金融信息安全分析之我見

彭胤

（中國農業銀行軟件開發中心，北京 100161）

我國的金融信息化已經走過20多個年頭，在數萬金融科技工作人員的努力下取得了巨大的成就，從無到有、從有到精、由點及面，初步建成了成熟完整的金融信息體系。然而，安全是金融信息系統的生命。在金融信息系統日益發展，信息越來越向上集中，規模越來越大，金融業對它的依賴性不斷增加的同時，金融信息化系統安全的重要性也與日俱增。目前，我國金融信息化已進入了體系化信息安全管理的階段，亟待建立一套金融信息安全保障體系。

1 金融信息面臨的安全風險

金融行業的信息系統面臨的安全風險，主要體現在以下四個方面：

1.1 金融信息化的加速和信息網絡化的推進，使得金融行業在國民經濟中的地位進一步提高，其他行業對金融的依賴性也進一步加強。但是越來越多的信息電子化，使金融信息系統內部采集、存儲、傳輸、處理的信息量越來越大，信息的重要程度也越來越高。如何確保這些關系到國計民生的金融數據的安全采集、安全存儲、安全傳輸和安全處理，成為金融信息系統建設面臨的重要挑戰。

1.2 隨著金融網上業務的拓展，諸如信用卡號失竊、電子欺騙等金融犯罪活動逐年增加。作為開展網上交易活動的基礎設施——金融信息系統，應該具備對此類活動的事前監控預警、事中保護反擊、事后審計分析的能力。

1.3 金融信息化的加速，必然會使金融信息系統與國內外公共互聯網進行互聯，那么，來自公共互聯網的各類攻擊、病毒及入侵將對金融信息系統的可用性帶來巨大威脅。

1.4 隨著金融信息化的加速，金融信息系統的規模逐步擴大，同時金融信息資產的數量也將急劇增加，如何對這些大量的信息資產進行有效的管理，使不同程度的信息資產都能得到不同級別的安全保護，將是金融信息系統安全管理面臨的巨大挑戰。

2 金融信息安全建設的要點

目前，金融業的計算機系統除應用于日常的門市業務外，還兼有信息管理、決策支持等方面的功能。計算機網絡系統和應用的規模與上個世紀相比，有了質的飛躍，特別是互聯網的使用，使得計算機系統的安全在整個信息系統的安全建設中，具有舉足輕重的地位。

2.1 金融業的業務系統和渠道建設。該系統建設是信息系統建設最重要的組成部分。目前使用的渠道多種多樣，有網上、手機、柜臺、自助設備、電話等，每一個渠道所引申的系統都成為信息安全一個重要的分支。

2.2 計算機網絡系統和設備。網絡系統和網絡設備，是計算機系統的一個重要載體。計算機網絡在信息安全體系中，扮演了重要角色。網絡的安全取決于線路、網絡設備及所有接入該網絡的接點。目前在我國，中國電信、中國聯通等電信運營商，作為金融業網絡運行的承運商，擁有良好的運營性，金融業全面依賴他們所提供的網絡連接，在其網絡連接介質上進行業務處理。但是，也許正是因為這一點，潛在著巨大的風險隱患。

2.3 金融行業使用的介質。目前金融行業使用的介質有存折和卡，卡有IC卡和磁卡。IC卡源于歐洲，國內的IC卡使用理論經緯環境尚不完全具備，因此使用更為廣泛的是磁卡，目前國內發行的貸記卡、借記卡多用磁卡。在磁卡的使用上，客戶的素質和使用手段，也有可能影響信息系統的安全，這一點在銀行業中體會尤深。一些居心不良的人員，利用銀行業應用系統的漏洞，不斷挑起事端，提取訴訟，讓銀行蒙受損失。

2.4 金融業數據集中。近幾年來，金融業的數據集中已呈越來越大越快的發展趨勢，而數據集中所帶來的信息安全風險和隱患也隨之增加。產生了以下兩個問題：

2.4.1 災難備份問題。如何確保系統在發生故障時，能夠有有效的、安全的應急手段，為從業人員所關注。一方面要有良好的應用手段，對故障進行有效的處理；另一方面，當設備和網絡出現故障時，能在最短的時間內進行最有效的恢復，這一點，又必須對客戶是透明的。這樣的處理方式，能夠為廣大客戶所接受，但實施起來并非易事。

2.4.2 風險集中問題。數據集中后，數據的安全完全集中到某一地，加大了防范的難度。在物理安全防范上，由于國內政局穩定，最易被忽視。其實數據集中后，信息安全過于集中而遭受攻擊或破壞的可能性大大增加。

2.4.3 金融業從業人員的道德問題。所有的信息系統建設都要依賴于人去進行，據統計，目前發生的危害信息系統安全的行為，80%出自金融行業內部人員所為。經常有金融單位的柜員或技術開發人員，以及某個部門的主管領導，利用系統的漏洞，肆無忌憚地竊取國家和客戶的資金。這也是金融行業的信息安全最難于管理的部分。

2.4.4 相關法律法規的建設。信息技術在國民生活中所起的作用已經越來越大，規范人們的行為，約束從業者的作為，已經迫在眉睫。這些年來，有關金融行業信息系統的相關案件的處理，更多適用的是《中華人民共和國刑事訴訟法》的相關條款，而對諸如知識產權、信息入侵、竊取資金，乃至有意無意地破壞信息系統安全的各類行為的法律責任認定上，尚比較模糊。

3 金融信息安全保障體系的構建

3.1 要進一步加強金融信息的保密工作。隨著信息技術的迅猛發展與廣泛應用，竊密手段更加隱蔽，泄密的隱患增多，泄密所造成的危害程度更大，故保密工作面臨許多新情況新問題。金融行業具備特有的高保密性，對于各種涉及安全性信息的上傳下達要求高。因此，一要樹立正確的保密意識。加入世貿組織“無密可保”、“有密難保”、“保密無用”的錯誤思想。二要抓好保密管理。三要抓好加密技術創新，大力開發關鍵性技術，使保障金融網絡安全的密碼技術、商用加密技術、身份鑒別技術、防火墻技術、攻擊監測技術、病毒防御技術在網絡銀行上發揮應有的作用。

3.2 要建立和完善金融信息標準化體系。金融信息標準化體系是帶動我國金融IT技術與應用發展的關鍵，是我國金融信息應用成熟發展的主要措施之一。對于我國來說，目前要做的主要具體工作是，要完善金融信息化標準體系總體規劃，確定我國金融信息標準體系的目標、任務、發展階段策略和原則等，全面規劃銀行通訊和網絡技術設施建設，區分銀行面向社會服務、銀行內部服務和中國銀行監管的工作，實施這些網絡的業務分開，提出統一業務平臺體系，提出銀行信息認證技術框架和公共的必要設施。要建設我國自助的信息化標準體系，必須與國際接軌，同時我國金融信息化標準又必須維護國家主權和安全。

3.3 要大力培養金融信息化專業人才。目前我國金融從業人員達到碩士以上學歷的不足1%，遠遠不能滿足國內銀行業的蓬勃發展。因此，要培養具備以下方面的人才：一是金融經濟與管理方面的基礎知識；二是信息化方面的知識，包括數據庫知識；三是金融方面的業務知識，如國際金融等。目前既懂“金融”又懂“IT”的復合型人才，已是高端人才市場競爭的“焦點”，而且在人才方面更重視的是“業務技能”導向而不是“理論”導向的學者。

[1]張立洲.論金融信息化對金融業的影響，財經問題研究，2003(3)

[2]李志彤.我國金融信息化現狀與發展策略，中外管理導報2002(12)

[3]陳柳欽.安全：金融信息化的命脈，中國科技投資，2009(2)