戚 爽

（長(zhǎng)春金融高等?？茖W(xué)校計(jì)算機(jī)系，吉林長(zhǎng)春130028）

一、金融信息安全概述及現(xiàn)狀

金融信息安全是根據(jù)金融信息系統(tǒng)在計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下的實(shí)際應(yīng)用需求，將密碼學(xué)、密鑰管理、身份認(rèn)證、訪問(wèn)控制、應(yīng)用安全協(xié)議和事務(wù)處理等信息安全技術(shù)運(yùn)用系統(tǒng)安全工程中，并能在系統(tǒng)運(yùn)行過(guò)程中發(fā)現(xiàn)、糾正系統(tǒng)暴露的安全問(wèn)題，它關(guān)系到金融機(jī)構(gòu)的生存和經(jīng)營(yíng)的成敗。

金融信息安全是在當(dāng)今惡劣的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下孕育而生的必然產(chǎn)物，它是金融信息系統(tǒng)得以生存的重要保障，各大金融機(jī)構(gòu)和在線零售業(yè)將金融信息安全視同資金安全一樣重要。近年來(lái)，隨著經(jīng)濟(jì)建設(shè)速度的加快及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在金融業(yè)的廣泛應(yīng)用，金融信息被賦予了更多新的特性，如快捷、便利和易獲取等。但當(dāng)計(jì)算機(jī)網(wǎng)絡(luò)的開(kāi)放性與金融信息的私密性發(fā)生碰撞時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下金融信息安全形勢(shì)就會(huì)更加嚴(yán)峻。僅以2014年一年中國(guó)內(nèi)外金融機(jī)構(gòu)及零售機(jī)構(gòu)接連不斷發(fā)生的影響性較大的信息安全事件為例：1月，韓國(guó)發(fā)生金融行業(yè)最大規(guī)模信用卡個(gè)人信息泄密事件，涉及約2 000萬(wàn)用戶，共1億多條客戶信息被泄露，最多的用戶有19項(xiàng)個(gè)人信息被泄露，多名高管因此事件引咎辭職。3月，攜程網(wǎng)被爆安全支付日志可便利下載，因此導(dǎo)致大量用戶銀行卡信息泄露。9月，美國(guó)家得寶公司確認(rèn)其支付系統(tǒng)遭到網(wǎng)絡(luò)攻擊，有近5 600萬(wàn)張銀行卡的信息被盜。面對(duì)如此嚴(yán)峻的形勢(shì)，人們?cè)诓粩嗟靥骄亢蛯ふ矣?jì)算機(jī)網(wǎng)絡(luò)與金融信息兩者并生并存的平衡點(diǎn)。

二、計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下金融信息安全保障體系的構(gòu)建思路

（一）運(yùn)用多樣化的信息安全技術(shù)

要確保金融信息的安全，必須實(shí)現(xiàn)信息安全技術(shù)的全面化與科技化，因?yàn)樗钦麄€(gè)金融信息安全體系的支柱?，F(xiàn)在比較常見(jiàn)的安全機(jī)制包括：數(shù)據(jù)完整性和保密性、身份認(rèn)證［1］、病毒防御、安全審計(jì)與跟蹤、系統(tǒng)安全等內(nèi)容。

1.保證網(wǎng)絡(luò)信息的完整性和私密性

在如今這個(gè)互聯(lián)網(wǎng)開(kāi)放程度很高的年代，各種信息包括網(wǎng)上銀行的信息在向互聯(lián)網(wǎng)傳輸?shù)耐瑫r(shí)都存在著安全隱患，因?yàn)槿魏斡脩舳伎梢酝ㄟ^(guò)網(wǎng)絡(luò)對(duì)信息進(jìn)行提取或者交換。數(shù)字簽名技術(shù)［2］在網(wǎng)上銀行的普遍應(yīng)用，很大程度上保證了信息傳輸?shù)耐暾?，并通過(guò)對(duì)信息發(fā)送者的身份認(rèn)證，很好地解決了在交易中容易出現(xiàn)的糾紛問(wèn)題。密鑰加密的方法可以有效防止發(fā)生通信業(yè)務(wù)流分析、抵賴、偽造、非授權(quán)連接和篡改消息、消息流被觀察和篡改等安全問(wèn)題，以保證信息的保密性。為了保證網(wǎng)絡(luò)中靜態(tài)信息的完整性和保密性，可使用密碼進(jìn)行保存和鎖定。

2.對(duì)網(wǎng)絡(luò)訪問(wèn)者進(jìn)行身份認(rèn)證

身份認(rèn)證是保障網(wǎng)絡(luò)信息安全的主要手段之一。通過(guò)它可以獲取并確認(rèn)網(wǎng)絡(luò)用戶的身份信息及訪問(wèn)權(quán)限，并確保企業(yè)或個(gè)人用戶的相關(guān)隱私信息被正確的人合理使用。身份認(rèn)證技術(shù)發(fā)展到今天普遍適用的技術(shù)包括數(shù)字證書(shū)、指紋識(shí)別、動(dòng)態(tài)密碼和靜態(tài)密碼認(rèn)證技術(shù)等。

3.建立健全網(wǎng)絡(luò)病毒預(yù)防機(jī)制

病毒防護(hù)系統(tǒng)是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要防線，建立健全病毒防護(hù)系統(tǒng)十分重要。在系統(tǒng)正常運(yùn)行過(guò)程中需進(jìn)行實(shí)時(shí)的病毒監(jiān)測(cè)，建立病毒庫(kù)對(duì)病毒進(jìn)行整理和收集。同時(shí)制定合理的防毒機(jī)制，對(duì)可能出現(xiàn)的病毒感染進(jìn)行預(yù)警，進(jìn)而采取有效的措施進(jìn)行防范。

4.加強(qiáng)安全審計(jì)與跟蹤力度

防止非法入侵作為網(wǎng)上銀行日常防護(hù)的重要內(nèi)容，一直以來(lái)對(duì)防火墻的依賴有增無(wú)減，但是防火墻并不能夠有效地防止所有的網(wǎng)絡(luò)非法入侵。因此，我們需要格外加強(qiáng)安全審計(jì)和事后追蹤的力度，提前對(duì)惡意攻擊和侵入主機(jī)行為進(jìn)行攔截，提供主動(dòng)的防御能力，對(duì)入侵者進(jìn)行有效的震懾和追查。

5.保障信息系統(tǒng)安全

金融信息系統(tǒng)中軟硬件設(shè)備的安全性設(shè)計(jì)與優(yōu)化配置是信息安全保障體系必不可少的重要環(huán)節(jié)。［3］其中，計(jì)算機(jī)軟件系統(tǒng)中包括操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、控制系統(tǒng)、應(yīng)用軟件等；硬件基礎(chǔ)設(shè)施包括計(jì)算機(jī)主機(jī)、網(wǎng)絡(luò)通訊設(shè)備、控制設(shè)備、智能卡、終端外設(shè)等。為防止系統(tǒng)出現(xiàn)異常情況時(shí)確保計(jì)算機(jī)網(wǎng)絡(luò)安全策略的順利執(zhí)行，實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)層的安全訪問(wèn)，必須認(rèn)真解決信息系統(tǒng)安全設(shè)計(jì)、生產(chǎn)、測(cè)試、運(yùn)營(yíng)、維護(hù)等方面的問(wèn)題，從而實(shí)現(xiàn)系統(tǒng)設(shè)備的安全。

（二）強(qiáng)化金融信息保密管理

近年來(lái)，信息技術(shù)在快速發(fā)展的同時(shí)也伴隨著諸多隱患，金融信息的保密性問(wèn)題顯得尤為重要。隨著科技的發(fā)展，盜竊密碼的手段多種多樣并十分隱蔽，密碼一旦被盜竊則危害極大，所以，保密工作面臨著諸多難題。金融行業(yè)的特殊性質(zhì)要求其信息必須具備嚴(yán)格的保密性，尤其信息在網(wǎng)絡(luò)中進(jìn)行上傳下達(dá)的過(guò)程中，其保密性更是不容忽視，因此，應(yīng)做到以下幾點(diǎn)。

1.樹(shù)立正確的保密意識(shí)

我國(guó)在加入世貿(mào)組織后，有些人一直持有“無(wú)密可保、有密難保和保密無(wú)用”等錯(cuò)誤認(rèn)識(shí)。這些錯(cuò)誤思想應(yīng)徹底杜絕，并通過(guò)各種途徑開(kāi)展廣泛宣傳，如對(duì)基層領(lǐng)導(dǎo)干部、各單位涉密人員和保密干部進(jìn)行相關(guān)方面的培訓(xùn)，對(duì)員工開(kāi)展群眾性的保密意識(shí)法制宣傳教育，使其了解金融保密工作時(shí)刻關(guān)系著國(guó)家安全和自身利益的重要性。

2.抓實(shí)保密管理工作

為了確保網(wǎng)絡(luò)金融信息安全體系的健全，金融行業(yè)應(yīng)逐步建立保密管理的相關(guān)機(jī)構(gòu)或部門(mén)，并要求有專人負(fù)責(zé)以便使管理更加規(guī)范化，其重點(diǎn)工作是強(qiáng)化涉密人員的崗位職責(zé)和對(duì)要害部位的重點(diǎn)監(jiān)察，并進(jìn)一步強(qiáng)化保密管理。

3.注重加密技術(shù)創(chuàng)新

開(kāi)展新型技術(shù)研發(fā)一直是保密工作的核心任務(wù)，只有不斷創(chuàng)新才能使保密工作更加堅(jiān)固。隨著網(wǎng)絡(luò)銀行的大力推廣，許多新型網(wǎng)絡(luò)安全技術(shù)也在逐漸普及和應(yīng)用，如密碼技術(shù)、防火墻技術(shù)、身份鑒別技術(shù)和病毒防御技術(shù)等。一些新興技術(shù)要盡快進(jìn)行完善，如網(wǎng)絡(luò)隔離和電子認(rèn)證技術(shù)。在硬件方面，我國(guó)在CPU開(kāi)發(fā)和操作系統(tǒng)內(nèi)核技術(shù)研究領(lǐng)域相對(duì)比較落后，應(yīng)加大開(kāi)發(fā)力度，盡快縮短差距。

（三）完善金融信息標(biāo)準(zhǔn)體系

建立健全金融信息的標(biāo)準(zhǔn)化體系給整個(gè)金融行業(yè)所帶來(lái)的好處毋庸置疑。近些年隨著我國(guó)金融信息技術(shù)的大力推廣，標(biāo)準(zhǔn)化體系已成為網(wǎng)絡(luò)行業(yè)相關(guān)技術(shù)發(fā)展的關(guān)鍵和迫切需要，也是使我國(guó)金融信息技術(shù)快速發(fā)展的重要措施。

對(duì)于我國(guó)的現(xiàn)代銀行業(yè)來(lái)說(shuō)，金融機(jī)構(gòu)應(yīng)該迅速建立健全相關(guān)部門(mén)，如科技信息部門(mén)應(yīng)該具體負(fù)責(zé)本機(jī)構(gòu)信息系統(tǒng)的統(tǒng)籌規(guī)劃、開(kāi)發(fā)建設(shè)和日常維護(hù)等技術(shù)方面的工作；風(fēng)險(xiǎn)管理部門(mén)專門(mén)負(fù)責(zé)信息管理系統(tǒng)的風(fēng)險(xiǎn)管理規(guī)章制度以及向有關(guān)部門(mén)提供相關(guān)的監(jiān)管信息；審計(jì)部門(mén)則負(fù)責(zé)建立信息系統(tǒng)審計(jì)制度，配備相關(guān)人員進(jìn)行信息的風(fēng)險(xiǎn)審計(jì)。根據(jù)金融信息標(biāo)準(zhǔn)設(shè)立安全管理機(jī)構(gòu)，并進(jìn)一步制定管理制度、法規(guī)與安全細(xì)則，將規(guī)范、監(jiān)督、管理和指導(dǎo)網(wǎng)絡(luò)金融信息系統(tǒng)的建設(shè)落到實(shí)處，從信息安全管理層面切實(shí)提高安全體系防范網(wǎng)絡(luò)風(fēng)險(xiǎn)和金融風(fēng)險(xiǎn)的級(jí)別。［4］

（四）構(gòu)筑信息安全服務(wù)后盾

數(shù)據(jù)的存儲(chǔ)是重要的網(wǎng)絡(luò)金融研究課題，而信息數(shù)據(jù)如何存儲(chǔ)才可保證網(wǎng)絡(luò)金融服務(wù)的連續(xù)性，保證在訪問(wèn)和交易過(guò)程中不會(huì)間斷甚至終止，是作為網(wǎng)絡(luò)金融信息安全研究學(xué)者必須要思考的問(wèn)題。一旦系統(tǒng)發(fā)生故障，可能會(huì)出現(xiàn)眾多問(wèn)題，比如業(yè)務(wù)中斷、客戶流失，甚至資金鏈斷裂等，隨之而來(lái)的后果便是金融企業(yè)的競(jìng)爭(zhēng)力下降。因此，金融信息系統(tǒng)中的數(shù)據(jù)存儲(chǔ)系統(tǒng)要求具有較高的可靠性。所謂的可靠應(yīng)考慮到諸多方面，比如對(duì)各級(jí)系統(tǒng)和數(shù)據(jù)的保護(hù)。一套完整、有效的金融信息系統(tǒng)，應(yīng)不受硬件、軟件或者應(yīng)用程序故障所帶來(lái)的影響，如果數(shù)據(jù)中心由于某些原因無(wú)法正常工作時(shí)，應(yīng)提前做好準(zhǔn)備，由另一套備份的數(shù)據(jù)中心進(jìn)行接管工作，繼續(xù)維持任務(wù)的執(zhí)行，當(dāng)主數(shù)據(jù)中心恢復(fù)正常后，工作再轉(zhuǎn)回主數(shù)據(jù)中心進(jìn)行工作。

近年來(lái)，我國(guó)越來(lái)越重視對(duì)知識(shí)產(chǎn)權(quán)的保護(hù)，尤其是與銀行金融業(yè)相關(guān)的自主性知識(shí)產(chǎn)權(quán)，如正版軟件系統(tǒng)或者相關(guān)的硬件產(chǎn)品。應(yīng)大力開(kāi)發(fā)適合我國(guó)銀行業(yè)金融機(jī)構(gòu)的具有自主知識(shí)產(chǎn)權(quán)的信息系統(tǒng)和金融產(chǎn)品，并通過(guò)建立產(chǎn)品的平臺(tái)化和服務(wù)的平臺(tái)化等措施保護(hù)研發(fā)成果，為網(wǎng)絡(luò)信息安全保障體系建立強(qiáng)大的服務(wù)后盾。

（五）培養(yǎng)金融信息安全專業(yè)人才

為了更快地適應(yīng)信息化所帶來(lái)的沖擊，應(yīng)盡快為金融行業(yè)培養(yǎng)出新型人才，把合適的人放到合適的崗位，是做好金融信息化安全工作的前提。目前，金融機(jī)構(gòu)中很多的技術(shù)人員是純計(jì)算機(jī)專業(yè)出身，他們沒(méi)有系統(tǒng)學(xué)過(guò)金融方面知識(shí)，對(duì)金融行業(yè)知之甚少，在就業(yè)后有相當(dāng)長(zhǎng)的時(shí)間無(wú)法體現(xiàn)出自身價(jià)值。同時(shí)，由于金融機(jī)構(gòu)的行業(yè)特點(diǎn)，金融信息系統(tǒng)的運(yùn)行、維護(hù)、軟硬件及數(shù)據(jù)方面的監(jiān)察與維護(hù)都需要由專職技術(shù)人員專人專責(zé)，在工作過(guò)程中需嚴(yán)格按照專業(yè)規(guī)程和授權(quán)進(jìn)行規(guī)范操作、定期檢查和及時(shí)維護(hù)?，F(xiàn)如今我國(guó)金融行業(yè)的信息安全保障人員很多是由金融從業(yè)者改行過(guò)來(lái)的，在信息技術(shù)方面往往無(wú)法真正達(dá)到要求，因而影響了我國(guó)金融信息化的進(jìn)程。這些現(xiàn)狀阻礙了網(wǎng)絡(luò)金融信息安全保障體系的構(gòu)建。為了滿足目前網(wǎng)絡(luò)金融行業(yè)的快速發(fā)展，培養(yǎng)當(dāng)今社會(huì)急需的金融信息安全人才應(yīng)掌握以下方面的知識(shí)內(nèi)容：首先是金融與管理相關(guān)的基礎(chǔ)知識(shí)，如金融學(xué)基礎(chǔ)、會(huì)計(jì)學(xué)基礎(chǔ)等；其次是信息技術(shù)相關(guān)的知識(shí)，如計(jì)算機(jī)軟件、計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、數(shù)據(jù)庫(kù)和金融信息系統(tǒng)設(shè)計(jì)等；再就是金融方向的業(yè)務(wù)知識(shí)。對(duì)于我國(guó)的金融學(xué)府來(lái)說(shuō)，盡快培養(yǎng)出金融和計(jì)算機(jī)信息技術(shù)的交叉復(fù)合型高端人才是迫在眉睫要解決的問(wèn)題。

三、結(jié)語(yǔ)

致力于網(wǎng)絡(luò)金融信息安全保障體系的構(gòu)建與完善，應(yīng)充分認(rèn)清我們面臨的金融風(fēng)險(xiǎn)和網(wǎng)絡(luò)風(fēng)險(xiǎn)，采取相應(yīng)措施和有效手段進(jìn)行有效抵御，以增強(qiáng)我國(guó)金融領(lǐng)域信息安全的防護(hù)能力，從而確保我國(guó)的金融行業(yè)在計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下長(zhǎng)久、穩(wěn)定地運(yùn)行。

［1］陶亮.計(jì)算機(jī)網(wǎng)絡(luò)信息安全技術(shù)探討［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014，（8）：75－76.

［2］李偉民，褚玉曉.淺析計(jì)算機(jī)網(wǎng)絡(luò)信息安全問(wèn)題及對(duì)策［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014，（8）：174－175.

［3］李國(guó)海.新時(shí)期金融信息安全體系構(gòu)建策略淺析［J］.中國(guó)金融電腦，2012，（7）：47－51.

［4］陳立新.金融計(jì)算機(jī)網(wǎng)絡(luò)安全的威脅及防范技術(shù)［J］.金融科技時(shí)代，2012，（7）：65－66.