金融信息安全分析之我見(jiàn)

彭胤

（中國(guó)農(nóng)業(yè)銀行軟件開(kāi)發(fā)中心，北京 100161）

我國(guó)的金融信息化已經(jīng)走過(guò)20多個(gè)年頭，在數(shù)萬(wàn)金融科技工作人員的努力下取得了巨大的成就，從無(wú)到有、從有到精、由點(diǎn)及面，初步建成了成熟完整的金融信息體系。然而，安全是金融信息系統(tǒng)的生命。在金融信息系統(tǒng)日益發(fā)展，信息越來(lái)越向上集中，規(guī)模越來(lái)越大，金融業(yè)對(duì)它的依賴(lài)性不斷增加的同時(shí)，金融信息化系統(tǒng)安全的重要性也與日俱增。目前，我國(guó)金融信息化已進(jìn)入了體系化信息安全管理的階段，亟待建立一套金融信息安全保障體系。

1 金融信息面臨的安全風(fēng)險(xiǎn)

金融行業(yè)的信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)，主要體現(xiàn)在以下四個(gè)方面：

1.1 金融信息化的加速和信息網(wǎng)絡(luò)化的推進(jìn)，使得金融行業(yè)在國(guó)民經(jīng)濟(jì)中的地位進(jìn)一步提高，其他行業(yè)對(duì)金融的依賴(lài)性也進(jìn)一步加強(qiáng)。但是越來(lái)越多的信息電子化，使金融信息系統(tǒng)內(nèi)部采集、存儲(chǔ)、傳輸、處理的信息量越來(lái)越大，信息的重要程度也越來(lái)越高。如何確保這些關(guān)系到國(guó)計(jì)民生的金融數(shù)據(jù)的安全采集、安全存儲(chǔ)、安全傳輸和安全處理，成為金融信息系統(tǒng)建設(shè)面臨的重要挑戰(zhàn)。

1.2 隨著金融網(wǎng)上業(yè)務(wù)的拓展，諸如信用卡號(hào)失竊、電子欺騙等金融犯罪活動(dòng)逐年增加。作為開(kāi)展網(wǎng)上交易活動(dòng)的基礎(chǔ)設(shè)施——金融信息系統(tǒng)，應(yīng)該具備對(duì)此類(lèi)活動(dòng)的事前監(jiān)控預(yù)警、事中保護(hù)反擊、事后審計(jì)分析的能力。

1.3 金融信息化的加速，必然會(huì)使金融信息系統(tǒng)與國(guó)內(nèi)外公共互聯(lián)網(wǎng)進(jìn)行互聯(lián)，那么，來(lái)自公共互聯(lián)網(wǎng)的各類(lèi)攻擊、病毒及入侵將對(duì)金融信息系統(tǒng)的可用性帶來(lái)巨大威脅。

1.4 隨著金融信息化的加速，金融信息系統(tǒng)的規(guī)模逐步擴(kuò)大，同時(shí)金融信息資產(chǎn)的數(shù)量也將急劇增加，如何對(duì)這些大量的信息資產(chǎn)進(jìn)行有效的管理，使不同程度的信息資產(chǎn)都能得到不同級(jí)別的安全保護(hù)，將是金融信息系統(tǒng)安全管理面臨的巨大挑戰(zhàn)。

2 金融信息安全建設(shè)的要點(diǎn)

目前，金融業(yè)的計(jì)算機(jī)系統(tǒng)除應(yīng)用于日常的門(mén)市業(yè)務(wù)外，還兼有信息管理、決策支持等方面的功能。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)和應(yīng)用的規(guī)模與上個(gè)世紀(jì)相比，有了質(zhì)的飛躍，特別是互聯(lián)網(wǎng)的使用，使得計(jì)算機(jī)系統(tǒng)的安全在整個(gè)信息系統(tǒng)的安全建設(shè)中，具有舉足輕重的地位。

2.1 金融業(yè)的業(yè)務(wù)系統(tǒng)和渠道建設(shè)。該系統(tǒng)建設(shè)是信息系統(tǒng)建設(shè)最重要的組成部分。目前使用的渠道多種多樣，有網(wǎng)上、手機(jī)、柜臺(tái)、自助設(shè)備、電話(huà)等，每一個(gè)渠道所引申的系統(tǒng)都成為信息安全一個(gè)重要的分支。

2.2 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)和設(shè)備。網(wǎng)絡(luò)系統(tǒng)和網(wǎng)絡(luò)設(shè)備，是計(jì)算機(jī)系統(tǒng)的一個(gè)重要載體。計(jì)算機(jī)網(wǎng)絡(luò)在信息安全體系中，扮演了重要角色。網(wǎng)絡(luò)的安全取決于線(xiàn)路、網(wǎng)絡(luò)設(shè)備及所有接入該網(wǎng)絡(luò)的接點(diǎn)。目前在我國(guó)，中國(guó)電信、中國(guó)聯(lián)通等電信運(yùn)營(yíng)商，作為金融業(yè)網(wǎng)絡(luò)運(yùn)行的承運(yùn)商，擁有良好的運(yùn)營(yíng)性，金融業(yè)全面依賴(lài)他們所提供的網(wǎng)絡(luò)連接，在其網(wǎng)絡(luò)連接介質(zhì)上進(jìn)行業(yè)務(wù)處理。但是，也許正是因?yàn)檫@一點(diǎn)，潛在著巨大的風(fēng)險(xiǎn)隱患。

2.3 金融行業(yè)使用的介質(zhì)。目前金融行業(yè)使用的介質(zhì)有存折和卡，卡有IC卡和磁卡。IC卡源于歐洲，國(guó)內(nèi)的IC卡使用理論經(jīng)緯環(huán)境尚不完全具備，因此使用更為廣泛的是磁卡，目前國(guó)內(nèi)發(fā)行的貸記卡、借記卡多用磁卡。在磁卡的使用上，客戶(hù)的素質(zhì)和使用手段，也有可能影響信息系統(tǒng)的安全，這一點(diǎn)在銀行業(yè)中體會(huì)尤深。一些居心不良的人員，利用銀行業(yè)應(yīng)用系統(tǒng)的漏洞，不斷挑起事端，提取訴訟，讓銀行蒙受損失。

2.4 金融業(yè)數(shù)據(jù)集中。近幾年來(lái)，金融業(yè)的數(shù)據(jù)集中已呈越來(lái)越大越快的發(fā)展趨勢(shì)，而數(shù)據(jù)集中所帶來(lái)的信息安全風(fēng)險(xiǎn)和隱患也隨之增加。產(chǎn)生了以下兩個(gè)問(wèn)題：

2.4.1 災(zāi)難備份問(wèn)題。如何確保系統(tǒng)在發(fā)生故障時(shí)，能夠有有效的、安全的應(yīng)急手段，為從業(yè)人員所關(guān)注。一方面要有良好的應(yīng)用手段，對(duì)故障進(jìn)行有效的處理；另一方面，當(dāng)設(shè)備和網(wǎng)絡(luò)出現(xiàn)故障時(shí)，能在最短的時(shí)間內(nèi)進(jìn)行最有效的恢復(fù)，這一點(diǎn)，又必須對(duì)客戶(hù)是透明的。這樣的處理方式，能夠?yàn)閺V大客戶(hù)所接受，但實(shí)施起來(lái)并非易事。

2.4.2 風(fēng)險(xiǎn)集中問(wèn)題。數(shù)據(jù)集中后，數(shù)據(jù)的安全完全集中到某一地，加大了防范的難度。在物理安全防范上，由于國(guó)內(nèi)政局穩(wěn)定，最易被忽視。其實(shí)數(shù)據(jù)集中后，信息安全過(guò)于集中而遭受攻擊或破壞的可能性大大增加。

2.4.3 金融業(yè)從業(yè)人員的道德問(wèn)題。所有的信息系統(tǒng)建設(shè)都要依賴(lài)于人去進(jìn)行，據(jù)統(tǒng)計(jì)，目前發(fā)生的危害信息系統(tǒng)安全的行為，80%出自金融行業(yè)內(nèi)部人員所為。經(jīng)常有金融單位的柜員或技術(shù)開(kāi)發(fā)人員，以及某個(gè)部門(mén)的主管領(lǐng)導(dǎo)，利用系統(tǒng)的漏洞，肆無(wú)忌憚地竊取國(guó)家和客戶(hù)的資金。這也是金融行業(yè)的信息安全最難于管理的部分。

2.4.4 相關(guān)法律法規(guī)的建設(shè)。信息技術(shù)在國(guó)民生活中所起的作用已經(jīng)越來(lái)越大，規(guī)范人們的行為，約束從業(yè)者的作為，已經(jīng)迫在眉睫。這些年來(lái)，有關(guān)金融行業(yè)信息系統(tǒng)的相關(guān)案件的處理，更多適用的是《中華人民共和國(guó)刑事訴訟法》的相關(guān)條款，而對(duì)諸如知識(shí)產(chǎn)權(quán)、信息入侵、竊取資金，乃至有意無(wú)意地破壞信息系統(tǒng)安全的各類(lèi)行為的法律責(zé)任認(rèn)定上，尚比較模糊。

3 金融信息安全保障體系的構(gòu)建

3.1 要進(jìn)一步加強(qiáng)金融信息的保密工作。隨著信息技術(shù)的迅猛發(fā)展與廣泛應(yīng)用，竊密手段更加隱蔽，泄密的隱患增多，泄密所造成的危害程度更大，故保密工作面臨許多新情況新問(wèn)題。金融行業(yè)具備特有的高保密性，對(duì)于各種涉及安全性信息的上傳下達(dá)要求高。因此，一要樹(shù)立正確的保密意識(shí)。加入世貿(mào)組織“無(wú)密可保”、“有密難?！?、“保密無(wú)用”的錯(cuò)誤思想。二要抓好保密管理。三要抓好加密技術(shù)創(chuàng)新，大力開(kāi)發(fā)關(guān)鍵性技術(shù)，使保障金融網(wǎng)絡(luò)安全的密碼技術(shù)、商用加密技術(shù)、身份鑒別技術(shù)、防火墻技術(shù)、攻擊監(jiān)測(cè)技術(shù)、病毒防御技術(shù)在網(wǎng)絡(luò)銀行上發(fā)揮應(yīng)有的作用。

3.2 要建立和完善金融信息標(biāo)準(zhǔn)化體系。金融信息標(biāo)準(zhǔn)化體系是帶動(dòng)我國(guó)金融IT技術(shù)與應(yīng)用發(fā)展的關(guān)鍵，是我國(guó)金融信息應(yīng)用成熟發(fā)展的主要措施之一。對(duì)于我國(guó)來(lái)說(shuō)，目前要做的主要具體工作是，要完善金融信息化標(biāo)準(zhǔn)體系總體規(guī)劃，確定我國(guó)金融信息標(biāo)準(zhǔn)體系的目標(biāo)、任務(wù)、發(fā)展階段策略和原則等，全面規(guī)劃銀行通訊和網(wǎng)絡(luò)技術(shù)設(shè)施建設(shè)，區(qū)分銀行面向社會(huì)服務(wù)、銀行內(nèi)部服務(wù)和中國(guó)銀行監(jiān)管的工作，實(shí)施這些網(wǎng)絡(luò)的業(yè)務(wù)分開(kāi)，提出統(tǒng)一業(yè)務(wù)平臺(tái)體系，提出銀行信息認(rèn)證技術(shù)框架和公共的必要設(shè)施。要建設(shè)我國(guó)自助的信息化標(biāo)準(zhǔn)體系，必須與國(guó)際接軌，同時(shí)我國(guó)金融信息化標(biāo)準(zhǔn)又必須維護(hù)國(guó)家主權(quán)和安全。

3.3 要大力培養(yǎng)金融信息化專(zhuān)業(yè)人才。目前我國(guó)金融從業(yè)人員達(dá)到碩士以上學(xué)歷的不足1%，遠(yuǎn)遠(yuǎn)不能滿(mǎn)足國(guó)內(nèi)銀行業(yè)的蓬勃發(fā)展。因此，要培養(yǎng)具備以下方面的人才：一是金融經(jīng)濟(jì)與管理方面的基礎(chǔ)知識(shí)；二是信息化方面的知識(shí)，包括數(shù)據(jù)庫(kù)知識(shí)；三是金融方面的業(yè)務(wù)知識(shí)，如國(guó)際金融等。目前既懂“金融”又懂“IT”的復(fù)合型人才，已是高端人才市場(chǎng)競(jìng)爭(zhēng)的“焦點(diǎn)”，而且在人才方面更重視的是“業(yè)務(wù)技能”導(dǎo)向而不是“理論”導(dǎo)向的學(xué)者。

[1]張立洲.論金融信息化對(duì)金融業(yè)的影響，財(cái)經(jīng)問(wèn)題研究，2003(3)

[2]李志彤.我國(guó)金融信息化現(xiàn)狀與發(fā)展策略，中外管理導(dǎo)報(bào)2002(12)

[3]陳柳欽.安全：金融信息化的命脈，中國(guó)科技投資，2009(2)