淺析大數據時代金融信息安全

李明珂

大數據時代下，數據量指數級的增長是非常驚人也相當復雜，對金融領域來說，保證金融信息數據安全非常重要。隨著金融系統的不斷增加和升級，越來越多的金融主體以各種方式進行互聯互通，這也給信息安全監管帶來了巨大挑戰，金融信息會暴露在各種潛在威脅之中，如果金融信息安全得不到很好的保障，可能導致嚴重的后果。

信息技術的迅猛發展，大數據已經成為經濟社會發展中一個重要基礎，就目前發展情況來看，還依然存在著安全方面的問題。大數據既帶來了機遇也帶來了挑戰，尤其是金融信息安全方面的問題需要重視起來。大數據就是在一定時間和范圍內對數據進行采集、分析和整理，并且在處理過程中依托新模式使信息更加全面準確。大數據具有體量大、類型多、價值高、處理速度快、準確度高等特點，并且已經逐漸應用到各個領域。在處理使用過程中，除了傳統的數據處理外，還可以對非結構化數據進行相應處理，找出不同數據之間的相關性，為制定合理決策提供數據支持，提高其合理性和科學性。大數據已經不單單是一類科技集成，更多的是思想價值觀念的體現，它可以使得人們在處理數據過程中改變傳統認知，通過運用大數據思維和處理手段得到不一樣的解決方案。

一、大數據時代金融信息安全面臨風險

隨著各類信息技術在金融領域的廣泛應用，傳統金融運營模式發生著深刻變化。電子商務、網上銀行、網上證券、手機支付、網絡集中代收付等網絡金融正在蓬勃發展。大數據伴隨著數據增大和集中趨勢，金融信息化加速的同時也增加了信息安全風險，加之一些敏感數據存在灰色地帶以及部分技術依賴于國外技術，使得金融信息安全面臨風險，這主要表現在技術和管理兩個方面。

在技術方面：一是數據安全威脅。數據龐大、復雜程度更高、敏感性更強，在網絡環境下大數據更易成為攻擊目標，由于數據更加集中，數據一旦受到威脅，一次性被破壞的數據體量也會更大。目前，隨著經濟社會發展，金融信息化程度已經到了一個相當高的程度，這對金融業務系統運行可靠性和安全性提出了更高的要求。在一些技術領域方面，其體系并不完善，有些硬件設施設備和技術還依賴于國外技術，這些因素的疊加都使得大數據時代金融信息安全風險系數越來越高。二是數據終端威脅。我國已經成為全球最大的終端使用市場，而這些終端又是數據安全防護關鍵所在。終端設備在使用過程會存儲大量信息，一旦遭到破壞會使數據信息泄露。在金融信息已經實現網絡化的今天，金融信息系統會通過互聯網與終端設備更好地實現互聯，在采集、儲存、傳輸和處理中發揮越來越重要的作用，信息量的增多也增加了被入侵和攻擊的概率。三是數據虛擬威脅。數據虛擬技術是用戶訪問數據、管理和優化異構基礎架構的技術，在實現數據虛擬后，有效避免越權訪問或數據泄露就顯得尤為重要。在金融電子業務不斷拓展和網上業務使用增多的情況下，數據處理的復雜程度也越來越高，涉及的金融領域犯罪活動也呈現增多趨勢的情況下，來自網絡的虛擬數據入侵和攻擊也在增加。

在管理方面：一是相關法律制度有待完善。近年來，我國金融領域信息化程度發展突飛猛進，無論是哪個層面都享受到了金融信息化所帶來的高效和便利，但是在大數據背景下，相關法律制度存在一定滯后，這些問題使得金融信息安全監管存在漏洞。二是安全意識有待加強。大數據時代的金融信息安全不單是相關部門或金融機構的事情，特別是對于金融領域終端客戶，都需要加強自身防范工作。從目前情況看，在金融信息安全不斷受到威脅的情況下，一些終端客戶特別是個人客戶，金融信息安全意識薄弱，表現在其認為金融信息安全防范與個人無關。三是應急處置能力有待加強。在大數據時代，金融信息安全涉及多方內容，如果信息安全受到威脅，其應急處置能力弱會造成嚴重的破壞或損失。如何應對可能發生的各類突發事件，以最快速、最有效的手段解決問題進行應急處置是保證大數據時代金融信息安全的關鍵。由于我國信息化起步晚，在技術、人員還存在許多短板，這些問題都亟待解決。

二、大數據時代金融信息安全體系建立

大數據時代的數據量龐大復雜，保障這些數據信息安全尤為重要，鑒于大數據時代金融信息安全面臨的風險挑戰，金融信息安全風險系數更高，因此需要從技術和管理兩個方面，建立全方位、多層次的安全體系，進而保證金融信息安全。

一是建立核心信息安全防護系統。信息核心是金融領域所有業務運行的基礎，這里包括了金融領域信息服務和網絡管理等，這個方面對業務運行有著較高的要求，其管理復雜、數據封閉性強等特點，其是否安全會對整個金融信息穩定運行會產生重要影響。數據結構化對保障數據安全發揮著重要作用，能夠高效地識別出非法數據，所以需要鑒別出影響信息安全因素，在侵入和攻擊發生前，監測這些危險并做好預防，進而保障全系統安全。

二是建立信息交流安全防護系統。金融信息交流是實現金融活動的關鍵，特別是信息交流區承載著系統與外部互通的關鍵功能，由于信息交流通過互聯網與外界連接，在交流過程中會涉及到金融敏感業務信息，因此對系統的安全性和業務的連續性也會有更高的要求，計算機病毒、黑客攻擊具有隱蔽性強、危害性大等特點，一旦系統被攻擊或破壞，后果不堪設想，所以建立信息交流安全防護系統很有必要。

三是建立信息內部安全防護系統。目前，多數金融系統內部網絡更加注重通用性設計，在安全性方面會稍有欠缺，所以需要加強這方面的設計，在設計過程中把安全性作為重要指標，加強對內部系統和節點安全性控制，有效解決當前內部系統防御設計孤立化、在防范各類攻擊和入侵過程中比較被動、較難形成較強的對抗，進而形成有效防護。具體措施可以在設計階段就需要充分考慮內部安全防護問題，對系統及節點控制從一開始就要采用集中化處理手段，將控制執行到位，這樣才能對整個系統起到應有的保護作用。同時，應注重內部辦公系統的安全防護問題，因為在金融領域內部使用辦公系統，病毒有可能存在于共享文件中，在系統內部實現互傳，進而會加速對系統破壞的可能性?？梢酝ㄟ^設置防火墻等方式，對來自不同網絡信息進行安全篩選和風險控制，并根據安全性要求有針對性地控制信息內部安全。

四是建立管理區域安全防護系統。確保金融信息安全既要考慮技術手段因素，也要考慮從管理手段人手，管理是通過人來實現的。這就需要有專門的人員負責整個網絡的管理，定期檢查各種網絡設備、安全設備、監測設備等，并查看其是否有狀態異常的情況，及時采取防范措施定期對技術和設備進行升級。作為從事該項目人員必須要有較強的安全意識，完善相關制度機制，提供針對性的管理和技術支持。

三、大數據時代金融信息安全應對措施

結合金融領域所面臨的信息安全風險，建立與之相對應的安全體系，其目標是通過各類制度、技術和措施構建一個全方位的金融信息安全體系，為金融信息業務高速建設和發展提供堅實保障。

一是完善相關法規制度建設。在大數據時代金融信息安全，法規和制度建設是必不可少的一個環節，也是至關重要的一環。目前，我國相關法規和各類規章制度中，與信息安全有關的較多。它們涉及方方面面，如信息系統安全、信息內容安全、計算機病毒與危害性程序防治、信息安全犯罪等各個方面，這其中也涵蓋了金融等特定領域的相關法規制度，使其有了初步法規制度的保障。但是，其相關條款更新速度往往還跟不上信息安全領域出現的新情況，存在一定滯后性，特別針對金融信息安全特定領域，還需更具可操作的具體規范。因此，需要繼續完善并細化金融信息安全方面法規和制度，制定金融信息安全具體操作細則。另外，金融領域各個主體都應該高度重視自身信息安全管理制度建設，在完善法規制度的同時，對其落實情況進行有效監督，確保制度能夠得到貫徹。

二是提高金融信息安全意識。各金融主體要加強自身安全防范和內控管理，做好本系統人員信息安全培訓工作，明確部門、崗位和人員管理責任，從思想意識上提升金融信息安全重視程度;同時加強對金融信息安全宣傳力度，對相關領域、群體加強必要的信息安全防范技能宣傳，提高他們的意識。從金融個體來說，也要加強金融信息安全風險防范意識，不能簡單地認為金融信息安全與個人無關。

三是加強金融信息安全頂層設計。金融信息安全也是一項系統工程，其各類金融信息安全運行穩定離不開各類體系的建立和維護，所以需要站在更高層次做好頂層設計，在安全保障方面提供最尖端、最嚴密的技術支持，加快技術、體系、人才等方面建設，不斷建立和完善各類體系和系統，始終關注金融業務整體發展態勢，實現金融信息安全有效預測和防范。

四是加快大數據技術研發運用。隨著大數據普及，其技術對數據信息的采集、分析、處理和存儲過程中會如現的隱患，需要加大對大數據信息安全保障技術的研究，如對大數據隱私安全保護技術的研究、如何使用數據發布匿名保護技術、信息數據來源追溯技術。再比如，運用好大數據技術，有效區分正常和惡意活動，才能保證金融信息受到攻擊后能快速應對各類突發情況。通過分析特點和規律，可以建立一套有效模型，對大數據信息進行整合，實現各數據庫之間信息安全共享，有效應對金融信息安全攻擊。

五是健全金融信息安全體系。大數據時代金融信息安全是一項復雜工作，需要各級多部門多領域協調配合，只有齊頭并進才能做好金融信息安全保護工作。要加快金融信息安全體系建設，最大程度地提升金融信息安全水平。推動信息安全產業鏈合作聯合防控風險，在建設完善防控基礎上，可以通過聯合防控、安全聯盟、紅黑名單、風險信息共享、大數據安全分析挖掘、行業安全預警等方面對信息安全風險進行聯合防范化解。同時，通過人員交流培訓、經驗分享等不斷發現問題、分析問題和解決問題，提高信息安全防范應對能力和溝通協作能力。

六是加大應急災備建設力度。應急災備是整個金融信息系統安全保障的最后一道防線，即便是在金融信息安全各方面的風險已經可以有效控制的情況下，仍然避免不了各類突發情況的發生，特別是在緊急情況如大規模災難事件發生時如何保證金融數據信息安全，進而保證金融業務的正常運行，就需要加大應急災備建設力度。從目前的調研情況看，我國大型金融機構基本實現了業務和數據集中處理，初步建立了異地災備系統和災難恢復應急保障機制。盡管在這方面做了大量工作，但由于建設和完善的時間還不長，全國層面的大數據處理中心管理、災難備份機制和應急處置等方面還缺少足夠的經驗。近些年，個別金融機構由于信息系統故障而導致大面積、大范圍、長時間業務中斷，產生較大的社會影響。這需要制定相對完善、低風險的災難應急演練方案并定期進行實戰演練，實地檢驗金融信息系統抗災能力和需要改進的問題、環節。

七是注重保障基礎設施建設。在國家層面，需要不斷完善大數據金融信息安全保障基礎設施，基于金融信息安全能力可以采用產業化思路建設大數據金融信息安全保障基礎設施。如金融系統仿真信息安全分析、信息安全態勢聯防聯控感知與監測預警、金融系統信息安全服務平臺、信息安全大數據分析、深度運維系統工程、國產化設備與系統替代、信息安全服務替代、計算機防護加固等，建立面對新業務、新技術、新威脅、新挑戰的基礎設施。

八是積極探索有效監管措施。可以借鑒國外先進金融信息安全管理經驗，為積極探索有效監管措施提供參考。同時，各級金融領域主體要加快轉變監管模式，明確責任界限和標準，建立健全跨部門聯合監管機制，在做好日常監管的同時做好對出現問題進行不定期抽查，切實提高金融信息安全監督管理能力。需要強調的是，各部門要打通數據壁壘，發揮好信息披露在金融管理中的重要作用。金融領域主管部門要及時關注研判風險，結合具體實際給出具體解決措施，使監管措施得當有效。

九是管控金融信息技術風險。為有效避免在金融信息風險發生時陷入被動局面，各金融主體需要管控金融信息技術風險，從根本上保證投資者資產及其信息安全。為此，需要建立日常維護制度，做好重要數據保護運行，管理好金融數據，做好硬件軟件日常維護;可以建立防火墻制度，如定時清理病毒、嚴格控制使用權限、防范網絡技術出現問題等;建立應急維護方案，如在系統遭受黑客、病毒攻擊，或因其他因素造成系統中斷甚至是崩潰，能有一套完善的緊急處理方案對抗風險。