国内外金融业信息安全综述

doi:10.11959/j.issn.2096-109x.2017.00124

摘要/Abstract

摘要：

从金融信息化、金融信息安全概念着手，就当前国内外金融业信息安全面临的包括网络安全、数据安全和业务连续性安全在内的主要风险展开综述，对业界一些有效技术和控制措施进行介绍，并给出相关启示和提出建议。

Abstract:

Based on financial informatization, financial information security concept, current major risks to financial information security in domestic and international were overviewed and summarized, including network security, data security and business & services continuity, etc. Some effective techniques and control measures in this areas were introduced. Finally, relevant implications and recommendations were proposed.

Key words: financial information security, financial informatization, information security, risk contro

中图分类号:

李连朋,罗宏. 国内外金融业信息安全综述[J]. 网络与信息安全学报, 2017, 3(2): 9-19.

Lian-peng LI,Hong LUO. Review of domestic and international financial security[J]. Chinese Journal of Network and Information Security, 2017, 3(2): 9-19.

图/表 4

表1

表2

表3

近3年来全球金融信息安全事件和事故"

年度	信息安全事件
2016年	环球银行金融电信协会（SWIFT）信息系统发生多起网络入侵盗窃事件。2016年2月，网络黑客入侵孟加拉国中央银行窃取8 100万美元；2016年6月，黑客攻破乌克兰银行核心网络系统，盗取1 000万美元。几宗案件的作案手法十分雷同，均为黑客通过入侵银行账户系统，植入网络木马程序，盗取转账凭证，并篡改SWIFT文件，控制交易流程
	美国大型医疗保险商CareFirst遭遇专业黑客攻击，约有110万医疗保险客户的个人信息遭泄露，包括客户的个人姓名、生日、邮箱地址、医疗保险号码等信息，部分信息被发现遭到非法利用
2015年	美国证券服务商Scottrade发生了信息系统数据泄露事故，数百万用户的敏感数据受到影响，受影响的数据库中包含用户的社会安全号码和电子邮件地址
	汇丰银行由于内部控制原因，大量秘密银行账户文件被非法盗取，涉及约3万个账户，总计1 200亿美元资产
	英格兰银行大额支付系统（CHAPS）故障导致系统宕机长达10 h，事故当日积压大量交易数据，政府、商业和个人的支付业务受到严重干扰，对英国的经济造成重大影响
2014年	欧洲中央银行（ECB）遭到严重的网络攻击，网络黑客通过其外部网站的数据库，窃取了网站上1.5亿注册者的电子邮件和用户的个人信息，包括电子邮件、家庭住址和电话号码在内的部分未加密数据被非法利用

	美国第二大零售商家得宝（Home Depot）公司支付系统遭到网络攻击，近5 600万张银行卡的信息被盗，比2013年美国塔吉特（Target Group）发生的客户银行卡数据被盗事件更加严重
	摩根大通银行7 600万家庭和700万小型企业的相关信息被位于南欧的网络黑客盗取，涉及银行客户的姓名、住址、电话号码和电邮地址等个人信息，与这些用户相关的内部银行信息也遭到泄露
2013年	2013年6月23日，中国工商银行上海数据中心主机运维失误，造成国内多地的网点柜面、ATM、网银业务出现故障，无法办理业务和提供资金服务，故障时间持续1 h，故障波及北京、上海、广州、武汉、哈尔滨等多个大中型城市，造成较大影响

表3

图1

参考文献 21

[1]	Financial informatization[EB/OL]. , 2006.
[2]	孙天琦，焦琦斌．信息化与金融安全：开放视角下的分析[J]. 工程研究， 2013,5(2):166-167.
	SUN T Q , JIAO Q B . Information and financial security: open analysis perspective[J]. Journal of Engineering Studies, 2013,5(2):166-167.
[3]	贾凤军．关于金融信息化热点问题的深度思考[J]. 中国金融电脑， 2009,(6):24-26.
	JIA F J . Deep thinking on the hot issue about financial informa-tion[J]. Financial Computer of China, 2009,(6):24-26.
[4]	姚文平．互联网金融：即将到来的新金融时代[M]. 北京：中信出版社， 2014.
	YAO W P . Internet financial: upcoming financial times[M]. Beijing: China CITIC Press, 2014.
[5]	谢宗晓，孔庆志． ISO/IEC 27001:2013 标准解读及改版分析[M]. 北京：中国标准出版社， 2014.
	XIE Z X , KONG Q Z . ISO/IEC 27001:2013 revision of the stan-dard interpretation and analysis[M]. Beijing: China Standards Press, 2014.
[6]	魏军，谢宗晓．信息安全管理体系审核指南[M]. 北京：中国标准出版社， 2012.
	WEI J , XIE Z X . Guidelines for information security management systems auditing[M]. Beijing: China Standards Press, 2012.
[7]	戴宗坤．信息安全管理指南[M]. 重庆：重庆大学出版社， 2008.
	DAI Z K . Guidelines for information security management[M]. Chongqing: Chongqing University Press, 2008.
[8]	沈昌祥．信息安全导论[M]. 北京：电子工业出版社， 2009.
	SHEN C X . Introduction to information security[M]. Beijing: Pub-lishing House of Electronics Industry, 2009.
[9]	PWC. Global economic crime survey[EB/OL]. .
[10]	EY. The 18 th global information security survey[EB/OL]. .
[11]	Security Scorecard. 2016 financial industry cybersecurity re-port[EB/OL]. .
[12]	Symantec. Internet security threat report 2016[EB/OL]. .
[13]	OWASP. Top security risks and state of security with financial networks[EB/OL]. .
[14]	Arbor. Annual worldwide DDoS and security reports Q2 2016[EB/OL]. .
[15]	张永停，肖军． DDoS攻击检测和控制方法[J]. 软件学报， 2012,23(8):2058-2072.
	ZHANG Y T , XIAO J . Attack detection and control methods to DDoS[J]. Journal of Software, 2012,23(8):2058-2072.
[16]	黎泽良，佘健．可信网络访问控制技术及系统[J]. 电信科学， 2010,15(12):115-116.
	LI Z L , SHE J . Trusted network access control technology and system[J]. Telecommunications Science, 2010,15(12):115-116.
[17]	360猎网平台. 2015年网络诈骗趋势研究[EB/OL]. . 2015.
	360 game network. 2015 online fraud trends[EB/OL]. . 2015.
[18]	Peter goldmann . Financial services anti-fraud risk and control workbook[M]. Wiley, 2009.
[19]	Basel committee on banking supervision. High-level principles for business continuity[M]. Switzerland: Bank for International Set-tlements Press ＆ Communications, 2006.
[20]	肖祖珽．巴塞尔资本协议与商业银行全面风险管理[M]. 北京：中国人民大学出版社， 2014.
	XIAO Z T . Basel capital accord and the commercial bank's com-prehensive risk management[M]. Beijing: China Renmin University Press, 2014.
[21]	TONY D . Manager's guide to ISO 22301[M]. ITGP Press, 2013.

来源	定义内容
国际标准化组织(ISO)	为数据处理系统建立而采取的技术和管理的安全保护。保护计算机硬件、软件、数据不因偶然或恶意的原因而受到破坏、更改、泄露
美国国家安全电信和信息系统安全委员会(NSTISSC)	对信息系统以及使用、存储和传输信息的硬件的保护，是所采取的相关政策、认识、培训和教育以及技术等必要手段。确保存储或传送中的数据不被他人有意或无意地窃取与破坏，包括：信息设施及环境安全，如建筑物与周遭环境的安全；数据安全，确保数据不会被非法入侵者读取或破坏；程序安全，重视软件开发过程的品质及维护；系统安全，维护计算机系统正常运作
欧盟信息安全评价标准组织(ITSEC)	在既定的密级条件下，网络与信息系统抵御意外事件或恶意行为的能力。这些事件和行为将威胁所存储或传输的数据以及经由这些网络和系统所提供服务的可用性、真实性、完整性和机密性
信息安全资深专家戴宗坤院士	确保以电磁信号为主要形式，在计算机网络系统中进行获取、处理、存储、传输和利用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，处于动态和静态过程中的机密性、完整性、可用性、可审查性和不可抵赖性，与人、网络、环境有关的技术和管理规程的有机集合
信息安全资深专家戴宗坤院士
沈昌祥院士	保护信息和信息系统不被未经授权的访问、使用、泄露、修改和破坏，为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性

金融信息安全关键属性	属性描述
保密性	保障信息仅为那些被授权使用的人所获取。保证信息不被非授权访问，即使非授权用户得到信息也无法知晓信息内容或无法利用信息资源
完整性	保证数据从产生、传输到接收全过程的一致性，防止数据被非法篡改。涉及信息使用、传输、存储的过程中不发生篡改、丢失和错误；信息处理方法正确，不会对原始信息造成破坏
可用性	保障授权使用人在需要时可以获取和使用信息。保证合法用户对信息和资源的使用，而不会被不正当地拒绝
真实性	对信息的来源进行判断，能对伪造来源的信息予以鉴别
不可抵赖性	也称作不可否认性，通过建立有效的控制机制，防止相关方否认其行为，这一属性在金融信息安全中极其重要
可控制性	对信息的传播及内容具有控制能力。授权机构对信息的内容及传播具有控制能力，可以控制授权范围内的信息流向及其方法
可追溯性	对出现的安全问题提供调查的依据和手段。在信息交换过程结束后，相关方不能抵赖曾经做出的行为，也不能否认曾经发送/接受的信息
可靠性	信息系统在限定条件和限定时间内完成规定动作，可靠性是信息系统建设和运行的基本要求，也是金融信息安全的重要目标
连续性	具备应对风险进行自动调整和快速反应的能力，以保证关键业务的连续运转。金融业信息安全的连续性主要包括高可用性（high availability）、连续操作（continuous operation）和灾难恢复（disaster recovery）