金融机构信息数据安全解决方案v20.docx

金融机构信息数据安全解决方案适用对象：金融机构信息数据中心、互联网金融平台等一、政策背景随着信息技术的广泛应用和电子商务的快速发展，金融业务与互联网的进一步融合，我国金融业信息化正经历向信息化金融的转变，信息化金融已逐渐成为我国金融业的发展方向。但与此同时，由于这种新型服务方式虚拟化、业务边界模糊化、经营环境开放化等特点，使得互联网上的金融业务面临网络攻击、病毒侵扰、非法窃取账户信息、客户信息泄漏等新的信息安全挑战。党和国家领导人多次就金融行业信息安全做出重要指示，要求金融业研究和把握又好又快的发展规律，努力提高信息安全保障水平，坚决打击危害金融信息安全的犯罪活动。2014年2月，中央网络安全和信息化领导小组成立。习近平任组长，李克强、刘云山任副组长。习近平在小组会议上强调，没有网络安全就没有国家安全，没有信息化就没有现代化。建设网络强国的战略部署要与“两个一百年”奋斗目标同步推进，向着网络基础设施基本普及、自主创新能力显著增强、信息经济全面发展、网络安全保障有力的目标不断前进，网络安全问题上升到国家战略高度。2015年6月，全国人大委员会颁布了《中华人民共和国网络安全法（草案）》，明确指出建设、运营网络或者通过网络提供服务，应当依照法律、法规的规定和国家标准、行业标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行；国务院和各级政府扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发、应用和推广，保护网络技术知识产权，支持科研机构、高等院校和企业参与国家网络安全技术创新项目。2015年7月，全国人大委员会颁布了《国家安全法》，要求国家建设网络与信息安全保障体系，提升网络与信息安全保护能力；加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控；加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。 2015年8月，经李克强总理签批，国务院日前印发了《促进大数据发展行动纲要》。《纲要》中要求在涉及国家安全稳定的领域采用安全可靠的产品和服务，到2020年，实现关键部门的关键设备安全可靠，完善网络安全必威体育官网网址防护体系；建设完善金融、能源、交通、电信、统计、广电、公共安全、公共事业等重要数据资源和信息系统的安全必威体育官网网址防护体系。二、金融行业安全威胁迅速发展的信息化金融体系未匹配可靠的安全系统数据中心作为金融机构承载业务的重要IT基础设施，承载着金融机构业务发展和创新提供基本保障的重任。近年来，国内各类金融机构业务发展和相应的机构扩张非常迅速，建设新的数据中心和灾备中心的情况非常普遍。在新的业务规模要求下，数据中心需要更高效地支持业务和信息共享需求，提供不间断的服务，这对数据中心的资源整合、全面安全、高效管理和业务连续性提出更高的要求。2014年1月，韩国发生金融行业最大规模信用卡个人信息泄密事件，涉及约2000万用户，共1亿多条客户信息被泄露，最多的用户有19项个人信息被泄露。2014年3月23日凌晨，携程被爆安全支付日志可遍历下载，因此导致大量用户银行卡信息泄露，其中包括持卡人姓名、身份证号、银行卡号、卡CVV码、6位卡Bin。2014年10月2日，摩根大通银行承认7600万家庭和700万小企业的相关信息被泄露。身在南欧的黑客取得摩根大通数十个服务器的登入权限，偷走银行客户的姓名、住址、电话号码和电邮地址等个人信息，与这些用户相关的内部银行信息也遭到泄露。受影响者人数占美国人口的四分之一。2015年5月，中国某大型保险公司公司也经历了泄露危机。公司系统存在高危漏洞，10万份保单或遭泄露。保单信息、微信支付信息、客户姓名、电话、身份证、住址、收入多少、职业等敏感信息一览无余。2015年6月，信融财富、宝点网和立业贷等多家P2P平台同时遭受黑客流量攻击，造成网站无法打开或访问速度缓慢。根据世界反黑客组织的通报，中国P2P平台已成为全世界黑客“宰割的羔羊”。2015年11月，补天漏洞响应平台爆出重庆网贷平台易九金融的系统存在漏洞，上万用户数据泄露再次拷问国内P2P金融数据系统安全。2016年3月7日，孟加拉国央行称，他们在美联储的账户遭遇黑客攻击，部分资金被盗走，被盗资金约为1亿美元。不安全的网络正在遭受更不安全的使用各金融机构缺乏严格的政策管理和代码审计，业务发展的速度又远超安全可提供的支撑能力，前台代码质量较低，导致出现大量设计逻辑错误、SQL注入、跨站脚本攻击；从业人员安全意识低，管理不到位，导致出现大量弱口令、框架漏洞、配置错误、敏感信息泄露；软件更新缓慢，导致框架错误等。“乌云”等知名漏洞响应平台曾曝光了多家银行、券商、保险、基金公司网站存在漏洞。2015年上半年我国金融机构