十大信息安全非常好的实践

　　基于互联网技术发展起来的互联网金融，其信息安全技术还有待关注与加强。传统的信息安全防护体系已经难以提供可靠的安全防护，特别是针对APT攻击、零天型漏洞攻击或者是来自企业内部的网络攻击，当前的互联网金融系统信息安全保障体系无法提供足够的保护能力。因此，安恒信息结合行业观察以及相关实践，建议互联网金融企业进行以下安全建设，以长期保证金融系统的信息安全。

　　1、制定行业标准

　　重点防范互联网金融可能出现的系统性风险，而且要坚持线上线下一致性的原则，要注重法律法规的有效衔接，不断地完善相关的监管制度。同时政府应该有一个统一的分类，并按类别制定互联网金融信息安全行业标准，指导各企业进行相应的信息安全建设和安全运维管理，提高互联网金融企业的安全准入门槛。

　　2、加大信息安全投入

　　互联网金融企业应加大对信息安全技术的投资力度，应结合安全开发、安全产品、安全评估、安全管理等多个方面，从整个信息系统生命周期(ESLC)的角度来实现互联网金融长期有效的安全保障。对于已经在线的生产系统，当务之急则是采用防火墙、数据库审计、数据容灾等多种手段提升对用户和数据的安全保障能力。

　　3、增强APT防护能力

　　加入APT防护控制手段，加固环境，考虑双因素认证、网络限制、反垃圾邮件过滤、WEB过滤等高级限制方式。

　　4、加强信息系统的审计与风险控制

　　对越来越庞大的金融信息系统部署运维审计与风险控制系统通过账号管理、身份认证、自动改密、资源授权、实时阻断、同步监控、审计回放、自动化运维、流程管理等功能增强金融信息系统运维管理的安全性。

　　5、采用自主可控的产品和技术

　　以防范阻止、检测发现、应急处置、审计追踪、集中管控等为目的，研究适合自身信息系统特点的安全保护策略和机制;开展安全审计、强制访问控制、系统结构化、多级系统安全互联访问控制、产品符合性检验等相关技术;研发用于保护重点信息系统的安全计算环境、安全区域边界、安全通信网络和安全管理中心的核心技术产品;研发自主可控的计算环境、操作系统、中间件、数据库等基础产品，实现对国外软硬件的替代;建设模拟仿真测试环境，通过可靠的测试技术和测试工具实现对信息系统的安全检测，确保降低信息系统使用过程中发生的安全事件。

　　6、突出保护重点系统

　　对需要保护的信息资产进行详细梳理，以整体利益为出发点，确定出重要的信息资产或系统，然后将有限的资源投入到对于这些重要信息资源的保护当中。

　　7、核心安全建设由可信队伍建设

　　对我国的金融信息系统进行核心安全建设和保障的机构，应具备专业信息安全服务能力及应急响应能力获得权威认证的、具有一定规模、具备专业扫描检测与渗透测试产品的安全服务团队。

　　8、基于大数据与云计算的解决方案

　　以信息安全等级保护为基础，在控制风险的基础上，充分利用云计算和大数据的优势，建立适合互联网金融自身信息系统的建设规范与信息安全管理规范，丰富已有安全措施规范，完善整体信息安全保障体系，建立云计算和数据保护的标准体系，健全协调机制，提高协同发展能力。

　　9、外包风险防范

　　实行业务外包以前，金融机构应制定外包的具体政策和标准，全面考虑业务外包的程度问题、风险集中问题，以及将多项业务外包给同一个服务商时的风险问题。同时在外包的过程中时刻对风险进行内部评估。

　　10、健全内控制度

　　建立直接向较高级别领导汇报的风险管理部门，独立于所有业务部门进行风险的评估、分析和审核;根据自身的业务特点建立完整的工作流程体系;根据各业务环节的风险，总体评估自身的风险特征;根据工作流程各环节的风险点，设计标准的内部控制操作方案，以有效保障每个工作环节的准确执行。