導(dǎo)語：如何才能寫好一篇金融企業(yè)信息安全，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

【 關(guān)鍵詞 】 信息安全；安全治理；框架；風(fēng)險(xiǎn)管理

1 引言

隨著企業(yè)的信息化建設(shè)，企業(yè)信息系統(tǒng)在縱、橫向的耦合程度日益加深，系統(tǒng)間的聯(lián)系也日益緊密，因此企業(yè)的信息安全影響著企業(yè)信息系統(tǒng)的安全、持續(xù)、可靠和穩(wěn)定運(yùn)行。此外，美國明尼蘇達(dá)大學(xué)Bush-Kugel的研究報(bào)告指出企業(yè)在沒有信息資料可用的情況下，金融業(yè)至多只能運(yùn)作2天，商業(yè)則為3天，工業(yè)則為5天。而從經(jīng)濟(jì)情況來看，25%的企業(yè)由于數(shù)據(jù)損毀可能隨即破產(chǎn)，40%會(huì)在兩年內(nèi)破產(chǎn)，而僅有7%不到的企業(yè)在5年后繼續(xù)存活。伴隨著監(jiān)管機(jī)構(gòu)對(duì)信息安全日趨嚴(yán)格的要求，企業(yè)對(duì)信息安全的關(guān)注逐漸提高，并對(duì)信息安全投入的資源不斷增加，從而使得信息安全越來越為公司高級(jí)管理層所關(guān)注。

2 信息安全問題

目前企業(yè)信息安全問題主要包括幾個(gè)方面。

（1）信息質(zhì)量底下：無用信息、有害信息或劣質(zhì)信息滲透到企業(yè)信息資源中， 對(duì)信息資源的收集、開發(fā)和利用造成干擾。

（2）信息泄漏：網(wǎng)絡(luò)信息泄漏和操作泄漏是目前企業(yè)普遍存在的信息安全困擾。網(wǎng)絡(luò)信息泄漏是信息在獲取、存儲(chǔ)、使用或傳播的時(shí)候被其他人非法取得的過程。而操作泄漏則是由于不正當(dāng)操作或者未經(jīng)授權(quán)的訪問、蓄意攻擊等行為，從而使企業(yè)信息泄漏。

（3）信息破壞：指內(nèi)部員工或者外部人員制造和傳播惡意程序， 破壞計(jì)算機(jī)內(nèi)所存儲(chǔ)的信息和程序， 甚至破壞計(jì)算機(jī)硬件。

（4）信息侵權(quán)：指對(duì)信息產(chǎn)權(quán)的侵犯。現(xiàn)代信息技術(shù)的發(fā)展和應(yīng)用， 導(dǎo)致了信息載體的變化、信息內(nèi)容的擴(kuò)展、信息傳遞方式的增加， 一方面實(shí)現(xiàn)了信息的全球共享， 但同時(shí)也帶來了知識(shí)產(chǎn)權(quán)難以解決的糾紛。

3 信息安全治理的困惑

基于信息安全的重要性，企業(yè)在信息安全治理方面投入了諸多資源，但是在信息安全治理成效方面仍不盡如人意，主要問題在于幾個(gè)方面。

（1）信息安全治理的范圍不明確：目前企業(yè)都在盡力實(shí)現(xiàn)良好的信息安全治理，但是由于無法正確理解信息安全治理和信息安全管理的區(qū)別，導(dǎo)致了信息安全治理無法與企業(yè)的安全規(guī)劃和企業(yè)戰(zhàn)略形成一致性。表1從工作內(nèi)容、執(zhí)行主體和技術(shù)深度三個(gè)層面分析了兩者的區(qū)別。

從表1中可以明確：信息安全治理是為組織機(jī)構(gòu)的信息安全定義一個(gè)戰(zhàn)略性的框架，指明了具體安全管理工作的目標(biāo)和權(quán)責(zé)范圍，使信息系統(tǒng)安全專業(yè)人員能夠準(zhǔn)確地按照企業(yè)高層管理人員的要求開展工作。

（2）企業(yè)信息安全治理路徑的錯(cuò)誤理解：企業(yè)在信息安全治理的過程中，最常用的手法是采用信息安全的技術(shù)措施，如使用加密和防偽技術(shù)、認(rèn)證技術(shù)、防病毒技術(shù)、防火墻技術(shù)等方式來進(jìn)行，但是往往企業(yè)投入很多，卻沒有達(dá)到預(yù)想的效果，問題在于，信息安全治理并不單單是技術(shù)問題，信息安全治理也包含了安全戰(zhàn)略、風(fēng)險(xiǎn)管理、績(jī)效評(píng)估、層級(jí)報(bào)告以及職責(zé)明確等方面。

4 信息安全治理關(guān)注的領(lǐng)域

（1）戰(zhàn)略一致性：信息安全治理需與企業(yè)的發(fā)展戰(zhàn)略和業(yè)務(wù)戰(zhàn)略相一致，建立相互協(xié)作的解決方案。

（2）價(jià)值交付：衡量信息安全治理價(jià)值交付的基準(zhǔn)是信息安全戰(zhàn)略能否按時(shí)、按質(zhì)并在預(yù)算內(nèi)實(shí)現(xiàn)預(yù)期的價(jià)值目標(biāo)。因此需要設(shè)計(jì)明確的價(jià)值目標(biāo)，對(duì)信息安全治理的交付價(jià)值進(jìn)行評(píng)估。

（3）資源管理：實(shí)現(xiàn)對(duì)支持信息運(yùn)行的關(guān)鍵資源進(jìn)行最優(yōu)化投資和最佳管理。

（4）風(fēng)險(xiǎn)管理：企業(yè)管理層應(yīng)具備足夠的風(fēng)險(xiǎn)意識(shí)，明確企業(yè)風(fēng)險(xiǎn)容忍度，制定風(fēng)險(xiǎn)管理策略，將風(fēng)險(xiǎn)管理融入到企業(yè)的日常運(yùn)營(yíng)中。

（5）績(jī)效度量：利用科學(xué)的管理方法，將信息安全治理轉(zhuǎn)換為可評(píng)價(jià)的目標(biāo)的行動(dòng)，便于對(duì)信息安全各項(xiàng)工作的績(jī)效進(jìn)行有效管理。

5 信息安全治理框架

通過良好的信息安全治理， 可以保護(hù)企業(yè)的信息資產(chǎn)，避免遭受各種威脅，降低對(duì)企業(yè)之傷害，確保企業(yè)的永續(xù)經(jīng)營(yíng)，以及提升企業(yè)投資回報(bào)率及競(jìng)爭(zhēng)優(yōu)勢(shì)。

通過長(zhǎng)期的實(shí)踐經(jīng)驗(yàn)以及結(jié)合COBIT標(biāo)準(zhǔn)和GB/T 22080-2008，總結(jié)出信息安全治理的框架主要由四部分組成，如圖1所示。

（1）信息安全戰(zhàn)略：結(jié)合企業(yè)的整體信息技術(shù)戰(zhàn)略規(guī)劃和信息安全治理現(xiàn)狀，制定信息安全戰(zhàn)略。

（2）信息安全組織架構(gòu)：根據(jù)企業(yè)層面在決策、管理和執(zhí)行機(jī)制對(duì)組織結(jié)構(gòu)的要求，建立信息安全治理框架和決策溝通機(jī)制，明確公司各級(jí)管理層及相關(guān)部門在信息安全組織架構(gòu)中的工作職責(zé)與角色定位。

（3）信息安全職責(zé)：根據(jù)公司信息安全組織架構(gòu)，進(jìn)一步明確信息安全相關(guān)崗位的工作職責(zé)、分工界面和匯報(bào)路徑等。

（4）信息安全管理制度：信息安全管理制度通過建立一個(gè)層次化的制度體系，針對(duì)不同的需求方（管理者、執(zhí)行者、檢查者等）從政策、制度、流程、規(guī)范和記錄等方面進(jìn)行信息安全活動(dòng)相關(guān)的規(guī)定，實(shí)現(xiàn)信息安全的功能和管理目標(biāo)。

6 信息安全治理評(píng)估

企業(yè)信息安全治理評(píng)估有助于提高信息安全治理投資的效益和效果。企業(yè)的最高管理層和管理執(zhí)行層可以使用信息安全治理成熟度模型建立企業(yè)的安全治理級(jí)別。該模型，如表2所示，被應(yīng)用為幾個(gè)方面。

（1）在市場(chǎng)環(huán)境中，相對(duì)于國際信息安全治理標(biāo)準(zhǔn)、行業(yè)最佳實(shí)踐，以及直接競(jìng)爭(zhēng)對(duì)手，了解企業(yè)在信息安全治理上的級(jí)別。

（2）進(jìn)行差距分析，為改進(jìn)措施提供明確的路徑。

（3）了解企業(yè)的競(jìng)爭(zhēng)優(yōu)勢(shì)和劣勢(shì)。

（4）有利于對(duì)信息安全治理進(jìn)行績(jī)效評(píng)估。

7 結(jié)束語

本文從企業(yè)信息安全治理的實(shí)踐出發(fā)，概述了目前企業(yè)信息安全治理存在的問題和困惑，總結(jié)了企業(yè)實(shí)現(xiàn)有效的信息治理的關(guān)注領(lǐng)域和實(shí)施內(nèi)容，為企業(yè)建立良好的信息安全治理提供了基本框架。

參考文獻(xiàn)

[1] 馬峰輝，劉壽強(qiáng).企業(yè)信息安全治理的經(jīng)濟(jì)性探析.計(jì)算機(jī)安全，2003：70-71.

[2] 婁策群，范昊，王菲.現(xiàn)代信息技術(shù)環(huán)境中的信息安全問題及其對(duì)策.中國圖書館學(xué)報(bào)，2000（11）：33-37.

[3] 劉金鎖，李筱煒，楊維永.企業(yè)實(shí)現(xiàn)有效的信息安全治理之路.中國管理信息化，2012（11）：37-39.

[4] 黃華軍，錢亮，王耀鈞.基于異常特征的釣魚網(wǎng)站URL檢測(cè)技術(shù)[J].信息網(wǎng)絡(luò)安全，2012，（01）：23-25.

[5] 黃世中.GF（2m）域SM2算法的實(shí)現(xiàn)與優(yōu)化[J].信息網(wǎng)絡(luò)安全，2012，（01）：36-39.

篇2

“中國企業(yè)員工的信息安全意識(shí)可謂不容樂觀，提升員工信息安全意識(shí)刻不容緩?！惫劝蔡煜赂笨偨?jīng)理魏彩霞對(duì)當(dāng)前企業(yè)員工的信息安全意識(shí)現(xiàn)狀表示擔(dān)憂，“不同行業(yè)的信息安全意識(shí)現(xiàn)狀不同，電信、金融等行業(yè)由于業(yè)務(wù)的特殊性，安全意識(shí)較高，而其他行業(yè)的信息安全意識(shí)整體狀況則依舊薄弱”。

調(diào)查顯示，接近50%的受訪者認(rèn)為單位領(lǐng)導(dǎo)的信息安全意識(shí)一般、很差或者還不如自己。而據(jù)魏彩霞介紹，一些企業(yè)中即使領(lǐng)導(dǎo)非常重視信息安全，希望提升員工的保密意識(shí)，但“只是看到別人的明文密碼導(dǎo)致信息泄漏就更改自己的網(wǎng)頁設(shè)置等單個(gè)事件，并不能系統(tǒng)地提升企業(yè)員工整體的信息安全意識(shí)”。

由于員工信息安全意識(shí)薄弱而給企業(yè)帶來災(zāi)難性損失的案例屢見不鮮。據(jù)統(tǒng)計(jì)，世界上每分鐘就有兩家企業(yè)因?yàn)樾畔踩膯栴}而倒閉。而在所有信息安全事件中，只有20%~30%是因?yàn)楹诳腿肭只蚱渌獠吭蛟斐桑硗?0%~80%是由于內(nèi)部員工的疏忽或有意泄漏造成，而78%的企業(yè)數(shù)據(jù)泄漏是由于內(nèi)部員工不規(guī)范的操作造成的。

篇3

關(guān)鍵詞：信息系統(tǒng)；安全管理措施；計(jì)算機(jī)網(wǎng)絡(luò)

中圖分類號(hào)：TU714文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)：

1.前言

當(dāng)今社會(huì)信息技術(shù)不斷發(fā)展，信息時(shí)代的到來以及不斷的發(fā)展給人們帶來了很多的便利，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)得到了非常廣泛的應(yīng)用，隨之而來的問題是計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全性，這個(gè)問題已經(jīng)成為了一個(gè)重要的時(shí)代課題，人們對(duì)于網(wǎng)絡(luò)信息系統(tǒng)的安全管理提出了更多的要求和建議，而另一方面信息時(shí)代的不斷發(fā)展的結(jié)果是社會(huì)上的信息傳輸量不斷的增加，而有一些部門的一些上網(wǎng)數(shù)據(jù)就得到了不同程度的破壞，嚴(yán)重還會(huì)造成公司信息的泄露，給公司的業(yè)務(wù)安全造成一定的影響。對(duì)于網(wǎng)絡(luò)中的信息，不法攻擊者能夠通過計(jì)算機(jī)病毒等各種形式盜取企業(yè)的信息，只要是信息存在于網(wǎng)絡(luò)中，都能夠被竊取，這種問題的出現(xiàn)使得很多企業(yè)或者是相關(guān)組織都受到了沉重的打擊，企業(yè)的信息安全性以及利益已經(jīng)收到了非常嚴(yán)重的威脅，所以在這種情況下網(wǎng)絡(luò)信息系統(tǒng)的安全性以及安全管理已經(jīng)成為了一個(gè)時(shí)代重要的研究課題，關(guān)系到一個(gè)企業(yè)甚至是整個(gè)社會(huì)的信息安全和正常運(yùn)作，解決好網(wǎng)絡(luò)信息系統(tǒng)的安全問題是確保當(dāng)前信息網(wǎng)絡(luò)正常運(yùn)行的基礎(chǔ)保障，能夠更好的為各行各業(yè)提供更加安全的信息系統(tǒng)管理，讓信息社會(huì)更加的安全。

2．國內(nèi)信息系統(tǒng)發(fā)展現(xiàn)狀以及存在的問題

企業(yè)對(duì)于一個(gè)國家經(jīng)濟(jì)的發(fā)展來說有著非常重要的作用，企業(yè)信息系統(tǒng)的建設(shè)關(guān)系到企業(yè)的發(fā)展，是一個(gè)企業(yè)在現(xiàn)代化社會(huì)站穩(wěn)腳步的必經(jīng)之路。當(dāng)前來說，近些年國內(nèi)很多企業(yè)都在不同程度上遇到過信息系統(tǒng)安全問題，有的甚至還因此受到了重大的打擊，我們國家從上世界八十年代開始國家相關(guān)部門才開始重視企業(yè)的信息系統(tǒng)建設(shè)，就是年代之后伴隨著互聯(lián)網(wǎng)等技術(shù)的飛速發(fā)展，企業(yè)更是意識(shí)到了這一點(diǎn)的重要性，開始投入大量的人力、物力以及財(cái)力去研究企業(yè)的信息系統(tǒng)。在當(dāng)今信息化迅猛發(fā)展的過程中，我們一方面應(yīng)該看到互聯(lián)網(wǎng)等技術(shù)的發(fā)展給信息化發(fā)展帶來的廣闊前景，同時(shí)另一方面還必須認(rèn)識(shí)到信息化時(shí)代所存在的問題，應(yīng)該及時(shí)的發(fā)現(xiàn)這些問題，對(duì)企業(yè)的信息系統(tǒng)進(jìn)行安全系統(tǒng)的管理，盡管國內(nèi)的一些企業(yè)認(rèn)識(shí)到了這些問題同時(shí)也都為此做出了很多努力，但是真正的效果并不是很理想，一些企業(yè)的信息系統(tǒng)實(shí)際上根本沒有起到安全管理企業(yè)信息的作用，這就在很大程度上證明了國內(nèi)的一些企業(yè)盡管都使用網(wǎng)絡(luò)信息系統(tǒng)，到那時(shí)信息系統(tǒng)的安全管理措施還都有待加強(qiáng)。

3.大型信息系統(tǒng)安全管理的措施分析

3.1信息系統(tǒng)結(jié)構(gòu)設(shè)計(jì)是關(guān)鍵因素

一個(gè)企業(yè)的信息系統(tǒng)的安全與否關(guān)系到一個(gè)企業(yè)信息的安全，而一個(gè)企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的安全關(guān)鍵在系統(tǒng)結(jié)構(gòu)是否設(shè)計(jì)的合理。一般情況下，大型的企業(yè)信息系統(tǒng)都會(huì)存在一些固有的網(wǎng)絡(luò)安全隱患，針對(duì)這些固有的網(wǎng)絡(luò)安全隱患可以采取以下安全管理措施：首先是網(wǎng)絡(luò)信息分段技術(shù)的使用，這項(xiàng)技術(shù)的使用能夠是大型的信息系統(tǒng)從源頭上排除信息安全隱患，針對(duì)企業(yè)網(wǎng)絡(luò)存在形式局域網(wǎng)，可以使用物理以及邏輯分段相結(jié)合的方法來實(shí)現(xiàn)信息系統(tǒng)的安全管理，這樣做的目的就是將企業(yè)以外未經(jīng)授權(quán)的非法用戶和一些對(duì)企業(yè)比較敏感的網(wǎng)絡(luò)資源進(jìn)行有效的分離，保證企業(yè)信息的安全流通；其次是集線器的更換，目前大多數(shù)信息系統(tǒng)出問題企業(yè)大型網(wǎng)絡(luò)都是使用的共享式的集線器，從這上面吸取教訓(xùn)，將共享式的集線器更換成交換式的集線器，這樣同樣是局域網(wǎng)的信息系統(tǒng)結(jié)構(gòu)，安全系數(shù)就大大的增加了。

3.2進(jìn)一步加強(qiáng)計(jì)算機(jī)的安全管理

大型的信息系統(tǒng)儲(chǔ)存的信息都是需要通過計(jì)算機(jī)來傳輸?shù)?，所以必須?duì)計(jì)算機(jī)進(jìn)行安全管理，這樣才能保證信息系統(tǒng)在傳輸信息的過程中不會(huì)出現(xiàn)安全問題。

3.2.1加強(qiáng)設(shè)備的管理

對(duì)于設(shè)備的管理首先需要確保計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的實(shí)體絕對(duì)安全，必須健全信息安全管理制度，防止企業(yè)之外未經(jīng)授權(quán)的非法用戶進(jìn)去到企業(yè)的信息系統(tǒng)中進(jìn)行非法行為，加強(qiáng)計(jì)算機(jī)軟硬件等相關(guān)連接設(shè)施的安全管理，不定期的對(duì)相關(guān)設(shè)施進(jìn)行維護(hù)管理。

3.2.2計(jì)算機(jī)病毒防護(hù)措施

第一：對(duì)于Windows的操作系統(tǒng)，要經(jīng)常性的對(duì)系統(tǒng)的漏洞進(jìn)行修補(bǔ)，做到隨時(shí)的補(bǔ)充漏洞，防止因?yàn)橄到y(tǒng)漏洞問題造成的信息安全問題。

第二：要經(jīng)常性的對(duì)企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)中的防病毒定義碼進(jìn)行及時(shí)的更新?lián)Q代升級(jí)，避免因?yàn)橛?jì)算機(jī)系統(tǒng)防病毒軟件出現(xiàn)問題造成的信息安全隱患。

第三：對(duì)于企業(yè)信息防火墻，首先必須進(jìn)行合理的布置，除此之外信息系統(tǒng)的安全管理策略要要個(gè)的掌握，盡量的及時(shí)關(guān)閉掉信息系統(tǒng)中不需要運(yùn)行的端口操作，用以防止非法用戶對(duì)信息系統(tǒng)的攻擊，同時(shí)計(jì)算機(jī)信息系統(tǒng)管理人員在及時(shí)的了解計(jì)算機(jī)應(yīng)用程序經(jīng)常使用的端口，避免不良運(yùn)行造成的系統(tǒng)故障。

第四：大型的信息系統(tǒng)的管理人員必須熟悉黑客的一般攻擊和相關(guān)規(guī)律手段，能夠?qū)诳偷囊话阈怨糇龀黾皶r(shí)的預(yù)警和防范。

3.2.3強(qiáng)化信息系統(tǒng)的訪問控制

3.2.3.1強(qiáng)化企業(yè)信息系統(tǒng)的訪問控制嫩鞏固保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。首先需要做的就是建立和企業(yè)信息系統(tǒng)的入網(wǎng)訪問相關(guān)的功能板塊，具體的是通過特定的網(wǎng)絡(luò)分段以及相關(guān)服務(wù)來建立屬于企業(yè)自身信息系統(tǒng)的訪問控制體系，這樣就能夠保證大部分的非法訪問都能夠在進(jìn)入信息系統(tǒng)之前被拒絕，強(qiáng)化企業(yè)信息系統(tǒng)的訪問控制是為企業(yè)的信息系統(tǒng)安全管理提供了第一層保護(hù)，通過這個(gè)設(shè)置企業(yè)可以設(shè)定具體的訪問對(duì)象，對(duì)于一些機(jī)密的信息可以不予共享，這樣即使是得到了企業(yè)的授權(quán)，對(duì)于一些重要的信息還是得不到訪問，具體的分為三個(gè)訪問過程，首先是用戶名的相關(guān)識(shí)別和驗(yàn)證，其次是口令識(shí)別和驗(yàn)證，最后是用戶賬號(hào)的識(shí)別驗(yàn)證，同時(shí)還需要保證三個(gè)環(huán)節(jié)都沒有出錯(cuò)才能對(duì)企業(yè)信息系統(tǒng)進(jìn)行訪問。

3.2.3.2需要建立企業(yè)信息網(wǎng)絡(luò)的權(quán)限控制板塊。對(duì)于企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的權(quán)限控制針對(duì)的是沒有經(jīng)過系統(tǒng)允許的非法訪問者所提供的一種安全保證措施，權(quán)限控制板塊具體針對(duì)三種類型的訪問：信息的特殊訪問用戶、信息的一般訪問用戶以及信息的審計(jì)者。

3.2.3.3需要建立企業(yè)信息系統(tǒng)的屬性安全服務(wù)模塊。對(duì)于企業(yè)信息系統(tǒng)的屬性的安全控制能夠就將特定屬性的信息和網(wǎng)絡(luò)服務(wù)器存儲(chǔ)的文件等聯(lián)系在一起，這樣就進(jìn)一步的增加了信息系統(tǒng)的安全系數(shù)。網(wǎng)絡(luò)屬性安全版塊易爆有下面幾種訪問權(quán)限：往某個(gè)特定的文件傳輸數(shù)據(jù)、復(fù)制一個(gè)特定的文件、對(duì)于文件目錄的刪除和查看、信息的共享以及系統(tǒng)相關(guān)屬性等，最重要的是能夠有效的保護(hù)信息系統(tǒng)中存在的重要的目錄以及機(jī)密文件，能夠有效的防止文件的遺失和更改。

3.2.3.4建立信息檔案的加密保護(hù)制度。主動(dòng)的對(duì)企業(yè)的信息通訊過程進(jìn)行加密，這樣能夠避免非法訪問者深入的了解信息系統(tǒng)的相關(guān)信息和運(yùn)行狀態(tài)，防止信息系統(tǒng)的數(shù)據(jù)泄露。

3.3信息系統(tǒng)穩(wěn)定性的安全管理

信息系統(tǒng)的安全運(yùn)行需要的是一個(gè)穩(wěn)定的環(huán)境和運(yùn)行狀態(tài)，所以必須對(duì)信息系統(tǒng)的穩(wěn)定性進(jìn)行安全管理：

3.3.1有關(guān)信息系統(tǒng)可靠性問題的安全管理

對(duì)于和信息系統(tǒng)的可靠性有關(guān)的系統(tǒng)安全問題，通?？梢允褂谩按疟P冗余陣列”或者是“雙機(jī)熱備”等方法來進(jìn)行安全管理，這主要是在企業(yè)信息出現(xiàn)遺失或者是顯示錯(cuò)誤的時(shí)候能夠保證相關(guān)信息的及時(shí)性恢復(fù)所作出的操作，同時(shí)還能夠進(jìn)一步的找出出現(xiàn)故障的原因并及時(shí)的解決問題。

3.3.2信息系統(tǒng)通訊故障造成的系統(tǒng)不穩(wěn)定

對(duì)于信息系統(tǒng)經(jīng)常出現(xiàn)的通訊故障，需要根據(jù)企業(yè)的具體狀況以及對(duì)于信息系統(tǒng)安全級(jí)別，使用備用信息系統(tǒng)線路，大型的信息系統(tǒng)的備用線路可以使很多條的，主要是為了能夠保證企業(yè)信息通訊線路的穩(wěn)定性，對(duì)于級(jí)別比較高信息系統(tǒng)來說，可以使用專線的方式保證系統(tǒng)穩(wěn)定性。

3.4基于RMS的信息系統(tǒng)安全管理模式

RMS信息管理模式（Rights Management System）是一種和相關(guān)的特定應(yīng)用程序進(jìn)行寫作來保護(hù)信息數(shù)據(jù)安全的一項(xiàng)新技術(shù)，能夠有效的保證重要信息文件、電子郵件以及信息系統(tǒng)儲(chǔ)存的信息安全的技術(shù)。對(duì)于大型的信息系統(tǒng)的安全管理人員來說可以嚴(yán)格的規(guī)定能夠打開企業(yè)文件、讀取相關(guān)信息以及修改特定內(nèi)容的人群，能夠有效的保證組織的創(chuàng)建權(quán)限，是確保具體實(shí)施的用戶能夠應(yīng)用于信息內(nèi)容的策略。

4.結(jié)論

信息化的發(fā)展給社會(huì)帶來的是巨大的進(jìn)步，同時(shí)對(duì)于信息系統(tǒng)的安全管理也是同時(shí)存在的時(shí)代問題，保證大型信息系統(tǒng)的安全運(yùn)行，關(guān)系到一個(gè)企業(yè)甚至是社會(huì)信息的安全，所以必須有一套真正有效的安全管理措施保證信息系統(tǒng)的安全運(yùn)行，希望文章的觀點(diǎn)能夠?yàn)榇俗龀鲐暙I(xiàn)。

參考文獻(xiàn)：

[1]余志偉.面向業(yè)務(wù)過程的信息系統(tǒng)安全需求識(shí)別方法及其關(guān)鍵技術(shù)研究[D];浙江大學(xué);2009年

[2]吳保林.試論計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全管理[J]電腦知識(shí)與技術(shù);2011年24期

[3]肖國煜.信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)實(shí)踐[J]信息網(wǎng)絡(luò)安全;2011年07期

[4]武俊芳,鄭秋生.重要信息系統(tǒng)安全測(cè)評(píng)工具的研究與設(shè)計(jì)[A]計(jì)算機(jī)研究新進(jìn)展（2010）——河南省計(jì)算機(jī)學(xué)會(huì)2010年學(xué)術(shù)年會(huì)論文集[C];2010年

篇4

信息系統(tǒng)安全現(xiàn)狀堪憂

隨著企業(yè)業(yè)務(wù)系統(tǒng)信息化程度的不斷提升，為了保證企業(yè)信息的安全，各企業(yè)都十分重視安全系統(tǒng)建設(shè)，但是由于不同時(shí)期實(shí)施的安全系統(tǒng)缺乏統(tǒng)一的密碼安全標(biāo)準(zhǔn)，使安全系統(tǒng)處于獨(dú)立狀態(tài)，不能進(jìn)行有效整合，不利于業(yè)務(wù)系統(tǒng)之間安全信息交換和設(shè)備共享等。

首先安全系統(tǒng)重復(fù)建設(shè)，增加了企業(yè)運(yùn)營(yíng)成本。各業(yè)務(wù)系統(tǒng)獨(dú)立建設(shè)安全系統(tǒng)，導(dǎo)致企業(yè)內(nèi)部安全系統(tǒng)大量存在，增加了業(yè)務(wù)系統(tǒng)建設(shè)的難度，也增加了企業(yè)的運(yùn)營(yíng)成本。同時(shí)各業(yè)務(wù)系統(tǒng)的設(shè)計(jì)人員對(duì)安全的認(rèn)識(shí)不一致，導(dǎo)致各安全系統(tǒng)自成體系，安全強(qiáng)度不易衡量，使企業(yè)整體運(yùn)行風(fēng)險(xiǎn)難以控制。而各業(yè)務(wù)系統(tǒng)使用的安全強(qiáng)度和密鑰長(zhǎng)度不同，使得企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)互聯(lián)互通性降低。其次在開發(fā)過程中大量使用單一硬件密碼設(shè)備，對(duì)密碼設(shè)備廠商產(chǎn)生嚴(yán)重的依賴，并且業(yè)務(wù)系統(tǒng)開發(fā)時(shí)沒有考慮資源共享，每個(gè)業(yè)務(wù)系統(tǒng)都單獨(dú)建設(shè)安全系統(tǒng)以及采購硬件密碼設(shè)備，導(dǎo)致安全系統(tǒng)大量存在，安全設(shè)備大量堆積，安全系統(tǒng)無法資源共享，難于集中管理和維護(hù)。

針對(duì)企業(yè)安全系統(tǒng)當(dāng)前現(xiàn)狀，目前迫切需要對(duì)企業(yè)內(nèi)部眾多安全系統(tǒng)進(jìn)行有效整合，加強(qiáng)安全系統(tǒng)資源共享，減少安全系統(tǒng)的重復(fù)建設(shè)，從而創(chuàng)造更大的社會(huì)價(jià)值。

得安公司專注信息安全十余年，是國內(nèi)最早專注于商用密碼理論研究及技術(shù)應(yīng)用的企業(yè)之一，目前得安安全產(chǎn)品體系已覆蓋硬件產(chǎn)品、標(biāo)準(zhǔn)接口、認(rèn)證/授權(quán)服務(wù)、安全應(yīng)用等多個(gè)層面。在技術(shù)更新一日千里，外部環(huán)境復(fù)雜多變的今天，得安公司依托得安研究院，專注于信息安全核心密碼理論與技術(shù)，及應(yīng)用安全領(lǐng)域的創(chuàng)新研究工作，為金融、政府、通訊、能源、交通等領(lǐng)域的重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)提供軟硬件一體化的信息安全保障服務(wù)。

統(tǒng)籌規(guī)劃 搭建安全平臺(tái)

得安密碼安全云服務(wù)平臺(tái)是基于得安公司多年的安全集成開發(fā)經(jīng)驗(yàn)，于2004年開始研制一款基于云計(jì)算關(guān)鍵技術(shù)的高性能密碼平臺(tái)。

平臺(tái)將多款高端密碼設(shè)備和軟件中間件技術(shù)有機(jī)融合，以高安全性、高效率、高穩(wěn)定性為目標(biāo)，以先進(jìn)的分布式計(jì)算和并行處理技術(shù)為核心，是國內(nèi)最早的、最穩(wěn)定的、最先進(jìn)的密碼安全云服務(wù)平臺(tái)。

該平臺(tái)面向金融、證券、能源等具有高安全性和高性能需求的電子商務(wù)、電子政務(wù)領(lǐng)域應(yīng)用，成功解決了傳統(tǒng)的單一密碼產(chǎn)品的分散性、低效率、脆弱性等關(guān)鍵問題，大大提高了密碼安全服務(wù)系統(tǒng)的穩(wěn)健性、高效性和成熟性。其已應(yīng)用于中國建設(shè)銀行、中國郵政儲(chǔ)蓄銀行等多家金融單位，是國內(nèi)最成熟、應(yīng)用最廣泛的密碼安全云服務(wù)平臺(tái)。得安于2004年開始為中國建設(shè)銀行開發(fā)的信息安全基礎(chǔ)項(xiàng)目，以服務(wù)平臺(tái)的方式為各信息系統(tǒng)開發(fā)項(xiàng)目提供信息加/解密、密碼校驗(yàn)、數(shù)據(jù)完整性校驗(yàn)、數(shù)字簽名與驗(yàn)簽和密鑰管理等安全機(jī)制，為建行信息系統(tǒng)的開發(fā)、推廣和維護(hù)提供了統(tǒng)一的安全基礎(chǔ)。2004年到2014年已完成七期項(xiàng)目的建設(shè)，目前正在進(jìn)行新一代密碼服務(wù)平臺(tái)的開發(fā)。并且平臺(tái)目前已經(jīng)在建行EAIH、EAIB、ECTIP等三十多個(gè)信息系統(tǒng)中推廣應(yīng)用，為建行業(yè)務(wù)發(fā)展提供了強(qiáng)有力的安全支持和安全保障。而從2009年開始，密碼安全云服務(wù)平臺(tái)便在中國郵政儲(chǔ)蓄銀行POS系統(tǒng)中推廣，中國郵政儲(chǔ)蓄銀行密碼安全云服務(wù)平臺(tái)已經(jīng)完成在全國包括35個(gè)一級(jí)省行、門戶網(wǎng)站、IC卡系統(tǒng)、儲(chǔ)蓄全國中心等系統(tǒng)的上線工作，目前系統(tǒng)運(yùn)行良好，項(xiàng)目三期工程正在建設(shè)中。

密碼安全云服務(wù)平臺(tái)采用層次設(shè)計(jì)原則，通過統(tǒng)一的安全平臺(tái)提供密鑰管理服務(wù)、密碼運(yùn)算服務(wù)、密碼設(shè)備管理服務(wù)等，通過簡(jiǎn)單易用的開發(fā)接口和組件屏蔽密碼運(yùn)算和密鑰管理的底層實(shí)現(xiàn)細(xì)節(jié)。平臺(tái)提供多算法支持，支持多臺(tái)異構(gòu)加密機(jī)并行提供密碼運(yùn)算服務(wù)；程序設(shè)計(jì)采用模塊化設(shè)計(jì)原則，遵循模塊內(nèi)緊內(nèi)聚、模塊間松耦合的設(shè)計(jì)原理。

在保障系統(tǒng)安全穩(wěn)健、高效成熟的同時(shí)，創(chuàng)造了良好的經(jīng)濟(jì)效益和社會(huì)效益，可有效解決企業(yè)安全子系統(tǒng)重復(fù)建設(shè)、密碼設(shè)備大量冗余、難以維護(hù)等問題，榮獲中國建設(shè)銀行金融科技進(jìn)步一等獎(jiǎng)和中國人民銀行科技發(fā)展三等獎(jiǎng)。

專業(yè)成就優(yōu)勢(shì)

得安公司專注信息安全領(lǐng)域，十余年內(nèi)不斷的積累經(jīng)驗(yàn)、突破創(chuàng)新，專業(yè)成就顯著，優(yōu)勢(shì)突出。其密碼安全云服務(wù)平臺(tái)可統(tǒng)一安全系統(tǒng)，降低業(yè)務(wù)系統(tǒng)資源投入。密碼安全云服務(wù)平臺(tái)通過為業(yè)務(wù)系統(tǒng)提供統(tǒng)一的密碼安全服務(wù)，減少了企業(yè)各業(yè)務(wù)系統(tǒng)在安全系統(tǒng)開發(fā)中的投入，企業(yè)各業(yè)務(wù)系統(tǒng)由原來的單獨(dú)開發(fā)安全系統(tǒng)到使用統(tǒng)一的安全系統(tǒng)，減少了重復(fù)開發(fā)帶來的資源重復(fù)投入。

安全系統(tǒng)集中管理，降低業(yè)務(wù)系統(tǒng)維護(hù)成本。密碼安全云服務(wù)平臺(tái)為企業(yè)業(yè)務(wù)系統(tǒng)提供統(tǒng)一的密碼安全服務(wù)，平臺(tái)由專門的人員進(jìn)行維護(hù)，各業(yè)務(wù)系統(tǒng)不需專門對(duì)安全系統(tǒng)進(jìn)行維護(hù)，降低了企業(yè)業(yè)務(wù)系統(tǒng)的維護(hù)成本。同時(shí)可靈活選擇硬件加密設(shè)備，降低業(yè)務(wù)系統(tǒng)運(yùn)行風(fēng)險(xiǎn)。密碼安全云服務(wù)平臺(tái)通過管理和調(diào)度多個(gè)廠商多個(gè)型號(hào)的硬件加密設(shè)備為業(yè)務(wù)系統(tǒng)提供統(tǒng)一的密碼運(yùn)算服務(wù)，使業(yè)務(wù)系統(tǒng)對(duì)硬件加密設(shè)備的選擇具有更高的自由度，降低了業(yè)務(wù)系統(tǒng)對(duì)單一廠商硬件加密設(shè)備的依賴。

豐富的安全開發(fā)接口，提高業(yè)務(wù)系統(tǒng)整體的可集成性。密碼安全云服務(wù)平臺(tái)為業(yè)務(wù)系統(tǒng)提供功能強(qiáng)大的安全開發(fā)接口，業(yè)務(wù)系統(tǒng)程序無需重新開發(fā)安全接口，只需集成該接口就可以實(shí)現(xiàn)對(duì)密碼安全服務(wù)的透明引用。

降低系統(tǒng)耦合度，提高業(yè)務(wù)系統(tǒng)穩(wěn)定性。業(yè)務(wù)系統(tǒng)程序通過調(diào)用安全開發(fā)接口透明引用密碼安全云服務(wù)平臺(tái)的安全服務(wù)，降低了業(yè)務(wù)系統(tǒng)和安全系統(tǒng)的耦合度，提高了業(yè)務(wù)系統(tǒng)的穩(wěn)定性。

統(tǒng)一安全策略，安全系統(tǒng)實(shí)時(shí)監(jiān)控，安全設(shè)備靈活配置，提高業(yè)務(wù)系統(tǒng)安全強(qiáng)度。

安全創(chuàng)造價(jià)值

篇5

觀安信息目前面向各大中型企業(yè)，特別是通信行業(yè)、金融行業(yè)以及政府機(jī)關(guān)，為各大企業(yè)實(shí)施全程安全服務(wù)和保障，包括風(fēng)險(xiǎn)評(píng)估、安全解決方案設(shè)計(jì)、安全規(guī)劃和安全工程實(shí)施等。同時(shí)，在“互聯(lián)網(wǎng)+”的思想引領(lǐng)下，針對(duì)移動(dòng)互聯(lián)網(wǎng)安全、虛擬化平臺(tái)構(gòu)建、云安全標(biāo)準(zhǔn)設(shè)計(jì)、安全大數(shù)據(jù)趨勢(shì)分析、預(yù)警防御體系設(shè)計(jì)等方面也有建樹，具有先進(jìn)性和獨(dú)創(chuàng)性的安全大數(shù)據(jù)場(chǎng)景設(shè)計(jì)能力。

觀安信息從2015年開始，不斷完善發(fā)展有關(guān)大數(shù)據(jù)信息安全平臺(tái)是相關(guān)技術(shù)，陸續(xù)獲得各類獎(jiǎng)項(xiàng)和證書。如下所示：2015年7月獲得ISO9001質(zhì)量管理體系認(rèn)證證書，2015年8月獲得國家信息安全測(cè)評(píng)信息安全服務(wù)資質(zhì)證書安全工程類一級(jí)，2015年9月獲得CNCERT授權(quán)證書，2016年1月成為聯(lián)合國訓(xùn)練研究所上海國際培訓(xùn)中心大數(shù)據(jù)應(yīng)用與安全培訓(xùn)基地，2016年3月成為上海市信息安全行業(yè)協(xié)會(huì)會(huì)員單位，2016年4月獲得上海市誠信創(chuàng)建企業(yè)稱號(hào)，2016年4月成為上海市軟件行業(yè)協(xié)會(huì)第七屆理事會(huì)會(huì)員，2016年5月獲得2016年度中國大數(shù)據(jù)安全行業(yè)杰出軟件開發(fā)商獎(jiǎng)，2016年6月獲得國家信息安全測(cè)評(píng)信息安全服務(wù)資質(zhì)證書風(fēng)險(xiǎn)評(píng)估類一級(jí)，2016年6月獲得國家信息安全測(cè)評(píng)信息安全服務(wù)資質(zhì)證書安全開發(fā)類一級(jí)。

觀安信息業(yè)務(wù)范圍廣泛，在安全大數(shù)據(jù)，信息安全服務(wù)項(xiàng)目，智能電網(wǎng)云安全，數(shù)據(jù)模糊化產(chǎn)品，安全運(yùn)維操作審計(jì)等領(lǐng)域都有所成就。下面介紹其中兩個(gè)業(yè)務(wù)：

安全大數(shù)據(jù)項(xiàng)目旨在利用Hadoop技術(shù)搭建大數(shù)據(jù)分析平臺(tái)，采用基于Hadoop架構(gòu)的數(shù)據(jù)采集、預(yù)處理、統(tǒng)計(jì)及分析、挖掘等技術(shù)來對(duì)全網(wǎng)設(shè)備、應(yīng)用，以及網(wǎng)絡(luò)中的各類操作數(shù)據(jù)進(jìn)行全面的關(guān)聯(lián)分析、安全審計(jì)。

信息安全服務(wù)項(xiàng)目是觀安信息和某大型國有集團(tuán)的一次具有里程碑意義的合作。該國有企業(yè)作為上海市國有企業(yè)中唯一以園區(qū)開發(fā)和園區(qū)配套設(shè)施建設(shè)為主業(yè)的功能類企業(yè)，由于需要面向園區(qū)提供基礎(chǔ)IT服務(wù)，因此也將信息安全放在了首位。并且，根據(jù)國家國資委針對(duì)國企提出實(shí)施信息安全等級(jí)保護(hù)工作的要求：上海市國資委信息化水平評(píng)價(jià)中也將信息安全單列為重要考核內(nèi)容，且明確“加強(qiáng)信息安全工作”是2016年市國資委企業(yè)信息化推進(jìn)重點(diǎn)工作之一。同時(shí)，市保密局對(duì)國企的保密安全檢查日趨嚴(yán)格，并不斷加強(qiáng)保密管理問責(zé)制。在這樣的背景下，觀安信息成功配合該集團(tuán)實(shí)施了一次全面的信息安全風(fēng)險(xiǎn)評(píng)估。

觀安信息在較短時(shí)間內(nèi)，利用其深厚的信息安全功底，結(jié)合面向大數(shù)據(jù)信息安全的新技術(shù)新業(yè)務(wù)的創(chuàng)新能力，不斷贏得客戶贊譽(yù)。

篇6

摘要：近些年來,我國電力建設(shè)速度明顯加快,在加大對(duì)電力基礎(chǔ)設(shè)施投入的同時(shí),我國也在電力信息化方面加大了投入,現(xiàn)今我國在電力信息化方面應(yīng)經(jīng)初具規(guī)模,在電力生產(chǎn)、電力銷售、管理等方面都得到了應(yīng)用，在享受電力信息化帶來的便利的同時(shí)，怎樣做好在信息化方面的保障工作，使其能夠建立合理的電力信息化的安全保障體系是一項(xiàng)繁重的任務(wù)。本文將就電力信息化的現(xiàn)狀以及如何建立合理的安全保障體系進(jìn)行闡述。

關(guān)鍵詞：電力信息化；安全保障體系

中圖分類號(hào)：TM76 文獻(xiàn)標(biāo)識(shí)碼：A

近些年來，我國在加強(qiáng)對(duì)電力系統(tǒng)的建設(shè)投入的基礎(chǔ)上開展了電力系統(tǒng)的電力體制改革，隨著這項(xiàng)改革的深入，企業(yè)對(duì)電力信息化的需求越來越強(qiáng)烈。下文將就電力信息化的現(xiàn)狀以及如何建立合理的安全保障體系進(jìn)行闡述。

1 電力信息化安全體系簡(jiǎn)介

1.1電力信息化簡(jiǎn)介。電力工業(yè)生產(chǎn)過程包括電力工業(yè)規(guī)劃、設(shè)計(jì)、施工、生產(chǎn)發(fā)電、輸電、變電、配電、電網(wǎng)調(diào)度、供電營(yíng)銷、物資及管理等環(huán)節(jié)。電力信息化是指電子、計(jì)算機(jī)、網(wǎng)絡(luò)等信息技術(shù)在電力工業(yè)規(guī)劃、設(shè)計(jì)、施工、生產(chǎn)發(fā)電、輸電、變電、配電、電網(wǎng)調(diào)度、供電營(yíng)銷、物資及管理等環(huán)節(jié)應(yīng)用全過程的統(tǒng)稱，是電力工業(yè)在電子信息技術(shù)的驅(qū)動(dòng)下由傳統(tǒng)工業(yè)向高度集約化、高度知識(shí)化、高度技術(shù)化工業(yè)轉(zhuǎn)變的過程。計(jì)算機(jī)信息通信網(wǎng)絡(luò)是電力信息化的技術(shù)，各類電力資源的開發(fā)和利用是電力信息化的核心，提高電力企業(yè)的經(jīng)營(yíng)決策水平和經(jīng)濟(jì)效益是電力信心化的核心，提高電力企業(yè)的經(jīng)營(yíng)決策水平和經(jīng)濟(jì)效益是電力信息化的宗旨，其本質(zhì)是加強(qiáng)電力企業(yè)的“核心競(jìng)爭(zhēng)力”。電力企業(yè)信息化包括生產(chǎn)過程自動(dòng)哈和管理信息化兩個(gè)方面。

1.2我國電力信息化發(fā)展現(xiàn)狀。我國自上世紀(jì)60年代開始在發(fā)電廠和變電站自動(dòng)監(jiān)測(cè)、控制等方面應(yīng)用電力信息化，進(jìn)入90年代后信息技術(shù)應(yīng)用進(jìn)一步發(fā)展到綜合應(yīng)用，由操作層面向管理層面延伸，實(shí)現(xiàn)管理信息化，建立各級(jí)企業(yè)的管理信息化。我國的電力信息化發(fā)展從原來的單機(jī)、單項(xiàng)目向網(wǎng)絡(luò)化、整體性、綜合性應(yīng)用發(fā)展，從局部應(yīng)用發(fā)展到全局應(yīng)用，從單機(jī)運(yùn)行發(fā)展到網(wǎng)絡(luò)化運(yùn)行，同時(shí)其它專項(xiàng)應(yīng)用系統(tǒng)也進(jìn)一步發(fā)展到更高的水平，現(xiàn)今，我國的電力信息化建設(shè)已納入企業(yè)總體發(fā)展戰(zhàn)略，信息化進(jìn)一步與電力企業(yè)的生產(chǎn)、管理與經(jīng)營(yíng)融合。

1.3電力信息化的安全保障體系。電力信息化安全保障體系建立的目的是為了建立在網(wǎng)絡(luò)上的電力系統(tǒng)的信息的安全，保障這些信息不會(huì)被非法用戶登陸、查看甚至是修改，因?yàn)橐坏┮陨线@些現(xiàn)象發(fā)生將會(huì)造成巨大的損失。同時(shí)需要對(duì)合法用戶提供安全、可信的信息服務(wù)。

2 電力信息化的安全保障體系的簡(jiǎn)介

2.1電力信息化安全保障的意義。進(jìn)入新時(shí)代，網(wǎng)絡(luò)信息安全問題得到了廣泛的重視，像前段時(shí)間美國的“棱鏡門”事件，更是加劇了民眾對(duì)于信息安全的擔(dān)憂，我國現(xiàn)今已經(jīng)建成了廣發(fā)的網(wǎng)絡(luò)的應(yīng)用，我國是信息化應(yīng)用方面的大國，而非強(qiáng)國，來自于網(wǎng)絡(luò)上的攻擊威脅著我國金融、電信、電力等行業(yè)的安全，而電力行業(yè)是一個(gè)國家基礎(chǔ)行業(yè)，更應(yīng)加強(qiáng)信息安全方面的投入，建立起相應(yīng)的信息化的安全保障體系，抵御來自于網(wǎng)絡(luò)方面攻擊，提高電力信息化方面抗風(fēng)險(xiǎn)能力。

2.2電力信息化安全保障方面存在的問題。近些年來，我國雖然加大了對(duì)于電力信息化安全保障方面的投入，但是在電力信心化安全保障方面還是存在著一些問題：（1）信息安全意識(shí)薄弱。由于信息安全是存在著看不見摸不著且無法定義的弊端，造成企業(yè)單位及個(gè)人對(duì)于信息安全方面的意識(shí)不足，同時(shí)由于對(duì)于信息安全形式認(rèn)識(shí)方面的不足造成很對(duì)的人對(duì)于信息安全方面的忽視。（2）沒有常態(tài)化的信息安全保障工作，在信息安全方面各個(gè)單位及個(gè)人沒有在日常工作中落實(shí)到實(shí)處，僅僅在上級(jí)領(lǐng)導(dǎo)及上級(jí)單位檢查時(shí)應(yīng)付為主。（3）對(duì)于電力信息化的安全保障工作在信息安全運(yùn)作機(jī)制不完善。（4）各地對(duì)于信息保障工作的完成度不同，由于電力企業(yè)的辦公地理位置分散，因此在信息化安全保障體系的建設(shè)方面需要投入的人力巨大，而且由于各地對(duì)于信息化的運(yùn)行維護(hù)、保障體系管理缺乏一定的經(jīng)驗(yàn)以及相應(yīng)的規(guī)范，因此，在信息化建假設(shè)維護(hù)方面各地進(jìn)度不一，落后的地方的信息化安全方面的建設(shè)將會(huì)成為整體建設(shè)方面的短板。（5）由于在電力信息化安全方面的經(jīng)驗(yàn)不足，造成在設(shè)計(jì)相關(guān)的系統(tǒng)安全方面時(shí)經(jīng)驗(yàn)不足，設(shè)計(jì)方案漏洞較多。

2.3電力信息化建設(shè)面臨威脅?，F(xiàn)今網(wǎng)絡(luò)中面臨多方面威脅，而電力企業(yè)信息安全面臨的風(fēng)險(xiǎn)有病毒木馬、非法篡改信息、信息泄露、服務(wù)癱瘓等方面威脅。

3 電力信息化安全保障體系的建立

3.1加緊制定相應(yīng)的信息安全策略。信息安全策略是電力系統(tǒng)解決信息安全問題最重要的步驟，也是電力系統(tǒng)整個(gè)信息安全體系的基礎(chǔ)。電力系統(tǒng)最主要的管理文件就是信息安全策略，信息安全策略明確規(guī)定需要保護(hù)什么，為什么需要保護(hù)和由誰進(jìn)行保護(hù)；沒有合理信息安全策略，再好的信息安全專家和安全工具也沒有價(jià)值。電力系統(tǒng)的信息安全策略可以反映出電力系統(tǒng)對(duì)現(xiàn)實(shí)安全威脅和未來安全風(fēng)險(xiǎn)的預(yù)期，也可反映出組織內(nèi)部業(yè)務(wù)人員和技術(shù)人員對(duì)安全風(fēng)險(xiǎn)認(rèn)識(shí)與應(yīng)對(duì)。

3.2加強(qiáng)對(duì)于電力信息化的信息安全管理。電力系統(tǒng)的信息安全管理中存在著諸多問題，例如：（1）信息安全管理部門的不作為，雖然相關(guān)的機(jī)構(gòu)建立起來了但是并未發(fā)揮相應(yīng)的作用。（2）員工對(duì)于信息安全的認(rèn)知不夠，并未樹立起全員信息安全意識(shí)，（3）相應(yīng)的安全管理職責(zé)劃分不明，沒有建立起風(fēng)險(xiǎn)管理控制機(jī)制等。

應(yīng)當(dāng)建立起定期的巡檢制度，每個(gè)月進(jìn)行排查，提交月報(bào)，同時(shí)需要對(duì)員工加強(qiáng)關(guān)于電力信息化安全方面的講座，將電力信息化安全缺失造成的危害對(duì)員工進(jìn)行詳細(xì)的接收，提高員工對(duì)于電力信息化安全的認(rèn)識(shí)，做好相關(guān)的安全工作。

3.3保證電力信息安全的技術(shù)措施

通過建立統(tǒng)一IDE身份認(rèn)證和訪問控制方式來對(duì)登陸用戶進(jìn)行身份認(rèn)證，同時(shí)需要對(duì)網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行加密措施，應(yīng)使用加解密、數(shù)字簽名、消息認(rèn)證碼等手段進(jìn)行保護(hù)。但現(xiàn)今電力企業(yè)中的通信過程都未采取加密、數(shù)字簽名等安全措施。同時(shí)需要建立起對(duì)于病毒、攻擊等的防范措施。加強(qiáng)對(duì)于信息化安全的保障。

結(jié)語

電力是一個(gè)國家的基礎(chǔ)，因此我們需要加強(qiáng)對(duì)于電力信息化的安全保障體系的建設(shè)，確保電力信息系統(tǒng)安全、可靠、穩(wěn)定、高效地運(yùn)行。

篇7

1 引言

隨著計(jì)算機(jī)和網(wǎng)絡(luò)通信技術(shù)的快速發(fā)展，信息技術(shù)越來越多地被應(yīng)用于銀行各項(xiàng)業(yè)務(wù)，銀行可以為客戶提供“3A”（Anytime，Anywhere，Anyway）服務(wù)，信息技術(shù)在給業(yè)務(wù)辦理帶來巨大方便、高效的同時(shí)，也帶來了極大的信息安全隱患。從一般概念上來講，網(wǎng)絡(luò)信息安全主要指網(wǎng)絡(luò)信息的完整性、保密性、可用性、真實(shí)性和不可抵賴性。但是銀行作為一個(gè)特殊的機(jī)構(gòu)關(guān)乎國家經(jīng)濟(jì)命脈和人民生活，銀行信息安全自然非常重要，它是指銀行信息系統(tǒng)的軟硬件資源及其數(shù)據(jù)受到嚴(yán)格保護(hù)，不受惡意的或偶然的原因而遭到更改、破壞、泄露，系統(tǒng)可持續(xù)穩(wěn)定可靠地運(yùn)行，信息服務(wù)不間斷。銀行信息安全是銀行業(yè)務(wù)開展的基礎(chǔ)，是銀行經(jīng)營(yíng)穩(wěn)健運(yùn)行的保障。

2 我國銀行信息安全的現(xiàn)狀

自1998年3月6日，中國銀行業(yè)務(wù)系統(tǒng)第一次成功辦理電子商務(wù)交易，從此開始了中國內(nèi)地網(wǎng)上銀行業(yè)務(wù)發(fā)展的序幕。近年來，我國銀行業(yè)的信息系統(tǒng)經(jīng)歷了地震、泥石流等各種各樣的考驗(yàn)，充分說明了我國大陸銀行業(yè)信息系統(tǒng)建設(shè)取得了一定成績(jī)，同時(shí)監(jiān)管層也頒布了《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》、《關(guān)于進(jìn)一步加強(qiáng)銀行業(yè)金融機(jī)構(gòu)信息安全保障工作的指導(dǎo)意見》等政策法規(guī)。目前，各大銀行已經(jīng)意識(shí)到網(wǎng)絡(luò)信息安全的重要性，成立了信息安全專門管理機(jī)構(gòu)，并在信息安全管理機(jī)構(gòu)內(nèi)養(yǎng)一些專業(yè)人才，并增加了信息安全的投入。

雖然中國銀行業(yè)在信息安全建設(shè)方面取得了佳績(jī)，但是銀行信息安全危險(xiǎn)依然存在，銀行信息安全保障依然不能忽視。據(jù)了解，國內(nèi)網(wǎng)絡(luò)犯罪案件呈現(xiàn)逐年上升的態(tài)勢(shì)，其中銀行信息安全方面的犯罪率達(dá)到了60%以上。據(jù)互聯(lián)網(wǎng)新聞報(bào)道，2009年上海農(nóng)商銀行信息系統(tǒng)出現(xiàn)故障，區(qū)域內(nèi)大量營(yíng)業(yè)網(wǎng)點(diǎn)無法正常辦理業(yè)務(wù)；2010年2月3日中國民生銀行網(wǎng)絡(luò)信息系統(tǒng)出現(xiàn)長(zhǎng)達(dá)4小時(shí)的系統(tǒng)故障，全國范圍內(nèi)無法辦理業(yè)務(wù)；2014年2月支付寶員工在信息系統(tǒng)的后臺(tái)下載了大量客戶信息有償出售給其他電商公司。上述事件嚴(yán)重影響了人民的利益，對(duì)金融企業(yè)的形象和聲譽(yù)造成了極大的負(fù)面影響，充分暴露出銀行業(yè)機(jī)構(gòu)在網(wǎng)絡(luò)信息安全領(lǐng)域有較大隱患，不容小覷。

3 銀行信息安全存在的問題

銀行信息安全系統(tǒng)的建設(shè)是一個(gè)龐大復(fù)雜的工程，大部分工作牽扯到銀行業(yè)務(wù)管理水平和信息安全技術(shù)，目前無論從系統(tǒng)管理的角度還是從安全技術(shù)水平的角度，銀行信息安全方面都存在著較多問題，下面從這兩個(gè)方面展開論述。

3.1 從業(yè)務(wù)管理的角度看銀行信息安全存在的問題

⑴對(duì)信息安全的認(rèn)識(shí)不到位，信息安全的意識(shí)觀念薄弱

銀行業(yè)的信息安全問題，首先是意識(shí)和觀念的問題。不管是管理層還是底層員工，能認(rèn)識(shí)到網(wǎng)絡(luò)信息安全的重要性，熟悉信息安全的基本內(nèi)容和具體工作要求是非常重要的。人們往往認(rèn)為信息安全的核心安全性取決于核心技術(shù)，其實(shí)這種思想是錯(cuò)誤的，信息安全首先取決于基本規(guī)范的實(shí)施和安全手段的應(yīng)用。

⑵重視信息安全產(chǎn)品的投入而忽視管理投入，應(yīng)急預(yù)案不完備

網(wǎng)絡(luò)信息安全投入不完全是安全產(chǎn)品和工具的投入，還應(yīng)包括操作流程、應(yīng)急處理機(jī)制策略等方面的投入，還必須配套與安全產(chǎn)品有相適應(yīng)的過程管理機(jī)制。建立合理的流程管理機(jī)制需要投入，這些投入與安全體系的完整性有著緊密的聯(lián)系，否則報(bào)警無人處理、入侵無人響應(yīng)，效果并不理想。應(yīng)急預(yù)案的覆蓋范圍必須足夠廣，制定規(guī)范性、系統(tǒng)性應(yīng)急預(yù)案并進(jìn)行實(shí)踐檢驗(yàn)，部分應(yīng)急預(yù)案的制定與銀行實(shí)際工作情況沒有關(guān)聯(lián)，側(cè)重于應(yīng)急預(yù)案的形式，而不注重應(yīng)急演練實(shí)踐檢驗(yàn)，極少有銀行機(jī)構(gòu)做到模擬真實(shí)場(chǎng)景進(jìn)行應(yīng)急演練和評(píng)估風(fēng)險(xiǎn)。

⑶銀行缺少信息安全管理的復(fù)合型人才

金融管理離不開管理方面的人才，金融企業(yè)信息安全管理需要復(fù)合型人才，這種復(fù)合型人才必須熟悉計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)，又要懂銀行業(yè)務(wù)流程和信息安全風(fēng)險(xiǎn)防范知識(shí)。目前，這種復(fù)合型人才還比較少。各大銀行的信息安全專業(yè)技術(shù)人員大部分都是畢業(yè)于計(jì)算機(jī)或相關(guān)專業(yè)，他們對(duì)計(jì)算機(jī)專業(yè)知識(shí)相對(duì)比較了解，但是對(duì)銀行業(yè)務(wù)的工作流程和信息系統(tǒng)潛在威脅的把握還不夠。

3.2從專業(yè)技術(shù)角度看銀行信息安全存在的問題

⑴銀行使用的軟件安全性比較弱

由于計(jì)算機(jī)應(yīng)用軟件是銀行內(nèi)部信息的載體，所以軟件本身的質(zhì)量相當(dāng)重要。目前銀行業(yè)務(wù)系統(tǒng)的軟件體系，包括項(xiàng)目管理系統(tǒng)和軟件開發(fā)生命周期都只注重軟件功能、開發(fā)速度和市場(chǎng)，很少考慮安全的需要?，F(xiàn)在發(fā)現(xiàn)管理和技術(shù)上存在的安全威脅，主要出現(xiàn)在應(yīng)用軟件安全設(shè)計(jì)上。

⑵系統(tǒng)漏洞和信息泄密

所謂漏洞一般是指系統(tǒng)設(shè)計(jì)開發(fā)人員在軟件開發(fā)的時(shí)候，故意設(shè)置的。這樣做的目的是為了保證銀行從業(yè)人員在某些特殊情況下失去系統(tǒng)訪問權(quán)限時(shí)可以順利進(jìn)入系統(tǒng)，正是因這些軟件漏洞的存在，給銀行業(yè)務(wù)系統(tǒng)帶來了信息安全威脅，這樣就會(huì)造成信息的泄露。其次，銀行的內(nèi)部職工最熟悉金融企業(yè)的計(jì)算機(jī)應(yīng)用系統(tǒng)，他們知道那些操作能使計(jì)算機(jī)系統(tǒng)出現(xiàn)故障、損壞或泄密。某些時(shí)候金融企業(yè)裁員也可能導(dǎo)致計(jì)算機(jī)泄密，當(dāng)裁員時(shí)某些系統(tǒng)賬號(hào)沒有及時(shí)刪除，也可能導(dǎo)致重要敏感信息的泄露。

⑶計(jì)算機(jī)黑客的惡意入侵

網(wǎng)絡(luò)黑客是一些具備較強(qiáng)計(jì)算機(jī)專業(yè)技術(shù)知識(shí)的愛好者，他們可以在他人無法察覺的情況下，利用計(jì)算機(jī)設(shè)備侵入一些重要行業(yè)的計(jì)算機(jī)系統(tǒng)，并從中獲的有價(jià)值信息或破壞信息系統(tǒng)。大多數(shù)的網(wǎng)絡(luò)黑客主要利用計(jì)算機(jī)軟件系統(tǒng)的漏洞來入侵信息系統(tǒng)，入侵方法高明且多種多樣，并且入侵手段更新速度也很快，從而使現(xiàn)有的計(jì)算機(jī)系統(tǒng)安全產(chǎn)品很難及時(shí)做出相應(yīng)的預(yù)防，進(jìn)而導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)經(jīng)常遭到網(wǎng)絡(luò)黑客的侵入。

⑷計(jì)算機(jī)病毒和木馬

計(jì)算機(jī)病毒是目前信息安全主要威脅因素之一，而且現(xiàn)在的計(jì)算機(jī)病毒千奇百怪，多種多樣。計(jì)算機(jī)病毒是一些計(jì)算機(jī)愛好者刻意編寫的程序代碼，具有類似于生物病毒的破壞性、傳染性、隱蔽性等特點(diǎn)。為了保證銀行計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行，應(yīng)重視防范病毒。另外還有就是木馬程序，木馬程序是一種由攻擊者悄悄安裝在受害人計(jì)算機(jī)上的竊聽及控制程序，通常包括控制端和被控制端兩個(gè)部分，被控制端程序通過網(wǎng)絡(luò)或其他介質(zhì)植入受害人計(jì)算機(jī)，控制端程序則安裝在不法分子的計(jì)算機(jī)設(shè)備上，利用控制端遠(yuǎn)程的和被控制端傳送數(shù)據(jù)，以竊取受害人計(jì)算機(jī)上的資源，盜取個(gè)人信息和各種重要敏感數(shù)據(jù)，給單位和個(gè)人造成相當(dāng)大的損失。

⑸災(zāi)備措施不完善和基礎(chǔ)設(shè)施故障

銀行的災(zāi)難備份和恢復(fù)能力必須進(jìn)一步加強(qiáng)，中國銀行業(yè)的災(zāi)備系統(tǒng)類型比較單一，覆蓋面還較小，尤其缺乏系統(tǒng)的災(zāi)難恢復(fù)方案。正因?yàn)檫@些情況的存在，導(dǎo)致了各種各樣的自然災(zāi)害發(fā)生后，無法立刻啟動(dòng)應(yīng)急預(yù)案并快速切換到備份系統(tǒng)，所以才會(huì)出現(xiàn)長(zhǎng)達(dá)數(shù)小時(shí)的信息服務(wù)中斷。計(jì)算機(jī)基礎(chǔ)設(shè)施可以說是任何計(jì)算機(jī)系統(tǒng)安全運(yùn)行的保障，當(dāng)基礎(chǔ)設(shè)施出現(xiàn)故障后，勢(shì)必會(huì)造成信息服務(wù)的中斷，同時(shí)這種情況的發(fā)生是不可預(yù)知的?；A(chǔ)設(shè)施的出現(xiàn)故障的原因比較復(fù)雜而且多樣化，具體包括服務(wù)器電源故障、網(wǎng)線老化、通信中斷等。

4 銀行信息安全風(fēng)險(xiǎn)的應(yīng)對(duì)策略與建議

從以上關(guān)于我國銀行信息安全問題的分析可以知，構(gòu)建一套可行的銀行信息系統(tǒng)安全保障體系和方法，加強(qiáng)防范信息安全風(fēng)險(xiǎn)勢(shì)在必行。因此，應(yīng)做好以下方面的工作。

⑴認(rèn)真做好相關(guān)專業(yè)人員的安全意識(shí)教育，而且常抓不懈

銀行內(nèi)部比須加強(qiáng)信息安全監(jiān)管和懲戒力度，明確法律責(zé)任，將信息安全的責(zé)任落實(shí)到每個(gè)相關(guān)人員，出現(xiàn)問題誰負(fù)責(zé)追究誰，將違規(guī)操作的可能性降到最低。對(duì)于銀行而言，任何的數(shù)據(jù)和客戶信息都非常重要，必須有嚴(yán)格的保密規(guī)定，但是常常在實(shí)際工作中出現(xiàn)這樣那樣的小問題，因此要強(qiáng)化內(nèi)部員工的安全意識(shí)教育和信息安全基礎(chǔ)知識(shí)培訓(xùn)，此項(xiàng)工作必須常抓不懈，然后將相關(guān)內(nèi)容整理成冊(cè)，定期的學(xué)習(xí)考核。必要時(shí)，有機(jī)會(huì)接觸重要信息的員工在進(jìn)入崗位之前必須做出書面承諾，保密承諾要包括重要信息的范圍以及泄密需要承擔(dān)的相應(yīng)責(zé)任，使每一個(gè)能接觸重要信息的人員明確信息泄露的危害。同時(shí)通過培訓(xùn)，提高所有參與管理的人員信息安全和風(fēng)險(xiǎn)防范意識(shí)，關(guān)鍵是要重點(diǎn)培養(yǎng)信息安全的業(yè)務(wù)骨干。

⑵建立與災(zāi)備體系相適應(yīng)的應(yīng)急管理機(jī)制，兩者缺一不可

日常生活中突發(fā)事件是不可預(yù)知的，尤其是各種各樣的自然災(zāi)害，其破壞力比較大。如果銀行能事先把預(yù)防措施做到位，做到防患于未然，就可以最大限度地減少經(jīng)濟(jì)損失，保證人民財(cái)產(chǎn)不受損失，保障國家經(jīng)濟(jì)安全運(yùn)行。首先是要建立完善的應(yīng)急預(yù)案機(jī)制，有針對(duì)性的強(qiáng)化應(yīng)急演練，對(duì)各種自然災(zāi)害事件進(jìn)行全面有效的風(fēng)險(xiǎn)評(píng)估，分類制定科學(xué)的應(yīng)急方案，開展接近于實(shí)際情況的模擬應(yīng)急訓(xùn)練，及時(shí)評(píng)估應(yīng)急演練的效果，做到突發(fā)事件發(fā)生時(shí)無死角，有的放矢，同時(shí)通過應(yīng)急演練檢驗(yàn)應(yīng)急預(yù)案的實(shí)用性、合理性、可行性。接下就是建立與應(yīng)急機(jī)制相適應(yīng)的災(zāi)難備份恢復(fù)系統(tǒng)，提高業(yè)務(wù)可持續(xù)性。大型的銀行要積極建設(shè)“兩地三中心”，中小型銀行可以考慮選擇災(zāi)難備份外包服務(wù)，使銀行具備抵御火災(zāi)、地震、暴雨等自然災(zāi)害的能力。全面促進(jìn)業(yè)務(wù)系統(tǒng)的連續(xù)性，著實(shí)增強(qiáng)銀行防范風(fēng)險(xiǎn)能力。

⑶加大銀行信息安全復(fù)合型人才的培養(yǎng)力度，拓寬培養(yǎng)渠道

任何科技工作都必須以人才為重心。為了徹底清除銀行信息化建設(shè)中的障礙，切實(shí)保障金融企業(yè)信息安全，各大銀行要大力培養(yǎng)信息安全復(fù)合型人才。首先根據(jù)各單位信息安全的人員結(jié)構(gòu)和知識(shí)結(jié)構(gòu)，在強(qiáng)化信息安全專業(yè)知識(shí)教育的同時(shí)，還要兼顧計(jì)算機(jī)專業(yè)知識(shí)和金融業(yè)務(wù)知識(shí)的培訓(xùn)，而且此項(xiàng)工作必須長(zhǎng)期堅(jiān)持，做好人才儲(chǔ)備。在人才培養(yǎng)的同時(shí)還要與實(shí)踐相結(jié)合，在學(xué)習(xí)各類信息安全知識(shí)的前提條件下，組織參與培訓(xùn)專業(yè)人員針對(duì)信息安全制度進(jìn)行實(shí)踐檢驗(yàn)。

⑷敏感重要數(shù)據(jù)務(wù)必加密，同時(shí)安裝殺毒軟件

首先，加密是確保信息安全的關(guān)鍵技術(shù)之一。越來越多的數(shù)據(jù)要求銀行的業(yè)務(wù)系統(tǒng)在選擇加密方式時(shí)要盡可能的有多種數(shù)據(jù)防護(hù)需求，在已有的加密方式下，多模加密技術(shù)是較好的選擇。多模加密技術(shù)是將非對(duì)稱加密算法（如RSA）和對(duì)稱加密算法（如DES和AES）相結(jié)合，在確保數(shù)據(jù)安全的同時(shí)，其多模的特性可以根據(jù)需求選擇對(duì)稱或非對(duì)稱加密方式。另外防范計(jì)算機(jī)病毒最有效的措施就在銀行的各類計(jì)算機(jī)系統(tǒng)中安裝正版的防病毒軟件，力爭(zhēng)做到病毒防范無死角無遺漏，并且確保殺毒軟件能實(shí)時(shí)更新病毒庫。對(duì)于新購置的軟件和類似于U盤的存儲(chǔ)介質(zhì)，在使用前銀行員工須使用殺毒軟件進(jìn)行全面的病毒掃描，確認(rèn)安全之后方可使用。

⑸進(jìn)一步推進(jìn)銀行信息化技術(shù)法規(guī)和標(biāo)準(zhǔn)化體系建設(shè)

結(jié)合銀行信息化發(fā)展的實(shí)際需要，以各種方式協(xié)作，分層次和有序的加快銀行信息化技術(shù)規(guī)范和標(biāo)準(zhǔn)的建設(shè)進(jìn)度。組織完善數(shù)據(jù)中心建設(shè)、數(shù)據(jù)存儲(chǔ)、網(wǎng)絡(luò)互連、安全加密、數(shù)據(jù)交換、安全認(rèn)證、客戶服務(wù)方面標(biāo)準(zhǔn)的制定。對(duì)網(wǎng)上銀行、移動(dòng)銀行、電子商務(wù)等創(chuàng)新產(chǎn)品和服務(wù)，制定與之相適應(yīng)的標(biāo)準(zhǔn)和規(guī)范。同時(shí)，建立科學(xué)的監(jiān)督策略，通過制度建設(shè)，強(qiáng)化技術(shù)標(biāo)準(zhǔn)和規(guī)范的執(zhí)行強(qiáng)度。

篇8

關(guān)鍵詞：信息安全；計(jì)算機(jī)；安全

我國信息安全發(fā)展的大環(huán)境目前已日臻完善，成立了全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)、國家計(jì)算機(jī)病毒應(yīng)急處理協(xié)調(diào)中心等機(jī)構(gòu)。另外，我國信息安全政策法規(guī)、標(biāo)準(zhǔn)制定也已經(jīng)走入規(guī)范化進(jìn)程。但信息安全是一個(gè)征途而不是一個(gè)目的地。新的技術(shù)，新的業(yè)務(wù)需求和新的安全威脅不斷地改變環(huán)境。

由于計(jì)算機(jī)和國際互聯(lián)網(wǎng)的飛速普及，中國目前已經(jīng)成為炙手可熱的黑客攻擊目標(biāo)。全球每天約有200萬臺(tái)PC機(jī)處于隨時(shí)可能被攻擊的失控狀態(tài)，而其中有20%的PC機(jī)來自中國。據(jù)公安部對(duì)全國信息網(wǎng)絡(luò)安全狀況和計(jì)算機(jī)病毒疫情調(diào)查顯示，我國信息網(wǎng)絡(luò)安全事件發(fā)生比例為62.7%，計(jì)算機(jī)病毒感染率為85.5％，多次發(fā)生網(wǎng)絡(luò)安全事件的比例為50％，多次感染病毒的比例為66.8％，可見，我國信息安全體系安全性何等脆弱。筆者通過對(duì)目前信息安全體系安全現(xiàn)狀進(jìn)行分析并初探解決對(duì)策，希望能對(duì)信息安全體系的發(fā)展有所作用。

一、信息安全存在的幾大安全現(xiàn)狀和威脅

第一，前期，微軟對(duì)中國Winxp、office用戶反盜版黑屏事件已炒得沸沸揚(yáng)揚(yáng)，但反思后可得知：計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)使用的軟、硬件很大一部分是國外產(chǎn)品，我國電腦制造業(yè)對(duì)許多硬件核心部件的研發(fā)、生產(chǎn)能力很弱，關(guān)鍵部件完全處于受制于人的地位。并且對(duì)引進(jìn)的信息技術(shù)和設(shè)備缺乏保護(hù)信息安全所必不可少的有效管理和技術(shù)改造。一旦發(fā)生重大情況，那些隱藏在電腦芯片和操作軟件中的后門就有可能在某種秘密指令下激活，造成國內(nèi)電腦網(wǎng)絡(luò)、電信系統(tǒng)癱瘓。

第二，全社會(huì)的信息安全意識(shí)雖然有所提高，但將其提到實(shí)際日程中來的依然很少。國家計(jì)算機(jī)病毒應(yīng)急處理協(xié)調(diào)中心進(jìn)行的多次安全普查和評(píng)估中發(fā)現(xiàn)許多公司和企業(yè)，甚至敏感單位的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)基本處于不設(shè)防狀態(tài)。有的即使其網(wǎng)絡(luò)系統(tǒng)已由專業(yè)的安全服務(wù)商為其制定了安全策略，但在一定時(shí)間后，由于在網(wǎng)絡(luò)的使用中發(fā)現(xiàn)沒有以前的方便，便私自更改安全策略，等一旦遭到攻擊已是悔之晚矣。

第三，目前關(guān)于網(wǎng)絡(luò)犯罪的法律還不健全。比如盜竊、刪改他人系統(tǒng)信息屬于犯罪行為，但僅僅是觀看，既不進(jìn)行破壞，也不謀取私利算不算犯罪？還比如網(wǎng)上有很多BBS，黑客在上邊討論軟件漏洞、攻擊手段等，這既可以說是技術(shù)研究，也可以說是提供攻擊工具，這又算不算犯罪呢？國內(nèi)很多網(wǎng)站在遭到攻擊后損失慘重，為保證客戶對(duì)其的信任，為名譽(yù)起見往往并不積極追究黑客的法律責(zé)任，這種“姑息養(yǎng)奸”的做法就進(jìn)一步助長(zhǎng)了黑客的囂張氣焰。

第四，信息安全人才培養(yǎng)體系雖已初步形成，但隨著信息化進(jìn)程加快和計(jì)算機(jī)的廣泛應(yīng)用，電子商務(wù)、電子政務(wù)和電子金融的發(fā)展，對(duì)信息安全專門人才的培養(yǎng)提出了更高要求，目前我國信息安全人才培養(yǎng)還遠(yuǎn)遠(yuǎn)不能滿足需要。

第五，我國信息安全產(chǎn)業(yè)水平有待提高。一是安全應(yīng)用需求不明，產(chǎn)業(yè)技術(shù)推動(dòng)性、應(yīng)用針對(duì)性不夠，國內(nèi)安全需求得不到很好滿足；二是產(chǎn)品過度集中，低水平重復(fù)嚴(yán)重。三是核心技術(shù)仍然受到制約，產(chǎn)業(yè)化水平較低，產(chǎn)品安全質(zhì)量令人擔(dān)憂。

二、解決方案初探：

象火災(zāi)防范工作的防消結(jié)合一樣，合理的信息安全系統(tǒng)需要滿足兩方面的要求，首先是要把計(jì)算機(jī)網(wǎng)絡(luò)安全事件的發(fā)生率和損失可能性控制在可以接受的較低范圍內(nèi)，其次是要使信息安全事故可以得到及時(shí)處理。

1、信息安全基礎(chǔ)設(shè)施的必要性

盡管安全產(chǎn)品不是萬能的，配置各種安全產(chǎn)品并不能解決安全問題，但計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)需要一些基礎(chǔ)的保護(hù)設(shè)施。任何安全措施都建立在一定軟硬件環(huán)境基礎(chǔ)下，有很多安全機(jī)制是操作系統(tǒng)和網(wǎng)絡(luò)軟件產(chǎn)品本身已經(jīng)具備的，而也有很多安全功能是需要專門安全產(chǎn)品才能實(shí)現(xiàn)的。因此需要根據(jù)用戶的實(shí)際網(wǎng)絡(luò)環(huán)境和應(yīng)用情況，決定配置那些安全產(chǎn)品。

2、信息安全專業(yè)服務(wù)的必要性

任何一種安全產(chǎn)品所能提供的服務(wù)都是有限的，也是不全面的，要有效發(fā)揮操作系統(tǒng)、應(yīng)用軟件和安全產(chǎn)品的安全功能，必須進(jìn)行全面的檢測(cè)、合理的配置和適當(dāng)?shù)膬?yōu)化，才能使整個(gè)安全系統(tǒng)良好地運(yùn)轉(zhuǎn)起來。而實(shí)現(xiàn)這些嚴(yán)密的安全措施需要第三方的專業(yè)信息安全人員的參與并發(fā)揮主要作用。鑒于未來網(wǎng)絡(luò)威脅的嚴(yán)重性和信息戰(zhàn)的可能性，建立主動(dòng)性的信息安全防御體系已經(jīng)成為先進(jìn)國家的研究重點(diǎn)之一，而主動(dòng)性安全防御體系中最重要的環(huán)節(jié)是一支專業(yè)化的信息安全服務(wù)力量。

三、結(jié)論：信息安全問題具有動(dòng)態(tài)性，必須統(tǒng)籌兼顧，常抓不懈。

計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)軟硬件和應(yīng)用情況在不斷更新。引入新設(shè)備、新軟件和新的應(yīng)用，都會(huì)帶來新的安全問題。攻擊技術(shù)每天都在發(fā)展，新的攻擊機(jī)制不斷出現(xiàn)，新的攻擊機(jī)制決定了新病毒和新的黑客攻擊手段會(huì)對(duì)原本已經(jīng)比較安全的系統(tǒng)造成新的威脅。只有堅(jiān)持對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行有計(jì)劃的，長(zhǎng)期進(jìn)行的評(píng)估和審計(jì)工作，才能保證最新的技術(shù)隱患會(huì)被及時(shí)識(shí)別和解決。如果不結(jié)合這些新的技術(shù)動(dòng)態(tài)、人員動(dòng)態(tài)和管理動(dòng)態(tài)進(jìn)行定期的安全性評(píng)估，原本搭建好的安全體系將處于不可控的狀態(tài)。

參考文獻(xiàn)：

[1] 徐國芹. 淺議如何建立企業(yè)信息安全體系架構(gòu)[J]. 中國高新技術(shù)企業(yè), 2009, (05) .

[2] 陳偉,向麗,劉爽,郭偉,謝明政. 企業(yè)信息安全體系架構(gòu)[J]. 石油地球物理勘探, 2008, (S1) .

篇9

IT治理面臨的挑戰(zhàn)

在中國經(jīng)濟(jì)強(qiáng)勁增長(zhǎng)的背后，企業(yè)的業(yè)務(wù)發(fā)展與創(chuàng)新對(duì)IT的依賴程度越來越高。但是正如汽車需要保養(yǎng)一樣，IT系統(tǒng)同樣需要類似的保養(yǎng)、優(yōu)化與管理（IT治理與風(fēng)險(xiǎn)管理），這時(shí)IT系統(tǒng)才不會(huì)宕機(jī)、不會(huì)泄露商業(yè)機(jī)密、不違反法規(guī)遵從，從而保證IT與業(yè)務(wù)目標(biāo)的一致性。缺乏IT治理與風(fēng)險(xiǎn)管理的企業(yè)所面臨的風(fēng)險(xiǎn)是巨大的。IBM軟件集團(tuán)大中華區(qū)總經(jīng)理Bete F. Demeke認(rèn)為，環(huán)境的變化對(duì)于今天的IT治理提出了眾多的挑戰(zhàn)。

對(duì)于今天的中國企業(yè)而言，隨著市場(chǎng)變化腳步的加快，企業(yè)員工的流動(dòng)性也變得越來越強(qiáng)，隨之而來的是信息安全風(fēng)險(xiǎn)上升的平衡問題。由于人員的流動(dòng)，企業(yè)信息系統(tǒng)內(nèi)的數(shù)據(jù)可能面臨與前文案例企業(yè)一樣的風(fēng)險(xiǎn)，包括數(shù)據(jù)丟失、數(shù)據(jù)泄露、數(shù)據(jù)被更改等。

除了員工流動(dòng)性增強(qiáng)外，企業(yè)的全球化拓展也是中國企業(yè)當(dāng)前的一個(gè)顯著特征，國家工商行政管理總局的統(tǒng)計(jì)數(shù)據(jù)顯示，2006年有5000多家中國投資實(shí)體在海外172個(gè)國家和地區(qū)建立了1萬多家公司，2008年這一數(shù)字還在快速增加?？焖贁U(kuò)展也給企業(yè)帶來眾多IT治理和風(fēng)險(xiǎn)管理方面的難題：海內(nèi)外系統(tǒng)業(yè)務(wù)連續(xù)性、各級(jí)系統(tǒng)訪問安全控制、不同國家地區(qū)的法規(guī)遵從……

一些中國公司雖然已經(jīng)在海外拓展了業(yè)務(wù)，但是國內(nèi)外的業(yè)務(wù)連續(xù)性始終無法保證，最后導(dǎo)致企業(yè)經(jīng)營(yíng)失敗。類似的問題，隨著中國市場(chǎng)快速變化和企業(yè)信息化進(jìn)程的深入，已經(jīng)成為企業(yè)必須面對(duì)的挑戰(zhàn)。

服務(wù)管理是治理基礎(chǔ)

到今天，相信所有的IT管理人員都能了解IT治理的重要性。而如何成功實(shí)現(xiàn)IT治理，則涉及到服務(wù)管理、安全和業(yè)務(wù)容災(zāi)性三個(gè)方面的內(nèi)容。不同企業(yè)的側(cè)重也不同。

對(duì)于上海電信這類企業(yè)來講，他們需要解決的是多系統(tǒng)引發(fā)的應(yīng)用復(fù)雜性提升的問題；對(duì)于中化集團(tuán)來講，他們需要解決支持業(yè)務(wù)連續(xù)性的災(zāi)備問題；而對(duì)于交通銀行而言，他們可能最需要解決的是授權(quán)不當(dāng)引發(fā)的信息安全漏洞問題。

針對(duì)上述種種問題，IBM軟件集團(tuán)亞太區(qū)Tivoli軟件總經(jīng)理Mitchell Young表示，IT服務(wù)管理是成功實(shí)現(xiàn)IT治理的基礎(chǔ)，企業(yè)首先應(yīng)當(dāng)建立起組織服務(wù)的管理能力，而IBM認(rèn)為成功的服務(wù)管理必須具備三個(gè)要素：實(shí)現(xiàn)IT和業(yè)務(wù)的可視化、可控化和自動(dòng)化。

實(shí)際工作中，企業(yè)管理層、業(yè)務(wù)部門和運(yùn)維部門以及合作伙伴都期望在各自的權(quán)限范圍內(nèi)，實(shí)時(shí)“看到”同自己相關(guān)的企業(yè)業(yè)務(wù)和IT運(yùn)行狀況，為企業(yè)決策提供及時(shí)準(zhǔn)確的信息、避免業(yè)務(wù)風(fēng)險(xiǎn)和危機(jī)，從而保證業(yè)務(wù)連續(xù)性與業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)，這就是IBM強(qiáng)調(diào)的IT和業(yè)務(wù)的可視化。

可視化的核心是指企業(yè)應(yīng)當(dāng)對(duì)業(yè)務(wù)和IT實(shí)現(xiàn)全面可視。對(duì)此，IBM提出了IT業(yè)務(wù)儀表板（Business of IT Dashboard）解決方案。它是一個(gè)基于資產(chǎn)評(píng)估的服務(wù)套件，通過幫助客戶評(píng)估其當(dāng)前IT治理領(lǐng)域的優(yōu)缺點(diǎn)，為企業(yè)提供系統(tǒng)各級(jí)用戶完整視圖，幫助企業(yè)外部客戶了解業(yè)務(wù)相關(guān)信息，以幫助他們規(guī)劃和管理在線行為，從而實(shí)現(xiàn)IT業(yè)績(jī)與企業(yè)業(yè)績(jī)同步。

而對(duì)于資產(chǎn)控制而言，企業(yè)期望IT不僅僅是在控制IT資產(chǎn)，還應(yīng)當(dāng)有效管理和控制非IT資產(chǎn)，進(jìn)而幫助企業(yè)提升資產(chǎn)使用率和投資回報(bào)率。該愿望與IBM強(qiáng)調(diào)的IT和業(yè)務(wù)可控性不謀而合。

Gartner認(rèn)為，有效的企業(yè)資產(chǎn)管理（EAM）在第一年中將為企業(yè)帶來30%的成本降低，并在未來的5年內(nèi)持續(xù)帶來5%到10%的節(jié)省。而來源于一家全球知名金融雜志的調(diào)查顯示：在大多數(shù)企業(yè)中，只有40%的企業(yè)資產(chǎn)可以很好地被描述并很快被找到，未實(shí)現(xiàn)對(duì)另外60%企業(yè)資產(chǎn)進(jìn)行管控的原因主要是由企業(yè)的底層架構(gòu)缺乏管控導(dǎo)致的。

因此，IBM全球信息科技服務(wù)部大中華區(qū)資訊咨詢服務(wù)部總經(jīng)理李雅弼認(rèn)為，僅專注于IT基礎(chǔ)架構(gòu)的管理已不能滿足企業(yè)的需要，企業(yè)不但需要實(shí)現(xiàn)對(duì)IT基礎(chǔ)架構(gòu)、網(wǎng)絡(luò)環(huán)境的管理，更需要實(shí)現(xiàn)對(duì)包括企業(yè)業(yè)務(wù)資產(chǎn)等在內(nèi)所有業(yè)務(wù)元素的管理。比如醫(yī)院，發(fā)電機(jī)也是重要資產(chǎn)，它對(duì)醫(yī)院的不間斷服務(wù)發(fā)揮著重要作用，也對(duì)IT系統(tǒng)起到應(yīng)急支撐作用。因此，IBM服務(wù)管理解決方案中是將IT資產(chǎn)與非IT資產(chǎn)進(jìn)行統(tǒng)一管理和監(jiān)控的。

IT和業(yè)務(wù)的自動(dòng)化則是指IT系統(tǒng)應(yīng)當(dāng)通過整合的IT流程和自動(dòng)化工具支持企業(yè)關(guān)鍵業(yè)務(wù)流程，從而降低人力成本和人為因素造成的風(fēng)險(xiǎn)，提升企業(yè)敏捷性。IBM的一項(xiàng)調(diào)查顯示，CIO的預(yù)算清單中，約32%花費(fèi)在人力成本上。也就是說，目前企業(yè)主要是由人力來完成IT的運(yùn)營(yíng)和維護(hù)。

“IBM服務(wù)管理解決方案將從IT角度協(xié)助企業(yè)實(shí)現(xiàn)業(yè)務(wù)服務(wù)和流程的自動(dòng)化。”李雅弼說，“在改進(jìn)服務(wù)質(zhì)量的同時(shí)，幫助企業(yè)提升IT生產(chǎn)力?！?/p>

五點(diǎn)切入實(shí)現(xiàn)三化

IT和業(yè)務(wù)的可視化、可控化和自動(dòng)化無疑是所有企業(yè)都期望獲得的，但是通過哪些手段去實(shí)現(xiàn)卻是一個(gè)難題。對(duì)此，IBM總結(jié)提出了實(shí)現(xiàn)三化的五個(gè)切入點(diǎn)：IT運(yùn)維、安全運(yùn)維、存儲(chǔ)運(yùn)維、企業(yè)運(yùn)維和運(yùn)營(yíng)商運(yùn)維。

對(duì)于電力、能源等需要大規(guī)模IT系統(tǒng)支撐日常業(yè)務(wù)運(yùn)轉(zhuǎn)的企業(yè)而言，從IT運(yùn)維角度切入實(shí)現(xiàn)IT和業(yè)務(wù)的可視化、可控化和自動(dòng)化顯得更為合適。此時(shí)，服務(wù)管理能夠覆蓋到服務(wù)提供和流程自動(dòng)化、服務(wù)可用性和性能、SOA管理等方面，通過對(duì)服務(wù)提供和流程自動(dòng)化的治理，可有效優(yōu)化成本控制與服務(wù)交付質(zhì)量；通過對(duì)服務(wù)可用性和性能的治理，能夠讓企業(yè)從響應(yīng)式管理轉(zhuǎn)化到前瞻性管理，從而優(yōu)化IT基礎(chǔ)架構(gòu)利用率和服務(wù)可用率；而通過對(duì)SOA管理的治理，則將為企業(yè)提供一個(gè)敏捷、高性能和安全的Web服務(wù)基礎(chǔ)架構(gòu)。

對(duì)于類似交通銀行這樣的金融機(jī)構(gòu)來講，它們可能最需要解決的是授權(quán)不當(dāng)引發(fā)的信息安全漏洞的問題。因此，從安全運(yùn)維角度切入，服務(wù)管理將有效覆蓋安全、風(fēng)險(xiǎn)和法規(guī)遵從等方面，從而有效規(guī)避來自內(nèi)部和外部的對(duì)數(shù)據(jù)、系統(tǒng)和應(yīng)用的威脅。

中化集團(tuán)在實(shí)現(xiàn)以ERP為核心，包括內(nèi)部辦公自動(dòng)化系統(tǒng)、分銷管理系統(tǒng)、內(nèi)部門戶等系統(tǒng)在內(nèi)的企業(yè)信息化平臺(tái)建設(shè)后，迫切需要實(shí)現(xiàn)支持業(yè)務(wù)連續(xù)性的容災(zāi)能力。此時(shí)從存儲(chǔ)運(yùn)維角度切入顯得更為合適，這樣能夠更好地建立高彈性的存儲(chǔ)基礎(chǔ)架構(gòu)，保護(hù)有價(jià)值的信息資產(chǎn)并符合數(shù)據(jù)保護(hù)策略，支撐業(yè)務(wù)連續(xù)運(yùn)行。

篇10

一、前言

1.背景

2013年被認(rèn)為是互聯(lián)網(wǎng)金融的元年，這一年，支付寶的余額寶打頭陣，帶動(dòng)了互聯(lián)網(wǎng)金融的開花。接著中國互聯(lián)網(wǎng)另外兩個(gè)巨頭騰訊和百度也相繼進(jìn)入互聯(lián)網(wǎng)金融，從理財(cái)、第三方支付到設(shè)立銀行，互聯(lián)網(wǎng)金融以勢(shì)不可擋之勢(shì)快速發(fā)展?；ヂ?lián)網(wǎng)金融的發(fā)展必然沖擊傳統(tǒng)金融領(lǐng)域，商業(yè)銀行不得不觸網(wǎng)，因?yàn)樵诖蟪眮砼R時(shí)，不前進(jìn)就是后退。

“互聯(lián)網(wǎng)+銀行”已經(jīng)成為不可逆轉(zhuǎn)的潮流，傳統(tǒng)商業(yè)銀行向“互聯(lián)網(wǎng)+銀行”轉(zhuǎn)型邁進(jìn)的步伐正在加快，風(fēng)險(xiǎn)管理作為商業(yè)銀行生存和發(fā)展的核心競(jìng)爭(zhēng)力之一，也需要適應(yīng)"互聯(lián)網(wǎng)+"所帶來的各種沖擊和變化?；ヂ?lián)網(wǎng)是一個(gè)工具，是一把雙刃劍。利用得好，商業(yè)銀行的風(fēng)險(xiǎn)管理機(jī)制將得到顯著優(yōu)化，提升企業(yè)業(yè)績(jī)；反之則可能增加風(fēng)險(xiǎn)，降低利潤(rùn)。

2.互聯(lián)網(wǎng)+對(duì)商業(yè)銀行風(fēng)險(xiǎn)管理的影響

互聯(lián)網(wǎng)金融作為一種工具，對(duì)商業(yè)銀行的內(nèi)外環(huán)境產(chǎn)生了深遠(yuǎn)的影響。

互聯(lián)網(wǎng)金融的發(fā)展，普惠金融產(chǎn)生，客觀促進(jìn)了利率市場(chǎng)化。商業(yè)銀行的廉價(jià)資金大幅減少，存貸利差減少，成本增加。商業(yè)銀行利潤(rùn)率降低，收入增長(zhǎng)放緩，甚至減少。為了使商業(yè)銀行利潤(rùn)實(shí)現(xiàn)持續(xù)增長(zhǎng)，商業(yè)銀行不得不創(chuàng)新金融產(chǎn)品，提高風(fēng)險(xiǎn)偏好，改變業(yè)務(wù)模式，商業(yè)銀行的風(fēng)險(xiǎn)可能會(huì)因此增加，需要商業(yè)銀行相應(yīng)的提升風(fēng)險(xiǎn)管理能力。

二、互聯(lián)網(wǎng)+對(duì)商業(yè)銀行風(fēng)險(xiǎn)管理的挑戰(zhàn)

1.對(duì)互聯(lián)網(wǎng)+條件下征信的挑戰(zhàn)

互聯(lián)網(wǎng)+條件下，消費(fèi)者網(wǎng)上消費(fèi)行為越來越多。2015年天貓雙十一阿里巴巴天貓平臺(tái)上的消費(fèi)總額就達(dá)到了912.17億。新的消費(fèi)形態(tài)出現(xiàn)并迅速擴(kuò)大，銀行能記錄的征信比例相對(duì)來說越來越少。

社會(huì)征信機(jī)構(gòu)出現(xiàn)，能記錄各自行業(yè)的消費(fèi)者征信記錄。支付寶有花唄，京東有白條，蘇寧有任性付，這些和信用卡類似的消費(fèi)商業(yè)銀行也沒有他們的記錄，銀行的征信范圍不夠廣，會(huì)產(chǎn)生一定的風(fēng)險(xiǎn)。

當(dāng)前各個(gè)征信主體的征信記錄被封閉起來，各行各業(yè)的征信記錄被分別保存，沒有互聯(lián)互通，導(dǎo)致征信記錄價(jià)值被嚴(yán)重縮小，增大了銀行貸款的風(fēng)險(xiǎn)。

2.對(duì)信息安全的挑戰(zhàn)

銀行是影響最大的金融機(jī)構(gòu)，如果信息安全做得不到位，會(huì)造成極其嚴(yán)重的后果。新聞里時(shí)常報(bào)道有人信息被泄露導(dǎo)致被詐騙賬，接了個(gè)電話銀行卡里的錢就被盜刷等事件，這是個(gè)人信息泄露的后果。商業(yè)銀行信息泄露遠(yuǎn)比個(gè)人信息泄露危害重大，一是企業(yè)信息泄露可能是存儲(chǔ)在商業(yè)銀行里的大量個(gè)人信息的泄露，二是商業(yè)銀行本身信息泄露，會(huì)造成大量金融數(shù)據(jù)被盜取、修改等，面對(duì)的是大量客戶造成的影響比個(gè)人信息泄露后果嚴(yán)重，甚至造成社會(huì)動(dòng)蕩。

3.對(duì)商業(yè)銀行傳統(tǒng)運(yùn)營(yíng)模式的挑戰(zhàn)

最近金融領(lǐng)域最火的當(dāng)屬互聯(lián)網(wǎng)金融，以支付寶為首的第三方支付公司交易額迅速攀升，在搶著原本屬于銀行的業(yè)務(wù)。民營(yíng)銀行的建立，利率市場(chǎng)化的推進(jìn)，普惠金融的出現(xiàn)等，改變了銀行業(yè)務(wù)的格局。以前銀行靠很多活期存款獲得了大量廉價(jià)資金，現(xiàn)在有了各種"寶寶"產(chǎn)品，銀行廉價(jià)資金大量轉(zhuǎn)移，增加了銀行成本。這些現(xiàn)象說明互聯(lián)網(wǎng)金融倒逼銀行運(yùn)營(yíng)模式改革。

三、互聯(lián)網(wǎng)+條件下商業(yè)銀行風(fēng)險(xiǎn)管理機(jī)制優(yōu)化建議

1.開放共享社會(huì)征信資源

在互聯(lián)網(wǎng)+催生了共享經(jīng)濟(jì)，征信方面同樣可以實(shí)現(xiàn)共享共贏。

商業(yè)銀行的優(yōu)勢(shì)在于傳統(tǒng)風(fēng)險(xiǎn)管理做得扎實(shí)，有多年的信用數(shù)據(jù)積累。社會(huì)征信機(jī)構(gòu)優(yōu)勢(shì)在于在新時(shí)代里新的征信數(shù)據(jù)增長(zhǎng)快，技術(shù)有一定程度領(lǐng)先?；ヂ?lián)網(wǎng)金融發(fā)展迅速，由此產(chǎn)生的信息是商業(yè)銀行沒有的。商業(yè)銀行和社會(huì)征信機(jī)構(gòu)合作，整合全社會(huì)征信資源，建立開放共享征信機(jī)制，形成健全的征信體制，可以極大地促進(jìn)征信信息的完善，降低相關(guān)信用風(fēng)險(xiǎn)。

2.加強(qiáng)信息技術(shù)安全管理

商業(yè)銀行信息安全管理既要練好內(nèi)功，又應(yīng)該和各方面主體合作，建立一個(gè)完善的信息安全體系。一方面，商業(yè)銀行自身應(yīng)加強(qiáng)安全體系建設(shè)，在制度上做到完備、在硬件設(shè)施水平上裝備良好、在觀念上做到對(duì)信息安全高度敏感、在執(zhí)行上堅(jiān)決果斷。另一方面，商業(yè)銀行應(yīng)該與互聯(lián)網(wǎng)企業(yè)、第三方安全公司進(jìn)行技術(shù)合作，多方面努力保信息安全。

3.加強(qiáng)創(chuàng)新管理

商業(yè)銀行應(yīng)該充分利用自身金融方面的專業(yè)優(yōu)勢(shì)，加強(qiáng)產(chǎn)品開發(fā)的優(yōu)勢(shì)，增強(qiáng)渠道建設(shè)，就能在互聯(lián)網(wǎng)金融大潮中起航。

加強(qiáng)產(chǎn)品創(chuàng)新方面，互聯(lián)網(wǎng)金融核心還是金融，只是創(chuàng)新了渠道，便捷了大眾的購買。商業(yè)銀行應(yīng)把重點(diǎn)放在產(chǎn)品創(chuàng)新上，如果有了豐富的金融產(chǎn)品，就算互聯(lián)網(wǎng)金融再如火如荼，也只是給商業(yè)銀行銷售而已。加強(qiáng)渠道建設(shè)方面，商業(yè)銀行已經(jīng)有了營(yíng)業(yè)廳、自助服務(wù)終端，網(wǎng)上銀行，移動(dòng)銀行等渠道。渠道已經(jīng)不少，但關(guān)鍵是要形成合力，不能單打獨(dú)斗，應(yīng)該加強(qiáng)線上線下渠道整合，形成獨(dú)有的渠道優(yōu)勢(shì)。