信息安全行業分析報告范文

時間:2023-10-20 17:26:12

導語:如何才能寫好一篇信息安全行業分析報告,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。

信息安全行業分析報告

篇1

中小企業數量和信息化的程度越高,尾巴就越長;針對中小企業的攻擊越多,尾巴的厚度也就越大。

簡單來講,安全中的長尾現象是由信息安全攻守雙方的交錯制衡而產生的,具體表現有兩個:安全風險長尾和安全市場長尾。

安全風險長尾

2011年工信部的《“十二五”中小企業的成長規劃》中表明,到2010年末我國的中小企業數量是1100萬家,如果再加上個體工商戶,總共會達到4500萬家,這些中小企業在國家的國民生產總值,包括就業崗位累計起來已經超過了大型企業。另據CNNIC的調查報告,中小企業使用計算機的比例在90%以上,使用互聯網的比例在85%以上。而這些中小企業目前的信息安全防范手段非常薄弱。國內曾經有一家公司做過調查,問中小企業安裝企業級殺毒軟件的比例有多少?調查結果是只有20%的中小企業用了企業級的殺毒軟件。而企業殺毒軟件僅僅是企業安全防御最基本的一種,由此可見國內中小企業的安全防范水平非常低下,導致了廣泛存在的安全風險。

 

簡單講,中小企業面臨的風險有三種:第一、顯性風險,指安全問題會導致這個企業發生的直接損失,包括經濟損失、名譽受損等。第二、隱性風險,指由于產業鏈條上不同企業具有的安全問題給鏈條之上其它企業帶來的安全風險。第三、社會風險,是指由于中小企業自身的計算機等設備被黑客控制后可能對社會造成的潛在風險。如果我們按照風險大小作為縱軸,將企業按照規模大小排列在橫軸上,因為在中國的中小企業數量非常巨大,所以橫軸就會非常長,并且形成了一個風險的長尾。中小企業數量和信息化的程度越高,尾巴就越長;針對中小企業的攻擊越多,尾巴的厚度也就越大,而這些就是目前的趨勢。我們有理由相信,位于長尾部分的中小企業的安全風險隨著目前這種趨勢會越來越大,甚至累加起來的總和會超過大型企業的累積風險。如果針對這部分安全風險長尾我們沒有進行適當的控制,它對我們整個國家的社會環境和經濟環境就可能會造成直接影響。

 

2011年CNCERT中國網絡安全狀況報告,表示經抽樣調查發現在中國網絡中有890萬臺計算機是僵尸計算機,就是已經被人惡意控制了。2012年,CDN廠商Akamai全球互聯網狀況分析報告,表示全球網絡攻擊來源地區第一名是中國。來源于中國的攻擊未必是中國人在背后操控,但是這樣會給人一種印象,認為中國的互聯網環境是不安全的。

 

安全市場長尾

既然中小企業數量這么大、風險這么高,那么為什么他們沒有實現有效的信息安全防護呢?其主要原因非常簡單,第一是沒有錢,第二是沒有人。即使企業規模很小,按照傳統的建設方式,企業也往往要一次性投入幾萬、幾十萬才可能建立相對完備的信息安全體系。此外,信息安全維護需要緊跟安全威脅的趨勢,但是中小企業很難有合適的安全技術人才對這些安全產品進行維護。中小企業自身沒有條件,那么安全廠商為什么不把這個目標瞄準這幾千萬家中小企業這個非常巨大的市場呢?作為一個安全廠商或安全集成商,給企業提供安全的產品和服務是有成本曲線的,包括推廣成本、銷售成本、運營成本。這些成本不隨著中小企業服務對象規模的縮小而降低為零,這個成本是相對固定的,而且在一定程度下會超過目標企業的預算。成本曲線和企業的預算曲線有一個交叉點,這個交叉點右側這部分對于安全從業者來講就無利可圖了。

 

下面,我們分析為什么我們可以利用云安全服務這種新興的安全建設方式來解決這個問題,將眾多中小企業原來由于成本問題而制約的需求釋放出來,形成一個新的安全長尾市場。首先從用戶投資角度分析,他們只需要按需租用云安全服務,而且可以根據公司規模進行彈性地租用。從用戶維護來講,是不需要企業客戶來費心的,基本所有維護都是由云安全服務商進行,這樣,困擾中小企業的錢和人的問題就解決了。從云安全服務商來講,采用SaaS這種模式的安全服務非常類似于互聯網產品,它的渠道建設、銷售、服務等都可以采用在線的方式,因此成本曲線會下降,從而降低到了中小企業客戶可以承擔的程度,這樣就形成了一個巨大的新的安全市場。

 

目前越來越多的安全廠商和服務商開始在云安全服務市場發力。McAfee在全球聯合很多運營商和服務合作伙伴企業提供多種類型的云安全服務,在這個領域具有超過十年的經驗,在中國也聯合國內的合作伙伴落地了部分云安全服務。之前數月內,中國電信安全服務中心了網站保護“安全云服務”,進入了這個廣闊的市場。安全行業先驅、原Netscreen創始人鄧峰先生投資了云安全服務企業安全寶,為這個市場添加了濃墨重彩的一筆。

 

篇2

一、三家公司的信息化建設和保險業務數據交換情況

(一)勞合社。一般來說,勞合社的數據系統主要收集保費與賠款方面的數據,這些數據基于不同的用途分為不同的層次。例如,準備金監控的數據來自于勞合社業務險種的數據,理賠細節的分析資料來自于交易層面的數據信息。數據系統的來源主要有兩個渠道,一是各機構收集的來自各個辛迪加的數據。二是來自中央市場數據系統。機構通過勞合社的中央市場網絡信息系統收集大量的業務交易信息,形成的報告有:年度辛迪加業務預測報告、季度監測報告、年度償付能力與準備金數據報告、年度報告等;而中央市場數據系統提供了大約85%的再保險交易信息。

勞合社采用數據倉庫和數據庫聯合運作的方式儲存數據,在系統設置時考慮使用者的進入權限、數據條目的唯一性及數據系統支持的充足性。數據不僅滿足計算償付能力、測算資本金和準備金、分析賠案的需要,還應滿足獨立分析中央資本金、準備金充足性以及決定停止再保險合同的需要。

此外,由于法律法規的不同規定,勞合社在數據披露時相當謹慎,某一些數據只能優先共享給數據提供者。因此,勞合社更傾向于將數據分析的結果與市場共享而不是分享數據本身,而且,勞合社向辛迪加提供的很多的分析報告是不公開的。

(二)法國SCOR再保險集團。該公司是全球第六大再保險公司,擁有比較完善的核心業務系統,系統名稱為OMEGA,包含數據庫、應用環境和其他軟件三個部分:其中,數據庫包含10個內容,分別是指引、客戶關系、合同(財產險)、大風險合同、壽險個險合同、再保險賬戶樹立、賠款、轉分、預估和準備金以及再保險結算;應用環境包含管理系統、電子商務、網站和競爭研究,其中管理系統包含承保計劃、技術預算和管理報告;其他軟件包含定價、準備金、自然災害模擬、文件管理系統(臨分、非壽險合同和美國賠款),同時該系統也為其他系統提供數據,比如人力資源系統、財務報告等。

SCOR從分出公司或經紀人獲取的數據,整理后輸入到OMEGA核心業務系統。OMEGA系統具有很好地分析、定價功能,該系統按照承保年度、財務年度和業務年度分析結果,讓承保人和精算師共享信息,共同協作,最終產生定價報告。OMEGA系統的基本特征是:獨有的指引表格、獨有的客戶數據庫、世界范圍內的臨分累計搜索、世界范圍內的個人累計搜索、業務承保后的EGPI和賠付率輸入、自動產生最低預存保費、及時的賬單余額、自動Acord名稱界面、自動將合同分配到不同的產品線、臨分和非比例保險賠款處理、自動轉分、壽險核保系統內嵌入、根據預估進行核算、世界范圍內的每周技術結果、標準報告系統。

(三)瑞士再保險公司。該公司在信息化管理上實行全球集中的管控模式,全球只在總部設置信息管理部門。其IT人員多達1200人,超過員工總數的10%;每年信息技術開支約占當年總營業費用的5%左右。

瑞士再保險公司高度重視信息安全。其全球數據采用集中管控模式,在蘇黎世設有兩個數據中心,兩套同等配置的硬件設備分別放置在這兩個同城異地的數據中心,而且數據互為備份。與此同時,該公司在美國、新加坡都設立機房,存儲當地數據,并為全球數據進行備份,做到全球同步更新數據。同時,瑞士再保險公司對全球員工在網頁登陸、郵件管理和客戶端管理上,嚴格實行全球統一的管理規定。例如:及時更新垃圾郵件地址,有效進行屏蔽,禁止登陸大部分外網,禁止通過移動設備進行數據拷貝等。這些管理規定在公司內無論何等級別的人員都必須嚴格執行。如因工作確實需要登陸外網時,要另行申請批準,而且批準權限高度集中。

在數據標準與數據交換方面,瑞士再保險公司充分認識到建立數據標準的必要性。他們認為,建立數據標準可以實現公司業績增長、提高工作效率、改善再保服務水平、滿足認證要求并有效地控制風險。此外,瑞士再保險公司還認為,建立行業數據標準,需要統一主要的數據元和語言。但由于該公司國際化程度非常高,建立行業數據標準受到了全球各地區不同的需求、監管環境、市場狀況和業務類型的限制。

二、出訪體會與建議

(一)現代企業需要高度集中的信息化管理

現代企業的管理者普遍認為,核心管理的“一體化”是企業成功的關鍵手段之一。“一體化”包括發展目標一體化、組織體系一體化、制度流程一體化、人事管理制度一體化和信息化建設一體化。其中,信息化建設一體化包括統一的運營平臺,統一的技術標準,統一的網絡辦公系統,統一的專業管理模塊,統一的財務信息系統,統一的統計口徑,統一的數據集中管理。

目前,勞合社、SCOR和瑞士再保險都實行信息集中管理。勞合社要求各或辛迪加把數據上傳到中央數據倉庫中,數據倉庫存貯的是概要信息。SCOR的IT系統是大集中方式,有7個數據中心分布在世界各地,且兩兩互作備份。瑞士再保險也是全集中方式,有5個數據中心,其中一個為災備。

(二)高度集中統一的信息化管理需要先進的理念

三家公司在介紹經驗時普遍談到,信息建設是現代企業經營管理的先驅,就像空氣一樣不能缺少。只有具備這樣的理念和重視程度,IT建設才能夠真正落到實處,公司內各信息系統之間才能相互銜接。三家公司均設立了專門的管理機構,如信息安全委員會、業務信息委員會等。公司上下對委員會做出的決定嚴格執行。例如,瑞士再保險對IT的管理近于“苛刻”,如禁用U盤、禁炒股、禁上很多網站、郵件阻隔等,目的是保證公司信息安全。如果工作中發生了郵件被阻隔等IT方面的問題或需求,公司會及時予以完善。員工從不就工作問題指責IT部門,表現出了良好的協作精神。

(三)先進的信息化管理必須有物質和人才的保證

信息化建設需要一定的資金投入。三家公司每年在IT建設上的資金投入,占保費收入的5%到7%,保證了公司具備先進完備的基礎網絡環境、機房及中心數據處理設備等。

信息化建設需要配備IT技術人員。勞合社擁有100多人的IT隊伍,其中維護人員約占30%,功能開發人員約占70%;SCOR也有100多人的IT人員,一半以上是開發人員和數據分析人員;瑞士再保險公司的IT人才更是多達1200多人,占員工總數的12%左右。IT人才隊伍的組成不僅包括計算機專業人才,還有很多其他專業的人才,如財務專業人員,保險專業人才等。

信息化建設還需要完善的組織架構。瑞士再保險公司IT部門下轄8個職能處室,包括市場與產品IT、金融服務IT、財務管理IT、公司管理IT、業務支持IT、管理支持IT、基礎架構IT和全球運維IT、在公司治理、業務發展、風險防控、財務監管等方面,都發揮了積極的作用。瑞士再保險公司信息技術部門分為需求管理和技術支持兩大職能。需求管理包括市場和產品IT、金融服務IT、財務管理IT、公司管理IT。負責需求管理的各部門有懂業務的人員,也有懂IT的人員,他們負責與業務部門溝通,了解各類業務部門的需求和對信息系統的反饋,將這些用戶的業務需求轉換成技術需求,從而將業務與技術有效聯系起來;技術支持包括業務支持、管理支持、基礎架構和全球運維管理。其中,業務支持負責各類業務系統開發,如定價系統等;管理支持負責公司的管理系統或平臺開發,如人力資源系統等;基礎架構負責網絡、安全、數據中心等硬件環境的搭建;運維治理部負責系統與硬件的維護、IT治理等工作。

(四)再保險數據標準化是實現高質量管理和監管的基礎

勞合社通過較為完備的IT技術體系的支持,可以獲得辛迪加所有詳細的業務承保記錄,同時,勞合社還依照英國監管規定的報表要求,獲得絕大部分所在國家與地區的償付能力報告、資產負債報告、有關自然災害狀況及其對主要再保險人影響的報告,從而有效掌控全方位的風險狀況。SCOR也通過獨有的OMEGA核心業務系統,獲取完備的數據信息;瑞士再保險則通過高投入、高產出的信息管理系統,支持公司不斷走在行業前列。

據了解,瑞士的再保險行業正在研究論證再保數據交換標準,預計兩年后標準草稿可以出臺。但由于受到各種客觀因素限制,其數據標準化工作能否順利完成還存在疑問。從國家監管當局統一數據標準,規范行業信息化建設的層面看,我國的再保險數據標準化建設工作處于領先地位,目前,已經指導國內保險公司研究出部分數據標準,更多數據標準草案也已經完成擬訂,正在征求意見。

(五)建立國內統一高效再保險市場的重點是加強再保險數據管理和加快再保險信息化建設

篇3

主要內容

對銀行和信用卡支付卡授權商的系統風險管理。新加坡金管局在2013年6月21日了644號和644A號通知,并于2014年7月1日起開始執行。兩個通知分別對在新加坡的銀行和信用卡或支付卡授權商的系統風險管理做了安排。644A號文規定信用卡或支付卡授權商是被授權依法進行在新加坡開立信用卡或支付卡業務的個人。通知規定,銀行和信用卡或支付卡授權商應該落實一個框架,處理識別核心系統,盡最大努力維持核心系統的高可靠性,確保每一個影響和授權商操作和對客戶服務的核心系統的最大意外停機每12個月不超過4小時。并且銀行和授權商應該建立一個修復時間目標(RTO,指從故障發生到系統修復的持續時間),對于每一個核心系統不超過4個小時。每12個月須至少驗證并且記錄一次核心系統在系統修復測試中的表現以及測試時間。一旦核心系統發生故障或事故,銀行和授權商應在1小時以內通知新加坡金管局。在重大事件發生的14天以內,或者經當局許可的更長一段時間內,銀行和授權商應向新加坡金管局提交一份根本原因和沖擊分析報告。報告應該包括:重大事件的綜合摘要、觸發重大事件的根本原因分析、描述重大事件對銀行的沖擊、描述已采取的補救措施以解決根本原因和重大事件的結果。最后,銀行和授權商應實施IT控制以保護客戶信息免遭非法入侵和曝光。

有關IT外包的監管。新加坡金管局在其《IT Outsourcing Circular Jul 2011》對外包商的監管作了明確規定。文件中指出,外包是指位于新加坡國內外的一個或多個提供第三方IT技術和設備的供應商,包括從系統開發、維護和支持到數據中心操作、網絡管理、故障修復服務、應用托管和云計算。金融機構要落實正確的框架、政策和流程去評估、審批、復審、控制和監控所有外包活動的風險和實質。在與外包商簽訂合同之前,金融機構應該就所有的外包建議做一個徹底的風險評估,可以參考基于移動終端的信息化應用服務(MAS)的外包技術調查問卷作為進一步指導,金融機構在簽訂任何外包委托之前向服務商提交完成后的問卷。新加坡金管局沒有直接涵蓋對銀行技術外包服務商(TSP-Technology Service Providers)的具體要求,而是要求金融機構確保外包商采用高標準的政策和流程以確保敏感信息的機密性和安全性,敏感信息例如客戶資料、計算機文件、檔案、目標程序和源代碼。在與外包商的合同終止時,金融機構應該在有合同的保證下,可以快速移除或銷毀所有的IT信息和資產。

對個人移動設備的監管。2014年9月26日,新加坡金管局了《Circular SRD TR02 2014》,對金融機構中“自帶設備”所帶來的風險進行了規定。文件中指出“自帶你的移動設備”(BYOD)是越來越多的金融機構采用的一種相對較新的實踐,讓員工從他們的個人移動設備訪問公司電子郵件、日歷、應用程序和數據。但是“自帶設備”相應地會增加金融風險,金融機構應該發展出一套綜合的防止資料損失的策略,去保護敏感或機密的用戶信息。一些不利于策略有效應用的因素包括幾個方面,第一,隱私和個人使用的沖擊。在“自帶設備”環境中,雇員可以根據他們的選擇自由在他們的移動設備上安裝應用,并且拒絕安裝特定的安全軟件;第二,不同的設備組合。實施“自帶設備”的金融機構將不得不支持大范圍的設備,操作系統和應用組合。這將造成一個一致而有效的方式難以被應用于不同平臺的混合環境;第三,缺乏對于設備升級的控制。在自帶設備的環境中,雇員們可以隨意在他們的個人設備上安裝應用和運行軟件升級,這可能給他們的設備帶來安全漏洞和惡意軟件。這將危及可由這些設備進入的金融機構的資料和公司系統,第四,移動安全方法的成熟性。移動的安全方法仍然普遍處于起始階段。 兩個常見的解決“自帶設備”安全隱患的方法是使用移動設備管理和虛擬化。移動設備管理方面,在移動設備被許可進入公司網絡之前,設備要被驗證以確保沒有被越獄或被嵌入的風險。移動設備管理方法也可以在一個沙盒環境(指在一個受限制的操作系統環境中執行一個應用去保護公司應用可能使用的資源)中管理公司應用、資料、政策和設置。這樣做目的是允許雇員們自由地使用設備,同時使企業得以保護其工作環境。一個健全的移動設備管理方法應該被應用于所有的“自帶設備”安排中。在虛擬化方面,允許雇員們通過一個請求式的入口從他們的移動設備進入公司的資源和資料,使用強力認證和網絡加密。由于公司的資料在公司數據中心內部處理而不能被下載進入移動設備。在虛擬環境中嚴格的安全政策限制設備的復制和使用,例如打印機,可移動存儲設備等,以幫助防止數據進一步的數據泄露。

新加坡金管局要求,如果金融機構不能夠恰當地管理相關的安全風險,則不應該實施自帶設備。金融機構要牢記保持警戒并且緊跟移動領域的技術進步和關注緊急威脅。定期在自帶設備基礎設施上實施漏洞評估和滲透測試以確保任何安全漏洞被識別并盡快做出調整。

對我國的啟示

2006年銀監會《銀行業金融機構信息系統風險管理指引》(以下簡稱《指引》),填補了我國銀行業信息系統監管領域的空白,為推動國內銀行業信息科技風險管理奠定了基礎。2009年3月,銀監會對原《指引》進行修訂,并重新定名為《商業銀行信息科技風險管理指引》。新《指引》貫徹了“管法人、管風險、管內控、提高透明度”的銀行監管理念。新《指引》規定,“商業銀行法定代表人是本機構信息科技風險管理的第一責任人”。要求商業銀行建立有效的機制,實現對信息科技風險的識別、計量、監測和控制,促進商業銀行安全、持續、穩健運行,推動業務創新,提高信息技術使用水平。要求商業銀行在信息系統開發、測試和維護以及服務外包過程中加強對客戶信息的保護,防止敏感信息泄露,對業務連續性管理也加以規范,保障客戶數據安全和服務連續。在新《指引》中,提出要構建信息科技風險管理的三大防線,即信息科技管理、信息科技風險管理、信息科技風險審計。

從銀監會對商業銀行信息系統風險管理的現場檢查實踐來看,主要有如下幾個問題:高層的知曉度和參與度較低,存在重建設、輕管理的現象;信息科技風險管理三道防線的設置存在缺失、重合和分工不清晰的問題;信息系統開發風險須引起全行更多關注;銀行業金融機構對災難性、突發性事件的應對能力有待提升。

新加坡金管局從2001年開始開展信息科技風險監管工作,經過不斷實踐、探索,摸索出一套較為先進的監管做法。新加坡金管局的信息科技風險監管由現場檢查和非現場監管構成?,F場檢查的工作方式有訪談、調閱資料、現場取證等,檢查結束后金管局給金融機構檢查意見書,金融機構要在三個星期內向金管局提交整改報告(已整改的問題、未整改問題的整改計劃),金管局會在下次現場檢查時核查整改情況。金融機構按照新加坡金管局的要求填報調查問卷作為非現場監管的資料。在處罰方面,罰款是處罰的一種方式,另一種處罰方式是提高存款準備金率。另外,新加坡金管局定期召集商業銀行高管人員會議傳達科技監管信息。金管局利用此種形式,向被監管機構定期講解信息科技風險發展的最新形勢,對金融機構進行技術輔導,警示風險,并介紹有關風險領域的解決方案。

結合新加坡的監管安排及我國銀行及監管的實踐,新加坡的監管經驗對我國有一定的啟發。

加強我國信息科技風險管理部門建設。大力度培養復合型信息科技風險監管人員,提高科技人員的業務監督能力,推動業務監管人員掌握信息科技監督知識。

進一步完善我國銀行業信息科技風險監管的有關規章制度。有必要完善信息科技風險評估體系,系統分析銀行業機構采取的風險防控措施的有效性,客觀評價銀行業機構信息科技風險管理水平;建立健全IT外包監管體系,建立IT外包監督流程,要求商業銀行健全外包商的風險評估機制,加強對外包風險的識別和監控;進一步出臺有關銀行數據保護規范或政策,要求商業銀行對數據進行分類、定級,確定不同的保護措施和方法。

向銀行業及時提示信息科技風險信息。各級銀行監管機構應定期召集轄內商業銀行信息科技工作高級管理人員舉辦情況通報會議,每次會議選定重點關注的信息科技風險點,及時傳達監管部門的工作意圖,使商業銀行能夠及時獲取風險控制手段和工作技巧。

因此,對于我國銀行機構防控信息系統風險來說,有如下幾點應予以重視。

加強對電子支付欺詐案件的防范。首先,網上支付安全最重要的基礎是客戶端的安全。MAS認為客戶端安全的責任在銀行而非客戶本身,銀行有義務對客戶進行安全教育,并提供更安全和便捷的技術工具去增強客戶端的安全性。其次,加快推廣銀行卡的EMV(芯片卡)和動態認證的實施進程。相對于磁條卡,EMV有安全性高和不易偽造的特點。在芯片卡的認證方式上,MAS要求銀行發放動態和混合數據認證的芯片卡并逐步替代已有的靜態數據認證芯片卡,以解決靜態卡中可能存在的仿冒風險,以強化電子支付的安全性。

強化銀行數據安全問題的關注。近年來國際上發生的一系列數據丟失并導致了客戶資金被盜等惡性案件。如2009年8月德國某銀行由于數據泄漏而導致了30萬歐元的經濟損失,2010年3月匯豐瑞士私人銀行的一個IT員工竊取了該行24000個賬戶信息。新加坡金管局在其許多監管文件中都反復提到了數據泄露保護(DLP-Data Loss Prevention)。在IT外包,核心系統可靠性和個人移動設備管理上下大力氣保護敏感信息的機密性和安全性。借鑒國際銀行業數據中心先進經驗,加強對銀行數據中心、災難恢復能力的建設。深入研究和解決目前在災難備份系統建設方面存在的突出問題和技術難點。