前言:中文期刊网精心挑选了网络信息安全市场研究范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络信息安全市场研究范文1
关键词:分布式;信息安全;规划;方案
中图分类号:TP309.2文献标识码:A 文章编号:1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
据来自eWeek 的消息,市场研究机构Gartner 研究报告称,很对企业目前仍缺乏完整的信息安全规划和规范。尽管目前很多企业在信息安全方面的投入每年都在缓慢增长,但由于推动力以外部法律法规的约束和商业业务的压力为主,因此他们对安全技术和服务的选择和使用仍停留在一个相对较低的水平。尤其对于机构构成方式为分布式的企业而言,因为信息安全需求和部署相对更加复杂,投入更多,因此这类企业的信息安全规划就更加缺乏。
本文根据这类分布式企业的特点提出了一种符合该类企业实际的信息安全规划方案。
2 总体规划原则和目标
2.1 总体规划原则
对于分布式企业的信息安全规划,要遵守如下原则:适度集中,控制风险;突出重点,分级保护;统筹安排,分步实施;分级管理,责任到岗;资源优化,注重效益。
这个原则的制定主要是根据分布式企业的实际机构构成情况、人员素质情况以及资源配置情况来制定的。
2.2 总体规划目标
信息系统安全规划的方法可以不同、侧重点可以不同,但是需要围绕组织安全、管理安全、技术安全进行全面的考虑。信息系统安全规划的最终效果应该体现在对信息系统与信息资源的安全保护上,下面将分别对组织规划、管理规划和技术规划分别进行阐述。信息安全规划依托企业信息化战略规划,对信息化战略的实施起到保驾护航的作用。信息系统安全规划的目标应该与企业信息化的目标是一致的,而且应该比企业信息化的目标更具体明确、更贴近安全。信息系统安全规划的一切论述都要围绕着这个目标展开和部署。
3 信息安全组织规划
3.1 组织规划目标
组织建设是信息安全建设的基本保证,信息安全组织的目标是:
1)完善和形成一个独立的、完整的、动态的、开放的信息安全组织架构,达到国际国内标准的要求;
2)打造一支具有专业水准的、过硬本领的信息安全队伍。对内可以保障企业内部网安全,对外可以向社会提供高品质的安全服务;
3)建设一个 “信息安全运维中心(SOC)”,能够满足当前和未来的业务发展及信息安全组织运转的支撑系统,能够对外提供安全服务平台。
3.2 组织规划实施
对于组织规划这个方面,是属于一个企业信息安全规划的上层建筑,需要用一种由上而下的方法来实现,其主要是在具体人事机制、管理机制和培训机制上做工作。对于分布式企业而言,需要主导部门从上层着手,建章立制,强化安全教育,加大基础人力、财力和物力的投入。
4 信息安全管理规划
4.1 管理规划目标
信息安全管理规划的目标是,完善和形成“七套信息安全软措施”,具体包括:一套等级划分指标,一套信息安全策略,一套信息安全制度,一套信息安全流程规范,一套信息安全教育培训体系,一套信息安全风险监管机制,一套信息安全绩效考核指标。“七套信息安全软措施”关系如图1所示。
4.2 信息安全管理设计
基于对管理目标的分析,信息安全管理的原则以风险管理为主,集中安全控制。管理要素由管理对象、安全威胁、脆弱性、风险、保护措施组成。
4.2.1 信息安全等级划分指标
信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。
4.2.2 信息安全策略
信息安全安全策略是关于保护对象说明、保护必要性描述、保护责任人、保护对策以及意外处理方法的总和。
4.2.3 信息安全制度
信息安全制度是指为信息资产的安全而制定的行为约束规则。
4.2.4 信息安全规范
信息安全规范是关于信息安全工作应达到的要求,在信息安全规范方面,根据调查,建立信息安全管理规范、信息安全技术规范。其中,安全管理规范主要针对人员、团队、制度和资源管理提供参照性准则;信息安全技术规范主要针对安全设计、施工、维护和操作提供技术性指导建议。
4.2.5 信息安全管理流程
信息安全流程是指工作中应遵循的信息安全程序,其目的是减少安全隐患,降低风险。
4.2.6 信息安全绩效考核指标
信息安全绩效考核指标是指针对信息安全工作的质量和态度而给出的评价依据,其目的是增强信息安全责任意识,提高信息安全工作质量。
4.2.7 信息安全监管机制
信息安全监管机制是指有关信息安全风险的识别、分析和控制的措施总和。其主要目的加强信息安全风险的控制,做到“安全第一,预防为主”。
4.2.8 信息安全教育培训体系
其主要目的加强的信息安全人才队伍的建设,提高企业人员的信息安全意识和技能,增强企业信息安全能力。
5 信息安全技术规划
5.1 技术规划目标
信息安全技术规划目标简言之是:给业务运营提供信息安全环境,为企业转型提供契机,构建信息安全服务支撑系统。具体目标如下:
1)打造信息安全基础环境,调整和优化IT基础设施,建立安全专网,设置两个中心(信息安全运维中心、灾备中心);
2)建立一体化信息安全平台,综合集成安全决策调度、安全巡检、认证授权、安全防护、安全监控、安全审计、应急响应、安全服务、安全测试、安全培训等功能,实现的集中安全管理控制,快速安全事件响应,高可信的安全防护,拓展企业业务,开辟信息安全服务新领域。
5.2 信息安全运维中心(SOC)
SOC 是信息安全体系建设的基础性工作,SOC 承载用于监控第一生产网的安全专网核心基础设施,提供信息安全中心技术人员的办公场所,提供“7×24”小时连续不断的安全应用服务,提供实时监控、远程入侵发现、事件响应、安全更新与升级等业务,SOC 要求具有充分保障自身的安全措施。除了SOC 的组织建设、基础工程外,SOC 的技术性工作还要做以下几个方面:
1)硬件基础建设,主要内容是SOC 的选址、布局、布线、系统集成,实现SOC 自身的防火、防潮、防电、防尘、安全监控功能;
2)软件基础建设,包括SSS 系统、机房监控子系统、功能小组及中心组划分。
图1 信息安全软措施关系
图2 信息安全总体框架
图3 资产、组织、管理和安全措施的关系
5.3 信息安全综合测试环境
随着分布式企业信息化程度的日也加深,需要部署到大量IT 产品和应用系统,为了保障安全,必须对这些IT 系统和产品做入网前安全检查,消除安全隐患。基于此,综合测试环境建设的内容包括:安全测试网络;测试系统设备;安全测试工具;安全测试分析系统;安全测试知识库。
其中,安全测试网络要求能够模拟企业网络真实的带宽;测试系统设备能够提供典型的网络服务流量模拟、典型的应用系统流量模拟;安全测试工具覆盖防范类、检测类、评估类、应急恢复类、管理类等,并提供使用说明、漏洞扫描、应用安全分析;安全测试分析系统能够提供统计分析、图表展现功能;安全知识库包含以下内容:漏洞知识库,补丁信息库,安全标准知识库,威胁场景视频库,攻击特征知识库,信息安全解决案例库,安全产品知识库,安全概念和术语知识库。
5.4 安全平台建设规划
参照国际上PDRR 模型和国家信息安全方面规范,建议信息安全总体框架设计如图2所示。
主要目的,以资产为核心,通过安全组织实现资产保护,以安全管理来约束组织的行为,以技术手段辅助安全管理。其中,资产、组织、管理、安全措施的关系如图3所示,核心为资产,围绕资产是组织,组织是管理,最外层是安全措施。
在平台中集成十个安全机制,它们分别是:信息安全集中管理;信息安全巡检;信息安全认证授权;信息安全防护;信息安全监控;信息安全测试;信息安全审核;信息安全应急响应;信息安全教育培训;信息安全服务。
6 信息安全服务业务规划
6.1 服务业务规划目标
信息安全服务业务规划目标简言之是:以信息安全服务为切入点,充分发挥企业优势资源,引领信息安全市场,为企业转型创造时机。具体目标如下:
1)推出面向客户安全(检查、教育、配置)产品;2)推出面向大型企业的信息安全咨询产品;3)推出面向家庭安全上网产品;4)推出面向企业安全运维产品;5)推出面向企业灾害恢复产品。
6.2 服务业务规划设计
服务业务规划主要针对具体业务而言,在此列举信息类分布式企业业务作为示例:
1)信息安全咨询类产品,其服务功能主要有:信息安全风险评估;信息安全规划设计;信息安全产品顾问。
2)信息安全教育培训类产品,其服务功能主要有:提供信息安全操作环境;提供信息安全知识教育;提供信息安全运维教育。
3)家庭类安全服务产品,其服务功能主要有:推出“家庭绿色上网”安全服务;家庭上网防病毒服务;家庭上网机器安全检查服务;家庭上网机数据备份服务。
4)企业类安全服务产品,其服务功能主要有:企业安全上网控制服务;企业安全专网服务;安全信息通告;企业运维服务。
5)容灾类安全服务产品,其服务功能主要有:面向政府数据灾备服务;面向政府信息系统灾备服务;面向企业数据灾备服务;面向企业信息系统灾备服务。
7 结束语
通过结合分布式企业的具体实际,按照信息安全体系结构相关标准,提出了分布式企业的信息安全规划原则和目标。并依据次原则与目标,按照组织、管理和技术三个方面提出了具体的实现与设计规范原则。最后,依据服务规划目标,提出了信息类分布式企业的信息安全服务规划设计实例。
参考文献:
[1] 周晓梅. 论企业信息安全体系的建立[J]. 网络安全技术与应用,2006,3:62~64,57.
[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications,2004.
[3] 魏永红,李天智,张志. 网络信息安全防御体系探讨[J].河北省科学院学报,2006,23,(1):25~28.
[4] 张庆华. 信息网络动态安全体系模型综述[J].计算机应用研究,2002,10:5~7.
[5] ISO/IEC 15408,13335,15004,14598,信息技术安全评估的系列标准[S].
[6] BS7799-1,7799-2,ISO/IEC 17799,信息安全管理系列标准[S].
[7] BS7799-2,Information Security Management Systems-Specification With Guidance for use[S].
[8] 李玮. 运营商IT系统网络架构的安全域划分[J]. 通信世界,2005,30:41~41,45~45.
网络信息安全市场研究范文2
今年5月,首批第三方支付牌照到期续展,随后,第二批、第三批支付牌照陆续到期,牌照续展将成为监管部门重新清理、规范支付市场的又一时机。
去年底,央行《支付许可证》续展工作通知,指出,对于支付机构许可存续期间存在11种情形任一情形的,应指导其客观审慎开展续展申请,敦促引导其开展兼并重组,调整支付业务类型或覆盖范围、稳妥安排市场退出等工作。
据《财经》记者了解,清明节之后,监管部门已经全面启动了对首批支付牌照续展集中审核工作,目前对第三方支付市场的思路仍然是以整治为主,新发牌照启动目前仍没有时间计划,不过,首批获牌企业在业务规模、质量、运营等方面在行业中大多处于优势,其获得续牌的概率很高。
新牌照发放已停,支付牌照业务范围将只缩不展,特别是在随后的几批到期牌照续展,监管部门将严格把关。
此外,随着互联网金融专项整治活动启动,打击无证从事支付业务、备付金和跨机构清算业务风险整治成为整治重点。《财经》记者了解到,监管层针对备付金管理现状,正在研究集中存管制度,新规或于近两个月颁布。
“目前来看,监管对牌照仍没有放开的计划,现在从数量来看已经足够市场使用。现阶段的主要工作还是整治,整治好了再看市场发展情况来决定是否放开牌照申请。”某接近监管层人士向《财经》记者解释,“新发牌照两年都没启动,有需要的部门确实着急,但是要怎么看,兼并重组现象也存在。没有先立规矩,大家就撒下去跑,然后再整治,这样的代价太大了。” 牌照续展业务收缩
央行于2010年6月公布了《非金融机构支付服务管理办法》,从事支付业务需要获得第三方支付牌照,也称《支付业务许可证》。根据业务类型分为银行卡收单、网络支付和预付卡的发行与受理三大类,其中网络支付又细分为互联网支付、移动支付、数字电视支付和固定电话支付。
随后,在2011年5月、2011年8月、2011年12月、2012年6月以及2014年7月,央行先后发放五批270张左右支付牌照。而前三批牌照将于今年5月份、8月份、12月份到期。
据《财经》记者了解,监管部门在清明节上班后的第一天就开始对首批27家支付牌照集中审核,因牌照到期时间在下月初,本月底之前将得出续展结果。
去年底,央行《支付许可证》续展工作通知,指出,对于支付机构许可存续期间存在累计亏损超过实缴货币资本的50%;发生占用、挪用、借用客户备付金行为;超过核准范围从事支付业务;转让、出租、出借《支付业务许可证》;通过伪造、变造、隐匿数据等手段故意规避监管要求,或恶意拒绝、阻碍检查监督的;以欺骗等不正当手段申请《支付业务许可证》的;因利用支付业务实施违法犯罪活动,或为违法犯罪活动办理支付业务等行为,收到刑事处罚或较大金额行政处罚的;在支付业务设施安全及风险监控方面存在重大缺陷,或存在较大规模的盗窃、出卖、泄露、丢失客户信息情形等11种情形任一情形的,应指导其客观审慎开展续展申请,敦促引导其开展兼并重组,调整支付业务类型或覆盖范围、稳妥安排市场退出等工作。
根据续展办法,监管部门根据支付机构五年的经营状况、业务发展情况做出评价,同时参考支付结算、反洗钱、科技、协会等多项指标,支付企业先自查,之后报人民银行分支行评审,最后到总行做一个续审。
“续展参考的指标很多,从支付的角度主要看内部制度,该建立的支付制度是否建立,近几年的业务发展情况,是否受到处罚等。第一批27家机构都是大机构,相对质量规范,管理还算可以,业务发展也较不错,个人认为,续牌应该都没有问题。”某知情人士告诉《财经》记者。
业内人士认为,随后于8月份和12月份到期的第二批、第三批支付牌照的个别企业,存在一定不被续展的压力。
自监管部门先后五批发放270家左右支付牌照之后,即使多家企业排队等候,新增支付牌照仍迟迟没有放开,目前仍有不少公司正在排队申请支付牌照,其中包括中天城投、上海钢联、广电运通、360公司、生意宝、迪信通、步步高、中国太保、天喻信息、TCL 集团、义乌购、焦点科技等多家上市或非上市公司。
市场此前预计在完成第一次延期换牌之前,发新牌照的概率较低。而针对监管牌照趋严态度,一些企业已经另辟蹊径,其中小米和万达以收购捷付睿通和快钱的方式获得支付牌照,而这种收购方式也将为上述两家支付公司带来新的盈利模式。
据《财经》记者了解,从目前的政策来看,在牌照续展过程中,无论是牌照数量还是企业业务范围都将呈现收缩趋势,而随着网络支付、移动支付快速发展,类似电话支付业务无论对客户还是支付企业的吸引力均降低,监管部门也将引导支付企业适时进行业务调整,不过,即便是一些做得较好的机构预增加新的业务范围仍具有很大难度。
《财经》记者从蚂蚁金服获悉,支付宝已严格按照央行牌照续展的相关要求,准备了相关续展申请材料,牌照续展保持原牌照范围,没有新增。
上述知情人士称,有的第三方支付公司已经提出不再申请固定电话业务,由于第三方支付牌照停发,新增业务不太可能,所以,首批支付牌照续展业务范围只能收缩不能扩张,如果一家第三方支付公司增加新的业务范围,虽然支付牌照数量没有增加,但是从新增的业务来看,该业务实质上起到了增加机构的作用,与现有政策存在一定矛盾。
近年来,第三方支付的几大业务类型都得到了不同程度的发展,特别是银行卡收单和网络支付得到了快速发展。根据赛迪顾问的统计数据,在2013年15万亿元第三方支付金额当中,收单业务占比最大,占到了56%;线上支付业务占比42.6%;而预付卡业务的交易金额不足1.5%。 备付金集中管理
中国人民银行4月5日的支付业务统计数据显示,2015年,非银行支付机构累计发生网络支付业务821.45亿笔,金额49.48万亿元,同比分别增长 119.51%和100.16%。
第三方支付机构在迅速扩张之后暴露出的一些行业问题,也引起监管部门高度重视并多次整治。
3月18日,国家发改委、央行发文通知要求,银行卡清算机构收取的网络服务费由现行区分商户类别实行政府定价,改为不区分商户类别,实行政府指导价、上限管理,分别向收单、发卡机构计收。费率水平降低为不超过交易金额的0.065%,由发卡、收单机构各承担50%。
拉卡拉支付股份有限公司高级副总裁唐凌表示,这次调整解决了某些方面的不公平问题,同时,也避免了从业机构的套利空间。因行业不同费率不同,个别不良的小型收单机构为了生存而套码,影响了整个行业正常秩序,一定程度上出现“劣币驱逐良币”现象。
中国人民银行去年底《非银行支付机构网络支付业务管理办法》,从功能和限额方面将账户分为Ⅰ、Ⅱ、Ⅲ三类。其中,只有一个外部渠道验证身份的为I类,消费和转账的余额付款限额为自开立起累计1000元;自主或委托现场开户,或以线上开户方式且至少三个或五个外部渠道验证身份的则为Ⅱ类和Ⅲ类,消费和转账的余额付款限额分别为年累计10万元、20万元。
在第三方支付市场规模得到快速发展的同时,备付金问题一直以来是市场关注的重点问题。此前有媒体报道称,截至2015年底第三方支付沉淀资金总量逾2000亿元,比2014年底增长60%。与此同时,支付机构挪用客户备付金、造成资金链断裂的重大风险事件也在近两年时有发生。上海畅购企业服务有限公司、浙江易士企业管理服务有限公司、广东益民旅游休闲服务有限公司等三家企业,分别在2015年8月24日、2015年10月8日及2016年1月7日被注销支付业务许可,都或多或少存在挪用备付金问题。
接近监管层的人士告诉《财经》记者,支付机构客户备付金问题是多年来形成的,备付金管理也存在一定压力,去年上海畅购企业服务有限公司出事之后,监管层对全国支付企业备付金进行了总体摸底,从调查情况来看并没有像预期的那么糟糕,有企业挪用备付金现象,但是个别现象,规模越大的机构则越规范。
某第三方支付机构人士向记者表示,第三方支付市场近年备付金的问题多出现在预付卡业务上,这不仅仅是第三方支付的问题,与第三方支付合作的银行也有一定的关系。
在十之后,预付卡业务已经连年收缩,特别在2014年、2015年。而除了预付卡业务外,线下收单也存在商户拿不到钱的问题,这其中也与备付金管理相关。
中国人民银行的《支付机构客户备付金存管办法》中明确提出,“任何单位和个人不得擅自挪用、占用、借用客户备付金,不得擅自以客户备付金为他人提供担保。”去年底再《非银行支付机构网络支付业务管理办法》并表示,今后,人民银行将进一步研究改革客户备付金集中存管制度,整顿支付机构参与银行间资金清算和各类跨业经营活动,切实保障客户资金和信息安全,坚定维护支付市场秩序。
《财经》记者获悉,监管部门研究的第三方支付机构客户备付金集中存管制度基本成型,有望近一两个月推出。目前,支付机构几乎都与多家商业银行保持备付金存管合作,这样既不利于风险控制,也不利于监管,而备付金集中管理后,一家机构或最多只能选择两家银行合作,一主一备。
备付金集中存管一定程度上规范了支付清算问题,使得清算通过清算平台进行,更为合规,不过实现跨行转账则需要提供一个清算平台。据了解,中国支付清算协会正在同步推进相关系统建设。另据媒体报道,由中国支付清算协会组织建设非银行支付机构网络清算平台(网联平台)的议案已经获得通过,目前,正在央行内部走审批程序。
蚂蚁金服品牌与公众沟通部总经理陈亮告诉《财经》记者,“目前支付宝和符合人民银行要求的24家备付金银行合作,我们充分理解并积极支持央行的政策,集中存管对于行业备付金管理有积极作用。”
此外,支付宝已开始实施零号项目――备付金透明监管项目,这个基于大数据的监管对接平台7×24小时对监管部门开放,可让监管部门在办公室就可以随时了解备付金的管理情况,全程透明。
据了解,支付机构与多家银行合作备付金存管也是支付机构与银行谈判其他业务合作的筹码,不过,在业内人士看来,拿这个资金和银行谈条件并没有什么好处,也不利于行业发展。 无牌市场整顿
除了持牌机构外,在行业人士看来,非持牌机构从事支付业务也给支付市场健康发展带来一定影响。一些购物、酒店预订等商务平台也曾因支付爆出一定风险,给客户造成一些担忧和不满。
蚂蚁金服有关负责人表示,无牌支付机构,无需遵守央行的监管要求,给合规开展业务的支付机构带来冲击,使得市场劣币驱逐良币。从另外一方面来看,由于无牌支付机构并未纳入监管视野,因此一旦发生资金损失、发生影响客户合法权益的情况,消费者将无法得到救济,长久会影响公众对支付市场的信心。
据《财经》记者了解,对此,监管部门已介入并要求相关平台进行整改,并在近日启动的互联网金融专项整治中,打击无证从事支付业务。
“现在的问题不是(现有的机构)做不了,和银行合作都能做,大家没有合作的意识,就好像自己做没有成本,和别人合作都有成本一样。实际上自己养了那么多人,也都是成本,这个业务能赚多少钱也不一定。”上述接近监管层的人士分析无牌支付机构的业务心态,“支付变得不仅是支付,通过支付把一些业务连带的很多信息、数据能够串起来,但是不见得非得自己做才能达到目的,第三方支付做也不见得完不成。”
他表示,从目前的发展情况来看,摸清市场无牌支付业务规模有一定难度,不过,对于监管来讲,将机构找出来还不是一件难事。
“除了监管部门需要加大监管力度外,我们建议行业自律协会可以对消费者做教育工作,使得消费者能够区分合法与非法机构,认识到通过无牌支付机构办理业务带来的风险,让无牌支付机构的生存空间越来越小。”上述蚂蚁金服人士称。
某业内人士分析,从严格意义上来讲,很多第三方支付已经不算第三方了,第三方就是相对中立、独立地做支付结算业务,但是目前一些支付机构为集团内部服务的现象较为普遍,所以,未来第三方支付业务的定位也需要重构。
对于支付机构的未来业务模式,该业内人士提出建议:预付卡业务要更多与个人绑紧,国外的预付卡发展就很好,美国通过预付卡发工资,紧急的小额也可以实现取现。
另外,欧洲公司发放福利、书报费、洗理费都通过预付卡,每一张卡功能不同,专项细分很高。预付卡的好处是可以减少成本,国内预付卡在用途上就没有细分,而通过转型,未来还是有发展前景的。
在收单业务上,该人士指出,规模性的收单业务要靠量,薄利多销;第二,要和产业链结合起来。比如,包括农产品收购,通过支付一条线把上下游结合起来,提供增值服务。目前监管也鼓励这些创新。网络支付市场则远远没有拓展出来,现在大家是低层次竞争。
支付行业将来的发展不能就支付说支付,肯定要有增值服务。上述接近监管层的人士表示,资金流最能真实反映经济活动,在产业链过程中,支付所做的事情不仅是原来的事情,特别是在电子商务的时代,做一些拓展、延伸服务,才能更好发展。未来支付发展空间不在支付本身,更多是延展。第二,移动支付将来肯定是无误的方向。
