金融企業(yè)信息安全管理現(xiàn)狀分析

楊遠(yuǎn) 崔朝 陳濤

【摘要】當(dāng)前面對(duì)日益嚴(yán)峻的安全國(guó)際形勢(shì)，金融行業(yè)作為中國(guó)的主要發(fā)展基礎(chǔ)產(chǎn)業(yè)也正面臨著嚴(yán)峻的安全挑戰(zhàn)。另一方面，金融機(jī)構(gòu)企業(yè)基礎(chǔ)配套設(shè)施的全面化及數(shù)字化轉(zhuǎn)型升級(jí)等也帶來(lái)了新的安全管理問(wèn)題。[1]我國(guó)金融機(jī)構(gòu)如何有效應(yīng)對(duì)新信息時(shí)代的安全管理挑戰(zhàn)，如何有效保護(hù)我國(guó)金融機(jī)構(gòu)重要業(yè)務(wù)信息的安全？本報(bào)告將通過(guò)案例分析金融信息安全在我國(guó)金融機(jī)構(gòu)企業(yè)的應(yīng)用概念、現(xiàn)存問(wèn)題、相關(guān)建議等，對(duì)金融企業(yè)應(yīng)當(dāng)如何面對(duì)嚴(yán)峻挑戰(zhàn)提供了一些對(duì)策。

【關(guān)鍵詞】金融企業(yè)、信息安全管理

1、金融企業(yè)信息安全管理相關(guān)概念

1.1、金融企業(yè)信息安全管理的定義

近年來(lái)，金融企業(yè)的業(yè)務(wù)規(guī)模和種類(lèi)迅速增長(zhǎng)，信息技術(shù)在商業(yè)銀行各項(xiàng)業(yè)務(wù)中的應(yīng)用越來(lái)越廣泛。[2]信息安全管理技術(shù)在促進(jìn)商業(yè)銀行提高效率、提高服務(wù)水平、擴(kuò)大業(yè)務(wù)范圍、優(yōu)化組織結(jié)構(gòu)等方面發(fā)揮著不可替代的作用。《新巴塞爾資本協(xié)議》將商業(yè)信息系統(tǒng)技術(shù)安全風(fēng)險(xiǎn)明確進(jìn)行界定已成為金融操作系統(tǒng)風(fēng)險(xiǎn)管理防控的一個(gè)重點(diǎn)。如何不斷調(diào)整和完善優(yōu)化商業(yè)信息安全風(fēng)險(xiǎn)管理體系架構(gòu)和規(guī)范業(yè)務(wù)流程，以不斷提高信息安全管理的風(fēng)險(xiǎn)管控防范管理能力，是現(xiàn)代金融企業(yè)當(dāng)前面臨的主要技術(shù)挑戰(zhàn)。

1.2、金融企業(yè)信息安全管理的目標(biāo)

金融服務(wù)企業(yè)必須正確使用各種技術(shù)性的網(wǎng)絡(luò)安全措施，如安全防火墻、入侵軟件檢測(cè)、反勒索病毒等網(wǎng)絡(luò)安全措施，以迅速有效消除干擾無(wú)線網(wǎng)絡(luò)的各種安全事件，以防止各種網(wǎng)絡(luò)病毒感染等惡性事件。

2、金融企業(yè)信息安全管理存在的問(wèn)題

2.1、金融企業(yè)信息安全管理的現(xiàn)狀

金融企業(yè)信息安全面臨兩大突出問(wèn)題。[3]首先，金融信息科技產(chǎn)品創(chuàng)新的技術(shù)發(fā)展推進(jìn)速度非常有限，科技上的創(chuàng)新與我國(guó)底層金融體系難以完美相互匹配。其次，國(guó)外金融產(chǎn)品的技術(shù)壟斷行為使得我國(guó)金融機(jī)構(gòu)企業(yè)內(nèi)部信息安全風(fēng)險(xiǎn)管理的費(fèi)用成本相對(duì)較高且持續(xù)安全管理更加困難。

2.2、信息安全管理形式單一

金融機(jī)構(gòu)企業(yè)對(duì)單一信息安全財(cái)務(wù)管理軟件的安全需求量雖然在不斷擴(kuò)大增加，但僅單一信息安全軟件產(chǎn)品是否一定能真正滿足整個(gè)金融機(jī)構(gòu)的安全需求仍然存在重大技術(shù)問(wèn)題。[4]

針對(duì)金融企業(yè)信息安全管理形式單一的問(wèn)題，本報(bào)告提出以下幾種防范階段：

一、初級(jí)保護(hù)：

初級(jí)安全保護(hù)應(yīng)該是組織信息安全生產(chǎn)管理二級(jí)保護(hù)的最低一個(gè)級(jí)別。初級(jí)安全保護(hù)的三個(gè)基本特征主要是：缺乏初級(jí)安全控制，缺乏安全風(fēng)險(xiǎn)管理控制能力，缺乏安全保護(hù)工作管理功能。

二、基礎(chǔ)防范：

基礎(chǔ)準(zhǔn)備是信息安全管理保護(hù)的第二級(jí)。基礎(chǔ)防范的基本特征是：安全管控比較分散、風(fēng)險(xiǎn)管理基礎(chǔ)較低、安全工作無(wú)序、安全事件反應(yīng)遲鈍、難以應(yīng)對(duì)監(jiān)管檢查。

三、體系化控制：

體系化安全控制也就是安全屬于發(fā)展到了第三個(gè)成熟的安全階段。體系化控制的基本特征是：建立安全監(jiān)控系統(tǒng)，建立了一套機(jī)制、風(fēng)險(xiǎn)管理、標(biāo)準(zhǔn)化和勞動(dòng)安全秩序，建立應(yīng)急能力，并符合安全合規(guī)要求。

四、主動(dòng)性防御：

主動(dòng)性防御即第四成熟的階段。主動(dòng)防御水平的基本特征是：初步安全控制、預(yù)防和控制先進(jìn)的威脅，安全性能的定量評(píng)估、監(jiān)測(cè)和預(yù)警、安全事件的實(shí)時(shí)數(shù)據(jù)和控制的基礎(chǔ)。

五、進(jìn)攻性防御：

進(jìn)攻成熟度最高水平的安全與防務(wù)。進(jìn)攻性安全防御的三個(gè)基本特征是：對(duì)于安全控制主動(dòng)實(shí)現(xiàn)智能化，安全技術(shù)對(duì)抗防御能力主動(dòng)實(shí)現(xiàn)智能化，安全技術(shù)價(jià)值的有效整合利用，對(duì)于潛在安全風(fēng)險(xiǎn)的有效預(yù)警，促進(jìn)網(wǎng)絡(luò)金融企業(yè)健康有序發(fā)展。

目前，絕大多數(shù)企業(yè)安全正處于第三層級(jí)階段，基本完全符合國(guó)家信息網(wǎng)絡(luò)安全監(jiān)管制度要求， 遇到問(wèn)題時(shí)有望及時(shí)解決。下一步將專(zhuān)注于如何建立主動(dòng)安全防御，以提高安全性。[5]

3、完善金融企業(yè)信息安全管理的建議

一、建立較為完善的網(wǎng)絡(luò)信息安全監(jiān)督管理制度：

要想有效預(yù)防和控制信息安全管理技術(shù)風(fēng)險(xiǎn)，首先要建立完善的信息技術(shù)安全管理體系，約束職員的行為，明確職員的責(zé)任，引導(dǎo)職員的思想。[6]同時(shí)，應(yīng)積極監(jiān)測(cè)信息系統(tǒng)，及時(shí)發(fā)現(xiàn)新問(wèn)題。

二、構(gòu)建全面的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)管理體系風(fēng)險(xiǎn)評(píng)估監(jiān)測(cè)和安全保障體系：

信息系統(tǒng)的健康是系統(tǒng)在整個(gè)生命周期內(nèi)安全性能的關(guān)鍵因素，并與生產(chǎn)安全密切相關(guān)。因此，企業(yè)應(yīng)在做好開(kāi)發(fā)及處理應(yīng)用系統(tǒng)繁瑣的服務(wù)同時(shí)，應(yīng)認(rèn)真做好應(yīng)用系統(tǒng)的前期開(kāi)發(fā)、測(cè)試維護(hù)工作，建立一個(gè)全面的信息技術(shù)風(fēng)險(xiǎn)監(jiān)控和保障體系。

三、鼓勵(lì)信息安全管理防范技術(shù)創(chuàng)新型研究：

對(duì)于大型金融系統(tǒng)企業(yè)進(jìn)行信息安全風(fēng)險(xiǎn)管理利用技術(shù)抵御風(fēng)險(xiǎn)，加強(qiáng)利用創(chuàng)新技術(shù)和研發(fā)裝備有利于提高系統(tǒng)的自我保護(hù)抵御技術(shù)風(fēng)險(xiǎn)的管理能力。目前，一些大型金融系統(tǒng)企業(yè)通過(guò)金融創(chuàng)新技術(shù)研究，大大提高了企業(yè)信息安全風(fēng)險(xiǎn)管理技術(shù)系統(tǒng)的風(fēng)險(xiǎn)防范能力。

結(jié)語(yǔ)：

隨著中國(guó)手機(jī)移動(dòng)客戶端和中國(guó)互聯(lián)網(wǎng)、云計(jì)算等金融信息網(wǎng)絡(luò)技術(shù)的不斷飛速發(fā)展，金融機(jī)構(gòu)的內(nèi)部金融商業(yè)信息管理體系環(huán)境越來(lái)越復(fù)雜，內(nèi)部金融信息管理系統(tǒng)與外部金融信息系統(tǒng)空間的商業(yè)管理體系界限也越來(lái)越模糊。與此同時(shí)，網(wǎng)絡(luò)攻擊者的各種不同攻擊方式等也越來(lái)越豐富，攻擊的電子文件涉及數(shù)量也在增加。

所以在新時(shí)代，金融企業(yè)除了過(guò)去的風(fēng)險(xiǎn)和威脅外，還面臨著許多新的風(fēng)險(xiǎn)，特別是在數(shù)據(jù)和應(yīng)用安全領(lǐng)域。這些新的威脅與金融情景密切相關(guān)，值得我們關(guān)注。

參考文獻(xiàn)：

[1]井鵬程，王真.計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀和防御技術(shù)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng) 用， 017（03） ：60-61.

[2]朱駿.基于網(wǎng)絡(luò)安全的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)現(xiàn)狀及發(fā)展研究[J].信息系統(tǒng)工 程， 017（03）：70-71.

[3]王劍.關(guān)于網(wǎng)絡(luò)安全技術(shù)的現(xiàn)狀分析及發(fā)展趨勢(shì)探討[J].數(shù)字通信世 界， 016（05） ：3 -33.

[4]艾戩.企業(yè)信息化建設(shè)中的信息安全探究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng) 用， 015（3） ：100-101.

[5]吳捷.企業(yè)信息化建設(shè)中信息安全問(wèn)題的研究[J].通訊世界， 016（1） ： 47- 48 【6】肖錕.淺議網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全管理[J].標(biāo)準(zhǔn)科學(xué)， 010（8） ： 0- 3.

[6]李慧.信息安全管理體系研究[D].西安電子科技大學(xué)， 014.