概述
21世纪以来,伴随着互联网技术和移动终端设备的迅速普及,依托网络实现资金支付、融通以及进行信息中介服务的互联网金融获得飞速发展。金融业可以拓展互联网服务功能的广度与深度;互联网也有助于金融创新产品和服务 以及低成本扩张,满足不断增长的异质金融需求。 然而,互联网金融带来便利的同时,却面临着诸多潜在的信息安全风险。与此同时,很多互联网金融企业本身信息安全的运维能力不足,安全防护机制薄弱,在这种背景下,如何对其进行有效防范,规避信息安全风险带来的负面效应,是一项迫在眉睫的研究课题。信息安全产品及服务提供商可以以前置服务的模式,为用户提供“安全产品+安全技术服务+安全运维”的整体解决方案,实现供需对接,提供“短平快”、“可交付”、“定制化”的质优价廉安全解决方案,让互联网金融企业快速获得切实有效的安全技术风险防范能力。
互联网金融信息安全主要内容
互联网金融信息安全面临着互联网信息安全的一些共性以及金融信息系统的一些特有的安全问题。综合来看,互联网金融信息安全的主要内容如下表所示。
解决方案
互联网金融信息安全解决方案是以获取安全能力为最终目标,通过自下而上的设计方法,从网络安全、访问控制、系统/数据安全,应用开发安全,安全运维等方面对现有的业务系统进行安全分析和设计,再经过评估、设计、实施和管理然后循环,不断加固,同时提升整体安全管理和维护的水平,使现有的安全威胁对互联网金融系统的信息安全风险降低到可以接受的范围内。 基于安全域划分原则设计的信息安全防护架构如下图所示。
首先进行安全域划分
将安全域分为:网站区(DMZ),核心业务区,运维区。网站区和核心业务之间必须要有防火墙隔开,运维区和其他区域之间可以通过交换机的ACL过滤功能做轻量级的规则控制。
信息安全防护措施,具体包括:
● 网络入口安全防护
在数据中心入口到网站服务器依次部署抗DDOS解决方案,防火墙,入侵防护系统加强网络安全的防护。对整个数据中心网络做抗DDOS防护,端口过滤和入侵防护。保护数据中心避免遭到黑客入侵。
● 网站安全防护
在网络入口防护基础上在网站服务器之前部署WEB应用防火墙。提供网站漏洞监测,网页篡改在线防护,网页挂马在线防护,敏感信息泄漏防护等保护功能。同时使用云监控服务的方式对网站7X24小时的运维安全性监控。
● 核心业务区安全防护
在核心业务区和网站区之间用防火墙隔开,并且在核心业务区中部署入侵检测系统来检测来自网络内部的入侵行为。部署数据库审计系统来对数据库的操作进行审计。一旦发现可疑数据库操作行为立刻发出告警。
● 运维区建设
在运维区中部署堡垒机,对运维数据中心业务系统的服务器或网络设备进行运维审计,让指定的人只能访问指定的服务器或设备并对所有操作做审计;在运维区中部署漏洞扫描器,定期对整个数据中心进行漏洞扫描;在运维区内搭建企业安全中心统一管理和配置所有安全设备并集中分析安全日志,并会收集所有安全设备上的告警信息。
● 应用开发安全
在应用开发各个阶段做相应安全工作,具体如下图所示:
安全运维
定期对安全设备进行检查,策略调优和日志分析;定期对整个业务网络和应用系统做安全评估发现并解决问题;发生安全事件(如网络攻击,病毒爆发,信息泄露等),提供应急响应服务;
服务模式
互联网金融企业无需一次性购买本方案中所涉及的安全设备及服务;安全厂商以年度服务包的形式提供所有安全设备和安全服务,并且全权负责安全设备的运维工作(日志分析,策略调优等)。使互联网金融企业获得全面的信息安全防护能力,具体服务价格取决于整个业务网络的规模及流量。在这种模式下,互联网金融企业不再像传统模式那样为了实现安全能力,需要一次性投入大量资金采购安全设备,并且还需要投入大量精力对安全设备进行维护,可以有效缓解资金压力和减少安全运维的成本。
总而言之,上文所述“安全产品+安全技术服务+安全运维”的整体解决方案具有比传统信息安全防护更灵活实用的优点,它降低了高端安全设备购置门槛,加快企业信息化进程;同时也减少因产品升级更新和运维而带来的费用困扰,并且凭借安全厂商的专业优势,互联网金融企业不必经历漫长的信息安全建设周期时间就可以快速获得全面切实有效的信息安全技术风险防范能力。
参考文献:
[1].胡建波、宋帅、石峰,《互联网信息安全风险及其防范》
[2].赵立志、朱建明,《互联网金融信息安全问题与对策》
请点击屏幕右上方“…”
关注绿盟科技公众号
NSFOCUS-weixin
↑↑↑长按二维码,下载绿盟云APP
本文为头条号作者发布,不代表今日头条立场。
