金融行業(yè)信息系統(tǒng)的發(fā)展及安全防范措施的改進(jìn)研究

徐俊杰

摘 要 隨著現(xiàn)代經(jīng)濟(jì)的不斷發(fā)展，金融行業(yè)在安全防范措施上采用了信息產(chǎn)業(yè)技術(shù)。筆者分析了金融結(jié)構(gòu)存在的風(fēng)險(xiǎn)性以及在后期管理上的運(yùn)維措施，利用密碼加密、指紋識(shí)別以及動(dòng)態(tài)口令等方法是銀行產(chǎn)業(yè)結(jié)構(gòu)安全穩(wěn)定的有序保障。

關(guān)鍵詞 金融行業(yè)；信息系統(tǒng)；安全評(píng)估；運(yùn)維措施

中圖分類號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2014）02-0009-02

根據(jù)當(dāng)前金融行業(yè)的動(dòng)態(tài)變化進(jìn)行分析，在信息安全方面加強(qiáng)了進(jìn)一步的控制管理，信息系統(tǒng)的安全指標(biāo)包括：安全性、穩(wěn)定性、保密性以及有效性。但在信息系統(tǒng)正常安全運(yùn)行時(shí)，也會(huì)受到外圍環(huán)境的不同威脅，其中在通信傳輸過程中容易造成金融機(jī)構(gòu)機(jī)密信息的泄漏，給金融機(jī)構(gòu)造成重大的經(jīng)濟(jì)損失；在數(shù)據(jù)信息存儲(chǔ)時(shí)容易遭受外界不明代碼的攻擊，使傳輸?shù)臄?shù)據(jù)代碼的位置發(fā)生錯(cuò)亂，導(dǎo)致在數(shù)據(jù)信息排序時(shí)無法進(jìn)行有效的讀取；其次便是數(shù)據(jù)處理過程中面臨的威脅，主要受黑客病毒的惡意性攻擊，使處理的數(shù)據(jù)信息與原有備份的信息存有一定的差異性。而現(xiàn)有金融行業(yè)安全系統(tǒng)中針對不同的風(fēng)險(xiǎn)做出了應(yīng)對策略，其中包括金融機(jī)構(gòu)系統(tǒng)中保護(hù)密碼的設(shè)定、訪問動(dòng)態(tài)控制的權(quán)限的設(shè)定、信息漏洞檢測的設(shè)定以及系統(tǒng)審計(jì)技術(shù)的設(shè)定等，這些運(yùn)行系統(tǒng)技術(shù)的設(shè)定能夠有效保證信息系統(tǒng)的安全穩(wěn)定的運(yùn)行，筆者在此進(jìn)行了詳細(xì)的分析介紹，以便于為今后金融行業(yè)信息系統(tǒng)安全管理提供可參考的依據(jù)。

1 金融信息系統(tǒng)的發(fā)展歷程

隨著現(xiàn)代科技技術(shù)的不斷創(chuàng)新，國內(nèi)金融信息產(chǎn)業(yè)共經(jīng)歷四個(gè)發(fā)展階段，尤其是在近幾年金融信息產(chǎn)業(yè)分發(fā)展速度尤為迅猛。第一階段是在20世紀(jì)70年代末，國內(nèi)金融行業(yè)還處于發(fā)展起步階段，銀行業(yè)的存儲(chǔ)方式還是采用的是人工手記的方式，并且這種方式的存儲(chǔ)存有主觀的弊端因素，主要是因?yàn)槿藶槊つ啃暂^大，對一些大型數(shù)據(jù)統(tǒng)計(jì)時(shí)，容易造成客觀因素的疏忽，使金融產(chǎn)業(yè)最后出現(xiàn)虧損的現(xiàn)象；第二階段為20世紀(jì)80年代末，此時(shí)計(jì)算機(jī)變應(yīng)用到了信息化產(chǎn)業(yè)結(jié)構(gòu)中，當(dāng)時(shí)計(jì)算機(jī)還沒有得到有效的普及，對于當(dāng)時(shí)的互聯(lián)網(wǎng)技術(shù)還沒有進(jìn)行全面的發(fā)展，金融行業(yè)便采用計(jì)算機(jī)進(jìn)行內(nèi)部的應(yīng)用程序進(jìn)行業(yè)務(wù)的辦理；第三階段為20世紀(jì)90年代中期，互聯(lián)網(wǎng)信息產(chǎn)業(yè)進(jìn)入到國內(nèi)市場，于此金融結(jié)構(gòu)便采用聯(lián)網(wǎng)的方式進(jìn)行業(yè)務(wù)的辦理以及支付的結(jié)算；第四階段為當(dāng)今信息產(chǎn)業(yè)化的發(fā)展模式，不僅能夠利用互聯(lián)網(wǎng)進(jìn)行相關(guān)業(yè)務(wù)的辦理，并且還可以采用網(wǎng)上支付系統(tǒng)進(jìn)行現(xiàn)款的結(jié)余，使得處理效率與傳統(tǒng)相比有了明顯的提升。

2 金融信息系統(tǒng)安全性分析

網(wǎng)絡(luò)系統(tǒng)的安全性始終是金融行業(yè)關(guān)注的熱點(diǎn)話題，主要是因?yàn)楝F(xiàn)代產(chǎn)業(yè)進(jìn)行了集中控制管理，信息產(chǎn)業(yè)化規(guī)模集中控制已成為當(dāng)今信息產(chǎn)業(yè)發(fā)展的主流趨勢，所以必須保證運(yùn)行環(huán)境的安全性。不但關(guān)系到整個(gè)金融行業(yè)的動(dòng)態(tài)變化，而且也影響著國家經(jīng)濟(jì)命脈的動(dòng)態(tài)變化。

2.1 金融信息產(chǎn)業(yè)面臨的威脅因素

信息產(chǎn)業(yè)的安全主要從保密性、穩(wěn)定性、有效性進(jìn)行分析，其中保密性針對的是內(nèi)部數(shù)據(jù)信息資源不外泄，保留原始的數(shù)據(jù)狀態(tài)。穩(wěn)定性指的是不容易的產(chǎn)生邏輯性錯(cuò)誤，導(dǎo)致信息數(shù)據(jù)發(fā)生巨變。有效性是針對數(shù)據(jù)信息的正確性，對處理后的數(shù)據(jù)能夠與原備份的信息數(shù)據(jù)完全吻合，保證處理數(shù)據(jù)信息的正確性。金融機(jī)構(gòu)在支付系統(tǒng)中面臨的主要威脅存在三個(gè)因素，包括通信系統(tǒng)存有的威脅性、數(shù)據(jù)存儲(chǔ)系統(tǒng)存有的威脅性以及后期數(shù)據(jù)處理存有的威脅性。其中對于通信傳輸系統(tǒng)存有的威脅性主要表現(xiàn)在數(shù)據(jù)信息在傳遞過程中容易遭受攻擊，造成支付數(shù)據(jù)的丟失，無法完成交易處理。數(shù)據(jù)存儲(chǔ)的風(fēng)險(xiǎn)威脅表現(xiàn)在參與者交付的信息不能進(jìn)行有效的登記，這種現(xiàn)象造成的原因可能是網(wǎng)絡(luò)安全系統(tǒng)存有一定的安全隱患，導(dǎo)致接收的信息不能有效的反饋至終端設(shè)備，使數(shù)據(jù)信息發(fā)生丟失的現(xiàn)象。最后便是后期數(shù)據(jù)處理過程中存有的威脅，支付系統(tǒng)在完成數(shù)據(jù)信息的統(tǒng)計(jì)后，需要將企業(yè)內(nèi)部的數(shù)據(jù)信息進(jìn)行匯總，對數(shù)據(jù)信息統(tǒng)一處理。但在后期數(shù)據(jù)得不到有效性處理，使金融行業(yè)機(jī)構(gòu)無法對后期的數(shù)據(jù)核算。

2.2 信息安全防范技術(shù)

對于信息產(chǎn)業(yè)安全防范的技術(shù)有多種，密碼技術(shù)是比較傳統(tǒng)的一種通用技術(shù)，采用輸入數(shù)字的方式來設(shè)置固態(tài)密碼鎖，利用輸入密碼的方式進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)后臺(tái)系統(tǒng)的操作，參與者在支付系統(tǒng)中可以很方便的完成數(shù)據(jù)信息的結(jié)算。訪問控制技術(shù)也是金融行業(yè)所發(fā)展的一種模式，這種技術(shù)的控制形式分為動(dòng)態(tài)型和固態(tài)型。固態(tài)型是輸入口令的方式，需要參與者輸入口令的密碼便可解鎖，但存有一定的弊端性，不是參與者本人也可以進(jìn)行動(dòng)態(tài)口令的操作，使用戶數(shù)據(jù)信息丟失的可能性較大。對于固態(tài)型采用的輸入方式為指紋、眼角膜信息的識(shí)別。這種方式的輸入程序具有一定的局限性，但是加密性能好，能夠保證用戶信息的安全性。但對于金融機(jī)構(gòu)的存取控制模型有一定的限制要求，每個(gè)銀行產(chǎn)業(yè)機(jī)構(gòu)所制定的安全標(biāo)準(zhǔn)不一致，所以這種加密技術(shù)采用結(jié)合金融機(jī)構(gòu)統(tǒng)一模式進(jìn)行制定，防止因數(shù)據(jù)信息采集不一致導(dǎo)致無法完成操作系統(tǒng)的支付程序。

3 金融行業(yè)信息安全系統(tǒng)的改進(jìn)措施

3.1 構(gòu)建IT服務(wù)管理體系標(biāo)準(zhǔn)

隨著經(jīng)濟(jì)全球化的不斷發(fā)展，各大銀行的產(chǎn)業(yè)機(jī)構(gòu)也逐步走向戰(zhàn)略型發(fā)展規(guī)劃的道路上，加大了對國外金融產(chǎn)業(yè)之間的競爭。對于各大金融機(jī)構(gòu)對IT管理服務(wù)條例上也具有不同的管理標(biāo)準(zhǔn)，要求參與者在對業(yè)務(wù)支付時(shí)，保證對IT服務(wù)的管理項(xiàng)目做出明確的分析，嚴(yán)格按照各大金融制定的標(biāo)準(zhǔn)去執(zhí)行。防止參與者在交易時(shí)，系統(tǒng)處于繁忙狀態(tài)無法進(jìn)行有效的交易。對于IT管理者在滿足金融業(yè)務(wù)的需求的同時(shí)，避免在短時(shí)間內(nèi)進(jìn)行業(yè)務(wù)系統(tǒng)的刷新，主要是在刷新過程中用戶的數(shù)據(jù)信息不能完全有效的保留，這樣會(huì)造成業(yè)務(wù)數(shù)據(jù)信息的丟失。所以在構(gòu)建IT服務(wù)管理標(biāo)準(zhǔn)時(shí)，應(yīng)按照各大銀行機(jī)構(gòu)的交易量進(jìn)行制定，既能滿足參與者對支付平臺(tái)的需要，又能使信息產(chǎn)業(yè)平臺(tái)資源得到充分的利用。其中建設(shè)銀行在構(gòu)建IT服務(wù)管理體系標(biāo)準(zhǔn)時(shí)，劃分了三個(gè)等級(jí)進(jìn)行實(shí)現(xiàn)IT服務(wù)管理項(xiàng)目指標(biāo)，第一階段為建立完善的服務(wù)標(biāo)準(zhǔn)體系，對各個(gè)流程的管理層面進(jìn)行細(xì)致化的劃分，使得管理流程有序進(jìn)行。第二階段為配置服務(wù)項(xiàng)目流程，配置的流程為業(yè)務(wù)數(shù)據(jù)流程、產(chǎn)業(yè)信息發(fā)布流程、服務(wù)項(xiàng)目流程，對每個(gè)項(xiàng)目流程的配備要符合金融企業(yè)的發(fā)展規(guī)劃。第三階段便是為安全支撐網(wǎng)業(yè)務(wù)體系的建立，對IT服務(wù)類型的項(xiàng)目實(shí)行保證有一個(gè)安全穩(wěn)定的運(yùn)行環(huán)境。

3.2 加強(qiáng)金融行業(yè)安全防范建設(shè)

安全風(fēng)險(xiǎn)系統(tǒng)的建立始終是國內(nèi)金融機(jī)構(gòu)探討的熱點(diǎn)話題，主要是風(fēng)險(xiǎn)因素的存在使金融機(jī)構(gòu)的運(yùn)行存有一定的風(fēng)險(xiǎn)性。隨著當(dāng)前金融機(jī)構(gòu)安全風(fēng)險(xiǎn)意識(shí)的不斷加強(qiáng)，對該建設(shè)的力度也正投入發(fā)展規(guī)劃區(qū)域范圍內(nèi)，近幾年隨著金融機(jī)構(gòu)的信息產(chǎn)業(yè)的不斷完善，對巴塞爾資本協(xié)議提出了新的規(guī)劃方案，重點(diǎn)在于加強(qiáng)金融行業(yè)安全標(biāo)準(zhǔn)體系，對非控制訪問的系統(tǒng)加強(qiáng)對其監(jiān)督流程，保證金融系統(tǒng)安全穩(wěn)定的運(yùn)行。加大對外界數(shù)據(jù)的抵賴性，外圍的終端系統(tǒng)會(huì)向金融終端提供一些數(shù)據(jù)信息的原發(fā)證據(jù)，導(dǎo)致參與者支付的信息不能進(jìn)行有效的處理。其次加強(qiáng)對參與者用戶密碼設(shè)定的程序流程，多采用一些數(shù)字密碼。這種密碼的加密性比一些動(dòng)態(tài)口令存有的安全性較高，保證用戶個(gè)人信息的安全性。

4 結(jié)束語

通過對金融行業(yè)信息系統(tǒng)安全性的分析，其中在網(wǎng)絡(luò)體系結(jié)構(gòu)規(guī)劃發(fā)展中會(huì)遇到各種威脅性的因素，包括通信系統(tǒng)的傳輸過程、數(shù)據(jù)存儲(chǔ)過程以及后期動(dòng)態(tài)處理過程中都會(huì)遭受不同程度的威脅因素。后期通過加大對安全因素的建設(shè)力度，使得網(wǎng)絡(luò)系統(tǒng)在運(yùn)維管理上減少了安全威脅性的因素，在IT管理項(xiàng)目上既要滿足參與者對金融業(yè)務(wù)的需求，又能保證網(wǎng)絡(luò)資源的有效利用，充分發(fā)揮金融機(jī)構(gòu)所固有的潛能。

參考文獻(xiàn)

[1]中國人民銀行.銀行計(jì)算機(jī)信息系統(tǒng)安全技術(shù)規(guī)范[M].北京：電子工業(yè)出版社，2007：16-18.

[2]張仁斌，李鋼，侯整風(fēng).計(jì)算機(jī)病毒與反病毒技術(shù)[M].北京：清華大學(xué)出版社，2003：5-7.

[3]楊堅(jiān)爭，趙雯，楊力帆.電子商務(wù)安全與電子支付[M].北京：機(jī)械工業(yè)出版社，2006：41-43.

[4]張紅旗，王新昌，楊英杰，唐慧林.信息安全管理[M].北京：人民郵電出版社，2007：27-29.

[5]蔣睿，胡愛群，陸哲明.網(wǎng)絡(luò)信息安全理論與技術(shù)[M].武漢：華中科技大學(xué)出版社，2007：15-16.

[6]顧巧論，高鐵杠，賈春福.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社，2007：15-18.endprint