網(wǎng)絡(luò )環(huán)境下金融信息安全保障體系建設研究發(fā)布者：本站     時(shí)間：2020-05-02 15:05:27

一、金融信息安全概述及現狀

金融信息安全是根據金融信息系統在計算機網(wǎng)絡(luò )環(huán)境下的實(shí)際應用需求，將密碼學(xué)、密鑰管理、身份認證、訪(fǎng)問(wèn)控制、應用安全協(xié)議和事務(wù)處理等信息安全技術(shù)運用系統安全工程中，并能在系統運行過(guò)程中發(fā)現、糾正系統暴露的安全問(wèn)題，它關(guān)系到金融機構的生存和經(jīng)營(yíng)的成敗。

金融信息安全是在當今惡劣的計算機網(wǎng)絡(luò )環(huán)境下孕育而生的必然產(chǎn)物，它是金融信息系統得以生存的重要保障，各大金融機構和在線(xiàn)零售業(yè)將金融信息安全視同資金安全一樣重要。近年來(lái)，隨著(zhù)經(jīng)濟建設速度的加快及計算機網(wǎng)絡(luò )技術(shù)在金融業(yè)的廣泛應用，金融信息被賦予了更多新的特性，如快捷、便利和易獲取等。但當計算機網(wǎng)絡(luò )的開(kāi)放性與金融信息的私密性發(fā)生碰撞時(shí)，計算機網(wǎng)絡(luò )環(huán)境下金融信息安全形勢就會(huì )更加嚴峻。僅以2014年一年中國內外金融機構及零售機構接連不斷發(fā)生的影響性較大的信息安全事件為例：1月，韓國發(fā)生金融行業(yè)最大規模信用卡個(gè)人信息泄密事件，涉及約2 000 萬(wàn)用戶(hù)，共 1 億多條客戶(hù)信息被泄露，最多的用戶(hù)有 19 項個(gè)人信息被泄露，多名高管因此事件引咎辭職。3月，攜程網(wǎng)被爆安全支付日志可便利下載，因此導致大量用戶(hù)銀行卡信息泄露。9月，美國家得寶公司確認其支付系統遭到網(wǎng)絡(luò )攻擊，有近5 600萬(wàn)張銀行卡的信息被盜。面對如此嚴峻的形勢，人們在不斷地探究和尋找計算機網(wǎng)絡(luò )與金融信息兩者并生并存的平衡點(diǎn)。

二、計算機網(wǎng)絡(luò )環(huán)境下金融信息安全保障體系的構建思路

（一）運用多樣化的信息安全技術(shù)

要確保金融信息的安全，必須實(shí)現信息安全技術(shù)的全面化與科技化，因為它是整個(gè)金融信息安全體系的支柱?，F在比較常見(jiàn)的安全機制包括：數據完整性和保密性、身份認證、病毒防御、安全審計與跟蹤、系統安全等內容。

1.保證網(wǎng)絡(luò )信息的完整性和私密性

在如今這個(gè)互聯(lián)網(wǎng)開(kāi)放程度很高的年代，各種信息包括網(wǎng)上銀行的信息在向互聯(lián)網(wǎng)傳輸的同時(shí)都存在著(zhù)安全隱患，因為任何用戶(hù)都可以通過(guò)網(wǎng)絡(luò )對信息進(jìn)行提取或者交換。數字簽名技術(shù)[2]

在網(wǎng)上銀行的普遍應用，很大程度上保證了信息傳輸的完整性，并通過(guò)對信息發(fā)送者的身份認證，很好地解決了在交易中容易出現的糾紛問(wèn)題。密鑰加密的方法可以有效防止發(fā)生通信業(yè)務(wù)流分析、抵賴(lài)、偽造、非授權連接和篡改消息、消息流被觀(guān)察和篡改等安全問(wèn)題，以保證信息的保密性。為了保證網(wǎng)絡(luò )中靜態(tài)信息的完整性和保密性，可使用密碼進(jìn)行保存和鎖定。

2. 對網(wǎng)絡(luò )訪(fǎng)問(wèn)者進(jìn)行身份認證

身份認證是保障網(wǎng)絡(luò )信息安全的主要手段之一。通過(guò)它可以獲取并確認網(wǎng)絡(luò )用戶(hù)的身份信息及訪(fǎng)問(wèn)權限，并確保企業(yè)或個(gè)人用戶(hù)的相關(guān)隱私信息被正確的人合理使用。身份認證技術(shù)發(fā)展到今天普遍適用的技術(shù)包括數字證書(shū)、指紋識別、動(dòng)態(tài)密碼和靜態(tài)密碼認證技術(shù)等。

3.建立健全網(wǎng)絡(luò )病毒預防機制

病毒防護系統是計算機網(wǎng)絡(luò )安全的重要防線(xiàn)，建立健全病毒防護系統十分重要。在系統正常運行過(guò)程中需進(jìn)行實(shí)時(shí)的病毒監測，建立病毒庫對病毒進(jìn)行整理和收集。同時(shí)制定合理的防毒機制，對可能出現的病毒感染進(jìn)行預警，進(jìn)而采取有效的措施進(jìn)行防范。

4.加強安全審計與跟蹤力度

防止非法入侵作為網(wǎng)上銀行日常防護的重要內容，一直以來(lái)對防火墻的依賴(lài)有增無(wú)減，但是防火墻并不能夠有效地防止所有的網(wǎng)絡(luò )非法入侵。因此，我們需要格外加強安全審計和事后追蹤的力度，提前對惡意攻擊和侵入主機行為進(jìn)行攔截，提供主動(dòng)的防御能力，對入侵者進(jìn)行有效的震懾和追查。

5.保障信息系統安全

金融信息系統中軟硬件設備的安全性設計與優(yōu)化配置是信息安全保障體系必不可少的重要環(huán)節。

其中，計算機軟件系統中包括操作系統、數據庫系統、控制系統、應用軟件等；硬件基礎設施包括計算機主機、網(wǎng)絡(luò )通訊設備、控制設備、智能卡、終端外設等。為防止系統出現異常情況時(shí)確保計算機網(wǎng)絡(luò )安全策略的順利執行，實(shí)現計算機網(wǎng)絡(luò )環(huán)境下網(wǎng)絡(luò )層的安全訪(fǎng)問(wèn)，必須認真解決信息系統安全設計、生產(chǎn)、測試、運營(yíng)、維護等方面的問(wèn)題，從而實(shí)現系統設備的安全。

（二）強化金融信息保密管理

近年來(lái)，信息技術(shù)在快速發(fā)展的同時(shí)也伴隨著(zhù)諸多隱患，金融信息的保密性問(wèn)題顯得尤為重要。

隨著(zhù)科技的發(fā)展，盜竊密碼的手段多種多樣并十分隱蔽，密碼一旦被盜竊則危害極大，所以，保密工作面臨著(zhù)諸多難題。金融行業(yè)的特殊性質(zhì)要求其信息必須具備嚴格的保密性，尤其信息在網(wǎng)絡(luò )中進(jìn)行上傳下達的過(guò)程中，其保密性更是不容忽視，因此，應做到以下幾點(diǎn)。

1.樹(shù)立正確的保密意識

我國在加入世貿組織后，有些人一直持有"無(wú)密可保、有密難保和保密無(wú)用"等錯誤認識。這些錯誤思想應徹底杜絕，并通過(guò)各種途徑開(kāi)展廣泛宣傳，如對基層領(lǐng)導干部、各單位涉密人員和保密干部進(jìn)行相關(guān)方面的培訓，對員工開(kāi)展群眾性的保密意識法制宣傳教育，使其了解金融保密工作時(shí)刻關(guān)系著(zhù)國家安全和自身利益的重要性。

2.抓實(shí)保密管理工作

為了確保網(wǎng)絡(luò )金融信息安全體系的健全，金融行業(yè)應逐步建立保密管理的相關(guān)機構或部門(mén)，并要求有專(zhuān)人負責以便使管理更加規范化，其重點(diǎn)工作是強化涉密人員的崗位職責和對要害部位的重點(diǎn)監察，并進(jìn)一步強化保密管理。

3.注重加密技術(shù)創(chuàng )新

開(kāi)展新型技術(shù)研發(fā)一直是保密工作的核心任務(wù)，只有不斷創(chuàng )新才能使保密工作更加堅固。隨著(zhù)網(wǎng)絡(luò )銀行的大力推廣，許多新型網(wǎng)絡(luò )安全技術(shù)也在逐漸普及和應用，如密碼技術(shù)、防火墻技術(shù)、身份鑒別技術(shù)和病毒防御技術(shù)等。一些新興技術(shù)要盡快進(jìn)行完善，如網(wǎng)絡(luò )隔離和電子認證技術(shù)。在硬件方面，我國在CPU開(kāi)發(fā)和操作系統內核技術(shù)研究領(lǐng)域相對比較落后，應加大開(kāi)發(fā)力度，盡快縮短差距。

（三）完善金融信息標準體系

建立健全金融信息的標準化體系給整個(gè)金融行業(yè)所帶來(lái)的好處毋庸置疑。近些年隨著(zhù)我國金融信息技術(shù)的大力推廣，標準化體系已成為網(wǎng)絡(luò )行業(yè)相關(guān)技術(shù)發(fā)展的關(guān)鍵和迫切需要，也是使我國金融信息技術(shù)快速發(fā)展的重要措施。

對于我國的現代銀行業(yè)來(lái)說(shuō)，金融機構應該迅速建立健全相關(guān)部門(mén)，如科技信息部門(mén)應該具體負責本機構信息系統的統籌規劃、開(kāi)發(fā)建設和日常維護等技術(shù)方面的工作；風(fēng)險管理部門(mén)專(zhuān)門(mén)負責信息管理系統的風(fēng)險管理規章制度以及向有關(guān)部門(mén)提供相關(guān)的監管信息；審計部門(mén)則負責建立信息系統審計制度，配備相關(guān)人員進(jìn)行信息的風(fēng)險審計。根據金融信息標準設立安全管理機構，并進(jìn)一步制定管理制度、法規與安全細則，將規范、監督、管理和指導網(wǎng)絡(luò )金融信息系統的建設落到實(shí)處，從信息安全管理層面切實(shí)提高安全體系防范網(wǎng)絡(luò )風(fēng)險和金融風(fēng)險的級別。

（四）構筑信息安全服務(wù)后盾

數據的存儲是重要的網(wǎng)絡(luò )金融研究課題，而信息數據如何存儲才可保證網(wǎng)絡(luò )金融服務(wù)的連續性，保證在訪(fǎng)問(wèn)和交易過(guò)程中不會(huì )間斷甚至終止，是作為網(wǎng)絡(luò )金融信息安全研究學(xué)者必須要思考的問(wèn)題。一旦系統發(fā)生故障，可能會(huì )出現眾多問(wèn)題，比如業(yè)務(wù)中斷、客戶(hù)流失，甚至資金鏈斷裂等，隨之而來(lái)的后果便是金融企業(yè)的競爭力下降。因此，金融信息系統中的數據存儲系統要求具有較高的可靠性。所謂的可靠應考慮到諸多方面，比如對各級系統和數據的保護。一套完整、有效的金融信息系統，應不受硬件、軟件或者應用程序故障所帶來(lái)的影響，如果數據中心由于某些原因無(wú)法正常工作時(shí)，應提前做好準備，由另一套備份的數據中心進(jìn)行接管工作，繼續維持任務(wù)的執行，當主數據中心恢復正常后，工作再轉回主數據中心進(jìn)行工作。

近年來(lái)，我國越來(lái)越重視對知識產(chǎn)權的保護，尤其是與銀行金融業(yè)相關(guān)的自主性知識產(chǎn)權，如正版軟件系統或者相關(guān)的硬件產(chǎn)品。應大力開(kāi)發(fā)適合我國銀行業(yè)金融機構的具有自主知識產(chǎn)權的信息系統和金融產(chǎn)品，并通過(guò)建立產(chǎn)品的平臺化和服務(wù)的平臺化等措施保護研發(fā)成果，為網(wǎng)絡(luò )信息安全保障體系建立強大的服務(wù)后盾。

（五）培養金融信息安全專(zhuān)業(yè)人才

為了更快地適應信息化所帶來(lái)的沖擊，應盡快為金融行業(yè)培養出新型人才，把合適的人放到合適的崗位，是做好金融信息化安全工作的前提。目前，金融機構中很多的技術(shù)人員是純計算機專(zhuān)業(yè)出身，他們沒(méi)有系統學(xué)過(guò)金融方面知識，對金融行業(yè)知之甚少，在就業(yè)后有相當長(cháng)的時(shí)間無(wú)法體現出自身價(jià)值。同時(shí)，由于金融機構的行業(yè)特點(diǎn)，金融信息系統的運行、維護、軟硬件及數據方面的監察與維護都需要由專(zhuān)職技術(shù)人員專(zhuān)人專(zhuān)責，在工作過(guò)程中需嚴格按照專(zhuān)業(yè)規程和授權進(jìn)行規范操作、定期檢查和及時(shí)維護?，F如今我國金融行業(yè)的信息安全保障人員很多是由金融從業(yè)者改行過(guò)來(lái)的，在信息技術(shù)方面往往無(wú)法真正達到要求，因而影響了我國金融信息化的進(jìn)程。這些現狀阻礙了網(wǎng)絡(luò )金融信息安全保障體系的構建。為了滿(mǎn)足目前網(wǎng)絡(luò )金融行業(yè)的快速發(fā)展，培養當今社會(huì )急需的金融信息安全人才應掌握以下方面的知識內容：首先是金融與管理相關(guān)的基礎知識，如金融學(xué)基礎、會(huì )計學(xué)基礎等；其次是信息技術(shù)相關(guān)的知識，如計算機軟件、計算機網(wǎng)絡(luò )技術(shù)、數據庫和金融信息系統設計等；再就是金融方向的業(yè)務(wù)知識。對于我國的金融學(xué)府來(lái)說(shuō)，盡快培養出金融和計算機信息技術(shù)的交叉復合型高端人才是迫在眉睫要解決的問(wèn)題。