導語：如何才能寫好一篇金融企業(yè)信息安全，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

【 關鍵詞 】 信息安全；安全治理；框架；風險管理

1 引言

隨著企業(yè)的信息化建設，企業(yè)信息系統(tǒng)在縱、橫向的耦合程度日益加深，系統(tǒng)間的聯(lián)系也日益緊密，因此企業(yè)的信息安全影響著企業(yè)信息系統(tǒng)的安全、持續(xù)、可靠和穩(wěn)定運行。此外，美國明尼蘇達大學Bush-Kugel的研究報告指出企業(yè)在沒有信息資料可用的情況下，金融業(yè)至多只能運作2天，商業(yè)則為3天，工業(yè)則為5天。而從經(jīng)濟情況來看，25%的企業(yè)由于數(shù)據(jù)損毀可能隨即破產(chǎn)，40%會在兩年內(nèi)破產(chǎn)，而僅有7%不到的企業(yè)在5年后繼續(xù)存活。伴隨著監(jiān)管機構對信息安全日趨嚴格的要求，企業(yè)對信息安全的關注逐漸提高，并對信息安全投入的資源不斷增加，從而使得信息安全越來越為公司高級管理層所關注。

2 信息安全問題

目前企業(yè)信息安全問題主要包括幾個方面。

（1）信息質(zhì)量底下：無用信息、有害信息或劣質(zhì)信息滲透到企業(yè)信息資源中， 對信息資源的收集、開發(fā)和利用造成干擾。

（2）信息泄漏：網(wǎng)絡信息泄漏和操作泄漏是目前企業(yè)普遍存在的信息安全困擾。網(wǎng)絡信息泄漏是信息在獲取、存儲、使用或傳播的時候被其他人非法取得的過程。而操作泄漏則是由于不正當操作或者未經(jīng)授權的訪問、蓄意攻擊等行為，從而使企業(yè)信息泄漏。

（3）信息破壞：指內(nèi)部員工或者外部人員制造和傳播惡意程序， 破壞計算機內(nèi)所存儲的信息和程序， 甚至破壞計算機硬件。

（4）信息侵權：指對信息產(chǎn)權的侵犯?，F(xiàn)代信息技術的發(fā)展和應用， 導致了信息載體的變化、信息內(nèi)容的擴展、信息傳遞方式的增加， 一方面實現(xiàn)了信息的全球共享， 但同時也帶來了知識產(chǎn)權難以解決的糾紛。

3 信息安全治理的困惑

基于信息安全的重要性，企業(yè)在信息安全治理方面投入了諸多資源，但是在信息安全治理成效方面仍不盡如人意，主要問題在于幾個方面。

（1）信息安全治理的范圍不明確：目前企業(yè)都在盡力實現(xiàn)良好的信息安全治理，但是由于無法正確理解信息安全治理和信息安全管理的區(qū)別，導致了信息安全治理無法與企業(yè)的安全規(guī)劃和企業(yè)戰(zhàn)略形成一致性。表1從工作內(nèi)容、執(zhí)行主體和技術深度三個層面分析了兩者的區(qū)別。

從表1中可以明確：信息安全治理是為組織機構的信息安全定義一個戰(zhàn)略性的框架，指明了具體安全管理工作的目標和權責范圍，使信息系統(tǒng)安全專業(yè)人員能夠準確地按照企業(yè)高層管理人員的要求開展工作。

（2）企業(yè)信息安全治理路徑的錯誤理解：企業(yè)在信息安全治理的過程中，最常用的手法是采用信息安全的技術措施，如使用加密和防偽技術、認證技術、防病毒技術、防火墻技術等方式來進行，但是往往企業(yè)投入很多，卻沒有達到預想的效果，問題在于，信息安全治理并不單單是技術問題，信息安全治理也包含了安全戰(zhàn)略、風險管理、績效評估、層級報告以及職責明確等方面。

4 信息安全治理關注的領域

（1）戰(zhàn)略一致性：信息安全治理需與企業(yè)的發(fā)展戰(zhàn)略和業(yè)務戰(zhàn)略相一致，建立相互協(xié)作的解決方案。

（2）價值交付：衡量信息安全治理價值交付的基準是信息安全戰(zhàn)略能否按時、按質(zhì)并在預算內(nèi)實現(xiàn)預期的價值目標。因此需要設計明確的價值目標，對信息安全治理的交付價值進行評估。

（3）資源管理：實現(xiàn)對支持信息運行的關鍵資源進行最優(yōu)化投資和最佳管理。

（4）風險管理：企業(yè)管理層應具備足夠的風險意識，明確企業(yè)風險容忍度，制定風險管理策略，將風險管理融入到企業(yè)的日常運營中。

（5）績效度量：利用科學的管理方法，將信息安全治理轉(zhuǎn)換為可評價的目標的行動，便于對信息安全各項工作的績效進行有效管理。

5 信息安全治理框架

通過良好的信息安全治理， 可以保護企業(yè)的信息資產(chǎn)，避免遭受各種威脅，降低對企業(yè)之傷害，確保企業(yè)的永續(xù)經(jīng)營，以及提升企業(yè)投資回報率及競爭優(yōu)勢。

通過長期的實踐經(jīng)驗以及結合COBIT標準和GB/T 22080-2008，總結出信息安全治理的框架主要由四部分組成，如圖1所示。

（1）信息安全戰(zhàn)略：結合企業(yè)的整體信息技術戰(zhàn)略規(guī)劃和信息安全治理現(xiàn)狀，制定信息安全戰(zhàn)略。

（2）信息安全組織架構：根據(jù)企業(yè)層面在決策、管理和執(zhí)行機制對組織結構的要求，建立信息安全治理框架和決策溝通機制，明確公司各級管理層及相關部門在信息安全組織架構中的工作職責與角色定位。

（3）信息安全職責：根據(jù)公司信息安全組織架構，進一步明確信息安全相關崗位的工作職責、分工界面和匯報路徑等。

（4）信息安全管理制度：信息安全管理制度通過建立一個層次化的制度體系，針對不同的需求方（管理者、執(zhí)行者、檢查者等）從政策、制度、流程、規(guī)范和記錄等方面進行信息安全活動相關的規(guī)定，實現(xiàn)信息安全的功能和管理目標。

6 信息安全治理評估

企業(yè)信息安全治理評估有助于提高信息安全治理投資的效益和效果。企業(yè)的最高管理層和管理執(zhí)行層可以使用信息安全治理成熟度模型建立企業(yè)的安全治理級別。該模型，如表2所示，被應用為幾個方面。

（1）在市場環(huán)境中，相對于國際信息安全治理標準、行業(yè)最佳實踐，以及直接競爭對手，了解企業(yè)在信息安全治理上的級別。

（2）進行差距分析，為改進措施提供明確的路徑。

（3）了解企業(yè)的競爭優(yōu)勢和劣勢。

（4）有利于對信息安全治理進行績效評估。

7 結束語

本文從企業(yè)信息安全治理的實踐出發(fā)，概述了目前企業(yè)信息安全治理存在的問題和困惑，總結了企業(yè)實現(xiàn)有效的信息治理的關注領域和實施內(nèi)容，為企業(yè)建立良好的信息安全治理提供了基本框架。

參考文獻

[1] 馬峰輝，劉壽強.企業(yè)信息安全治理的經(jīng)濟性探析.計算機安全，2003：70-71.

[2] 婁策群，范昊，王菲.現(xiàn)代信息技術環(huán)境中的信息安全問題及其對策.中國圖書館學報，2000（11）：33-37.

[3] 劉金鎖，李筱煒，楊維永.企業(yè)實現(xiàn)有效的信息安全治理之路.中國管理信息化，2012（11）：37-39.

[4] 黃華軍，錢亮，王耀鈞.基于異常特征的釣魚網(wǎng)站URL檢測技術[J].信息網(wǎng)絡安全，2012，（01）：23-25.

[5] 黃世中.GF（2m）域SM2算法的實現(xiàn)與優(yōu)化[J].信息網(wǎng)絡安全，2012，（01）：36-39.

篇2

“中國企業(yè)員工的信息安全意識可謂不容樂觀，提升員工信息安全意識刻不容緩?！惫劝蔡煜赂笨偨?jīng)理魏彩霞對當前企業(yè)員工的信息安全意識現(xiàn)狀表示擔憂，“不同行業(yè)的信息安全意識現(xiàn)狀不同，電信、金融等行業(yè)由于業(yè)務的特殊性，安全意識較高，而其他行業(yè)的信息安全意識整體狀況則依舊薄弱”。

調(diào)查顯示，接近50%的受訪者認為單位領導的信息安全意識一般、很差或者還不如自己。而據(jù)魏彩霞介紹，一些企業(yè)中即使領導非常重視信息安全，希望提升員工的保密意識，但“只是看到別人的明文密碼導致信息泄漏就更改自己的網(wǎng)頁設置等單個事件，并不能系統(tǒng)地提升企業(yè)員工整體的信息安全意識”。

由于員工信息安全意識薄弱而給企業(yè)帶來災難性損失的案例屢見不鮮。據(jù)統(tǒng)計，世界上每分鐘就有兩家企業(yè)因為信息安全的問題而倒閉。而在所有信息安全事件中，只有20%~30%是因為黑客入侵或其他外部原因造成，另外70%~80%是由于內(nèi)部員工的疏忽或有意泄漏造成，而78%的企業(yè)數(shù)據(jù)泄漏是由于內(nèi)部員工不規(guī)范的操作造成的。

篇3

關鍵詞：信息系統(tǒng)；安全管理措施；計算機網(wǎng)絡

中圖分類號：TU714文獻標識碼： A 文章編號：

1.前言

當今社會信息技術不斷發(fā)展，信息時代的到來以及不斷的發(fā)展給人們帶來了很多的便利，計算機網(wǎng)絡技術得到了非常廣泛的應用，隨之而來的問題是計算機網(wǎng)絡信息系統(tǒng)的安全性，這個問題已經(jīng)成為了一個重要的時代課題，人們對于網(wǎng)絡信息系統(tǒng)的安全管理提出了更多的要求和建議，而另一方面信息時代的不斷發(fā)展的結果是社會上的信息傳輸量不斷的增加，而有一些部門的一些上網(wǎng)數(shù)據(jù)就得到了不同程度的破壞，嚴重還會造成公司信息的泄露，給公司的業(yè)務安全造成一定的影響。對于網(wǎng)絡中的信息，不法攻擊者能夠通過計算機病毒等各種形式盜取企業(yè)的信息，只要是信息存在于網(wǎng)絡中，都能夠被竊取，這種問題的出現(xiàn)使得很多企業(yè)或者是相關組織都受到了沉重的打擊，企業(yè)的信息安全性以及利益已經(jīng)收到了非常嚴重的威脅，所以在這種情況下網(wǎng)絡信息系統(tǒng)的安全性以及安全管理已經(jīng)成為了一個時代重要的研究課題，關系到一個企業(yè)甚至是整個社會的信息安全和正常運作，解決好網(wǎng)絡信息系統(tǒng)的安全問題是確保當前信息網(wǎng)絡正常運行的基礎保障，能夠更好的為各行各業(yè)提供更加安全的信息系統(tǒng)管理，讓信息社會更加的安全。

2．國內(nèi)信息系統(tǒng)發(fā)展現(xiàn)狀以及存在的問題

企業(yè)對于一個國家經(jīng)濟的發(fā)展來說有著非常重要的作用，企業(yè)信息系統(tǒng)的建設關系到企業(yè)的發(fā)展，是一個企業(yè)在現(xiàn)代化社會站穩(wěn)腳步的必經(jīng)之路。當前來說，近些年國內(nèi)很多企業(yè)都在不同程度上遇到過信息系統(tǒng)安全問題，有的甚至還因此受到了重大的打擊，我們國家從上世界八十年代開始國家相關部門才開始重視企業(yè)的信息系統(tǒng)建設，就是年代之后伴隨著互聯(lián)網(wǎng)等技術的飛速發(fā)展，企業(yè)更是意識到了這一點的重要性，開始投入大量的人力、物力以及財力去研究企業(yè)的信息系統(tǒng)。在當今信息化迅猛發(fā)展的過程中，我們一方面應該看到互聯(lián)網(wǎng)等技術的發(fā)展給信息化發(fā)展帶來的廣闊前景，同時另一方面還必須認識到信息化時代所存在的問題，應該及時的發(fā)現(xiàn)這些問題，對企業(yè)的信息系統(tǒng)進行安全系統(tǒng)的管理，盡管國內(nèi)的一些企業(yè)認識到了這些問題同時也都為此做出了很多努力，但是真正的效果并不是很理想，一些企業(yè)的信息系統(tǒng)實際上根本沒有起到安全管理企業(yè)信息的作用，這就在很大程度上證明了國內(nèi)的一些企業(yè)盡管都使用網(wǎng)絡信息系統(tǒng)，到那時信息系統(tǒng)的安全管理措施還都有待加強。

3.大型信息系統(tǒng)安全管理的措施分析

3.1信息系統(tǒng)結構設計是關鍵因素

一個企業(yè)的信息系統(tǒng)的安全與否關系到一個企業(yè)信息的安全，而一個企業(yè)網(wǎng)絡信息系統(tǒng)的安全關鍵在系統(tǒng)結構是否設計的合理。一般情況下，大型的企業(yè)信息系統(tǒng)都會存在一些固有的網(wǎng)絡安全隱患，針對這些固有的網(wǎng)絡安全隱患可以采取以下安全管理措施：首先是網(wǎng)絡信息分段技術的使用，這項技術的使用能夠是大型的信息系統(tǒng)從源頭上排除信息安全隱患，針對企業(yè)網(wǎng)絡存在形式局域網(wǎng)，可以使用物理以及邏輯分段相結合的方法來實現(xiàn)信息系統(tǒng)的安全管理，這樣做的目的就是將企業(yè)以外未經(jīng)授權的非法用戶和一些對企業(yè)比較敏感的網(wǎng)絡資源進行有效的分離，保證企業(yè)信息的安全流通；其次是集線器的更換，目前大多數(shù)信息系統(tǒng)出問題企業(yè)大型網(wǎng)絡都是使用的共享式的集線器，從這上面吸取教訓，將共享式的集線器更換成交換式的集線器，這樣同樣是局域網(wǎng)的信息系統(tǒng)結構，安全系數(shù)就大大的增加了。

3.2進一步加強計算機的安全管理

大型的信息系統(tǒng)儲存的信息都是需要通過計算機來傳輸?shù)?，所以必須對計算機進行安全管理，這樣才能保證信息系統(tǒng)在傳輸信息的過程中不會出現(xiàn)安全問題。

3.2.1加強設備的管理

對于設備的管理首先需要確保計算機網(wǎng)絡信息系統(tǒng)的實體絕對安全，必須健全信息安全管理制度，防止企業(yè)之外未經(jīng)授權的非法用戶進去到企業(yè)的信息系統(tǒng)中進行非法行為，加強計算機軟硬件等相關連接設施的安全管理，不定期的對相關設施進行維護管理。

3.2.2計算機病毒防護措施

第一：對于Windows的操作系統(tǒng)，要經(jīng)常性的對系統(tǒng)的漏洞進行修補，做到隨時的補充漏洞，防止因為系統(tǒng)漏洞問題造成的信息安全問題。

第二：要經(jīng)常性的對企業(yè)的計算機網(wǎng)絡中的防病毒定義碼進行及時的更新?lián)Q代升級，避免因為計算機系統(tǒng)防病毒軟件出現(xiàn)問題造成的信息安全隱患。

第三：對于企業(yè)信息防火墻，首先必須進行合理的布置，除此之外信息系統(tǒng)的安全管理策略要要個的掌握，盡量的及時關閉掉信息系統(tǒng)中不需要運行的端口操作，用以防止非法用戶對信息系統(tǒng)的攻擊，同時計算機信息系統(tǒng)管理人員在及時的了解計算機應用程序經(jīng)常使用的端口，避免不良運行造成的系統(tǒng)故障。

第四：大型的信息系統(tǒng)的管理人員必須熟悉黑客的一般攻擊和相關規(guī)律手段，能夠?qū)诳偷囊话阈怨糇龀黾皶r的預警和防范。

3.2.3強化信息系統(tǒng)的訪問控制

3.2.3.1強化企業(yè)信息系統(tǒng)的訪問控制嫩鞏固保證網(wǎng)絡系統(tǒng)的正常運行。首先需要做的就是建立和企業(yè)信息系統(tǒng)的入網(wǎng)訪問相關的功能板塊，具體的是通過特定的網(wǎng)絡分段以及相關服務來建立屬于企業(yè)自身信息系統(tǒng)的訪問控制體系，這樣就能夠保證大部分的非法訪問都能夠在進入信息系統(tǒng)之前被拒絕，強化企業(yè)信息系統(tǒng)的訪問控制是為企業(yè)的信息系統(tǒng)安全管理提供了第一層保護，通過這個設置企業(yè)可以設定具體的訪問對象，對于一些機密的信息可以不予共享，這樣即使是得到了企業(yè)的授權，對于一些重要的信息還是得不到訪問，具體的分為三個訪問過程，首先是用戶名的相關識別和驗證，其次是口令識別和驗證，最后是用戶賬號的識別驗證，同時還需要保證三個環(huán)節(jié)都沒有出錯才能對企業(yè)信息系統(tǒng)進行訪問。

3.2.3.2需要建立企業(yè)信息網(wǎng)絡的權限控制板塊。對于企業(yè)網(wǎng)絡信息系統(tǒng)的權限控制針對的是沒有經(jīng)過系統(tǒng)允許的非法訪問者所提供的一種安全保證措施，權限控制板塊具體針對三種類型的訪問：信息的特殊訪問用戶、信息的一般訪問用戶以及信息的審計者。

3.2.3.3需要建立企業(yè)信息系統(tǒng)的屬性安全服務模塊。對于企業(yè)信息系統(tǒng)的屬性的安全控制能夠就將特定屬性的信息和網(wǎng)絡服務器存儲的文件等聯(lián)系在一起，這樣就進一步的增加了信息系統(tǒng)的安全系數(shù)。網(wǎng)絡屬性安全版塊易爆有下面幾種訪問權限：往某個特定的文件傳輸數(shù)據(jù)、復制一個特定的文件、對于文件目錄的刪除和查看、信息的共享以及系統(tǒng)相關屬性等，最重要的是能夠有效的保護信息系統(tǒng)中存在的重要的目錄以及機密文件，能夠有效的防止文件的遺失和更改。

3.2.3.4建立信息檔案的加密保護制度。主動的對企業(yè)的信息通訊過程進行加密，這樣能夠避免非法訪問者深入的了解信息系統(tǒng)的相關信息和運行狀態(tài)，防止信息系統(tǒng)的數(shù)據(jù)泄露。

3.3信息系統(tǒng)穩(wěn)定性的安全管理

信息系統(tǒng)的安全運行需要的是一個穩(wěn)定的環(huán)境和運行狀態(tài)，所以必須對信息系統(tǒng)的穩(wěn)定性進行安全管理：

3.3.1有關信息系統(tǒng)可靠性問題的安全管理

對于和信息系統(tǒng)的可靠性有關的系統(tǒng)安全問題，通常可以使用“磁盤冗余陣列”或者是“雙機熱備”等方法來進行安全管理，這主要是在企業(yè)信息出現(xiàn)遺失或者是顯示錯誤的時候能夠保證相關信息的及時性恢復所作出的操作，同時還能夠進一步的找出出現(xiàn)故障的原因并及時的解決問題。

3.3.2信息系統(tǒng)通訊故障造成的系統(tǒng)不穩(wěn)定

對于信息系統(tǒng)經(jīng)常出現(xiàn)的通訊故障，需要根據(jù)企業(yè)的具體狀況以及對于信息系統(tǒng)安全級別，使用備用信息系統(tǒng)線路，大型的信息系統(tǒng)的備用線路可以使很多條的，主要是為了能夠保證企業(yè)信息通訊線路的穩(wěn)定性，對于級別比較高信息系統(tǒng)來說，可以使用專線的方式保證系統(tǒng)穩(wěn)定性。

3.4基于RMS的信息系統(tǒng)安全管理模式

RMS信息管理模式（Rights Management System）是一種和相關的特定應用程序進行寫作來保護信息數(shù)據(jù)安全的一項新技術，能夠有效的保證重要信息文件、電子郵件以及信息系統(tǒng)儲存的信息安全的技術。對于大型的信息系統(tǒng)的安全管理人員來說可以嚴格的規(guī)定能夠打開企業(yè)文件、讀取相關信息以及修改特定內(nèi)容的人群，能夠有效的保證組織的創(chuàng)建權限，是確保具體實施的用戶能夠應用于信息內(nèi)容的策略。

4.結論

信息化的發(fā)展給社會帶來的是巨大的進步，同時對于信息系統(tǒng)的安全管理也是同時存在的時代問題，保證大型信息系統(tǒng)的安全運行，關系到一個企業(yè)甚至是社會信息的安全，所以必須有一套真正有效的安全管理措施保證信息系統(tǒng)的安全運行，希望文章的觀點能夠為此做出貢獻。

參考文獻：

[1]余志偉.面向業(yè)務過程的信息系統(tǒng)安全需求識別方法及其關鍵技術研究[D];浙江大學;2009年

[2]吳保林.試論計算機網(wǎng)絡信息系統(tǒng)的安全管理[J]電腦知識與技術;2011年24期

[3]肖國煜.信息系統(tǒng)等級保護測評實踐[J]信息網(wǎng)絡安全;2011年07期

[4]武俊芳,鄭秋生.重要信息系統(tǒng)安全測評工具的研究與設計[A]計算機研究新進展（2010）——河南省計算機學會2010年學術年會論文集[C];2010年

篇4

信息系統(tǒng)安全現(xiàn)狀堪憂

隨著企業(yè)業(yè)務系統(tǒng)信息化程度的不斷提升，為了保證企業(yè)信息的安全，各企業(yè)都十分重視安全系統(tǒng)建設，但是由于不同時期實施的安全系統(tǒng)缺乏統(tǒng)一的密碼安全標準，使安全系統(tǒng)處于獨立狀態(tài)，不能進行有效整合，不利于業(yè)務系統(tǒng)之間安全信息交換和設備共享等。

首先安全系統(tǒng)重復建設，增加了企業(yè)運營成本。各業(yè)務系統(tǒng)獨立建設安全系統(tǒng)，導致企業(yè)內(nèi)部安全系統(tǒng)大量存在，增加了業(yè)務系統(tǒng)建設的難度，也增加了企業(yè)的運營成本。同時各業(yè)務系統(tǒng)的設計人員對安全的認識不一致，導致各安全系統(tǒng)自成體系，安全強度不易衡量，使企業(yè)整體運行風險難以控制。而各業(yè)務系統(tǒng)使用的安全強度和密鑰長度不同，使得企業(yè)內(nèi)部業(yè)務系統(tǒng)互聯(lián)互通性降低。其次在開發(fā)過程中大量使用單一硬件密碼設備，對密碼設備廠商產(chǎn)生嚴重的依賴，并且業(yè)務系統(tǒng)開發(fā)時沒有考慮資源共享，每個業(yè)務系統(tǒng)都單獨建設安全系統(tǒng)以及采購硬件密碼設備，導致安全系統(tǒng)大量存在，安全設備大量堆積，安全系統(tǒng)無法資源共享，難于集中管理和維護。

針對企業(yè)安全系統(tǒng)當前現(xiàn)狀，目前迫切需要對企業(yè)內(nèi)部眾多安全系統(tǒng)進行有效整合，加強安全系統(tǒng)資源共享，減少安全系統(tǒng)的重復建設，從而創(chuàng)造更大的社會價值。

得安公司專注信息安全十余年，是國內(nèi)最早專注于商用密碼理論研究及技術應用的企業(yè)之一，目前得安安全產(chǎn)品體系已覆蓋硬件產(chǎn)品、標準接口、認證/授權服務、安全應用等多個層面。在技術更新一日千里，外部環(huán)境復雜多變的今天，得安公司依托得安研究院，專注于信息安全核心密碼理論與技術，及應用安全領域的創(chuàng)新研究工作，為金融、政府、通訊、能源、交通等領域的重要信息系統(tǒng)和基礎信息網(wǎng)絡提供軟硬件一體化的信息安全保障服務。

統(tǒng)籌規(guī)劃 搭建安全平臺

得安密碼安全云服務平臺是基于得安公司多年的安全集成開發(fā)經(jīng)驗，于2004年開始研制一款基于云計算關鍵技術的高性能密碼平臺。

平臺將多款高端密碼設備和軟件中間件技術有機融合，以高安全性、高效率、高穩(wěn)定性為目標，以先進的分布式計算和并行處理技術為核心，是國內(nèi)最早的、最穩(wěn)定的、最先進的密碼安全云服務平臺。

該平臺面向金融、證券、能源等具有高安全性和高性能需求的電子商務、電子政務領域應用，成功解決了傳統(tǒng)的單一密碼產(chǎn)品的分散性、低效率、脆弱性等關鍵問題，大大提高了密碼安全服務系統(tǒng)的穩(wěn)健性、高效性和成熟性。其已應用于中國建設銀行、中國郵政儲蓄銀行等多家金融單位，是國內(nèi)最成熟、應用最廣泛的密碼安全云服務平臺。得安于2004年開始為中國建設銀行開發(fā)的信息安全基礎項目，以服務平臺的方式為各信息系統(tǒng)開發(fā)項目提供信息加/解密、密碼校驗、數(shù)據(jù)完整性校驗、數(shù)字簽名與驗簽和密鑰管理等安全機制，為建行信息系統(tǒng)的開發(fā)、推廣和維護提供了統(tǒng)一的安全基礎。2004年到2014年已完成七期項目的建設，目前正在進行新一代密碼服務平臺的開發(fā)。并且平臺目前已經(jīng)在建行EAIH、EAIB、ECTIP等三十多個信息系統(tǒng)中推廣應用，為建行業(yè)務發(fā)展提供了強有力的安全支持和安全保障。而從2009年開始，密碼安全云服務平臺便在中國郵政儲蓄銀行POS系統(tǒng)中推廣，中國郵政儲蓄銀行密碼安全云服務平臺已經(jīng)完成在全國包括35個一級省行、門戶網(wǎng)站、IC卡系統(tǒng)、儲蓄全國中心等系統(tǒng)的上線工作，目前系統(tǒng)運行良好，項目三期工程正在建設中。

密碼安全云服務平臺采用層次設計原則，通過統(tǒng)一的安全平臺提供密鑰管理服務、密碼運算服務、密碼設備管理服務等，通過簡單易用的開發(fā)接口和組件屏蔽密碼運算和密鑰管理的底層實現(xiàn)細節(jié)。平臺提供多算法支持，支持多臺異構加密機并行提供密碼運算服務；程序設計采用模塊化設計原則，遵循模塊內(nèi)緊內(nèi)聚、模塊間松耦合的設計原理。

在保障系統(tǒng)安全穩(wěn)健、高效成熟的同時，創(chuàng)造了良好的經(jīng)濟效益和社會效益，可有效解決企業(yè)安全子系統(tǒng)重復建設、密碼設備大量冗余、難以維護等問題，榮獲中國建設銀行金融科技進步一等獎和中國人民銀行科技發(fā)展三等獎。

專業(yè)成就優(yōu)勢

得安公司專注信息安全領域，十余年內(nèi)不斷的積累經(jīng)驗、突破創(chuàng)新，專業(yè)成就顯著，優(yōu)勢突出。其密碼安全云服務平臺可統(tǒng)一安全系統(tǒng)，降低業(yè)務系統(tǒng)資源投入。密碼安全云服務平臺通過為業(yè)務系統(tǒng)提供統(tǒng)一的密碼安全服務，減少了企業(yè)各業(yè)務系統(tǒng)在安全系統(tǒng)開發(fā)中的投入，企業(yè)各業(yè)務系統(tǒng)由原來的單獨開發(fā)安全系統(tǒng)到使用統(tǒng)一的安全系統(tǒng)，減少了重復開發(fā)帶來的資源重復投入。

安全系統(tǒng)集中管理，降低業(yè)務系統(tǒng)維護成本。密碼安全云服務平臺為企業(yè)業(yè)務系統(tǒng)提供統(tǒng)一的密碼安全服務，平臺由專門的人員進行維護，各業(yè)務系統(tǒng)不需專門對安全系統(tǒng)進行維護，降低了企業(yè)業(yè)務系統(tǒng)的維護成本。同時可靈活選擇硬件加密設備，降低業(yè)務系統(tǒng)運行風險。密碼安全云服務平臺通過管理和調(diào)度多個廠商多個型號的硬件加密設備為業(yè)務系統(tǒng)提供統(tǒng)一的密碼運算服務，使業(yè)務系統(tǒng)對硬件加密設備的選擇具有更高的自由度，降低了業(yè)務系統(tǒng)對單一廠商硬件加密設備的依賴。

豐富的安全開發(fā)接口，提高業(yè)務系統(tǒng)整體的可集成性。密碼安全云服務平臺為業(yè)務系統(tǒng)提供功能強大的安全開發(fā)接口，業(yè)務系統(tǒng)程序無需重新開發(fā)安全接口，只需集成該接口就可以實現(xiàn)對密碼安全服務的透明引用。

降低系統(tǒng)耦合度，提高業(yè)務系統(tǒng)穩(wěn)定性。業(yè)務系統(tǒng)程序通過調(diào)用安全開發(fā)接口透明引用密碼安全云服務平臺的安全服務，降低了業(yè)務系統(tǒng)和安全系統(tǒng)的耦合度，提高了業(yè)務系統(tǒng)的穩(wěn)定性。

統(tǒng)一安全策略，安全系統(tǒng)實時監(jiān)控，安全設備靈活配置，提高業(yè)務系統(tǒng)安全強度。

安全創(chuàng)造價值

篇5

觀安信息目前面向各大中型企業(yè)，特別是通信行業(yè)、金融行業(yè)以及政府機關，為各大企業(yè)實施全程安全服務和保障，包括風險評估、安全解決方案設計、安全規(guī)劃和安全工程實施等。同時，在“互聯(lián)網(wǎng)+”的思想引領下，針對移動互聯(lián)網(wǎng)安全、虛擬化平臺構建、云安全標準設計、安全大數(shù)據(jù)趨勢分析、預警防御體系設計等方面也有建樹，具有先進性和獨創(chuàng)性的安全大數(shù)據(jù)場景設計能力。

觀安信息從2015年開始，不斷完善發(fā)展有關大數(shù)據(jù)信息安全平臺是相關技術，陸續(xù)獲得各類獎項和證書。如下所示：2015年7月獲得ISO9001質(zhì)量管理體系認證證書，2015年8月獲得國家信息安全測評信息安全服務資質(zhì)證書安全工程類一級，2015年9月獲得CNCERT授權證書，2016年1月成為聯(lián)合國訓練研究所上海國際培訓中心大數(shù)據(jù)應用與安全培訓基地，2016年3月成為上海市信息安全行業(yè)協(xié)會會員單位，2016年4月獲得上海市誠信創(chuàng)建企業(yè)稱號，2016年4月成為上海市軟件行業(yè)協(xié)會第七屆理事會會員，2016年5月獲得2016年度中國大數(shù)據(jù)安全行業(yè)杰出軟件開發(fā)商獎，2016年6月獲得國家信息安全測評信息安全服務資質(zhì)證書風險評估類一級，2016年6月獲得國家信息安全測評信息安全服務資質(zhì)證書安全開發(fā)類一級。

觀安信息業(yè)務范圍廣泛，在安全大數(shù)據(jù)，信息安全服務項目，智能電網(wǎng)云安全，數(shù)據(jù)模糊化產(chǎn)品，安全運維操作審計等領域都有所成就。下面介紹其中兩個業(yè)務：

安全大數(shù)據(jù)項目旨在利用Hadoop技術搭建大數(shù)據(jù)分析平臺，采用基于Hadoop架構的數(shù)據(jù)采集、預處理、統(tǒng)計及分析、挖掘等技術來對全網(wǎng)設備、應用，以及網(wǎng)絡中的各類操作數(shù)據(jù)進行全面的關聯(lián)分析、安全審計。

信息安全服務項目是觀安信息和某大型國有集團的一次具有里程碑意義的合作。該國有企業(yè)作為上海市國有企業(yè)中唯一以園區(qū)開發(fā)和園區(qū)配套設施建設為主業(yè)的功能類企業(yè)，由于需要面向園區(qū)提供基礎IT服務，因此也將信息安全放在了首位。并且，根據(jù)國家國資委針對國企提出實施信息安全等級保護工作的要求：上海市國資委信息化水平評價中也將信息安全單列為重要考核內(nèi)容，且明確“加強信息安全工作”是2016年市國資委企業(yè)信息化推進重點工作之一。同時，市保密局對國企的保密安全檢查日趨嚴格，并不斷加強保密管理問責制。在這樣的背景下，觀安信息成功配合該集團實施了一次全面的信息安全風險評估。

觀安信息在較短時間內(nèi)，利用其深厚的信息安全功底，結合面向大數(shù)據(jù)信息安全的新技術新業(yè)務的創(chuàng)新能力，不斷贏得客戶贊譽。

篇6

摘要：近些年來,我國電力建設速度明顯加快,在加大對電力基礎設施投入的同時,我國也在電力信息化方面加大了投入,現(xiàn)今我國在電力信息化方面應經(jīng)初具規(guī)模,在電力生產(chǎn)、電力銷售、管理等方面都得到了應用，在享受電力信息化帶來的便利的同時，怎樣做好在信息化方面的保障工作，使其能夠建立合理的電力信息化的安全保障體系是一項繁重的任務。本文將就電力信息化的現(xiàn)狀以及如何建立合理的安全保障體系進行闡述。

關鍵詞：電力信息化；安全保障體系

中圖分類號：TM76 文獻標識碼：A

近些年來，我國在加強對電力系統(tǒng)的建設投入的基礎上開展了電力系統(tǒng)的電力體制改革，隨著這項改革的深入，企業(yè)對電力信息化的需求越來越強烈。下文將就電力信息化的現(xiàn)狀以及如何建立合理的安全保障體系進行闡述。

1 電力信息化安全體系簡介

1.1電力信息化簡介。電力工業(yè)生產(chǎn)過程包括電力工業(yè)規(guī)劃、設計、施工、生產(chǎn)發(fā)電、輸電、變電、配電、電網(wǎng)調(diào)度、供電營銷、物資及管理等環(huán)節(jié)。電力信息化是指電子、計算機、網(wǎng)絡等信息技術在電力工業(yè)規(guī)劃、設計、施工、生產(chǎn)發(fā)電、輸電、變電、配電、電網(wǎng)調(diào)度、供電營銷、物資及管理等環(huán)節(jié)應用全過程的統(tǒng)稱，是電力工業(yè)在電子信息技術的驅(qū)動下由傳統(tǒng)工業(yè)向高度集約化、高度知識化、高度技術化工業(yè)轉(zhuǎn)變的過程。計算機信息通信網(wǎng)絡是電力信息化的技術，各類電力資源的開發(fā)和利用是電力信息化的核心，提高電力企業(yè)的經(jīng)營決策水平和經(jīng)濟效益是電力信心化的核心，提高電力企業(yè)的經(jīng)營決策水平和經(jīng)濟效益是電力信息化的宗旨，其本質(zhì)是加強電力企業(yè)的“核心競爭力”。電力企業(yè)信息化包括生產(chǎn)過程自動哈和管理信息化兩個方面。

1.2我國電力信息化發(fā)展現(xiàn)狀。我國自上世紀60年代開始在發(fā)電廠和變電站自動監(jiān)測、控制等方面應用電力信息化，進入90年代后信息技術應用進一步發(fā)展到綜合應用，由操作層面向管理層面延伸，實現(xiàn)管理信息化，建立各級企業(yè)的管理信息化。我國的電力信息化發(fā)展從原來的單機、單項目向網(wǎng)絡化、整體性、綜合性應用發(fā)展，從局部應用發(fā)展到全局應用，從單機運行發(fā)展到網(wǎng)絡化運行，同時其它專項應用系統(tǒng)也進一步發(fā)展到更高的水平，現(xiàn)今，我國的電力信息化建設已納入企業(yè)總體發(fā)展戰(zhàn)略，信息化進一步與電力企業(yè)的生產(chǎn)、管理與經(jīng)營融合。

1.3電力信息化的安全保障體系。電力信息化安全保障體系建立的目的是為了建立在網(wǎng)絡上的電力系統(tǒng)的信息的安全，保障這些信息不會被非法用戶登陸、查看甚至是修改，因為一旦以上這些現(xiàn)象發(fā)生將會造成巨大的損失。同時需要對合法用戶提供安全、可信的信息服務。

2 電力信息化的安全保障體系的簡介

2.1電力信息化安全保障的意義。進入新時代，網(wǎng)絡信息安全問題得到了廣泛的重視，像前段時間美國的“棱鏡門”事件，更是加劇了民眾對于信息安全的擔憂，我國現(xiàn)今已經(jīng)建成了廣發(fā)的網(wǎng)絡的應用，我國是信息化應用方面的大國，而非強國，來自于網(wǎng)絡上的攻擊威脅著我國金融、電信、電力等行業(yè)的安全，而電力行業(yè)是一個國家基礎行業(yè)，更應加強信息安全方面的投入，建立起相應的信息化的安全保障體系，抵御來自于網(wǎng)絡方面攻擊，提高電力信息化方面抗風險能力。

2.2電力信息化安全保障方面存在的問題。近些年來，我國雖然加大了對于電力信息化安全保障方面的投入，但是在電力信心化安全保障方面還是存在著一些問題：（1）信息安全意識薄弱。由于信息安全是存在著看不見摸不著且無法定義的弊端，造成企業(yè)單位及個人對于信息安全方面的意識不足，同時由于對于信息安全形式認識方面的不足造成很對的人對于信息安全方面的忽視。（2）沒有常態(tài)化的信息安全保障工作，在信息安全方面各個單位及個人沒有在日常工作中落實到實處，僅僅在上級領導及上級單位檢查時應付為主。（3）對于電力信息化的安全保障工作在信息安全運作機制不完善。（4）各地對于信息保障工作的完成度不同，由于電力企業(yè)的辦公地理位置分散，因此在信息化安全保障體系的建設方面需要投入的人力巨大，而且由于各地對于信息化的運行維護、保障體系管理缺乏一定的經(jīng)驗以及相應的規(guī)范，因此，在信息化建假設維護方面各地進度不一，落后的地方的信息化安全方面的建設將會成為整體建設方面的短板。（5）由于在電力信息化安全方面的經(jīng)驗不足，造成在設計相關的系統(tǒng)安全方面時經(jīng)驗不足，設計方案漏洞較多。

2.3電力信息化建設面臨威脅?，F(xiàn)今網(wǎng)絡中面臨多方面威脅，而電力企業(yè)信息安全面臨的風險有病毒木馬、非法篡改信息、信息泄露、服務癱瘓等方面威脅。

3 電力信息化安全保障體系的建立

3.1加緊制定相應的信息安全策略。信息安全策略是電力系統(tǒng)解決信息安全問題最重要的步驟，也是電力系統(tǒng)整個信息安全體系的基礎。電力系統(tǒng)最主要的管理文件就是信息安全策略，信息安全策略明確規(guī)定需要保護什么，為什么需要保護和由誰進行保護；沒有合理信息安全策略，再好的信息安全專家和安全工具也沒有價值。電力系統(tǒng)的信息安全策略可以反映出電力系統(tǒng)對現(xiàn)實安全威脅和未來安全風險的預期，也可反映出組織內(nèi)部業(yè)務人員和技術人員對安全風險認識與應對。

3.2加強對于電力信息化的信息安全管理。電力系統(tǒng)的信息安全管理中存在著諸多問題，例如：（1）信息安全管理部門的不作為，雖然相關的機構建立起來了但是并未發(fā)揮相應的作用。（2）員工對于信息安全的認知不夠，并未樹立起全員信息安全意識，（3）相應的安全管理職責劃分不明，沒有建立起風險管理控制機制等。

應當建立起定期的巡檢制度，每個月進行排查，提交月報，同時需要對員工加強關于電力信息化安全方面的講座，將電力信息化安全缺失造成的危害對員工進行詳細的接收，提高員工對于電力信息化安全的認識，做好相關的安全工作。

3.3保證電力信息安全的技術措施

通過建立統(tǒng)一IDE身份認證和訪問控制方式來對登陸用戶進行身份認證，同時需要對網(wǎng)絡中傳輸?shù)男畔⑦M行加密措施，應使用加解密、數(shù)字簽名、消息認證碼等手段進行保護。但現(xiàn)今電力企業(yè)中的通信過程都未采取加密、數(shù)字簽名等安全措施。同時需要建立起對于病毒、攻擊等的防范措施。加強對于信息化安全的保障。

結語

電力是一個國家的基礎，因此我們需要加強對于電力信息化的安全保障體系的建設，確保電力信息系統(tǒng)安全、可靠、穩(wěn)定、高效地運行。

篇7

1 引言

隨著計算機和網(wǎng)絡通信技術的快速發(fā)展，信息技術越來越多地被應用于銀行各項業(yè)務，銀行可以為客戶提供“3A”（Anytime，Anywhere，Anyway）服務，信息技術在給業(yè)務辦理帶來巨大方便、高效的同時，也帶來了極大的信息安全隱患。從一般概念上來講，網(wǎng)絡信息安全主要指網(wǎng)絡信息的完整性、保密性、可用性、真實性和不可抵賴性。但是銀行作為一個特殊的機構關乎國家經(jīng)濟命脈和人民生活，銀行信息安全自然非常重要，它是指銀行信息系統(tǒng)的軟硬件資源及其數(shù)據(jù)受到嚴格保護，不受惡意的或偶然的原因而遭到更改、破壞、泄露，系統(tǒng)可持續(xù)穩(wěn)定可靠地運行，信息服務不間斷。銀行信息安全是銀行業(yè)務開展的基礎，是銀行經(jīng)營穩(wěn)健運行的保障。

2 我國銀行信息安全的現(xiàn)狀

自1998年3月6日，中國銀行業(yè)務系統(tǒng)第一次成功辦理電子商務交易，從此開始了中國內(nèi)地網(wǎng)上銀行業(yè)務發(fā)展的序幕。近年來，我國銀行業(yè)的信息系統(tǒng)經(jīng)歷了地震、泥石流等各種各樣的考驗，充分說明了我國大陸銀行業(yè)信息系統(tǒng)建設取得了一定成績，同時監(jiān)管層也頒布了《金融機構計算機信息系統(tǒng)安全保護工作暫行規(guī)定》、《關于進一步加強銀行業(yè)金融機構信息安全保障工作的指導意見》等政策法規(guī)。目前，各大銀行已經(jīng)意識到網(wǎng)絡信息安全的重要性，成立了信息安全專門管理機構，并在信息安全管理機構內(nèi)養(yǎng)一些專業(yè)人才，并增加了信息安全的投入。

雖然中國銀行業(yè)在信息安全建設方面取得了佳績，但是銀行信息安全危險依然存在，銀行信息安全保障依然不能忽視。據(jù)了解，國內(nèi)網(wǎng)絡犯罪案件呈現(xiàn)逐年上升的態(tài)勢，其中銀行信息安全方面的犯罪率達到了60%以上。據(jù)互聯(lián)網(wǎng)新聞報道，2009年上海農(nóng)商銀行信息系統(tǒng)出現(xiàn)故障，區(qū)域內(nèi)大量營業(yè)網(wǎng)點無法正常辦理業(yè)務；2010年2月3日中國民生銀行網(wǎng)絡信息系統(tǒng)出現(xiàn)長達4小時的系統(tǒng)故障，全國范圍內(nèi)無法辦理業(yè)務；2014年2月支付寶員工在信息系統(tǒng)的后臺下載了大量客戶信息有償出售給其他電商公司。上述事件嚴重影響了人民的利益，對金融企業(yè)的形象和聲譽造成了極大的負面影響，充分暴露出銀行業(yè)機構在網(wǎng)絡信息安全領域有較大隱患，不容小覷。

3 銀行信息安全存在的問題

銀行信息安全系統(tǒng)的建設是一個龐大復雜的工程，大部分工作牽扯到銀行業(yè)務管理水平和信息安全技術，目前無論從系統(tǒng)管理的角度還是從安全技術水平的角度，銀行信息安全方面都存在著較多問題，下面從這兩個方面展開論述。

3.1 從業(yè)務管理的角度看銀行信息安全存在的問題

⑴對信息安全的認識不到位，信息安全的意識觀念薄弱

銀行業(yè)的信息安全問題，首先是意識和觀念的問題。不管是管理層還是底層員工，能認識到網(wǎng)絡信息安全的重要性，熟悉信息安全的基本內(nèi)容和具體工作要求是非常重要的。人們往往認為信息安全的核心安全性取決于核心技術，其實這種思想是錯誤的，信息安全首先取決于基本規(guī)范的實施和安全手段的應用。

⑵重視信息安全產(chǎn)品的投入而忽視管理投入，應急預案不完備

網(wǎng)絡信息安全投入不完全是安全產(chǎn)品和工具的投入，還應包括操作流程、應急處理機制策略等方面的投入，還必須配套與安全產(chǎn)品有相適應的過程管理機制。建立合理的流程管理機制需要投入，這些投入與安全體系的完整性有著緊密的聯(lián)系，否則報警無人處理、入侵無人響應，效果并不理想。應急預案的覆蓋范圍必須足夠廣，制定規(guī)范性、系統(tǒng)性應急預案并進行實踐檢驗，部分應急預案的制定與銀行實際工作情況沒有關聯(lián)，側(cè)重于應急預案的形式，而不注重應急演練實踐檢驗，極少有銀行機構做到模擬真實場景進行應急演練和評估風險。

⑶銀行缺少信息安全管理的復合型人才

金融管理離不開管理方面的人才，金融企業(yè)信息安全管理需要復合型人才，這種復合型人才必須熟悉計算機和網(wǎng)絡技術，又要懂銀行業(yè)務流程和信息安全風險防范知識。目前，這種復合型人才還比較少。各大銀行的信息安全專業(yè)技術人員大部分都是畢業(yè)于計算機或相關專業(yè)，他們對計算機專業(yè)知識相對比較了解，但是對銀行業(yè)務的工作流程和信息系統(tǒng)潛在威脅的把握還不夠。

3.2從專業(yè)技術角度看銀行信息安全存在的問題

⑴銀行使用的軟件安全性比較弱

由于計算機應用軟件是銀行內(nèi)部信息的載體，所以軟件本身的質(zhì)量相當重要。目前銀行業(yè)務系統(tǒng)的軟件體系，包括項目管理系統(tǒng)和軟件開發(fā)生命周期都只注重軟件功能、開發(fā)速度和市場，很少考慮安全的需要?，F(xiàn)在發(fā)現(xiàn)管理和技術上存在的安全威脅，主要出現(xiàn)在應用軟件安全設計上。

⑵系統(tǒng)漏洞和信息泄密

所謂漏洞一般是指系統(tǒng)設計開發(fā)人員在軟件開發(fā)的時候，故意設置的。這樣做的目的是為了保證銀行從業(yè)人員在某些特殊情況下失去系統(tǒng)訪問權限時可以順利進入系統(tǒng)，正是因這些軟件漏洞的存在，給銀行業(yè)務系統(tǒng)帶來了信息安全威脅，這樣就會造成信息的泄露。其次，銀行的內(nèi)部職工最熟悉金融企業(yè)的計算機應用系統(tǒng)，他們知道那些操作能使計算機系統(tǒng)出現(xiàn)故障、損壞或泄密。某些時候金融企業(yè)裁員也可能導致計算機泄密，當裁員時某些系統(tǒng)賬號沒有及時刪除，也可能導致重要敏感信息的泄露。

⑶計算機黑客的惡意入侵

網(wǎng)絡黑客是一些具備較強計算機專業(yè)技術知識的愛好者，他們可以在他人無法察覺的情況下，利用計算機設備侵入一些重要行業(yè)的計算機系統(tǒng)，并從中獲的有價值信息或破壞信息系統(tǒng)。大多數(shù)的網(wǎng)絡黑客主要利用計算機軟件系統(tǒng)的漏洞來入侵信息系統(tǒng)，入侵方法高明且多種多樣，并且入侵手段更新速度也很快，從而使現(xiàn)有的計算機系統(tǒng)安全產(chǎn)品很難及時做出相應的預防，進而導致計算機網(wǎng)絡經(jīng)常遭到網(wǎng)絡黑客的侵入。

⑷計算機病毒和木馬

計算機病毒是目前信息安全主要威脅因素之一，而且現(xiàn)在的計算機病毒千奇百怪，多種多樣。計算機病毒是一些計算機愛好者刻意編寫的程序代碼，具有類似于生物病毒的破壞性、傳染性、隱蔽性等特點。為了保證銀行計算機網(wǎng)絡系統(tǒng)的安全運行，應重視防范病毒。另外還有就是木馬程序，木馬程序是一種由攻擊者悄悄安裝在受害人計算機上的竊聽及控制程序，通常包括控制端和被控制端兩個部分，被控制端程序通過網(wǎng)絡或其他介質(zhì)植入受害人計算機，控制端程序則安裝在不法分子的計算機設備上，利用控制端遠程的和被控制端傳送數(shù)據(jù)，以竊取受害人計算機上的資源，盜取個人信息和各種重要敏感數(shù)據(jù)，給單位和個人造成相當大的損失。

⑸災備措施不完善和基礎設施故障

銀行的災難備份和恢復能力必須進一步加強，中國銀行業(yè)的災備系統(tǒng)類型比較單一，覆蓋面還較小，尤其缺乏系統(tǒng)的災難恢復方案。正因為這些情況的存在，導致了各種各樣的自然災害發(fā)生后，無法立刻啟動應急預案并快速切換到備份系統(tǒng)，所以才會出現(xiàn)長達數(shù)小時的信息服務中斷。計算機基礎設施可以說是任何計算機系統(tǒng)安全運行的保障，當基礎設施出現(xiàn)故障后，勢必會造成信息服務的中斷，同時這種情況的發(fā)生是不可預知的?；A設施的出現(xiàn)故障的原因比較復雜而且多樣化，具體包括服務器電源故障、網(wǎng)線老化、通信中斷等。

4 銀行信息安全風險的應對策略與建議

從以上關于我國銀行信息安全問題的分析可以知，構建一套可行的銀行信息系統(tǒng)安全保障體系和方法，加強防范信息安全風險勢在必行。因此，應做好以下方面的工作。

⑴認真做好相關專業(yè)人員的安全意識教育，而且常抓不懈

銀行內(nèi)部比須加強信息安全監(jiān)管和懲戒力度，明確法律責任，將信息安全的責任落實到每個相關人員，出現(xiàn)問題誰負責追究誰，將違規(guī)操作的可能性降到最低。對于銀行而言，任何的數(shù)據(jù)和客戶信息都非常重要，必須有嚴格的保密規(guī)定，但是常常在實際工作中出現(xiàn)這樣那樣的小問題，因此要強化內(nèi)部員工的安全意識教育和信息安全基礎知識培訓，此項工作必須常抓不懈，然后將相關內(nèi)容整理成冊，定期的學習考核。必要時，有機會接觸重要信息的員工在進入崗位之前必須做出書面承諾，保密承諾要包括重要信息的范圍以及泄密需要承擔的相應責任，使每一個能接觸重要信息的人員明確信息泄露的危害。同時通過培訓，提高所有參與管理的人員信息安全和風險防范意識，關鍵是要重點培養(yǎng)信息安全的業(yè)務骨干。

⑵建立與災備體系相適應的應急管理機制，兩者缺一不可

日常生活中突發(fā)事件是不可預知的，尤其是各種各樣的自然災害，其破壞力比較大。如果銀行能事先把預防措施做到位，做到防患于未然，就可以最大限度地減少經(jīng)濟損失，保證人民財產(chǎn)不受損失，保障國家經(jīng)濟安全運行。首先是要建立完善的應急預案機制，有針對性的強化應急演練，對各種自然災害事件進行全面有效的風險評估，分類制定科學的應急方案，開展接近于實際情況的模擬應急訓練，及時評估應急演練的效果，做到突發(fā)事件發(fā)生時無死角，有的放矢，同時通過應急演練檢驗應急預案的實用性、合理性、可行性。接下就是建立與應急機制相適應的災難備份恢復系統(tǒng)，提高業(yè)務可持續(xù)性。大型的銀行要積極建設“兩地三中心”，中小型銀行可以考慮選擇災難備份外包服務，使銀行具備抵御火災、地震、暴雨等自然災害的能力。全面促進業(yè)務系統(tǒng)的連續(xù)性，著實增強銀行防范風險能力。

⑶加大銀行信息安全復合型人才的培養(yǎng)力度，拓寬培養(yǎng)渠道

任何科技工作都必須以人才為重心。為了徹底清除銀行信息化建設中的障礙，切實保障金融企業(yè)信息安全，各大銀行要大力培養(yǎng)信息安全復合型人才。首先根據(jù)各單位信息安全的人員結構和知識結構，在強化信息安全專業(yè)知識教育的同時，還要兼顧計算機專業(yè)知識和金融業(yè)務知識的培訓，而且此項工作必須長期堅持，做好人才儲備。在人才培養(yǎng)的同時還要與實踐相結合，在學習各類信息安全知識的前提條件下，組織參與培訓專業(yè)人員針對信息安全制度進行實踐檢驗。

⑷敏感重要數(shù)據(jù)務必加密，同時安裝殺毒軟件

首先，加密是確保信息安全的關鍵技術之一。越來越多的數(shù)據(jù)要求銀行的業(yè)務系統(tǒng)在選擇加密方式時要盡可能的有多種數(shù)據(jù)防護需求，在已有的加密方式下，多模加密技術是較好的選擇。多模加密技術是將非對稱加密算法（如RSA）和對稱加密算法（如DES和AES）相結合，在確保數(shù)據(jù)安全的同時，其多模的特性可以根據(jù)需求選擇對稱或非對稱加密方式。另外防范計算機病毒最有效的措施就在銀行的各類計算機系統(tǒng)中安裝正版的防病毒軟件，力爭做到病毒防范無死角無遺漏，并且確保殺毒軟件能實時更新病毒庫。對于新購置的軟件和類似于U盤的存儲介質(zhì)，在使用前銀行員工須使用殺毒軟件進行全面的病毒掃描，確認安全之后方可使用。

⑸進一步推進銀行信息化技術法規(guī)和標準化體系建設

結合銀行信息化發(fā)展的實際需要，以各種方式協(xié)作，分層次和有序的加快銀行信息化技術規(guī)范和標準的建設進度。組織完善數(shù)據(jù)中心建設、數(shù)據(jù)存儲、網(wǎng)絡互連、安全加密、數(shù)據(jù)交換、安全認證、客戶服務方面標準的制定。對網(wǎng)上銀行、移動銀行、電子商務等創(chuàng)新產(chǎn)品和服務，制定與之相適應的標準和規(guī)范。同時，建立科學的監(jiān)督策略，通過制度建設，強化技術標準和規(guī)范的執(zhí)行強度。

篇8

關鍵詞：信息安全；計算機；安全

我國信息安全發(fā)展的大環(huán)境目前已日臻完善，成立了全國信息技術標準化技術委員會、國家計算機病毒應急處理協(xié)調(diào)中心等機構。另外，我國信息安全政策法規(guī)、標準制定也已經(jīng)走入規(guī)范化進程。但信息安全是一個征途而不是一個目的地。新的技術，新的業(yè)務需求和新的安全威脅不斷地改變環(huán)境。

由于計算機和國際互聯(lián)網(wǎng)的飛速普及，中國目前已經(jīng)成為炙手可熱的黑客攻擊目標。全球每天約有200萬臺PC機處于隨時可能被攻擊的失控狀態(tài)，而其中有20%的PC機來自中國。據(jù)公安部對全國信息網(wǎng)絡安全狀況和計算機病毒疫情調(diào)查顯示，我國信息網(wǎng)絡安全事件發(fā)生比例為62.7%，計算機病毒感染率為85.5％，多次發(fā)生網(wǎng)絡安全事件的比例為50％，多次感染病毒的比例為66.8％，可見，我國信息安全體系安全性何等脆弱。筆者通過對目前信息安全體系安全現(xiàn)狀進行分析并初探解決對策，希望能對信息安全體系的發(fā)展有所作用。

一、信息安全存在的幾大安全現(xiàn)狀和威脅

第一，前期，微軟對中國Winxp、office用戶反盜版黑屏事件已炒得沸沸揚揚，但反思后可得知：計算機網(wǎng)絡系統(tǒng)使用的軟、硬件很大一部分是國外產(chǎn)品，我國電腦制造業(yè)對許多硬件核心部件的研發(fā)、生產(chǎn)能力很弱，關鍵部件完全處于受制于人的地位。并且對引進的信息技術和設備缺乏保護信息安全所必不可少的有效管理和技術改造。一旦發(fā)生重大情況，那些隱藏在電腦芯片和操作軟件中的后門就有可能在某種秘密指令下激活，造成國內(nèi)電腦網(wǎng)絡、電信系統(tǒng)癱瘓。

第二，全社會的信息安全意識雖然有所提高，但將其提到實際日程中來的依然很少。國家計算機病毒應急處理協(xié)調(diào)中心進行的多次安全普查和評估中發(fā)現(xiàn)許多公司和企業(yè)，甚至敏感單位的計算機網(wǎng)絡系統(tǒng)基本處于不設防狀態(tài)。有的即使其網(wǎng)絡系統(tǒng)已由專業(yè)的安全服務商為其制定了安全策略，但在一定時間后，由于在網(wǎng)絡的使用中發(fā)現(xiàn)沒有以前的方便，便私自更改安全策略，等一旦遭到攻擊已是悔之晚矣。

第三，目前關于網(wǎng)絡犯罪的法律還不健全。比如盜竊、刪改他人系統(tǒng)信息屬于犯罪行為，但僅僅是觀看，既不進行破壞，也不謀取私利算不算犯罪？還比如網(wǎng)上有很多BBS，黑客在上邊討論軟件漏洞、攻擊手段等，這既可以說是技術研究，也可以說是提供攻擊工具，這又算不算犯罪呢？國內(nèi)很多網(wǎng)站在遭到攻擊后損失慘重，為保證客戶對其的信任，為名譽起見往往并不積極追究黑客的法律責任，這種“姑息養(yǎng)奸”的做法就進一步助長了黑客的囂張氣焰。

第四，信息安全人才培養(yǎng)體系雖已初步形成，但隨著信息化進程加快和計算機的廣泛應用，電子商務、電子政務和電子金融的發(fā)展，對信息安全專門人才的培養(yǎng)提出了更高要求，目前我國信息安全人才培養(yǎng)還遠遠不能滿足需要。

第五，我國信息安全產(chǎn)業(yè)水平有待提高。一是安全應用需求不明，產(chǎn)業(yè)技術推動性、應用針對性不夠，國內(nèi)安全需求得不到很好滿足；二是產(chǎn)品過度集中，低水平重復嚴重。三是核心技術仍然受到制約，產(chǎn)業(yè)化水平較低，產(chǎn)品安全質(zhì)量令人擔憂。

二、解決方案初探：

象火災防范工作的防消結合一樣，合理的信息安全系統(tǒng)需要滿足兩方面的要求，首先是要把計算機網(wǎng)絡安全事件的發(fā)生率和損失可能性控制在可以接受的較低范圍內(nèi)，其次是要使信息安全事故可以得到及時處理。

1、信息安全基礎設施的必要性

盡管安全產(chǎn)品不是萬能的，配置各種安全產(chǎn)品并不能解決安全問題，但計算機網(wǎng)絡系統(tǒng)需要一些基礎的保護設施。任何安全措施都建立在一定軟硬件環(huán)境基礎下，有很多安全機制是操作系統(tǒng)和網(wǎng)絡軟件產(chǎn)品本身已經(jīng)具備的，而也有很多安全功能是需要專門安全產(chǎn)品才能實現(xiàn)的。因此需要根據(jù)用戶的實際網(wǎng)絡環(huán)境和應用情況，決定配置那些安全產(chǎn)品。

2、信息安全專業(yè)服務的必要性

任何一種安全產(chǎn)品所能提供的服務都是有限的，也是不全面的，要有效發(fā)揮操作系統(tǒng)、應用軟件和安全產(chǎn)品的安全功能，必須進行全面的檢測、合理的配置和適當?shù)膬?yōu)化，才能使整個安全系統(tǒng)良好地運轉(zhuǎn)起來。而實現(xiàn)這些嚴密的安全措施需要第三方的專業(yè)信息安全人員的參與并發(fā)揮主要作用。鑒于未來網(wǎng)絡威脅的嚴重性和信息戰(zhàn)的可能性，建立主動性的信息安全防御體系已經(jīng)成為先進國家的研究重點之一，而主動性安全防御體系中最重要的環(huán)節(jié)是一支專業(yè)化的信息安全服務力量。

三、結論：信息安全問題具有動態(tài)性，必須統(tǒng)籌兼顧，常抓不懈。

計算機網(wǎng)絡系統(tǒng)軟硬件和應用情況在不斷更新。引入新設備、新軟件和新的應用，都會帶來新的安全問題。攻擊技術每天都在發(fā)展，新的攻擊機制不斷出現(xiàn)，新的攻擊機制決定了新病毒和新的黑客攻擊手段會對原本已經(jīng)比較安全的系統(tǒng)造成新的威脅。只有堅持對計算機網(wǎng)絡系統(tǒng)進行有計劃的，長期進行的評估和審計工作，才能保證最新的技術隱患會被及時識別和解決。如果不結合這些新的技術動態(tài)、人員動態(tài)和管理動態(tài)進行定期的安全性評估，原本搭建好的安全體系將處于不可控的狀態(tài)。

參考文獻：

[1] 徐國芹. 淺議如何建立企業(yè)信息安全體系架構[J]. 中國高新技術企業(yè), 2009, (05) .

[2] 陳偉,向麗,劉爽,郭偉,謝明政. 企業(yè)信息安全體系架構[J]. 石油地球物理勘探, 2008, (S1) .

篇9

IT治理面臨的挑戰(zhàn)

在中國經(jīng)濟強勁增長的背后，企業(yè)的業(yè)務發(fā)展與創(chuàng)新對IT的依賴程度越來越高。但是正如汽車需要保養(yǎng)一樣，IT系統(tǒng)同樣需要類似的保養(yǎng)、優(yōu)化與管理（IT治理與風險管理），這時IT系統(tǒng)才不會宕機、不會泄露商業(yè)機密、不違反法規(guī)遵從，從而保證IT與業(yè)務目標的一致性。缺乏IT治理與風險管理的企業(yè)所面臨的風險是巨大的。IBM軟件集團大中華區(qū)總經(jīng)理Bete F. Demeke認為，環(huán)境的變化對于今天的IT治理提出了眾多的挑戰(zhàn)。

對于今天的中國企業(yè)而言，隨著市場變化腳步的加快，企業(yè)員工的流動性也變得越來越強，隨之而來的是信息安全風險上升的平衡問題。由于人員的流動，企業(yè)信息系統(tǒng)內(nèi)的數(shù)據(jù)可能面臨與前文案例企業(yè)一樣的風險，包括數(shù)據(jù)丟失、數(shù)據(jù)泄露、數(shù)據(jù)被更改等。

除了員工流動性增強外，企業(yè)的全球化拓展也是中國企業(yè)當前的一個顯著特征，國家工商行政管理總局的統(tǒng)計數(shù)據(jù)顯示，2006年有5000多家中國投資實體在海外172個國家和地區(qū)建立了1萬多家公司，2008年這一數(shù)字還在快速增加?？焖贁U展也給企業(yè)帶來眾多IT治理和風險管理方面的難題：海內(nèi)外系統(tǒng)業(yè)務連續(xù)性、各級系統(tǒng)訪問安全控制、不同國家地區(qū)的法規(guī)遵從……

一些中國公司雖然已經(jīng)在海外拓展了業(yè)務，但是國內(nèi)外的業(yè)務連續(xù)性始終無法保證，最后導致企業(yè)經(jīng)營失敗。類似的問題，隨著中國市場快速變化和企業(yè)信息化進程的深入，已經(jīng)成為企業(yè)必須面對的挑戰(zhàn)。

服務管理是治理基礎

到今天，相信所有的IT管理人員都能了解IT治理的重要性。而如何成功實現(xiàn)IT治理，則涉及到服務管理、安全和業(yè)務容災性三個方面的內(nèi)容。不同企業(yè)的側(cè)重也不同。

對于上海電信這類企業(yè)來講，他們需要解決的是多系統(tǒng)引發(fā)的應用復雜性提升的問題；對于中化集團來講，他們需要解決支持業(yè)務連續(xù)性的災備問題；而對于交通銀行而言，他們可能最需要解決的是授權不當引發(fā)的信息安全漏洞問題。

針對上述種種問題，IBM軟件集團亞太區(qū)Tivoli軟件總經(jīng)理Mitchell Young表示，IT服務管理是成功實現(xiàn)IT治理的基礎，企業(yè)首先應當建立起組織服務的管理能力，而IBM認為成功的服務管理必須具備三個要素：實現(xiàn)IT和業(yè)務的可視化、可控化和自動化。

實際工作中，企業(yè)管理層、業(yè)務部門和運維部門以及合作伙伴都期望在各自的權限范圍內(nèi)，實時“看到”同自己相關的企業(yè)業(yè)務和IT運行狀況，為企業(yè)決策提供及時準確的信息、避免業(yè)務風險和危機，從而保證業(yè)務連續(xù)性與業(yè)務目標的實現(xiàn)，這就是IBM強調(diào)的IT和業(yè)務的可視化。

可視化的核心是指企業(yè)應當對業(yè)務和IT實現(xiàn)全面可視。對此，IBM提出了IT業(yè)務儀表板（Business of IT Dashboard）解決方案。它是一個基于資產(chǎn)評估的服務套件，通過幫助客戶評估其當前IT治理領域的優(yōu)缺點，為企業(yè)提供系統(tǒng)各級用戶完整視圖，幫助企業(yè)外部客戶了解業(yè)務相關信息，以幫助他們規(guī)劃和管理在線行為，從而實現(xiàn)IT業(yè)績與企業(yè)業(yè)績同步。

而對于資產(chǎn)控制而言，企業(yè)期望IT不僅僅是在控制IT資產(chǎn)，還應當有效管理和控制非IT資產(chǎn)，進而幫助企業(yè)提升資產(chǎn)使用率和投資回報率。該愿望與IBM強調(diào)的IT和業(yè)務可控性不謀而合。

Gartner認為，有效的企業(yè)資產(chǎn)管理（EAM）在第一年中將為企業(yè)帶來30%的成本降低，并在未來的5年內(nèi)持續(xù)帶來5%到10%的節(jié)省。而來源于一家全球知名金融雜志的調(diào)查顯示：在大多數(shù)企業(yè)中，只有40%的企業(yè)資產(chǎn)可以很好地被描述并很快被找到，未實現(xiàn)對另外60%企業(yè)資產(chǎn)進行管控的原因主要是由企業(yè)的底層架構缺乏管控導致的。

因此，IBM全球信息科技服務部大中華區(qū)資訊咨詢服務部總經(jīng)理李雅弼認為，僅專注于IT基礎架構的管理已不能滿足企業(yè)的需要，企業(yè)不但需要實現(xiàn)對IT基礎架構、網(wǎng)絡環(huán)境的管理，更需要實現(xiàn)對包括企業(yè)業(yè)務資產(chǎn)等在內(nèi)所有業(yè)務元素的管理。比如醫(yī)院，發(fā)電機也是重要資產(chǎn)，它對醫(yī)院的不間斷服務發(fā)揮著重要作用，也對IT系統(tǒng)起到應急支撐作用。因此，IBM服務管理解決方案中是將IT資產(chǎn)與非IT資產(chǎn)進行統(tǒng)一管理和監(jiān)控的。

IT和業(yè)務的自動化則是指IT系統(tǒng)應當通過整合的IT流程和自動化工具支持企業(yè)關鍵業(yè)務流程，從而降低人力成本和人為因素造成的風險，提升企業(yè)敏捷性。IBM的一項調(diào)查顯示，CIO的預算清單中，約32%花費在人力成本上。也就是說，目前企業(yè)主要是由人力來完成IT的運營和維護。

“IBM服務管理解決方案將從IT角度協(xié)助企業(yè)實現(xiàn)業(yè)務服務和流程的自動化?！崩钛佩稣f，“在改進服務質(zhì)量的同時，幫助企業(yè)提升IT生產(chǎn)力?！?/p>

五點切入實現(xiàn)三化

IT和業(yè)務的可視化、可控化和自動化無疑是所有企業(yè)都期望獲得的，但是通過哪些手段去實現(xiàn)卻是一個難題。對此，IBM總結提出了實現(xiàn)三化的五個切入點：IT運維、安全運維、存儲運維、企業(yè)運維和運營商運維。

對于電力、能源等需要大規(guī)模IT系統(tǒng)支撐日常業(yè)務運轉(zhuǎn)的企業(yè)而言，從IT運維角度切入實現(xiàn)IT和業(yè)務的可視化、可控化和自動化顯得更為合適。此時，服務管理能夠覆蓋到服務提供和流程自動化、服務可用性和性能、SOA管理等方面，通過對服務提供和流程自動化的治理，可有效優(yōu)化成本控制與服務交付質(zhì)量；通過對服務可用性和性能的治理，能夠讓企業(yè)從響應式管理轉(zhuǎn)化到前瞻性管理，從而優(yōu)化IT基礎架構利用率和服務可用率；而通過對SOA管理的治理，則將為企業(yè)提供一個敏捷、高性能和安全的Web服務基礎架構。

對于類似交通銀行這樣的金融機構來講，它們可能最需要解決的是授權不當引發(fā)的信息安全漏洞的問題。因此，從安全運維角度切入，服務管理將有效覆蓋安全、風險和法規(guī)遵從等方面，從而有效規(guī)避來自內(nèi)部和外部的對數(shù)據(jù)、系統(tǒng)和應用的威脅。

中化集團在實現(xiàn)以ERP為核心，包括內(nèi)部辦公自動化系統(tǒng)、分銷管理系統(tǒng)、內(nèi)部門戶等系統(tǒng)在內(nèi)的企業(yè)信息化平臺建設后，迫切需要實現(xiàn)支持業(yè)務連續(xù)性的容災能力。此時從存儲運維角度切入顯得更為合適，這樣能夠更好地建立高彈性的存儲基礎架構，保護有價值的信息資產(chǎn)并符合數(shù)據(jù)保護策略，支撐業(yè)務連續(xù)運行。

篇10

一、前言

1.背景

2013年被認為是互聯(lián)網(wǎng)金融的元年，這一年，支付寶的余額寶打頭陣，帶動了互聯(lián)網(wǎng)金融的開花。接著中國互聯(lián)網(wǎng)另外兩個巨頭騰訊和百度也相繼進入互聯(lián)網(wǎng)金融，從理財、第三方支付到設立銀行，互聯(lián)網(wǎng)金融以勢不可擋之勢快速發(fā)展。互聯(lián)網(wǎng)金融的發(fā)展必然沖擊傳統(tǒng)金融領域，商業(yè)銀行不得不觸網(wǎng)，因為在大潮來臨時，不前進就是后退。

“互聯(lián)網(wǎng)+銀行”已經(jīng)成為不可逆轉(zhuǎn)的潮流，傳統(tǒng)商業(yè)銀行向“互聯(lián)網(wǎng)+銀行”轉(zhuǎn)型邁進的步伐正在加快，風險管理作為商業(yè)銀行生存和發(fā)展的核心競爭力之一，也需要適應"互聯(lián)網(wǎng)+"所帶來的各種沖擊和變化?；ヂ?lián)網(wǎng)是一個工具，是一把雙刃劍。利用得好，商業(yè)銀行的風險管理機制將得到顯著優(yōu)化，提升企業(yè)業(yè)績；反之則可能增加風險，降低利潤。

2.互聯(lián)網(wǎng)+對商業(yè)銀行風險管理的影響

互聯(lián)網(wǎng)金融作為一種工具，對商業(yè)銀行的內(nèi)外環(huán)境產(chǎn)生了深遠的影響。

互聯(lián)網(wǎng)金融的發(fā)展，普惠金融產(chǎn)生，客觀促進了利率市場化。商業(yè)銀行的廉價資金大幅減少，存貸利差減少，成本增加。商業(yè)銀行利潤率降低，收入增長放緩，甚至減少。為了使商業(yè)銀行利潤實現(xiàn)持續(xù)增長，商業(yè)銀行不得不創(chuàng)新金融產(chǎn)品，提高風險偏好，改變業(yè)務模式，商業(yè)銀行的風險可能會因此增加，需要商業(yè)銀行相應的提升風險管理能力。

二、互聯(lián)網(wǎng)+對商業(yè)銀行風險管理的挑戰(zhàn)

1.對互聯(lián)網(wǎng)+條件下征信的挑戰(zhàn)

互聯(lián)網(wǎng)+條件下，消費者網(wǎng)上消費行為越來越多。2015年天貓雙十一阿里巴巴天貓平臺上的消費總額就達到了912.17億。新的消費形態(tài)出現(xiàn)并迅速擴大，銀行能記錄的征信比例相對來說越來越少。

社會征信機構出現(xiàn)，能記錄各自行業(yè)的消費者征信記錄。支付寶有花唄，京東有白條，蘇寧有任性付，這些和信用卡類似的消費商業(yè)銀行也沒有他們的記錄，銀行的征信范圍不夠廣，會產(chǎn)生一定的風險。

當前各個征信主體的征信記錄被封閉起來，各行各業(yè)的征信記錄被分別保存，沒有互聯(lián)互通，導致征信記錄價值被嚴重縮小，增大了銀行貸款的風險。

2.對信息安全的挑戰(zhàn)

銀行是影響最大的金融機構，如果信息安全做得不到位，會造成極其嚴重的后果。新聞里時常報道有人信息被泄露導致被詐騙賬，接了個電話銀行卡里的錢就被盜刷等事件，這是個人信息泄露的后果。商業(yè)銀行信息泄露遠比個人信息泄露危害重大，一是企業(yè)信息泄露可能是存儲在商業(yè)銀行里的大量個人信息的泄露，二是商業(yè)銀行本身信息泄露，會造成大量金融數(shù)據(jù)被盜取、修改等，面對的是大量客戶造成的影響比個人信息泄露后果嚴重，甚至造成社會動蕩。

3.對商業(yè)銀行傳統(tǒng)運營模式的挑戰(zhàn)

最近金融領域最火的當屬互聯(lián)網(wǎng)金融，以支付寶為首的第三方支付公司交易額迅速攀升，在搶著原本屬于銀行的業(yè)務。民營銀行的建立，利率市場化的推進，普惠金融的出現(xiàn)等，改變了銀行業(yè)務的格局。以前銀行靠很多活期存款獲得了大量廉價資金，現(xiàn)在有了各種"寶寶"產(chǎn)品，銀行廉價資金大量轉(zhuǎn)移，增加了銀行成本。這些現(xiàn)象說明互聯(lián)網(wǎng)金融倒逼銀行運營模式改革。

三、互聯(lián)網(wǎng)+條件下商業(yè)銀行風險管理機制優(yōu)化建議

1.開放共享社會征信資源

在互聯(lián)網(wǎng)+催生了共享經(jīng)濟，征信方面同樣可以實現(xiàn)共享共贏。

商業(yè)銀行的優(yōu)勢在于傳統(tǒng)風險管理做得扎實，有多年的信用數(shù)據(jù)積累。社會征信機構優(yōu)勢在于在新時代里新的征信數(shù)據(jù)增長快，技術有一定程度領先?；ヂ?lián)網(wǎng)金融發(fā)展迅速，由此產(chǎn)生的信息是商業(yè)銀行沒有的。商業(yè)銀行和社會征信機構合作，整合全社會征信資源，建立開放共享征信機制，形成健全的征信體制，可以極大地促進征信信息的完善，降低相關信用風險。

2.加強信息技術安全管理

商業(yè)銀行信息安全管理既要練好內(nèi)功，又應該和各方面主體合作，建立一個完善的信息安全體系。一方面，商業(yè)銀行自身應加強安全體系建設，在制度上做到完備、在硬件設施水平上裝備良好、在觀念上做到對信息安全高度敏感、在執(zhí)行上堅決果斷。另一方面，商業(yè)銀行應該與互聯(lián)網(wǎng)企業(yè)、第三方安全公司進行技術合作，多方面努力保信息安全。

3.加強創(chuàng)新管理

商業(yè)銀行應該充分利用自身金融方面的專業(yè)優(yōu)勢，加強產(chǎn)品開發(fā)的優(yōu)勢，增強渠道建設，就能在互聯(lián)網(wǎng)金融大潮中起航。

加強產(chǎn)品創(chuàng)新方面，互聯(lián)網(wǎng)金融核心還是金融，只是創(chuàng)新了渠道，便捷了大眾的購買。商業(yè)銀行應把重點放在產(chǎn)品創(chuàng)新上，如果有了豐富的金融產(chǎn)品，就算互聯(lián)網(wǎng)金融再如火如荼，也只是給商業(yè)銀行銷售而已。加強渠道建設方面，商業(yè)銀行已經(jīng)有了營業(yè)廳、自助服務終端，網(wǎng)上銀行，移動銀行等渠道。渠道已經(jīng)不少，但關鍵是要形成合力，不能單打獨斗，應該加強線上線下渠道整合，形成獨有的渠道優(yōu)勢。