您的位置:360文档中心› 金融业个人信息安全保护分析与应对(上篇、下篇)

金融业个人信息安全保护分析与应对(上篇、下篇)

金融业个人信息安全保护分析与应对(上篇、下篇)
金融业个人信息安全保护分析与应对(上篇、下篇)

金融业个人信息安全事件分析与应对

摘要:本文针对当前发生的个人信息泄露事件,从金融安全的角度分析个人信息保护方面的现状,提出银行类金融企业应对信息安全的策略与个人信息安全保护建设的解决方案。

关键词:个人信息、隐私保护、安全方案

上篇:个人信息泄露安全事件分析

在信息安全领域中,个人信息的安全保护是一个关系到个人、企业、国家各方利益的综合性问题,个人信息泄露事件已经在社会上产生了巨大的影响,因此在国家、行业和企业层面加强对个人信息的保护势在必行,分析这些个人信息安全事件,可以为我们进一步的进行保护提供良好的基础。以下几部分总结近期个人信息泄露的事件,深入分析事件对我们进行安全保护的启示。

1、个人信息大规模泄露社会影响巨大

个人信息泄密事件已经引起了巨大的社会影响,从2011年底披露在媒体上的各种信息来看泄露事件被集中的揭露出来,而且至今还在不断的发展过程中,关于这个事件综合各方媒体的报道,我们可以大致梳理一下发生发展的脉络如下:

2011年网站“泄密”事件

12月21日知名程序员网站CSDN的一份用户数据库由于未查明原因被曝光,包含超过600万个注册邮箱账号和对应明文密码。

12月22日网友爆料游戏网站多玩网有800万用户资料被泄露。同日,网上还流传着疑似人人网、猫扑、7K7K等多个网站的用户信息库。

12月25日天涯社区4000万用户账号和密码被泄露,天涯表示“天涯社区早期使用过明文密码,此次被盗的数据为2009年之前的备份数据”。

12月27日京东商城在某些业务上存在用户权限控制不当的漏洞,导致用任意用户登录后都可以访问到所有用户的姓名、地址、电话、Email等。

12月28日当当网消息称,当当网1200万全字段用户资料已泄露,经过验证可确认为是当当网用户。爆料者称,目前这些数据已经在黑市上流通。

12月29日过千万的支付宝用户的账号被泄露,支付宝回应称“单纯的支付宝账号不是私密信息,对用户资金安全没有任何威胁”。

12月30日据互联网资讯平台挨踢客的消息称,网友向挨踢客爆料,国内多家银行的用户数据已经泄露,其中包括交通银行7000万和民生银行3500万用户。根据网友提供的部分信息截图,泄露数据的银行包括交通银行、民生银行、工商银行等,数据包含了用户的姓名、卡号、密码等敏感信息。后交通、工商、民生银行否认用户资料外泄。

12月31日技术漏洞致广东444万余条出境申请信息泄露

一时间看到这些消息的人变得人人自危,都在担心自己的信息与密码是否已被泄露,2012在不安中降临了。信息安全的问题变成了热门话题,甚至一些号称资深“黑客”的人也频频出现在媒体上,以各种耸人听闻的表述为事件推波助澜,引出无数眼球,激起大家无限的好奇心。

2、个人信息保有者互联网金融企业身陷其中

各种信息表明个人信息的泄露已经成为不争的事实,而泄露的源头出自各互联网企业,互联网企业在其发展的过程中,为了争夺和绑定互联网用户,采取的手段可以说是花样百出,无所不用其极,在这个过程中,它们逐渐地积累了大量的客户资源,这些信息动辄数以百万计。而关于这些个人信息或个人资料本身一时间也成为运营者获利的工具,而从来没有想到对个人信息妥善保护的问题。互联网企业对安全的忽视造成了当前的局面。

思想:

《易经-系辞传》“君不密则失臣,臣不密则失身,机事不密则害成。是以君子慎密而不出也。”

释义:作为一个行业或企业的领导者,如果不懂得保守秘密则会丢失声望与信誉,如果一个个人不能保守个人的秘密则人身安全就失去保障,如果我们

从事的业务不能为用户保守秘密,就会对业务的开展和运营造成伤害。所以作

为一个负责任的人应当谨慎保密而不泄露,而对企业或机构而言审慎地保护个

人隐私信息不泄露应是非常重要的。

事件的蔓延使多家银行也要频频出面澄清并非是自己业务系统的信息泄露,但公众的担心却集中在金融账户保密和网上金融交易安全上,原因一方面是银行系统中存在的是实实在在的真实个人信息而非虚拟信息,另一方面银行系统中保存着用户的真金白银而非虚拟货币,再则,这也和近年银行卡大量发卡,网上转账、网上支付业务迅速增长等因素密切相关。如何让人们树立对金融银行系统的安全的信任是一个长期的课题。

3、金融银行业面临着巨大的冲击

作为最为直接与明确的责任者,银行业特别是网上银行系统是这次事件受冲击最严重的部分之一。网上银行系统为用户提供了方便快捷的金融服务,同时也蕴含了多种信息安全的风险因素。

思想:

《论语·季氏篇》“虎兕(s?)出于柙,龟玉毁于椟中,是谁之过欤?”“典守者不得辞其责。”。

释义:老虎和犀牛从笼子里跑出来,龟甲和玉器在匣子里被毁坏,这是谁的过错呢?答案是负责看守的人难辞其咎。而如果是用户个人信息泄露了又要谁来

负责呢?答案是负责保守这些信息的企业自身。

这类冲击同样可能来自不同的层面,有心理的,技术的,管理的,也不排除有传导性的影响发生。

a、用户对网银的信任产生危机,可能产生客户流失

如果我们把着眼点专注于银行网银交易系统进行分析,则最大的冲击应当是由于用户对系统安全性的信任丧失,导致现有客户对利用网上服务产生疑虑,而潜在客户则不再开通网上服务项目了。尤其是大量对信息技术知之不多的普通用户,更是宁可采取等待的心态。这也就导致,网银系统是直接由于这轮安全事件导致业务影响的一类系统。

b、黑客获得武器会增加攻击,防御成本增加;

大量用户密码库的泄露导致的另一个影响是对用户密码设置习惯的分析和利用增加,通过已有的密码可以掌握或猜测用户其它账户的密码,黑客有了这样的武器,对网银账户的“撞库”测试有可能增加,针对这些情况银行系统的防御成本大大增加了。

c、第三方与网银间依赖度降低,业务开展不顺;

与网银存在多种业务联系的第三方支付系统在这次事件中也倍受冲击,网银与支付系统的接口成为一个比较关键的边界,其信任机制,依赖关系需要进一步改进增强。在第三方支付受影响的情况下,银行业务的开展也相应地会受到或多或少的影响。

D、面临内部安全管理课题,安全体系受考验。

堡垒通常是最容易从内部攻破的,从内部管理的角度,银行对客户个人信息保护的问题也是一个非常棘手的课题。从现在的情况分析,大部分银行还没有明确的个人隐私保护的管理规定和可行的操作规范。

银行内部对客户资料的控制还存在一些管理上的问题。

【银行职员称客户资料在内部几乎透明】某股份制银行财富中心职员称,客户只要在一家银行留下过个人基本资料,银行内部人员要查看难度并不大。有一次,一个客户打电话过来,我一时想不起这位客户,于是把该客户的手机号码告诉公司柜台,柜台没有两分钟就把客户的资料传过来了。

----https://www.360docs.net/doc/5211443089.html,/Sahk4G

而随着安全形式的发展,完善客户信息保护的安全体系已经是非常急迫的任务之一了。

3、信息泄露源于信息系统技术与管理漏洞

从整个事件发展来分析,互联网企业对大量的客户信息没有尽到应有的保护责任是因,个人信息大范围泄露是果,而这些信息到底如何被泄露呢?综合公安机关的调查结果和企业自身对事件的表态可以基本得出:信息泄露是因为信息系统的技术与管理两方面都存在安全漏洞。

五起网络信息泄露事件被查处

一、经查, CSDN、天涯网站被入侵事件是这两家网站曾在2009年以前被入侵,数据遭泄露也发生在两年前,近期这两家网站并未遭受攻击。

二、经查,网上流传的京东商城网站被入侵事件是这个网站确遭入侵但数据未被泄露。网名“我心飞翔”的犯罪嫌疑人要某因涉嫌敲诈勒索,现已被依法刑事拘留。

三、经查,广东“YY”语音聊天网站泄露的数据,系该公司员工利用职务之便从公司内部备份数据库窃取的。

四、网上流传的工商银行等金融机构数据泄露事件,是网名“挨踢客”的王某某(男,24岁)凭空捏造,王某某已被公安机关予以训诫。

五、经查,新浪微博、开心网、7K7K网站、当当网、凡客诚品等网站均未被入侵。网

上公布的上述网站部分账号密码系有人利用网络远程大规模猜测密码所破解,实施密码破解

的人员身份目前已被锁定。

---国家互联网信息办发言人从事件分析可能存在的引起泄露的安全问题如下:

(1) 管理方面

a. 企业对于存放业务数据的介质管理不善,导致信息明文看得见;

b. 企业内部对于数据的使用、查看、维护等管理混乱,导致信息流动管不住;

c. 对于员工和第三方人员的行为缺乏审批和监控,导致信息进出无监控;

d. 信息设备的运维缺乏必要的审计或审计力度不足,导致信息泄露无法查。

(2) 技术方面

a. 业务系统主机或网络设备存在漏洞,黑客可以利用漏洞进入业务网内部;

b. 个人信息相关的基础环境或应用软件自身存在漏洞,黑客可以访问个人信息;

c. 面向客户的应用系统存在漏洞,黑客可以将客户信息从应用系统中盗走;

d. 系统、设备或业务管理密码过于简单,黑客通过密码猜测就可以获得更大权限。

e. 密码采用明文存储、或密码弱加密,易于破解,黑客取走的信息可以被破解利用;

f. 整个系统的入侵检测机制不足,黑客进进出出,最终也追查不到。

总结来说,这些技术、管理漏洞由来已久,信息安全业界对应的安全解决方案也已经相当成熟并形成体系,但互联网行业由于监管和自身发展的限制对安全的投入一直非常缺乏。真正重视安全的互联网企业凤毛麟角,所以形成了当前的一个信息安全的洼地。

4、个人信息流传多年已经形成利益链条

深入分析本次事件暴露出的个人信息安全问题其实很可能只是冰山之一角,因为,从信息利用的角度,非法取得大量个人信息的人会想尽各种方法售卖取利,而只有在一次次榨干利润或互相间竞争激烈无利可图后,才把资料抛出来博取一下知名度。

个人信息的售卖网上早有流传,现在只不过是验证了利益链条的说法实有其事:

个人信息被多次售卖的流程

第一波进行虚拟币等信息的剥离,例如支付宝和QQ等,拿到用户的账号后就会进入账户尝试,如果有虚拟金钱就会转走,或将QQ号倒卖;

第二次“洗”是对于个人信息的收集,有些账户可能包括个人信息内容,这些会卖给那些需要的人;

第三次“洗”是关联手机号的信息,卖给转发垃圾短信的,这样一层层“洗”下去直到没有价值为止。

这样的黑市交易也就难怪有些黑客暗地里标榜自己日进斗金,已腰缠万贯了。

5、不法分子恶意利用个人信息进行大肆破坏

据绿盟科技安全专家的分析表明:不法分子会利用从黑市上得来的个人信息进行各种不法活动,这些活动包括:进一步窃取信息并销售、构建并控制大规模僵尸网络、用网络洗钱、盗卖虚拟货币。

图1:恶意利用方式分析图示

这些不法行为严重损害了网民的利益和财产安全,而且它通常具有以下特点:

(1) 采用隐蔽的方式进行破坏以规避打击与追踪。

(2) 对单个人来讲损失数额小或不易察觉,通常没有达到立案标准,打法律的擦

边球。

(3) 与恐吓、诈骗和洗钱等犯罪互相勾结,充当犯罪者的工具和帮凶。

(4) 复杂的交易网络,得利者隐于背后,暴露出的通常是代理人或替罪羊。

总之,精心的隐藏、隐蔽的操作和与其它犯罪形式混合导致了严重的危害,人们却疏于防范,遭受损失后无法有效维权。

6、各利益方安全态势分析

综合当前对事件分析,可以总结以下各利益相关方在事件中的安全态势,所有者-互联网用户是最终受害者之一。所有者一方面应当增加对个人信息保护的意识,另一方面应当对自己的个人信息采取更加妥善的保护措施。保有者-互联网企业及各类机构应当从技术与管理两个方面加强对个人信息的保护力度,加强协作,提高安全水平,增加安全防护能力和安全事件的。而针对泄露、传播和利用个人信息而牟利的人国家应从立法与打击两方面着手,维持社会秩序和公共利益的稳定,保障国家的经济发展。

针对本次安全事件应当确立安全处置的原则与方针:

原则:

国家层面的保护原则:

谁拥有谁保护;谁运营谁防治;谁主管谁监督;谁执法谁打击。

各利益相关方的保护原则:

所有者要增强意识;保有者应保护重视;泄露者需综合防治

传播者宜立法惩治;利用者可打击监视;受害者能正确处置信息安全中的攻与防、泄露与保护、破坏与建设是一对长期存在,魔道相争的关系,从理论的层面上讲,是应当要建立长效的、纵深的、持续提升的、基于风险的安全体系保障各行业各系统的信息安全。

7、国外个人隐私保护解决方案发展

据国外个人隐私保护机构的研究显示,亚太地区很多国家已经颁布了相关法案保护个人隐私,如澳大利亚、新西兰、日本、韩国、印度、菲律宾和我国的香港、台湾地区。

图2:亚太区域个人隐私保护立法情况(引自Privaworks网站)各国法案针对个人隐私保护的规定一般是通过对商业活动中利用个人信息的行为提出明确的“要求”与“控制”,这些要求与控制是在商业活动中实施个人隐私保护的依据与方法。以下引用Nymity对韩国PIPA法案的条文的分析:

Nymity's Analysis

Background Facts:

?Kwang Hyun Ryoo and Ji Yeon Park, associates with Bae Kim Lee ("BKL") LLC, summarize draft regulations that clarify the Korean Per sonal Information Protection Act ("PIPA"):

o PIPA will take effect on September 30, 2011; and

o drafts of the Enforcement Decree and the Enforcement Regulations seem likely to be adopted without much alteration before September 2011.

Relevance to Business Activities:

?security - administrative and technical safeguards consideration s:

o security measures:

?the regulations require data handlers to institute a variety of administrative and

technical measures to better en sure security:

?draw up and follow internal plans for:

?data handling;and

?training of the responsible personnel.

?conduct periodic inspections;

?take steps to control access to the information, such as:

?installing a system to prevent unauthorized access;and

?setting up passwords and procedures to ensure safe storage

and transmission.

?take steps to record access and prevent tampering;and

?install security software:

?conduct regular updates and inspections of the software.

?these requirements will apply to each place of bu siness where personal information

is handled.

……

中国对于个人隐私保护的法规也正在草拟过程中,相信也会因应安全发展的形势及时推出。

8、综合分析

综合各方面情况分析,个人信息保护工作刻不容缓,就此国家应该有隐私保护的法规、企业应该有事件应对方法、个人应该有基本的安全意识。

下篇: 银行业安全应对方案的思考

基于对2011年底的个人信息泄露的安全事件的全面分析,得出本次安全事件的应对,因其涉及深远和影响广泛需要有一套完整的信息安全应对方案,以下从体系化安全解决方案的思路出发试分析银行业信息安全的应对思路。

1、路线图

作为银行类金融服务提供者需要完善地解决个人信息保护的课题,应当建立基于技术与管理的完整安全体系,通过体系化的安全防护达到综合防治的效果。面向个人信息的安全路线图可以体现为如下的五个步骤的应对方式。

图3:安全层面解决方案分析

在此路线图中:

●个人信息保护专项方案为专门针对本次事件可以采取的一些具有临时性的解

决问题的应急方法,如:系统中添加客户警示语、采用下一代令牌、监控钓鱼

网站、对用户登录的IP进行地域的限制以及专项黑名单机制等。

●安全技术防护方案为应对个人信息保护的课题,加强物理层、网络层、系统层、

应用层的安全防护,依据分区域、按等级、多层次的防护思想进行安全规划、

安全评估、安全加固与安全维护,贯彻预警、防御、监测、恢复的多重安全保

护的技术策略,沿着威胁攻击路径部署安全措施。

●安全技术增强部署方案对现有的安全技术实施改进与增强,其中需要改进的包

括密码算法、加密方式、对存储的加密、U盘管理、统一认证与审计等技术机

制;适用新安全形式的安全技术手段包括数字水印技术、数据模糊化等。

●敏感信息保护方案首先对业务系统中的个人信息识别、分类、定级;然后通过

业务分析梳理数据流程;进行威胁建模,分析受攻击面;最后通过综合风险评

估,得出保护方案。

●安全管理体系建设方案依据风险的原则分析个人信息安全管理面临的威胁与

管理自身的脆弱性,通过体系化、制度化、流程化、表单化和信息化的方法完

善内部管理,并与系统管理体系有机的融合,形成面向信息保护的安全管理体

系。

2、个人信息保护专项措施方案

基于专项的安全措施是为了应对当前安全形式的要求而设立的,如:

●客户警示语给出重要的安全提示,提高用户安全保护意识。

图4:示例客户安全警示语—工行网银

新一代令牌:使用安全认证的动态口令系统可以大大提升安全性,特别是当前各大银行已经采用多种安全认证手段,新一代令牌的使用也已经全面推广。

图5:动态口令认证方式

使用新一代令牌系统,可以大大提升安全性,有效防止通讯被监听和破译。所以各大行长期以来都有对令牌系统作不断的升级。

图6:部分大型银行的令牌使用情况

监控钓鱼网:对于仿冒与伪造的钓鱼网站的及时发现是一类关键的安全防护手段,而此类防护专业的安全公司已经可以提供完善的解决方案。

图7:反钓鱼服务流程

也可以采用安全厂商成熟的安全监控的服务。

绿盟云安全监测中心为您的网站提供7×24小时人员值守,不间断网站安全持续检测及互联网的仿冒域名安全监测,帮助您随时掌控钓鱼相关风险的变化情况。发生高风险的变化或者事件时,监控服务的值守团队将会及时通知您的运维团队,确保网站所有者了解到钓鱼相关的风险变化情况,将您的损失降到最低。同时监控服务还会通过定期报告方式汇总风险变化的情况。

----绿盟反钓鱼网站监控服务白皮书

3、信息保护技术增强方案

金融业信息保护的技术体系的建立应当依据纵深多重防护的思想建立,集中沿着安全威胁的入侵路径来部署防御措施,综合采取物理层、网络层、系统层和应用层的防护手段进行安全增强。

图8:安全技术增强措施

专业化的第三方安全公司可以为金融行业提供全面的安全运维服务,此类服务可以弥补业务系统安全技术和人员经验的不足,利用长期的安全积累提供成熟的安全保障

图9:安全厂商的运维服务详解

4、安全技术手段方案

在个人信息保护的安全技术手段中,可以选用以下的技术增强方案:

●数字水印:数字水印技术是为信息数据特别是包含多媒体信息的数据提供隐藏

的标识,这种方法在知识产权保护领域已经广泛运用,它的主要作用是作为信

息识别、信息追踪、审计与认证的依据。

●数据模糊化:数据模糊化系统部署在数据输出的接口上,通常用于隔离生产系

统与测试环境,统一为测试环境提供模糊化后的测试数据。模糊化系统要求基

本模糊策略可配置、传输数据可监控、传输结果可审计。模糊化的目标通常包

括了客户个人敏感信息和业务数据等。

●存储加密:传统的安全加密算法已经受到一定的挑战,当前安全方案的厂商已

经提出了基于传统加密算法的一些“加盐”方式,以防止通过碰撞方式破解用

户密码的行为,此类方法可以为各类用户设计使用。

●安全基线:基于对系统安全配置采用统一的基线标准以防止信息安全出现短板

的木桶原理,安全基线解决方案由业务层面向下分解到功能层面对各类操作系

统、数据库、网络设备和应用软件的安全要求,在系统实现层面细化到各类产

品的安全配置。

图10:基于业务的安全基线结构

安全配置问题:通常都是由于人为的疏忽造成,主要包括了账号、口令、授权、日志、IP通信等方面内容,反映了系统自身的安全脆弱性。安全配置方面与系统的相关性非常大,同一个配置项在不同业务环境中的安全配置要求是不一样的,如在WEB系统边界防火墙中需要开启HTTP通信,但一个特殊业务网关边界就没有这样的需求,因此在设计业务系统安全基线的时候,安全配置是一个关注的重点。

图11:协同一致的基线安全配置规范

安全基线实施步骤分三步进行:

第一个阶段是基础阶段,通过基线安全评估,建立基础安全配置规范,结合系统安全加固工作在系统设备中实施安全配置。

第二个阶段是配置工具建立阶段,通过针对安全配置规范的专门安全核查工具开发,在系统中部署漏洞扫描设备和配置核查设备。本阶段需要建立适合自身业务要求的安全检查基线。

第三个阶段是流程建立阶段,针对系统运维中的各个环节设计安全检查流程,通过设备入网、工程验收、日常维护、安全检查等规范的流程持续地完善设备的安全配置。

图12:安全基线实现的项目过程

终端安全:基于终端安全防护系统的移动介质存储保护方面,借助终端安全手段,对U盘等存储介质的使用进行有效管理,防止敏感信息及高密级数据通

过U盘泄露。

图13:基于终端安全管理的信息保护系统

此外,安全技术防护措施还应用到统一认证、存储加密和访问控制等各类技术手段和方法。

5、敏感信息保护方案

针对敏感信息保护课题,专业安全厂商已经形成了比较成熟的业务安全评估与设计方案,并且在金融系统得到了很好的应用。其安全方案的主体模块如下图所示:

图14:敏感信息保护方案示意图

其中关键的实施过程包括:

业务分析—依据业务影响确定个人信息的重要程度及敏感程度。

数据流图—从业务流程分析敏感信息的数据使用方式及数据流。

威胁建模—通过模型化的手段对敏感信息在业务运行中的威胁进行定位与分析。

受攻击面分析—依据风险的方法确定承受攻击的业务过程与活动。

风险评估—从信息资产、安全威胁、受攻击程度等方面作综合分析,形成风险的视图。

形成的项目成果包括:

敏感信息分类—识别和分级系统的敏感信息。

安全建议—基于风险应对的敏感信息保护解决方案建议。

关键的研究方法包括:

基于业务的安全评估将对系统的评估扩展到对于业务的评估方法,分别不同的业务流程、业务逻辑、业务边界、业务管理与业务规范性进行面向敏感信息保护的安全评估。

图15:业务安全评估

6、信息保护管理建设方案

安全管理的建设方案是从人员、技术、管理角度进行制度化、流程化的保护建设。

图16:信息保护管理架构示意图

管理体系中涉及信息安全保护的制度包括:

●信息资产分类管理制度

●信息资产管理制度

●文档保密管理

●应急预案

●操作及权限最小化管理规范

●第三方人员管理

●安全运行维护管理

●……

基于对国际信息安全管理体系标准ISO27001的遵从,完整的信息安全管理制度体系应当覆盖11大类的各个控制项:

银行系统的安全管理建设应注重金融行业的特点,更强调体系化的解决方法,各安全管理咨询厂商都不会推荐头痛医头,脚痛医脚、修修补补的建设方法,而应当建立管理体系,保持循环提升和持续改进。

7、总结与展望

对于金融企业来说,个人信息安全保护工作任重道远,应当保持一个持续改进的心态,从容应对安全问题,按部就班地加强信息安全建设,保障业务持续发展。

(完)

应该如何保护我们个人信息安全

1.应该如何保护我们个人信息安全? 对于个人的自我保护是网络隐私权保护第一重要环节。网民进行保护网络隐私权的方式有很多。 一是将个人信息与互联网隔离。当某计算机中有重要资料时,最安全的办法就是将该计算机与其他上网的计算机切断连接。这样,可以有效避免被入侵的个人数据隐私权侵害和数据库的删除、修改等带来的经济损失。换句话说,网民用来上网的计算机里最好不要存放重要个人信息。这也是目前很多单位通行的做法。 二是传输涉及个人信息的文件时,使用加密技术。在计算机通讯中,采用密码技术将信息隐蔽起来,再将隐蔽后的信息传输出去,使信息在传输过程中即使被窃取或截获,窃取者也不能了解信息的内容,发送方使用加密密钥,通过加密设备或算法,将信息加密后发送出去。接收方在收到密文后,使用解密密钥将密文解密,恢复为明文。如果传输中有人窃取,他也只能得到无法理解的密文,从而保证信息传输的安全。 三是不要轻易在网络上留下个人信息。网民应该非常小心保护自己的资料,不要随便在网络上泄露包括电子邮箱等个人资料。现在,一些网站要求网民通过登记来获得某些“会员”服务,还有一些网站通过赠品等方式鼓励网民留下个人资料。网民对此应该十分注意,要养成保密的习惯,仅仅因为表单或应用程序要求填写私人信息并不意味着你应该自动泄漏这些信息。如果喜欢的话,可以化被动为主动,用一些虚假信息来应付对个人信息的过分要求。当被要求中输入数据时,可以简单地改动姓名、邮政编号、社会保险号的几个字母,这就会使输入的信息跟虚假的身份相联系,从而抵制了数据挖掘和特征测验技术。对唯一标识身份类的个人信息应该更加小心翼翼,不要轻易泄漏。这些信息应该只限于在在线银行业务、护照重新申请或者跟可信的公司和机构打交道的事务中使用。即使一定要留下个人资料,在填写时也应先确定网站上是否具有保护网民隐私安全的政策和措施。 四是在计算机系统中安装防火墙。防火墙是一种确保网络安全的方法。防火墙可以被安装在一个单独的路由器中,用来过滤不想要的信息包,也可以被安装在路由器和主机中。在保护网络隐私权方面,防火墙主要起着保护个人数据安全和个人网络空间不受到非法侵入和攻击等作用。 五是利用软件,反制Cookie和彻底删除档案文件。如前所述,建立Cookie 信息的网站,可以凭借浏览器来读取网民的个人信息,跟踪并收集网民的上网习惯,对个人隐私权造成威胁和侵害。网民可以采取一些软件技术,来反制Cookie软件。另外,由于一些网站会传送一些不必要的信息给网络使用者的计算机中,因此,网民也可以通过每次上网后清除暂存在内存里的资料,从而保护自己的网络隐私权。 六是针对未成年人的网络隐私保护,除了对未成年人进行隐私知识和媒介素养教育外,应在家长或监护人的帮助下,借助相关的软件技术进行。

学生信息安全与防护

学生信息安全与防护 实验小学5年级16班主题班会 课题:学生信息安全与防护 目的:让学生了解目前犯罪事实的发生,大都与自身的信息泄露有关系,常常被一些“有心人”利用,给学生造成很大的损失。 主持:蒋宗良蒋汶伯 时间:40分钟 步骤: 主持人甲:各位同学大家好!目前在校园、小区发生了很多犯罪案例,并成上升趋势,犯罪分子是怎么知道作案目标的呢?那么多的人怎么偏偏就找得那么准呢? 主持人甲:这就今天班会课要讨论的主题《学生信息安全与防护》。 主持人甲:相信同学们大都对网络比较了解,但对于网络中的信息安全问题又有多少认识呢?有请蒋汶伯同学来给我们提几个有关信息安全的问题吧!掌声欢迎! 一、信息安全与防护 主持人乙:这些问题都是同学们在上网的过程中遇到的,你们是如何处理,又是为什么呢?请同学们畅所欲言。 主持人乙:(1)在使用电脑时,电脑系统要安装杀毒软件?是安装一个还多个呢?为什么?哪位同学来说说! 主持人甲:只安装一个就够了,因为安装了多个,杀毒软件要把对方当作病毒来杀或不断的检查对方,让电脑变得很慢,影响我们的上网环境。不要忘了手机也一样要安装杀毒软件哦。 主持人乙:(2)在网络上留电话号码时你是如何做的呢?直接输入吗? 主持人甲:应该在数字之间用“-”隔开,避免被搜索引擎搜到。 主持人乙:(3)你会不会把自己的姓名、家庭住址、学校名称或者电话号码、照片等提供到聊天室或公共讨论区? 主持人甲:那样就暴露了我们的个人信息。 主持人乙:(4)在使用公共网络工具时,如邮箱、QQ号,在下线时如何清理登录痕迹?你会接收不认识的人发过来的邮件等资料吗?为什么? 主持人甲:如在退出邮箱或QQ号码后,再次随便乱输入一串文字,点击确定,就把你原来的密码覆盖了。如果接收来路不明的邮件,很有可能在你打开时木马病毒就会跟随文件植入你的电脑或手机中,从而盗取你的个人信息。 主持人乙:(5)网购东西填写的地址时你是填写住宅的全称和门牌号吗?为什么? 主持人甲:特别是女生尤其要注意,因为网购快递,目前管理上还存在

个人信息的保护和安全措施

个人信息的保护和安全措施 一、广电公众平台将尽一切合理努力保护获得的用户个人信息,并由专门的数据安全部门对个人信息进行保护。为防止用户个人信息在意外的、未经授权的情况下被非法访问、复制、修改、传送、遗失、破坏、处理或使用,广电公众平台已经并将继续采取以下措施保护用户的个人信息: 通过采取加密技术对用户个人信息进行加密保存,并通过隔离技术进行隔离。在个人信息使用时,例如个人信息展示、个人信息关联计算,广电公众平台会采用包括内容替换、加密脱敏等多种数据脱敏技术增强个人信息在使用中安全性。设立严格的数据使用和访问制度,采用严格的数据访问权限控制和多重身份认证技术保护个人信息,避免数据被违规使用。 二、保护个人信息采取的其他安全措施 1、通过建立数据分类分级制度、数据安全管理规范、数据安全开发规范来管理规范个人信息的存储和使用。 2、建立数据安全专项部门,负责安全应急响应组织来推进和保障个人信息安全。 3、个人信息安全事件的通知 1)如发生个人信息引发的安全事件,广电公众平台将第一事件向相应主管机关报备,并即时进行问题排查,开展应急措施。 2)通过与全量用户发送通知提醒更改密码。还可能通过电话、短信等各种方式触达用户知晓,在公共运营平台运营宣传,制止数据

泄露。 尽管已经采取了上述合理有效措施,并已经遵守了相关法律规定要求的标准,但广电公众平台仍然无法保证用户的个人信息通过不安全途径进行交流时的安全性。因此,用户个人应采取积极措施保证个人信息的安全,如:定期修改账号密码,不将自己的账号密码等个人信息透露给他人。 网络环境中始终存在各种信息泄漏的风险,当出现意外事件、不可抗力等情形导致用户的信息出现泄漏时,广电公众平台将极力控制局面,及时告知用户事件起因、广电公众平台采取的安全措施、用户可以主动采取的安全措施等相关情况。

《移动互联网时代的信息安全与防护》答案#精选.

尔雅通识课 《移动互联网时代的信息安全与防护》答案 1.课程概述 1.1课程目标 1.《第35次互联网络发展统计报告》的数据显示,截止2014年12月,我国的网民数量达到了()多人。 C 6亿 2.《第35次互联网络发展统计报告》的数据显示,2014年总体网民当中遭遇过网络安全威胁的人数将近50%。()√ 3.如今,虽然互联网在部分国家已经很普及,但网络还是比较安全,由网络引发的信息安全尚未成为一个全球性的、全民性的问题。() × 1.2课程内容 1.()是信息赖以存在的一个前提,它是信息安全的基础。

A、数据安全 2.下列关于计算机网络系统的说法中,正确的是()。 D、以上都对 3.网络的人肉搜索、隐私侵害属于()问题。 C、信息内容安全 1.3课程要求 1.在移动互联网时代,我们应该做到()。 D、以上都对 2.信息安全威胁 2.1斯诺登事件 1.美国国家安全局和联邦调查局主要是凭借“棱镜”项目进入互联网

服务商的()收集、分析信息。 C、服务器 2.谷歌、苹果、雅虎、微软等公司都参与到了“棱镜计划”中。() √ 3.“棱镜计划”是一项由美国国家安全局自2007年起开始实施的绝密的电子监听计划。()√ 2.2网络空间威胁 1.下列关于网络政治动员的说法中,不正确的是() D、这项活动有弊无利 2.在对全球的网络监控中,美国控制着()。 D、以上都对 3.网络恐怖主义就是通过电子媒介对他人进行各种谩骂、嘲讽、侮辱

等人身攻击。()× 2.3四大威胁总结 1.信息流动的过程中,使在用的信息系统损坏或不能使用,这种网络空间的安全威胁被称为()。 A、中断威胁 2.网络空间里,伪造威胁是指一个非授权方将伪造的课题插入系统当中来破坏系统的()。 B、可认证性 3.网络空间的安全威胁中,最常见的是()。 A、中断威胁 4.网络空间里,截获威胁的“非授权方”指一个程序,而非人或计算机。() ×

金融机构信息安全管理指引

附件 省银行业金融机构信息安全管理指引(试行) 第一章总则 第一条为切实加强省银行业金融机构(以下简称银行机构)信息安全工作的管理和指导,进一步增强银行机构信息安全保障能力,保障国家经济金融运行安全,保护金融消费权益和维护社会稳定,根据国家和人民银行总行有关规定和要求,特制订本指引。 第二条本指引所称信息安全管理,是指在银行机构计算机系统建设、运行、维护、使用及废止等过程中,保障计算机数据信息、计算机系统、网络、机房基础设施等安全的一系列活动。 第三条省人民银行分支机构按属地管理原则对辖银行机构信息安全工作进行管理、指导和协调。各银行机构负责本系统(单位)的信息安全管理,完成人民银行交办的信息安全管理任务、接受人民银行的监督和检查。 第四条各银行机构信息安全管理工作的目标是:建立和完善与金融机构信息化发展相适应的信息安全保障体系,满足金融机构业务发展的安全性要求,保证信息系统和相关基础设施功能的正常发挥,有效防、控制和化解信息技术风险,增强信息系统安全预警、应急处置和灾难恢复能力,保障数据安全,显著提高金融机构业务持续运行保障水平。 第五条各银行机构信息安全管理工作的主要任务是: (一)加强组织领导,健全信息安全管理体制,建立跨部门、

跨行业协调机制; (二)加强信息安全队伍建设,落实岗位职责制,不断提高信息安全队伍业务技能; (三)保证信息安全建设资金的投入,将信息安全纳入“五年”发展规划和年度工作计划,不断完善信息安全基础设施建设; (四)进一步加强信息安全制度和标准规体系建设; (五)加大信息安全监督检查力度;加快以密码技术应用为基础的网络信任体系建设; (六)加强安全运行监控体系建设; (七)大力开展信息安全风险评估,实施等级保护; (八)加快灾难恢复系统建设,建立和完善信息安全应急响应和信息通报机制; (九)广泛、深入开展信息安全宣传教育活动,增强全员安全意识。 第六条本指引适用于在省设立的各政策性银行、国有商业银行、股份制银行、邮政储蓄银行、城市商业银行、农村商业银行、城市信用合作社、农村信用合作社、村镇银行的总部和分支机构。非银行机构参照执行。 第二章组织机构 第七条各银行机构应建立健全信息安全管理机构。应建立由行领导负责、相关部门负责人及部专家组成的信息安全领导机构,负责本系统(单位)信息安全管理工作,决策本系统(单位)信息安全重大事宜。

个人金融信息安全保护制度

个人金融信息安全保护制 度 Prepared on 22 November 2020

夷陵支行客户个人金融信息 安全保护制度 为进一步加强中信银行宜昌夷陵支行个人金融信息保护工作,履行客户个人金融信息保护义务,确保客户个人金融信息安全,我行员工要严格遵守《个人存款账户实名制规定》、《个人信用信息基础数据管理暂行办法》等法律法规,高度重视客户个人金融信息保护工作: 一、在收集、保存、使用个人金融信息时,要严格遵守法律规定,采取有效措施加强对个人金融信息保护,确保信息安全,防止信息泄露和滥用,遵循合法、合理原则,不得收集与业务无关的信息或采取不正当方式收集信息。 二、明确规定各岗位和人员的管理责任,加强个人金融信息管理的权限设置,形成相互监督、相互制约的管理机制,切实防止信息泄露或滥用事件的发生。 三、按照省分行要求配备完善信息安全技术防范措施,确保个人金融信息在收集、传输、加工、保存、使用等环节中不被泄露。 四、按照文件要求加强对员工的培训,强化员工个人金融信息安全意识,防止员工非法使用、泄露、出售个人金融信息。 五、使用客户个人金融信息时,符合收集该信息的目的,不得发生篡改、违法使用客户个人金融信息行为。

六、通过接入中国人民银行征信系统、支付系统以及其他系统获取的个人金融信息,严格按照系统规定的用途使用,不得违反规定查询和滥用行为。 七、员工在日常工作互相监督,如若发现非法使用、泄露、出售个人金融信息的情况应立即制止并向上级领导报告。 八、对违反联社客户个人金融信息保护工作制度非法使用、泄露、出售个人金融信息的员工将根据有关规定追究法律后果。 中信银行宜昌夷陵支行宣

金融信息安全复习总结—徐成贤

1.PDRR: Protect (保护) Detect(检测) React(反应) Restore(恢复) 2.IDS:(Intrusion detection system)-入侵检测系统 3.IPS:(Intrusion Provision system)-入侵防御系统 4.VPN:(Virtual private network)-虚拟专用网技术 5.DES:(Data encryption standard)-数据加密标准 6.AES:(Advanced encryption standard)—高级加密标准 二、填空题 1.主动的信息安全防御模型可以抽象为(风险评估)、制定安全策略、实施保护、(实时监测)、及时响应和(快速恢复)6个环节。 2.安全扫描技术主要分为主机安全扫描技术和(网络安全扫描技术)。 3.IDS一般分为基于主机的HIDS和(NIDS)两类。 4.(安全策略)是信息系统安全模型与安全保护的核心。 5. (屏蔽)是防止雷电电磁脉冲辐射对电子设备影响最有效的方法。 6.(防火墙)是信息系统网络安全防御体系的第一道防线。 7.身份认证技术中,(一次性口令认证技术)最安全。 8. 金融信息系统是由客户端、(应用服务器)与(数据库服务器)组成的三层架构系统。 9. 银行事务处理系统可以划分为(核心层)、业务层、(服务层)和客户层4个层次结构。 10. EDPS、MIS、DSS3个系统之间联系的纽带为数据库、算法库以及(模型库)三库系统,他们是金融信息系统的核心。 11.金融信息系统的逻辑结构可分为(信息管理系统)、(决策支持系统)和事务处理系统三个层次。 12. 金融信息系统由客户端、(数据库服务器)、(应用服务器)、网络和用户组成。 13.请列出信息安全的主要特征(机密性Confidentially)(完整性Integrity)(可用性Availability)(可控性Controllability)(不可抵赖性Non-repudiation)。 14. 以“可信计算机系统评估准则(TCSEC)”为标志的是(信息安全阶段) 15. 体现动态安全理念的PDRR模型的5个安全环节是(物理安全)(运行安全)(数据安全)(内容安全)(管理安全)。 16. 为达到金融信息安全“看不懂”的目标,需要借助(加密)机制 17. 为达到金融信息安全“进不来”的目标,需要借助(访问控制)机制 三、简答: 1、对金融行业来说,金融信息化指的是什么? 答:金融信息化是指在金融领域全面发展和应用现代信息技术,以创新智能技术工具更新改造和装备金融业,使金融活动的结构框架从物理性空间向信息性空间转变的过程。、 2、请列出常见的至少5种信息安全技术,并对每种技术的特征作简要描述。 答:常见的信息安全技术有防火墙、访问控制、身份认证、入侵检测系统、病毒防护、虚拟专用网(VPN)、安全审计、数据加密、电子签名、内容安全等。 1>防火墙:是一个有硬件和软件组合而成的设备,设置在计算机网络的内部网和外部网之 间的连接处,保护内部网络免遭非法用户通过外部网络的入侵。a、网络流量过滤b、网络审计监控c、形成集中式安全管理d、多功能网络技术支持服务 2>虚拟专用网(VPN virtual protect network):在不安全的公共网络中利用加密技术建设私 有网络。 3>入侵检测系统(IDS Intrusion detection system):作为防火墙的补充,用于实时发现和抵 御黑客的攻击.\ 4>病毒防护:计算机防护病毒的主要技术有检测和清除,用于及时发现并清除病毒。病毒

互联网个人信息安全保护指南

互联网个人信息安全保护指南 前言 为有效防范侵犯公民个人信息违法行为,保障网络数据安全和公民合法权益,公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握 的情况,组织北京市网络行业协会和公安部第三研究所等单位相关专家,研究起草了《互联网个人信息安全保护指南》,供互联网服务单位在个人信息保护工作中参考借鉴。 1范围 本文件制定了个人信息安全保护的管理机制、安全技术措施和业务流程。 适用于个人信息持有者在个人信息生命周期处理过程中开展安全保护工作 参考使用。本文件适用于通过互联网提供服务的企业,也适用于使用专网或非联网环境控制和处理个人信息的组织或个人。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 25069—2010 信息安全技术术语 GB/T 35273—2017 信息安全技术个人信息安全规范 GB/T 22239 信息安全技术网络安全等级保护基本要求(信息系统安全等 级保护基本要求) 3术语和定义 3.1 个人信息

以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 [中华人民共和国网络安全法,第七十六条(五)] 注:个人信息还包括通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 3.2 个人信息主体 个人信息所标识的自然人。 [GB/T 35273-2017,定义3.3] 3.3 个人信息持有 对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为。 3.4 个人信息持有者 对个人信息进行控制和处理的组织或个人。 3.5 个人信息收集 获得对个人信息的控制权的行为,包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集,以及通过共享、转让、搜集公开信息间接获取等方式。 [GB/T 35273-2017,定义3.5] 3.6 个人信息使用

移动互联网时代信息安全及防护

课程目标已完成 1 《第35次互联网络发展统计报告》的数据显示,截止2014年12月,我国的网民数量达到了()多人。 ?A、 ?B、 ?C、 ?D、 我的答案:C 2 《第35次互联网络发展统计报告》的数据显示,2014年总体网民当中遭遇过网络安全威胁的人数将近50%。() 我的答案:√ 3 如今,虽然互联网在部分国家已经很普及,但网络还是比较安全,由网络引发的信息安全尚未成为一个全球性的、全民性的问题。() 我的答案:√(错的) 课程内容已完成 1 网络的人肉搜索、隐私侵害属于()问题。 ?A、

?C、 ?D、 我的答案:C 2 ()是信息赖以存在的一个前提,它是信息安全的基础。?A、 ?B、 ?C、 ?D、 我的答案:A(错的) 3 下列关于计算机网络系统的说法中,正确的是()。 ?A、 ?B、 ?C、 ?D、 我的答案:D 课程要求已完成 1 在移动互联网时代,我们应该做到()。

?B、 ?C、 ?D、 我的答案:D 2 黑客的行为是犯罪,因此我们不能怀有侥幸的心理去触犯法律。()我的答案:√ 斯诺登事件已完成 1 美国国家安全局和联邦调查局主要是凭借“棱镜”项目进入互联网服务商的()收集、分析信息。 ?A、 ?B、 ?C、 ?D、 我的答案:D(错的) 2 谷歌、苹果、雅虎、微软等公司都参与到了“棱镜计划”中。() 我的答案:√ 3

“棱镜计划”是一项由美国国家安全局自2007年起开始实施的绝密的电子监听计划。() 我的答案:√ 网络空间威胁已完成 1 下列关于网络政治动员的说法中,不正确的是() ?A、 ?B、 ?C、 ?D、 我的答案:B(错的) 2 在对全球的网络监控中,美国控制着()。 ?A、 ?B、 ?C、 ?D、 我的答案:B(错的) 3 网络恐怖主义就是通过电子媒介对他人进行各种谩骂、嘲讽、侮辱等人身攻击。()

银行征信信息安全自查汇报

银行征信信息安全自查汇报 银行征信信息安全自查报告1 一、本行相关征信工作人员在使用办理征信业务时,严格按照中国人民银行《征信业管理条例》执行,遵循合规、审慎、保密、维护金融消费者权益的原则,对自己的查询帐号严格保密,密码定期修改。 二、在查询过程中,按照审慎和维护金融消费者权益的原则,对每一笔被查询者,由被查询者当面签订查询授权书,按照被查询者的授权的查询原因,进行授权内查询,做到无无权查询和越权查询。 并且对每一笔查询结果,做到保密制度,切实维护被查询者的个人隐私。 三、对每一笔查询者,在查询之前,做好查询登记制度,登记被查询者的姓名、住址、身份证号码、联系号码、查询原因进行详细登记,对每笔查询记录逐笔登记,并按季度对其登记簿进行装订保存。 四、现我行被查询者为借款人,对其符合发放贷款的被查询者,查询报告都做为贷款资料保存,对不符合贷款条件的贷户,我行对其查询报告进行专夹保管,查询者对其信息绝不对外宣传,保证其查询信息不泄漏,影响个人信誉。五、对其查询的个人与单位征信,本着全面、客观、合理的原则对客户进行综合评价,征信信息仅供参考,不应简单以个人与单位征信系统存在负面数据为由,正确使用征信系统,合规开展征信业务。 六、对个人贷款户进行贷款后管理查询,严格按照主管授权制

度,对每笔需要贷后检查的个人征信查询,按照先登记授权,后查询的原则办理查询业务。 自查人:xx (二)系统管理情况我行健全内部控制制度, 通过权限管理设置,加强对 X-PAD 系统、CRM 系统、个人征信信息系统的管理,系统的使用人员都经过了严格的审批程序,并明确了管理责任,确保个人金融信息在收集、传输、加工、保存、使用等环节不被泄露和盗用。今年以来,我行通过对个人客户经理的风险排查和对基层网点常规业务检查对涉及个人金融信息的保密环节进行了自查和检查,目前尚未发现个人信息泄漏的情况。 (三)重点业务和关键环节的检查情况2为强化内部控制,加强个人金融业务操作风险管理,促进个人金融业务又好又快发展,预防和遏制由于内部监督控制不力、违规操作而导致的重大风险,个金部将重点业务和关键环节的检查均纳入检查计划作为常规检查项目,认真开展个人金融业务的检查。 1、银行卡业务管理 (1)在发卡审核环节,对所有申请进件进行了 100%电核,对有疑问的或批量进件由风险人员和直销领队上门核实包括真实性,所有进件均实行了“三亲见”制度,并通过身份联网核查和人行征信系统进行了身份核查和征信调查。 (2)我行严把特约商户准入关。按照各级监管部门的有关规定,

金融业信息安全事件的防范

金融业信息安全事件的防范 1信息安全事件的发生和分析 随着金融业务系统的日益复杂化,安全隐患也散布于各点,科技部门 也无法准确预测到问题会出现在什么地方,任何一个错误操作都可能 造成整个系统的瘫痪,这对科技部门操作流程的规范性提出了更高的 要求。2012年10月,某金融机构操作人员因为误操作将业务系统的交易日志文件关闭,导致系统不能正常运行;2012年11月,某金融机构维护人员错误操作,导致生产和备份系统重要系统文件丢失,造成服 务器宕机,导致重要业务系统无法正常启动。错误操作的发生源于操 作人员的粗心,但关键是因为操作流程不规范,对重要操作缺乏切实 有效的监管措施。(1)信息安全管理未贯穿于信息系统的全生命周期。部分机构忽视信息系统全生命周期的安全管理,在业务系统开发部署 上线时,未配套进行安全体系的设计和建设,或流于形式,不对方案 进行充分地测试。2012年3月,某机构生产线路发生中断,但因为技 术方案问题未能顺利切换到备份线路,导致业务发生中断;2012年11月,某机构因为未发现备份系统早已出现问题,在生产系统出现问题时,主备切换失败,导致业务中断。系统的安全体系流于形式,备份 系统测试不充分,或疏于监控维护,都可能导致安全事件的发生。(2)优先恢复业务的意识不足,应急处置能力有待提升。绝大多数金融机 构都制定了信息系统应急预案,并定期演练。但部分金融机构存有着 应急预案与实际不符,可操作性不强,对部分情况无明确处置方法的 情况,并且部分科技人员对应急预案不够熟悉,不清楚启动预案的条 件和流程,不能迅速的处置解决问题。2012年7月,某机构因为设备 故障导致业务处理速度缓慢,但因为该设备上承载了多项重要业务, 原有应急预案未充分考虑实际情况,科技部门未能按照预案执行,导 致事件处理时间延后,影响扩大。该事件的发生一方面是因为系统建 设时未充分考虑信息安全因素,不符合核心系统专机专用的安全思路,另一方面就是因为应急预案与实际不符合,可操作性不强,导致了事 件影响扩大。综合来看,银行业金融机构在信息安全方面特别是安全

保护个人信息安全的六大措施

保护个人信息安全的六大措施 现今,数据泄露渐成常态,在此种环境下,如何保护个人的信息安全,成为每个人都应该注意并为之采取措施的问题。 1.网上注册内容时不要填写个人私密信息 互联网时代用户数和用户信息量已然和企业的盈利关联了起来,企业希望尽可能多地获取用户信息。但是很多企业在数据保护上所做的工作存在缺陷,时常会有用户信息泄露事件发生,对于我们普通用户而言,无法干预到企业的采取数据安全保护措施,只能从己方着手,尽可能少地暴露自己的用户信息。 2.尽量远离社交平台涉及的互动类活动 现在很多社交平台,会有一些填写个人信息即可生成有趣内容并可以和朋友分享的活动,看似有趣的表面,实质上却以游戏的手段获取了大量的用户信息,遇到那些奔着个人隐私信息去的“趣味”活动,建议不要参与。 3.安装病毒防护软件 不管是计算机还是智能手机,都已经成为信息泄露的高发地带,往往由于不小心间点击一个链接、下载一个文件,就成功被不法分子攻破,安装防病毒软件进行病毒防护和病毒查杀成为设备使用时的必要手段。 4.不要连接未知WiFi 现在公共场所常常会有些免费WiFi,有些是为了人们提供便利而专门设置的,但是不能忽视的是不法分子也会在公共场所设置钓鱼WiFi,一旦连接到他们的钓鱼WiFi,我们的设备就会被他们反扫描,如果在使用过程中输入账号密码等信息,就会被对方获得。在公众场所尽量不要去连接免费WiFi。 5.警惕手机诈骗 科技在进步,骗子的手段也变得层出不穷,常见莫过于利用短信骗取手机用户的信息。更有可能进行财产诈骗,让受害者遭受重大损失。警惕手机短信里的手机账户异常、银行账户异常、银行系统升级等信息,有可能是骗子利用伪基站发送的诈骗信息。遇到这种短信不要管它,去联系官方工作人员,询问情况。 6.妥善处理好涉及到个人信息的单据 在快递单上会有我们的手机、地址等信息,一些消费小票上也包含部分姓名、银行卡号、消费记录等信息,翼火蛇提示对于已经废弃掉的单据,需要进行妥善处置。

2017《移动互联网时代的信息安全与防护》期末考试(20)

2017《移动互联网时代的信息安全与防护》期末考试(20) 1不属于计算机病毒特点的是()。(1.0分)1.0 分 A、 传染性 B、 可移植性 C、 破坏性 D、 可触发性 正确答案:B 我的答案:B 答案解析: 2美国“棱镜计划”的曝光者是谁?()(1.0分)1.0 分 A、 斯诺德 B、 斯诺登 C、 奥巴马 D、 阿桑奇 正确答案:B 我的答案:B 答案解析: 3之所以认为黑客是信息安全问题的源头,这是因为黑客是()。(1.0分)1.0 分A、 计算机编程高手 B、 攻防技术的研究者 C、 信息网络的攻击者 D、 信息垃圾的制造者 正确答案:C 我的答案:C 答案解析: 4下面哪种不属于恶意代码()。(1.0分)1.0 分 A、 病毒 B、 蠕虫 C、 脚本 D、 间谍软件 正确答案:C 我的答案:C

5系统管理员放置Web服务器并能对其进行隔离的网络区域称为()。(1.0分)1.0 分A、 蜜罐 B、 非军事区DMZ C、 混合子网 D、 虚拟局域网VLAN 正确答案:B 我的答案:B 答案解析: 6WD 2go的作用是()。(1.0分)1.0 分 A、 共享存储 B、 私人存储 C、 恢复删除数据 D、 彻底删除数据 正确答案:A 我的答案:A 答案解析: 7应对数据库崩溃的方法不包括()。(1.0分)1.0 分 A、 高度重视,有效应对 B、 确保数据的保密性 C、 重视数据的可用性 D、 不依赖数据 正确答案:D 我的答案:D 答案解析: 8以下哪一项不属于信息安全面临的挑战()。(1.0分)1.0 分 A、 下一代网络中的内容安全呈现出多元化、隐蔽化的特点。 B、 越来越多的安全意识参差不齐的用户让内容安全威胁变得更加难以防范。 C、 现在的大多数移动终端缺乏内容安全设备的防护。 D、 越来越多的人使用移动互联网。 正确答案:D 我的答案:D

加强金融消费者权益保护工作实施意见

加强金融消费者权益保护工作实施意见 为了进一步改善金融服务,优化金融消费环境,加强金融消费者权益保护工作,维护广大金融消费者的合法权益,促进市金融业长期健康发展,现就市金融消费者权益保护工作提出如下意见: 一、充分认识金融消费者权益保护工作的重要意义 随着经济社会的快速发展,金融已经成为人民群众生活中不可或缺的社会活动之一。在金融产品与服务种类众多、金融工具创新频繁的新形势下,金融消费领域的纠纷也日渐增多,积极稳妥地处理金融消费争议,保护消费者合法权益,不仅是优化金融消费环境、维护金融行业形象、促进金融业可持续发展的根本保证,更是增强消费者信心、维护社会公平正义、推进和谐社会建设的迫切要求,也是巩固我市信用环境建设成

果、优化投融资环境的现实需要。全市各金融机构要从推动金融业长期健康发展的高度,充分认识金融消费者权益保护的重要性和必要性,切实加强金融消费者权益保护工作。 保护金融消费者权益,有利于规范金融机构经营行为,维护金融市场秩序。金融消费者是市场供求的关键一方,不仅是金融产品和服务的消费者,也是市场秩序的维护者和监督者。维护金融消费者的合法权益,加强对金融机构的业务监督,有利于金融机构正确执行国家的金融法律法规,主动加大金融服务和产品的宣传力度,规范经营行为,防止金融机构之间的无序竞争,维护金融市场的稳定。 保护金融消费者权益,有利于改进金融服务质量,提高金融机构核心竞争力。消费者是金融产品与服务创新的原动力。维护金融消费者权益,妥善处置金融消费纠纷,对于金融机构掌握社会公众金融消费需求,改进服务质量,优

化服务环境,提升金融产品和服务创新能力,增强金融机构核心竞争力具有积极的促进作用。 保护金融消费者权益,有利于保障和改进民生,促进社会和谐稳定。目前,我国金融消费者权益保护方面的法律制度尚不完善,金融消费者维权普遍存在较大困难,有些消费纠纷已成为影响社会和谐稳定的不利因素。切实保护金融消费者权益,是落实以人为本、构建和谐社会的重要举措,是保障公民权利、推进依法行政的具体措施,是促进社会公平正义、接受社会监督的具体体现。 二、高度重视金融消费者权益保护工作中存在的问题 近年来,市金融业发展态势良好,金融体系不断健全,金融市场规模不断扩大,金融产品日益丰富,消费者在金融业快速发展中获得了更多高效便捷的金融服务。与此同时,市各金融机构针对金融消费者维权需要,普遍开通了消费者投诉热线,基本上能够及时妥善处

金融行业信息安全解决方案

金融行业信息安全解决方案

目录 一、行业方案概述 (3) 二、功能需求分析 (4) 三、相应实施方案 (5) 四、综合价值体现 (6) 五、行业成功案例 (6)

一、行业方案概述 金融业是指经营金融商品的特殊行业,它包括银行业、保险业、信托业、证券业和租赁业。金融业具有指标性、垄断性、高风险性、效益依赖性和高负债经营性的特点。指标性是指金融的指标数据从各个角度反映了国民经济的整体和个体状况,金融业是国民经济发展的晴雨表。垄断性一方面是指金融业是政府严格控制的行业,未经中央银行审批,任何单位和个人都不允许随意开设金融机构;另一方面是指具体金融业务的相对垄断性,信贷业务主要集中在四大商业银行,证券业务主要集中在国泰、华夏、南方等全国性证券公司,保险业务主要集中在人保、平保和太保。高风险性是指金融业是巨额资金的集散中心,涉及国民经济各部门。单位和个人,其任何经营决策的失误都可能导致“多米诺骨牌效应”。效益依赖性是指金融效益取决于国民经济总体效益,受政策影响很大。高负债经营性是相对于一般工商企业而言,其自有资金比率较低。金融业在国民经济中处于牵一发而动全身的地位,关系到经济发展和社会稳定,具有优化资金配置和调节、反映、监督经济的作用。金融业的独特地位和固有特点,使得各国政府都非常重视本国金融业的发展。我国对此有一个认识和发展过程。过去我国金融业发展既缓慢又不规范,经过十几年改革,金融业以空前未有的速度和规模在成长。随着经济的稳步增长和经济、金融体制改革的深入,金融业有着美好的发展前景。 金融基础设施的现代化水平明显提高。中国现代化支付系统建设取得了突破性进展,基本建立了覆盖广泛、功能齐全的跨市场、跨境支付结算体系,人民币在香港和澳门实现清算安排。以网络为基础的电子资金交易系统不断完善,实现了银行间债券市场券款对付(DVP)清算,为投资者提供了安全、高效、便捷的资金交易和清算服务。中央银行建立和完善了一系列的金融监控信息系统,支付清算、账户管理、征信管理、国库管理、货币金银管理、反洗钱监测分析、金融统计监测管理信息等和办公政务实现了信息化。商业银行的综合业务处理、资金汇兑、银行卡服务等基本实

个人信息的保护和安全措施

个人信息的保护和安全 措施 Document number:PBGCG-0857-BTDO-0089-PTT1998

个人信息的保护和安全措施 一、广电公众平台将尽一切合理努力保护获得的用户个人信息,并由专门的数据安全部门对个人信息进行保护。为防止用户个人信息在意外的、未经授权的情况下被非法访问、复制、修改、传送、遗失、破坏、处理或使用,广电公众平台已经并将继续采取以下措施保护用户的个人信息: 通过采取加密技术对用户个人信息进行加密保存,并通过隔离技术进行隔离。在个人信息使用时,例如个人信息展示、个人信息关联计算,广电公众平台会采用包括内容替换、加密脱敏等多种数据脱敏技术增强个人信息在使用中安全性。设立严格的数据使用和访问制度,采用严格的数据访问权限控制和多重身份认证技术保护个人信息,避免数据被违规使用。 二、保护个人信息采取的其他安全措施 1、通过建立数据分类分级制度、数据安全管理规范、数据安全开发规范来管理规范个人信息的存储和使用。 2、建立数据安全专项部门,负责安全应急响应组织来推进和保障个人信息安全。 3、个人信息安全事件的通知 1)如发生个人信息引发的安全事件,广电公众平台将第一事件向相应主管机关报备,并即时进行问题排查,开展应急措施。

2)通过与全量用户发送通知提醒更改密码。还可能通过电话、短信等各种方式触达用户知晓,在公共运营平台运营宣传,制止数据泄露。 尽管已经采取了上述合理有效措施,并已经遵守了相关法律规定要求的标准,但广电公众平台仍然无法保证用户的个人信息通过不安全途径进行交流时的安全性。因此,用户个人应采取积极措施保证个人信息的安全,如:定期修改账号密码,不将自己的账号密码等个人信息透露给他人。 网络环境中始终存在各种信息泄漏的风险,当出现意外事件、不可抗力等情形导致用户的信息出现泄漏时,广电公众平台将极力控制局面,及时告知用户事件起因、广电公众平台采取的安全措施、用户可以主动采取的安全措施等相关情况。

个人信息安全问题及对策

专题讲座:浅析个人信息安全问题及对策 对个人隐私的侵犯和保护问题从来就不是一个新话题。但在信息时代,个人信息安全问题已经成为一个严重的社会问题,引起了广泛关注。 据中国青年报社会调查中心通过网络对2422名公众的一项调查显示,88.8%的人表示自己有因为个人信息泄露而遭遇困扰的经历。据美国一家非营利机构统计,自2005年1月至今,在美国发生的各类大大小小的信息安全事故中,总共已有约2.2亿份个人信息记录遗失或被窃取,这些触目惊心的数据和事实充分表明了当前个人信息安全问题的严重性和普遍性。 个人信息的主要内容 我们这里所说的个人信息,特指存储于个人计算机或网络上一切与个人利益有关的数字信息。一般说来,用户在网络上经常使用和产生的个人信息,通常可分为以下几类。 一是个人基本资料,如姓名、年龄、性别、生日、党派、职业、学历、家庭成员、身份证号码等。 二是个人联系方式,如手机号码、固定电话、电子邮箱、通信地址、QQ和MSN等即时通信工具号码等等。 三是个人财务账号,如网银账号、游戏账号、网上股票交易账号、电子交易账号等与经济利益有关的账号。

四是个人计算机特征,如个人计算机使用的操作系统版本、上网ID、论坛ID、本机IP地址等。五是个人网上活动痕迹,即用户在使用网络过程中产生的活动踪迹,如网页浏览记录、网上交易记录、论坛和聊天室发言记录等。六是个人文件数据,即用户不愿被公开浏览、复制、传递的私人文件,如照片、录像、各类文档等。 个人信息泄漏的危害 任何一个人生存和发展都需要保持一定的私密空间,需要保留一些不希望透露给外界的信息,如个人的身份信息、社会经历、生活习惯和兴趣爱好等。这些信息内容不仅涉及到个人的名誉,影响着社会对自己的评价,而且关系到个人正常生活状态的维持,甚至日常社会交往的开展。个人信息的泄漏通常会带来日常生活被骚扰、个人隐私被曝光等不良后果,严重的情况下会导致财产被窃,或个人形象及声誉受到侵害。 对于保密工作者和涉密人员而言,由于工作性质和身份的特殊性,泄漏个人信息的后果就没有这么简单了。黑客一旦掌握这些看似无关紧要的个人资料,就会变得有隙可乘,会处心积虑地以此作为突破口加以深入利用,有可能带来一系列更加严重的后续问题,甚至导致恶性泄密案件的发生。具体说来,如果不小心被黑客获取了足够的个人信息,很可能会产生多种安全隐患。

移动互联网时代的信息安全与防护报告

移动互联网时代的信息安全与防护报告 名:移动互联网时代的信息安全与防护班级:历史1301姓名:李腾飞学号:xx2502020对互联网时代信息安全与防护的了解与认识近年来,随着计算机网络的普及与发展,我们的生活和工作都越来越依赖于网络。国家政府机构、各企事业单位不仅建立了自己的局域网系统,而且通过各种方式与互联网相连。但是,我们不得不注意到,网络虽然功能强大,也有其脆弱易受到攻击的一面。所以,我们在利用网络的同时,也应该关注网络安全问题, 一、网络安全定义互联网时代网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。从广义方面来看,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。随着社会的网络化,在各领域的计算机犯罪和网络侵权方面,无论是数量、手段,还是性质、规模,已经到了令人咋舌的地步,计算机犯罪的对象从金融犯罪、个人隐私、国家安全、信用卡密码、军事机密等,网络安全问题能造成一个企业倒闭,个人隐私的泄露,甚至一个国家经济的重大损失。 二、影响网络安全的因素

(一)网络的脆弱性计算机网络安全系统的脆弱性是伴随计算机网络而同时产生的。因此,安全系统脆弱是计算机网络与生俱来的致命弱点。互联网是对全世界都开放的网络,任何单位或个人都可以在网上方便地传输和获取各种信息,互联网这种具有开放性、共享性、国际性的特点对计算机网络安全提出了挑战。因此,可以说世界上任何一个计算机网络都不是绝对安全的。 (二)操作系统的安全问题 1、稳定性和可扩充性。由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使其受到影响。 2、网络硬件的配置不协调。 一是文件服务器。它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网络应用的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。 二是网卡用工作站选配不当导致网络不稳定。 3、缺乏安全策略。许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用。 4、访问控制配置的复杂性,容易导致配置错误,从而给他人以可乘之机。 尽管操作系统的漏洞可以通过版本的不断升级来克服,但是系统的某一个安全漏洞就会使得系统的所有安全控制毫无价值。

个人客户金融信息使用和保存情况自查

个人客户金融信息使用和保存情况自查 为加强我社客户个人金融信息使用和保存及相关数据库安全管理,按照人行《转发关于金融机构进一步做好客户个人金融信息保护工作有关文件的通知》(尤银[2012]30号)的通知要求,我社根据县联社统一部署,认真学习《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》,积极在辖内组织开展个人客户金融信息使用和保存情况进行自查: 充分认识此次自查对我社客户个人金融信息使用和保存情况安全管理工作的重要性,根据县联社要求详细的制定、实施方案,认真学习通知文件、组织检查,认真组织自查,确保我社客户个人金融信息安全。对照《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》,重点对我社在开展开立账户、支付结算、联网核查等业务过程涉及客户信息保管与使用等环节中是否存在安全隐患,泄露客户信息等问题开展自查工作。我社在收集、保存、使用、对外提供个人金融信息时: 1.依法收集、保存、使用、对外提供个人金融信息。 2.建立健全内控制度,明确部门、岗位和人员的管理责任,加强个人金融信息管理的权限设置,强化内部管理。 3.完善信息安全技术防范措施,提高防范个人金融信息泄漏的技术保障能力。 4.加强从业人员培训,强化从业人员个人金融信息安全意识,从业人员上岗前应当书面作出保密承诺。 5.通过格式条款取得客户书面授权或者同意的,应当充分告知,并提示后果。 6.我社未发现篡改、违法使用个人金融信息。 我社在学习过程中不断强化个人金融信息法制意识,加强对个人金融信息的保护,防止信息泄露和滥用,特别是在依法收集、使用和对外提供个人金融信息方面做了以下规定:一是严禁出售个人金融信息;二是严禁向本行以外的其他机构和个人提供个人金融信息,但为个人办理相关业务所必需并经个人书面授权或同意的,以及法律法规和人民银行另有规定的除外;三是严格人民银行征信系统的用户和密码管理,严禁非制定进入查询;四是指定人员在查询个人金融信息时做好登记并备案;五是严禁以身份核查、核实系统,支付系统以及其他系统获取、加工和保存个人信息。

个人金融信息安全管理

个人金融信息安全管理 一、个人金融信息保护法律规定 目前,我国尚未出台专门的个人金融信息保护的法律,但在《中华人民共和国中国人民银行法》、《中华人民共和国商业银行法》、《中华人民共和国证券法》、《中华人民共和国保险法》等法律法规中,都有保护个人金融信息的条款。例如: (一)《商业银行法》第六条规定:商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。第二十九条规定:商业银行办理个人储蓄存款业务,应当遵循为存款人保密的原则,对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。 (二)《中华人民共和国反洗钱法》第五条规定:对依法履行反洗钱职责或者义务获得的客户身份资料和交易信息,应当予以保密;非依法律规定,不得向任何单位和个人提供。 (三)《刑法》修正案七规定:国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。 (四)《征信业管理条例》第十三条规定:采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法

律、行政法规规定公开的信息除外。第十四条规定:征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息,但征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意采集的除外。第二十六条规定:信息主体认为征信机构或者信息提供者、信息使用者侵害其合法权益的,可以向所在地的国务院征信业监督管理部门派出机构投诉,信息主体认为征信机构或者信息提供者、信息使用者侵害其合法权益的,可以直接向人民法院起诉。 (五)其他规范性文件。《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发…2011?17号)规定,银行业金融机构在收集、保存、使用、对外提供个人金融信息时,应当严格遵守法律规定,采取有效措施加强对个人金融信息保护,确保信息安全,防止信息泄露和滥用。特别在收集个人金融信息时,应当遵循合法、合理原则,不得收集与业务无关的信息和采取不正当的方式收集信息。银行业金融机构不得篡改、违法使用个人金融信息。在使用个人金融信息时,应当符合收集该信息的目的,不得出售个人金融信息,不得向本金融机构以外的其他金融机构和个人提供个人金融信息(但个人书面授权同意、以及法律法规另有规定的除外),不得在个人提出反对的情况下,将个人金融信息用于产生该信息以外的本金融机构其他营销活动。 二、金融监管部门保护措施

相关主题
相关文档
最新文档