论文范文网-权威专业免费论文范文资源下载门户!
当前位置:毕业论文格式范文>论文范文>范文阅读
快捷分类: 安全工程论文 安全生产论文 安全教育论文800字 化工安全和环保论文 食品安全论文2000字 安全论文 互联网安全检测技术毕业论文 仓储安全管理论文 社区安全论文 计算机网络安全论文 互联网论文1500字 毕业论文互联网金融模式

互联网安全方面有关在职研究生论文范文 与互联网安全应急中心运行模式对加强银行业网络安全管理相关在职研究生论文范文

分类:论文范文 原创主题:互联网安全论文 发表时间: 2024-01-26

互联网安全应急中心运行模式对加强银行业网络安全管理,本文是互联网安全相关硕士学位论文范文和网络安全和银行业和启示相关硕士论文开题报告范文.

中国银行业监督管理委员会湖北监管局 吴 昊

近年来,随着互联网技术的广泛应用,越来越多的传统行业拥抱“互联网+”,信息安全问题也逐渐引起社会各界的高度重视.2013 年底,设立国家安全委员会,将加强信息安全管理纳入国家战略层面.2016 年底,人大通过《中华人民共和国网络安全法》,进一步强化对网络安全领域的法治化管理.

我国银行业金融机构在互联网技术应用方面也开展了一系列探索,如工商银行推出“融e 购”电商平台、“融e 联”即时通信平台和“融e 行”直销银行平台;平安银行开发了“橙e 网”、“口袋银行”、“平安橙子”等.作为快捷、低成本的信息通道,互联网在为传统银行业金融机构带来丰富的流量和数据的同时,也面临着信息泄露、攻击等安全隐患频发的问题.本文结合某第三方平台2010 ~ 2015年收录的网络安全漏洞情况,对银行业金融机构网络安全问题进行分析,并结合互联网公司安全应急中心的工作机制,提出加强银行业金融机构网络安全管理的建设性思路.

一、国内银行业安全管理现状

据国内某网络安全问题反馈平台收集的数据显示,自2010 年该平台开始收录网络安全漏洞数据以来,漏洞数量逐年增多(如图1 所示),仅2015 年新增漏洞已达到平台收集所有漏洞的49%,网络安全问题呈高发态势.网络安全漏洞按照因网络安全问题造成或可能造成损失的情况,可分为高危、中危、低危三个等级;按照网络安全问题导致漏洞的表现形式,可分为权限绕过、信息泄露、业务安全、网页脚本入侵(webshell)、跨站攻击、SQL 注入、弱口令、系统安全、恶意信息传播、拒绝服务、社工攻击等11 个大类.2015 年网络安全漏洞类型中,SQL 注入问题最为突出(如图2 所示).

从该平台公布的网络安全漏洞涉及的行业看,政府、金融、教育、电信运营商等公众常用领域漏洞最多(如图3 所示).其中,金融领域漏洞以互联网金融网站为主,呈现快速增长趋势(如图4 所示).

值得关注的是,2015 年该平台公布的网络安全漏洞中涉及银行业金融机构(含信托)的漏洞有425 个,占金融领域漏洞的17.7%,其中高危漏洞328 个,占全部银行业金融机构网络安全漏洞的77%,呈高危化态势(如图5 所示).

解决网络安全问题的关键,是提早发现与快速处置,即在网络安全漏洞被恶意利用、造成不良影响之前被发现并得到及时处理,是减少损害、降低银行业金融机构声誉风险的最佳方式.目前,银行业金融机构对网络安全漏洞的排查发现机制主要有以下三种.

1. 基于互联网公开信息获取漏洞信息

自身或其他机构的安全漏洞被公布,银行业金融机构开展自查和修复.在这种安全漏洞发现机制下,一旦漏洞在网上被公布,就已错过最佳处理时机,数据可能已经泄露,不良影响已经造成,甚至公布漏洞细节会导致银行业金融机构在修复漏洞前已经进一步演化出了新的漏洞.

2. 接收国家互联网应急中心或第三方平台的漏洞通知

网络安全专家在漏洞平台提交漏洞,平台验证后转交给银行机构,再由银行机构修复.在这种机制中,银行业金融机构的参与时间相对滞后,未能建立网络安全专家与银行门直接沟通的渠道.由于此类平台并非专门为银行业金融机构设立,在漏洞激励机制和漏洞验证上并不能聚焦于银行业金融机构的线上产品,未能引导网络安全专家对银行业金融机构的线上应用进行充分检测.同时,有些第三方平台出于商业考虑会将已经修复或未被银行业金融机构确认的漏洞公开,容易导致漏洞被不法分子演变利用.

3. 聘请网络安全公司开展安全测试

网络安全公司测评是银行机构加强自身安全建设的主要手段之一.但由于安全测评相对流程化,难以有针对性地对某一类漏洞情况深入挖掘,部分机构由于经费问题未必会对体系内所有上线应用开展测试,容易导致部分应用成为安全短板.

二、互联网公司对网络安全问题的应对策略

为加强网络安全管理,国内大型互联网公司均在各自体系内建立了安全应急中心,旨在收集各自旗下产品的安全漏洞,并以中心为实体聚集安全技术人才.

1. 通过建设安全应急中心有效处理自身漏洞

以阿里巴巴安全应急中心为例,该中心建立于2013 年10 月,以阿里安全事业部为实体运营部门.该中心通过互联网平台直接与网络安全专家用户无缝对接,依托互联网向用户收集阿里巴巴各事业部旗下相关产品和业务的安全漏洞,帮助其提升自身产品和业务的安全性,并借此平台加强与安全业界的合作与交流.

为激励用户提交阿里巴巴存在的安全问题,该中心对注册用户实行积分奖励,根据用户提交的问题情况给予相应的积分,当积分积累到一定数量后可在中心网站兑换相应的实物奖励或奖金.此外,该中心也有一套简化的用户提交和反馈流程( 如图6 所示).用户注册后通过中心网站直接提交发现的安全漏洞和对应的解决思路.安全应急中心收到后对漏洞进行审核,审核通过后向提交人奖励积分并修复漏洞.在整个过程中,阿里巴巴不公布漏洞情况、修复情况、修复方法等,用户为独享漏洞积分奖励也不会将漏洞上传到其他第三方安全平台,有效控制了漏洞知晓范围、漏洞公开后被二次利用的风险和可能造成的声誉风险.

2. 通过安全应急中心奖励机制聚集安全技术人才

腾讯安全应急响应中心自2012 年5 月创建以来,该中心活跃网络安全专家人数每年递增,凸显出安全应急中心对网络安全专家的聚集作用;漏洞积分总数随网络安全专家的增加逐渐增加,通过奖励机制使网络安全专家与腾讯之间形成正向反馈,即随着奖励激励和漏洞挖掘数量的增加,人均漏洞积分呈现出逐年减少的趋势(如图7 所示),漏洞挖掘难度越来越大,腾讯系各类应用的安全性越来越好.对比第三方平台收录的腾讯漏洞情况来看,腾讯安全应急响应中心2012 年成立后,第三方平台收录的腾讯相关的漏洞数量明显下降(如图8 所示),实现了漏洞和安全人才的双转移效应.

三、对加强银行业网络安全管理的启示

借鉴互联网公司的做法,对照目前银行机构漏洞发掘机制,探索建立银行业网络安全应急处理中心,是对现有网络安全漏洞发掘机制的有益补充.建立银行业应急处理中心,能够提高漏洞发掘和银行门处理等环节的运行效率,降低漏洞处置时间和成本,让银行业金融机构在网络安全管理方面转守为攻,主动发现问题,排除安全隐患,同时也能为银行业金融机构提高网络安全水平提供人才储备.

银行业网络安全应急处理中心依托互联网,形成漏洞提交、审核、分类、分送处理、反馈流程,专注于漏洞收集、漏洞处理、漏洞统计、人才挖掘等四项功能(如图9 所示).其中,漏洞收集功能,主要将提交并通过审核的漏洞整理汇集,形成银行业漏洞数据库;漏洞处理功能,主要向银行门提供直接获取漏洞情况的途径,缩短中间环节,提高处理速度,减少时间成本,修复漏洞方法由银行门研究实施并提交归档;漏洞统计功能,结合漏洞数据库和方法数据库,用于对银行业金融机构漏洞发展态势进行分析和预警,为信息科技安全监管提供支持;人才挖掘功能,主要借助激励机制聚集一批优秀人才,对银行漏洞进行挖掘、分析和处理,银行信息门也可通过平台发现和招录优秀的安全技术人员.

银行业网络安全应急处理中心的用户角色分为三种(如图10所示):银行机构用户是加入中心的银行业金融机构,负责对涉及本机构的漏洞审核验证及处理结果反馈;网络安全人员是在中心注册验证的网络安全专家,提交发掘的漏洞和安全建议,获得相应积分,兑换实物奖励;中心管理人员负责管理中心日常事务,维护中心系统.

银行业网络安全应急处理中心的工作机制(如图11 所示)如下:网络安全专家注册、验证身份并向中心提交漏洞;漏洞提交后中心与网络安全专家达成电子协议,以尊重网络安全专家的知识产权,网络安全专家自漏洞提交后不得在其他任何网站和场所公布漏洞情况,防止该漏洞被再次利用形成新的风险隐患;网络安全应急处理中心自动将漏洞直接分发至所涉及的银行机构用户,经银行机构用户对漏洞审核验证,确定漏洞的真实性及重要程度,给予网络安全专家相应的积分奖励;审核通过后,产生漏洞的银行业金融机构立即对漏洞做出反应,采取措施修复漏洞,检测处理效果,并将处理结果反馈至中心备案.整个漏洞提交、审核、验证、修复、检测、备案等内容均不公开,仅供后期分类分析和风险预警使用.

本文结束语:这篇文章为一篇关于网络安全和银行业和启示方面的互联网安全论文题目、论文提纲、互联网安全论文开题报告、文献综述、参考文献的相关大学硕士和本科毕业论文.

参考文献:

1、 食品科学技术湖南省实验教学示范中心运行模式建设 易有金,吴卫国,周红丽,邓放明,曹熙,李文佳(1 湖南农业大学食品科学技术学院;2 湖南省食品科学技术实验教学示范中心,湖南长沙410128)摘要湖南省食品科学技术实验教学中心以食品类专业本科生为主体.

2、 新疆地区临床和转化医学中心运行模式 阿力木·艾力 王 乐 杨圆圆摘 要通过分析新疆地区临床与转化医学中心运行现状,并对未来转化医学中心发展方向提供建设性意见,探讨转化医学中心持续发展的策略 转化医学发展的机遇与挑战并存,转.

3、 导学案教学模式在高职专业课程中的运用探析以《轨道交通运营安全管理和应急处理》为例 摘要作为课堂教学改革的一种尝试,导学案教学模式在中小学课堂里被广泛使用,但引入高职课堂的实践较少,本文在对高职轨道交通运营安全管理与应急处理课程分析和学生现状分析的基础上,以城市轨道交通电扶梯乘客伤亡.

4、 公共实训中心运行机制以嘉兴市高技能人才公共实训中心为例 (嘉兴市高技能人才公共实训管理中心浙江嘉兴314000)摘要文章通过对公共实训中心的现状与困境进行分析,并对中心可持续发展的运行机制进行分析,探索更为科学、有效的运行机制,为各地实训中心的机制构建启到.

5、 高空地面气象业务一体化运行模式 摘要在现今气象业务体系建设当中,高空地面气象业务一体化可以说是非常重要的一项内容,能在实现工作流程优化的基础上提升工作效率 在本文中,将就高空地面气象业务一体化运行模式进行一定的研究 关键词高空地面气.

6、 美国智库运行模式与其对我国智库建设 美国智库在世界各国的智库排名中名列前茅 十八大以来,中国政府高度重视智库工作,智库发展迎来了春天 美国智库运行模式中的有效经验十分值得我们借鉴 笔者曾于2017 年10 月至2018 年4 月在美国著.