互联网时代,金融行业也在不断创新,利用互联网优势从事非银行业务的机构,即为互联网金融行业。互联网金融行业业态包括P2P小额借贷、理财、网络贷款、短期拆借、抵押等形式,互联网金融行业凭借互联网优势,打破地域、时间限制,随时提供金融服务。也正是因为互联网金融行业的开放性,同时与利益又密切相关,因此导致安全问题频发。
立即咨询
方案背景
互联网时代,金融行业也在不断创新,利用互联网优势从事非银行业务的机构,即为互联网金融行业。互联网金融行业业态包括P2P小额借贷、理财、网络贷款、短期拆借、抵押等形式,互联网金融行业凭借互联网优势,打破地域、时间限制,随时提供金融服务。也正是因为互联网金融行业的开放性,同时与利益又密切相关,因此导致安全问题频发。 为保证互联网金融行业的健康发展,监管部门发布了《网络借贷信息中介机构业务活动管理暂行办法》、《网络借贷信息中介机构事实认定及整改要求》等一系列监管要求,目的就是为了保证互联网金融行业快速发展的同时,避免威胁给自身和平台用户带来的经济损失。另外,2017年6月1日起实施的《中华人民共和国网络安全法》,也明确了网络运管者对数据使用的责任和边界,对于以直接面向用户提供服务的互联网金融行业,更是为改造带来困难。 互联网金融行业具有业务复杂、部署简单、思想开放的行业特点,因此,安全服务也要有的放矢,也正是因此,给传统安全厂商也带来新挑战。
国舜方案
根据监管部门发布的要求,互联网金融行业需要定期进行风险评估,并根据评估结果,完成安全加固改造。 风险评估的工作目的就是通过专业的检测工具和分析手段,从技术、管理和人员等多个方面,包括网络安全技术架构、网络/安全设备性能和策略、主机(包括操作系统和数据库)安全策略、信息系统安全机制和策略以及安全管理制度方面,查找受保护的信息系统和关键资产存在的脆弱性,分析其面临的威胁和安全措施的有效性,明确保护重点。从资产重要性、脆弱性严重程度和威胁发生频率等方面分析总结面临的风险,并提供风险控制规划,为后续信息系统安全加固以及整改提供客观数据,为建立信息安全保障体系提供决策依据。
资产评估: 主要是对资产进行相对估价,而其估价准则就是依赖于对其影响的分析,主要从保密性、完整性、可用性三方面的安全属性进行影响分析,从资产的相对价值中体现了资产的重要程度。 威胁评估: 是对资产所受威胁发生可能性的评估,主要从威胁源的动机和能力两个方面进行分析。 脆弱性的评估: 是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被利用成功后的严重性两方面安全属性进行分析。 安全措施有效性评估: 是对保障措施的有效性进行的评估活动,主要考虑安全措施在防范威胁,减少脆弱性方面的有效状况的安全属性进行分析。 风险分析: 就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成风险信息。
工作阶段
根据互联网金融行业特点,风险评估工作可分为4个阶段:即准备阶段、识别阶段、分析阶段、风险控制规划阶段。 准备阶段: 主要完成项目组织、项目实施方案确定、组织培训、项目启动的工作。 识别阶段: 主要完成大量的现场资产识别、威胁识别、脆弱性识别、安全措施识别。 分析阶段: 在识别的基础上进行大量整理并分析,资产影响分析、威胁分析、脆弱性分析、安全措施有效性分析、综合风险分析。 风险控制规划阶段: 根据风险分析的结果,结合国际、国内有关的标准要求,以及互联网金融平台网络系统的特殊需求和风险,总结出当前的安全需求。根据安全需求的轻重缓急以及相关标准框架,制定出适合的安全规划方案,为互联网金融平台网络系统今后的安全建设提供参考。
方案优势
经验丰富: 进入互联网金融行业积淀,提供安全服务,对互联网金融行业业务深入了解,能够提供有针对性的服务 规范性: 对行业监管要求和《网络安全法》有深入了解,方案设计遵循规范和政策要求 适应性: 将互联网金融行业与其它行业进行详细对比分析,总结有针对性的解决方案,避免资源投入过度,给运营带来负担 减轻影响: 考虑到互联网金融业务的时时性和不可中断性,方案设计在实施安全服务过程采用众多工具和技巧,做到不影响业务的正常开展。
客户收益
满足监管要求 深入了解在业务发生过程中,威胁产生后所面临的影响,明确潜在威胁以及应急防护手段 提升安全意识,理解安全规范用意,使安全和业务结合,互相支撑,健康发展 具备有效的安全管理策略、应对策略,使安全问题能够事前发现,降低应对成本 了解网络、系统、业务安全加固方法,减少安全投入,最终实现整体安全防护能力的提升
北京国舜科技股份有限公司
Beijing UnisGuard Technology Co.,Ltd
北京市海淀区高梁桥斜街42号融汇国际大厦东区三层
联系我们
热线:400-696-8096
电话:010-82838085
邮编:100044
邮箱:contact@unisguard.com
关注我们