前言：我們精心挑選了數篇優質信息安全工作思路文章，供您閱讀參考。期待這些文章能為您帶來啟發，助您在寫作的道路上更上一層樓。

第1篇

 

面對復雜的安全環境，P2P網貸平臺要轉變工作思路，以人員、技術和流程為核心，構建主動式防御體系，才能確保平臺信息安全。投資者在投資過程中也要對相關知識加以了解，提高信息保護意識，盡可能地避免個人信息安全泄露帶來的安全問題。

 

令人擔憂的P2P信息安全環境

 

P2P信息安全環境可從外部環境和內部環境兩方面來看。

 

外部環境

 

2013年年底，廣東地區多家P2P網絡借貸平臺遭到黑客惡意攻擊及勒索。2014年年初，多家P2P網絡借貸平臺遭到Ddos攻擊，攻擊流量達到數萬兆，并發送連接請求超過10億次。2014年，多家P2P平臺曾遭遇黑客攻擊。黑客通過申請賬號、篡改數據、冒充投資人進行惡意提現。

 

通常，黑客會進行“精準打擊”，即在一個網貸平臺處于“薄弱”時下手，如產品到期兌付期間。另外，也有因黑客惡意攻擊P2P網貸平臺，導致客戶信息泄露的情況。例如2014年7月轟動一時的烏云安全漏洞事件——某軟件公司服務的100多家P2P平臺都遭到了黑客的攻擊，大部分被攻擊的P2P平臺損失慘重。

 

內部環境

 

除了外部因素，企業自身也存在諸多問題，問題的存在使平臺的信息安全無法得到保障。主要有以下幾方面原因，如圖1所示。

 

一是P2P平臺經營者主要以創業者為主，平臺與架構投入不大，技術門檻較低。

 

二是內部安全技術能力有待提高，安全投入不足。

 

三是內部操作人員安全意識較低，操作流程不規范。

 

四是P2P網貸平臺雖然提供金融服務，但相比其他金融機構的安全防護水平還有一定差距。

 

五是黑客攻擊、Ddos攻擊以及CC攻擊等常見的攻擊手段調查取證難，同時，為了維護平臺形象，往往采取“息事寧人”的方式。

 

六是平臺處于生存與發展期，缺乏對信息安全的重視與規劃。

 

構建縱深防御體系

 

建立安全管理學概念：通過設置多層重疊的安全防護系統而構成多道防線，使得即使某一防線失效也能被其他防線彌補或糾正，即通過增加系統的防御屏障或將各層之間的漏洞錯開的方式防范差錯的發生，如圖2所示。 　以人員、技術和流程為核心，構建主動式防御體系，通過以下六個維度轉變信息安全工作思路，保證管理體系滿足前瞻的、相對領先的和可持續管理的要求，從而將信息安全工作由被動轉變為主動，創造業務價值。

 

信息安全 建立從上到下的主動管理機制，主動更新各層次安全策略。

 

組織、職責、流程 建立高效的信息安全組織以及科學的信息安全績效考核機制。

 

主動式信息資產保護 信息資產管理標準和工具平臺，設立分級保護措施、主動的信息資產變更和追蹤機制。

 

自動化的審計和監控 采用全自動、全天候監控系統，實時地分析和響應，使得安全事故在最短時間內得以發現和處置。

 

主動式的信息系統安全防御 建立主動防御的技術體系，分別在網絡、數據庫、服務器和用戶端部署主動防御的工具。

 

信息安全風險評估 主動進行信息安全風險的識別和評估，包括：漏洞掃描、滲透測試和補丁管理等。

 

P2P面臨的信息安全威脅

 

當前，P2P網貸企業信息安全威脅正在向產業化、復雜性、技術更新快等趨勢發展。

 

攻擊的趨利與產業化 所謂黑色產業(簡稱黑產)，就是不法分子利用計算機技術漏洞獲取利益的一個地下產業。在黑產中，成熟的產業鏈條已經形成，有偷取數據的;有販賣數據的;有利用數據推銷詐騙的;也有直接利用網民網銀數據盜取財產犯罪的。也就是說，除了網銀賬戶、密碼等賬戶信息外，網民的手機號碼、家庭住址、興趣愛好等隱私信息也是黑產中較為常見的交易商品。

 

新技術的影響 新技術運用對P2P網貸平臺信息安全的影響主要來自以下幾方面。

 

一是云安全與虛擬化安全，包括云架構安全、云應用安全、云存儲安全、虛擬化。

 

二是移動安全，包括個人終端安全、移動商務安全、移動應用安全。

 

三是數據安全與隱私保護，包括數據安全、大數據安全、隱私保護、跨境數據流。

 

行業屬性 網絡安全不僅僅是信息技術的問題，還涉及人員、信息、系統、流程、文化以及物理的環境。其目的是建立一個動態的安全環境，面對攻擊威脅時企業仍可以保持業務正常運作，即保障業務的可用性、完整性與保密性，如圖3所示。

 

當前防護體系面臨的困境

 

當前，P2P網貸企業防護企業面臨的困境主要有以下幾方面。

 

一是行業內的安全威脅，如針對行業的特定攻擊、黑名單、同質化平臺的威脅、針對業務的攻擊威脅等，這類威脅一般無法及時有效應對。

 

二是某一點確認的威脅事件不能及時在組織內有效地進行共享，組織內部難以有效協調。

 

三是難以從海量的安全事件發現真正的攻擊行為，IDS、SOC等傳統安全產品使用效率低下。

 

四是不同類型、不同廠商的安全設備之間的漏洞、威脅信息不通用，不利于大型網絡的維護管理。

第2篇

2019年以來，黨組認真按照《市委關于進一步加強和改進意識形態工作的實施意見》文件要求，在網絡安全工作方面扎扎實實地做到了一些工作，現將具體情況報告如下：

一、領導重視　機構健全

年初，召開了網絡安全專題會議，會上對網絡安全工作進行了專門安排和部署，明確了網絡安全工作任務分解。市場辦成立以副縣級任為組長、綜合處長任副組長、各處室微機員為成員的網絡工作小組，下設網絡安全工作辦公室，辦公室設在綜合處，日常工作由綜合處負責。

二、建章立制　科學管理

首先，根據上級文件求，網絡安全工作領導小組成員針對單位實際情況進行了綜合分析。并確定了在網絡安全方面應重點加強三個方面的管理和規范：一是利用郵箱、微信、QQ、固定電話等通訊方式傳達上級文件和會議精神存在不安全因素問題；二是日常文檔存儲工具優盤、可移動硬盤在交叉使用中易感染病毒的問題。三是微機房的管理問題。為解決這一問題，市場辦立足于建章立制，先后制訂了《網絡機房管理制度》、《文件傳輸管理制度》、《保密制度》，并倡導各單位要使用正版軟件，防止網絡病毒侵害計算機數據，造成系統癱瘓、數據丟失或泄秘事件的發生。

三、加強培訓　確保安全

進一步規范市場辦網絡安全管理工作,明確網絡安全責任,強化網絡安全工作,今年上半年，我單位對機關處室、基層各單位辦公室工作人員進行了有關網絡知識的專業培訓,提高了工作人員的網絡安全意識,確保了辦公網絡安全。除此之外，還對加強網絡邊界管理、細化防火墻安全策略、關閉不必要的應用、服務和端口,對需要開放的遠程服務采用白名單方式進行訪問控制。利用殺毒軟件和安全客戶端進行極端及病毒查殺,強化Ip地址與U盤使用管理,開展計算機弱口令自查工作,繼續完善網絡信息安全技術防護設施,配備必要的安全防御和監測準入制度,從根本上降低安全風險。定期對操作系統進行漏洞掃描和隱患排查,計算機辦公主動防護體系得到了完善和加強。

四、加強硬件建設,防患于未然

在網絡安全方面，市場辦做到了軟、硬件建設結合,硬件上下功夫,對機房進行了上檔升級，安裝了靜電地板、配備了不間斷電源組、對舊線路進行了更新、新安裝了避雷設備，確保了網絡機房的正常運轉和使用安裝。

第3篇

 

一、引言

 

當前，基層央行內聯網計算機都安裝了信息安全產品(Symantec Endpoint Protection防殺毒軟件、LANDesk Management補丁自動分發系統、H3C iNode身份認證智能客戶端、TSMS-Agent桌面桌面安全助手)，對增強基層央行網絡和信息系統安全的技防水平、防范信息安全風險發揮了重要作用。但由于信息安全產品功能齊全、防御能力強大、界面眾多、操作復雜，干部職工對信息安全產品知識了解不深、操作能力不強、熟練程度不高，而基層央行科技人員少，大多數是兼職，科技力量薄弱，管理力度不夠，檢查頻度不到位，對信息安全風險點防控難于全覆蓋。為了改變這種現狀，人行宜黃縣支行秉承信息安全“三分技術、七分管理”的理念，堅持針對性、實用性的原則，以圖文并茂、簡明扼要的形式，圍繞基層央行四大信息安全產品編制了《信息安全產品操作簡本》。該《簡本》對信息安全產品客戶端的功能、安裝和卸載、運行維護、操作管理以及常見問題的解決措施等方面進行了提煉和重點解讀，規范了信息安全產品操作使用流程，給干部職工提供了明確的工作目標、清晰的工作思路、簡捷的操作手段。

 

二、主要做法

 

(一)高度重視，周密部署

 

多年來，支行始終重視信息安全管理工作，狠抓信息風險防范不放松。今年按照上級行信息安全工作部署，支行建立了領導責任制，落實了責任人，形成了上下互動、整體聯動的組織體制和層層抓落實的工作格局，以健全制度為抓手，以創新簡本為手段，以規范操作為支撐，認真抓好信息安全工作。支行多次召開《金融信息安全工程》工作專題會，研究部署《信息安全產品操作簡本》編制工作，分解落實各項任務，按照任務分工和時間要求，有序推進信息安全工作。

 

(二)多方互動，循序漸進

 

支行科技人員貼近業務，貼近實際，深入調查;積極組織各業務股室人員召開會議，認真討論分析，研究信息安全產品操作簡本編制方案;積極與中支科技科通過電話、郵件溝通交流，在科技科指導下開展創新;經過多次修改、完善，力求使信息安全產品操作簡本內容詳盡、使用方便、實用高效;最后形成電子文檔，并打印成冊。

 

(三)依托簡本，規范操作

 

支行強化“授人以魚、不如授人以漁”的教育理念，以信息安全產品操作簡本為藍本，將簡本通過郵件下發給各股室，并在支行信息港上提供下載，方便干部職工學習使用;同時支行科技人員依托“每月一講”教育機制，經常性、多形式地對全行干部職工進行了信息安全產品知識培訓和計算要安全知識培訓，組織了信息安全產品知識測試，并深入到各股室進行專門上機輔導，營造“學知識、促規范、保安全”的氛圍。通過對信息安全知識輔導培訓和測試，使信息安全產品操作使用知識入眼、入耳、入心，提高了全行干部職工遵章守紀的意識和熟練操作的技能;各股室人員在實際操作中，充分發揮簡本的作用，熟練、快速、規范地操作安全產品，為支行防范信息安全風險架起一道新防線。

 

(四)開展競賽，強化考核

 

支行以信息安全產品操作簡本為基礎，積極開展信息安全競賽活動，將信息安全工作列入各股室年終績效考核的重點內容，確定了涵蓋計算機安全產品使用、計算機病毒風險監控、計算機系統漏洞修復等方面的安全目標，同時加大了巡查和考核力度，把過去的計算機安全“軟任務”轉化為現在便于落實的“硬指標”，達到“以競賽促管理，以管理促規范，以規范促發展”的目標，不斷推動支行信息安全工作健康有序發展。

 

(五)探索機制，形成長效

 

在使用信息安全產品操作簡本的同時，支行總結多年信息安全風險防范工作經驗，立足風險點，建立了“三色”預警機制(藍色突出警示引導功能，橙色突出監督糾錯功能，紅色突出懲處警戒功能)，通過“導”、“督”、“懲”，深入推進支行金融信息風險預警與控制機制建設，充分發揮引導一人、督促一片、教育全行的警示作用。

 

三、取得成效

 

(一)增強了信息安全管理的責任心

 

《信息安全產品操作簡本》針對性、實用性很強，干部職工一冊在手，對信息安全產品的操作不再束手無策，而是胸有成竹，變信息安全“觀念淡”為“意識濃”，變被動接受科技人員安全服務為自身主動實施安全管理，變信息安全管理“單打一”為“大家抓”，強化了安全管理的責任心、積極性。

 

(二)增強了信息安全管理的執行力

 

《信息安全產品操作簡本》內容豐富，簡潔明了，查找方便，對全行干部職工提供了強有力的技術支撐和保障，使復雜的工作實現了可見、可觸的具體管理，安全產品操作上更簡捷、快速、高效，信息安全管理制度的執行效果更明顯，自覺加強開機密碼和屏保保護，定期檢查防病毒系統和補丁分發系統，計算機補丁升級、病毒庫更新、禁用U盤和卸載非法軟件等全部執行到位，嚴防磁介質、U盤等載體病毒，從源頭上控制了內聯網計算機感染病毒現象的發生，很好地堵塞了計算機操作系統漏洞、杜絕了業務信息系統犯罪、隔離了內外網非法互聯風險。

 

(三)增強了網絡平臺的安全度

 

《信息安全產品操作簡本》幫助支行干部職工對安全產品操作的側重點更加清楚，信息安全管理和風險控制意識更強，網絡操作行為更加規范化，有效地提升了業務人員安全管理水平，由過去主要依托科技專管員“單獨抓”轉變為現在全行員工“共同抓”，從而構建了一張全方位、多層次、立體型綜合網絡，為建造綠色安全的網絡平臺奠定了基礎，為各項信息系統安全穩定運行提供了保障。

 

(四)增強了內控監督的實效性

 

《信息安全產品操作簡本》幫助支行業務部門操作人員實現信息安全“自控”、相互制約崗位信息安全之間“互控”、不同部門之間信息安全的“聯控”、科技人員的信息安全“專控”以及支行計算機安全領導小組的“監控”，完善了支行信息安全內控監督機制，強化了信息安全內控約束力度，堵塞各類計算機安全案件和事故隱患發生。