柳 輝

哈爾濱金融學(xué)院，黑龍江 哈爾濱 150030

前言

金融業(yè)的有序發(fā)展，絕對(duì)離不開信息安全的可靠保證。近幾年的國(guó)際金融危機(jī)，使得金融系統(tǒng)的潛在風(fēng)險(xiǎn)控制和有效的安全監(jiān)管得到的高度的重視。因此，金融業(yè)在依賴程度上對(duì)信息技術(shù)的青睞越來(lái)越高，對(duì)于信息安全來(lái)說(shuō)，保障金融業(yè)信息安全的難度也在增大。

1 存在的問(wèn)題

2005年六月十八日，美國(guó)爆發(fā)了有史以來(lái)最嚴(yán)重的信息安全事件，多家當(dāng)?shù)卮笮推髽I(yè)包括美國(guó)運(yùn)通公司和VISA在內(nèi)，服務(wù)商的網(wǎng)絡(luò)數(shù)據(jù)處理中心均被黑客的惡意程序侵入并截獲了其中4000萬(wàn)多個(gè)客戶資金的相關(guān)信息。而這樣的信息盜竊案件在我國(guó)銀行、證券和金融機(jī)構(gòu)也時(shí)有發(fā)生。

2 問(wèn)題的原因

2.1 核心技術(shù)與生產(chǎn)設(shè)備落后且存在安全隱患，缺乏獨(dú)立自主創(chuàng)新意識(shí)，過(guò)分依賴國(guó)外

當(dāng)今我國(guó)大部分金融業(yè)的信息和網(wǎng)絡(luò)管理所使用的信息技術(shù)，普遍的存在安全漏洞與安全隱患。大部分是開發(fā)者在研發(fā)過(guò)程中或疏忽或無(wú)力解決的難題。而正是這些疏忽和漏洞，才使得網(wǎng)絡(luò)黑客有機(jī)可乘，從而進(jìn)一步對(duì)內(nèi)部深層信息修改或破壞。另一方面，我國(guó)金融業(yè)所使用的網(wǎng)絡(luò)信息系統(tǒng)和設(shè)備，大部分是國(guó)外研發(fā)與生產(chǎn)的，包括相關(guān)芯片和數(shù)據(jù)庫(kù)等重要環(huán)節(jié)，而國(guó)外研發(fā)機(jī)構(gòu)是斷不會(huì)提供我們先進(jìn)的生產(chǎn)技術(shù)與設(shè)備，這就是我國(guó)金融業(yè)在信息網(wǎng)絡(luò)系統(tǒng)方面落后的原因。

2.2 數(shù)據(jù)集中度與風(fēng)險(xiǎn)集中度成正比

在我國(guó)金融業(yè)信息系統(tǒng)和網(wǎng)絡(luò)的管理中，往往會(huì)希望得到數(shù)據(jù)大集中的現(xiàn)象以方便管理，但隨之也帶來(lái)了管理的風(fēng)險(xiǎn)。因?yàn)樗袛?shù)據(jù)都由當(dāng)前系統(tǒng)維系與存儲(chǔ)，一旦系統(tǒng)崩潰或發(fā)生災(zāi)難，其下設(shè)的所有分支機(jī)構(gòu)、業(yè)務(wù)辦理處及營(yíng)業(yè)中的網(wǎng)點(diǎn)也將隨著大量重要數(shù)據(jù)的丟失，造成癱瘓。典型事件就是日本花旗銀行在2006年，因在交易中出現(xiàn)系統(tǒng)故障，導(dǎo)致二十七萬(wàn)多元公共事業(yè)繳費(fèi)被重復(fù)扣劃，造成該行當(dāng)月月結(jié)記錄混亂，更蒙受了巨大的聲譽(yù)損失。

2.3 薄弱的災(zāi)難處理能力

2009年，人民銀行調(diào)查了我國(guó)21家商業(yè)銀行的災(zāi)備中心建設(shè)情況，結(jié)果令人驚訝，當(dāng)中只有3家銀行建立了既有本地處理又含異地處理的災(zāi)難準(zhǔn)備中心，有3家竟沒(méi)有任何災(zāi)難準(zhǔn)備中心做信息安全保障。由此可見(jiàn)我國(guó)金融行業(yè)在信息安全方面所產(chǎn)生的可能性災(zāi)難，其處理及應(yīng)變能力有多么的薄弱。

3 解決方法

3.1 技術(shù)方面

技術(shù)領(lǐng)域的信息化安全可以細(xì)分為傳統(tǒng)技術(shù)和新技術(shù)。而傳統(tǒng)技術(shù)又可細(xì)分為數(shù)據(jù)安全技術(shù)、信息隱藏技術(shù)、數(shù)據(jù)發(fā)現(xiàn)技術(shù)、網(wǎng)絡(luò)安全檢測(cè)與監(jiān)控技術(shù)、網(wǎng)絡(luò)及系統(tǒng)防護(hù)技術(shù)、系統(tǒng)安全檢測(cè)與監(jiān)控技術(shù)、安全管理平臺(tái)技術(shù)、病毒代碼檢測(cè)與消除技術(shù)、蓄意代碼檢測(cè)與消除技術(shù)、身份認(rèn)證技術(shù)、業(yè)務(wù)連續(xù)性技術(shù)。另一方面，可信計(jì)算平臺(tái)技術(shù)、可信網(wǎng)絡(luò)平臺(tái)和可信應(yīng)用平臺(tái)技術(shù)、多代理技術(shù)、數(shù)字標(biāo)簽技術(shù)、無(wú)第三方認(rèn)證與行為可信認(rèn)證技術(shù)、監(jiān)管信息化和信息化監(jiān)管技術(shù)、網(wǎng)絡(luò)對(duì)抗技術(shù)、多代理計(jì)算網(wǎng)格技術(shù)等技術(shù)為新技術(shù)。

3.2 管理方面

面對(duì)我國(guó)金融行業(yè)的信息安全現(xiàn)狀，有必要加強(qiáng)金融服務(wù)的專業(yè)指導(dǎo)和其相關(guān)行業(yè)的監(jiān)管。帶動(dòng)每一個(gè)成員參與安全體系的創(chuàng)建，對(duì)引入的新型信息管理技術(shù)也要進(jìn)行風(fēng)險(xiǎn)的防護(hù)與監(jiān)測(cè)。久而久之，才能在金融信息安全的道路上走出獨(dú)立、自主、創(chuàng)新的特點(diǎn)。我們可以通過(guò)發(fā)展、創(chuàng)新原有業(yè)務(wù)來(lái)提高金融信息的安全性。當(dāng)今許多先進(jìn)的技術(shù)，像云技術(shù)、3G和因特網(wǎng)、SOA，都可以在一定程度上推動(dòng)各金融行業(yè)業(yè)務(wù)的增長(zhǎng)。同時(shí)需要注意的是，大量先進(jìn)技術(shù)在帶來(lái)管理便宜的同時(shí)也帶來(lái)了相應(yīng)的風(fēng)險(xiǎn)。謹(jǐn)慎對(duì)待風(fēng)險(xiǎn)的同時(shí)我們更應(yīng)采取積極的態(tài)度謹(jǐn)慎對(duì)待應(yīng)對(duì)方式。

現(xiàn)如今，數(shù)據(jù)成為企業(yè)管理的重要工具，其安全的重要性日益顯露，而網(wǎng)絡(luò)黑客主要攻擊和竊取企業(yè)的核心重要數(shù)據(jù)，在日益猖獗的網(wǎng)絡(luò)攻擊的威脅下，作為經(jīng)營(yíng)多項(xiàng)網(wǎng)銀及網(wǎng)上數(shù)據(jù)業(yè)務(wù)的各銀行來(lái)說(shuō)，網(wǎng)銀潛在的風(fēng)險(xiǎn)，更加值得贏得高度重視和嚴(yán)格監(jiān)控。銀行應(yīng)積極主動(dòng)建立健全信息風(fēng)險(xiǎn)防控的相關(guān)安全措施與信息保障，在源頭做好監(jiān)管及防護(hù)工作。

4 金融單位可實(shí)施的措施

4.1 加密算法

數(shù)據(jù)在傳輸中時(shí)常會(huì)遇到諸如截取、中斷、篡改和偽造這四種威脅，這大大降低了相關(guān)數(shù)據(jù)信息的完整性，更關(guān)乎信息安全的可用性和保密性。因此，針對(duì)上述狀況，數(shù)據(jù)加密技術(shù)便應(yīng)運(yùn)而生。這項(xiàng)技術(shù)有效的對(duì)付了信息竊取的威脅，優(yōu)秀而成功的加密技術(shù)可以隱藏使用者的身份，從而可以避免信息在傳輸中的中斷或截取，只要核對(duì)預(yù)先設(shè)定成功的驗(yàn)證信息就可以校驗(yàn)信息和數(shù)據(jù)在運(yùn)營(yíng)過(guò)程中有沒(méi)有被篡改和偽造。

4.2 數(shù)字水印技術(shù)

數(shù)字水印技術(shù)在我們?nèi)粘?yīng)用中，最簡(jiǎn)單的例子便是我們?cè)诒鎰e人民幣真?zhèn)螘r(shí)，將人民幣置于光下，會(huì)發(fā)現(xiàn)真的紙幣中有清晰的圖像信息顯示出來(lái)。數(shù)字水印技術(shù)有其特有的性質(zhì)，用肉眼幾乎不可能看到，必須將水印必須放置于特定環(huán)境下才能被看到，水印的制作和復(fù)制方法比較復(fù)雜，需要及其特殊的工藝材料才能使得印刷品上的水印很難被去掉。正是由于這些特性，水印便被廣泛應(yīng)用于支票、證書、護(hù)照、發(fā)票等印刷品領(lǐng)域，印刷品是否包含水印是現(xiàn)如今判定真?zhèn)蔚囊粋€(gè)重要手段。

有了水印技術(shù)為例，人們將同樣的原理運(yùn)用到數(shù)字圖像和數(shù)字音樂(lè)的領(lǐng)域，便產(chǎn)生了“數(shù)字水印”的概念和技術(shù)數(shù)字水印技術(shù)的內(nèi)涵為向多媒體數(shù)據(jù)中添加必要的數(shù)字信息，其內(nèi)容就像要添加攝制者的信息到數(shù)碼相片中，或?qū)㈦娪肮镜男畔⑻砑拥皆跀?shù)字影碟中。類似于普通的水印技術(shù)，數(shù)字水印在各種多媒體數(shù)據(jù)中比如數(shù)碼相片中也幾乎是肉眼所看不見(jiàn)的，因其獨(dú)特的特性也不容易被破壞掉。種種數(shù)字水印技術(shù)的優(yōu)點(diǎn)與可行性使得它在當(dāng)今的信息時(shí)代尤為受到管理者的青睞。

4.3 入侵檢測(cè)

入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。這些都通過(guò)它執(zhí)行以下任務(wù)來(lái)實(shí)現(xiàn)：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；異常行為模式的統(tǒng)計(jì)分析；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。

5 結(jié)語(yǔ)

保障信息的安全度與可靠度是一個(gè)精細(xì)且嚴(yán)密的系統(tǒng)工程，它不只要求經(jīng)營(yíng)者和管理者對(duì)其重視，還需要決策層、管理層、技術(shù)層等相關(guān)環(huán)節(jié)的密切配合。結(jié)合著技術(shù)層面和管理層面，建立健全信息資源的安全制度，加強(qiáng)信息安全意識(shí)的教育和培訓(xùn)，增強(qiáng)信息在使用和管理過(guò)程中的自我保護(hù)意識(shí)，采取創(chuàng)新、嚴(yán)密的防范措施結(jié)合完善的安全管理機(jī)制。在信息高度集中的基礎(chǔ)上將風(fēng)險(xiǎn)集中度降到最低。金融業(yè)的信息、資源和數(shù)據(jù)的安全關(guān)系著我國(guó)經(jīng)濟(jì)的穩(wěn)定繁榮，因此金融行業(yè)應(yīng)認(rèn)真貫徹落實(shí)國(guó)家信息安全的工作要求，加快建立完備的安全防護(hù)體系，積極應(yīng)對(duì)挑戰(zhàn)。

[1]李改成.金融信息安全工程.機(jī)械工業(yè)出版社, 2010年

[2]方德英,黃飛鳴.金融業(yè)信息化戰(zhàn)略——理論與實(shí)踐.電子工業(yè)出版社,2009年

[3]丁育生,鄭妮妮.國(guó)際金融業(yè)務(wù).對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)出版社,2009年

[4]張洪金.金融業(yè)財(cái)稅實(shí)務(wù)與管理一本通.哈爾濱出版社,2010年

[5]周繼軍等.網(wǎng)絡(luò)與信息安全基礎(chǔ).清華大學(xué)出版社,2008年