí)行時間至少需要30天。
安全之路延伸何方
面對不斷變化的新威脅,信息安全的環(huán)境也在發(fā)生著深刻的變革。
首先,由于需要保持競爭優(yōu)勢,所以各個企業(yè)必須更迅速地應用新興技術(shù)(例如,WLAN、VolP和Web服務(wù))以及所有現(xiàn)有技術(shù)和平臺的新版本。一般,各個企業(yè)不但必須管理和保護更多計算基礎(chǔ)架構(gòu)和應用程序,而且其中大部分均為新出現(xiàn)的復雜架構(gòu)和程序,極為分散。結(jié)果是由于配置錯誤和疏忽導 致的代碼漏洞與日俱增,而且弱點也越來越多。
其次,隨著內(nèi)部威脅日益嚴重,企業(yè)的安全觀念正發(fā)生著深刻的變化。從歷史角度來看,企業(yè)一般將注意力集中在保護他們與互聯(lián)網(wǎng)的連接上面,很少保護他們的內(nèi)部網(wǎng)絡(luò)和系統(tǒng)。不過,由于第三方連接日益增多,現(xiàn)場辦公的合同工需要連接到公司網(wǎng)絡(luò),而且公司自身員工的移動性越來越強,從而導致威脅可以繞過互聯(lián)網(wǎng)邊界控制,然后從內(nèi)部以相對迅猛的速度傳播。因此,除了原來必須要保護的日益增多的基礎(chǔ)架構(gòu)外,企業(yè)現(xiàn)在還必須保護內(nèi)部網(wǎng)絡(luò)和系統(tǒng)。
此外,確保內(nèi)部網(wǎng)絡(luò)安全的另外一個要素是必須遵從各種“暗示”的法規(guī)和法律(如果沒有明示)。不過,從所占用的資源數(shù)量及有時會提供虛假的安全感角度來看,遵從這些要求反而會產(chǎn)生更多問題。事實上,一份最新調(diào)查表明遵從是信息安全活動的最重要的推動因素,該調(diào)查還表明由此而引發(fā)的主要活動是制定和更新各種策略和程序,而不是切實加強公司的安全架構(gòu)或整體戰(zhàn)略。
更現(xiàn)實的還有預算問題,企業(yè)面臨的這方面挑戰(zhàn)在一定程度上變得欲蓋彌彰。只需看看現(xiàn)狀就足以:目前所制定的安全預算不僅不合理,而且這部分預算的使用方式往往對防御攻擊沒有幫助,此外這部分預算永遠處于與“企業(yè)”的其他需要進行競爭的狀態(tài)。
以上復雜因素清楚地表明理想的威脅管理解決方案必須兼顧高效性和靈活性。相對于安全部門可支配的資源而言,他們需要完成的工作過于繁重。與此同時,基礎(chǔ)業(yè)務(wù)需求(不考慮基礎(chǔ)架構(gòu))可謂常變常新。
策略篇>>>
“濕件”:另一種思維看安全
劉 恒
魯?shù)媳R克在系列科幻小說《濕件》中講述了一個人類制造的肉身機器人如何控制和改變?nèi)祟惖墓适隆T摃鴮θ祟惸X力智慧(濕件)與帶有編碼化知識(軟件)的機器人(硬件)的結(jié)合并最終擺脫人類控制的前景作了最大膽的想象。
無獨有偶,“濕件”先后出現(xiàn)在黑客界和醫(yī)藥界,并且成為新經(jīng)濟增長理論的一個術(shù)語。如今,啟明星辰率先在安全業(yè)界引入“濕件”理論,并開始成功應用到安全服務(wù)領(lǐng)域。
看到“濕件”二字,絕大部分人認為是“事件”的筆誤,其實不然,兩者毫無瓜葛,截然不同?!皾窦笔侵概c計算機軟件、硬件系統(tǒng)緊密相連的人(程序員、操作員、管理員),及與系統(tǒng)相連的人類神經(jīng)系統(tǒng)。由此可見,“濕件”,是儲存于人腦之中,無法與擁有它的人分離的能力、才干、知識等。
從某種意義而言,“濕件”是與軟件、硬件并列的IT第三大件,人們應該對“濕件”給予充分重視?!皾窦钡谝淮螌⑷说淖饔猛怀龀鰜?,而且這種作用遠遠高于軟件和硬件。沒有軟件,硬件是無用的;沒有人的操作或指示,軟件、硬件一起也做不了什么;由此可見,“濕件”是IT系統(tǒng)最為基礎(chǔ)的部分。
網(wǎng)絡(luò)安全的脆弱一環(huán)
盡管“濕件”的作用如此基礎(chǔ)和重要,但是長期以來卻未被提到應有的重視高度。尤其是在中國的網(wǎng)絡(luò)安全領(lǐng)域,對于“濕件”的研究基本是個“空白”,目前,啟明星辰公司敏銳地發(fā)現(xiàn)這一“空白”,第一次將安全“濕件”與安全服務(wù)緊密地聯(lián)系在一起,第一次將人在信息安全中的決定性作用突出了出來。
三個典型的案例很容易說明問題。
案例一:某小區(qū)的保安系統(tǒng)很健全,24小時有保安守衛(wèi),但最近卻發(fā)現(xiàn)有小偷入戶行竊。盡管沒有搞清入侵者是從哪兒進來的,有關(guān)部門還是貼了一個告示,提醒大家夏天別開窗戶以防小偷。由于沒有找出問題的癥結(jié)所在,同樣的事情在該小區(qū)再次發(fā)生。后來有人發(fā)現(xiàn),小區(qū)里欄桿的設(shè)計不合理,讓小偷鉆了進去,如果拉兩個欄桿,就可以防止這種情況。
這個案例說明,我們必須充分了解攻擊者和攻擊行為發(fā)生的原因,才有可能有效防御攻擊。
案例二:某部門存放重要文檔的電腦出了故障,保管文檔的人在部門內(nèi)對電腦進行了修理。一段時間后,該重要文檔泄漏了,并被公開到互聯(lián)網(wǎng)上。經(jīng)過一番追查,最后發(fā)現(xiàn)是修理電腦的人偷偷將文檔拷貝了下來。這個案例說明,人員安全意識的缺失是遭到攻擊的致命因素。
案例三:“你想要值錢的東西嗎?想要,你就去拿吧?!比蜃钪暮诳蚆itrdck語出驚人。人們都認為他擁有無人能敵的高超技術(shù),他卻在自己的《欺騙的藝術(shù)》一書中說,安全的核心和根本,不是技術(shù)問題,而是人和管理問題;安全最薄弱的環(huán)節(jié)是人的因素,穿透人這道防火墻往往非常容易。
從這三個案例中,我們不難看出,人的因素在信息安全中是何等重要。這也是啟明星辰為何將“濕件”引入安全服務(wù)的意義所在。對“安全濕件”的強調(diào),體現(xiàn)了一種系統(tǒng)的安全設(shè)計思想,有了這種意識,用戶在構(gòu)建安全系統(tǒng)時會考慮更多的因素。如果用戶沒有考慮到“濕件”也是安全系統(tǒng)的一個組成部分,他設(shè)計出來的安全防御系統(tǒng)肯定是不健全的,是失去平衡的,結(jié)果是花了很多錢,建造的安全系統(tǒng)并不安全。
完善安全系統(tǒng)
信息安全是動態(tài)的,是過程,是攻擊和防御的平衡,從這個角度講,可將安全“濕件”劃分為攻擊型“濕件”和防御型“濕件”。攻擊“濕件”和防御“濕件”都可以進一步細分下去。例如,防御型“濕件”還可以按照不同的人、不同類型的知識進行細分。
在信息安全系統(tǒng)中,攻擊和防御是密不可分、相輔相成的兩個方面。一方面,所謂“知彼知己、百戰(zhàn)不殆”,只有在攻防結(jié)合的基礎(chǔ)上,充分地了解甚至先考慮攻擊“濕件”,知道攻擊“濕件”是什么、在哪里、怎么樣,才談得上有效防御。目前很多安全產(chǎn)品或方案存在著一個嚴重的缺陷,那就是并不了解攻擊者,也就是沒有防御的明確目標,只是憑想象強行建立起一種防御系統(tǒng)。其實也許用戶根本不需要那么強大的防御系統(tǒng),這就是忽略了攻擊“濕件”產(chǎn)生的問題。
安全“濕件”有助于企業(yè)提高和完善現(xiàn)有系統(tǒng)的安全性。企業(yè)在進行安全投資的時候,應該首先注重培養(yǎng)人才,培養(yǎng)“濕件”,甚至應該把“濕件”擺在硬件和軟件之前考慮。實踐證明,“濕件”的投資回報率相當高,產(chǎn)生的效果巨大?!皾窦睉撌桥旁谲浖陀布暗幕A(chǔ)性的部件。
由于防御型“濕件”中的人總是不可避免地具有脆弱性,這給攻擊型“濕件”提供了可乘之機,安全風險在所難免,安全產(chǎn)品和安全技術(shù)有時也會失靈。劉恒博士指出,許多安全問題僅憑安全產(chǎn)品和技術(shù)是解決不了的,必須充分考慮人的因素,用基于“濕件”的服務(wù)去解決。
從上述角度來看,信息安全的關(guān)注點正在發(fā)生變化,轉(zhuǎn)向關(guān)注“濕件”。高明的用戶一方面要構(gòu)建自己內(nèi)部的安全“濕件”,另一方面在自身“濕件”不夠強健時,則可以購買專業(yè)安全公司提供的安全“濕件”。“濕件”作為服務(wù)成為主流,無疑是安全產(chǎn)業(yè)發(fā)展的必然趨勢。
嶄新的安全服務(wù)
“濕件”與安全服務(wù)緊密相關(guān),但是并 不能劃等號,也不能劃大于號或小于號。因為服務(wù)強調(diào)的是一種形式和過程,而安全“濕件”強調(diào)的是安全軟件和硬件之外的人的重要性,突出的是系統(tǒng)的有機性,是一種強調(diào)完整協(xié)調(diào)一致的理念。安全“濕件”作為服務(wù)的一種形式應該成為安全業(yè)界的主流。啟明星辰的M2S就是全新的基于“濕件”的安全服務(wù)。
作為一個重要的防御型“濕件”,M2S體現(xiàn)的是具有標志性的專業(yè)化的安全服務(wù)。這個體系是在啟明星辰TSP理念的指導下,在多年安全服務(wù)最佳實踐的基礎(chǔ)上,結(jié)合國際先進的安全服務(wù)理念、模型和業(yè)務(wù)模式,以用戶需求為中心,以注重實效為宗旨,推出的一種全面、細致的全新服務(wù)模式,主要包括國際化管理咨詢、專業(yè)化風險評估、實時性管理監(jiān)控、專家型應急響應等內(nèi)容。
M2S,一個能夠進行全面防范、即時監(jiān)測、專家響應的實時安全過程,是一種全新的安全“濕件”。M2S有4層含義:MMS(Managed Monitoring Services),體現(xiàn)了專業(yè)的監(jiān)控技術(shù)與服務(wù);MSS(Managed Security Services),體現(xiàn)了安全企業(yè)與國際通用托管式安全服務(wù)的融合,強調(diào)安全企業(yè)要保持國際安全服務(wù)的規(guī)范性;MtoS(Management to Security),闡明了安全企業(yè)倡導的“通過管理達到安全”的理念,也契合了“服務(wù)的核心在于人”的理念;MSM(Management Secu-rity Monitory),管理安全監(jiān)控,這里尤其體現(xiàn)了本地化差異性,與國外MSM主要根據(jù)設(shè)備來實行監(jiān)控管理不同,M2S致力于解決客戶幾乎所有的安全問題,范圍更為廣泛。
可以說,“濕件”理論與M2S的有效結(jié)合,提升了網(wǎng)絡(luò)和系統(tǒng)自身的防御能力,為更多的用戶提升了生產(chǎn)效能,而將安全“濕件”與服務(wù)緊密相聯(lián),也完全可以有效幫助信息安全企業(yè)在安全服務(wù)領(lǐng)域樹立新的里程碑。
管理篇>>>
安全風險管理的游戲規(guī)則
駕馭風險,方可掌控安全。日前,綠盟科技專業(yè)服務(wù)部總監(jiān)王紅陽,就目前信息安全風險評估以及風險管理的創(chuàng)新理念、前沿技術(shù)、創(chuàng)建適應企業(yè)發(fā)展的網(wǎng)絡(luò)環(huán)境等問題,接受了《軟件世界》雜志的采訪。
軟件世界:如何理解風險管理的概念?綠盟科技在這方面的研究有沒有什么前沿性的課題?
王紅陽:在COSO企業(yè)風險管理框架中,風險定義為任何可能影響某一組織實現(xiàn)其目標的事項。風險的范圍可能是財務(wù)、合法性、符合性、運維、市場、戰(zhàn)略、信息、技術(shù)、人員、聲譽等方面。風險包括惡性事件帶來的威脅、尚不能確定后果的事件、可轉(zhuǎn)化為機會的事件。風險管理是發(fā)現(xiàn)和了解組織中風險的各個方面,并且付諸明智的行動幫助組織實現(xiàn)戰(zhàn)略目標,減少失敗的可能并降低不確定的經(jīng)營結(jié)果的整個過程。信息安全風險評估(本文以下簡稱“風險評估”),則是指依據(jù)國家、國際有關(guān)信息技術(shù)、安全技術(shù)標準,對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學、公正的綜合評估活動過程,它要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅,以及脆弱性被威脅源利用后所產(chǎn)生的實際負面影響等,并根據(jù)安全事件發(fā)生的可能性和負面影響的程度,來識別信息系統(tǒng)的安全風險。
信息安全是一個動態(tài)的復雜過程,它貫穿于信息資產(chǎn)和信息系統(tǒng)的整個生命周期。信息安全的威脅來自于內(nèi)部破壞、外部攻擊、內(nèi)外勾結(jié)進行的破壞以及自然危害。必須按照風險管理的思想,對可能的威脅、脆弱性和需要保護的信息資源進行分析,依據(jù)風險評估的結(jié)果為信息系統(tǒng)選擇適當?shù)陌踩胧咨茟獙赡馨l(fā)生的風險。企業(yè)風險管理使管理當局能夠有效的應對不確定性以及由此帶來的風險和機會。
軟件世界:如何在一個組織的網(wǎng)絡(luò)中識別出風險所在?
王紅陽:風險評估遵循了ISOl7799、ISOl3335、ISOl5408(GB/T18336)、SSE-CMM等一系列的國際和國內(nèi)標準,這些標準提供了評估過程、評估方法、評估模型、評估內(nèi)容等多方面的規(guī)范化指導,同時在評估算法、評估操作等方面參考了AS/NZS4360。GAO/AIMD-00-33,GAO/AIMD-98 68.BSI PD3000等美國、澳大利亞、新西蘭的標準和規(guī)范。
風險評估的過程就是對信息系統(tǒng)所面臨的各種風險發(fā)生的可能性和風險發(fā)生后的嚴重性進行評價,即在國際、國內(nèi)等相關(guān)標準和規(guī)范的指導下對信息系統(tǒng)的資產(chǎn)、威脅、脆弱性三要素進行詳細具體的評估。
風險評估包含了(但不僅限于)以下一系列的技術(shù)評估手段和管理評估手段:
?安全掃描:通過評估工具軟件或?qū)S冒踩u估系統(tǒng)自動獲取評估對象的脆弱性信息,包括主機掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫掃描等,用于分析系統(tǒng)、應用、網(wǎng)絡(luò)設(shè)備存在的常見漏洞。
?人工檢查:通過人工方式直接操作評估對象來獲取所需要的安全配置信息,主要解決遠程無法通過工具軟件或設(shè)備獲得的信息,以及為避免評估意外事件而采取的方法。
?IDS取樣分析:通過在核心網(wǎng)絡(luò)采樣監(jiān)聽通信數(shù)據(jù)方式,獲取網(wǎng)絡(luò)中存在的攻擊和蠕蟲行為,并對通信流量進行分析。
?滲透測試:在獲取用戶授權(quán)后,通過真實模擬黑客使用的工具、方法來進行實際漏洞發(fā)現(xiàn)和利用的安全測試方法。
?應用安全評估:對用戶業(yè)務(wù)應用軟件進行安全功能審核、滲透測試、源代碼審核等。
?安全管理審計:通過文檔審核、策略審核、問卷調(diào)查、顧問訪談等形式,對信息安全策略、組織信息安全、資產(chǎn)管理、人力資源安全、物理和環(huán)境的安全、日常運作和通訊、訪問控制、系統(tǒng)的獲得、開發(fā)與維護、信息安全事件管理、業(yè)務(wù)持續(xù)性管理、符合性等方面進行綜合評估。
軟件世界:信息資產(chǎn)風險管理的內(nèi)容包括什么?通過怎樣的策略和方案可以達到風險管理的目的?
王紅陽:信息安全風險評估的目的是全面、準確的了解組織機構(gòu)的網(wǎng)絡(luò)安全現(xiàn)狀,發(fā)現(xiàn)系統(tǒng)的安全問題及其可能存在的危害,以便為系統(tǒng)最終安全需求的提出提供依據(jù)。同時,也是為了分析網(wǎng)絡(luò)信息系統(tǒng)的安全需求,找出目前的安全策略和實際需求的差距,為保護信息系統(tǒng)的安全提供科學依據(jù)。進而通過合理步驟,制定出適合系統(tǒng)具體情況的安全策略及其管理和實施規(guī)范,為安全體系的設(shè)計提供參考。
信息安全風險評估是一個組織機構(gòu)實現(xiàn)信息系統(tǒng)安全必要的、重要的步驟,可以使決策者對其業(yè)務(wù)信息系統(tǒng)的安全建設(shè)或安全改造思路有更深刻的認識。通過信息安全風險評估,他們將清楚業(yè)務(wù)信息系統(tǒng)包含的重要資產(chǎn)、面臨的主要威脅、本身的弱點;哪些威脅出現(xiàn)的可能性較大,造成的影響也較大,哪些威脅出現(xiàn)的可能性較小,造成的影響可以忽略不計;通過保護哪些資產(chǎn),防止哪些威脅出現(xiàn),如何保護和防止才能保證系統(tǒng)達到一定的安全級別;提出的安全方案需要多少技術(shù)和費用的支持,更進一步,還會分析出信息系統(tǒng)的風險是如何隨時間變化的,將來應如何面對這些風險,這需要建立一個晚上的體系。