北斗授时系统(NTP网络授时)助力金融系统安全
北斗授时系统(NTP网络授时)助力金融系统安全
当今金融行业对信息依赖的程度越来越高,使得信息数据的安全性和可靠性能够直接影响到金融的安全与稳定。同时随着科技技术的发展与进步,金融行业中的信息和数据的集中程度越来越高,关于金融行业的数据安全问题已经是关乎金融行业能否稳定运行的关键了。而且在金融行业的在经营过程中,数据面临着被于非法使用或被违规使用等安全隐患,这些潜在威胁都将造成或大或小的问题,严重的话可能会造成重要的金融数据的泄漏。
另外金融行业在业务处理过程中,需要涉及大量的用户信息或是办理业务的信息,这些都属于私人的数据都是需要进行保护的。当金融企业的数据因交易或者运行所需而整理形成的资料,也是作为企业资产的一部分要进行保护。现如今金融行业的数据资料已经成为金融行业经营的核心资产,也是金融企业的核心竞争力的体现之一。但是数据信息泄露频频发生,影响企业和客户的利益,也导致金融市场声誉不佳、金融企业在行业中的竞争力降低。为此加强金融行业数据安全,不仅能够满足市场与行业监管的硬性需求,还能满足企业发展的客观需要。
所以维护金融行业的数据安全刻不容缓,以往的数据安全维护方式,一般是采用各种技术手段防护或者阻断威胁的入侵,将重要的数据信息保护住。但长期以来只是使用这种办法的话,达到的效果并不明显,也表现出对数据信息防护的疲软之势。因此采用从源头对数据进行保护,而不是通过对传输渠道和外部设备的使用进行的掌控,通过建立起金融数据防泄漏体系,能够实现更好的对金融企业的数据安全的保护。
总而言之,金融行业数据安全的威胁向来都是金融企业及其从业者关心的重点。随着互联网的普及、科学技术的发展,金融行业所面临的数据安全威胁都也不会随之减少的。同样的,随着从业人员数据安全防护意识的提高,保护技术的改善和精进,即使是面对再大的安全威胁,都是能够迎刃而解的。
(1)管理安全
注意及时、准确的填写内容,利用现场监管的机会,充分展示安全保障能力。金融监管由于行业特点,普遍比较保守,对于新技术的应用较为谨慎,例如人脸识别、二维码付款、大数据风控等新型技术,不建议在汇报沟通中过多渲染。这里点到为止不再多谈。
主管机构在监管层面,目前主要还是看安全制度、信息安全等级保护评测。等级保护测评无需多说。安全制度层面,由于不同金融业态对应不同的安全管理要求,需要结合专业条线的安全管理制度来开展。有些机构为了取得更多安全证书,会去拿一些国外的安全体系认证,这在监管层面不是很认可,我自己的建议是,除非有国外机构的业务,或者真正需要借证书来完善自己的安全管理体系,否则这个证书不用过于强调。
除监管之外,安全管理还有一个重要内容是传递安全的信任感。一个平台是否安全是投资者非常关心的一个角度,平台安全可以分为资金安全和信息安全,而信息安全则需要传递这种信心。如果一个平台被黑客攻击,或者羊毛党大量聚集,或者出现批量的受害者,这对平台的打击是致命的。在安全信心的传递上,一是用人民群众喜闻乐见的形式在平台上宣传,二是要处理好应急事件,尤其在公关层面。
(2)生产安全
金融的安全运维和研发安全上,与其他类型机构相比,安全要求相对较高一些。但本质上并无较大差异,本文也不在这里介绍。主要探讨大数据平台安全。
(3)网络安全
传统金融机构对办公终端的管理都比较完善,甚至双网双机。一些互联网公司在这方面反倒有所欠缺。我自己的看法,终端层面的监控和防护已经是最后一道防线,也是重要的信息泄露点,因此对终端电脑的安全管控必须向金融机构的强度对标,但手段上可以不同。这里涉及到DLP、终端杀毒防木马、BYOD、邮件、上网行为管理、准入、透明加密等多方面内容,不再一一解释。
(4)业务安全
在业务安全上,根据不同的业务特点会有不同的风险。刷库和倒卖是征信业务特有的风险,而账户安全则是所有业务都关心的风险,信贷风控又属于信贷类风险。我想表达的是,安全一直以来受重视程度不足,究其原因相对业务来说是个成本中心,而如果安全切入业务安全领域,则对整个业务带来价值,甚至可能会成为利润中心,是提高安全队伍话语权的重要法宝。
防刷库。征信公司本身的业务特点是接入各方数据,加工成产品后对外输出,典型产品如信贷黑名单,其中汇集了逾期老赖用户。这就会有下游机构进行刷库,简单可以理解为使用所有公民的身份证号进行查询。对这种情况,需要有业务监控,根据机构大小进行分类,异常查询的,可根据人行相关要求,调阅用户授权。另外为防止意外,可进行阈值设定,超出阈值的自动BLOCK并报警。
防盗卖。下游机构在接入接口后,将数据对外转售以此牟利,并留存数据。对于这种盗卖在技术上很难防范。但可以通过下钩子的方法,放置一些特定数据。一旦这些数据在未授权机构出现,则意味有人盗卖,可以根据不同的钩子数据找到盗卖方。