依托信息安全基线 提升科技管理水平

正信息安全基线由一组安全配置项组成,这组安全配置项描述了一个单位在某一时点的整体信息安全状态,是该单位信息安全总体水平的量化表述。近年来,总行综合人民银行内部、金融行业、等级保护、分级保护等多类制度形成《人民银行信息安全综合规范》,以此为基础引入信息安全基线常态管理的工作思路并提出"建立健全人民银行信息安全管理基线"的工作目标。在总行信息安全工作精神的指引下,人民银行广州分行结合广     

自主可控实现需多方探讨、集思广益、形成共识

正8月4日,新华网报道,我国政府宣布禁用国外安全厂商赛门铁克、卡巴斯基实验室的信息安全产品,这是继微软windows 8操作系统被禁用之后的又一重大决定。国家推动"自主可控"战略、维护国家信息安全的决心之大,可见一斑。推动金融信息化领域的自主可控实现,是保障信息安全的重要措施。我国金融机构的业务系统基本上构建在国外产品之上,从大型主机到小型机,从操作系统、应用中间件、数据库到数据中心运维支持服务,至今深度依赖国外产品。这     

从国家工程采购公告看信息安全建设——浅谈信息安全发展新概念

在今年的各项国家工程信息安全设备采购招标公告中看,各单位有关信息安全产品的采购内容几乎都涉及到防火墙、网络入侵检测产品、网络安全隔离与信息交换产品、主机入侵检测产品、漏洞扫描产品、防病毒产品、VPN(商密)产品等。从设备的种类来看,几乎囊括了当今所有的信息安全产品,足以证明工程主办单位对信息安全的重视。目前各企事业单位的网络安全防护以及信息安全建设工程,绝大多数都是采用的这种方式,也就是被业内称之为产品集成阶段,即多种安全产品的搭配使用,以及安全产品的集中管理平台方式。值得信息安全采购单位注意的是:安全产品的堆砌和联动已     

替代,任重而道远

正"信息系统国产化,不一定能保障安全,但如果不国产化,则一定不安全。""棱镜门"从某种意义上印证了这句话的安全哲理——过于依赖或应用国外的技术和产品时刻会遭受"后门"威胁,不能确保信息系统安全。面对当前严峻的信息安全形势,应用国产化软硬件产品替代国外同类产品,实现金融业信息系统的自主可控,在国家有关部门和监管机构之间已达成共识。那么,在时下难得的发展机遇面前,国产化替代之路现状究竟如何?怎么走才能顺利前行?     

编制简本 规范操作 构筑信息安全新防线

随着金融信息化的不断发展,基层央行对网络和信息系统的依赖性越来越强,而网络和信息系统面临的安全风险隐患也越来越复杂,防范网络和信息系统风险成为基层央行科技工作的一项重要工作。人行宜黄县支行主动作为,积极开展"金融信息安全工程"创新工作,组织人员编制《信息安全产品操作简本》,依托《信息安全产品操作简本》,探索基层央行信息安全管理新路子,使支行信息安全工作逐步步入精细化、规范化和科学化的轨道,充分发挥了信息安全产品的功能,切实保障了支行信息系统安全稳定运行,为各项业务稳定运行提供一个绿色的金融信息安全平台。     

构建“四位一体”信息安全体系

正在"斯诺登"事件持续发酵的今天,各国和各组织机构更加注重信息安全体系建设,我国更首次在国家层面成立了包含信息安全职责在内的国家安全领导小组,信息安全体系建设也日益受到更多企业的关注和重视。工商银行根据行业主管部门和监管部门的要求,结合自身的实际情况,从组织保障、制度建设、管理措施和技术手段等方面入手,逐步探索和建立了以保护信息安全为核心,以组织保障和制度建设为两翼,技术手段和管理措施为支撑的"四位一体"综合信息安全体系。     

金融业信息安全的自身特点与保障措施——访中国信息安全测评中心副主任江常青

随着信息技术在国民经济中发挥着越来越重要的作用,信息安全问题也越发受到重视。金融领域的信息安全问题是个立体而复杂的问题,从安全层次划分,包括技术安全、使用安全、业务安全等;从安全环节划分,包括前台操作安全、后台系统安全;从交易行为划分,包括交易安全、支付安全、清算安全等。金融行业涉及资金流动,关系国计民生,这对信息安全提出了新的要求。     

让安全渗透到网络神经末梢

过去，一提起信息安全，或许有的人第一反应肯定是防火墙、入侵检测和反病毒产品这“老三样”，信息安全厂商、网络厂商包括众多的TT系统厂商也基本是围绕上述产品提出自己的解决方案。其实．信息安全并不是简单的加法，这样被动应付的方法在当今以网络为核心的IT系统里经常失效。可以把安全网络时代的安全防范比作是人民战争，保证安全的斗争无处不在，从网络安全到安全网络．是华为3Com对信息安全变化趋势进行精准预测后的果断行为。     

蓝盾股份（300297）信息安全产品及服务综合提供商

蓝盾信息安全技术股份有限公司（简称：蓝盾股份）——国内领先的信息安全产品及服务综合提供商,公司专注干企业级信息安全领域,构建了以信息安全产品为基础、覆盖信息安全集成和信息安全服务的完整业务体系。其中,安全集成业务是公司主要盈利来源。     

内网安全，从人防走向技防

在国内，金融机构信息安全经过多年建设，大多集中于防火墙、IPS（入侵防御）、IDS（入侵检测）等防范外部威胁的网络边界安全产品。这事实上是基于一种假设：“信息安全威胁来自于局域网外部，网络内部是安全的”。     

清华紫光致力网络安全

近期,清华紫光股份有限公司成立了清华顺风信息安全有限公司,并向社会推出了基于其“UNISMMW”密码王系列安全/防范产品基础上的“计算机数据安全产品”。这是清华紫光基于“网络应用总体解决方案”战略方向的指导下,在原有网络防火墙技术后,在网络安全解决方案供应方面一次具有重要意义的举措,进一步加快了紫光以网络安全为契机进军网络产业的步伐。此次,清华紫光顺风信息安全有限公司的业务     

“四大”垄断我国上市商业银行对经济安全的影响

<正>多年来,"四大"在我国审计市场中一直处于龙头老大地位,垄断着我国海外上市行业及关键行业的大部分审计业务。随着去年7月份公开上市的中国农业银行选定德勤华永,四大国有商业银行均成为"四大"的客户,关系着我国经济命脉的主要金融业务曝露在"四大"之下,使我国的经济安全面临严重威胁。近年来,国家经济安全问题日益受到理论界与实务界的关注,不少业内人士相继提出了"‘四大'威胁我国金融信息安全、威胁国家经济安全"的观点,并提出一些改善本土所做大做强的政策建议。我国政府也颁布一系列法规、政策以促进本土所做大做强,希望形成能与"四大"相抗衡的本土所,进而维护国家经济安全。     

坚定不移走自主可控的信息化发展之路

随着我国信息化的高速发展,网络与信息系统在金融、电信、交通、能源等各行业领域得到了广泛应用,逐步构建形成了庞大的信息网络。但信息安全问题也随之产生,计算机病毒、网络攻击、网络窃密等现象层出不穷,信息安全形势日益严峻,已经成为影响国家安全、经济稳定的重大问题,受到社会的广泛关注。习近平总书记指出,网络安全     

网络信息安全“去外资”转向

<正>中国政府有意在安全监管上打开窗口,这给本土公司和外资IT公司打开了新的机会。但这种边走边看的状态去向何方,取决于未来信息安全政策底线。持续两年左右的强硬政策后,中国政府有意对外资IT企业网开一面,允许它们以合作的模式将产品或技术引入此前因安全问题而锁死的禁区。这可能是自"棱镜门"事件爆发以来,中国政府在涉及信息安全的政策尺度上最大的放宽。6月,苏州中晟宏芯信息科技有限公司(下称"中晟宏芯")宣布永久获得IBM     

信息安全技术讲座(五)计算机信息安全标准

信息社会的信息安全是建立在信息系统互联、互通、互操作意义上的，因此需要技术标准来规范系统的建设和使用。没有标准就没有规范，没有规范就不能形成规模化信息安全产业，就不能生产出足够的满足社会广泛需要的产品。没有标准也不能规范人们安全防范行为，也不能使人们的信息安全意识提高到必要的水平。国际上的信息安全标准涉及到有关密码应用和信息系统安全两大类。制定标准的机构有国际标准化组织、某些国家的标准化机关和一些企业集团。他们的工作推动了信息系统的规范化发展和信息安全产业的形成。有关信息安全的标准很多，这里仅就…     

从追杀病毒到主动防御 看安全行业策略性变革

日前,瑞星公司正式发布了瑞星杀毒软件2008版新品。与其他信息安全厂商的年度新品惯例发布不同,此次瑞星杀毒软件2008新品的发布受到了广大用户乃至整个安全行业超乎常规的关注。瑞星副总裁毛一丁表示:引起如此热烈的关注是预期中的,因为这款新品完全不同于以往的反病毒产品,无论对瑞星还是对整个信息安全领域来说,都是一次巨大的变革。     

简析美国政府采购对华的重要法律限制:信息安全——以联想“安全门”事件为例

2006年的联想"安全门"事件曾引起了国内外的热烈讨论。传统观点所认为美国主要出于"购买美国货"的目的,阻碍联想进入美国政府采购市场,用政治目的阻碍贸易自由。但该观点的法律依据并不充分。在系统性了解美国政府采购信息安全的相关立法后,不难发现"信息安全"才是美国阻碍联想的主因。从这个角度分析美方行为不仅可以解释为何联想产品不能用于美机密系统,还能给我国的政府采购信息安全制度的构建带来启发。     

农商行信息安全管理体系的效益分析

银行信息泄露会对银行安全运营形成极为不利的影响,所以在银行管理中信息安全管理是重点。随着互联网的建立健全,网络安全隐患也对银行信息安全管理形成了极大的威胁,如何充分发挥出互联网的重要价值,并有效避免网络安全问题,就成为一个值得思考和讨论的问题。本文重点对农商行信息安全管理体系进行效益分析,讨论当前银行信息安全管理存在的问题,并尝试提出建立健全农商行信息安全管理体系的有效对策,从而为农商行信息安全管理体系的建立提供重要的参考。     

360首席安全官谭晓生:物联网安全需加强“协同联动”

<正>物联网安全不仅需要加强企业间的"协同联动",还需要从自身和身边的合作伙伴开始,一点一滴构筑产业链条,继而形成局部的生态链,最终改善整个产业环境。在大数据、云计算、移动互联的推动下,越来越多的物联网应用不断落地,物联网的安全问题成为各界关注的焦点。但相对互联网,物联网涉及的连接端口和器件数量更多,且受制于设备的地域性、分散的标准和规格,使其多样性和复杂性大大增强,这使的物联网的安全问题更加不可控。为此,在无锡举办的2016世界物联网博览会专门设立了"信息安全高峰论坛暨第九届信息安全漏洞分析与风险评估大会",聚焦物联网信息安全,以     

PKI/CA系统的研究及其在银行业中的应用

一、概述 随着互联网的高速发展,人们使用网络作为信息交流的手段变得越来越普及,网络的信息安全问题也越来越引起人们的关注.为了解决网络中的安全问题,世界各国进行了多年的研究,并已经形成了几套解决方案,但技术最成熟、应用最广泛的解决方案当属PKI/CA技术.PKI是建立在公开密钥技术之上的信息安全体系结构.它主要包括两方面的内容:一是数字签名,该技术可以保证传输信息的完整性和不可否认性;二是加密,用户在使用公开密钥对信息加密后,解密私钥不在Internet上传输,这样避免了密钥被窃取.CA(Certificate Authority)是身份认证系统,它可以对网上身份的合法性进行校验.于是出现了PKI/CA这一完整的安全概念,它实现了公认的"身份认证、访问控制、数据保密、信息完整性、不可否认性"安全准则.