周怡君
摘要:随着近年来互联网金融行业的迅猛发展,带来可观经济收益的同时也引发了信息安全问题。信息作为这个时代的无形资本,一旦泄露将会给用户和公司带来难以估计的损失。例如苹果公司因系统漏洞造成用户个人资料泄露,引发全球的关注,因此严格保障信息系统的安全稳定是保护用户及互联网金融行业的利益的基础。该文通过文献检索,案例分析等研究方法,对互联网金融业面临的信息安全问题进行研究分析,找到其在信息保护,信息管理制度以及在信息安全管理工作中的问题,并提出与之对应的解决方案。以合和集團项目为例加以论证分析,提出更加切实有效的方案来保障互联网金融业的用户利益以及为该行业谋求更大的利益。
关键词:互联网;金融;信息安全;合和集团
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)25-0027-03
在当前互联网经济高速发展,信息化建设逐渐得到重视的前提下,互联网金融行业抓住信息资源带来的利润,也认识到在利用信息的同时如何有效地保护信息安全互联网金融行业面临的最重要问题。在互联网行业中,早期摸索的公司虽是受益最多的,经历的危机更是层出不穷。不论是经验丰富的老牌公司还是新步入该行业公司在信息安全管理项目中都投入了大量的资金,人力,也寻求了技术支持,但在项目开发过程中出现了许多问题。
1 互联网金融业信息安全管理现状
1.1 信息安全环境现状
首先,互联网金融业的资金流动量不容小觑,对账户信息的储存、管理以及安全性提出挑战;其次,互联网金融业中用户数量多、范围广对网络技术稳定性、业务连续性、数据收集分析提出挑战;不仅如此紧随信息时代发展,不断提升信息产品性能也是互联网金融行业目前面临的问题。
1.2 信息安全规划现状
首先,完善的管理制度是信息安全规划的必需品。在互联网金融业,一个数据信息众多且复杂的信息管理系统,必须将账户信息、资产信息、资源配置管理、系统运营管理、风险分析等问题具体到规章制度。其次是网络运用。为满足对信息管理系统和网络的功能需求以及系统未来的版本升级,必须要做好系统架构和网络架构的规划。最后是面临风险。不可否认,信息是一种资源运用得当会给行业带来可观收益,但同时互联网金融业的各种数据信息也面临着无处不在的威胁,为了避免信息泄露,被不法分子所利用,企业需要规划一个完备的风险应对策略,减少甚至避免损失。
1.3 项目数据安全管理现状
一方面,电子商务市场交易规模飞速增长,尤其是网络零售市场交易增长更甚,很多企业为了自身发展需求,发展电子商务与互联网金融业务。严格的信息安全管理制度是保证客户信息、资金安全最基本的要求。另一方面,数据安全要求的因素众多,涉及制度环节,技术安全环节,运输环节等诸多安全因素。根据互联网金融业的发展背景来看,例如交易数据,账目信息,客户资料等这些极其重要的信息是需要加密保护的。
2 互联网金融业信息安全管理工作存在的问题
2.1 信息安全管理水准低
1) 物理办公设备环境标准制度不完善
在物理办公区域场所应设有严格的门禁和权限审批流程。办公室不仅要设有门禁刷卡系统,还要有专门安全人员负责权限的管理。但在互联网金融行业中,和很多公司并未注重细节保护,导致重要信息通过办公设备流失。
2) 企业缺少专业团队
互联网金融业中,信息安全管理工作需求收集、分析,开发测试,系统搭建,网络规划,数据库搭建,数据库测试调优等一系列复杂工作,需要一个专业团队人员及时把握和跟进。一个信息管理系统上线运营后,若企业只配备负责日常运维工作人员是远远不够的,更无法将企业制定的信息安全管理的相关制度付诸实践。
3) 流程管理没有实现标准化
信息安全管理依靠完善的信息安全管理制度体系才能实现,但企业的信息管理工作存在部门职能交叉的现象,每个部门都有内部制定的管理制度却没有一个统一的管理制度,这就导致了在管理过程中责任相互推诿,缺乏统一的管理标准;各部门在处理问题时往往以自身为出发点,难以顾全大局,如此根本达不到弥补信息安全漏洞的目的。
2.2 技术管理能力较低下
1) 领导及员工缺乏重视
信息安全工作并不会直接给该集团带来经济效益,因此中低层员工不会把足够的精力放在信息安全工作上。不仅如此还会引起行为约束的缺失,由于企业控制经营成本的原因,往往一人会负责多种工作,导致员工接触公司机密信息的机会大大增加,对于这种情况公司却没有相对应的解决对策。
2) 技术应用实践能力较弱
在互联网金融行业,有很多信息技术专业的高材生虽然理论知识过硬但却缺乏足够的实践经验,对于那些突发事件不能及时应对。信息面临着各种各样的风险,就像信息犯罪的手段层出不穷,如果我们没有创新运用知识的能力,终将被这个行业淘汰。
2.3 缺少信息系统化和透明度
2.3.1 缺乏统一标准的信息监察制度
互联网金融公司制定了各项完善的规章制度,但在实际信息安全管理工作中存在诸多漏洞。
1) 内部原因:企业虽然投入了大量的人力物力财力进行信息化建设,但在实际系统开发管理工作中追求高效率低成本的原则,往往在项目开发中对信息安全管理执行松散。企业在追求经济利益时不仅将很多制度建设与监管工作的比重降低,还通过服务外包的方式完成部分项目工作,这对于信息安全控制与管理增加了压力和风险。
2) 外部原因:目前政府对于信息安全监管制度尚未完善,信息市场也没有一套统一标准的网络、信息安全监管审核制度,即便公司内部有完善的规章制度,但追究信息安全责任难度过大,也无力改变内严外松的局面,若被一些为追求私利的工作人员所利用,将会带来巨大的安全隐患。endprint
2.3.2 信息沟通不畅
内部沟通:在信息化建设过程中,多个部门共同参与,但各个部门的实现目标并不相同,各部门间信息交流不及时会导致很多工作无法落实,浪费资源。
外部沟通:公司间的信息存在竞争关系,并不互助,这就导致各公司间竞争压力巨大,不利于整个行业的发展;政府虽对于互联网金融业的制度一直在完善,但不可否认的是政府部门缺乏信息技术的相关人才,在制定制度法规方面缺乏科学性,其次信息下达存在延迟性。
2.4 对风险防控不严格
1) 风险认识不足
互联网金融行业所包含不仅有员工,客户,合作商的信息,还有巨额资金流动,在飞速发展的信息时代,这些极其重要的信息资源面临着无处不在的安全风险,但有许多公司选择将系统开发工作外包给别家公司,这会降低对安全风险的控制力,危害公司安全。
2) 风险防控措施不健全
风险防控不仅要体现在设备、人员管理、系统漏洞上,还要准备好事后问题处理方案,事后处理相当重要,一方面要减少或消除不良的社会影响,另一方面要减轻损失。
3 案例分析:合和集团的信息安全管理现状
3.1 运维管理上
首先,合和集团极其重视物理办公区域和环境安全,对于接触公司信息的人员严格规定访问权限,使用数据储存设备具有严格规定,制定了严格的办公室设备管理制度。但在实际操作中由于工作需要,往往违反制度,出现前后矛盾的现象。
其次,合和集团面对IT人才缺乏的问题时并未加以重视,没有配套的技术团队,不能及时跟进信息管理工作,导致工作无法落实到实践。
最后,该集团的技术管理水平低,信息技术管理人员理论知识相对丰富,但工作经历单一,复杂项目的实践经验匮乏,故而在处理实际工作中遇到的问题时,缺乏技术创新,工作进度时常受到阻碍。
3.2 信息交流上
由于合和集团的IT人员在平台上线时才参与进来,因此不了解业务系统的开发原理和架构体系,同时由于缺乏交流,外包人员也不清楚集团内部的信息安全管理制度与标准,导致集团项目开发成果不尽如人意,极大阻碍了项目开发运行进度。
3.3 风险防控上
风险的防控包括事前、事中和事后的防控。合和集团制定了完善的事前预防工作以及风险处理措施,但其忽视了事后处理的重要性。安全事件发生后,如何降低其对集团造成的损失,以及如何弥补信息安全漏洞和加强事后监管措施,这些方面并没有完整的防控措施。例如合和集团虽定期对数据库进行备份操作,但对于备份的数据却没有一个妥当的处理方式。
3.4 外包服务上
合和集团的IT管理流程关注的是日常运维方面的操作与实施,而在控制与管理操作方面存在不完善之处,忽视了第三方与服务外包提供商的风险评估,也没有制定相应的服务外包的监管控制措施,导致一些能力有限的第三方人员和外包供应商参与信息管理工作,对公司造成了不利影响。
3.5 监管流程上
合和集团虽然对内部人员制定了信息安全管理制度,但在实际操作中却存在着管理前后矛盾,标准不一的巨大问题。例如该集团对外网的访问权限进行了限制,但在实际工作中部分人力、财务、IT人员因工作需要对数据进行复制操作,由于合和集团监测手段单一,故而监督这些行为却是非常困难。
3.6 绩效考核上
合和集团在处理信息管理工作中,虽然制定了较为完善的工作制度,保密协议里约束员工的行为,这固然对集团的信息安全管理有很大帮助,但是想要调动员工的工作积极性需要一套完善的绩效考核制度,无法用一套统一的标准来衡量员工的能力,这往往会使员工懈怠,这对于推进集团进行信息安全管理工作实则有阻碍作用。
4 结合案例提出互联网金融行业信息安全管理对策
4.1 提高信息安全管理水准,加强团队的激励和考核
一方面,加强员工IT知识培训,并对员工进行合理有效的绩效考核管理,不仅可以规范员工的行为,还调动了员工的安全防范意识。通过明确的管理章程和量化的岗位工作职责,规范员工的操作行为,降低人为操作的不确定性对集团信息安全保护的不利影响。
另一方面,结构合理的人才队伍梯队不仅给员工提供展示自己的机会,更是將企业发展与员工发展相结合,提升了企业凝聚力,使员工深入参与企业管理与项目研发中。通过建立合理,公平的薪酬激励制度,不仅可以调动员工积极性,帮助其进步,也可以考核员工表现,降低人为因素的安全风险。
不仅如此,有效的部门分工将大大提升集团的信息安全管理水平,只有通过集团中每个成员的共同努力,才能获得成功。
4.2 加强对信息安全技术管理,避免信息交流的不对称
1) 加强汇报流程管理
首先,在信息安全事件发生后,要快速了解该事件的背景,确定事件性质,程度;其次任用具有丰富经验与应急才能的信息安全管理人员进行处理;然后建立信息安全事件联系人清单,及时获得有效信息;随后制定详细的应对方案,并定期演练,有利于业务连续性,降低风险,减少损失;信息安全管理人员对该事件进行预判、评估后向信息安全负责人提交风险紧急响应申请;最后信息安全负责人审批提交的信息安全事件报告单。
2) 完善问题处理流程
第一,要先确定事件是否属于信息安全事件,若不属于按普通事件处理,若属于信息安全事件,要立即报告信息安全管理负责人,有他对该事件进行评估,并按照风险等级执行相应的处理程序。若为普通事件就按一般信息安全管理事件处理,若为重大信息安全事件,需要信息管理部与业务部门的共同配合,启动紧急处理预案,消除对数据、业务、信息的威胁,最后将重大信息安全事件归档,并对此次问题进行分析和总结,作为以后改进工作的参考。
4.3 实施信息安全系统化endprint
4.3.1 信息安全基础性服务
建立IT系统硬件与软件维护中心以及统一安全服务平台,不仅有利于避免非相关人员接触到组织的核心信息,降低了基础服务对企业信息系统敏感部分带来的安全威胁;其次一个集中统一的平台,帮助管理,降低运维成本;有利于集成化的全系统备份、恢复方案,不仅提高知识分享、管理平台的使用效率,还降低信息丢失的风险。
4.3.2 搭建日常信息管理技术测试平台
1) 有利于测试、优化系统环境,通过测试平台,能对架构的合理性、参数的有效性进行预先测试,调优设置,既有利于保证系统安全,又提升系统的运行效率。
2) 有利于对风险进行预警和及时应对。测试环境可以对不断变化的新威胁进行演练,找出漏洞并进行升级、改进,更好地保护信息安全。
4.4 严格信息安全风险防控工作
4.4.1 建立风险汇总分析体系
建立风险汇总分析体系不仅要掌握风险分析方法,更要清楚风险分析的内容。根据行业内的分析方法确定风险系数标准,并进行资产分类,价值评估,漏洞识别与分析。首先对涉及的IT资产进行分类是风险汇总分析的基础,其次对资产进行信息安全价值评估,参考统一的标准进行评估确定以确保结果的准确性,与此同时要对那些失去其保密性、可用性的重要资产对公造成的损害进行评估,还要在资产管理过程中识别和分析在信息安全策略、组织架构,操作管理,应用系统开发与维护,信息安全事件管理,业务连续性,法规合理性等层面是否存在漏洞。
4.4.2 提高风险的分析和应对能力
1) 提高风险分析水平需要严格遵循基准原则、详细分析原则、组合原则这三个分析原则,对合和集团进行信息安全体系建设分析时,需要充分考虑信息价值、资产估值、影响范围、威胁和薄弱点等因素,在此基础上进行风险系数核算。
2) 加强对物理环境设施的防护,完善并严格执行机房管理制度、审核制度,完善监控布局,对设备编码并定期汇报使用情况;进一步严格执行办公电脑及外设的操作访问控制权限;完善业务连续性风险应对措施,提高备份环境的运行能力;完善网络监控系统,设置风险应对小组及时处理异常情况。
5 结论
本文根据互联网金融行业的信息管理现状,以及对该行业中遇到的诸多问题进行讨论,并以合和集团案例加以论证,表明信息安全管理对互联网经济稳定发展的重要性。随着信息技术的不断进步,信息安全管理面临着更大的风险,互联网金融业的领导者也看到这一点,投入了相当多的人力、物力和财力,但仍然存在了很多问题。我认为,想要改变这一局面就必须转变人们对信息安全意识的欠缺,要让人们认识到信息资源的重要性,除了不断提升信息管理能力和风险防控能力之外,还要紧跟时代发展,不断对信息管理技术进行升级。但信息安全管理的完善是一个持久战,所提出的具体解决方案还需要长时间的观测。
参考文献:
[1] 潘晨燕. 制造型企业信息安全管理现存问题及优化方式研究[J]. 商场现代化, 2016(22).
[2] 陈满, 向秦, 魏香梅, 何渡, 曹国, 何施. 基于互联网+技术的企业创新设计平台构建与应用[J]. 科技创业月刊, 2016(18).
[3] 何清, 陈晓芳. 基于社会经济综合效益的制造业绩效评价研究[J]. 财会通讯, 2012(16).
[4] 杨晓光. 制造企业信息化管理[J]. 统计与管理, 2011(6).
[5] 赵长生, 姜立勇, 董松金, 李文华, 樊庆琢. 制造型企业信息化基础数据整理研究[J]. 机械设计与制造工程, 2013(1).
[6] 孔令夷, 董鹏. 面向信息化的企业资源计划核心模块优化[J]. 西安邮电大学学报, 2013(3).
[7] 王欣宇. 汽车制造型企业虚拟化平台的构建[J]. 汽车工程师, 2013(7).
[8] 竺為, 仇小娟, 王同梁. 虚拟化技术在制造型企业中的应用研究[J]. 产业与科技论坛, 2013(14).
[9] 周改超. 项目制造型企业ERP系统集成研究[J]. 商, 2013(17).
[10] 翁士增. “5M1E”分析法在制造型企业精细化管理中的应用研究——以浙江省为例[J]. 安徽行政学院学报, 2013(4).endprint