金融安全建設精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的金融安全建設主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:金融安全建設范文
一、領導重視
(一)組建有力的領導班子。我們成立了金融生態環境建設領導小組,由常務副市長任組長,金融證券辦、人民銀行、財政、審計、監察等相關部門負責人為成員。領導小組下設辦公室,具體負責日常組織、協調、考核等工作。
(二)成立專門服務金融工作的機構。將金融證券辦由原來隸屬于商務局的股室單位,升格為行政支持類正科級事業單位,設10個編制,并成立了3人黨組,配強了領導力量,配齊了懂金融,善管理的工作人員,為今后我市金融工作的開展打下了堅實的基礎。
(三)完善聯席會議制度。由主管金融工作的副市長牽頭,政府辦、金融證券辦、財政、農辦、工業、公安、監察、檢察、法院等市直部門及金融機構共同組成金融工作聯席會議,著力研究部署、推進金融生態建設、維護金融債權、完善社會信用體系等重大問題,大大加強了黨政各部門在金融工作上協調配合。每年召開幾次市委常委會議、政府常務會議,聽取金融工作專題匯報,部署規劃金融工作。市人大、政協每年都要召開兩到三次金融工作座談會,對金融環境和信貸投放開展專題調研。
(四)安排必需的工作經費。市財政除每年預算安排專項金融工作經費外,近幾年,每年還安排20萬元的金融創安專項工作經費,為金融創安工作提供必要的財力保障。
二、措施得力
(一)依法規范行政程序,打造誠信政府。出臺了《加快市域經濟發展獎勵暫行辦法》。去年拿出獎勵資金54萬元,重獎了華融湘江銀行、農發行、農行、建行、信用社等5家金融機構。作出優化經濟發展環境十項公開承諾,整治面向企業和金融機構的“三亂”行為。加強政府性債務管理,確保重點工程按時兌付,及時歸還銀行貸款。實行干部信用報告制,探索建立干部個人信用檔案,在提拔、任用干部時,將個人信用作為重要依據。
(二)財政蔸底改制企業,保障金融債權。為維護金融資產安全,我們邀請債權銀行參與企業改制,共同規范改制行為。清算償還階段,在保證人員安置的前提下,優先保證地方金融債權;對資不抵債企業,財政墊資保障金融債權。*年,**市棉麻公司改制和糧食購銷公司改制,由于企業人員包袱重,安置費用缺口大,農發行發放給兩家企業的515萬**1200萬元貸款面臨壞賬風險,農發行的有關領導非常著急。為維護地方金融債權,我們主動出面,組織農發行、財政、城市建設投資公司等單位多次協調,最后由財政墊資715萬元,財政擔保,城市建設投資公司墊資1000萬元,確保了農發行的權益。
(三)清收公職人員欠貸,增強誠信意識。從*年開始,率先在全市開展清收國家工作人員拖欠貸款專項整治行動。截至*年,1400多名公職人員還清了逾期本息,共計收回資金600多萬元,落實有效資產抵押300多萬元,清收率達到81.2%。
(四)實施鄉村信用工程,創建誠信鄉村。出臺信用鄉(鎮)、信用村、信用農戶評定辦法,制定信用農戶利率優惠措施,倡導誠實守信的正氣清風。目前,我市已評出4個信用鄉鎮、163個信用村、138955戶信用農戶。*年,農信社新增“三農”貸款2.7億元,有力地支持了我市新農村建設。
三、效果明顯
通過幾年的不斷努力,金融創安的效果十分明顯。*-*年,在**市金融生態環境建設考評中,我市三次名列第一,被評為**市“*年度金融安全區”。**工業園成為全省第一批中小企業信用體系實驗區建設試點單位,民間借貸利率動態監測模式全省推介。*年,順利通過省級金融安全區考核驗收。
(一)社會金融意識明顯增強。一是法治環境進一步改善。司法機關加大了對經濟、金融糾紛案件的審理和執行力度,金融糾紛案件結案率逐年提高,有效地支持了金融機構維護債權。同時,采取鐵腕手段治理“三亂”,經濟發展環境不斷優化。近幾年,全市行政事業單位未出現亂收費、亂罰款、亂攤派的現象。二是信用環境進一步優化。社會公眾、貸款企事業單位和個人金融風險意識、信用觀念明顯增強,誠實守信,基本能按期歸還貸款本息,企業改制無逃廢銀行債務現象,對惡意逃廢金融債務行為的單位能及時進行制裁。*年,共清收13筆行政事業單位拖欠銀信部門貸款341萬元,占應收款547萬元的62.4%;清收73戶國家公職人員拖欠銀信部門貸款287萬元,占應收款353萬元的81.2%。
(二)金融體系不斷健全。由于金融環境日益改善,繼*年成功引進華融湘江銀行**支行后,又成功引進了國開村鎮銀行入駐我市,于*年12月18日正式開張營業,短短一月時間,實現存款余額突破億元。
(三)金融運行質量提升。*年末,全市金融機構盈利7434萬元,同比增加1839萬元;存貸比53.3%;流動性比例72.4%;法人資本利潤率15.8%;不良貸款率僅為5.73%。
第2篇:金融安全建設范文
【關鍵詞】金融信息 安全風險 對策
一、引言
信息安全建設應綜合考慮,信息在獲取過程中要考慮其的完整性、可用性等,我們要盡量的全方位考慮,將設計信息系統的安全方策略做到最好。隨著網絡建設的覆蓋、網絡安全基礎設施的建立,數據的大集中已進入發展階段,其中數據大集中成為我國金融業信息化工程的重點,方便的經營管理能有效控制外部安全風險,增強了規模化程序化效益,但同時也帶來了風險。金融業的辦公自動化和信息數據中心規模數據的不斷擴張,這種聚集的風險會更加突出,數據控制中心一旦受到攻擊,計算機將立即終止服務,同時引起與之相關聯的一系列的金融服務業務暫停或癱瘓,最終將因數據的丟失而引起多起法律糾紛,這必然也會造成社會的不和諧。隨著我國信息技術的快速發展,會有越來越多的安全技術問題隨之而來,電腦系統的入侵與反入侵的攻擊也將會變得復雜并且頻繁上演。所以,金融業對網絡體系實施安全保障防護的要求也就刻不容緩了。因此,要保證金融機構的信息系統平穩運行及各項業務的持續展開,必須建立一套金融信息安全保障體系,統一金融信息安全問題處理規范和流程,是有效防范和化解安全風險,以及增強金融系統的信息安全整體防范體系的關鍵。
二、金融信息安全的現狀
由于信息技術在金融系統的廣泛應用,金融業務都是以信息技術為支撐,各金融系統同中央銀行、國家相關部門實現了網絡聯接,從而,信息安全的重要性凸現,信息安全不僅關系到金融安全,甚至關系到社會穩定和國家安全。但金融系統在建設初期“重建設,輕管理”,信息安全管理相對滯后,管理機制、管理制度、人員配備、技術手段等都同信息安全管理的要求有一定差距,致使信息安全面臨的風險越來越呈現復雜性:既有環境風險、設備風險、技術風險、操作風險、人員風險,又有遭受惡意攻擊和失泄密的風險,而國家有關信息安全管理的制度缺失,人民銀行等監管部門在對金融系統信息安全管理方面的監管中,缺乏相關的制度規定、法律規定,相關工作的開展受到一定的影響,急需完善金融信息安全制度,加強金融系統信息安全管理工作。
三、提升金融信息安全綜合保障能力的對策
努力構建金融信息安全保障體系,金融信息綜合安全防護的抵抗能力要增強,這一項龐大而復雜的系統工程,信息安全防線的構成是多層次多角度的,需要有正確的信息安全意識,科學投資,抓好硬件設施建設,但也決不能靠幾件安全性能的硬件就解決、放心。還需要有完善的可行性制度。因此,要加強安全管理的科學性和制度化,總結成八個字:“三分技術,七分管理”,應用這個道理,從我國金融業法制、技術、管理、人員等幾方面齊步共進,來完善我國金融信息建設。
(一)樹立正確的信息安全意識
信息的價值就在于它的獨占性、排他性,并保證其安全性,信息安全是繼領土、政治和經濟之后的另一。國家只有建立保護好信息安全產業的屏障,開發具有自主知識產權的技術和產品,擁有自己的,才能在世界經濟中占主動地位,進而也就避免了我國企業目前的常常被國外公司侵犯其專利權的窘境和落后的危險。
對待信息安全問題,要本著客觀、公正、科學的態度,既要認識到信息安全保障系統確確實實存在安全漏洞,又要客觀對待系統漏洞的狀態,針對現狀和有限的條件,及時對漏洞加以修補,要正視信息安全保障系統帶來的利與弊。要構建一個絕對安全的完善系統是不可能的,因為在任何時候安全都是相對的,系統的開放性與方便性和系統的安全性與保密性始終是一對矛盾,因此,我們要做的就是建立一個不斷完善的補充機制,來強化信息安全的屏障作用,在危機時刻數秒鐘能及時更正,恢復這樣的認識即可。
(二)科學均衡投資,努力抓好金融信息安全的建設
為確保信息系統的安全,硬件的投入是必要的,但仔細分析我國金融業在信息技術方面的投入發現,在投入方向上重硬件、輕軟件,信息系統的建設要遠遠高于信息安全方面的建設,即所謂的“重業務發展,輕安全管理”。 然而,金融業的數據就是金融機構的生命,隨著對計算機系統的依賴性與日俱增,就意味著金融機構的核心競爭力——金融業,是社會核心的集聚敏感的部門。從金融機構的運營角度來講,安全性一直都是重中之重,安全建設是各金融機構應該時刻重視而且必須做好的工作。要做到未雨綢繆,安全防范,實施穩妥。因此,金融業在對待信息技術的投入方面,應高度重視信息安全,積極推進系統建設,在業務系統建設的同時,同步推進信息安全建設,做到科學投資,確保安全。
(三)構建信息安全技術保障體系
就目前的情況看,我國信息技術安全屏障防止各類復雜的信息系統攻擊能力不是很好,尚不具備抵抗外界破壞的后備程序或者說應急機制,可以說我國的信息技術安全保障尚未建立成體系,應加強信息安全技術的投入和產品的研究、開發與應用,建立信息安全程序增進研發、產品跟蹤反應及應用的完好優質的循環體系,要有自主知識產權的技術和產品,要從監控、系統、設備、硬件、軟件等各方面,從信息流轉的各個環節,和個人用戶、金融機構、金融行業、國家等不同層面上,建立一個高效安全的金融信息網絡通道的安全信息保障體系。
第3篇:金融安全建設范文
【關鍵詞】企業內部審計 金融風險 防范
一、引言
經濟全球化的形勢愈演愈烈,金融動蕩和金融危機的出現通常和金融體系的不健全有關。政策導向偏差、制度不健全,尤其是企業內部審計制度和監督管理不到位都是整個金融體系動蕩的關鍵因素。企業內部審計制度是一項獨立、客觀、公正的約束與評價機制,在現代金融體系安全建設中發揮著至關重要的作用。隨著經濟全球化形勢加劇,強化企業內部審計工作已經成為防范金融風險的強力盾牌,它能促進金融體系的健康發展,進而推動國家經濟建設的順利發展。客觀分析評價企業各項規章制度和預算行為,以專業視角為管理層決策提供科學建議,針對發現的問題,深入分析原因并提請、監督決策層進行查處或改正,才能確保金融體系的安全。
二、目前企業內部審計存在的主要問題
從目前我國企業的內部審計狀況來看,主要存在以下問題:
(一)內部審計的獨立性欠佳,人才隊伍發展緩慢
以金融行業為例,其內審機構形同虛設,絕大多數只是單純作為金融機構自身的內部職能部門存在,組織形式和功能比較單一,沒有完全的獨立性。根本不利于組織本級金融行最高層次的決策和經營事項,不利于有效的監管相同級別的組織做進行的各項業務。此外,部分管理層認為內審部門耗費高昂的運營成本、占用了大量的人力編制,卻無法直接帶來經濟效益,所以不十分重視。鑒于此,企業內審機構人員編制和流動管控愈加嚴格。一方面,年齡偏大、技術水平偏低的老員工暫時無法調整;另一方面,部分學歷高、專業知識扎實、工作能力和責任心強的人員無法引進來充實內審團隊;大大削弱企業內部審計工作的功效。
(二)內部審計的理念構建和質量標準尚未完全規范
首先,理念構建不規范。面對經濟全球化的形勢,國內的諸多企業并未深刻理解內部審計和風險管理的實質含義,多數企業也沒有構建適應現代企業制度要求的法人治理結構,缺乏自我發展和約束的運行機制。其次,內部審計的質量標準和責任歸屬不清晰。沒有完善的責任歸屬制度和質量標準,就會帶來內部審計監督機制有效性不足、查出問題不知找誰解決、問題的解決流程如何制定等等突出問題,最終使得內部審計監督的權威性以及嚴肅性形同虛設。大量已經查出的問題無法得到真正有效的解決,大大增加了整個金融體系的運行風險。
(三)內部審計的稽核管理體制落后,制度建設亟待創新
當前,內審部門多數受制于自身單位,面臨利益沖突之時不可避免的產生短視行為,單純從局部利益出發,縱容違規違紀問題得不到徹底查處,極大地削弱了內審職能。此外,企業中普遍都存在控制不足與控制分散并存,內審制度滯后性嚴重的現象。或者內審制度不健全,監管部門之間責任不清,職能界定不明,問題一經發現,互相推諉。或者是諸多繁雜、分散的內審法律制度見諸于各類文件,制度之間缺少協同性。如此以來,內部審計過程中,主要負責人面對雜亂、甚至互相矛盾的內審制度,只能疲于應付,大大降低工作效率和內審監控職能。
三、健全企業內部審計、保障金融體系安全的建議
建立完善的企業內審制度是保證內部控制制度得到落實、維護金融體系安全的的重要保措施。為此,建議從以下幾方面做起:
(一)確保內審獨立性,提高審計人員素質
在企業的決策層內部準確和詳細的滲透“內部審計”文化,大力宣傳內審的緊迫性和重要性。設置獨立的內部審計機構或組織,直接對企業高層負責并報告工作。清晰界定內部審計組織的各項職能,以便其能及時發現內部缺陷、及時報告、敦促相關職能部門及時處理。確保風險可控,內部控制運行有效。提高人員綜合水平,一方面要引進年富力強、專業水平高、政治覺悟高的青年才俊到內審部門中;另一方面,不斷的提高內審人員的專業素養,嚴抓組織內的理論知識以及基本技能學習。推動其熟練掌握國家的宏觀經濟政策和相關技能的創新知識。
(二)完善內審體系的構建,明確內審工作的質量標準
首先,搭建內審工作的關鍵體系,建立完善的內審信息庫,對大量的相關信息進行采集,并按照內審規則和實際工作需要,分門別類,歸納分析,掌握各項風險信息的實質性關聯,儲存強大的信息庫。
其次,結合企業經營活動涉及到的各項業務特征,在信息庫中尋找有效、可靠的審計依據。
再次,建立專門的審計案例庫。企業內部審計人員長期的經驗積累以及企業、國家各方面內審工作中創新的案例都可以作為借鑒來充實案例庫。
(三)明確內審工作的質量標準,界定責任人
依法按照嚴格的稽核程序和流程,制定日常工作的質量標準,對實際工作設計的各個環節制定明確的作業標準。同時,根據不同的工作需求,規定不同的驗收,強調內審工作的權威性。培養積極的創新意識,從真實性入手,重點核查薄弱環節以及資產質量不高、效益不明顯的關鍵原因;秉持精益求精的意識,把差錯防弊上升為一種理性的科學思維,深查深究,一查到底,從根本上完成內部審計;強化法制觀念。實際的工作開展要嚴格按照國家有關法律法規,嚴肅認真,獨立客觀的陳述事實;在內審過程中設置項目和主要負責人,確保各項具體的責任到人,以便工作過程中的各項風險控制和管理。
參考文獻:
[1]李藝君,趙建虹.論內部審計參與風險管理的路徑[J].中國商界(上半月),2010,(02).
第4篇:金融安全建設范文
一、我國證券公司發展現狀
我國證券行業的總資產、股票基金交易量和主營業務的集中度都有所提高,屬于準集中式產業。市場容量、企業規模和國家政策都是影響市場集中度的主要原因,但對于證券行業來說,市場容量不是主要因素,而我國證券公司因規模造成的集中度還有很大的提高潛能。互聯網金融發展至今,形成了以支付寶、理財通、阿里小貸、余額寶為首的一些列金融服務方式,其中,理財通是與證券等金融機構最密切的形式。但是我國證券公司的產品和服務差異化程度較低,常見的有股票、債權、基金等,價格和服務質量也沒有明顯分界線,限制了券商的差別化。在證券公司營業模式轉型的關鍵時期,讓投資者享受個性化的產品和服務是券商成功的重要原因。隨著信息技術的發展,互聯網成為了證券行業最大的競爭者,虛擬空間給商家帶來了無窮無盡的價值創造空間和速度,第三方支付、云計算等大大方便了金融產品的交易方式,互聯網聚集了大量客戶資源和資金往來,阿里巴巴、騰訊等客戶擁有量不下幾億,支付寶交易量更是數量級。數據信息是證券公司的網絡平臺發展的基礎,券商也需要如此大量的客戶信息和數據,形成自己的資金吸聚能力,實現靶向營銷,但是這是目前的券商無法企及的。
除此之外,政策與市場等外部環境因素也不可忽視。證監會對證券行業放寬政策,我國2012年的證券營業部數量已經達到5000多家,實現了網絡化管理。證券、銀行、保險等金融混業的形式愈加明顯,具有綜合性功能的金融機構越來越受市場的歡迎。證券公司在混業背景先率先進行網絡金融建設將取得先機。P2P、眾籌融資等各種創新業務的涌現改變了證券行業的格局,引領了資本市場融資領域的革命性創新。
二、互聯網金融對證券行業的影響
隨著互聯網的興起,證券公司的交易主體和交易結構也發生了根本性的改變。一方面,傳統的交易方式引發了交易各方所得信息的不對稱性,但是互聯網的透明性和公開性最大限度的減少了這種信息不對稱,其虛擬性也減少了不必要的中間成本,消費者能夠在信息對稱的情況下實現自由平等的金融服務,不僅體現了金融服務的民主化,還提高了金融服務的有效性。網上開戶和網上證券產品銷售,有助于券商拓寬營銷渠道,同時傭金率得到了進一步下降,證券與互聯網的加速融合使新產品經紀和資管業務的地位逐步提升,隨著經濟的發展,網絡為資金需求雙方提供了一個發現市場的機會,將成為券商發展業務和銷售產品的主要平臺。交易雙方通過互聯網了解對方的信息,借貸雙方能夠自主信息和選擇項目,除去了一切繁雜的手續。因此,資金中介將逐漸被淘汰,第三種金融運行機制應運而生,包括P2P、眾籌融資等方式,引領了資本市場融資領域的革命性創新,互聯網金融化將是一個有別于商業銀行間接融資和資本市場直接融資的新方式,提供咨詢、評估、協議管理和回款管理等服務。互聯網銷售門檻較低,大大降低了券商業務成本,引發了傭金價格戰。如今非現場開戶現在還是初始階段,一旦全面放行,成本減少的幅度將會更大。證券行業在互聯網金融中穩定發展后,將會催生出新的商務業態,使未來的競爭更加復雜。目前已經穩步發展的網絡企業正在將互聯網信息數據滲透到證券行業中,這些網絡企業已經具有廣泛的客戶資源基礎,沖擊了證券行業的中介服務模式。
三、證券行業互聯網金融化趨勢分析
1.傳統業務互聯網化。近幾年,政府陸續放開非現場開戶的限制,各大券商紛紛將傳統證券業務的運營轉移到互聯網上,包括招商證券、中信建投、華泰證券在內的大型證券公司都利用了互聯網低成本、方便、快捷的優勢,開啟了第三方移動端應用程序,為客戶提供更有效率的金融服務。
2.基于互聯網的創新業務。現階段的互聯網是依托于社交網絡、移動支付、大數據、云計算的互聯網,其復雜性也為市場提供了更多的可能,出現了不少基于互聯網的創新業務,例如方正證券泉友會就在淘寶天貓設立了首家證券網上商城,隨后齊魯證券、華泰證券等也加入了網上業務的大軍,銷售資訊及金融產品,專注于用戶的投資行為,實現了證券行業與互聯網的自動化、專業化的全面聯接,但這些還不是嚴格意義上的網絡證券,但仍在繼續探索,由此可見,網絡證券是證券公司未來的發展方向。
四、證券行業互聯網金融化轉型分析
1.證券行業互聯網金融化轉型要求分析。從可行性上講,近幾年來我國網民數量不斷攀升,從2005年至2015年十年內互聯網普及率增長了58%,其中股民數量不在少數,傳統的營業部柜臺逐漸退出市場。除了計算機,手機移動客戶端也使得炒股更加簡單方便,齊魯證券推出的“融易理財”、光大證券推出的移動支付等都取得了很好的反響,截至今年的網上委托交易量已經突破35萬億元。從金融產品和服務的創新來說,自從2012年互聯網金融橫空出世,固守傳統經驗模式的證券公司只有死路一條,例如,眾成證券因缺乏金融產品和服務的創新,從2008年起持續虧損。細化市場、推出更多符合時展的產品和服務是證券公司應該充分予以準備的工作。從提升客戶體驗上講,網上消費已經成為當今社會民眾生活的一部分,而金融消費與網上實物消費并沒有本質上的區別。然而,受多方面條件所限,目前客戶辦理各種手續任然需要到營業部現場,填寫復雜的表格、簽訂不知所云的合同等,降低了客戶的消費體驗。
2.證券行業互聯網金融化轉型戰略分析。從成本上來看,傳統的營業部每年租賃商戶和雇傭職員等的固定成本在950萬元左右,在證券行業低迷時期,這些成本形成了券商很大的負擔,也是持續虧損的原因之一。另外,很多證券公司在發展上遇到了瓶頸,需要通過細分金融產品來突破。對開戶和交易對象的市場細分就要對證券公司的業務進行細分,走差異化道路,形成多功能、多款式的證券金融產品和服務。正確定位自身差異化產品后,將產品進行主次分類,主攻某個特定的客戶群和某類特定的服務,其他客戶群和產品作為輔助,提高公司效率。
五、證券行業開展互聯網金融政策建議
1.提升客戶體驗感。第一,建立自助式的開戶、交易功能,利用網絡、移動客戶端上傳相關個人信息和證件信息。第二,計算機和智能手機已經得到了廣泛的普及,廣大的網民都是券商的潛在客戶,適時的在互聯網金融平臺中嵌入其他服務功能,通過與其他軟件品牌建立合作關系,增加客戶群,實現共贏。第三,現如今的資金流動大部分都是通過網上支付,所以券商也應該打造大眾化的支付功能,形成與金融機構類似的存管模式。
2.降低成本,提高服務效率。網絡證券管理平臺集證券交易、管理、理財為一體,統一及對客戶消費行為深度分析,降低了營業部的成本。同時,經紀業務是證券公司的主要業務,網絡金融模式能夠再造業務流程,使經紀業務與其他業務實現協同作用,實現“1+1>2”的效果,也能夠有效降低整體成本。最后,網絡證券管理平臺能夠同時展示多種核心業務,并將各核心業務的收益余額進行整合,對于客戶來說,能夠同時開通股票和證券賬戶,因此,各核心業務之間能夠互相促進從而降低成本。
3.證券金融產品細分。首先,證券公司要充分了解自己產品和經營的實際狀況,確定自身優勢和劣勢,明確定位自身在市場中的地位。其次,證券公司要充分了解客戶需求,根據市場需求對網絡金融平臺進行設計和維護,利用大數據技術聚集客戶流量。最后,將客戶進行分級分類的管理,為不同需求的客戶提高量體裁衣式的服務,根據市場需求確定公司差異化發展方向。
第5篇:金融安全建設范文
信息社會 安全基石
從互聯網的前身――阿帕網(APPANet)的建立,到目前全球數以億計的上網用戶;從美國政府于上個世紀90年代提出的“國家信息基礎設施”(建設信息高速公路)計劃,到以互聯網為核心的綜合化信息服務體系和信息技術在全世界各領域的廣泛應用;從1971年第一封以@為標志的電子郵件的發出,到現在全球每天360億封的電子郵件往來。當今世界的政治、軍事、經濟、文化等各個方面都已經離不開信息技術的強力支撐,以互聯網興起為重要標志的現代信息化社會已經建立。
隨著社會的發展和穩定對信息的依賴性越來越強,始終伴隨著信息化的信息安全問題在最近幾年迅猛放大,已經成為抑制全球信息化進程發展的重大障礙。
從無傷大雅的惡作劇腳本,到造成幾十億美元的蠕蟲病毒,從以信息共享為名的盜版軟件,到如今泛濫成災的流氓軟件,信息安全已經從神秘的黑客世界走入到每一個計算機用戶的面前。如何正確、有效判別這些潛在的信息風險,關系到當今社會信息化發展的大計。
不可避免的安全危脅
寫一段沒有任何運行錯誤的程序代碼對于一個程序員來說很容易,但要寫出一段沒有任何安全問題的程序代碼似乎就有些困難了。是程序員的安全素質不夠,問題出在程序員身上么?要知道,即使是那些專職安全防護的軟件產品也經常會曝出各種各樣的漏洞,這早已不是什么新鮮的事情。
計算機世界的霸主微軟公司的程序員可都是一流的精英,先不說過去Windows、Office系統中至今還補不過來的千瘡百孔,往前看其新一代的號稱最安全的操作系統Vista,公開的Bug已達2萬個,問題代碼更是多達幾十萬行,發行日期一拖再拖。也許這主要是因為過于龐大的系統結構和功能造成的,可在一個0和1的數字世界里,復雜才意味著技術的前進、使用的便利、功能的強大,如今許多人早已明白:沒有任何問題的代碼只能是沒有任何功能的代碼。
除了程序代碼設計本身的問題,安全漏洞還存在于通訊協議、網絡架構、交互中國家信息中心信息安全研究與服務中心李少鵬模式、電子輻射、信號外泄,甚至是用戶安全操作和安全意識等其他與信息交流有關的任何問題中。可以說安全威脅來自于四面八方,漏洞也不可避免,而只要漏洞存在,那么威脅永遠存在。
觸目驚心的安全事件
2004年10月至2005年1月,某企業職工利用后門程序操縱了互聯網上超過6萬臺的電腦主機連續攻擊北京某音樂網站,致使該公司蒙受重大經濟損失,這是我國首例如此大規模的“僵尸網絡”攻擊案;
2005年4月11日,全國超過二十個城市的互聯網出現群發性故障;同年7月12日,北京20萬ADSL用戶斷網;
2005年10月,網易計算機系統公司發現與北京市網通合作項目中,價值10元一張的網易一卡通虛擬游戲點卡被盜15.5萬張,總價值155萬余元;
2006年2月“全國最大網上盜竊通訊資費案”在北京開庭審理。某資深軟件研發工程師被控利用工作之便侵入北京移動公司充值中心數據庫,盜竊了價值38071元的充值卡密碼……
公安部公共信息網絡安全監察局主持的2006年全國信息網絡安全狀況與計算機病毒疫情調查報告中顯示,在被調查的一萬三千多家單位中,54%的被調查單位發生過信息網絡安全事件。
同時,最近兩年幾乎染及所有計算機和計算機用戶的網絡釣魚、流氓軟件、垃圾郵件狂潮一輪又一輪的充斥著互聯網。據國外的一份調查統計顯示,89%的個人電腦平均感染過30種間諜軟件。公安部在2005年聲稱中國的網絡釣魚網站占全球釣魚網站的13%,名列全球第二位,而僅在2004年,公安部偵破的網絡詐騙案件就達1350起。對此,國家反計算入侵和防病毒研究中心在公安部網監局的支持和指導下,發起成立公益性的“中反網絡釣魚聯盟”。今年8月,廣東首次公開處罰垃圾郵件發送者,這也是國內依據《互聯網電子郵件服務管理辦法》第一次公開處罰垃圾電子郵件的發送者。
安全法規需進一步完善
從1989年《中華人民共和國保守國家秘密法》伊始,到2005年《電子簽名法》的實施,我國目前現行的與信息安全直接相關的法律、規章和制度有65部,“涉及網絡與信息系統安全、信息內容安全、信息安全系統與產品、保密及密碼管理、計算機病毒與危害性程序防治、金融等特定領域的信息安全、信息安全犯罪制裁等多個領域”,可以說已經初步形成了一定的法規體系。尤其是在2003年《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)通過后,電子認證、電子政務、等級保護、商用密碼以及銀行、證券等金融行業等法規和管理辦法相繼出臺,不僅規范了信息安全市場,還對電子商務的發展、網絡經濟的正常運轉到了意義深遠的保障作用,同時也是對“信息安全上升為國家安全”的這一宏觀政策指引的響應。
盡管如此,現行的信息安全方面的法規、標準體系仍然需要進一步完善與成熟。截至目前,我國還沒有一部嚴格意義上基于信息安全的基本法,同時這為信息安全標準與政策的制定與落實帶來了一定的難度。
層出不窮的攻擊手段
目前流行的攻擊手段有很多,除了病毒、蠕蟲、口令破解等傳統方法,木馬、網絡釣魚、SQL注入等較為新型的攻擊方法,其攻擊范圍也在不斷擴大。但相應的防范技術和知識已經比較普及,應對起來容易些。值得特別注意的是以下三種攻擊形式,分布式拒絕服務攻擊、零日攻擊和社會工程學攻擊。
分布式拒絕服務攻擊至今還沒有特別有效的防范方法,其具備攻擊方法簡單和攻擊源無法確定的特點,上文中音樂網站被攻擊的案件就是一個典型的例子。這種攻擊的難點在于組建大量的傀儡主機――“僵尸網絡”,通常借助即使通訊工具或電子郵件來植入木馬,并通過新的系統漏洞的出現而達到頂峰。
零日攻擊則是利用尚未公開或未發行補丁的漏洞實施攻擊,這種攻擊最為致命和可怕,因為任何人都很難對未知的情況做出正確的反應,此種攻擊成功率高、隱蔽性強,往往針對某個既定目標,是今后安全防范工作的最大隱患之一。
最后一種是社會工程學,實際上它是一種非技術手段的攻擊,它的直接攻擊對象不是數據庫也不是防火墻,而是能夠出入這些敏感地帶的人。技術再高也是由人來操作的,安全防范做得再好,得到授權的人也是可以出入的。世界著名黑客凱文?米特尼克在《欺騙的藝術》一書中寫到:“安全不是技術問題,它是人和管理的問題……”,“由于開發商不斷的創造出更好的安全科技產品,攻擊者利用技術上的漏洞變得越來越困難……”,“精干的技術專家辛辛苦苦地 設計出安全解決方案來最小化使用計算機的風險,然而卻沒有解決最大的漏洞――人為因素。”因此,在如今信息安全技術已經趨于成熟的環境下,正確的安全防范意識無比重要。
目前,仍然還有許多人普遍缺乏安全意識。政府網站頻頻被黑、網上銀行客戶資金被盜、網上交易遭遇詐騙……,這樣的安全事件幾乎天天都在發生,其關健原因在于安全管理和意識的匱乏。對于被動的防范來說,意識要重于技術,甚至會超越技術。
安全技術任重道遠
廣義上的信息安全包括了眾多內容,信息安全國家重點實驗室馮登國教授曾在今年的“十一五”信息安全發展趨勢論壇上講到抽象化、可信化、網絡化、標準化和集成化,是信息安全技術發展的重要趨勢。目前主流安全技術不外幾種。
主動防御
雖然瑞星、金山、江民三大反病毒廠商在今年先后發出推出主動防御產品的聲音。但實質上,目前的主流產品還是在遵循“病毒產生――研究特征碼――升級病毒庫”的老路子。主動防御技術如何避免大量的提示和誤報是主動防御產品是否能真正走向市場的關鍵性問題。
生物識別
從用戶名加口令到加密鎖,再從USB令牌到指紋、聲紋、虹膜等生物識別。即使身份認證已經有了高級的尖端技術,可目前最為廣泛應用的還是最初的用戶名加口令身份認證技術,簡單易用,且能夠保障基本的安全需求。但不可否認,生物識別技術以其無可替代的識別優勢必然隨著成本的降低、需求的加大走向普及。
可信計算
嚴格的說,可信計算并不能算一項新興技術,早在2002年沈昌祥院士開始在國內提倡可信計算。雖然經過了2004年的熱點后,國家將其列入“十一五”規劃重點支持項目,相關企業也成功的生產出TPM的安全芯片,但中國的可信計算是否能與國際標準接軌、龐大的可信計算體系涵蓋內容之間是否能有序協調仍是一個未知的難題。
災難恢復
實際上,災難恢復主要不是技術問題,而是管理和實施問題。它的重要性隨著對國民經濟具有重要支撐作用的大型企事業單位以及政府部門對信息化日益增長的依賴性而凸現出來。近年來,銀行、電信,海關、稅務、民航等部門已經建立起自己的災備中心。國務院信息化工作辦公室2005年出臺的《重要信息系統災難恢復指南》為我國整個信息安全保障綜合體系的最后一環――災難恢復的管理和實施帶來了強有力的促進和重大指導作用。
理論篇>>>
思索信息安全:內涵與外延
江常青
要談論信息技術發展的趨勢和信息安全面臨內外部環境的變化,就像一個一直在匆匆行路的人,突然要停一下,觀看周圍環境,預估和展望前面的道路。但是要想象前方,恐怕先要回頭看看走過的路,因為有兩種可能:一種是走出來的路,過去和現在影響著未來;二種的情況是,也許路一直在前方,變化的則是我們的認識和行為。無論怎樣,“時而思”比不思則罔更有益。
信息安全的歷史有多久?五年,五十年,還是五千年?都可以。
目前,國家、企業和個人開始認識并重視信息化所帶來的安全風險問題,以及國內出現專門的信息安全從業人員,僅有5―10年;而以現代計算機的發展與應用算起,信息技術滲入現在社會生活帶來的信息安全問題,這段歷史達到了50年;其實,自從人類文明伊始,文化和信息的使用開始就存在信息安全問題,這是5000年的歷史。但是,歷史從來沒有象今天這樣迫使我們必須去思考和面對信息安全的問題,因為當今是高度信息化的社會。我們生活在一個信息世界中,信息安全問題關系到每個人、家庭和社會各個組織機構。
從辨證學角度來說,變是絕對的,也是相對的。在5~5000年這個“漫長”的尺度上,信息安全領域有的在變,而且變化很大;有些東西也許并沒有多大的進展和變化。處理信息的設施在技術發展中變化著,解決信息安全的具體技術措施和手段也隨著發展,信息安全的內涵也不斷延伸,但有關信息安全的一些關鍵和核心的問題并沒有得到探討與思考。
“誰的”信息安全?
信息安全自身沒有價值和意義,它對于信息和信息系統所有者、管理者、使用者、監管者才有意義。因此,同樣一個信息及其系統對于不同的人、組織甚至國家的意義是不同的,因為其安全的目標和需求是不同的。比如說,某商業銀行的信息系統,對于銀行自身、銀行監管部門,以及政府來說,安全價值與意義有著根本的區別。作為企業的銀行,其安全核心是保障組織機構的正常運行和獲得商業利益的能力;作為行業管理部門是金融安全風險的一個組成部分;從國家和政府部門來說它是事關國計民生的重要信息系統,它的安全影響社會。
“什么的”安全?
從歷史發展看,信息安全逐步從信息傳輸的安全,發展到信息產生,傳輸、處理、存儲等整個生命周期的安全。同時,信息安全也從單純的指信息數據的保密安全,擴展到支撐信息流動的軟硬件、載體的IT安全。在新一代信息技術大規模普及的今天,信息安全還包括信息的使用安全,信息內容的安全與信息及信息系統互動的人的安全等方面。
因此,信息安全不是孤立的。當我們談論安全時,一定是指特定對象的安全,同時要強調這個特定的對象是對于誰而言,言論中的安全必須在明確的上下文環境之中,否則就失去意義和準確性。
安全是什么?
安全是一種或多種性質或屬性嗎?它和色彩,質量是對象的屬性類似嗎?這個問題很難回答。假設安全是“屬性”,安全信息安全經典定義中的保密性、完整性、可用性。這三性都是以否定語句來定義的。要證明一個肯定的性質存在比較容易,找到它即可。要證明“不被修改”等類似否定語句的性質比較困難。此外,要證明信息或系統同時滿足三個性質更為困難,因為這些安全性質是動態變化,它會隨著外部對手和系統內部自身變化而變化,也就是常說的今天的安全難以保證明天的安全。因此,很有必要反思安全作為性質是否妥當。近年來,從風險角度來重新定義安全的趨勢十分明顯,將安全定義為風險可控可管理的過程。這樣一來,安全就不是系統自身的性質了,轉化為對抗風險的保障能力。安全保障能力由技術、管理、人等措施來構建起來,安全亦被風險和保障兩個概念所取代,隱身在后面。安全與否不再是去尋找這些性質存在與否,而是去計算保障是否大于對應風險。如果是,就是安全。這種重新定義的安全將不再是性質,而是個過程和目標,通過過程去達到目標,而目標反映了信息安全在上下文環境定要求。
這些探討和思考能否達到我們理解信息安全的本質,筆者不得而知,但是這是一個探索的過程。在信息技術層面上,在我們實際可以設計實現的信息處理技術的進展中,可以看到未來信息安全技術的發 展趨勢:
軟件安全
軟件是構建信息世界和社會的核心部件,安全問題的產生很大程度上來源它的不安全、不可靠,如何提高軟件的安全性將會是個重點,有理由相信,隨著軟件形式化、自動化的提高,其安全性會快速的提高。
安全度量
有人說,不可度量的不是科學,信息安全正處于這樣的境地。確實,目前我們還無法在信息安全領域找到類似物理世界的度量,如時間量、空間量、質量等,也沒有類似比特的信息量,因此信息安全要成為科學還有很長的路要走。但盡管如此,我們已逐漸找到一些度量,它對提高安全是有好處的,比如安全功能強度,人力的部署和能力提升,過程控制的環節等等。
信息流控制
除了人、管理、網絡系統外,信息安全的核心問題還是保證數據和信息的安全。信息流如何開放的網絡系統環境中,如何在不可信、不安全的環境中構建可信的信息流動和控制機制是必須要解決的問題。因為數據和信息不可能像物理世界中永遠被隔離和鎖在保密柜中,它必須給該看到的人看到,就和貨幣要流通一樣,安全必須找到自身的動態價值。
抗攻擊技術
由于對手一直存在,破壞安全的外部因素不會消失。安全事故和事件時時都會產生,如何提高信息和系統抗攻擊以及受攻擊后降低損失的技術十分重要,以防范為主的安全技術將被抗攻擊技術將逐步取代。
內部安全
安全技術也將從防范外部威脅為主,轉換到關注內部威脅為,構建內控技術和管理體系將會成為最熱的市場機遇。在這里,與業務邏輯和網絡行為相關安全分析成為技術難點。發展篇>>>
發展篇>>>
內外之道把脈“新安全”
吳錫源
當前,大多數企業的信息安全機制不堪一擊。具體來說,這些企業的安全措施所提供的防護級別難以應對它們所承受的實際風險。事實勝于雄辯:雖然各個企業已竭盡所能采取相應防護措施,但是它們仍然頻繁受到攻擊。據可靠數據統計:僅2005年,大約三分之二的企業至少發生一次安全事故,而半數以上的企業則至少發生三次安全事故。
面臨挑戰的安全管理
目前的主要問題在于,大多數企業只是采用側重邊界的高度反應性防御措施,因此無法與當前日新月異的威脅趨勢保持同步。新威脅層出不窮,并以前所未有的速度和效率進行傳播,在許多情況下必然會導致混亂局面比比皆是。不僅如此,可用于(或至少所分配用于)改善這種局面的資金也相對較少。實際上,Ernst&Young的《2005年全球信息安全調查》顯示,各個企業將其安全預算的50%用于“日常操作和事故響應”,僅將17%的預算用于完成“更關鍵的戰略項目”。
顯而易見,企業需要采用更為完善的解決方案才能針對當前的攻擊進行自我防護。因此,企業所需要的威脅管理解決方案具有以下特點:主動――能夠防御未知威脅;全面――能夠將所有企業內外的攻擊源頭阻擋在外;高效――非常經濟實惠的選擇。
在企業努力部署有效威脅管理解決方案的過程中,威脅趨勢的日新月異、符合法規要求的需要以及對反應性對策的過度依賴對于它們面臨的重重挑戰來說只是鳳毛麟角。
把脈新“安全”
傳播速度相對較慢的基于文件的病毒和群發郵件蠕蟲仍然屢見不鮮。實際上,在2005年上半年,這類威脅在向賽門鐵克報告的前10位惡意代碼示例中占三類。不過,黑客的動機已明顯從追求名聲轉向牟取暴利,而漏洞開發框架的日漸普及是威脅趨勢發生許多顯著變化的主要原因之一。
?威脅數量與日俱增
這不足為奇。由于黑客的動機越來越強烈,并且開發新型惡意軟件的難度越來越低,所以威脅的數量無疑會猛增。不僅如此,威脅制作軟件及其模塊化構造技術導致開發威脅變種的行為司空見慣。例如,2005年上半年,僅針對Win32平臺的新病毒和蠕蟲變種數量就已達到10800種。與前六個月相比,次數量就增加了48%。
?威脅生成時間日益縮短
日益成熟的黑客工具包不斷增多的另一惡果是開發新威脅所需的時間明顯縮短。因此,從發現新漏洞到發起針對該漏洞的特定攻擊之間的時間也無可避免地大大縮短。實際上,在2005年上半年,此時間段的平均持續時間僅為六天。
?威脅傳播速度正在加快
雖然近年來這方面威脅的趨勢沒有顯著變化,但是由于威脅的傳播速度已經非常驚人,所以這種形勢不容樂觀。例如,2001年紅色代碼在37分鐘內即可使感染速率增加一倍。而在2003年,Sapphire蠕蟲每8.5秒傳播速度就會加倍,最終不到10分鐘就會感染90%易受攻擊的目標主機。而且,認為最終不會出現傳播速度更快的威脅完全不切實際。
?威脅日益變化莫測
導致變種數量不斷增多的因素也同時導致混合型威脅層出不窮。通過使用多種利用機制、有效負載和/或傳播方法,這類威脅更有可能避開企業防線,然后成功施加負面影響。另外,導致局面日益惡化的另一個原因是黑客目前主要攻擊系統和應用程序層的弱點,而不是網絡層的漏洞。這樣,他們的攻擊往往成為側重網絡層活動對策的漏網之魚;不幸的是,大多數企業目前只憑借這樣的對策來保護自己。
首先,威脅數量大增意味著不僅安全員工將承受更大的壓力,而且他們所實施的對策在一定程度上也會受到影響。還需要進行更多研究以確定最具破壞力的威脅、需要采取更多防御措施,最終還需要解決更多事故和故障。要使這樣的等式重新達到平衡,很可能需要任命更多安全管理員或實施可提高操作效率的工具,特別是在研究和防范活動方面。第二個影響是使利用管理補丁程序進行防御的效果微乎其微。過去,從發現漏洞到漏洞被利用之間的時間長達數月,所以制造商可以從容開發和補丁程序,然后由企業對這些補丁程序進行測試和實施。但是,目前在發現漏洞后平均需要54天才能相關補丁程序,所以根本無法及時提供補丁程序。而且即便能夠及時提供,還需要考慮測試和實施相應補丁程序所需時間的問題。在最緊迫的情況下,最高效的企業可能需要幾天才能完成該過程。但這根本不具有代表性,企業補丁程序管理流程的常規執行時間至少需要30天。
安全之路延伸何方
面對不斷變化的新威脅,信息安全的環境也在發生著深刻的變革。
首先,由于需要保持競爭優勢,所以各個企業必須更迅速地應用新興技術(例如,WLAN、VolP和Web服務)以及所有現有技術和平臺的新版本。一般,各個企業不但必須管理和保護更多計算基礎架構和應用程序,而且其中大部分均為新出現的復雜架構和程序,極為分散。結果是由于配置錯誤和疏忽導 致的代碼漏洞與日俱增,而且弱點也越來越多。
其次,隨著內部威脅日益嚴重,企業的安全觀念正發生著深刻的變化。從歷史角度來看,企業一般將注意力集中在保護他們與互聯網的連接上面,很少保護他們的內部網絡和系統。不過,由于第三方連接日益增多,現場辦公的合同工需要連接到公司網絡,而且公司自身員工的移動性越來越強,從而導致威脅可以繞過互聯網邊界控制,然后從內部以相對迅猛的速度傳播。因此,除了原來必須要保護的日益增多的基礎架構外,企業現在還必須保護內部網絡和系統。
此外,確保內部網絡安全的另外一個要素是必須遵從各種“暗示”的法規和法律(如果沒有明示)。不過,從所占用的資源數量及有時會提供虛假的安全感角度來看,遵從這些要求反而會產生更多問題。事實上,一份最新調查表明遵從是信息安全活動的最重要的推動因素,該調查還表明由此而引發的主要活動是制定和更新各種策略和程序,而不是切實加強公司的安全架構或整體戰略。
更現實的還有預算問題,企業面臨的這方面挑戰在一定程度上變得欲蓋彌彰。只需看看現狀就足以:目前所制定的安全預算不僅不合理,而且這部分預算的使用方式往往對防御攻擊沒有幫助,此外這部分預算永遠處于與“企業”的其他需要進行競爭的狀態。
以上復雜因素清楚地表明理想的威脅管理解決方案必須兼顧高效性和靈活性。相對于安全部門可支配的資源而言,他們需要完成的工作過于繁重。與此同時,基礎業務需求(不考慮基礎架構)可謂常變常新。
策略篇>>>
“濕件”:另一種思維看安全
劉 恒
魯迪盧克在系列科幻小說《濕件》中講述了一個人類制造的肉身機器人如何控制和改變人類的故事。該書對人類腦力智慧(濕件)與帶有編碼化知識(軟件)的機器人(硬件)的結合并最終擺脫人類控制的前景作了最大膽的想象。
無獨有偶,“濕件”先后出現在黑客界和醫藥界,并且成為新經濟增長理論的一個術語。如今,啟明星辰率先在安全業界引入“濕件”理論,并開始成功應用到安全服務領域。
看到“濕件”二字,絕大部分人認為是“事件”的筆誤,其實不然,兩者毫無瓜葛,截然不同。“濕件”是指與計算機軟件、硬件系統緊密相連的人(程序員、操作員、管理員),及與系統相連的人類神經系統。由此可見,“濕件”,是儲存于人腦之中,無法與擁有它的人分離的能力、才干、知識等。
從某種意義而言,“濕件”是與軟件、硬件并列的IT第三大件,人們應該對“濕件”給予充分重視。“濕件”第一次將人的作用突出出來,而且這種作用遠遠高于軟件和硬件。沒有軟件,硬件是無用的;沒有人的操作或指示,軟件、硬件一起也做不了什么;由此可見,“濕件”是IT系統最為基礎的部分。
網絡安全的脆弱一環
盡管“濕件”的作用如此基礎和重要,但是長期以來卻未被提到應有的重視高度。尤其是在中國的網絡安全領域,對于“濕件”的研究基本是個“空白”,目前,啟明星辰公司敏銳地發現這一“空白”,第一次將安全“濕件”與安全服務緊密地聯系在一起,第一次將人在信息安全中的決定性作用突出了出來。
三個典型的案例很容易說明問題。
案例一:某小區的保安系統很健全,24小時有保安守衛,但最近卻發現有小偷入戶行竊。盡管沒有搞清入侵者是從哪兒進來的,有關部門還是貼了一個告示,提醒大家夏天別開窗戶以防小偷。由于沒有找出問題的癥結所在,同樣的事情在該小區再次發生。后來有人發現,小區里欄桿的設計不合理,讓小偷鉆了進去,如果拉兩個欄桿,就可以防止這種情況。
這個案例說明,我們必須充分了解攻擊者和攻擊行為發生的原因,才有可能有效防御攻擊。
案例二:某部門存放重要文檔的電腦出了故障,保管文檔的人在部門內對電腦進行了修理。一段時間后,該重要文檔泄漏了,并被公開到互聯網上。經過一番追查,最后發現是修理電腦的人偷偷將文檔拷貝了下來。這個案例說明,人員安全意識的缺失是遭到攻擊的致命因素。
案例三:“你想要值錢的東西嗎?想要,你就去拿吧。”全球最著名的黑客Mitrdck語出驚人。人們都認為他擁有無人能敵的高超技術,他卻在自己的《欺騙的藝術》一書中說,安全的核心和根本,不是技術問題,而是人和管理問題;安全最薄弱的環節是人的因素,穿透人這道防火墻往往非常容易。
從這三個案例中,我們不難看出,人的因素在信息安全中是何等重要。這也是啟明星辰為何將“濕件”引入安全服務的意義所在。對“安全濕件”的強調,體現了一種系統的安全設計思想,有了這種意識,用戶在構建安全系統時會考慮更多的因素。如果用戶沒有考慮到“濕件”也是安全系統的一個組成部分,他設計出來的安全防御系統肯定是不健全的,是失去平衡的,結果是花了很多錢,建造的安全系統并不安全。
完善安全系統
信息安全是動態的,是過程,是攻擊和防御的平衡,從這個角度講,可將安全“濕件”劃分為攻擊型“濕件”和防御型“濕件”。攻擊“濕件”和防御“濕件”都可以進一步細分下去。例如,防御型“濕件”還可以按照不同的人、不同類型的知識進行細分。
在信息安全系統中,攻擊和防御是密不可分、相輔相成的兩個方面。一方面,所謂“知彼知己、百戰不殆”,只有在攻防結合的基礎上,充分地了解甚至先考慮攻擊“濕件”,知道攻擊“濕件”是什么、在哪里、怎么樣,才談得上有效防御。目前很多安全產品或方案存在著一個嚴重的缺陷,那就是并不了解攻擊者,也就是沒有防御的明確目標,只是憑想象強行建立起一種防御系統。其實也許用戶根本不需要那么強大的防御系統,這就是忽略了攻擊“濕件”產生的問題。
安全“濕件”有助于企業提高和完善現有系統的安全性。企業在進行安全投資的時候,應該首先注重培養人才,培養“濕件”,甚至應該把“濕件”擺在硬件和軟件之前考慮。實踐證明,“濕件”的投資回報率相當高,產生的效果巨大。“濕件”應該是排在軟件和硬件之前的基礎性的部件。
由于防御型“濕件”中的人總是不可避免地具有脆弱性,這給攻擊型“濕件”提供了可乘之機,安全風險在所難免,安全產品和安全技術有時也會失靈。劉恒博士指出,許多安全問題僅憑安全產品和技術是解決不了的,必須充分考慮人的因素,用基于“濕件”的服務去解決。
從上述角度來看,信息安全的關注點正在發生變化,轉向關注“濕件”。高明的用戶一方面要構建自己內部的安全“濕件”,另一方面在自身“濕件”不夠強健時,則可以購買專業安全公司提供的安全“濕件”。“濕件”作為服務成為主流,無疑是安全產業發展的必然趨勢。
嶄新的安全服務
“濕件”與安全服務緊密相關,但是并 不能劃等號,也不能劃大于號或小于號。因為服務強調的是一種形式和過程,而安全“濕件”強調的是安全軟件和硬件之外的人的重要性,突出的是系統的有機性,是一種強調完整協調一致的理念。安全“濕件”作為服務的一種形式應該成為安全業界的主流。啟明星辰的M2S就是全新的基于“濕件”的安全服務。
作為一個重要的防御型“濕件”,M2S體現的是具有標志性的專業化的安全服務。這個體系是在啟明星辰TSP理念的指導下,在多年安全服務最佳實踐的基礎上,結合國際先進的安全服務理念、模型和業務模式,以用戶需求為中心,以注重實效為宗旨,推出的一種全面、細致的全新服務模式,主要包括國際化管理咨詢、專業化風險評估、實時性管理監控、專家型應急響應等內容。
M2S,一個能夠進行全面防范、即時監測、專家響應的實時安全過程,是一種全新的安全“濕件”。M2S有4層含義:MMS(Managed Monitoring Services),體現了專業的監控技術與服務;MSS(Managed Security Services),體現了安全企業與國際通用托管式安全服務的融合,強調安全企業要保持國際安全服務的規范性;MtoS(Management to Security),闡明了安全企業倡導的“通過管理達到安全”的理念,也契合了“服務的核心在于人”的理念;MSM(Management Secu-rity Monitory),管理安全監控,這里尤其體現了本地化差異性,與國外MSM主要根據設備來實行監控管理不同,M2S致力于解決客戶幾乎所有的安全問題,范圍更為廣泛。
可以說,“濕件”理論與M2S的有效結合,提升了網絡和系統自身的防御能力,為更多的用戶提升了生產效能,而將安全“濕件”與服務緊密相聯,也完全可以有效幫助信息安全企業在安全服務領域樹立新的里程碑。
管理篇>>>
安全風險管理的游戲規則
駕馭風險,方可掌控安全。日前,綠盟科技專業服務部總監王紅陽,就目前信息安全風險評估以及風險管理的創新理念、前沿技術、創建適應企業發展的網絡環境等問題,接受了《軟件世界》雜志的采訪。
軟件世界:如何理解風險管理的概念?綠盟科技在這方面的研究有沒有什么前沿性的課題?
王紅陽:在COSO企業風險管理框架中,風險定義為任何可能影響某一組織實現其目標的事項。風險的范圍可能是財務、合法性、符合性、運維、市場、戰略、信息、技術、人員、聲譽等方面。風險包括惡性事件帶來的威脅、尚不能確定后果的事件、可轉化為機會的事件。風險管理是發現和了解組織中風險的各個方面,并且付諸明智的行動幫助組織實現戰略目標,減少失敗的可能并降低不確定的經營結果的整個過程。信息安全風險評估(本文以下簡稱“風險評估”),則是指依據國家、國際有關信息技術、安全技術標準,對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學、公正的綜合評估活動過程,它要評估信息系統的脆弱性、信息系統面臨的威脅,以及脆弱性被威脅源利用后所產生的實際負面影響等,并根據安全事件發生的可能性和負面影響的程度,來識別信息系統的安全風險。
信息安全是一個動態的復雜過程,它貫穿于信息資產和信息系統的整個生命周期。信息安全的威脅來自于內部破壞、外部攻擊、內外勾結進行的破壞以及自然危害。必須按照風險管理的思想,對可能的威脅、脆弱性和需要保護的信息資源進行分析,依據風險評估的結果為信息系統選擇適當的安全措施,妥善應對可能發生的風險。企業風險管理使管理當局能夠有效的應對不確定性以及由此帶來的風險和機會。
軟件世界:如何在一個組織的網絡中識別出風險所在?
王紅陽:風險評估遵循了ISOl7799、ISOl3335、ISOl5408(GB/T18336)、SSE-CMM等一系列的國際和國內標準,這些標準提供了評估過程、評估方法、評估模型、評估內容等多方面的規范化指導,同時在評估算法、評估操作等方面參考了AS/NZS4360。GAO/AIMD-00-33,GAO/AIMD-98 68.BSI PD3000等美國、澳大利亞、新西蘭的標準和規范。
風險評估的過程就是對信息系統所面臨的各種風險發生的可能性和風險發生后的嚴重性進行評價,即在國際、國內等相關標準和規范的指導下對信息系統的資產、威脅、脆弱性三要素進行詳細具體的評估。
風險評估包含了(但不僅限于)以下一系列的技術評估手段和管理評估手段:
?安全掃描:通過評估工具軟件或專用安全評估系統自動獲取評估對象的脆弱性信息,包括主機掃描、網絡掃描、數據庫掃描等,用于分析系統、應用、網絡設備存在的常見漏洞。
?人工檢查:通過人工方式直接操作評估對象來獲取所需要的安全配置信息,主要解決遠程無法通過工具軟件或設備獲得的信息,以及為避免評估意外事件而采取的方法。
?IDS取樣分析:通過在核心網絡采樣監聽通信數據方式,獲取網絡中存在的攻擊和蠕蟲行為,并對通信流量進行分析。
?滲透測試:在獲取用戶授權后,通過真實模擬黑客使用的工具、方法來進行實際漏洞發現和利用的安全測試方法。
?應用安全評估:對用戶業務應用軟件進行安全功能審核、滲透測試、源代碼審核等。
?安全管理審計:通過文檔審核、策略審核、問卷調查、顧問訪談等形式,對信息安全策略、組織信息安全、資產管理、人力資源安全、物理和環境的安全、日常運作和通訊、訪問控制、系統的獲得、開發與維護、信息安全事件管理、業務持續性管理、符合性等方面進行綜合評估。
軟件世界:信息資產風險管理的內容包括什么?通過怎樣的策略和方案可以達到風險管理的目的?
王紅陽:信息安全風險評估的目的是全面、準確的了解組織機構的網絡安全現狀,發現系統的安全問題及其可能存在的危害,以便為系統最終安全需求的提出提供依據。同時,也是為了分析網絡信息系統的安全需求,找出目前的安全策略和實際需求的差距,為保護信息系統的安全提供科學依據。進而通過合理步驟,制定出適合系統具體情況的安全策略及其管理和實施規范,為安全體系的設計提供參考。
信息安全風險評估是一個組織機構實現信息系統安全必要的、重要的步驟,可以使決策者對其業務信息系統的安全建設或安全改造思路有更深刻的認識。通過信息安全風險評估,他們將清楚業務信息系統包含的重要資產、面臨的主要威脅、本身的弱點;哪些威脅出現的可能性較大,造成的影響也較大,哪些威脅出現的可能性較小,造成的影響可以忽略不計;通過保護哪些資產,防止哪些威脅出現,如何保護和防止才能保證系統達到一定的安全級別;提出的安全方案需要多少技術和費用的支持,更進一步,還會分析出信息系統的風險是如何隨時間變化的,將來應如何面對這些風險,這需要建立一個晚上的體系。
