2.企业安全建设指南(金融行业安全架构与技术实践) --- 金融行业的信息安全
1.金融行业信息安全态势管理流派,设备流派,数据流派。金融企业需要清楚分析面临的监管要求,外部形势和内部需求,然后针对性的指定安全战略规划,管理规划和技术架构,进而在安全管理和安全技术方面落实实施。1.金融行业信息科技监管趋势金融行业信息科技风险具有影响范围广,破坏性大,突发性强,资金损失高等特点。信息科技监管的趋势:1.监管机构越来越重视信息科技治理,强调和重视董事会,监事会和高管层的履职情况。2.监管重点从"管理为主"往"管理和技术并举"方向发展。3.对于信息科技部门职责的规定和约束,逐渐精细化,具体化,层次化。4.信息科技风险管控不仅是信息科技部门的责任5.信息科技风险管控与业务密不可分6.信息安全意识培训和教育7.监管手段逐渐向技术化发展2.金融行业面临的外部信息安全态势1.客户方面2.外部合作商方面3.攻击者方面3.金融行业内在的信息安全管理需求金融行业的信息管理有着不同于其他行业的特点,最主要的几个特点如下:1.金融行业整体信息化程度高2.金融行业实时性和准确性要求高3.金融行业直接处理对象为资金,敏感信息价值高4.金融行业积极应用新技术,但信息安全往往滞后于新技术因此,金融企业的信息安全工作要求会高于其他行业,在深度和广度上都必须兼顾,需要从组织架构,制度流程,团队能力,安全意识,外包管理,安全技术等各个方面,统筹做好规划。2.金融行业信息安全目标1.确立信息安全的核心目标从务虚的角度,金融企业信息安全工作的核心目标是,通过信息安全建设和管理,有效控制和防范信息安全风险,提高信息安全保障能力和水平,确保金融行业业务及用户的信息和资金安全。从务实角度,金融企业信息安全的工作的核心目标是两个"两手抓":一是"一手抓安全合规,一手抓风险控制";二是"一手抓安全管理,一手抓安全技术"。2.明确信息安全的基线要实现金融企业信息安全工作的核心目标,从具体操作层面来说,必须明确信息安全工作的范围,在信息安全工作的各个领域建立信息安全工作基线,同时采取措施确保达成安全基线。所谓安全基线,就是信息系统最基本要满足的安全要求,是最小限度的安全保证。安全基线分为安全管理基线和安全技术基线。安全管理基线主要包括安全组织,安全制度,人力资源安全等。安全组织:包括确定金融企业的安全组织架构(决策层,管理层和执行层,以及合规,风险,审计等机构),汇报线路,职责分工,日常工作机制等。安全制度:包括确定制度的体系框架和制度层级等,制度必须完整的覆盖信息科技工作的全生命周期和科技管理等保障工作。人力资源安全方面:包括在人员任用前,中,后的基本安全管理要求。安全技术基线主要包括机房,网络,系统,应用,终端,数据的安全。机房安全:包括机房的物理选址,基础设施相关设备等。网络安全:主要固定网络结构安全,边界安全,网络设备安全,入侵防护,访问控制,安全审计等系统安全:系统配置,服务安全,操作系统访问权限,协议管理,系统日志审计等应用安全:主要规定身份鉴别,抗抵赖性,资源控制,应用系统访问控制,日志审计等终端安全:设备管理,软件管理,用户管理等数据安全:数据的保密性,完整性,可用性,访问安全,数据备份,恢复等3.信息安全域业务的关系:矛盾与共赢尽可能化解矛盾,取得最大公约数的一致,最终才能实现共赢。1.信息安全与业务的矛盾性信息安全域业务的矛盾,多数体现在业务流程的设计方面。2.信息安全与业务的一致性开展业务的同时,必须尽可能采取措施使得风险最小化,这一点和信息安全管理目标是一致的。信息安全域业务的一致性,体现在事前预防,事中拦截,事后警告等。1.事前预防2.事中拦截3.事后警告3.信息安全与业务的共赢争取最大公约数,取得风险和效益的平衡。包括:1.风险分类根据风险的大小及发生的频率,优先化解高风险或者高频交易的风险。同时调研同业采用的方式。2.前轻后重前轻,就是对于直接提供客户体验的前端来说,在满足监管要求的前提下,设计尽可能的简单。如用户信息遵循"必须知道,最小原则",身份验证方式遵循"够用就好原则"。后重,后端的风控必须到位,要有黑名单和灰名单。3.客户风险等级分类4.额度管控从交易金额的角度控制,不同金额设置不同的安全管控措施。4.信息安全与监管的关系:约束与保护1.信息安全监管的约束所有信息安全2.信息安全监管的保护5.监管科技通过科技手段,服务监管需求,提高监管效率。监管科技应用非常广泛,对于金融企业来说,主要应用领域包括:1.合规管理2.企业风险管理3.税务管理4.反洗钱5.交易监控对监管机构而言,监管科技的应用领域包括:1.金融企业日常监测2.金融企业合规分析3.甄别不发机构和行为4.发现行业性风险5.比特币/区块链风险防范金融行业的信息安全:
2.企业安全建设指南(金融行业安全架构与技术实践) --- 金融行业的信息安全相关推荐
- 新书推荐 |《企业安全建设指南:金融行业安全架构与技术实践》
新书推荐 <企业安全建设指南:金融行业安全架构与技术实践> 点击上图了解及购买 金融行业资深信安专家十余年实战经验的结晶,安全领域多位专家联袂推荐. 编辑推荐 适读人群 :安全从业人员.金 ...
- 《程序员》11月精彩内容:大数据平台架构与技术实践
本期<程序员>呈现大数据平台架构与技术实践精彩内容,汇聚来自去哪儿.游族网络.链家网.万达金融等公司的技术专家,将带领读者共同探讨热门技术应用和实践优化,深入解析蕴藏的数据价值,展现时下大 ...
- 【SDCC 2016】电商架构专题干货七连发:探秘知名电商架构最佳技术实践
[CSDN现场报道]2016年11月18日-20日,由CSDN重磅打造的年终技术盛会 -- "2016中国软件开发者大会"(Software Developer Conferenc ...
- 周四直播预告云技术社区创始人·肖力坐镇主讲「办公场景下的企业安全建设指南」...
- 金融行业网络架构与技术探讨
1.整体架构 整体是数据中心--一级分行--二级分行--支行的架构 拓扑: 需要考虑的核心需求和解决方案: 高可用性: 双中心.双设备.链路捆绑.动态协议.VRRP.生成树.BFD.防火墙的HA 设备 ...
- 《企业私有云建设指南》-导读
内容简介 第1章总结性地介绍了云计算的参考架构.典型解决方案架构和涉及的关键技术. 第2章从需求分析入手,详细讲解了私有云的技术选型.资源管理.监控和运维. 第3章从计算.网络.存储资源池等方面讲解了 ...
- 《企业私有云建设指南》新书出版
由我(山金孝)和业内几位专家联合出版的<企业私有云建设指南>由机械工业出版社于2019年2月已经出版,书中有关OpenStack的部分主要由我执笔,因为在之前编写<OpenStack ...
- 【干货】2021中国“企服企业”规模化获客体系建设指南.pdf(附下载链接)
省时查报告-专业.及时.全面的行研报告库 省时查方案-专业.及时.全面的营销策划方案库 大家好,我是文文(微信号:sscbg2020),今天给大家分享神策研究院和红杉资本联合发布的报告<2021 ...
- 企服创业必修课丨神策数据与红杉中国联合发布规模化营销获客体系建设指南...
<2021 中国企服企业规模化获客体系建设指南>由神策数据与红杉中国历时数月调研撰写,累计深度访谈了 20 多位中国知名企服公司创始人.CEO.CMO 及专业投资人后总结.提炼而成.该报告 ...
- 开源之旅之开源企业软件采购指南
开源之旅之开源企业软件采购指南 ( 2006-02-06 10:31:09) [导读]:从开源数据库.应用服务器,到开源的Web服务器,我们已经带您领略开源软件世界的旖旎风光.此次的"开 ...
最新文章
- .NET基础示例系列之十六:制做进程监视器
- lnmp/nginx系统真正有效的图片防盗链完整设置详解
- linux复制和剪切命令,Linux命令 复制粘贴剪切
- 使用freemarker生成xml模板
- 小波阈值图像去噪的实现步骤
- 起一卦,还是那个破事。还是大凶。
- hive對於數據是懶加載的_hive 安装 文档
- linux内存管理(六)-伙伴分配器
- ISCROLL4 简述
- Java中od方向是什么意思_od的用法
- bluefish编辑器的配置
- 特征工程与表示学习:人工 vs 自动
- 人类一败涂地human fall flat游戏通关图文攻略
- Excel表数据很少,内存占用很大
- 3D建模新手入门到高端 电脑配置一览
- deque实现生产者-消费者队列
- symbian3SDK怎样能兼容S60第三版五版的工程(转)
- 网络编程——线程竞争
- clean code(代码整洁之道)
- python读取多个txt文件数据恢复_多个文件内容