本書以金融信息安全領域相關崗位能力需求為出發(fā)點,介紹了金融信息安全的基本概念、理論���、方法���、應用和技術;分層次、分維度地介紹了金融各細分行業(yè)的信息安全內(nèi)容���;結合等保國家標準���,重點闡述數(shù)據(jù)、系統(tǒng)���、網(wǎng)絡和應用等安全方面常用理論、特點和技術方法;突出闡述個人信息保護的問題,介紹常用的信息安全工具���。本書在各章節(jié)中引入大量分析案例和拓展閱讀,加深讀者對相關理論與技術的理解,幫助普通讀者盡快形成對金融信息安全體系及應用領域的輪廓性認識,提高專業(yè)讀者對金融信息安全體系的結構性認知���。 本書為國家人力資源和社會保障部教育培訓中心指定的金融信息安全職業(yè)能力培訓教材,適用于希望通過培訓考試獲得金融信息安全學習認證的行業(yè)從業(yè)者和通過學習實踐來提升金融信息安全意識素養(yǎng)與崗位應用能力的金融機構工作人員���。
人力資源和社會保障部教育培訓中心指定教材 參照國標編寫 資格認證
基于信息科技的長足進步,傳統(tǒng)的金融行業(yè)發(fā)生了顛覆性的變化���。在金融與科技相互融合的趨勢下���,區(qū)塊鏈、數(shù)字貨幣���、電子支付等一系列金融創(chuàng)新都是金融信息安全的延伸���。金融信息安全不僅是信息安全在金融領域的應用,也是金融業(yè)務通過科技手段的延伸���。
金融信息安全作為金融領域發(fā)展的重要手段���,是金融創(chuàng)新與科技創(chuàng)新相結合的典范,已成為實現(xiàn)金融業(yè)務發(fā)展和金融科技創(chuàng)新的重要信息安全前提和保障���。
金融信息安全涵蓋了金融���、金融信息���、信息安全等不同內(nèi)容,并不局限于單純的金融行業(yè)或信息安全技術的范疇���。例如���,個人金融信息泄露、電子支付被盜���、信用卡詐騙���、病毒入侵、惡意攻擊等金融信息安全問題給金融和非金融機構等帶來了重大損失���。為了解決金融信息安全問題���,金融和非金融機構工作人員應當系統(tǒng)地學習掌握金融信息安全的相關知識、管理方法和基本技能���,使得整體組織機構具有保障自身金融信息安全的能力���。
本書作為金融信息安全職業(yè)能力培訓教材的投石之作旨在對金融信息安全的理論與實踐作進一步探索,對相關概念���、標準���、體系、技術等問題力求作出翔實的描述���,從各個角度提出富有指導意義的安全策略和操作建議���,同時配以用于鞏固知識的思考題與練習題,希望可以幫助讀者在不斷積累專業(yè)知識的基礎上���,培養(yǎng)運用所學知識分析問題和解決問題的實操能力���。本書希望能作為商業(yè)銀行、保險企業(yè)���、證券機構���、基金公司���、金融信息服務機構等從業(yè)者的培訓教材和參考用書。筆者雖然從事金融科技工作多年���,但仍然認為金融信息內(nèi)容浩如煙海���,信息安全領域博大精深,因此編寫一本金融信息安全的教材非常具有挑戰(zhàn)性���。幸而筆者在主持制定國家標準GB/T 366182018《信息安全技術金融信息服務安全規(guī)范》期間���,曾經(jīng)獲得以下單位的通力合作: 中國人民大學、中國科學院信息工程研究所���、清華大學五道口金融學院���、中國經(jīng)濟信息社、萬得信息技術股份有限公司���、東方財富信息股份有限公司���、上海大智慧股份有限公司���、騰訊科技(北京)有限公司,本書的編寫和完成也得益于上述單位對該項目的支持。
本書的編寫工作是由荊繼武教授���、趙國俊教授、蔣文保教授���、羅光宣博士等信息安全專家和在金融機構線工作的于進���、李丹博士、熊志正博士���、高劍松博士等鼎力相助而成���。此外,編寫組參考了大量國內(nèi)外文獻���,包括學術論文���、專業(yè)書籍���、國際國內(nèi)標準、國內(nèi)外法律法規(guī)等���,這些均對本書的成文起了重要作用���。
全書共九章內(nèi)容。前兩章是全書的基礎���。第1章金融信息概述旨在引領讀者了解金融信息的定義���,現(xiàn)行國家標準下金融信息的基本特征,以及金融市場���、金融機構���、相關監(jiān)管主體作為金融信息生成、流轉(zhuǎn)���、運作���、管理等的一系列重要平臺的基本概念���。第2章金融信息安全概述,系統(tǒng)地梳理了金融信息安全的基本概念及其行業(yè)發(fā)展歷程���、現(xiàn)階段監(jiān)管機制和管理的現(xiàn)狀���,同時介紹了在當前信息安全等級保護2.0環(huán)境下可能存在的金融信息安全風險和為規(guī)避這些風險而構建的金融信息安全體系。第3章至第9章分別從金融信息安全體系下的內(nèi)容安全���、數(shù)據(jù)安全、系統(tǒng)安全���、網(wǎng)絡安全���、應用安全、個人使用安全和常用安全工具七個維度���,從信息安全技術的角度分別展開講解���,其中涉及各個維度下的諸多前沿技術,并結合不同行業(yè)的金融場景下的實際案例,進而幫助讀者更為全面地掌握金融信息安全知識���。
由于金融信息安全領域博大精深���、內(nèi)容寬泛,作者水平有限���,疏漏之處在所難免���,敬請諸位專家、學者���、讀者不吝賜教���。
楊健2021年9月于北京
英國蘭卡斯特大學(LancasterUniversity)管理科學博士。中國人民大學金融信息中心主任���、MPA首席教授���、管理科學與軟件工程博導,英國運籌學會刊國際顧問���;曾經(jīng)承擔國家高技術研究發(fā)展計劃863信息技術領域項目證券行業(yè)風險識別���、監(jiān)控與防范技術支持系統(tǒng)���、中國證監(jiān)會基金部綜合監(jiān)管(FIRST)系統(tǒng)、密碼人才管理及培養(yǎng)研究等重大科研項目���,主持制定了國家標準GB/T 36618-2018《信息安全技術 金融信息安全服務規(guī)范》���;是濟安金信基金評級體系、中國企業(yè)年金指數(shù)與騰訊濟安價值100指數(shù)(000847)的創(chuàng)始人���。
第1章金融信息概述1
1.1金融信息相關概念1
1.2金融市場概念3
1.2.1貨幣市場3
1.2.2資本市場3
1.2.3外匯市場6
1.2.4金融衍生工具市場8
1.3影響市場的經(jīng)濟指標9
1.4金融機構概述12
1.4.1金融監(jiān)管機構12
1.4.2非金融監(jiān)管機構13
本章練習題16
練習題參考答案18
第2章金融信息安全19
2.1金融信息安全概述20
2.1.1金融信息安全概念20
2.1.2金融信息安全現(xiàn)狀22
2.1.3金融信息監(jiān)管機制和管理現(xiàn)狀24
2.2金融信息安全風險29
2.2.1金融信息安全主要風險29
2.2.2金融信息安全風險成因31
2.2.3金融信息安全風險管理33
2.3金融信息安全應用場景34
2.3.1銀行業(yè)金融信息安全34
2.3.2證券業(yè)金融信息安全35
2.3.3保險業(yè)金融信息安全36
2.3.4其他行業(yè)金融信息安全37
2.4金融信息安全體系38
2.4.1金融信息安全體系概述38
2.4.2面向金融科技的信息安全體系39
本章練習題42
練習題參考答案46
第3章金融信息內(nèi)容安全47
3.1金融信息內(nèi)容安全概述48
3.1.1金融信息的內(nèi)容安全48
3.1.2金融信息內(nèi)容安全意義49
3.1.3金融信息內(nèi)容安全技術體系50
3.1.4金融信息內(nèi)容安全與法律51
3.2合法信息的保護52
3.2.1匿名通信52
3.2.2數(shù)字水印55
3.3非法信息的監(jiān)測60
3.3.1內(nèi)容安全監(jiān)測60
3.3.2反垃圾郵件63
3.4金融檔案安全管理68
3.4.1金融檔案安全概述68
3.4.2金融檔案安全規(guī)范71
3.4.3金融檔案管理相關措施72
本章練習題73
練習題參考答案76
第4章金融信息數(shù)據(jù)安全77
4.1數(shù)據(jù)加密78
4.1.1數(shù)據(jù)的加密78
4.1.2數(shù)據(jù)庫的加密81
4.2數(shù)據(jù)的備份84
4.2.1數(shù)據(jù)備份與數(shù)據(jù)復制84
4.2.2數(shù)據(jù)的災備86
4.2.3數(shù)據(jù)的物理安全92
4.3數(shù)據(jù)的銷毀和恢復95
4.3.1數(shù)據(jù)的安全銷毀技術95
4.3.2數(shù)據(jù)的恢復技術96
4.4網(wǎng)絡時代的金融數(shù)據(jù)安全96
4.4.1大數(shù)據(jù)背景下的金融數(shù)據(jù)安全96
4.4.2云計算背景下的金融數(shù)據(jù)安全98
4.4.3區(qū)塊鏈背景下的金融數(shù)據(jù)安全99
本章練習題102
練習題參考答案104
第5章金融信息系統(tǒng)安全105
5.1操作系統(tǒng)安全106
5.1.1操作系統(tǒng)概述106
5.1.2Linux系統(tǒng)安全107
5.1.3Windows系統(tǒng)安全108
5.1.4Android/iOS系統(tǒng)安全110
5.1.5漏洞和補丁117
5.1.6操作系統(tǒng)面臨的攻擊形式119
5.2金融信息業(yè)務系統(tǒng)安全122
5.2.1常見金融業(yè)務系統(tǒng)123
5.2.2金融信息系統(tǒng)安全研發(fā)策略和原則124
5.2.3金融信息系統(tǒng)研發(fā)安全風險管控125
5.2.4金融信息系統(tǒng)安全評估標準128
本章練習題131
練習題參考答案132
第6章金融信息網(wǎng)絡安全133
6.1網(wǎng)絡通信與金融134
6.1.1網(wǎng)絡通信技術在金融活動中的作用134
6.1.2網(wǎng)絡通信安全與金融信息安全135
6.2什么是網(wǎng)絡136
6.2.1互聯(lián)網(wǎng)連接網(wǎng)絡的網(wǎng)絡136
6.2.2計算機網(wǎng)絡137
6.2.3自組網(wǎng)絡138
6.2.4網(wǎng)絡的工作原理139
6.3網(wǎng)絡安全問題及防護技術145
6.3.1網(wǎng)絡安全面臨的威脅145
6.3.2網(wǎng)絡安全協(xié)議150
6.3.3網(wǎng)絡邊界防護技術150
6.3.4其他網(wǎng)絡安全防護技術153
6.3.5企業(yè)面臨的網(wǎng)絡安全問題與處理意見156
本章練習題158
練習題參考答案160
第7章金融信息應用安全161
7.1身份驗證162
7.1.1基于信息秘密的身份驗證162
7.1.2基于生物特征的身份驗證165
7.1.3基于信任物體的身份驗證168
7.2訪問控制170
7.2.1自主訪問控制170
7.2.2強制訪問控制171
7.2.3基于角色的訪問控制172
7.2.4基于屬性的訪問控制172
7.3Web應用安全173
7.3.1跨站腳本攻擊174
7.3.2CSRF攻擊174
7.3.3注入缺陷攻擊176
本章練習題177
練習題參考答案178
第8章金融信息安全常用工具179
8.1金融安全常用工具概述180
8.2防病毒軟件181
8.2.1什么是防病毒軟件181
8.2.2防病毒軟件的部署183
8.3防火墻187
8.3.1什么是防火墻187
8.3.2防火墻的性能指標192
8.3.3防火墻的部署193
8.4加密機194
8.4.1什么是加密機194
8.4.2加密機的部署195
8.4.3加密機日常維護事項196
8.5漏洞掃描系統(tǒng)197
8.5.1什么是漏洞掃描系統(tǒng)197
8.5.2漏洞掃描系統(tǒng)的部署200
8.6入侵檢測系統(tǒng)201
8.6.1什么是入侵檢測系統(tǒng)201
8.6.2入侵檢測系統(tǒng)的部署202
8.7安管平臺203
8.7.1什么是安管平臺203
8.7.2安管平臺的部署206
本章練習題209
練習題參考答案210
第9章個人金融信息安全211
9.1電腦端安全212
9.1.1文字處理軟件安全212
9.1.2瀏覽器安全214
9.1.3網(wǎng)盤安全219
9.2手機端安全220
9.2.1手機惡意軟件220
9.2.2手機個人隱私泄露222
9.2.3移動支付安全223
本章練習題226
練習題參考答案228
附件1名詞解釋及索引229
附件2金融信息安全相關政策法規(guī)237
參考文獻260
后記262
金融信息安全職業(yè)能力培訓項目介紹264
書單推薦
