【新闻稿】”金融与信息安全”讲座

2017年5月13日下午，由复旦CS创新创业中心、清平道场、MSE Club、金融IT人才标准研究中心联合举办了一场创新创业讲座，本次讲座邀请了华侨永亨银行信息安全经理关唯芸女士，于邯郸校区第三教学楼给学生们做了一场“金融与信息安全”讲座。

主讲人主要从四个部分对主题”金融与信息安全”做了阐述，包括金融信息系统及安全，信息安全风险评估，信息安全控制措施，信息安全原则。金融信息系统概述中，介绍了以金融信息系统为核心，发挥主要作用的金融机构，即专门从事货币、信用活动的中介组织。随后，主讲人重点分析了金融信息系统的多级层次，以及各层次需要关注的对象，包括产品/组件（物理硬件、软件产品）；基础设施（产品或组件的组合，操作系统、通信等组成基础架构）；应用程序按照客户指定，完成一定功能；IT员工（系统开发人员，运行维护人员）、内部人员（内部用户和管理层）、外部用户（客户和外部用户）、周围环境（攻击者、竞争者、监管者和政府）。网络攻击类型分为网络渗透（黑客行为、高级渗透攻击）、信息监听（嗅探）、信息干预（修改，重放，丢包等）、分布式拒绝攻击（DDOS）。对应用系统的安全管理方面，重点讲解了应用系统风险评估、应用系统测试和对问题进行追踪管理。信息安全风险是威胁利用我们的脆弱性，引起一些事故，对我们的信息资产造成一些不良影响的可能性。主讲人解释道,威胁指可能导致资产对象出现安全问题的活动或能力，包括泄露、破坏、篡夺和欺骗。脆弱性指可能威胁利用的资产或若干资产的弱点，物理环境，网络结构，系统软件，技术管理和组织管理。信息资产指对组织具有价值的信息或资源，是安全策略保护对象，设备，数据，文档和人员。从来源可分为环境因素、人为因素；按原因可分安全漏洞和管理漏洞；按价值可分为重要程度和敏感程度。信息安全风险评估指根据有关信息安全与管理标准，对信息系统及有其处理，传输和存储的信息的保密性，完整性和可用性等安全属性进行的过程。主讲人结合日常生活可及的金融信息安全的实例，将抽象理论易于理解。在讲解信息安全风险的脆弱性特征时，将磁条卡的固有脆弱性是可复制性，信用卡的固有脆弱性是可透支性透彻分析了信息安全在日常生活息息相关的金融活动的关键作用;黑客字典攻击，系统可能在碰撞对码后被攻击。金融交易中的风险点包括交易数据的输入，交易数据的传输、存储和处理、身份认证、业务授权、交易处理和日终处理。最后主讲人介绍道，风险评估过程包括威胁识别、脆弱性识别和资产识别三部分，共同决定了风险级别的高低。对信息进行级别区分，对管理风险级别意义重大。

整场讲座在同学们热烈的掌声中结束了，同学们均表示在此次讲座中收获颇丰，受益匪浅，关唯芸女士的精彩分享赢得了同学们的广泛好评。