• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      面向證券業(yè)的國產(chǎn)化信息系統(tǒng)安全與保護(hù)措施*

      2024-04-13 10:18:22陳偉李莉林佳佳
      科學(xué)與信息化 2024年1期
      關(guān)鍵詞:證券業(yè)國產(chǎn)化攻擊者

      陳偉 李莉 林佳佳

      恒生電子股份有限公司 浙江 杭州 310051

      引言

      隨著國內(nèi)證券行業(yè)的快速發(fā)展,國內(nèi)證券業(yè)信息系統(tǒng)在過去幾十年的取得了長足的發(fā)展,但是在信息系統(tǒng)安全與保護(hù)上仍然存在風(fēng)險。證券行業(yè)的數(shù)據(jù)安全是保護(hù)數(shù)據(jù)和防止未經(jīng)授權(quán)訪問數(shù)據(jù)丟失的重要過程[1]。這包括保護(hù)數(shù)據(jù)免受可以加密或銷毀數(shù)據(jù)的攻擊,例如勒索病毒,以及可能修改或損壞數(shù)據(jù)的攻擊。數(shù)據(jù)安全不僅需要確保組織中任何有權(quán)訪問數(shù)據(jù)的人都可以使用數(shù)據(jù),還需要高水平數(shù)據(jù)防護(hù)手段來保障數(shù)據(jù)的安全。

      證券行業(yè)信息技術(shù)風(fēng)險事情頻發(fā),多家券商卷入其中。信息技術(shù)風(fēng)險事件往往會引發(fā)不可預(yù)計(jì)的后果,從歷年來多次的監(jiān)管處罰可以得知,證券行業(yè)信息技術(shù)風(fēng)險事件不斷。證券行業(yè)應(yīng)該防范安全漏洞帶來損失,證券企業(yè)是安全事件發(fā)生的責(zé)任主體,無論是從國家針對金融領(lǐng)域網(wǎng)絡(luò)安全出臺的法律法規(guī)要求層面出發(fā),還是考量客觀存在的安全漏洞對企業(yè)造成潛在的經(jīng)濟(jì)、名譽(yù)損失,證券企業(yè)對信息安全的重視程度都是需要提高的,并且需要同時兼顧信息獲取的合規(guī)性以及安全性。

      因此,為了減少信息安全對于國產(chǎn)化信息系統(tǒng)的安全隱患,有效安全的信息系統(tǒng)安全與保護(hù)手段必不可少。近年來,隨著信息系統(tǒng)的發(fā)展,國內(nèi)相關(guān)信息安全防護(hù)手段日漸成熟,目前在市場上有著眾多的信息安全防護(hù)手段。通過本研究有助于剖析當(dāng)前國產(chǎn)化信息系統(tǒng)存在的問題以及相關(guān)的解決方案,有利于提升國產(chǎn)化信息系統(tǒng)的安全,有利于增強(qiáng)對國產(chǎn)化信息系統(tǒng)數(shù)據(jù)的保護(hù),逐步提升國產(chǎn)化信息系統(tǒng)的安全性,為國內(nèi)證券業(yè)穩(wěn)定發(fā)展提供保障。

      1 證券業(yè)國產(chǎn)化系統(tǒng)信息數(shù)據(jù)安全存在的問題

      通常情況下,信息系統(tǒng)的復(fù)雜度與漏洞數(shù)成正比,但這不是絕對的。信息系統(tǒng)的安全涉及多種因素,一方面包括信息系統(tǒng)本身存在的漏洞,另一方面包括員工網(wǎng)絡(luò)安全意識薄弱等因素。任何系統(tǒng)都做不到無懈可擊,總會存在漏洞,只是能否發(fā)現(xiàn)的問題。引起安全漏洞更多是人為因素所致,開發(fā)工程師在開發(fā)系統(tǒng)時的疏忽和員工的不當(dāng)操作,都可能會帶來安全風(fēng)險。

      1.1 系統(tǒng)漏洞

      由于存在缺少網(wǎng)絡(luò)安全建設(shè)、系統(tǒng)的日常維護(hù)和管理不到位、計(jì)算機(jī)病毒攻擊、系統(tǒng)漏洞未及時修復(fù)等因素,使得系統(tǒng)在硬件、軟件和協(xié)議等的具體實(shí)現(xiàn)或系統(tǒng)安全策略存在安全漏洞,使得攻擊者可以在不經(jīng)許可的情況下訪問或者破壞系統(tǒng),本文列舉了主要的證券業(yè)國產(chǎn)化信息系統(tǒng)存在的問題。

      1.1.1 電腦病毒。近年來隨著勒索病毒大肆流行,諸如WannaCry利用漏洞透過網(wǎng)絡(luò)進(jìn)行攻擊的加密型勒索軟件蠕蟲病毒,勒索病毒是各種規(guī)模公司數(shù)據(jù)的主要威脅[2]。勒索病毒的主要目的是感染公司設(shè)備和加密數(shù)據(jù),使其在沒有解密密鑰的情況下無法獲得原始數(shù)據(jù)。攻擊者同時會顯示出一條贖金消息,要求付款以釋放密鑰,但在多數(shù)情況下,即使支付贖金也是無效的,數(shù)據(jù)也丟失了。

      1.1.2 數(shù)據(jù)丟失。國產(chǎn)化證券信息系統(tǒng)正在逐步將數(shù)據(jù)轉(zhuǎn)移到云端,使得數(shù)據(jù)能夠更輕松的共享和協(xié)作。然而,當(dāng)數(shù)據(jù)轉(zhuǎn)移到云端時,更難控制和防止數(shù)據(jù)丟失。用戶可能會通過個人設(shè)備和不安全的網(wǎng)絡(luò)訪問數(shù)據(jù),進(jìn)而發(fā)生數(shù)據(jù)的丟失。

      1.1.3 漏洞注入。漏洞注入有很多種方案,最常見的方案是SQL注入[3]。SQL注入是攻擊者用于非法訪問數(shù)據(jù)庫、竊取數(shù)據(jù)和執(zhí)行不需要的操作的常見技術(shù)。它的工作原理是將惡意代碼添加到看似無辜的數(shù)據(jù)庫查詢中。SQL注入通過向更改查詢上下文的用戶輸入添加特殊字符來操作SQL代碼。SQL注入可能會暴露客戶數(shù)據(jù)、知識產(chǎn)權(quán),或給予攻擊者對數(shù)據(jù)庫的管理訪問權(quán)限,這可能會產(chǎn)生嚴(yán)重后果。SQL注入漏洞通常是不安全編碼實(shí)踐的結(jié)果。

      1.2 人工漏洞

      1.2.1 意外暴露。現(xiàn)實(shí)中很大比例的數(shù)據(jù)泄露不是惡意攻擊的結(jié)果,而是由疏忽或意外暴露敏感數(shù)據(jù)造成的。員工通常會意外地或因?yàn)椴恢腊踩叨蚕?、允許訪問、丟失或處理錯誤的寶貴數(shù)據(jù)。

      1.2.2 網(wǎng)絡(luò)釣魚和其他社交工程攻擊。社交工程攻擊是攻擊者用于訪問敏感數(shù)據(jù)的主要載體。它們涉及操縱或欺騙個人提供私人信息或訪問特權(quán)賬戶。網(wǎng)絡(luò)釣魚是一種常見的社會工程形式。黑客通過偽造似乎來自可信來源的消息將其發(fā)送給受害者,但實(shí)際上是由攻擊者發(fā)送的。當(dāng)受害者通過提供個人信息或點(diǎn)擊惡意鏈接,攻擊者可能會破壞他們的設(shè)備或訪問公司網(wǎng)絡(luò)。

      1.2.3 內(nèi)幕威脅。內(nèi)幕威脅是無意或故意威脅組織數(shù)據(jù)安全的員工。有三種類型的內(nèi)部威脅:非惡意內(nèi)部人士,這些用戶可能會意外造成傷害,通過疏忽,或者因?yàn)樗麄儾恢腊踩绦颉阂鈨?nèi)部人士,這些用戶積極試圖竊取數(shù)據(jù)或?yàn)閭€人利益對組織造成傷害。受損的內(nèi)部人士,這些用戶不知道他們的賬戶或憑據(jù)被外部攻擊者泄露。此后,攻擊者可以偽造成正常用戶對系統(tǒng)進(jìn)行攻擊。

      2 證券業(yè)國產(chǎn)化信息安全與保護(hù)措施

      本文設(shè)計(jì)了幾種技術(shù)和措施可以提高國產(chǎn)化證券信息數(shù)據(jù)的安全性。通過結(jié)合以下幾種技術(shù),可以顯著改善證券業(yè)國產(chǎn)化信息系統(tǒng)安全態(tài)勢。

      2.1 數(shù)據(jù)發(fā)現(xiàn)和分類

      現(xiàn)代證券業(yè)信息系統(tǒng)環(huán)境通常將數(shù)據(jù)存儲在服務(wù)器、端點(diǎn)和云系統(tǒng)上。為了有效保護(hù)數(shù)據(jù),需要對數(shù)據(jù)的類型、位置以及作用進(jìn)行分類。利用數(shù)據(jù)發(fā)現(xiàn)和分類工具可以提供對應(yīng)的幫助,數(shù)據(jù)流的可見性是了解哪些數(shù)據(jù)面臨被盜或?yàn)E用風(fēng)險的重要第一步[4]。數(shù)據(jù)分類允許通過識別數(shù)據(jù)的敏感和保護(hù)程度,從而創(chuàng)建可擴(kuò)展的安全解決方案。

      2.2 數(shù)據(jù)屏蔽

      利用數(shù)據(jù)屏蔽對數(shù)據(jù)進(jìn)行脫敏,數(shù)據(jù)可用于軟件測試、培訓(xùn)和其他不需要真實(shí)數(shù)據(jù)的目的。數(shù)據(jù)屏蔽的目標(biāo)是保護(hù)數(shù)據(jù),同時在需要時提供功能替代方案。數(shù)據(jù)屏蔽保留了數(shù)據(jù)類型,但更改了值的內(nèi)容。數(shù)據(jù)屏蔽可以通過多種方式進(jìn)行修改,包括加密、字符洗牌和字符或單詞替換。

      2.3 身份訪問管理

      身份和訪問管理是一個業(yè)務(wù)流程、戰(zhàn)略和技術(shù)框架,使組織能夠管理數(shù)字身份。身份訪問管理允許管理員控制用戶對組織內(nèi)敏感信息的訪問。常用的技術(shù)包括單點(diǎn)登錄系統(tǒng)、雙重認(rèn)證、多因素認(rèn)證和特權(quán)訪問管理等。這些技術(shù)能夠安全地存儲身份和配置文件數(shù)據(jù),并支持治理,確保對基礎(chǔ)設(shè)施的每個部分應(yīng)用適當(dāng)?shù)脑L問策略。

      2.4 數(shù)據(jù)加密

      數(shù)據(jù)加密是一種將數(shù)據(jù)從可讀格式(明文)轉(zhuǎn)換為不可讀編碼格式(密文)的方法。只有在使用解密密鑰解密加密數(shù)據(jù)后,才能讀取或處理數(shù)據(jù)。在公鑰加密技術(shù)中,無須共享解密密鑰——發(fā)件人和收件人都有自己的密鑰,這些密鑰結(jié)合在一起執(zhí)行加密操作。數(shù)據(jù)加密可以防止黑客訪問敏感信息。

      2.5 預(yù)防數(shù)據(jù)丟失

      為了防止數(shù)據(jù)丟失,國產(chǎn)證券業(yè)信息系統(tǒng)可以使用一些保護(hù)措施,包括將數(shù)據(jù)備份到另一個位置。物理冗余可以幫助保護(hù)數(shù)據(jù)免受自然災(zāi)害、中斷或本地服務(wù)器攻擊。冗余可以在本地數(shù)據(jù)中心內(nèi)執(zhí)行,也可以通過將數(shù)據(jù)復(fù)制到遠(yuǎn)程站點(diǎn)或云環(huán)境來執(zhí)行。

      2.6 治理、風(fēng)險和合規(guī)

      治理在整個組織中建立控制和政策,以確保合規(guī)性和數(shù)據(jù)保護(hù)。風(fēng)險涉及評估潛在的網(wǎng)絡(luò)安全威脅,并確保組織為這些威脅做好準(zhǔn)備。合規(guī)性確保在處理、訪問和使用數(shù)據(jù)時符合監(jiān)管和行業(yè)標(biāo)準(zhǔn)。

      2.7 密碼安全

      數(shù)據(jù)安全最簡單的最佳實(shí)踐之一是確保用戶擁有獨(dú)特、強(qiáng)大的密碼。如果沒有中央管理和執(zhí)行,許多用戶將使用易于猜測的密碼或?qū)υS多不同的服務(wù)使用相同的密碼,黑客很容易在密碼較弱的情況下破壞賬戶[5]。一個簡單的措施是設(shè)置更長的密碼,并要求用戶經(jīng)常更改密碼。然而,這些措施是不夠的,還應(yīng)該考慮多因素身份驗(yàn)證解決方案,這些解決方案要求用戶用他們擁有的令牌或設(shè)備或通過生物識別手段來識別自己。另一個補(bǔ)充解決方案是企業(yè)密碼管理器,它以加密形式存儲員工密碼,減輕了為多個公司系統(tǒng)記住密碼的負(fù)擔(dān),并使其更容易使用更強(qiáng)大的密碼。

      2.8 身份驗(yàn)證和授權(quán)

      建立強(qiáng)大的身份驗(yàn)證方法,例如基于Web系統(tǒng)的OAuth。當(dāng)任何用戶(無論是內(nèi)部還是外部)請求敏感或個人數(shù)據(jù)時,實(shí)施多重身份驗(yàn)證。明確的授權(quán)框架,以確保每個用戶完全擁有執(zhí)行功能或使用服務(wù)所需的訪問權(quán)限。使用定期審查和自動化工具來清理權(quán)限并刪除不再需要權(quán)限的用戶的授權(quán)。

      2.9 數(shù)據(jù)安全審計(jì)

      國產(chǎn)證券業(yè)信息系統(tǒng)應(yīng)該至少每隔幾個月進(jìn)行一次安全審計(jì)。通過第三方專家對系統(tǒng)進(jìn)行審計(jì),例如使用滲透測試模型。此外,也可以在內(nèi)部進(jìn)行安全審計(jì)。最重要的是,當(dāng)審計(jì)暴露安全問題時,組織必須投入時間和資源來解決和補(bǔ)救這些問題。

      2.10 防惡意軟件、防病毒和端點(diǎn)保護(hù)

      惡意軟件是現(xiàn)代網(wǎng)絡(luò)攻擊最常見的載體,因此組織必須確保員工工作站、移動設(shè)備、服務(wù)器和云系統(tǒng)等端點(diǎn)得到適當(dāng)?shù)谋Wo(hù)?;敬胧┦欠啦《拒浖?,但這不再足以應(yīng)對無文件攻擊和未知零日惡意軟件等新威脅。國產(chǎn)證券業(yè)信息系統(tǒng)需要將防病毒軟件與基于機(jī)器學(xué)習(xí)的設(shè)備上異常行為分析相結(jié)合,這有助于檢測未知的攻擊。平臺還需提供端點(diǎn)檢測和響應(yīng)功能,幫助安全團(tuán)隊(duì)識別端點(diǎn)上的漏洞,對其進(jìn)行調(diào)查。

      2.11 零信任

      零信任是Forrester分析師John Kindervag引入的安全模型,已被多個技術(shù)標(biāo)準(zhǔn)機(jī)構(gòu)和許多世界上最大的技術(shù)公司采用。零信任的基本原則是,網(wǎng)絡(luò)上的任何實(shí)體都不應(yīng)被信任,無論它是在網(wǎng)絡(luò)外還是內(nèi)部。零信任特別關(guān)注數(shù)據(jù)安全,因?yàn)閿?shù)據(jù)是攻擊者感興趣的主要資產(chǎn)。零信任架構(gòu)旨在通過持續(xù)驗(yàn)證所有訪問嘗試并默認(rèn)拒絕訪問來保護(hù)數(shù)據(jù)免受內(nèi)部和外部威脅。

      3 結(jié)束語

      本文總結(jié)了面向證券業(yè)的信息系統(tǒng)的安全與保護(hù)措施,此類措施旨在提高證券業(yè)信息化系統(tǒng)的安全性、穩(wěn)定性、可靠性。本文首先總結(jié)了當(dāng)前證券業(yè)國產(chǎn)化信息系統(tǒng)存在的問題,從兩個主要方面體現(xiàn)了目前存在的主要安全問題。分別為信息系統(tǒng)本身存在的漏洞和人類自身存在的漏洞兩個方面。信息系統(tǒng)本身漏洞方面,由于各類技術(shù)本身存在安全漏洞或者設(shè)計(jì)不規(guī)范等問題導(dǎo)致數(shù)據(jù)泄露,人類本身漏洞方面,由于人類本身的特點(diǎn)導(dǎo)致信息的泄露。針對上述問題,本文總結(jié)了相關(guān)了證券業(yè)安全與保護(hù)措施,包括數(shù)據(jù)發(fā)現(xiàn)和分類、數(shù)據(jù)屏蔽、身份管理認(rèn)證、數(shù)據(jù)加密、預(yù)防數(shù)據(jù)丟失、治理、風(fēng)險、合規(guī)、密碼安全、身份驗(yàn)證和授權(quán)、數(shù)據(jù)安全審計(jì)、防惡意軟件、防病毒、端點(diǎn)保護(hù)、零信任等方面,對于未來提升國產(chǎn)化證券業(yè)信息系統(tǒng)的安全與保護(hù)提供了一定的思路。

      猜你喜歡
      證券業(yè)國產(chǎn)化攻擊者
      特大型橋梁供電系統(tǒng)國產(chǎn)化改造探討
      元器件國產(chǎn)化推進(jìn)工作實(shí)踐探索
      基于微分博弈的追逃問題最優(yōu)策略設(shè)計(jì)
      ASM-600油站換熱器的國產(chǎn)化改進(jìn)
      能源工程(2021年3期)2021-08-05 07:26:14
      基于國產(chǎn)化ITCS的衛(wèi)星導(dǎo)航仿真研究
      具有證券業(yè)評估資格的資產(chǎn)評估機(jī)構(gòu)名錄
      正面迎接批判
      愛你(2018年16期)2018-06-21 03:28:44
      有限次重復(fù)博弈下的網(wǎng)絡(luò)攻擊行為研究
      河北省證券業(yè)機(jī)構(gòu)、人員情況一覽表
      河北省證券業(yè)協(xié)會
      乐业县| 宣威市| 砚山县| 靖州| 高邮市| 四会市| 邳州市| 墨玉县| 泸西县| 库伦旗| 四川省| 咸宁市| 云梦县| 卢氏县| 江华| 峨边| 泰来县| 紫金县| 确山县| 金沙县| 尼玛县| 射阳县| 舟山市| SHOW| 内乡县| 衡山县| 井冈山市| 安宁市| 桦南县| 泰顺县| 揭阳市| 连城县| 陵水| 鹰潭市| 普陀区| 武夷山市| 伊川县| 丹寨县| 从江县| 镇康县| 伊宁县|