金融企业信息安全范文

时间:2023-10-11 17:24:18

导语:如何才能写好一篇金融企业信息安全,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

金融企业信息安全

篇1

【 关键词 】 信息安全;安全治理;框架;风险管理

1 引言

随着企业的信息化建设,企业信息系统在纵、横向的耦合程度日益加深,系统间的联系也日益紧密,因此企业的信息安全影响着企业信息系统的安全、持续、可靠和稳定运行。此外,美国明尼苏达大学Bush-Kugel的研究报告指出企业在没有信息资料可用的情况下,金融业至多只能运作2天,商业则为3天,工业则为5天。而从经济情况来看,25%的企业由于数据损毁可能随即破产,40%会在两年内破产,而仅有7%不到的企业在5年后继续存活。伴随着监管机构对信息安全日趋严格的要求,企业对信息安全的关注逐渐提高,并对信息安全投入的资源不断增加,从而使得信息安全越来越为公司高级管理层所关注。

2 信息安全问题

目前企业信息安全问题主要包括几个方面。

(1)信息质量底下:无用信息、有害信息或劣质信息渗透到企业信息资源中, 对信息资源的收集、开发和利用造成干扰。

(2)信息泄漏:网络信息泄漏和操作泄漏是目前企业普遍存在的信息安全困扰。网络信息泄漏是信息在获取、存储、使用或传播的时候被其他人非法取得的过程。而操作泄漏则是由于不正当操作或者未经授权的访问、蓄意攻击等行为,从而使企业信息泄漏。

(3)信息破坏:指内部员工或者外部人员制造和传播恶意程序, 破坏计算机内所存储的信息和程序, 甚至破坏计算机硬件。

(4)信息侵权:指对信息产权的侵犯。现代信息技术的发展和应用, 导致了信息载体的变化、信息内容的扩展、信息传递方式的增加, 一方面实现了信息的全球共享, 但同时也带来了知识产权难以解决的纠纷。

3 信息安全治理的困惑

基于信息安全的重要性,企业在信息安全治理方面投入了诸多资源,但是在信息安全治理成效方面仍不尽如人意,主要问题在于几个方面。

(1)信息安全治理的范围不明确:目前企业都在尽力实现良好的信息安全治理,但是由于无法正确理解信息安全治理和信息安全管理的区别,导致了信息安全治理无法与企业的安全规划和企业战略形成一致性。表1从工作内容、执行主体和技术深度三个层面分析了两者的区别。

从表1中可以明确:信息安全治理是为组织机构的信息安全定义一个战略性的框架,指明了具体安全管理工作的目标和权责范围,使信息系统安全专业人员能够准确地按照企业高层管理人员的要求开展工作。

(2)企业信息安全治理路径的错误理解:企业在信息安全治理的过程中,最常用的手法是采用信息安全的技术措施,如使用加密和防伪技术、认证技术、防病毒技术、防火墙技术等方式来进行,但是往往企业投入很多,却没有达到预想的效果,问题在于,信息安全治理并不单单是技术问题,信息安全治理也包含了安全战略、风险管理、绩效评估、层级报告以及职责明确等方面。

4 信息安全治理关注的领域

(1)战略一致性:信息安全治理需与企业的发展战略和业务战略相一致,建立相互协作的解决方案。

(2)价值交付:衡量信息安全治理价值交付的基准是信息安全战略能否按时、按质并在预算内实现预期的价值目标。因此需要设计明确的价值目标,对信息安全治理的交付价值进行评估。

(3)资源管理:实现对支持信息运行的关键资源进行最优化投资和最佳管理。

(4)风险管理:企业管理层应具备足够的风险意识,明确企业风险容忍度,制定风险管理策略,将风险管理融入到企业的日常运营中。

(5)绩效度量:利用科学的管理方法,将信息安全治理转换为可评价的目标的行动,便于对信息安全各项工作的绩效进行有效管理。

5 信息安全治理框架

通过良好的信息安全治理, 可以保护企业的信息资产,避免遭受各种威胁,降低对企业之伤害,确保企业的永续经营,以及提升企业投资回报率及竞争优势。

通过长期的实践经验以及结合COBIT标准和GB/T 22080-2008,总结出信息安全治理的框架主要由四部分组成,如图1所示。

(1)信息安全战略:结合企业的整体信息技术战略规划和信息安全治理现状,制定信息安全战略。

(2)信息安全组织架构:根据企业层面在决策、管理和执行机制对组织结构的要求,建立信息安全治理框架和决策沟通机制,明确公司各级管理层及相关部门在信息安全组织架构中的工作职责与角色定位。

(3)信息安全职责:根据公司信息安全组织架构,进一步明确信息安全相关岗位的工作职责、分工界面和汇报路径等。

(4)信息安全管理制度:信息安全管理制度通过建立一个层次化的制度体系,针对不同的需求方(管理者、执行者、检查者等)从政策、制度、流程、规范和记录等方面进行信息安全活动相关的规定,实现信息安全的功能和管理目标。

6 信息安全治理评估

企业信息安全治理评估有助于提高信息安全治理投资的效益和效果。企业的最高管理层和管理执行层可以使用信息安全治理成熟度模型建立企业的安全治理级别。该模型,如表2所示,被应用为几个方面。

(1)在市场环境中,相对于国际信息安全治理标准、行业最佳实践,以及直接竞争对手,了解企业在信息安全治理上的级别。

(2)进行差距分析,为改进措施提供明确的路径。

(3)了解企业的竞争优势和劣势。

(4)有利于对信息安全治理进行绩效评估。

7 结束语

本文从企业信息安全治理的实践出发,概述了目前企业信息安全治理存在的问题和困惑,总结了企业实现有效的信息治理的关注领域和实施内容,为企业建立良好的信息安全治理提供了基本框架。

参考文献

[1] 马峰辉,刘寿强.企业信息安全治理的经济性探析.计算机安全,2003:70-71.

[2] 娄策群,范昊,王菲.现代信息技术环境中的信息安全问题及其对策.中国图书馆学报,2000(11):33-37.

[3] 刘金锁,李筱炜,杨维永.企业实现有效的信息安全治理之路.中国管理信息化,2012(11):37-39.

[4] 黄华军,钱亮,王耀钧.基于异常特征的钓鱼网站URL检测技术[J].信息网络安全,2012,(01):23-25.

[5] 黄世中.GF(2m)域SM2算法的实现与优化[J].信息网络安全,2012,(01):36-39.

篇2

“中国企业员工的信息安全意识可谓不容乐观,提升员工信息安全意识刻不容缓。”谷安天下副总经理魏彩霞对当前企业员工的信息安全意识现状表示担忧,“不同行业的信息安全意识现状不同,电信、金融等行业由于业务的特殊性,安全意识较高,而其他行业的信息安全意识整体状况则依旧薄弱”。

调查显示,接近50%的受访者认为单位领导的信息安全意识一般、很差或者还不如自己。而据魏彩霞介绍,一些企业中即使领导非常重视信息安全,希望提升员工的保密意识,但“只是看到别人的明文密码导致信息泄漏就更改自己的网页设置等单个事件,并不能系统地提升企业员工整体的信息安全意识”。

由于员工信息安全意识薄弱而给企业带来灾难性损失的案例屡见不鲜。据统计,世界上每分钟就有两家企业因为信息安全的问题而倒闭。而在所有信息安全事件中,只有20%~30%是因为黑客入侵或其他外部原因造成,另外70%~80%是由于内部员工的疏忽或有意泄漏造成,而78%的企业数据泄漏是由于内部员工不规范的操作造成的。

篇3

关键词:信息系统;安全管理措施;计算机网络

中图分类号:TU714文献标识码: A 文章编号:

1.前言

当今社会信息技术不断发展,信息时代的到来以及不断的发展给人们带来了很多的便利,计算机网络技术得到了非常广泛的应用,随之而来的问题是计算机网络信息系统的安全性,这个问题已经成为了一个重要的时代课题,人们对于网络信息系统的安全管理提出了更多的要求和建议,而另一方面信息时代的不断发展的结果是社会上的信息传输量不断的增加,而有一些部门的一些上网数据就得到了不同程度的破坏,严重还会造成公司信息的泄露,给公司的业务安全造成一定的影响。对于网络中的信息,不法攻击者能够通过计算机病毒等各种形式盗取企业的信息,只要是信息存在于网络中,都能够被窃取,这种问题的出现使得很多企业或者是相关组织都受到了沉重的打击,企业的信息安全性以及利益已经收到了非常严重的威胁,所以在这种情况下网络信息系统的安全性以及安全管理已经成为了一个时代重要的研究课题,关系到一个企业甚至是整个社会的信息安全和正常运作,解决好网络信息系统的安全问题是确保当前信息网络正常运行的基础保障,能够更好的为各行各业提供更加安全的信息系统管理,让信息社会更加的安全。

2.国内信息系统发展现状以及存在的问题

企业对于一个国家经济的发展来说有着非常重要的作用,企业信息系统的建设关系到企业的发展,是一个企业在现代化社会站稳脚步的必经之路。当前来说,近些年国内很多企业都在不同程度上遇到过信息系统安全问题,有的甚至还因此受到了重大的打击,我们国家从上世界八十年代开始国家相关部门才开始重视企业的信息系统建设,就是年代之后伴随着互联网等技术的飞速发展,企业更是意识到了这一点的重要性,开始投入大量的人力、物力以及财力去研究企业的信息系统。在当今信息化迅猛发展的过程中,我们一方面应该看到互联网等技术的发展给信息化发展带来的广阔前景,同时另一方面还必须认识到信息化时代所存在的问题,应该及时的发现这些问题,对企业的信息系统进行安全系统的管理,尽管国内的一些企业认识到了这些问题同时也都为此做出了很多努力,但是真正的效果并不是很理想,一些企业的信息系统实际上根本没有起到安全管理企业信息的作用,这就在很大程度上证明了国内的一些企业尽管都使用网络信息系统,到那时信息系统的安全管理措施还都有待加强。

3.大型信息系统安全管理的措施分析

3.1信息系统结构设计是关键因素

一个企业的信息系统的安全与否关系到一个企业信息的安全,而一个企业网络信息系统的安全关键在系统结构是否设计的合理。一般情况下,大型的企业信息系统都会存在一些固有的网络安全隐患,针对这些固有的网络安全隐患可以采取以下安全管理措施:首先是网络信息分段技术的使用,这项技术的使用能够是大型的信息系统从源头上排除信息安全隐患,针对企业网络存在形式局域网,可以使用物理以及逻辑分段相结合的方法来实现信息系统的安全管理,这样做的目的就是将企业以外未经授权的非法用户和一些对企业比较敏感的网络资源进行有效的分离,保证企业信息的安全流通;其次是集线器的更换,目前大多数信息系统出问题企业大型网络都是使用的共享式的集线器,从这上面吸取教训,将共享式的集线器更换成交换式的集线器,这样同样是局域网的信息系统结构,安全系数就大大的增加了。

3.2进一步加强计算机的安全管理

大型的信息系统储存的信息都是需要通过计算机来传输的,所以必须对计算机进行安全管理,这样才能保证信息系统在传输信息的过程中不会出现安全问题。

3.2.1加强设备的管理

对于设备的管理首先需要确保计算机网络信息系统的实体绝对安全,必须健全信息安全管理制度,防止企业之外未经授权的非法用户进去到企业的信息系统中进行非法行为,加强计算机软硬件等相关连接设施的安全管理,不定期的对相关设施进行维护管理。

3.2.2计算机病毒防护措施

第一:对于Windows的操作系统,要经常性的对系统的漏洞进行修补,做到随时的补充漏洞,防止因为系统漏洞问题造成的信息安全问题。

第二:要经常性的对企业的计算机网络中的防病毒定义码进行及时的更新换代升级,避免因为计算机系统防病毒软件出现问题造成的信息安全隐患。

第三:对于企业信息防火墙,首先必须进行合理的布置,除此之外信息系统的安全管理策略要要个的掌握,尽量的及时关闭掉信息系统中不需要运行的端口操作,用以防止非法用户对信息系统的攻击,同时计算机信息系统管理人员在及时的了解计算机应用程序经常使用的端口,避免不良运行造成的系统故障。

第四:大型的信息系统的管理人员必须熟悉黑客的一般攻击和相关规律手段,能够对黑客的一般性攻击做出及时的预警和防范。

3.2.3强化信息系统的访问控制

3.2.3.1强化企业信息系统的访问控制嫩巩固保证网络系统的正常运行。首先需要做的就是建立和企业信息系统的入网访问相关的功能板块,具体的是通过特定的网络分段以及相关服务来建立属于企业自身信息系统的访问控制体系,这样就能够保证大部分的非法访问都能够在进入信息系统之前被拒绝,强化企业信息系统的访问控制是为企业的信息系统安全管理提供了第一层保护,通过这个设置企业可以设定具体的访问对象,对于一些机密的信息可以不予共享,这样即使是得到了企业的授权,对于一些重要的信息还是得不到访问,具体的分为三个访问过程,首先是用户名的相关识别和验证,其次是口令识别和验证,最后是用户账号的识别验证,同时还需要保证三个环节都没有出错才能对企业信息系统进行访问。

3.2.3.2需要建立企业信息网络的权限控制板块。对于企业网络信息系统的权限控制针对的是没有经过系统允许的非法访问者所提供的一种安全保证措施,权限控制板块具体针对三种类型的访问:信息的特殊访问用户、信息的一般访问用户以及信息的审计者。

3.2.3.3需要建立企业信息系统的属性安全服务模块。对于企业信息系统的属性的安全控制能够就将特定属性的信息和网络服务器存储的文件等联系在一起,这样就进一步的增加了信息系统的安全系数。网络属性安全版块易爆有下面几种访问权限:往某个特定的文件传输数据、复制一个特定的文件、对于文件目录的删除和查看、信息的共享以及系统相关属性等,最重要的是能够有效的保护信息系统中存在的重要的目录以及机密文件,能够有效的防止文件的遗失和更改。

3.2.3.4建立信息档案的加密保护制度。主动的对企业的信息通讯过程进行加密,这样能够避免非法访问者深入的了解信息系统的相关信息和运行状态,防止信息系统的数据泄露。

3.3信息系统稳定性的安全管理

信息系统的安全运行需要的是一个稳定的环境和运行状态,所以必须对信息系统的稳定性进行安全管理:

3.3.1有关信息系统可靠性问题的安全管理

对于和信息系统的可靠性有关的系统安全问题,通常可以使用“磁盘冗余阵列”或者是“双机热备”等方法来进行安全管理,这主要是在企业信息出现遗失或者是显示错误的时候能够保证相关信息的及时性恢复所作出的操作,同时还能够进一步的找出出现故障的原因并及时的解决问题。

3.3.2信息系统通讯故障造成的系统不稳定

对于信息系统经常出现的通讯故障,需要根据企业的具体状况以及对于信息系统安全级别,使用备用信息系统线路,大型的信息系统的备用线路可以使很多条的,主要是为了能够保证企业信息通讯线路的稳定性,对于级别比较高信息系统来说,可以使用专线的方式保证系统稳定性。

3.4基于RMS的信息系统安全管理模式

RMS信息管理模式(Rights Management System)是一种和相关的特定应用程序进行写作来保护信息数据安全的一项新技术,能够有效的保证重要信息文件、电子邮件以及信息系统储存的信息安全的技术。对于大型的信息系统的安全管理人员来说可以严格的规定能够打开企业文件、读取相关信息以及修改特定内容的人群,能够有效的保证组织的创建权限,是确保具体实施的用户能够应用于信息内容的策略。

4.结论

信息化的发展给社会带来的是巨大的进步,同时对于信息系统的安全管理也是同时存在的时代问题,保证大型信息系统的安全运行,关系到一个企业甚至是社会信息的安全,所以必须有一套真正有效的安全管理措施保证信息系统的安全运行,希望文章的观点能够为此做出贡献。

参考文献:

[1]余志伟.面向业务过程的信息系统安全需求识别方法及其关键技术研究[D];浙江大学;2009年

[2]吴保林.试论计算机网络信息系统的安全管理[J]电脑知识与技术;2011年24期

[3]肖国煜.信息系统等级保护测评实践[J]信息网络安全;2011年07期

[4]武俊芳,郑秋生.重要信息系统安全测评工具的研究与设计[A]计算机研究新进展(2010)——河南省计算机学会2010年学术年会论文集[C];2010年

篇4

信息系统安全现状堪忧

随着企业业务系统信息化程度的不断提升,为了保证企业信息的安全,各企业都十分重视安全系统建设,但是由于不同时期实施的安全系统缺乏统一的密码安全标准,使安全系统处于独立状态,不能进行有效整合,不利于业务系统之间安全信息交换和设备共享等。

首先安全系统重复建设,增加了企业运营成本。各业务系统独立建设安全系统,导致企业内部安全系统大量存在,增加了业务系统建设的难度,也增加了企业的运营成本。同时各业务系统的设计人员对安全的认识不一致,导致各安全系统自成体系,安全强度不易衡量,使企业整体运行风险难以控制。而各业务系统使用的安全强度和密钥长度不同,使得企业内部业务系统互联互通性降低。其次在开发过程中大量使用单一硬件密码设备,对密码设备厂商产生严重的依赖,并且业务系统开发时没有考虑资源共享,每个业务系统都单独建设安全系统以及采购硬件密码设备,导致安全系统大量存在,安全设备大量堆积,安全系统无法资源共享,难于集中管理和维护。

针对企业安全系统当前现状,目前迫切需要对企业内部众多安全系统进行有效整合,加强安全系统资源共享,减少安全系统的重复建设,从而创造更大的社会价值。

得安公司专注信息安全十余年,是国内最早专注于商用密码理论研究及技术应用的企业之一,目前得安安全产品体系已覆盖硬件产品、标准接口、认证/授权服务、安全应用等多个层面。在技术更新一日千里,外部环境复杂多变的今天,得安公司依托得安研究院,专注于信息安全核心密码理论与技术,及应用安全领域的创新研究工作,为金融、政府、通讯、能源、交通等领域的重要信息系统和基础信息网络提供软硬件一体化的信息安全保障服务。

统筹规划 搭建安全平台

得安密码安全云服务平台是基于得安公司多年的安全集成开发经验,于2004年开始研制一款基于云计算关键技术的高性能密码平台。

平台将多款高端密码设备和软件中间件技术有机融合,以高安全性、高效率、高稳定性为目标,以先进的分布式计算和并行处理技术为核心,是国内最早的、最稳定的、最先进的密码安全云服务平台。

该平台面向金融、证券、能源等具有高安全性和高性能需求的电子商务、电子政务领域应用,成功解决了传统的单一密码产品的分散性、低效率、脆弱性等关键问题,大大提高了密码安全服务系统的稳健性、高效性和成熟性。其已应用于中国建设银行、中国邮政储蓄银行等多家金融单位,是国内最成熟、应用最广泛的密码安全云服务平台。得安于2004年开始为中国建设银行开发的信息安全基础项目,以服务平台的方式为各信息系统开发项目提供信息加/解密、密码校验、数据完整性校验、数字签名与验签和密钥管理等安全机制,为建行信息系统的开发、推广和维护提供了统一的安全基础。2004年到2014年已完成七期项目的建设,目前正在进行新一代密码服务平台的开发。并且平台目前已经在建行EAIH、EAIB、ECTIP等三十多个信息系统中推广应用,为建行业务发展提供了强有力的安全支持和安全保障。而从2009年开始,密码安全云服务平台便在中国邮政储蓄银行POS系统中推广,中国邮政储蓄银行密码安全云服务平台已经完成在全国包括35个一级省行、门户网站、IC卡系统、储蓄全国中心等系统的上线工作,目前系统运行良好,项目三期工程正在建设中。

密码安全云服务平台采用层次设计原则,通过统一的安全平台提供密钥管理服务、密码运算服务、密码设备管理服务等,通过简单易用的开发接口和组件屏蔽密码运算和密钥管理的底层实现细节。平台提供多算法支持,支持多台异构加密机并行提供密码运算服务;程序设计采用模块化设计原则,遵循模块内紧内聚、模块间松耦合的设计原理。

在保障系统安全稳健、高效成熟的同时,创造了良好的经济效益和社会效益,可有效解决企业安全子系统重复建设、密码设备大量冗余、难以维护等问题,荣获中国建设银行金融科技进步一等奖和中国人民银行科技发展三等奖。

专业成就优势

得安公司专注信息安全领域,十余年内不断的积累经验、突破创新,专业成就显著,优势突出。其密码安全云服务平台可统一安全系统,降低业务系统资源投入。密码安全云服务平台通过为业务系统提供统一的密码安全服务,减少了企业各业务系统在安全系统开发中的投入,企业各业务系统由原来的单独开发安全系统到使用统一的安全系统,减少了重复开发带来的资源重复投入。

安全系统集中管理,降低业务系统维护成本。密码安全云服务平台为企业业务系统提供统一的密码安全服务,平台由专门的人员进行维护,各业务系统不需专门对安全系统进行维护,降低了企业业务系统的维护成本。同时可灵活选择硬件加密设备,降低业务系统运行风险。密码安全云服务平台通过管理和调度多个厂商多个型号的硬件加密设备为业务系统提供统一的密码运算服务,使业务系统对硬件加密设备的选择具有更高的自由度,降低了业务系统对单一厂商硬件加密设备的依赖。

丰富的安全开发接口,提高业务系统整体的可集成性。密码安全云服务平台为业务系统提供功能强大的安全开发接口,业务系统程序无需重新开发安全接口,只需集成该接口就可以实现对密码安全服务的透明引用。

降低系统耦合度,提高业务系统稳定性。业务系统程序通过调用安全开发接口透明引用密码安全云服务平台的安全服务,降低了业务系统和安全系统的耦合度,提高了业务系统的稳定性。

统一安全策略,安全系统实时监控,安全设备灵活配置,提高业务系统安全强度。

安全创造价值

篇5

观安信息目前面向各大中型企业,特别是通信行业、金融行业以及政府机关,为各大企业实施全程安全服务和保障,包括风险评估、安全解决方案设计、安全规划和安全工程实施等。同时,在“互联网+”的思想引领下,针对移动互联网安全、虚拟化平台构建、云安全标准设计、安全大数据趋势分析、预警防御体系设计等方面也有建树,具有先进性和独创性的安全大数据场景设计能力。

观安信息从2015年开始,不断完善发展有关大数据信息安全平台是相关技术,陆续获得各类奖项和证书。如下所示:2015年7月获得ISO9001质量管理体系认证证书,2015年8月获得国家信息安全测评信息安全服务资质证书安全工程类一级,2015年9月获得CNCERT授权证书,2016年1月成为联合国训练研究所上海国际培训中心大数据应用与安全培训基地,2016年3月成为上海市信息安全行业协会会员单位,2016年4月获得上海市诚信创建企业称号,2016年4月成为上海市软件行业协会第七届理事会会员,2016年5月获得2016年度中国大数据安全行业杰出软件开发商奖,2016年6月获得国家信息安全测评信息安全服务资质证书风险评估类一级,2016年6月获得国家信息安全测评信息安全服务资质证书安全开发类一级。

观安信息业务范围广泛,在安全大数据,信息安全服务项目,智能电网云安全,数据模糊化产品,安全运维操作审计等领域都有所成就。下面介绍其中两个业务:

安全大数据项目旨在利用Hadoop技术搭建大数据分析平台,采用基于Hadoop架构的数据采集、预处理、统计及分析、挖掘等技术来对全网设备、应用,以及网络中的各类操作数据进行全面的关联分析、安全审计。

信息安全服务项目是观安信息和某大型国有集团的一次具有里程碑意义的合作。该国有企业作为上海市国有企业中唯一以园区开发和园区配套设施建设为主业的功能类企业,由于需要面向园区提供基础IT服务,因此也将信息安全放在了首位。并且,根据国家国资委针对国企提出实施信息安全等级保护工作的要求:上海市国资委信息化水平评价中也将信息安全单列为重要考核内容,且明确“加强信息安全工作”是2016年市国资委企业信息化推进重点工作之一。同时,市保密局对国企的保密安全检查日趋严格,并不断加强保密管理问责制。在这样的背景下,观安信息成功配合该集团实施了一次全面的信息安全风险评估。

观安信息在较短时间内,利用其深厚的信息安全功底,结合面向大数据信息安全的新技术新业务的创新能力,不断赢得客户赞誉。

篇6

摘要:近些年来,我国电力建设速度明显加快,在加大对电力基础设施投入的同时,我国也在电力信息化方面加大了投入,现今我国在电力信息化方面应经初具规模,在电力生产、电力销售、管理等方面都得到了应用,在享受电力信息化带来的便利的同时,怎样做好在信息化方面的保障工作,使其能够建立合理的电力信息化的安全保障体系是一项繁重的任务。本文将就电力信息化的现状以及如何建立合理的安全保障体系进行阐述。

关键词:电力信息化;安全保障体系

中图分类号:TM76 文献标识码:A

近些年来,我国在加强对电力系统的建设投入的基础上开展了电力系统的电力体制改革,随着这项改革的深入,企业对电力信息化的需求越来越强烈。下文将就电力信息化的现状以及如何建立合理的安全保障体系进行阐述。

1 电力信息化安全体系简介

1.1电力信息化简介。电力工业生产过程包括电力工业规划、设计、施工、生产发电、输电、变电、配电、电网调度、供电营销、物资及管理等环节。电力信息化是指电子、计算机、网络等信息技术在电力工业规划、设计、施工、生产发电、输电、变电、配电、电网调度、供电营销、物资及管理等环节应用全过程的统称,是电力工业在电子信息技术的驱动下由传统工业向高度集约化、高度知识化、高度技术化工业转变的过程。计算机信息通信网络是电力信息化的技术,各类电力资源的开发和利用是电力信息化的核心,提高电力企业的经营决策水平和经济效益是电力信心化的核心,提高电力企业的经营决策水平和经济效益是电力信息化的宗旨,其本质是加强电力企业的“核心竞争力”。电力企业信息化包括生产过程自动哈和管理信息化两个方面。

1.2我国电力信息化发展现状。我国自上世纪60年代开始在发电厂和变电站自动监测、控制等方面应用电力信息化,进入90年代后信息技术应用进一步发展到综合应用,由操作层面向管理层面延伸,实现管理信息化,建立各级企业的管理信息化。我国的电力信息化发展从原来的单机、单项目向网络化、整体性、综合性应用发展,从局部应用发展到全局应用,从单机运行发展到网络化运行,同时其它专项应用系统也进一步发展到更高的水平,现今,我国的电力信息化建设已纳入企业总体发展战略,信息化进一步与电力企业的生产、管理与经营融合。

1.3电力信息化的安全保障体系。电力信息化安全保障体系建立的目的是为了建立在网络上的电力系统的信息的安全,保障这些信息不会被非法用户登陆、查看甚至是修改,因为一旦以上这些现象发生将会造成巨大的损失。同时需要对合法用户提供安全、可信的信息服务。

2 电力信息化的安全保障体系的简介

2.1电力信息化安全保障的意义。进入新时代,网络信息安全问题得到了广泛的重视,像前段时间美国的“棱镜门”事件,更是加剧了民众对于信息安全的担忧,我国现今已经建成了广发的网络的应用,我国是信息化应用方面的大国,而非强国,来自于网络上的攻击威胁着我国金融、电信、电力等行业的安全,而电力行业是一个国家基础行业,更应加强信息安全方面的投入,建立起相应的信息化的安全保障体系,抵御来自于网络方面攻击,提高电力信息化方面抗风险能力。

2.2电力信息化安全保障方面存在的问题。近些年来,我国虽然加大了对于电力信息化安全保障方面的投入,但是在电力信心化安全保障方面还是存在着一些问题:(1)信息安全意识薄弱。由于信息安全是存在着看不见摸不着且无法定义的弊端,造成企业单位及个人对于信息安全方面的意识不足,同时由于对于信息安全形式认识方面的不足造成很对的人对于信息安全方面的忽视。(2)没有常态化的信息安全保障工作,在信息安全方面各个单位及个人没有在日常工作中落实到实处,仅仅在上级领导及上级单位检查时应付为主。(3)对于电力信息化的安全保障工作在信息安全运作机制不完善。(4)各地对于信息保障工作的完成度不同,由于电力企业的办公地理位置分散,因此在信息化安全保障体系的建设方面需要投入的人力巨大,而且由于各地对于信息化的运行维护、保障体系管理缺乏一定的经验以及相应的规范,因此,在信息化建假设维护方面各地进度不一,落后的地方的信息化安全方面的建设将会成为整体建设方面的短板。(5)由于在电力信息化安全方面的经验不足,造成在设计相关的系统安全方面时经验不足,设计方案漏洞较多。

2.3电力信息化建设面临威胁。现今网络中面临多方面威胁,而电力企业信息安全面临的风险有病毒木马、非法篡改信息、信息泄露、服务瘫痪等方面威胁。

3 电力信息化安全保障体系的建立

3.1加紧制定相应的信息安全策略。信息安全策略是电力系统解决信息安全问题最重要的步骤,也是电力系统整个信息安全体系的基础。电力系统最主要的管理文件就是信息安全策略,信息安全策略明确规定需要保护什么,为什么需要保护和由谁进行保护;没有合理信息安全策略,再好的信息安全专家和安全工具也没有价值。电力系统的信息安全策略可以反映出电力系统对现实安全威胁和未来安全风险的预期,也可反映出组织内部业务人员和技术人员对安全风险认识与应对。

3.2加强对于电力信息化的信息安全管理。电力系统的信息安全管理中存在着诸多问题,例如:(1)信息安全管理部门的不作为,虽然相关的机构建立起来了但是并未发挥相应的作用。(2)员工对于信息安全的认知不够,并未树立起全员信息安全意识,(3)相应的安全管理职责划分不明,没有建立起风险管理控制机制等。

应当建立起定期的巡检制度,每个月进行排查,提交月报,同时需要对员工加强关于电力信息化安全方面的讲座,将电力信息化安全缺失造成的危害对员工进行详细的接收,提高员工对于电力信息化安全的认识,做好相关的安全工作。

3.3保证电力信息安全的技术措施

通过建立统一IDE身份认证和访问控制方式来对登陆用户进行身份认证,同时需要对网络中传输的信息进行加密措施,应使用加解密、数字签名、消息认证码等手段进行保护。但现今电力企业中的通信过程都未采取加密、数字签名等安全措施。同时需要建立起对于病毒、攻击等的防范措施。加强对于信息化安全的保障。

结语

电力是一个国家的基础,因此我们需要加强对于电力信息化的安全保障体系的建设,确保电力信息系统安全、可靠、稳定、高效地运行。

篇7

1 引言

随着计算机和网络通信技术的快速发展,信息技术越来越多地被应用于银行各项业务,银行可以为客户提供“3A”(Anytime,Anywhere,Anyway)服务,信息技术在给业务办理带来巨大方便、高效的同时,也带来了极大的信息安全隐患。从一般概念上来讲,网络信息安全主要指网络信息的完整性、保密性、可用性、真实性和不可抵赖性。但是银行作为一个特殊的机构关乎国家经济命脉和人民生活,银行信息安全自然非常重要,它是指银行信息系统的软硬件资源及其数据受到严格保护,不受恶意的或偶然的原因而遭到更改、破坏、泄露,系统可持续稳定可靠地运行,信息服务不间断。银行信息安全是银行业务开展的基础,是银行经营稳健运行的保障。

2 我国银行信息安全的现状

自1998年3月6日,中国银行业务系统第一次成功办理电子商务交易,从此开始了中国内地网上银行业务发展的序幕。近年来,我国银行业的信息系统经历了地震、泥石流等各种各样的考验,充分说明了我国大陆银行业信息系统建设取得了一定成绩,同时监管层也颁布了《金融机构计算机信息系统安全保护工作暂行规定》、《关于进一步加强银行业金融机构信息安全保障工作的指导意见》等政策法规。目前,各大银行已经意识到网络信息安全的重要性,成立了信息安全专门管理机构,并在信息安全管理机构内养一些专业人才,并增加了信息安全的投入。

虽然中国银行业在信息安全建设方面取得了佳绩,但是银行信息安全危险依然存在,银行信息安全保障依然不能忽视。据了解,国内网络犯罪案件呈现逐年上升的态势,其中银行信息安全方面的犯罪率达到了60%以上。据互联网新闻报道,2009年上海农商银行信息系统出现故障,区域内大量营业网点无法正常办理业务;2010年2月3日中国民生银行网络信息系统出现长达4小时的系统故障,全国范围内无法办理业务;2014年2月支付宝员工在信息系统的后台下载了大量客户信息有偿出售给其他电商公司。上述事件严重影响了人民的利益,对金融企业的形象和声誉造成了极大的负面影响,充分暴露出银行业机构在网络信息安全领域有较大隐患,不容小觑。

3 银行信息安全存在的问题

银行信息安全系统的建设是一个庞大复杂的工程,大部分工作牵扯到银行业务管理水平和信息安全技术,目前无论从系统管理的角度还是从安全技术水平的角度,银行信息安全方面都存在着较多问题,下面从这两个方面展开论述。

3.1 从业务管理的角度看银行信息安全存在的问题

⑴对信息安全的认识不到位,信息安全的意识观念薄弱

银行业的信息安全问题,首先是意识和观念的问题。不管是管理层还是底层员工,能认识到网络信息安全的重要性,熟悉信息安全的基本内容和具体工作要求是非常重要的。人们往往认为信息安全的核心安全性取决于核心技术,其实这种思想是错误的,信息安全首先取决于基本规范的实施和安全手段的应用。

⑵重视信息安全产品的投入而忽视管理投入,应急预案不完备

网络信息安全投入不完全是安全产品和工具的投入,还应包括操作流程、应急处理机制策略等方面的投入,还必须配套与安全产品有相适应的过程管理机制。建立合理的流程管理机制需要投入,这些投入与安全体系的完整性有着紧密的联系,否则报警无人处理、入侵无人响应,效果并不理想。应急预案的覆盖范围必须足够广,制定规范性、系统性应急预案并进行实践检验,部分应急预案的制定与银行实际工作情况没有关联,侧重于应急预案的形式,而不注重应急演练实践检验,极少有银行机构做到模拟真实场景进行应急演练和评估风险。

⑶银行缺少信息安全管理的复合型人才

金融管理离不开管理方面的人才,金融企业信息安全管理需要复合型人才,这种复合型人才必须熟悉计算机和网络技术,又要懂银行业务流程和信息安全风险防范知识。目前,这种复合型人才还比较少。各大银行的信息安全专业技术人员大部分都是毕业于计算机或相关专业,他们对计算机专业知识相对比较了解,但是对银行业务的工作流程和信息系统潜在威胁的把握还不够。

3.2从专业技术角度看银行信息安全存在的问题

⑴银行使用的软件安全性比较弱

由于计算机应用软件是银行内部信息的载体,所以软件本身的质量相当重要。目前银行业务系统的软件体系,包括项目管理系统和软件开发生命周期都只注重软件功能、开发速度和市场,很少考虑安全的需要。现在发现管理和技术上存在的安全威胁,主要出现在应用软件安全设计上。

⑵系统漏洞和信息泄密

所谓漏洞一般是指系统设计开发人员在软件开发的时候,故意设置的。这样做的目的是为了保证银行从业人员在某些特殊情况下失去系统访问权限时可以顺利进入系统,正是因这些软件漏洞的存在,给银行业务系统带来了信息安全威胁,这样就会造成信息的泄露。其次,银行的内部职工最熟悉金融企业的计算机应用系统,他们知道那些操作能使计算机系统出现故障、损坏或泄密。某些时候金融企业裁员也可能导致计算机泄密,当裁员时某些系统账号没有及时删除,也可能导致重要敏感信息的泄露。

⑶计算机黑客的恶意入侵

网络黑客是一些具备较强计算机专业技术知识的爱好者,他们可以在他人无法察觉的情况下,利用计算机设备侵入一些重要行业的计算机系统,并从中获的有价值信息或破坏信息系统。大多数的网络黑客主要利用计算机软件系统的漏洞来入侵信息系统,入侵方法高明且多种多样,并且入侵手段更新速度也很快,从而使现有的计算机系统安全产品很难及时做出相应的预防,进而导致计算机网络经常遭到网络黑客的侵入。

⑷计算机病毒和木马

计算机病毒是目前信息安全主要威胁因素之一,而且现在的计算机病毒千奇百怪,多种多样。计算机病毒是一些计算机爱好者刻意编写的程序代码,具有类似于生物病毒的破坏性、传染性、隐蔽性等特点。为了保证银行计算机网络系统的安全运行,应重视防范病毒。另外还有就是木马程序,木马程序是一种由攻击者悄悄安装在受害人计算机上的窃听及控制程序,通常包括控制端和被控制端两个部分,被控制端程序通过网络或其他介质植入受害人计算机,控制端程序则安装在不法分子的计算机设备上,利用控制端远程的和被控制端传送数据,以窃取受害人计算机上的资源,盗取个人信息和各种重要敏感数据,给单位和个人造成相当大的损失。

⑸灾备措施不完善和基础设施故障

银行的灾难备份和恢复能力必须进一步加强,中国银行业的灾备系统类型比较单一,覆盖面还较小,尤其缺乏系统的灾难恢复方案。正因为这些情况的存在,导致了各种各样的自然灾害发生后,无法立刻启动应急预案并快速切换到备份系统,所以才会出现长达数小时的信息服务中断。计算机基础设施可以说是任何计算机系统安全运行的保障,当基础设施出现故障后,势必会造成信息服务的中断,同时这种情况的发生是不可预知的。基础设施的出现故障的原因比较复杂而且多样化,具体包括服务器电源故障、网线老化、通信中断等。

4 银行信息安全风险的应对策略与建议

从以上关于我国银行信息安全问题的分析可以知,构建一套可行的银行信息系统安全保障体系和方法,加强防范信息安全风险势在必行。因此,应做好以下方面的工作。

⑴认真做好相关专业人员的安全意识教育,而且常抓不懈

银行内部比须加强信息安全监管和惩戒力度,明确法律责任,将信息安全的责任落实到每个相关人员,出现问题谁负责追究谁,将违规操作的可能性降到最低。对于银行而言,任何的数据和客户信息都非常重要,必须有严格的保密规定,但是常常在实际工作中出现这样那样的小问题,因此要强化内部员工的安全意识教育和信息安全基础知识培训,此项工作必须常抓不懈,然后将相关内容整理成册,定期的学习考核。必要时,有机会接触重要信息的员工在进入岗位之前必须做出书面承诺,保密承诺要包括重要信息的范围以及泄密需要承担的相应责任,使每一个能接触重要信息的人员明确信息泄露的危害。同时通过培训,提高所有参与管理的人员信息安全和风险防范意识,关键是要重点培养信息安全的业务骨干。

⑵建立与灾备体系相适应的应急管理机制,两者缺一不可

日常生活中突发事件是不可预知的,尤其是各种各样的自然灾害,其破坏力比较大。如果银行能事先把预防措施做到位,做到防患于未然,就可以最大限度地减少经济损失,保证人民财产不受损失,保障国家经济安全运行。首先是要建立完善的应急预案机制,有针对性的强化应急演练,对各种自然灾害事件进行全面有效的风险评估,分类制定科学的应急方案,开展接近于实际情况的模拟应急训练,及时评估应急演练的效果,做到突发事件发生时无死角,有的放矢,同时通过应急演练检验应急预案的实用性、合理性、可行性。接下就是建立与应急机制相适应的灾难备份恢复系统,提高业务可持续性。大型的银行要积极建设“两地三中心”,中小型银行可以考虑选择灾难备份外包服务,使银行具备抵御火灾、地震、暴雨等自然灾害的能力。全面促进业务系统的连续性,着实增强银行防范风险能力。

⑶加大银行信息安全复合型人才的培养力度,拓宽培养渠道

任何科技工作都必须以人才为重心。为了彻底清除银行信息化建设中的障碍,切实保障金融企业信息安全,各大银行要大力培养信息安全复合型人才。首先根据各单位信息安全的人员结构和知识结构,在强化信息安全专业知识教育的同时,还要兼顾计算机专业知识和金融业务知识的培训,而且此项工作必须长期坚持,做好人才储备。在人才培养的同时还要与实践相结合,在学习各类信息安全知识的前提条件下,组织参与培训专业人员针对信息安全制度进行实践检验。

⑷敏感重要数据务必加密,同时安装杀毒软件

首先,加密是确保信息安全的关键技术之一。越来越多的数据要求银行的业务系统在选择加密方式时要尽可能的有多种数据防护需求,在已有的加密方式下,多模加密技术是较好的选择。多模加密技术是将非对称加密算法(如RSA)和对称加密算法(如DES和AES)相结合,在确保数据安全的同时,其多模的特性可以根据需求选择对称或非对称加密方式。另外防范计算机病毒最有效的措施就在银行的各类计算机系统中安装正版的防病毒软件,力争做到病毒防范无死角无遗漏,并且确保杀毒软件能实时更新病毒库。对于新购置的软件和类似于U盘的存储介质,在使用前银行员工须使用杀毒软件进行全面的病毒扫描,确认安全之后方可使用。

⑸进一步推进银行信息化技术法规和标准化体系建设

结合银行信息化发展的实际需要,以各种方式协作,分层次和有序的加快银行信息化技术规范和标准的建设进度。组织完善数据中心建设、数据存储、网络互连、安全加密、数据交换、安全认证、客户服务方面标准的制定。对网上银行、移动银行、电子商务等创新产品和服务,制定与之相适应的标准和规范。同时,建立科学的监督策略,通过制度建设,强化技术标准和规范的执行强度。

篇8

关键词:信息安全;计算机;安全

我国信息安全发展的大环境目前已日臻完善,成立了全国信息技术标准化技术委员会、国家计算机病毒应急处理协调中心等机构。另外,我国信息安全政策法规、标准制定也已经走入规范化进程。但信息安全是一个征途而不是一个目的地。新的技术,新的业务需求和新的安全威胁不断地改变环境。

由于计算机和国际互联网的飞速普及,中国目前已经成为炙手可热的黑客攻击目标。全球每天约有200万台PC机处于随时可能被攻击的失控状态,而其中有20%的PC机来自中国。据公安部对全国信息网络安全状况和计算机病毒疫情调查显示,我国信息网络安全事件发生比例为62.7%,计算机病毒感染率为85.5%,多次发生网络安全事件的比例为50%,多次感染病毒的比例为66.8%,可见,我国信息安全体系安全性何等脆弱。笔者通过对目前信息安全体系安全现状进行分析并初探解决对策,希望能对信息安全体系的发展有所作用。

一、信息安全存在的几大安全现状和威胁

第一,前期,微软对中国Winxp、office用户反盗版黑屏事件已炒得沸沸扬扬,但反思后可得知:计算机网络系统使用的软、硬件很大一部分是国外产品,我国电脑制造业对许多硬件核心部件的研发、生产能力很弱,关键部件完全处于受制于人的地位。并且对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。一旦发生重大情况,那些隐藏在电脑芯片和操作软件中的后门就有可能在某种秘密指令下激活,造成国内电脑网络、电信系统瘫痪。

第二,全社会的信息安全意识虽然有所提高,但将其提到实际日程中来的依然很少。国家计算机病毒应急处理协调中心进行的多次安全普查和评估中发现许多公司和企业,甚至敏感单位的计算机网络系统基本处于不设防状态。有的即使其网络系统已由专业的安全服务商为其制定了安全策略,但在一定时间后,由于在网络的使用中发现没有以前的方便,便私自更改安全策略,等一旦遭到攻击已是悔之晚矣。

第三,目前关于网络犯罪的法律还不健全。比如盗窃、删改他人系统信息属于犯罪行为,但仅仅是观看,既不进行破坏,也不谋取私利算不算犯罪?还比如网上有很多BBS,黑客在上边讨论软件漏洞、攻击手段等,这既可以说是技术研究,也可以说是提供攻击工具,这又算不算犯罪呢?国内很多网站在遭到攻击后损失惨重,为保证客户对其的信任,为名誉起见往往并不积极追究黑客的法律责任,这种“姑息养奸”的做法就进一步助长了黑客的嚣张气焰。

第四,信息安全人才培养体系虽已初步形成,但随着信息化进程加快和计算机的广泛应用,电子商务、电子政务和电子金融的发展,对信息安全专门人才的培养提出了更高要求,目前我国信息安全人才培养还远远不能满足需要。

第五,我国信息安全产业水平有待提高。一是安全应用需求不明,产业技术推动性、应用针对性不够,国内安全需求得不到很好满足;二是产品过度集中,低水平重复严重。三是核心技术仍然受到制约,产业化水平较低,产品安全质量令人担忧。

二、解决方案初探:

象火灾防范工作的防消结合一样,合理的信息安全系统需要满足两方面的要求,首先是要把计算机网络安全事件的发生率和损失可能性控制在可以接受的较低范围内,其次是要使信息安全事故可以得到及时处理。

1、信息安全基础设施的必要性

尽管安全产品不是万能的,配置各种安全产品并不能解决安全问题,但计算机网络系统需要一些基础的保护设施。任何安全措施都建立在一定软硬件环境基础下,有很多安全机制是操作系统和网络软件产品本身已经具备的,而也有很多安全功能是需要专门安全产品才能实现的。因此需要根据用户的实际网络环境和应用情况,决定配置那些安全产品。

2、信息安全专业服务的必要性

任何一种安全产品所能提供的服务都是有限的,也是不全面的,要有效发挥操作系统、应用软件和安全产品的安全功能,必须进行全面的检测、合理的配置和适当的优化,才能使整个安全系统良好地运转起来。而实现这些严密的安全措施需要第三方的专业信息安全人员的参与并发挥主要作用。鉴于未来网络威胁的严重性和信息战的可能性,建立主动性的信息安全防御体系已经成为先进国家的研究重点之一,而主动性安全防御体系中最重要的环节是一支专业化的信息安全服务力量。

三、结论:信息安全问题具有动态性,必须统筹兼顾,常抓不懈。

计算机网络系统软硬件和应用情况在不断更新。引入新设备、新软件和新的应用,都会带来新的安全问题。攻击技术每天都在发展,新的攻击机制不断出现,新的攻击机制决定了新病毒和新的黑客攻击手段会对原本已经比较安全的系统造成新的威胁。只有坚持对计算机网络系统进行有计划的,长期进行的评估和审计工作,才能保证最新的技术隐患会被及时识别和解决。如果不结合这些新的技术动态、人员动态和管理动态进行定期的安全性评估,原本搭建好的安全体系将处于不可控的状态。

参考文献:

[1] 徐国芹. 浅议如何建立企业信息安全体系架构[J]. 中国高新技术企业, 2009, (05) .

[2] 陈伟,向丽,刘爽,郭伟,谢明政. 企业信息安全体系架构[J]. 石油地球物理勘探, 2008, (S1) .

篇9

IT治理面临的挑战

在中国经济强劲增长的背后,企业的业务发展与创新对IT的依赖程度越来越高。但是正如汽车需要保养一样,IT系统同样需要类似的保养、优化与管理(IT治理与风险管理),这时IT系统才不会宕机、不会泄露商业机密、不违反法规遵从,从而保证IT与业务目标的一致性。缺乏IT治理与风险管理的企业所面临的风险是巨大的。IBM软件集团大中华区总经理Bete F. Demeke认为,环境的变化对于今天的IT治理提出了众多的挑战。

对于今天的中国企业而言,随着市场变化脚步的加快,企业员工的流动性也变得越来越强,随之而来的是信息安全风险上升的平衡问题。由于人员的流动,企业信息系统内的数据可能面临与前文案例企业一样的风险,包括数据丢失、数据泄露、数据被更改等。

除了员工流动性增强外,企业的全球化拓展也是中国企业当前的一个显著特征,国家工商行政管理总局的统计数据显示,2006年有5000多家中国投资实体在海外172个国家和地区建立了1万多家公司,2008年这一数字还在快速增加。快速扩展也给企业带来众多IT治理和风险管理方面的难题:海内外系统业务连续性、各级系统访问安全控制、不同国家地区的法规遵从……

一些中国公司虽然已经在海外拓展了业务,但是国内外的业务连续性始终无法保证,最后导致企业经营失败。类似的问题,随着中国市场快速变化和企业信息化进程的深入,已经成为企业必须面对的挑战。

服务管理是治理基础

到今天,相信所有的IT管理人员都能了解IT治理的重要性。而如何成功实现IT治理,则涉及到服务管理、安全和业务容灾性三个方面的内容。不同企业的侧重也不同。

对于上海电信这类企业来讲,他们需要解决的是多系统引发的应用复杂性提升的问题;对于中化集团来讲,他们需要解决支持业务连续性的灾备问题;而对于交通银行而言,他们可能最需要解决的是授权不当引发的信息安全漏洞问题。

针对上述种种问题,IBM软件集团亚太区Tivoli软件总经理Mitchell Young表示,IT服务管理是成功实现IT治理的基础,企业首先应当建立起组织服务的管理能力,而IBM认为成功的服务管理必须具备三个要素:实现IT和业务的可视化、可控化和自动化。

实际工作中,企业管理层、业务部门和运维部门以及合作伙伴都期望在各自的权限范围内,实时“看到”同自己相关的企业业务和IT运行状况,为企业决策提供及时准确的信息、避免业务风险和危机,从而保证业务连续性与业务目标的实现,这就是IBM强调的IT和业务的可视化。

可视化的核心是指企业应当对业务和IT实现全面可视。对此,IBM提出了IT业务仪表板(Business of IT Dashboard)解决方案。它是一个基于资产评估的服务套件,通过帮助客户评估其当前IT治理领域的优缺点,为企业提供系统各级用户完整视图,帮助企业外部客户了解业务相关信息,以帮助他们规划和管理在线行为,从而实现IT业绩与企业业绩同步。

而对于资产控制而言,企业期望IT不仅仅是在控制IT资产,还应当有效管理和控制非IT资产,进而帮助企业提升资产使用率和投资回报率。该愿望与IBM强调的IT和业务可控性不谋而合。

Gartner认为,有效的企业资产管理(EAM)在第一年中将为企业带来30%的成本降低,并在未来的5年内持续带来5%到10%的节省。而来源于一家全球知名金融杂志的调查显示:在大多数企业中,只有40%的企业资产可以很好地被描述并很快被找到,未实现对另外60%企业资产进行管控的原因主要是由企业的底层架构缺乏管控导致的。

因此,IBM全球信息科技服务部大中华区资讯咨询服务部总经理李雅弼认为,仅专注于IT基础架构的管理已不能满足企业的需要,企业不但需要实现对IT基础架构、网络环境的管理,更需要实现对包括企业业务资产等在内所有业务元素的管理。比如医院,发电机也是重要资产,它对医院的不间断服务发挥着重要作用,也对IT系统起到应急支撑作用。因此,IBM服务管理解决方案中是将IT资产与非IT资产进行统一管理和监控的。

IT和业务的自动化则是指IT系统应当通过整合的IT流程和自动化工具支持企业关键业务流程,从而降低人力成本和人为因素造成的风险,提升企业敏捷性。IBM的一项调查显示,CIO的预算清单中,约32%花费在人力成本上。也就是说,目前企业主要是由人力来完成IT的运营和维护。

“IBM服务管理解决方案将从IT角度协助企业实现业务服务和流程的自动化。”李雅弼说,“在改进服务质量的同时,帮助企业提升IT生产力。”

五点切入实现三化

IT和业务的可视化、可控化和自动化无疑是所有企业都期望获得的,但是通过哪些手段去实现却是一个难题。对此,IBM总结提出了实现三化的五个切入点:IT运维、安全运维、存储运维、企业运维和运营商运维。

对于电力、能源等需要大规模IT系统支撑日常业务运转的企业而言,从IT运维角度切入实现IT和业务的可视化、可控化和自动化显得更为合适。此时,服务管理能够覆盖到服务提供和流程自动化、服务可用性和性能、SOA管理等方面,通过对服务提供和流程自动化的治理,可有效优化成本控制与服务交付质量;通过对服务可用性和性能的治理,能够让企业从响应式管理转化到前瞻性管理,从而优化IT基础架构利用率和服务可用率;而通过对SOA管理的治理,则将为企业提供一个敏捷、高性能和安全的Web服务基础架构。

对于类似交通银行这样的金融机构来讲,它们可能最需要解决的是授权不当引发的信息安全漏洞的问题。因此,从安全运维角度切入,服务管理将有效覆盖安全、风险和法规遵从等方面,从而有效规避来自内部和外部的对数据、系统和应用的威胁。

中化集团在实现以ERP为核心,包括内部办公自动化系统、分销管理系统、内部门户等系统在内的企业信息化平台建设后,迫切需要实现支持业务连续性的容灾能力。此时从存储运维角度切入显得更为合适,这样能够更好地建立高弹性的存储基础架构,保护有价值的信息资产并符合数据保护策略,支撑业务连续运行。

篇10

一、前言

1.背景

2013年被认为是互联网金融的元年,这一年,支付宝的余额宝打头阵,带动了互联网金融的开花。接着中国互联网另外两个巨头腾讯和百度也相继进入互联网金融,从理财、第三方支付到设立银行,互联网金融以势不可挡之势快速发展。互联网金融的发展必然冲击传统金融领域,商业银行不得不触网,因为在大潮来临时,不前进就是后退。

“互联网+银行”已经成为不可逆转的潮流,传统商业银行向“互联网+银行”转型迈进的步伐正在加快,风险管理作为商业银行生存和发展的核心竞争力之一,也需要适应"互联网+"所带来的各种冲击和变化。互联网是一个工具,是一把双刃剑。利用得好,商业银行的风险管理机制将得到显著优化,提升企业业绩;反之则可能增加风险,降低利润。

2.互联网+对商业银行风险管理的影响

互联网金融作为一种工具,对商业银行的内外环境产生了深远的影响。

互联网金融的发展,普惠金融产生,客观促进了利率市场化。商业银行的廉价资金大幅减少,存贷利差减少,成本增加。商业银行利润率降低,收入增长放缓,甚至减少。为了使商业银行利润实现持续增长,商业银行不得不创新金融产品,提高风险偏好,改变业务模式,商业银行的风险可能会因此增加,需要商业银行相应的提升风险管理能力。

二、互联网+对商业银行风险管理的挑战

1.对互联网+条件下征信的挑战

互联网+条件下,消费者网上消费行为越来越多。2015年天猫双十一阿里巴巴天猫平台上的消费总额就达到了912.17亿。新的消费形态出现并迅速扩大,银行能记录的征信比例相对来说越来越少。

社会征信机构出现,能记录各自行业的消费者征信记录。支付宝有花呗,京东有白条,苏宁有任性付,这些和信用卡类似的消费商业银行也没有他们的记录,银行的征信范围不够广,会产生一定的风险。

当前各个征信主体的征信记录被封闭起来,各行各业的征信记录被分别保存,没有互联互通,导致征信记录价值被严重缩小,增大了银行贷款的风险。

2.对信息安全的挑战

银行是影响最大的金融机构,如果信息安全做得不到位,会造成极其严重的后果。新闻里时常报道有人信息被泄露导致被诈骗账,接了个电话银行卡里的钱就被盗刷等事件,这是个人信息泄露的后果。商业银行信息泄露远比个人信息泄露危害重大,一是企业信息泄露可能是存储在商业银行里的大量个人信息的泄露,二是商业银行本身信息泄露,会造成大量金融数据被盗取、修改等,面对的是大量客户造成的影响比个人信息泄露后果严重,甚至造成社会动荡。

3.对商业银行传统运营模式的挑战

最近金融领域最火的当属互联网金融,以支付宝为首的第三方支付公司交易额迅速攀升,在抢着原本属于银行的业务。民营银行的建立,利率市场化的推进,普惠金融的出现等,改变了银行业务的格局。以前银行靠很多活期存款获得了大量廉价资金,现在有了各种"宝宝"产品,银行廉价资金大量转移,增加了银行成本。这些现象说明互联网金融倒逼银行运营模式改革。

三、互联网+条件下商业银行风险管理机制优化建议

1.开放共享社会征信资源

在互联网+催生了共享经济,征信方面同样可以实现共享共赢。

商业银行的优势在于传统风险管理做得扎实,有多年的信用数据积累。社会征信机构优势在于在新时代里新的征信数据增长快,技术有一定程度领先。互联网金融发展迅速,由此产生的信息是商业银行没有的。商业银行和社会征信机构合作,整合全社会征信资源,建立开放共享征信机制,形成健全的征信体制,可以极大地促进征信信息的完善,降低相关信用风险。

2.加强信息技术安全管理

商业银行信息安全管理既要练好内功,又应该和各方面主体合作,建立一个完善的信息安全体系。一方面,商业银行自身应加强安全体系建设,在制度上做到完备、在硬件设施水平上装备良好、在观念上做到对信息安全高度敏感、在执行上坚决果断。另一方面,商业银行应该与互联网企业、第三方安全公司进行技术合作,多方面努力保信息安全。

3.加强创新管理

商业银行应该充分利用自身金融方面的专业优势,加强产品开发的优势,增强渠道建设,就能在互联网金融大潮中起航。

加强产品创新方面,互联网金融核心还是金融,只是创新了渠道,便捷了大众的购买。商业银行应把重点放在产品创新上,如果有了丰富的金融产品,就算互联网金融再如火如荼,也只是给商业银行销售而已。加强渠道建设方面,商业银行已经有了营业厅、自助服务终端,网上银行,移动银行等渠道。渠道已经不少,但关键是要形成合力,不能单打独斗,应该加强线上线下渠道整合,形成独有的渠道优势。