金融信息安全人才培养的思考与实践

1. 金融信息安全人才培养的思考与实践 中央财经大学 朱建明 2012年11月24日

2. 提纲 引言 1 金融信息安全人才培养的思考与实践 2 面临的问题与挑战 3

3. 引 言 随着社会信息化水平的不断提高和电子政务与电子商务的快速发展，信息系统与计算机网络的基础性、全局性作用日益增强， 在日常工作和生活中，人们越来越依赖信息系统，信息系统承载的有价值的数据越来越多。 1 2 4 3 网络信息系统的脆弱性日益突出，信息安全成为社会信息化过程中的重大问题。 信息系统的一次故障或事故会造成巨大的影响，甚至是灾难。

4. 计算机系统越来越复杂，所面临的安全风险越来越大。计算机系统越来越复杂，所面临的安全风险越来越大。 The Intel processors with Nehalem architecture have multi-cores and between 500−1000 million transistors. Many of them are sold for home and small office usage. (Image courtesy of Intel Corporation). 4

6. “The most secure computer is the one unplugged from the network.” The U.S. Department of Defense C2 rating of Windows NT 3.5 only applied to a computer unplugged from the network!

7. Obstacles to Security • Security Is Inconvenient • Computers Are Powerful and Complex • Computer Users Are Unsophisticated • Computers Created Without a Thought to Security • Current Trend Is to Share, Not Protect • Data Accessible from Anywhere • Security Isn’t About Hardware and Software • The Bad Guys Are Very Sophisticated • Management Sees Security as a Drain on the Bottom Line ——John R.Vacca, Computer and Information Security Handbook, Elsevier, 2009

8. 信息安全不单是技术问题 • 机构与管理 • 法律与法规 • 经济实力 • 教育与人才

9. 安全需要代价 • 安全性与方便性 • 安全性与性能 • 安全性与成本

10. 提纲 引言 1 金融信息安全人才培养的思考与实践 2 面临的问题与挑战 3

11. 金融信息系统是国家重要的关键信息基础设施 • 金融与人民群众切身利益息息相关 • 金融信息化发展不平衡 • 金融科技犯罪防范体系尚不健全 • 网络银行、电子货币、移动支付、第三方支付等新型支付方式的快速发展 • 信息系统如同金融活动的大脑和神经中枢 • 金融监管信息化水平大幅提升 金融信息安全的重要性 金融是现代经济的核心 现代金融最重要的一个特征就是业务电子化 支付体系建设取得重大进展 存在的问题

12. 金融网络系统是典型的开放的复杂网络，内部连接复杂。金融网络系统是典型的开放的复杂网络，内部连接复杂。 人民银行总行统一推广的应用系统，除基础技术服务应用系统外，按照业务类型，划分为13类，分别是支付类、征信类、反洗钱类、国库类、货币金银管理类、中央银行会计核算类、人民币结算账户管理类、综合业务类、综合管理类、办公类、统计分析类、基础技术服务类和其他类，共96个业务系统。 金融信息系统具有以下四个方面的特点： 金融信息系统处理的数据量巨大，而且数据业务逻辑复杂。 正确性、可靠性和安全性是金融信息系统的基本要求。 金融信息系统还必须满足可生存性的要求。 金融软件还必须具有持续可用性。 信息技术在我国金融领域的应用越来越广泛，已经成为决定金融业发展和金融竞争力的关键因素之一。 金融信息系统的特殊性

13. 银行应用系统整体架构图

14. 某中型银行某子系统构架图

15. 国际业务 金融市场 公司银行 零售银行 • 出口订单融资业务 • 出口商业发票融资业务 • 出口信用保险项下融资业务 • 打包贷款 • 出口押汇 • 出口票据贴现 • 减免保证金开证 • 进口押汇 • 福费廷 • 国际保理 • 外汇汇款业务 • 西联汇款业务 • 进口/出口信用证业务 • 出口托收（跟单、光票） • 进口代收 • 旅行支票 • 外汇买卖，外币兑换 • 结售汇，远期结售汇 • 外币掉期 • 提货担保 • 涉外保函 • 持有至到期债券 • 理财投资 • 信托计划投资 • 可供出售债券 • 交易性债券 • 票据转贴现 • 买入返售票据 • 买入返售债券 • 买入返售贷款 • 同业业务 • 债券负债业务 • 票据回购 • 其他资产回购 • 同业业务 • 债券结算业务 • 其他结算业务 • 理财中间业务 • 代销业务 • 托管业务 • 其他代理业务 • 衍生工具 • 个人住房贷款 • 个人商铺贷款 • 个人汽车贷款 • 个人质押贷款 • 个人保证贷款 • 个人信用贷款 • 个人最高额度抵押贷款 • 个人其他抵押贷款 • 个人活期储蓄 • 个人通知存款 • 个人定期储蓄 • 借记卡 • 贷记卡 • 金融IC卡 • 委托贷款 • 代理业务 • 保险箱 • 存贷款证明 • 其他结算业务 • 其他中间业务 • 流动资金贷款 • 项目贷款 • 其他法人贷款 • 银行承兑汇票 • 商业承兑汇票 • 保函 • 金色链融利系列产品 • 应收账款融资业务 • 无息存款 • 公司活期存款 • 公司定期存款 • 保证金存款 • 公司委托业务 • 代理业务 • 其他担保承诺 • 对公人民币结算 • 对公外币结算 • 外币对公存款 • 外币保证金存款 银行系统部分业务清单

16. 银行系统涉及的单位 • 系统共涉及36种外联单位，具体种类如下： • 银行机构，包括国有商业银行、股份制商业银行、政策性银行、城市商业银行、农村商业银行、部分外资银行； • 非银行金融机构，包括城乡信用社（农联社）、资产管理公司、财务公司、信托公司、证券、保险、小额贷款公司； • 政府机构，包括财政、地税、国税、海关（待连）等； • 其他相关机构，包括国家邮政储蓄局、中央国债登记结算有限公司、中国外汇交易中心、公积金中心（待连）、身份证认证中心（待连）、交通、社会公众服务行业等。 16

17. 金融信息安全人才培养方案 1 扎实的数学、计算机基础 2 全面地掌握信息安全领域的基本理论和技术 3 掌握财经管理知识的（重点是金融） 4 从事金融信息安全技术与管理的高级复合型人才

18. 借助优势学科建立特色领域课程模块 • 金融 • 会计 • 财税 • 工商 + 《金融学》 《金融市场学》 《公司金融》 《电子支付协议》 《金融信息系统》 《金融信息安全》 金融信息安全知识与技能

19. 4-3-3多维信息安全教学体系 • 4维教学内容 • 密码学、网络安全、信息系统安全、财经应用安全 • 3种教学手段 • 课堂教学、实验教学、网络互动教学 • 3类自主学习方案 • 金融信息安全案例分析、科研项目驱动、学术论文研究

20. 面向财经管理创新型人才培养的信息安全4-3-3多维教学体系面向财经管理创新型人才培养的信息安全4-3-3多维教学体系

21. 金融系统安全测试环境 金融系统应用研究 金融实验 平台综合 合作利用 金融系统建设标准体系 金融培训认证体系建设 金融信息安全体系建设 实验平台的作用——教育部互联网应用创新开放基地 通过金融实验平台的综合应用，可对金融信息系统现状及问题进行研究，为建立安全可靠的金融信息化平台提供研究环境。

22. 已建成的“麻雀银行”实验室

23. 提纲 引言 1 金融信息安全人才培养的思考与实践 2 面临的问题与挑战 3

24. 面临的问题与挑战 信息安全专业知识 数学 …… 金融专业知识 计算机技术 • 如何将这些知识紧密结合？如何把握知识结构的比例？

25. 朱建明 • zjm@cufe.edu.cn • 中央财经大学 信息学院 Q&A 谢 谢！