你好,欢迎访问云杂志! 关于我们 企业资质 权益保障 投稿策略
我的订单 购物车(0)
首页 学术杂志 教育杂志 医学杂志 经济杂志 金融杂志 管理杂志 科技杂志 工业杂志 SCI杂志 生活杂志
当前位置: 首页 精选范文 金融企业信息安全

金融企业信息安全范文

发布时间:2023-10-09 17:41:57

导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇金融企业信息安全范例,将为您的写作提供有力的支持和灵感!

金融企业信息安全

篇1

[关键词] 信息安全;信息化建设;安全策略

在经济全球化的今天,企业相关人员对信息安全越来越关注。虽然企业采取了很多与员工签订保密协议,建立防火墙,以及安全管理中心等措施,但还是发生了像天涯社区、新浪等泄露用户密码、个人信息的安全事件。企业提高计算机与信息管理的水平可以防范由信息安全所造成的各项损失,完善企业信息安全管理体系是很多企业都会面临到的一个主要问题,而作为我国国民经济支柱产业的石油石化企业更应该加强信息安全的管理。

一、企业信息安全定义

近年来,经济全球化呈现加速发展的趋势,越来越多的发展中国家融入到经济全球化的大潮之中。世界政治、经济形势的深刻变化使国家安全的内涵出现了新的变化,国家经济利益和国家经济竞争力随即上升至国家安全的优先位置,国家经济安全开始成为国家安全的核心。跨国并购是经济全球化时代的重要特,尤其是近几年来,经济全球化的日益发展使资本的全球扩张进一步加强,企业兼并活动达到有史以来的最高峰。在各跨国企业扩大占有其他国家市场、资源和技术时,往往使被收购企业所在国受到很大冲击,甚至威胁到他国的经济安全。

企业信息安全是一个复杂的、多维的动态体系,受到诸多外界因素的影响,因而需要从系统的高度进行综合性的概括。企业信息安全有两种解释:一种是从具体的信息安全技术系统的角度着手,来管理企业信息,提高安全性;另一种是建立某些被指定的安全信息体系,例如:银行指挥系统等,从而加强企业信息的安全。企业信息安全的基础内容主要有:实体和运行,以及信息资产与人员安全。实体安全也是指硬件安全,既保护计算机网络硬件和存储媒体的安全,又防止计算机硬件、设备等因湿度过大、温度过高、摩擦等因素而出现的物理损坏。同时,维护硬件运行环境的稳定也是实体安全的范畴。运行安全是保障信息处理过程的安全运行,避免出现程序性故障、死机等现象,保障系统功能的安全。信息资产安全则是确保信息的控制权在企业本身手里,不被恶意篡改或破坏,不被非法操作、误操作、复制,功能稳定等。人员安全主要是指信息系统使用人员能够有明确保护信息安全的意识,遵纪守法,拥有保障企业相关信息安全的技能和能力。

二、石油石化企业的信息化建设

在国际金融危机的冲击下,我国石油石化企业受到种种压力,但同时也遇到不少发展的机遇。金融危机背景下,提升企业竞争能力和抗风险能力更显得重要,石化企业需坚持并加强信息化应用,不断地深化和优化应用。

石油石化企业是我国最早开展信息化建设的行业之一。经过多年的建设,加之逐年增加投入,石化行业整体信息化应用水平在不断提高,并取得了较高的成绩。据中国石油和化学工业协会调研显示,勘探与生产技术数据管理系统、管道生产管理系统、ERP系统等目前在大部分石油石化企业中得到应用并发挥了重要作用,集成与深化应用已经成为石油石化企业信息化建设的主流。在当前国际金融危机冲击之下,信息化在优化资源配置、强化过程管控、支持管理创新、提高经营管理水平和劳动生产率等方面的支撑作用越来越显著。

三、石油石化企业信息安全的意义

石油石化企业在国民经济中扮演者重要的角色,是其重要的支柱产业,担负着保障国家油气供应安全的重要责任。国家形象、安全及国民经济也可能要受石油石化企业安全的影响。近几十年石油石化企业的发展主要得益于信息技术的发展。石油石化企业运营绝大多数工序,从地震、钻井到化工作业、生产工艺,甚至是管理手段、战略决策等都是依靠信息系统来实现的。信息系统一旦瘫痪,企业的运营就要中断。

前不久,互联网一度让人望而却步,CSDN、天涯、新浪、京东商城、网易公司、支付宝等互联网公司以及多家银行深陷“泄密门”。这使得本来就对互联网不放心的广大消费者更加远离了网络购物,一些网络消费者也纷纷降低了购物频率。

四、中海油的企业信息安全策略

信息化是中海油科学管理的重要手段,也是企业的核心竞争力之一。多年来中海油一直坚持业务驱动应用,技术引领创新,着力打造数字海油,加强工业化与信息化的融合,提升中海油信息化水平。多年来建设了MPLS云网络,实现了物理统一、逻辑共享的网络链路;构建了以LotusNotes为基础的OA办公平台;打造了以SAP为核心的ERP系统平台;建设了勘探、开发、生产、钻完井等生产管理信息系统和Scada、DCS、MES生产信息管理系统。这些系统的建立为提高石油的产量,加速企业的运行效率奠定了基础,使得中海油各生产运行业务系统建设稳步推进,实现了整体项目生产数据的完整、有序化管理,便于生产经营决策。

随着国际化的进程,中海油和国外公司的合作联系越来越密切,如果不加强信息安全,轻则出现宕机、数据缺失、系统停止服务等信息服务事件,重则会影响我国的石油产业和我国的国民经济。目前在对网络安全方面主要从以下几点展开的:

(1)物理安全风险

在物理安全方面,企业建立合格的机房环境,设置合理的网络构架,购置高性能的硬件设施,同时安装高效的、实时的预警系统等。在这些系统的和人员管理的情况下,防止设备因水灾、火灾、系统故障等导致的计算机硬件方面的安全问题。

(2)网络管理体系方面的安全

加强网络管理体系,可以减少企业中责权不明、管理混乱等方面的安全隐患,提高员工的安全意识。同时,还可以及时发现一些外来的网络攻击和恶意的破坏。对内部终端进行管理,通过流量限制计算机上传下载速度也是有效的网络管理体系的一部分。

(3)网络拓扑结构的风险

拓扑结构形象的描述了企业网络的组织结构以及各个元件之间的相互关系,对企业的网络安全系统有着重要的影响力。假如外部和内部进行联系,内部网络系统受到威胁,就会通过这个网络拓扑结构一层一层的影响其他的系统,进而可能使整个网路拓扑结构瘫痪,影响企业的正常运行。

同时,面对日益高速化发展的今天,工作人员容易受到外界的蛊惑,因此企业应该加强对企业人员网络安全维护的教育,提高人员安全性。

五、技术展望

云计算的发展为未来企业网络安全提供了又一个技术平台。云计算是通过网络把成千上万的计算机硬件资源和软件资源聚合成一个具有强大计算能力的系统,并借助各种服务模式把强大的计算能力提供给终端用户,使人们能够像使用电、水那样使用信息资源。

在经济全球化的今天,企业相关人员对信息安全越来越关注。虽然企业采取了很多与员工签订保密协议,建立防火墙,以及安全管理中心等措施,但还是发生了像天涯社区、新浪等泄露用户密码、个人信息的安全事件。云技术网页威胁管理部署和操作简单,不仅有效且高效的防护,而且支持远程办公室和移动工作,“网络效应”和“众包”的作用更是提高了信息的安全性,因此特别适合分布式企业。而大型企业则需要一种集中化的管理和分布式、以云端为中心的智能、紧密集成等于一体的网络威胁管理构架,才能满足其庞大的网络拓扑架构的安全需要,改善远程工作者的安全性,提供全局可见性和控制能力,创建一个云迁移路径。

综上所述,中海油信息化的建设大幅提升了生产运行效率和精细化管理水平,达到了国际化先进水平,为中海油在国际的长远发展提供了坚实的基础。面对经济的全球化,各行各业,每一个企业都要建立健全、不断完善信息安全管理工作,提升企业信息安全管理水平。

参考文献

篇2

[中图分类号] F208 [文献标识码] A [文章编号] 1673 - 0194(2013)04- 0084- 02

现代企业的信息安全是指在管理上和技术上对数据处理系统进行安全的保护,使计算机的软件、硬件、保密数据等不会遭到破坏、更改、泄露。通过对企业信息安全的管理,能够保护企业信息的机密性和完整性,保护企业的生产运营安全,是企业发展的必不可少的环节。

1 网络环境下现代企业信息安全存在的问题

1.1 人为因素造成的安全问题

现代企业之间的竞争十分激烈,企业管理者把精神都集中在企业的生产和经营上,对计算机的管理不够重视,加上网络属于新生事物的一种,人们会利用网络进行娱乐活动,却忽视了网络的安全性,缺乏网络安全意识,企业员工在工作时间利用网络进行娱乐活动的行为十分普遍,由于自身的安全意识匮乏,不但浪费了企业的网络资源,也加大了病毒侵害的可能性,威胁了企业的信息安全。企业信息安全的管理需要管理部门重视起来,现实中,企业对信息安全的管理投入很少,安全防范做得不好,管理者对信息安全管理的认识不足,下面的员工安全意识也淡薄,规章制度不完善,信息安全管理无据可依,管理者也没有对信息安全进行有效的监督,没有在第一时间发现网络存在的问题,甚至在网络不能正常运行了才去解决问题,给公司发展带来不利影响。

1.2 网络技术自身存在的安全问题

随着网络技术的发展,各种软件也不断更新换代,现在Windows 7正在大规模地进军国内市场,微软不断推出新的产品,各种操作系统的漏洞也一直存在,为病毒的滋生提供了机会,很多网络软件存在后门,这些后门原本是编程人员为了软件的扩展和维护设置的,如果被不法分子发现,对公司的信息安全有很大的威胁。计算机犯罪中最典型的就是黑客的攻击,黑客攻击也分为主动攻击和被动攻击两种,主动攻击直接为企业的信息完整性、机密性造成破坏,被动攻击虽然能够保证公司电脑的正常运行,但企业的重要信息可能会被截获、窃取,都严重影响了企业信息安全。

1.3 设备环境造成的安全问题

从网络环境来说,外部环境对企业信息安全也构成威胁,企业的计算机房的位置不能是随便设置的,需要有一定的安全技术要求。网络的线缆等通信设施容易被人为破坏,或者受到自然环境如地震、雷雨、电磁场等环境的影响发生破坏,并且自然环境的影响是不可预测的,一旦出现问题,会给企业的信息造成直接的破坏,影响信息的完整性。计算机的硬盘、内存的运行状况也应该得到管理人员的注意,计算机设备的防盗等都是问题,企业员工在工作过程中往往会拷数据回家,或者加班后在用U盘等移动设备把资料拷贝到公司电脑中,增加了企业计算机中毒的危险。

2 解决企业信息安全问题的对策研究

2.1 重视信息安全管理,加强制度建设

首先,企业管理者应该认识到企业信息安全的重要性,认识到网络保护的重要性,提高信息安全意识,这样才能加强制度建设,做好信息安全管理与监督工作。计算机房是重要场所,它的设置也需要一定的隐蔽性,一般不要设置在公司一楼。企业应该建立和完善信息安全管理制度,帮助员工树立信息安全意识,明确信息安全保护的对象和目标,保证各项管理制度的落实执行,制订明确科学的操作流程,规范员工的日常操作行为,制订应急预案和网络维护制度,计算机管理人员应该每天对计算机系统进行检查或者更新,及时发现网络运行中出现的问题,防止病毒的产生,在发生问题后把损失降到最低。

2.2 加强企业信息安全的网络技术控制

依靠网络技术来保护现代企业信息安全是十分有效的方式,网络技术手段主要有防火墙、信息加密与认证、病毒防控、数据备份等方式。防火墙是网络技术中保护信息安全最重要的技术之一,它通过设置屏障阻止黑客的访问,能够有效防止病毒的侵入,企业应该按照质量可靠的防火墙,并时刻关注防火墙的问题与升级情况。直接对企业信息进行加密也是有效的方法之一,企业可以设置专门的访问密码,仅供本公司员工使用,或者每个员工都有自己的上网编号,输入之后才能访问公司网络,公司也可以根据浏览记录查看哪些员工上网,能够有效防止企业人员泄密行为,对重要文件采取多种加密措施。企业应该注意对防病毒软件的更新换代,提高防毒、杀毒的效率,保证系统的安全。电脑一旦中毒,一些文件就可能丢失或者被更改,企业需要对重要文件进行备份,这样在发生中毒之后能够将损失降到最低。

2.3 加强法制建设,运用法律武器保护企业信息安全

现代企业的信息安全应该受到法律的保护,公司的机密文件关系到公司的生死存亡,关系到社会公平竞争,关系到个人隐私,应该受到法律的保护。国家应该完善企业信息安全的法律法规,为企业保护自己的权益提供法律武器,企业也应该具有法律意识,在公司的信息恶意遭到破坏和侵害时,不是采用同样的方法对待竞争企业,而是应该拿起法律武器保护自己,用国家法律来抵制侵犯,保护自己企业的信息安全与完整。

3 结 语

网络的发展是一把双刃剑,在给社会进步和发展带来巨大益处的同时,也带来了一些负面影响,企业应该辩证对待网络时代的发展,充分利用网络环境带来了优势,通过技术手段创新、管理加强、法律法规的完善等措施来保护企业信息安全,为企业的发展创造安全的环境。

主要参考文献

[1] 薛伟莲. 保证信息与网络安全的网络伦理规范体系的构建[J]. 网络与信息,2010(11).

[2] 费宏伟. 保证电算化时代会计信息安全的几点思考[J]. 东西南北·教育观察,2010(11).

篇3

A企业是某欧洲跨国金融公司在广东的IT服务外包公司,主要对母公司在亚太地区的业务提供软件开发和维护工作,企业的核心业务构建和运行在以信息技术为基础的网络和系统上。作为金融行业的IT外包公司,提升A企业的信息安全管理水平也成为企业内部和外部的紧迫要求。

ISO27000信息安全管理体系要求是国际标准化组织颁布的有关信息安全管理的标准,此标准采用了PDCA循环管理的方法,以求最终建立适合企业需要的信息安全管理体系。其实现主要通过现场诊断、风险评估、体系制度编写、试运行和外部审核几个阶段,而整个项目的出发点就是完善资产管理。

A企业正是选择了通过ISO27000架构构建信息安全体系。在ISO27000的管理框架下,资产是指任何对组织有价值的信息或资源,根据表现形式的不同,与信息相关的资产可分为数据、文件、软件、硬件、服务、人员等类型。资产识别的正确性和准确性对于后续的风险要素评估及信息安全策略至关重要。

本项目之前,A企业有来自总部的一些信息安全方面的基本要求,但要求较为抽象、概括,并没有在本地形成有效的管理体系。在信息资产管理方面,A企业就信息资产进行了一些定义,制定了部分规章,但不够系统和完整。对于信息资产的管理更多地限于IT部门管理的硬件及软件等有形资产的管理上,没有从数据的角度出发,也没有把服务、人员以及其他非IT资产视为信息资产的一部分纳入信息资产保护的范畴。

因此,在构建新信息安全管理体系项目中,A公司在进行资产识别时,将信息资产按照信息、文档、软件、硬件、人员及服务六大类进行分类。其具体实施过程为:

1、将原有的信息资产清单依照上述六类进行划分。在此基础上,依照公司的组织架构和业务范围与各部门负责人进行访谈,了解业务流程,以识别所有的信息资产。

2、对于每一项信息资产,根据“谁使用,谁负责”的原则确定责任人。由责任人负责对信息资产进行分类、分级。同时可设定 “维护人”,由“责任人”将具体的安全职责委派给“维护人”,但“责任人”仍须承担资产安全的最终责任。

3、由信息资产责任人对资产进行分级评分。按照信息安全的三要素:机密性、完整性、可用性,对资产分三个要素进行赋值(如表1示):

4、基于对每一项信息资产的在机密性、完整性、可用性三方面的赋值,通过矩阵计算出信息资产的总价值(如表2示)。

篇4

报告显示,本季度亚信安全客户终端检测并拦截恶意程序约 12128 万次,与前几个季度相比,恶意程序数量相对稳定。但是,这并不意味着企业在威胁防御方面可以掉以轻心。事实上,恶意程序正在变得更具隐蔽性、针对性,这也是APT攻击的常用手法。在Rotten Tomato APT 组织的攻击中,攻击者主要利用微软Office漏洞来将恶意程序附带到Office文件中。之后,不法分子会以清单、通知、快递等信息为幌子,精心编造邮件以诱使企业员工点击。一旦点击,恶意程序就可能通过内网感染企业系统,继而导致企业机密信息外泄。

亚信安全发现,虽然该 APT 利用的是Office 的已知漏洞,但由于大量企业用户并没有及时升级版本或修复漏洞,所以他们处于APT攻击的威胁之中。加上企业内部人员安全意识参差不齐,防病毒和入侵检测系统部署不到位,鱼叉式钓鱼邮件往往可轻松直达内网,严重威胁企业信息安全。

亚信安全技术总经理蔡N钦指出:“要更好地防范APT攻击,企业信息安全要着眼于构建多层防护体制,定期更新系统和应用软件补丁、升级安全软件特征库。同时也要加强员工信息安全培训,教育员工养成良好的安全意识,不随意打开陌生来源的邮件附件。”

金融安全再敲警钟

在第三季度,金融行业再次爆出严重的网络安全事件。7月份,台湾发生 ATM 机自动吐钱事件,总计 41 台 ATM 机被盗,被盗金额达 8327 余万元;无独有偶,一个月后,泰国 ATM 机被盗,总计 21 台 ATM 机受影响,损失达 1200万泰铢。在这两起事件中,入侵者都是通过仿冒更新软件程序在ATM 机中植入恶意程序,并通过ATM远程控制服务(Telnet Service)来控制ATM 机吐钞。

蔡N钦表示:“ATM自动吐钱事件再度证明了金融安全的脆弱性,近年来不仅与银行有关的网络钓鱼网站数量出现激增,针对金融行业的移动安全威胁、高级持续性攻击也迅速增长。要防范此类攻击,不仅要及时更新系统和安全软件,在防御构建上也要做到整体的关联与对应,这对隔离网络犯罪者的定点攻击有着关键作用。”

移动及物联网设备风险剧增

在近几年,移动及物联网设备数量出现爆发式增长,这正吸引着大量不法分子的入侵。第三季度报告显示,安卓平台的恶意程序仍然呈现快速增长的趋势,亚信安全对 APK 文件的处理数量已经累计达到 3595 万个,比去年同期增长将近一倍。

篇5

一、金控的定义与历史机遇

(一)金控的定义

金控是金融控股的简称,是指在同一控制权下,完全或主要在银行业、证券业、保险业中至少两个不同的行业提供服务的金融集团。从定义上可以直接反映出金控公司的特点:多金融牌照混业经营,由一家集团母公司控股,通过子公司独立运作各项金融业务。

(二)金控的历史机遇

金控公司出现之初,集团母公司多是扮演财务投资的角色,不参与具体业务的运营。随着国家“十三五”工作的推进,金融改革不断深化和多元化,单一业务的聚集效应在减弱,而以多业务构建“客户-平台-资产”供应链闭环生态系统的金控平台则迎来其历史发展机遇。其通过资源协同、渠道整合、交叉销售等运营模式,促进供应链上各项金融业务的联动发展,最大程度地发挥了产品互补优势,提高效能,享受高额市场回报。

二、金控体系下信息化建设的重要性和安全需求

(一)信息化建设的重要性

打造金控体系下多牌照的闭环生态系统,离不开信息化平台的建设。换个角度,信息系统是多牌照业务融合、产品创新和效能提升的一种有效手段。如通过信息化建设金控体系下统一的客户系统、全面风险管理系统、产品销售系统、大数据分析平台等,可助力金控集团建立品牌效应,快速响应多元化的市场需求,从而实现业务的爆发式增长。基于信息化的重要性,综观目前市场上的各类金控公司,都在大力发展信息化建设,寻找业务创新点,引领行业升级和抢占市场。

(二)信息安全需求分析

对于互联网时代的金融企业来说,数据是核心,安全是生命线。随着《网络安全法》的实施,信息安全已上升到国家战略层面,构建金融企业的信息安全防护网势在必行。对于金控公司来说,由于是混业经营模式,旗下不同牌照的子公司,因其监管部门不同以及对信息安全要求不一样,在规划其信息安全时,必须将多牌照的特点融入到安全体系内,同时满足信息安全和业务发展的平衡需求,以免顾此失彼,得不偿失。

三、金控体系下信息安全体系规划

建立一套金控公司的安全体系,必须同时从管理和技术角度进行规划,管理是运营措施,而技术是操作手段,相辅相成,缺一不可。

(一)信息安全管理体系的规划

1.对标的选择。建立一套信息安全体系,目前可对标的标准和规范包括国际标准ISO27001、国家安全标准、各监管机构的安全指引、信息安全等级保护管理办法,以及行业的最佳实践等。对于金控信息安全管理体系的规划,应该以ISO27001为基础,结合监管的合规要求进行编制。2.设计原则。通常情况下混业经营企业在制定企业管理体系标准时要照顾到各方的使用需求,其标准具有通用性和广泛性。具体使用部门或子公司可再结合自身业务特点,制定更具体的操作规范。但对于金控行业来说,由于旗下各子公司经营的都是金融业务,对信息安全的要求比普通企业更严格,信息安全是其不可逾越的红线。因此在为其设计信息安全管理体系时,应反其道而行,从严要求,以最严格的标准进行编制,做好顶层设计,然后根据各子公司的业务特点,对制度或规范做适当的裁减或降低等级要求。3.管理体系模型。信息安全管理体系是一个多层次的模型,如图1所示。在该模型中,第一层是企业信息安全方针政策,说明企业信息安全总体目标、范围、原则和安全框架等;第二层是企业安全管理制度和规范,说明体系运行所需要的通用管理要求;第三层属于安全管理活动中,用于约束安全行为的具体方法;第四层是配套的表单和记录,用于辅助制度和管理办法的执行。4.安全目标和方针的设计。虽然是混业经营,但对于金控集团及旗下各子公司来说,信息安全的目标应该是一致的,本质都是追求企业数据的保密性、完整性和可用性,所以安全方针可以基于集团统一考虑,设计为:安全、合规、协同、务实。安全:以风险管控为核心,主动识别、管控并重,为用户提供安全、可靠的信息技术服务。合规:按照国家法律法规及行业监管要求,建立满足集团业务发展需求,并具有专业能力的信息安全管理机制。协同:全员参与,对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力。务实:以经济适用为准则,选择适应公司发展变化的业务架构和稳定灵活的技术架构,满足各业务条线的管理和决策需要。5.组织架构的设计。信息安全方针的贯彻,安全制度的执行,安全技术的部署,都需要通过安全管理组织来推行。各个模块相互之间的关系如图2所示。对于金控行业公司而言,由于多数子公司都是独立法人,无法完全成立一个实体安全组织,而是一个横跨集团和各子公司的虚拟安全组织。为保证安全组织的有效性和执行力,应具有分工合理、职责明确、相互制衡、报告关系清晰的特点。6.管理制度及规范的设计。管理制度和规范是属于企业运营措施,根据ISO27001标准模型,安全管理制度划分了14个控制域,涵盖的内容如图3所示。根据各控制域的关联关系,结合金融企业的安全需求,企业的安全管理制度通用全景图设计如图4所示。

(二)信息安全技术体系规划

技术体系属于信息安全操作层面的内容,应该是围绕整个数据生命周期展开规划的。根据数据的运动轨迹,经历“生产-传输-计算-存储-消亡”等阶段,所以信息安全技术体系的范围,应该涵盖物理环境、基础架构(含虚拟化层)、应用、数据和访问控制等。一般通用的安全技术体系全景如图5所示。由于安全技术需要部署大量的专业设备,对于混业经营的金控公司而言,可以发挥集团总部的先天优势,对于一些共性的安全技术方案,由集团统一规划和部署,然后为各子公司提供相应的安全服务,减少投入,节约成本。例如防病毒系统,由集团总部部署服务端,各子公司部署客户端即可,类似的安全技术服务还有漏洞扫描系统、身份认证系统、终端准入系统、APT检测系统、安全渗透服务、安全培训服务等。

四、金控体系下信息安全的实践

由于是混业经营,在组建了横跨集团和各子公司的安全组织后,还需要不断地进行实践以达到最佳效果,以下是一些具有特色的实践场景。

(一)信息安全事件的统一管理

信息安全事件的管理是安全制度之一,有效的事件管理可以积极发挥安全效能,提升全集团的安全能力。1.情报共享,协同防护。在管理层面,原各业务子公司只会向其外部监管部门报送安全信息,相互独立,不能有效共享相关的安全情报。新的模式下要求子公司同时将安全信息上报集团总部,总部通过分析后形成统一报告,再发放到各个子公司。通过这种方式,一方面可以实现情报共享,另一方面可以实现信息安全的统一管控,协调防护。2.统一监控,快速反应。在技术层面,可通过在子公司部署探针,建立集团的统一安全监控平台,对集团内所有的安全日志进行采集、分析、响应,同时结合集团和各子公司的安全保护措施对事件进行快速处理,合纵连横,从而保证整个集团和各子公司信息系统的安全稳定运行。

(二)子公司信息安全建设的管理

对于多牌照的金控公司来说,旗下各子公司业务种类不同,规模也有区别。在信息安全的建设方面,应该有区分对待。对于规模较大的子公司,依靠自身力量建设了数据中心及安全体系的,除一些共性的安全技术方案可由集团提供以外,其他的安全措施由子公司执行,集团主要是发挥标准制定和监管的角色。对于规模较小的子公司,由于IT力量较弱,数据中心体量有限,很难依靠自身建设完整的信息安全保护体系。在监管许可的情况下,可以将子公司的信息系统托管在集团数据中心,由集团进行信息安全的统一规划、建设和运维。

(三)交叉检查,取长补短

由于同属于一个集团,各子公司之间具有天然的信任感,通过集团的统一组织和管理,可以促进各子公司之间进行信息安全的交叉检查,在兄弟公司之间充分展示本单位的优势,取长补短,相互学习,共同进步。

参考文献:

[1]ISO27001:2013.信息安全管理体系标准[S].2013.

篇6

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 06. 018

[中图分类号] TP393;F931 [文献标识码] A [文章编号] 1673 - 0194(2014)06- 0026- 04

1 引 言

在经济全球化和信息技术高速发展的今天,瞬息万变的市场环境对金融企业管理、业务创新、市场开拓、服务水平等提出了更高的要求,金融企业信息化进程成为制约金融企业快速发展或转型的关键。而传统的信息化建设和管理模式很难满足金融企业在灵活性、多样性、个性化等需求。面对逐年增加的IT建设和运营投入,越来越多的金融企业开始寻找新的途径。云计算作为新型的计算和服务模式为金融系统信息化建设提供了新的实施方式。云计算提供了一种计算机资源按需获取和交付的业务模式,可以向用户提供可无限伸缩的服务来满足客户和业务需求。云计算的技术优势极大降低了金融企业 IT 建设及运营维护成本,使金融企业能够更快捷、廉价地获取必需的IT资源[1]。

“云金融”是云计算在金融领域的行业应用,可以将金融机构的数据中心与客户端分散到“云”里,提高信息共享程度。通过有效的基础实施即服务、平台即服务、软件即服务的众多业内知名金融企业,联合将线上线下资源整合成一套包括交易平台、结算平台、网上支付平台、外汇交易实体平台、中小金融企业云服务平台等经济活动融为一体的、全面的、综合的金融信息系统,为金融客户提供生产中心、灾备中心、存储中心、灾难恢复、金融演练、远程数据保护、网络优化、安全管理等全方位的外包服务及各种云应用平台服务,最终形成面对金融行业的整体解决方案[2]。

目前,我国金融云应用尚处在探索和起步阶段,没有统一的行业技术标准,缺乏相关的监管政策支持。云环境的安全性问题是金融信息系统需要考虑的重点问题。

随着云计算平台相关技术的发展以及SaaS等新型架构的成熟,云环境下的金融信息系统成为现实,而安全问题是云平台需要重点考虑的问题。本文结合当前金融信息系统的云计算发展趋势以及存在的问题展开研究,通过分析现有云平台以及基于SaaS的金融信息系统中的安全隐患,提出云金融信息系统的安全框架,为云计算环境下的金融信息系统提供了安全解决方案[2]。

2 云平台核心安全问题分析

基于云平台SaaS架构的金融信息系统由于云计算环境的公开化、开放性等特征面临着安全问题。云计算平台需要得到用户的信任,这样用户才能将数据托管在这个云环境中;同时,云计算服务提供商应该保障云资源的可靠性和完整性,要具备高水平的灾难恢复能力。根据美国著名市场研究公司Gartner的研究表明,云安全服务存在7大潜在安全风险[3-4]。基于对云计算环境以及SaaS的分析,得出云平台的如下核心安全问题:

(1)特权用户访问。在云平台中能够绕过公司内部对于相关程序的物理、逻辑以及人员进行操作,因此,在企业外部处理敏感数据的方式具有与生俱来的风险性。

(2)法规遵从。云服务提供商只托管企业数据,客户对于自身的数据的安全性和一致性仍然负有最终责任。传统的服务供应商受制于到外部审计和安全认证。而云计算技术则拒绝接受类似的审查。

(3)数据位置。云服务的分布式特性使得企业在使用云服务时无法知道数据托管的具置,更无法知道当地运营机构是否严格遵守隐私保护要求。

(4)数据隔离。云服务中的数据通常是与其他客户的数据一起共享存储的,但是加密方式不能绝对的保障数据绝对安全,所以要将自己数据与其他企业用户的数据隔离开来。

(5)灾难恢复。云服务提供商应当对用户数据进行有效的备份,保证在灾难时能及时恢复保证业务正常运行。如果缺失,对企业而言将是巨大损失。所以企业用户一定要求云服务商做出承诺,必须对所托管数据进行备份。

(6)调查支持。云计算会将多个用户的数据和记录同时存放在一起,或者跨主机、数据中心存储,企业的正常的数据调查会得不到许可或困难重重。如果你的供应商无法做出相关承诺,那么一旦违法行为发生时,你将面临无法取证的尴尬。

3 基于云计算技术的金融信息系统安全风险分析

云环境下金融信息系统将某个银行的全部的数据集中在总行计算机系统中统一管理、协调,为加速资金的流动和创新业务的实施奠定基础。在互联网上部署这类系统可以极大地提升企业的业务数据处理能力,但同时也向那些企图进入金融企业信息系统内部获取机密数据的人敞开了大门,因此,保证软件系统的安全显得尤为重要。从以下几个方面对云计算SaaS基础上的金融信息系统所面临的安全风险进行分析[2]。

3.1 物理和环境安全

物理安全对金融企业基础设施来说非常重要,所面临的问题比较多元化,主要涉及数据中心设计、弱电规划、火灾等突发事件应急、访问控制、闭路电视(closed-circuit television,CCTV)实施等。物理安全用于保护金融企业资产不受损失,是对环境风险和不可预知认为活动的第一道防线。这类风险主要有:①内部人员“滥用”造成的资产损失;②设施缺陷造成的业务中断或数据损失;③缺少有效的访问控制和监控制度;④缺少必要的灾备和业务连续性计划[5]。在云计算环境中,数据资源保存在远程服务器中,其物理和环境安全对于金融企业用户来说具有不可控性。

3.2 灾备和业务连续性

服务器群突发技术故障会造成数以千计金融企业网站服务中断,给金融企业造成巨大损失。灾难恢复的目的是将灾难造成的损失降到最低程度,业务连续性计划的目的则是从更长远的角度来解决问题来保障业务能够长期、稳定的运营。中小金融企业中往往都缺少相关管理制度和规划,在突发事件中,不稳定管理业务系统将会给金融企业带来极大的运营风险甚至直接经济损失。云计算服务器的灾备回复能力是关系到业务系统能否连续性运行的关键。

3.3 网络安全

网络包含了许多不同的机制、设备、软件和协议,它们互相关联形成一个整体。网络安全涉及了网络上数据信息的保密性、完整性、可用性、真实性和可控性。拒绝服务攻击和无加密的数据传输是常见的两类网络安全隐患。在云平台SaaS架构下,不安全的协议和密码泄露都会对金融信息系统的安全保密造成破坏;无加密的数据传输对金融信息系统而言将会是致命打击,数据在传输过程中可能会被截取并被篡改,这不仅会造成金融企业数据丢失,甚至还会影响到金融企业的正常运营、数据的泄露等,同时有可能需要金融企业来承担法律责任。因此,需要探讨SaaS所带来的网络安全隐患,并采取措施来避免这些安全问题。

3.4 数据安全

数据是SaaS金融信息系统的核心资产, 直接关系到金融企业的商业隐私。数据安全除了传输安全之外还包括存储安全、静止数据安全等。存储或备份在磁盘上的业务数据往往都缺少必要的安全机制,例如存储加密,直接或者间接访问和篡改都会给金融企业造成巨大风险;存放在数据库中的静态数据通常而言都没有进行加密。在多组户环境下,上层应用的逻辑缺陷将导致其他恶意“租户”对金融企业私有静态数据进行直接访问或操作。Web应用安全和数据安全紧密结合相辅相成缺一不可。

3.5 Web应用安全

绝大部分SaaS信息系统都是以浏览器作为用户访问的瘦客户端,Web服务器就成为联通互联网和内部网络的桥梁。应用安全的架构决定了SaaS金融信息系统的安全性,多组户环境下的配置管理、权限分配、虚拟资源的访问控制都和安全息息相关。据美国应急响应中心统计,2010年全年披露的漏洞80%以上和Web应用相关。作为业务前端的Web应用程序的脆弱性直接影响到整个系统的质量保证。开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。如表1所示,OWASP十大页面应用程序安全风险项目提出了当前最具有风险的漏洞类型及攻击方法。

3.6 访问控制

访问控制是保证金融企业信息安全的重要手段,信息安全的根本也是通过控制信息资源访问来保护系统资源免受未授权访问。SaaS金融信息系统中访问控制包含的范围很广泛,涵盖了从上层应用的用户身份管理到底层网络边界控制的很多方面。在缺少有效的身份供应机制的系统中,离职员工账户或存在弱口令的账户都将对业务模块造成严重的威胁。底层架构在缺乏有效边界保护或安全域划分的情况下同样会产生更多安全隐患。

3.7 网络病毒及木马程序

SaaS金融信息系统威胁主要来自网络病毒,在受到病毒攻击时,服务器未受到有效保护的话,数据就会丢失,造成的破坏是无法弥补的。木马程序也是业务数据安全的隐患之一。如果数据服务器被植入木马程序后,木马程序平常是隐藏的,但其会随着系统悄无声息地启动,一旦木马在服务器后台运行起来,服务器系统就会有端口被打开,黑客就会利用控制端程序潜入到服务器内部,服务器上的所有程序和数据暴露无疑,这样安全和隐私就全无保障了。病毒和木马的防范对于系统安全来说至关重要,需要有健全的病毒木马防御体系来保证数据的安全。

3.8 系统安全

云计算的分布式特性导致了在任何一个系统中都可能找到金融企业的敏感数据,在这个前提下系统的安全性同样不能忽视,尤其是在访问控制不到位的环境下,很有可能存在直接暴露在互联网上的IT系统。

系统安全漏洞根据对其系统造成的潜在威胁 (破坏性、危害性、严重性)以及被利用的可能性为依据将系统漏洞分为紧急、重要、警告、注意等。对“紧急”或者“重要”级别的系统漏洞需要及时的安装补丁程序。常见的漏洞类型归类如表2所示。

4 云环境下金融信息系统安全框架构建

基于上述云平台自身安全问题以及SaaS金融信息系统所面临的常见安全风险的分析,对于每个风险点都可以采用相应的策略来进行规避,从而提升系统的整体安全水平。本文提出如图1所示的安全框架,以解决基于SaaS的金融信息系统的安全问题。

如图1所示的金融信息系统安全框架,包括金融企业信息安全治理、第三方管控、风险评估等6个主要解决方案,具体详细介绍如下。

4.1 金融企业信息安全治理

由于金融信息系统的特殊性,不管金融企业采用的是什么服务或部署模型,金融企业用户和服务提供商应当协商进行信息安全治理来达到支持业务需求和信息安全保障的一致目标。信息安全治理类似于IT治理,都是为了确保企业的生存和发展为目标的。随着新的法规法案的颁布,对金融企业管理要求的提高会增加金融企业安全治理的需求。金融企业用户应当制订符合自身发展的信息安全规划,投入适当人力对IT系统进行定期评估和审计。

4.2 第三方管控

对云服务提供商的供应链进行深入的调查和评估涉及事件管理、业务连续性、灾难恢复等方面的策略、流程和规程,包括对共用场地和相关设施的审查。对云服务提供商遵从自身策略和规范的执行力进行内部评估,同时评估提供商在相关领域的指标体系。考察服务提供商是否有完备的安全治理能力,文档化的风险评估实施过程、安全审计流程。

4.3 风险评估

对应用系统、操作系统、网络架构进行定期的风险评估和渗透测试,最大程度地发现整系统中的安全隐患并及时修复。划分安全域对网络边界有效控制,采用三层架构将表示层、业务层、后端层逻辑隔离。创建符合金融企业自身需求的安全基线,对IT系统定期人工核查。对于上市及金融和电子商务客户可能还需要满足SOX、PCIDSS、DISA、ISO 27001等标准的合规遵从要求,涉及人员管理、Web应用安全、系统安全、数据保护、网络安全、审计、 物理安全、代码安全生命周期等。

4.4 信息内控

加强对业务信息系统进行信息内控,建立IAA(Identification, Authentication and Access)体系对用户身份认证访问控制管理与审计。创建用户角色和职务列表,记录用户的所有操作并强制性审计。从制度上完善对用户工作职务变更与中断进行管理[6]。在金融企业执行管理层,制定信息安全保障策略,做出如何执行金融企业安全战略的决策,确定IT治理和控制的整体方法。在业务层对特定业务活动进行控制,尤其是对于IT应用系统关联紧密的业务过程。在IT基础层,对网络、数据库、操作系统以及存储设施等采取一般性IT控制,不完善的变更管理会破坏IT基础层的完整性和可靠性。

4.5 业务连续性计划

制定满足金融企业自身特点的业务连续性计划和策略,提供为实施应急响应、数据备份、灾后恢复操作的流程规范确保在紧急情况下做出适当响应。根据BSI的BS 25999业务连续性标准,业务连续性计划实施可以包括为6个步骤,启动项目、业务影响分析、确定恢复计划、制订业务连续性计划、测试和演练、维护和更新计划。①项目启动阶段主要工作是准备必须的资源和前期调研工作,如得到管理层对项目的支持和授权、明确项目实施的组织结构和人员角色权责,为项目实施分配资源、制订项目实施计划;②业务影响分析主要是对公司业务流程进行分析和评估影响程度;③恢复计划制订时需要从组织、流程、技术、资源等几个角度考虑,建立了战略层、战术层和操作层面的应急管理组织;④灾难恢复预案主要包括灾难恢复的时间和范围、灾难恢复组织架构、联络清单、应急处理流程、事件通报流程、损害识别和评估流程、灾难宣告流程、核心金融信息系统恢复流程、业务恢复流程、重续运营管理流程、灾后重建流程、灾后回退流程、计划内切换与回退流程等[7]。

4.6 安全风险防范措施

云计算的发展加快了金融信息系统的发展进程,但随之也带来一些安全性问题。我们不能因为网络的不安全性而停止网络服务,要使云服务平台良好地运行需要单位负责人树立好安全意识,系统操作人员提高业务素质,服务器维护人员要有良好的技术水平。针对云计算应用中的安全性问题,需要预先采取措施来减轻这些威胁。

(1)系统运行服务器和数据存储服务器一定要请专业的安全公司指导定期升级操作系统漏洞,关闭不必要的服务和不用的网络端口。

(2)安装网络版杀毒软件,并及时更新病毒库,使服务器系统安全性提高,能抵抗最新病毒的攻击。

(3)系统服务器和工作站要安装防火墙,一定不要直接暴露在互联网上,对接入Internet要严格限制。服务器端只开放必须的应用端口,封闭其他端口,最好只对接入客户端的IP地址段开放。

(4)密码攻击是黑客们最常见的入侵方式之一。为提高系统的安全性,一定要设置一个高强度密码。密码的“弱”和“强”是相对的,不同的环境对于密码强度有不同的要求,即使再强的密码也有可能被破译或泄漏,所以密码要经常更新,更新的时间长度基于数据的敏感程度。

(5)要保证数据的安全性,一定要对服务器业务数据进行有效备份,异地备份是最可靠的备份方式,如果当地发生毁灭性的自然灾害,事故后还能从远程恢复数据和业务,可以保证业务数据的完整性和安全性。

5 结 语

云计算的浪潮已经无法阻挡,云环境下的金融信息系统使得金融系统与信息技术高度融合,提高了金融机构迅速发现并解决问题的能力,提升了整体工作效率,改善了流程,降低了金融企业信息采集的成本。然而安全问题很大程度上阻碍了这种模式的普及。本文从宏观上介绍了当前云环境下基于SaaS的金融信息系统所面临的安全风险,提出了相应的解决方案。随着云技术的发展、安全策略的更新、攻击技术的演变,本文提出的安全解决方案所产生的实际防御效果还需要进一步证实。

主要参考文献

[1]张建文,汪鑫.云计算技术在银行中的应用探讨[J].华南金融电脑,2009(6).

[2]谢世清,论云计算及其在金融领域的应用[J].金融与经济,2010(11).

[3]Gartner.Seven Cloud-Computing Security Risks[EB/OL].http:///d/security-central/gartner-seven-cloud-computing-security-risks-853,2008.

[4]和讯网.云计算技术的七大安全风险[EB/OL].http:///133/8201133. shtml,2009.

篇7

(2)遵从性风险。指企业内部IT策略与外部法律法规的遵从(Compliance)所导致的风险。伴随信息技术的发展,国内外出台大量法律法规加强了对信息系统的监管。例如,2002年美国国会的《萨班斯—奥克斯利法案》虽然没有直接明确对信息系统的要求,但据统计,企业在实施符合法案要求的工作中,信息系统方面的工作量占比超过40%;2006年中国银监会《电子银行业务管理办法》和《电子银行安全评估指引》,也直接对技术风险较大的电子银行提出了进行独立的或相对独立的信息系统审计的要求。

(3)信息安全风险。企业信息系统不断开放和复杂,使得信息安全面临来自内外部的严峻挑战。针对企业信息系统的攻击方式简单易学、攻击对象身份隐匿,造成企业信息安全风险极易转化为现实的业务威胁,如支持员工移动办公给企业资产安全性和可用性带来的压力倍增,许多敏感机密信息被轻易泄露。

(4)可用性风险。可用性风险主要来自三个方面,一是IT平台系统自身漏洞导致的系统停机事件越发难以掌控;二是由于事件管理、变更管理、配置管理、连续性计划等IT服务管理流程缺失或不到位,导致IT系统不可用;三是来自自然的灾害威胁着IT系统的可用性。

(5)绩效风险。若IT投资行为不能带来合理的回报,如规划不当、控制不严等,将使组织面临巨大财务风险。同时,如果对IT的投资绩效和运行绩效不能进行有效测量,就不能有效地发现存在的问题,并采取针对性的改进措施。随着信息系统日益成为企业经营成功的核心,且贯穿在完整的流程过程中,企业业务和支撑业务的信息系统愈加无法分割,形成有机的整体。因此,IT风险带来的挑战不仅影响到信息系统本身,也同时会影响到业务的稳定运行及发展,更有可能影响到外部的业务客户。在应对这些IT风险时,传统的方式大多是采用事后反应式的控制措施,使得技术人员疲于应付各种层出不穷的风险,且在面对制度、流程、人员行为等方面带来的风险时,传统的控制方法存在明显不足,而降低企业IT风险的关键是需要有一个主动、科学的风险管理体系。

2企业IT风险管理及其标准指南

企业IT风险管理是围绕企业信息化战略目标,通过在信息系统的规划、开发、运行、维护、监控与评价的各个阶段中降低企业风险的科学化管理流程,包括风险管理的策略制定、风险的识别、风险的评估、风险的处置等环节,以达到企业信息化可持续发展的目标。一个科学的IT风险管理体系是一个具有前瞻性、全局性的控制机制,能综合防范和应对IT治理、法规遵从、系统可用、信息安全、IT外包、业务连续性、IT绩效等诸多方面的企业风险,并能使企业IT战略与企业综合战略相融合,以实现有效益、可持续的信息化发展。信息社会环境下,无论何种规模、什么类型的企业,都需要面临围绕信息系统制定一套管理体系和控制指南,有效地管理企业面临的各种各样的风险,并随着业务环境的变化和新技术的发展及时更新。

在此方面,国内外已经有一些较为成熟的企业IT风险管理的标准或指南。例如美国反虚假财务报告委员会(COSO)于2004年颁布的《COSO企业风险管理框架》,此框架要求企业管理者以风险组合的观点看待企业风险,对包括IT风险在内的所有风险进行识别,并采取措施使企业所承担的风险在风险容纳量(RiskAppetite)的范围内。而美国信息系统审计与控制协会的COBIT标准自1996年诞生以来已经更新到了第四版,已成为全球通用的信息系统审计标准,该标准每一次更新都在不断强化IT风险控制的目标内容,为企业信息系统安全审计提出了具体指导。此外,国际知名的信息安全标准也都提出了各自的IT风险管理控制框架,包括ITIL(Infor-mationTechnologyInfrastructureLibrary,信息技术基础架构库)、ISO27001(信息安全管理使用规则)、CMMI(CapabilityMaturityModelIntegration,能力成熟度模型集成)、Prince2(ProjectsINControlledEn-vironments,受控环境下的项目)等。

近年来,我国的信息化主管部门以及各行业也积极加强了企业风险管理。以金融业为例,2004年9月银监会了《商业银行内部控制评价试行办法》,其中包括了对银行计算机系统的IT风险控制要求;2009年银监会出台了《商业银行信息科技风险管理指引》,2011年银监会了《商业银行业务连续性监管指引》。与此同时,其他行业监管部门也已经或计划出台类似的风险管理措施。上述标准或指南为企业IT风险管理提供了原则指导和对策框架,如何将这些原则性建议与企业自身的工作实际相结合,如何将IT风险管理融入常态化的企业管理机制,仍然是企业管理实践中的难点。因此,本文以我国企业IT风险管理的先行行业———金融业的管理实践为例,详细探讨企业IT风险管理的体系结构及其关系,并就企业IT风险管理的实施提出具体建议。

3企业IT风险管理的体系框架

企业IT风险管理框架通过对企业信息安全各个层面实际需求和风险的分析,引入恰当的安全控制措施,并且同信息系统审计相结合,从而保证企业信息资产的安全性、完整性和可用性。企业IT风险管理框架可分为风险治理、风险评估和风险应对三个主要的方面,并通过风险沟通和监控等手段将三方面有效结合。该体系框架遵循PDCA(Plan、Do、Check、Act)的管理模式,能确保企业IT风险管理始终保持在可持续发展的轨道上,并通过阶段性地进行信息系统审计,以发现存在的偏离,及时调整到信息化的最终目标上来。

3.1风险治理

主要内容包括建立基于风险的信息科技决策、定义风险策略、建立风险组织和风险整合等内容。例如宣传IT风险对于决策的价值、将IT风险考虑纳入业务和IT决策、整合IT风险策略和业务风险策略等都属于风险治理的内容。

3.2风险评估

主要内容包括风险识别、风险分析和风险维护等内容。诸多国际标准都提出了信息安全风险评估的标准,如ISO27001(信息安全管理体系规范)、ISO/IECTR13335(信息技术安全管理指南)、NISTSP800-30(信息技术系统风险管理指南)等,可作为企业实施风险评估实践的参考。风险评估包括识别具体的风险管理对象、识别风险、根据模型进行评估、识别现有控制、分析剩余风险等步骤。风险维护就是对企业识别出的风险进行管理,跟踪风险处置情况,更新风险清单,可通过创建和维护风险数据库来实现。风险维护也是风险评估的重要内容,以实现对风险的持续管理和改进。

3.3风险应对

风险应对就是对已识别的风险进行评估后,制定并落实相应的措施和整体策略,使剩余风险处于可控的范围。风险应对措施包括接受风险、转移风险、避免风险和降低风险。风险应对活动包括确定风险处置方案、实施风险处置、响应和处理风险事件等。

3.险监控/沟通

风险监控/沟通是链接企业IT风险管理各要素的关键环节,是企业IT风险管理体系得以运转的重要方面,包括建立和运行风险指标体系、IT风险内部监督体系、风险报告体系以及风险沟通渠道等。风险管理需要从管理层到普通员工的共同参与,这需要将风险直观准确地展现、横向和纵向的沟通、并持续进行监控。

4企业IT风险管理的实施步骤

为了推进企业IT风险管理体系的实施,本文在总结金融企业信息系统安全风险管理的实施过程,得出企业IT风险管理可行的实施步骤,具体包括识别管理对象、风险识别、风险分析评估、风险应对、风险监控/沟通等五大关键步骤。

4.1管理对象识别

明确风险管理对象是企业实施风险管理的首要步骤,本文提出风险地图(RiskMap)的概念,即实现风险评估对象的可视化,明确识别出全部或特定领域的所有管理对象,只有保证企业风险地图的全面性和准确性,才能准确识别并标示出IT风险所在的位置,从而进行有效的管理,一个全面的IT风险管理可从如下三大维度进行风险管理对象的识别:(1)从资产的角度进行识别,即对组成信息系统的系统、设备和数据等信息资产进行全面识别和统计,具体实施细则可参照ISO27001。(2)从管理领域的角度进行识别,如变更管理、事件管理、配置管理等,具体实施细则可参照COBIT。(3)从服务的角度进行识别,具体实施细可参照ISO20000执行。

4.2风险识别

风险识别是通过科学方法了解企业所面临的IT风险,分析风险的来源、性质,并进行风险处置和风险管理。风险识别通常采用以下方法:(1)头脑风暴;(2)德尔菲方法;(3)故障树分析法,又称分解分析法;(4)业务流程分析法;(5)情景分析法;(6)专家预测法,包括个人经验法、专家会议等形式;(7)筛选、监测、诊断法;(8)资产财务状况分析法。其中,德尔菲方法是最常用的IT风险分析方法之一,具体是指采用“背对背”的沟通方式征询专家小组成员的预测意见,经过几轮征询,使专家小组的意见趋于集中,最后做出合理的预测结论,利用德尔菲法进行IT风险分析的具体流程如下。除了按照上述方法识别风险,也可直接从风险来源入手建立企业的IT风险清单,如行业公认的风险清单、监管要求、监管机构风险提示、过往事件、自我或外部风险评估结果、内部审计发现、管理层和内部员工在工作中的认识等。

4.3风险分析评估

IT风险分析评估是根据一定的评估模型,评估企业IT固有风险值、控制风险值,再根据固有风险值和控制风险值计算出剩余风险值。风险分析是IT风险管理中较难实施的一个环节,尤其是评估模型的制定,可以采用较易开展的定性方式,也可采用准确度较高的定量计算,也可以定量和定性综合使用。以下是一种较为通用的风险分析模型和流程,可以对风险进行量化评估,具体流程包括:(1)计算固有风险值。从影响程度和发生可能性两个维度进行评分,可得出固有风险分值。如下是风险评估的量化模型和公式。其中风险评分从影响程度和发生可能性两方面进行计算,并给出影响程度和发生可能性两方面的评估参数示例。(2)计算控制风险值。结合现有控制评估的结果,从设计、执行、补偿性控制三个层面,参照衡量标准,最终确认控制风险分值。(3)计算剩余风险评估。在获得每一个风险的固有风险等级和控制风险等级后,可根据矩阵获得剩余风险等级值。

4.险应对

首选需要确定管理层的风险偏好等级。风险偏好是为了实现目标,企业在承担风险的种类、大小等方面的基本态度。然后根据剩余风险评估结果及风险偏好,依据内外部需求,并结合实际情况,针对剩余风险提供恰当的控制改进建议,以将剩余风险降低到可接受的水平。风险处置措施包括接受风险、转移风险、避免风险和降低风险。在风险处置计划方面,一方面需要体现可操作性,如分为短期(半年),中期(1年),长期(2-3年),同时也需要考虑多个维度,如组织架构、人员、制度流程和技术等。

4.5IT风险监控/沟通

风险指标是有效进行风险监控和沟通的重要手段。指标是一种可量化的、被事先认可的、用来反映组织目标实现程度的重要标识,是绩效管理的有效手段。企业IT风险管理引入指标体系,可以促进整个活动的有效开展。指标的功能主要表现在以下三个方面:(1)在准备阶段,可以清楚的反映目前企业的信息安全现状,并为制定目标提供依据;(2)在实施过程中,阶段性地反映进展情况;(3)便于各层人员把握活动的进展情况:使高层领导清晰地了解关键要素的进展和改进情况;使管理者集中精力于对活动中的重要和关键要素,及时诊断活动中出现的问题并采取措施。在实践中,应针对关键的风险领域,即根据企业及领导层的风险偏好,建立可监控、可量化的IT关键风险指标。IT关键风险指标来源可包括内外部监管机构数据、自动监控平台数据、IT风险检查果、IT风险自报结果等。关键风险指标可分为风险指标(KRI)、控制指标(KCI)。以变更管理的风险管理指标,可设置紧急变更次数、变更失败比例、变更导致的事件数量等,针对每个变更管理风险管理指标,制定出相应的控制指标,如预警阀值和容忍阀值。

篇8

以2006年情况来说,欧洲地区信息化支出最大的产业是医疗保健业,增幅高达16.6%,通讯业与批发零售业则分别以11%、4.1%居后。美国地区信息化支出最大的产业是商业服务,达到11%左右,其次依序是批发零售业的4.1%,以及医疗保健业的2.8%。

大型企业信息化支出增加

全球市场以大型企业的信息化支出最为壮观,相较于2005年的表现,相关数据不仅呈现出持续增长态势,大型企业增加信息化支出的比例,也从去年的35.3%提升到今年的40.4%。其中,又以电子企业增加信息化支出的比例最高,达到49.5%,其次则是零售批发业的43.5%以及一般制造业的34.8%。

值得注意的是,2005年大型企业的信息化支出金额,虽然有3成以上超过600万美元,其中,又以信息化人力的支出金额最高,达到36.6%。但是,针对信息化训练所支出的金额,却以1.1%为最低。此外,软件的支出也以19.5%低于信息硬件的27.1%。

中小企业信息化支出不变

2006年中小企业的信息化支出,虽然也有18.5%的企业决定增加预算,相较于大型企业的40.4%相差许多。林羿表示,相较于2005年的34.7%,中小企业的信息化支出增加比重,虽然只维持在18.5%,但是缩减信息化预算的比例,却从去年的24.8%减少到今年的9.9%,除此之外,更有高达71.6%的企业信息化支出维持不变。

从产业类别的角度来看,则以IT企业的信息化支出比例最高,并且达到29.2%左右,其次依序是批发零售业的23.3%以及一般制造业的15.9%;信息化预算缩减比例最少的产业,则是以3.3%居冠的批发零售业,排在后面的是IT企业与一般制造业,相关数据分别为9.7%与9.6%。

台湾资策会市场情报中心(MIC)产业分析师林羿表示,企业的信息化支出考量,主要在于整体大环境的政经情势以及企业本身的电算化程度。一般来说,电算化脚步快的企业,现阶段应该会把重点放在既有系统的升级与维护,而比较慢的企业,会比较积极引入一些新的信息化系统。

以CRM、BI为主

资策会市场情报中心的调查指出,目前有高达68%的大型企业,已经完成ERP建置,在这样的情况下,企业的信息化导入需求逐渐转向客户关系管理(CRM)以及商业智慧(BI)等;而中小企业的信息化导入,虽然是以财会、人事、生管、进销存等为主,但是随着企业营运规模不断成长,加上基础应用系统建置已臻完善,对于下一阶段的整合应用需求也逐渐浮现。

目前虽然已经有19.6%的大型企业完成CRM建设,但是2006年仍有8.8%的大型企业计划引入,同时也是各个企业未来1~2年信息化系统引入计划中的优先选择,BI则以8%的引入需求紧随在后;除此之外,中小企业计划在3年内建设的信息化系统中,ERP以7%为最大份额,CRM与BI则分别以6.8%与4.9%居后。

从产业应用来看,林羿认为,由于IT企业的E化脚步快,因此ERP的实施比例相对较高,近年的ERP引入需求也低于一般制造业,而信息电子业与一般制造业对于CRM、BI的需求倒是非常一致,其中,制造业对于BI的应用需求,大多是制造过程优良率分析与绩效管理等,金融业的需求则是基于消费金融业务的发展以及风险控制规范等。

外包需求持续增强

篇9

与大多数中小企业相比较,微型企业的信息化具有什么样的特点,又该如何对之服务?

存在四大管理难题

周老板是北京动物园服装批发市场的小老板,他的生意模式简单,就是从外地工厂进货,卖给那些来批发市场的全国各类服装销售商。周老板一年的销售额是6000万元,在相隔不远的官园服装批发市场也有摊位。库房在这两个经营点之间,周老板的每个摊位各有几名员工,手机成为他们之间使用最多的通信工具。

这是一家典型的微型企业。周老板说,做了几年服装批发生意,感觉把生意精细化管理有困难。“如果自己再想扩大经营,必须使用软件产品,主要用来管理财务等。”但是他对信息化系统有模糊的印象,并不清楚究竟要什么样的产品和服务。

周老板所面临的管理和信息化难题具有普遍性,挑战如下:首先是资金问题,由于他是转租的摊位,在银行开账户、资金往来存在问题;第二是管理问题,库存盘点用纸质记录,存在模糊不清晰的情况,这将直接影响下一个季度的销售;第三是沟通问题,用手机沟通会出现没电、没有信号或者手机不在身边等情况,容易丢单;第四则是对销售情况不了解,由于他主要做老客户的生意,若彼此的资金往来、进销存等都不清楚,对客户关系维护、进货决策等有影响。

如何解决类似周老板这样的微小型企业的困惑?也许,目前业界盛行的云计算可以做到――只要中小企业的云无所不在,而又轻松部署、便于使用。

飘来小企业云

“面对中小企业的云,要像水电那样,零初始成本,用多少付多少钱;还要像用手机那样简单易用,无需学习;这种云全面互联,连接内外部的各类软件,并且无需维护,自动更新升级。” 畅捷通总裁兼CEO曾志勇描述了小企业的云特点说,只有这样,才能解决小老板们对技术的恐惧,让他们轻易上手,让信息化提升企业的竞争力。

据了解,当前小企业的商务沟通模式已经不再局限于传统的“电话+传真”,小企业的信息化模式开始朝着经营过程全互联网化转型。云应用将促使小企业信息化从“奢侈品”变成了“日用品”,从帮助企业管理变成了帮助企业经营:企业只需购买云计算服务,不仅可降低企业的软件服务拥有成本,缩短信息化建设周期,还可大大减少企业运维成本。“云计算是解放小企业的唯一方式。”

曾志勇总结说:“云计算将给小企业带来全新的经营模式变革,随着畅捷通云服务战略的不断完善和整合,畅捷通将进一步契合小企业云应用需求,为它们提供易获得、低成本、见效快、免维护的云服务,引领小企业管理信息化进入云时代。”

金融信息安全问题是每个银行面临的重要挑战,规划信息安全,广发银行从监控平台入手。

广发银行: 安全从监控平台入手

本报记者胡英

随着金融行业对信息化依赖程度日益增强,各种面向金融行业的网络犯罪事件的不断增多,信息安全问题成为银行面临的最重要的挑战。为此,广发银行先行一步,着手打造安全监控服务平台。

信息安全需整体规划

广发银行成立于1988年,是中国最早组建的股份制商业银行之一,截至2010年末,广发银行的全行总资产超过了8000亿元,并连续多年入选全球银行500强。自建行以来,广发银行就实施“科技兴行”的战略,投入了巨资进行信息化建设。至今,其银行网络已经覆盖了全部的营业网点。

随着人们对在网上办理业务的需求日益增加,广发银行业务对信息化提出了日益紧迫和严格的需求,广发银行意识到,建立全行信息安全需有一个整体规划,需要制定一个统一、立体的网络安全策略,做到可监控、可预警。他们请来了专业信息安全公司趋势科技的专家进行整体安全规划。

据趋势科技中国金融行业客户总监刘科先生介绍,趋势科技根据多年在金融行业的安全建设经验,提出对广发银行的安全规划从监控服务平台建设着手。

“虽然广发银行全网都已经部署了趋势科技officescan防病毒软件,但全国各分行及营业网点分散,总行很难及时了解和掌控整体系统的运行状况,而分行也很难做到安全事件的实时通报,急需统一的监控平台了解全行的信息。为此,首先引入了趋势科技的MOC监控服务平台。”刘科介绍。

该平台可以提供针对整个安全生命周期内各种威胁和漏洞的可量化、可评估的防御,借助7 x 24全天候的监控机制、完善的安全流程、专业技术以及专家分析和建议来保证业务连续性,并可通过对防病毒软件的运行数据做分析,根据设定的监控指标,一旦有安全风险出现,管理员和监控中心就可以得到相关的信息和处理方法,及时采取措施,避免陷入被动的局面。

篇10

近年来,云计算及虚拟化技术凭借高效的资源利用、智能的管理模式以及强大便捷的移动办公能力,获得众多企事业单位的青睐,并在电信、能源、金融、政府、医疗和教育等行业迅速普及,可以预见,用虚拟化系统支持企业办公,将是未来的大趋势。据相关调研机构的数据显示,2012年国内虚拟化产品用户数量比2011年增加了80%左右,在未来五年中,虚拟化产品的用户数量将继续保持50%以上的年复合增长率。

近日,安全厂商瑞星公司隆重推出重量级企业信息安全产品——瑞星虚拟化系统安全软件。该款产品的问世填补了国内信息安全市场在虚拟化技术相关的空白。

瑞星安全专家介绍,虚拟化系统与传统的办公系统有着巨大的差异,该平台的应用意味着企业内部的信息安全环境将更为复杂。虚拟化系统本身具有资源、数据、服务高度集中的特点,这就使得系统的可靠性、服务的持续性、数据的安全性及网络的稳定性成为影响整个系统运行的关键性因素,一旦其中任何一个环节出现问题,虚拟化系统就面临严重的安全风险。瑞星安全专家表示,“虚拟化系统不出事则已,一旦出现问题,就将是大问题。因此,打造一套专门针对虚拟化系统的信息安全解决方案,就显得尤为重要”。

瑞星安全专家表示,此次的瑞星虚拟化系统安全软件不仅能够与VMware虚拟化平台无缝结合,而且具有非常高的可靠性和安全性,从而完美保护虚拟化系统的信息安全。虚拟化系统将为企业办公乃至未来人们的生活方式带来巨大的变革,对科技发展甚至是全球经济的发展,都将有深远的影响,瑞星此次的虚拟化安全产品不仅体现了其在信息安全领域的专业优势,而且与VMware能够完美兼容。中国首款虚拟化系统安全方案由瑞星公司来打造,对中国虚拟化市场健康快速发展将起到关键推动作用。据了解,目前虚拟化系统安全解决方案存在有和无两种模式。有模式就是在每台虚拟机中安装独立的杀毒软件,当进行全网扫描时,整个虚拟网络很可能出现大量资源被占用的情况,系统速度将严重降低甚至出现宕机,这种现象在信息安全领域被称作安全风暴。安全专家指出,安全风暴的产生实际上违背了虚拟化系统的设计初衷,高效、稳定、智能资源分配才是虚拟化系统的价值所在。针对这个问题,瑞星虚拟化系统安全软件采用了基于ESXi层的无模式,能够从最底层保护虚拟化系统的信息安全,从而大大降低了安全系统对虚拟平台的影响,避免了安全风暴的产生。从某种意义上讲,只有采用了无模式的信息安全软件才能保证虚拟化系统的高效利用和可靠性。

瑞星副总裁张雨牧表示,虚拟化技术将是未来企业办公的发展方向,虚拟化系统的信息安全将在企业乃至整个国家未来的经济发展过程中起到至关重要的作用。

篇11

(河北大学 管理学院 唐山 063000)

摘要:人工智能作为计算机的学科的分支之一,是被公认的二十一世纪三个最尖端的技术之一。伴随着改革开放以来三十年的经济和科技力量的不断发展,我国的人工智能在各个的领域的技术也得到了长足的发展。而在杭州出现的无人超市更是让人工智能的发展进入到了一个前所未有的阶段,毫无疑问,社会的快速发展离不开人工智能的技术的不断进步。因此,企业应该加强人工智能技术的发展,将人工智能的发展与企业的运营和管理相结合,以推动企业的可持续发展。由此,本篇文章将对人工智能技术对企业管理中的应用进行探究,以期望将对人工智能与企业发展的结合,和我国企业的飞速发展有所借鉴。

关键字:人工智能  企业管理  企业发展

Application of Artificial Intelligence in Enterprise Management

Liu Jiahui

(Tangshan 063000, School of Management, Hebei University)

ABSTRACT: As one of the branches of computer science, artificial intelligence is recognized as one of the three most sophisticated technologies in the 21st century. Along with the reform and opening up since 30 years of economic and technological power of the continuous development, the technology of artificial intelligence in various fields has also been greatly developed. The appearance of unmanned supermarkets in Hangzhou has brought the development of AI to an unprecedented stage. There is no doubt that the rapid development of society can not be separated from the continuous progress of AI technology. Therefore,enterprises should strengthen the development of artificial intelligence technology and integrate the development of artificial intelligence with the operation and management of enterprises to promote the sustainable development of enterprises. Therefore, this article will explore the application of artificial intelligence technology in enterprise management,hoping to combine AI with enterprise development and provide some reference for the rapid development of enterprises in China.

Key words: Artificial intelligence   Business management   Enterprise Development

引言:人类一向以自己为“智能生物”自居,这是因为我们能够不断的学习、观察新事物,让自己能够不断的取得进步,这让人类在地球上显得与众不同。所以当我们也开始充当上帝的角色,开始创造属于我们自己意识的人工智能时,心情也像上帝创世一样,内心充满了激荡与振奋,这便是人工智能的发展的动力。如今,人工智能在大数据时代充当着越来越重要的角色。在欧美等发达国家取得了飞速的发展,随着人工智能技术的不断深入,企业的人力资源、财务会计和知识管理的技术均被运用到人工智能应用中去。

一、        人工智能将对企业会计行业产生影响

(一)   我国的会计行业人工智能的运用

会计作为会计制度的主体,分为三类,主要涉及企事业单位,行政机构和会计师事务所。在中国,涉及会计工作的许多主题工作仅限于人工智能应用中的会计系统。在会计中,一些需要主观行为的工作,例如审查,验证和判断,仍然需要会计人员手动完成工作。然而,在会计师事务所,虽然审计业务也是主要业务的一部分,但在人工智能应用方面略显稀疏,原因是对于大多数上市公司的审计业务,大量的审计工作文件是需要。填写后,它既有草稿的电子版本,当然还有纸质版本,但这些入门数据仍需要手动填写。

(二)对人工智能在会计行业中应用的展望

任何会计师都清楚地知道会计行业是一个严格的行业,也需要及时性。有许多会计程序和复杂的过程需要解决。因此,对于会计,加班是一种普遍现象。在某种程度上,会计师还希望有一天会有人工智能来取代这种枯燥乏味的工作。当前的人工智能应用程序解决了一些基本操作,例如凭证和报告的生成,但它远远不能满足当前会计机构的需求。例如,人力资源会计需要一个符合业务特征的测量工具,并报告业务的人力资源。通过该模型,可以分析企业的人力资源,从而进行合理的人力资源管理,成为降低成本的方法之一。这种需求是会计管理会计和环境会计中许多分支机构的必然要求,因为会计职能现在越来越倾向于决策,会计需要在相应的决策过程中提供信息。但通常很难获得人工计算和分析。如果人工智能可以进一步应用科学知识来解决这个问题,那么最好。

(三)人工智能对会计行业的影响

1)提高了会计内容的时效性和正确性

企业是政府机关或任何会计师事务所,可以在使用会计软件后及时处理发生在当日的经济业务。因为会计人员只能在系统中注册并选择或审计相关事务,所以最终系统根据现有的自动生成相关报表的数据,比传统的会计凭证人工生成报表要及时得多,另一方面,在传统的会计业务流程中,会计人员往往会产生假账,而现行的会计凭证则会产生假账。财务系统也必须是一些手工输入的数据,因为系统在输入错误时会提示,在这种情况下,减少了数据的错误概率,从而提高了会计信息的准确性。

2)一定程度上抑制了财务信息造假                                               

在具体的会计核算制度下,所有登记制度人员都有唯一的账户和密码,并有自己的权限和非常严重明确的分工。工作场所包容性现象在传统会计核算中非常严重。特别是在中小企业中,人工智能的应用有助于通过明确的功能来抑制人工伪造信息。然而,人工智能不能说是为了防止金融伪造。系统毕竟是由人控制的,管理层无法应对会计人员以上的内部运营现象。

3)会计行业中传统岗位需求减少

由于日益广泛使用的人工智能在会计行业,传统的会计职位不需要员工,所以这是一个明显的变化。自1980年代以来我国会计电算化发展此后晋升。它已经商业化,是用于各种会计实体,使原始简单的会计记录和会计工作被人工智能所取代。因此,会计的地位不再是必要的。

4)会计信息安全性受到威胁

各种计算机化的会计系统,广泛应用于电子形式会计实体中存储的各种金融数据,具有电子数据的优点,如省电,方便,数据容量大,易于查找等优点。而另一方面,系统如果保护未达到易受黑客攻击的指定位置,当前网络安全性大大降低的同时,信息可能在网络传输过程中被截获,因此导致企业财务信息泄露会非常严重,会造成重大商业机密,并导致损失。

二、        人工智能对企业金融风控的影响

(一)智能风控落地的前提

在互联网信息技术和网络技术普及的时代,让人类生活进入大数据驱动的智能化发展阶段,而人工智能在金融风险控制的探索和实践中经历了以计算机为标志的信息时代,人类因此CIETY已进入人工智能引领第四次工业革命,如果追求信息时代是数据采集和存储,那么解决人工智能时代是伴随着信息技术的发展和信息爆炸而引起的。由于信息处理能力不足,计算机帮助人们处理海量信息、分析数据和使用,是人工智能的时代,智能认知阶段,人工算法进入商业世界后,开始显示出趋势的普遍性,特别是LY在金融业务中显示出较强的适用性,目前人工智能在国内重点应用于风险控制、信用和欺诈等领域。人工智能产业化可以结合现场诞生,不能留下以下三个重要方面前提:

技术基础的改进。用云计算来说,计算能力在出现之前是一种昂贵的资源,公司不能独自承担这种成本。在人人上网的时代,计算数据量不断增加,大规模数据的培训和计算带来了对CPU水平提高的需求。云计算服务实现了计算资源的循环和重用,大大降低了企业的成本。在云计算的情况下,为了将成本降低两到三个订单,许多初创企业可以拥有强大的计算能力。当然,对于从事人工智能服务的公司来说,拥有计算能力是不够的,因为限制技术的因素还来自于数据采集能力和数据处理和处理能力,列如数学、统计学、机器算法等。而确定大规模计算,强大的人才是必不可少的。

场景的出现需要更先进的技术。特别是在需要扩大规模和复杂化的消费信贷服务中,如何提供高质量的用户体验成为一个难点。例如,在少量的贷款业务中,金融机构或平台需要在短时间内对某个用户进行准确的风险评估,或者在一天内完成数十万甚至更多的用户信用。由于可以预见,这样的要求只会越来越高,场景也会越来越多。传统的刀耕火种评估方法与现有的大量多样化的金融需求完全脱节。因此采取智能投资,但它面临的投资机会是短暂的,交易信息的判断甚至需要快到几毫秒。对现场的需求促使业界使用更合理的算法,更快的计算速度,并要求新技术将人工智能带入舞台。

改进的数据材料丰富。人工智能,所以数据是使用数据来支持操作和判断是人工智能的基础。在金融行业中,数据也是如此。互联网时代的背景下,金融消费者的高度收集碎片更大规模的需求,数据采集成本较低。金融机构和企业可以使用这些数据来计算、处理、和判断,为用户提供个性化服务的经验,基于智能的数据做出决策,实现精细管理,从而进一步推动人工智能技术的应用的发展。

(二)智能风控是传统风控的有效补充

传统金融机构与传统计分卡模型和规则引擎等“特色”风险评分,根据性能和智能风险控制记录,社会行为,行为偏好,身份信息和设备安全方面的行为特征的“软弱”用户的风险评估。两种类型的风险控制从操作到场景显示效果之间的显著差异,后进入移动互联网时代,智能风险控制的优点更加突出,有效补充传统的风险控制。

传统风力控制形成了标准化的操作模式,首先判断用户的身份,然后复习物理用户提供的证明材料。简而言之,它分为以下步骤:首先,回顾通过面对面的检查来确认用户身份的真实性提交材料。材料包括识别和收入证明,如身份证、户籍、银行流动和就业信息。其次,用户的资产评估和确定信用额度,主要的资产估值标准抵押房地产和汽车生产等。最后,信用贷款,其他步骤可以添加,如调查贷款的使用和确认交易的意愿。

关注人的评论,首先,传统的风险控制单元的时间跨度,至少在周需要层层审批,业务流程涉及多个人员和链接,导致效率低;其次,长时间的业务流程,无法满足用户的资本要求,导致坏的用户体验;最后,对小型业务,传统的风险控制复杂的审计程序导致的高成本使银行和无利可图,所以这个巨大的市场的一部分。

智能风险控制对大数据,算法和计算能力,重视数据,生活等识别确认用户的身份;欺诈识别风险,智能控制使用多维特征,许多数据表明意图和倾向,反映用户欺诈;普通用户的还款意愿和能力评估判断。

在互联网经济下具有“规模”增长的消费者金融市场中,智能风险控制可以捕获非传统的金融数据并增加弱势的金融相关特征。机器建模和分析的方法用于及时有效地补充传统的风险控制。首先,智能风控带来闪电般的审查速度。时间跨度以分钟和秒计算,为用户提供更好的服务体验。其次,对用户行为数据的分析得出更准确的评估。最后,在风险预测中,数据模型的使用可以准确地量化未来风险最有可能发生的时间和情景。从快牛金科的实际应用来看,定量风险预测的结果与实际风险的表现一致,误差很小。风险控制标准的放松和收紧所引起的坏账绩效水平的变化可以通过数据直观地衡量。实际的业务运营非常有益。

目前,个性化的场景下贷款和大规模贷款,信用贷款和消费贷款等,智能风险控制有足够的优势,但是大的贷款和交易涉及资产评估、房地产贷款和供应链融资等大型企业。验证的真实性,传统风力控制仍然是不可替代的,两个风控制模式仍将。

(三)智能风控成长空间巨大

在金融行业,风险控制中,无限智能风险控制是一个不断迭代的过程,并不断按照优化的结果进行。到目前为止,智能风险控制已经取得了良好的应用效果。实践中,智能风险控制模型已经更好的用户差异化程度,能够清晰地反映出评价结果中的高质量和不良客户,通过不断的优化迭代,识别的准确性和判断的速度,技术人员一直在螺旋式上升,但目前行业面临的问题是数据岛和信息不透明,行业总负债不共享,仍然是大空间智能风险控制技术的提升。在用户体验上,智能风险控制的最佳路径有二点:一是减少对用户的干扰,对于当前信用风险控制过程中需要获得用户授权等数据的审批,随着数据共享和计算能力市场机制的完善,未来只有需要向客户提供极少的信息进行评估,消除用户对信息安全的顾虑,使用合规性。其次,在上述基础上,提升用户评估的准确性。。

人工智能是一种不可逆转的趋势,但人工智能在推广特定情景时仍面临一些外部阻力。

首先,由于一些工人,意识滞后,商业实践中的人工智能面临着银行和其他机构的模型变革,在管理决策时考虑到潜在风险。其次,需要探讨适当的业务情景。传统的金融业务场景,在应用、审批,基于不同操作系统的贷款和大量人力资源等一系列环节之后,如何切入人工智能将在调整过程中面临长期运行。此外,在监管方面,人工智能还暴露了“黑匣子”理论与“可追溯性”金融活动的矛盾。人工智能对于许多风险控制的实施过程并不是人类大脑能够理解的,而是在一些监管更严格的情景中给予必要的解释。

中国着名科幻作家刘慈新曾经说人工智能就像一个黑盒子。从理论上讲,他们的计算步骤可以追溯,但由于计算量巨大,跟踪实际上很困难甚至不可能。实现两者之间的平衡并建立信任是未来人工智能面临的巨大挑战。在这种情况下,一方面,可以采用更加解释性的算法。对于相同的数据,不同算法的结果不应该远远落后。另一方面,可以预期社会态度的变化和监管法规的调整。毕竟,它不仅仅是以人工智能为代表的计算机科学。随着研究的深入和领域的细分,其他人类主体可能具有传统逻辑意义的结果。

三、        人工智能对企业信息安全防护的影响

(一)人工智能时代下信息安全论述 

信息安全是指用户使用网络系统时,软件和硬件不会被破坏,用户数据不会被改变,为计算机的使用提供安全保障。目前,信息安全在网络保护中尤为重要。在计算机网络的发展过程中,出现了许多数据泄露事件,不仅给企业带来了伤害,而且也暴露了许多人的隐私信息。从小的角度看,数据泄露事件给企业和人民造成了损失,在很大程度上阻碍了国家的发展和社会的进步。

因此,在人工智能快速发展的时代,我们不仅要追求技术进步,还要重视信息安全的保护。信息安全保护不仅是企业和国家的责任,也是每个公民的责任。

(二)威胁企业信息安全的因素 

目前大多数互联网公司都在进行人工智能的研究,5G的华为技术是世界领先的,它不仅是企业的荣誉,也是国家的骄傲,影响企业信息安全的因素很多,涉及到很多方面,对信息安全的保护带来了许多挑战。

1)数据的集中存储 

大量的数据可以存储在计算机系统中,数据之间的紧密联系,非常容易引起攻击者的注意,成为一个黑客的目标。网络数据繁多,从不同的方式,如电子邮件、微博、传感器等,相对集中存储的数据在一起增加数据泄漏的风险,并导致人身安全的丧失。 

2)数据加密技术 

计算机领域的数据加密一直是防止数据泄漏的首要任务,但仍有数据泄漏事件。人工智能技术的应用基于互联网用户的互联网数据的收集。如果没有大量的数据分析,将无法生成智能应用程序和技术服务。集中式数据库集中在资源丰富的大型企业手中。一方面,他们收集数据,另一方面,他们分析数据并智能地应用它。企业主要是营利性的,信息安全投入太小,会增加数据泄露的风险。 

3)杀毒软件的应用 

由于计算机病毒的不断侵入,导致很多杀毒软件的产生。如果计算机中毒,可能会导致多台计算机,甚至整个企业计算机崩溃,数据丢失。病毒以不断变化的形式出现,入侵计算机的方式多样化,每次出现新的病毒,都会导致杀毒软件的各个方面升级。企业不应该只根据病毒更新杀毒软件,而应该让企业的数据更加安全 

(三)企业信息安全的防护措施 

1)对数据安全技术研发 

从传统信息安全技术的角度出发,企业必须加大对数据安全技术开发的投入,以保证人工智能的顺利发展。同时,国家要给予大力支持和一定的帮助。多方面引进新人才。其他企业数据安全技术也在不断发展,以保证网络操作过程中的数据安全,从而使黑客蒙受损失。

2)重视敏感数据的保护 

敏感信息不应披露没有用户的权限。企业应优先保护用户的私人数据,并规定使用的设备,以确保网络可以正确操作。国家应该制定相应的制度措施的敏感信息,这使得一些人气馁。

3)国家对数据的保护制度 

保护数据不仅是企业的责任。国家也应提出安全策略,制定安全要求,加强然后进行安全体系建设,加快人工智能立法的应用。国家应制定相应的数据保护法律法规,同时将数据保护渗透到学习课程中,教育幼儿,真正向每个人传达数据安全意识。个人应及时清理隐私资料,安全文明上网。

4)合法共享用户信息 

使用用户信息时,应明确信息来源的合法性,确认数据的有效性,共享用户信息时应征求用户意见,用户不得擅自披露。否则,将获得虚假数据,这可能导致企业损失。

总结:随着科技的蓬勃发展,人工智能的蓬勃发展也在继续。尽管这个的人工智能还发展不完善,及时在早期进入的金融领域,还主要集中于风险控制、定量交易和智能客户服务。然而,人工智能对世界的好处将不受限制。

人工智能的进一步推广和应用,将形成广泛的基于机器的智能决策,可以大大提高社会整体运行的效率。例如,在围棋、自动驾驶、公安等领域,人工智能显示出良好的学习能力和决策能力。

人工智能也带来了社会结构的变化,如就业制度。一些简单、重复和自动化的数据收集和记录将被机器所取代。从目前的发展速度来看,客户服务、简单的风险控制、基础营销等人员更有可能被替换。技术的发展超出了人们的想象。就像2000年一样,没有人认为打字员在计算机和互联网普及之后成为了纸堆中的象征。人工智能技术对人类生活的渗透将是巨大的。就像互联网一样,20年前需要访问特定场景和手段的服务,如网吧、学校房间和拨号上网,都涉及到饮食和穿着。业务的各个方面的活动、业务和业务方面。当人们无法感受到人工智能的存在时,这意味着人工智能技术已经达到并得到了广泛的应用。

参考文献:

[1]贲可荣,张彦铎 .人工智能 [M ].清华大学出版社,2006.

[2]陆汝钤 .人工智能 [M ].科学出版社,1989.

[3]罗素,诺维格 .人工智能:一种现代的方法(第二版)[M ].清华大学出版社,2006.

[4]李生 .自然语言处理的研究与发展 [J].燕山大学学报,2013(5):377-384.

[5] 孙涛 . 知识管理 ——— 21 世纪经营管理的新趋势 [M ]. 北京 : 中华工商联合出版社 , 1999.

[6] 李桂青 , 罗持久 . 工程设计专家系统的原理与程序设计方法[M ]. 北京 : 气象出版社 ,1991.

[7] Joseph Giarratano. 专家系统原理与编程 [M ]. 北京 : 机械工业出版社 , 2000.

[8] 吴今培 . 智能故障诊断与专家系统 [M ]. 北京 : 科学出版社 ,2000.

[9] STB ofNASA [ Z]. Clips Reference Manual Advanced Program 2ming Guide 2001.

篇12

他表示:近年来,经济和金融领域的信息安全事件不断发生,保险业是信息密集型企业、行业,保险信息系统作为国家重要信息系统之一,目前信息安全基础还比薄弱,安全意识有待于提高,信息安全保障体系还不完善,还面临着严峻的挑战。

经过几年的建设,保险业信息化走过了最初的电子化和后来的数据大集中,绝大部分保险公司实现了业务、财务数据处理的全国集中,部分公司完成了业务数据的省级集中或实现了省级业务处理的集中。基本完成了大集中的保险公司和机构下一步该怎么走下去?首先当然是信息整合,对数据质量的控制和数据资产的利用,这是数据大集中自然而然的要求。另一项重要的工作则是维护信息安全,以保障集中后的庞大系统稳定运行。

其实,自信息化建设初期起,保险机构和公司就应该着手信息安全工作,但是,由于意识上的不重视,不出事就不会想起的常人思维,直到大集中的完成,他们才觉悟从技术和管理上采取最优的安全措施至关重要。

特级重要性

作为以信息处理,数据管理,金融保险服务为核心的保险企业,其信息系统面临的主要威胁也是病毒、网络攻击、网络犯罪、系统设备的损坏和各种自然灾害。但是众所周知,不论是商业保险还是社会及医疗保险,保险期短则一年半载,多则几十余年,因此,每个订单涉及的时间很长,这就意味着,这种电子化的订单可能需要一直保持几十年,这几十年的数据都必须要保存,数据何时何地发生更新都需要记录。一旦信息系统发生问题或者故障,保险企业损失的将不只是金钱,还有信用甚至可能是生存。另外,从竞争的角度来看,保险企业的客户数据都是属于高度的商业机密,一旦泄露出去将会给竞争对手以可趁之机。

所以,除了在日常运营中完善信息安全基础设施,信息安全管理的各项制度、规定,开展信息安全教育培训和宣传等工作外,保险企业还需要有抗风险和应急反应能力,以保障业务的连续性。这一点也是保险企业信息安全的重要内容。

2001年发生在美国的“9・11”事件教育了全世界的企业:如果天灾人祸降临,你得公司是否能够生存下来就要看你是否之前就进行了有效的灾备工作。作为对安全最为敏感的行业之一,保险业更是积极投入了大量的人力物力来提高自己的抗风险能力。据统计,目前,我国超过50%的保险公司开展了灾难演习或制订了灾难演习工作计划,中国平安建立了上海数据备份中心,部分公司正在建设异地灾备中心或计划建设异地灾备中心。

政府支持

保险公司积极建设灾备中心和加强各项安全管理的背后,是国家和政府对于保险信息安全的重视和支持。

中国保监会出台了一系列保障信息安全的措施,比如制定并下发了《保险机构计算机系统重大系统性故障突发事件应急预案》、《保险信息系统应急协调预案》以及《关于做好保险信息系统灾难备份工作的通知》,转发了国信办《重要信息系统灾难恢复指南》,并与国信办、国家网络与信息安全信息通报中心建立了联系、沟通、通报机制。

篇13

中图分类号:TM769 文献标识码:A 文章编号:1671-7597(2013)15-0119-02

随着国内外网络与信息技术飞速发展和广泛应用,发电企业信息化也在不断深入开展,信息安全形势更加严峻,网络与信息安全工作问题更加突出和重要。发电企业在保证发电安全生产的基础上,逐步通过信息化建设,梳理管理流程,加强内部管控,从而达到提升竞争力的作用。

信息安全是信息化建设的基础和前提,基于PKI技术的数字证书机制构建的应用层信息安全保障体系,已经作为信息安全基础设施,在政府、金融、电信等领域得到广泛应用。如何合理构建安全认证体系,既能满足信息安全管理要求,又能保证投资和信息安全管理可控在控,已经成为发电企业越来越关注的问题。

1 发电企业信息安全现状分析

在发电企业构建电子认证体系以保障业务安全的过程中,主要面临着如下需求和问题。

1)缺少完整的电子认证基础设施,企业内部多级管理体系和独立分支机构的不同信息系统使用的数字证书不统一。

2)自建的电子认证基础设施,有可能不具备相关运营资质,并且建设和运营维护成本较大,而只采购第三方认证机构颁发的数字证书,又不能完全满足企业内部信息化管理的需要。

3)重要核心信息系统未采用双因素认证、数字签名和数据加密等技术手段,无法保证数据保密性、完整性、抗抵赖性等信息安全要求。

为了很好的解决以上问题,结合发电企业信息化建设实际情况,提出以下几点建议。

1)针对发电企业内部多级管理体系和独立分支机构,建设统一的RA注册审核机构,与第三方认证机构PKI/CA基础设施配合,将完整的电子认证服务引入到现有信息系统中,既满足了安全体系完整性,又方便了内部安全认证服务管理。

2)针对不同的信息系统特性,制定双因素认证、数字签名和数据加密等安全认证策略和实施规范,RA系统设计上应方便的与业务系统进行对接和交互,避免成为“信息孤岛”,保证数据保密性、完整性、抗抵赖性等信息安全要求。

3)针对已经使用了数字证书等安全认证的信息系统,应考虑能够实现平滑过渡和无缝对接,防止出现安全体系设计重大变更和大规模系统改造等情况。

2 PKI/CA/RA简介

1)PKI为“公钥基础设施”,是一个用非对称密码算法原理和技术实现的、具有通用性的安全基础设施。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

2)CA认证机构是采用PKI公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构。它是PKI公钥基础设施的核心,主要完成生成/签发证书、生成/签发证书撤销列表(CRL:Certificate Revocation List)、证书和CRL到目录服务器、维护证书数据库和审计日志库等功能,即证书的颁发、证书的更新、证书的查询、证书的作废、证书的归档等功能。

3)RA注册审核机构:RA是数字证书的申请、审核和注册中心。从广义上讲,RA是CA的一个组成部分,主要负责数字证书的申请、审核和注册。

3 基于PKI/CA/RA的安全认证服务平台

3.1 平台架构

通过对发电企业安全现状和需求分析,根据证书签发、证书使用两种应用环境和职责不同,将RA系统划分为RA子系统、证书验证子系统两个子系统。

1)RA子系统:负责证书的申请、签发、更新、状态变更等证书业务功能。RA子系统结构由CA能力接入、系统管理、证书服务、用户自服务等功能模块组成。CA能力接入模块面向第三方CA系统,系统管理模块面向RA系统管理员,证书服务模块面向业务系统,用户自服务模块面向使用证书业务的用户(个人用户、企业用户)。

2)证书验证子系统:负责证书有效性验证、签名验签等证书应用功能,提供非对称密钥运算、摘要运算、签名验签运算、证书验证等证书应用服务。

3.2 数字证书设计

3.2.1 设计原则

RA系统签发的数字证书应具有以下特点。

1)数字证书符合X509v3国际通用标准,可以同发电企业目前的电子认证体系无缝对接,平滑过渡。

2)数字证书获得国家电子认证服务资质认可,受《电子签名法》保护,可以对外使用。

3)支持签发软/硬两种形式的数字证书。

软证书符合PKCS12标准,能方便的在手机、PDA等终端上使用。

硬证书保存在USBKEY等硬件存储介质上,安全可靠。

3.2.2 数字证书类型

按照数字证书的颁发对象不同,数字证书主要分为个人数字证书、机构数字证书和设备数字证书等。

1)个人数字证书,主要用于标识数字证书自然人所有人的身份,包含了个人的身份信息及其公钥,如用户姓名、证件号码、身份类型等。

2)机构数字证书,主要用于标识数字证书机构所有人的身份,包含机构的相关信息及其公钥,如:企业名称、组织机构代码等。

3)设备数字证书,用于在网络应用中标识网络设备的身份,主要包含了设备的相关信息及其公钥,可用于服务器或网络设备标识和验证设备身份。

3.2.3 证书使用范围

从使用范围上来说,企业数字证书分为内部证书、外部

证书。

1)内部证书限于企业内部人员、业务使用,承担行政责任,可以用于企业内部安全保障;企业重要人员的证书采用USBKEY存放,其他人员采用软件存储。

2)外部证书限于企业外部人员、业务使用,如电子商务平台的供应商。承担法律责任,在对外业务出现纠纷时,可以用于法律鉴定,采用USBKEY存放证书。

3.2.4 证书用途

根据数字证书的密钥用途,将证书分为以下两种。

1)签名证书:其私钥可用于对信息的签名。用户在使用私钥对信息签名时,应知晓并确认签名的内容。对于具有身份鉴别用途的证书,其私钥可用于对鉴别方提交的挑战信息签名;在可能的情况下,具有身份鉴别用途的证书及信任链上的证书(根证书除外)应提交给验证方。

2)加密证书:其私钥可用于对采用对应公钥加密的信息

解密。

根据国家密码管理局的相关要求以及发电企业对证书的使用需求,个人证书、企业证书都需要签发双证书(加密证书、签名证书)。

3.2.5 证书存储形态

根据数字证书的存储形态不同,可以将证书存储在以下介质中。

1)软证书:证书以软件形式存放,包括以文件形式或者将证书导入到IE存储;根据信息系统对证书的要求,可以将个人证书(大部分)以软件形态存放。

2)USBKEY证书:证书存储在USBKEY中;企业重要人员的证书采用USBKEY存放,企业外的个人证书、企业证书全部采用USBKEY存储,便于保管。

4 应用实践

目前对于发电企业来讲,PKI/CA/RA安全认证服务主要可应用于以下几个方面。

1)办公自动化系统电子印章管理,采用数字签名及证书对称加密、非对称加密等技术,防止电子文件被篡改、电子印章被非法利用。

2)企业资源计划(ERP)、燃料管理、办公自动化、资金管理、电子商务等重要信息系统的双因素认证,为IT审计提供依据,防止抵赖,进一步保证系统安全。

3)无线网络、VPN网络等网络接入认证管理。

5 结束语

PKI/CA/RA安全认证服务平台实现了统一、完整的电子认证基础设施,为发电企业提供数字证书申请、受理、审批、签发、更新、吊销、等业务功能,数字证书与企业资源计划(ERP)、电子印章、电子商务等信息系统集成,全面支持企业内部和对外电子商务应用,以及重要信息系统、设备的双因素认证。

实践证明,PKI/CA/RA安全认证服务平台在发电企业信息安全工作中,已发挥了不可替代的重要作用,可有效提高信息系统安全性和可靠性,下一步将加强核心业务信息系统中的重要操作、重要信息系统中敏感信息加密、移动办公等方面的研究和应用。

参考文献

[1]龙玉江,白雪,汪浩.PKI/CA技术在电力信息系统安全保障方面的应用研究[J].贵州电力技术,2009(1):40.

精选范文
学术杂志
友情链接