網(wǎng)絡(luò)環(huán)境下金融信息安全保障體系建設(shè)研究發(fā)布者:本站 時間:2020-05-02 15:05:27
一、金融信息安全概述及現(xiàn)狀
金融信息安全是根據(jù)金融信息系統(tǒng)在計算機網(wǎng)絡(luò)環(huán)境下的實際應(yīng)用需求,將密碼學(xué)、密鑰管理、身份認證、訪問控制、應(yīng)用安全協(xié)議和事務(wù)處理等信息安全技術(shù)運用系統(tǒng)安全工程中,并能在系統(tǒng)運行過程中發(fā)現(xiàn)、糾正系統(tǒng)暴露的安全問題,它關(guān)系到金融機構(gòu)的生存和經(jīng)營的成敗。
金融信息安全是在當(dāng)今惡劣的計算機網(wǎng)絡(luò)環(huán)境下孕育而生的必然產(chǎn)物,它是金融信息系統(tǒng)得以生存的重要保障,各大金融機構(gòu)和在線零售業(yè)將金融信息安全視同資金安全一樣重要。近年來,隨著經(jīng)濟建設(shè)速度的加快及計算機網(wǎng)絡(luò)技術(shù)在金融業(yè)的廣泛應(yīng)用,金融信息被賦予了更多新的特性,如快捷、便利和易獲取等。但當(dāng)計算機網(wǎng)絡(luò)的開放性與金融信息的私密性發(fā)生碰撞時,計算機網(wǎng)絡(luò)環(huán)境下金融信息安全形勢就會更加嚴峻。僅以2014年一年中國內(nèi)外金融機構(gòu)及零售機構(gòu)接連不斷發(fā)生的影響性較大的信息安全事件為例:1月,韓國發(fā)生金融行業(yè)最大規(guī)模信用卡個人信息泄密事件,涉及約2 000 萬用戶,共 1 億多條客戶信息被泄露,最多的用戶有 19 項個人信息被泄露,多名高管因此事件引咎辭職。3月,攜程網(wǎng)被爆安全支付日志可便利下載,因此導(dǎo)致大量用戶銀行卡信息泄露。9月,美國家得寶公司確認其支付系統(tǒng)遭到網(wǎng)絡(luò)攻擊,有近5 600萬張銀行卡的信息被盜。面對如此嚴峻的形勢,人們在不斷地探究和尋找計算機網(wǎng)絡(luò)與金融信息兩者并生并存的平衡點。
二、計算機網(wǎng)絡(luò)環(huán)境下金融信息安全保障體系的構(gòu)建思路
(一)運用多樣化的信息安全技術(shù)
要確保金融信息的安全,必須實現(xiàn)信息安全技術(shù)的全面化與科技化,因為它是整個金融信息安全體系的支柱?,F(xiàn)在比較常見的安全機制包括:數(shù)據(jù)完整性和保密性、身份認證、病毒防御、安全審計與跟蹤、系統(tǒng)安全等內(nèi)容。
1.保證網(wǎng)絡(luò)信息的完整性和私密性
在如今這個互聯(lián)網(wǎng)開放程度很高的年代,各種信息包括網(wǎng)上銀行的信息在向互聯(lián)網(wǎng)傳輸?shù)耐瑫r都存在著安全隱患,因為任何用戶都可以通過網(wǎng)絡(luò)對信息進行提取或者交換。數(shù)字簽名技術(shù)[2]
在網(wǎng)上銀行的普遍應(yīng)用,很大程度上保證了信息傳輸?shù)耐暾?,并通過對信息發(fā)送者的身份認證,很好地解決了在交易中容易出現(xiàn)的糾紛問題。密鑰加密的方法可以有效防止發(fā)生通信業(yè)務(wù)流分析、抵賴、偽造、非授權(quán)連接和篡改消息、消息流被觀察和篡改等安全問題,以保證信息的保密性。為了保證網(wǎng)絡(luò)中靜態(tài)信息的完整性和保密性,可使用密碼進行保存和鎖定。
2. 對網(wǎng)絡(luò)訪問者進行身份認證
身份認證是保障網(wǎng)絡(luò)信息安全的主要手段之一。通過它可以獲取并確認網(wǎng)絡(luò)用戶的身份信息及訪問權(quán)限,并確保企業(yè)或個人用戶的相關(guān)隱私信息被正確的人合理使用。身份認證技術(shù)發(fā)展到今天普遍適用的技術(shù)包括數(shù)字證書、指紋識別、動態(tài)密碼和靜態(tài)密碼認證技術(shù)等。
3.建立健全網(wǎng)絡(luò)病毒預(yù)防機制
病毒防護系統(tǒng)是計算機網(wǎng)絡(luò)安全的重要防線,建立健全病毒防護系統(tǒng)十分重要。在系統(tǒng)正常運行過程中需進行實時的病毒監(jiān)測,建立病毒庫對病毒進行整理和收集。同時制定合理的防毒機制,對可能出現(xiàn)的病毒感染進行預(yù)警,進而采取有效的措施進行防范。
4.加強安全審計與跟蹤力度
防止非法入侵作為網(wǎng)上銀行日常防護的重要內(nèi)容,一直以來對防火墻的依賴有增無減,但是防火墻并不能夠有效地防止所有的網(wǎng)絡(luò)非法入侵。因此,我們需要格外加強安全審計和事后追蹤的力度,提前對惡意攻擊和侵入主機行為進行攔截,提供主動的防御能力,對入侵者進行有效的震懾和追查。
5.保障信息系統(tǒng)安全
金融信息系統(tǒng)中軟硬件設(shè)備的安全性設(shè)計與優(yōu)化配置是信息安全保障體系必不可少的重要環(huán)節(jié)。
其中,計算機軟件系統(tǒng)中包括操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、控制系統(tǒng)、應(yīng)用軟件等;硬件基礎(chǔ)設(shè)施包括計算機主機、網(wǎng)絡(luò)通訊設(shè)備、控制設(shè)備、智能卡、終端外設(shè)等。為防止系統(tǒng)出現(xiàn)異常情況時確保計算機網(wǎng)絡(luò)安全策略的順利執(zhí)行,實現(xiàn)計算機網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)層的安全訪問,必須認真解決信息系統(tǒng)安全設(shè)計、生產(chǎn)、測試、運營、維護等方面的問題,從而實現(xiàn)系統(tǒng)設(shè)備的安全。
(二)強化金融信息保密管理
近年來,信息技術(shù)在快速發(fā)展的同時也伴隨著諸多隱患,金融信息的保密性問題顯得尤為重要。
隨著科技的發(fā)展,盜竊密碼的手段多種多樣并十分隱蔽,密碼一旦被盜竊則危害極大,所以,保密工作面臨著諸多難題。金融行業(yè)的特殊性質(zhì)要求其信息必須具備嚴格的保密性,尤其信息在網(wǎng)絡(luò)中進行上傳下達的過程中,其保密性更是不容忽視,因此,應(yīng)做到以下幾點。
1.樹立正確的保密意識
我國在加入世貿(mào)組織后,有些人一直持有"無密可保、有密難保和保密無用"等錯誤認識。這些錯誤思想應(yīng)徹底杜絕,并通過各種途徑開展廣泛宣傳,如對基層領(lǐng)導(dǎo)干部、各單位涉密人員和保密干部進行相關(guān)方面的培訓(xùn),對員工開展群眾性的保密意識法制宣傳教育,使其了解金融保密工作時刻關(guān)系著國家安全和自身利益的重要性。
2.抓實保密管理工作
為了確保網(wǎng)絡(luò)金融信息安全體系的健全,金融行業(yè)應(yīng)逐步建立保密管理的相關(guān)機構(gòu)或部門,并要求有專人負責(zé)以便使管理更加規(guī)范化,其重點工作是強化涉密人員的崗位職責(zé)和對要害部位的重點監(jiān)察,并進一步強化保密管理。
3.注重加密技術(shù)創(chuàng)新
開展新型技術(shù)研發(fā)一直是保密工作的核心任務(wù),只有不斷創(chuàng)新才能使保密工作更加堅固。隨著網(wǎng)絡(luò)銀行的大力推廣,許多新型網(wǎng)絡(luò)安全技術(shù)也在逐漸普及和應(yīng)用,如密碼技術(shù)、防火墻技術(shù)、身份鑒別技術(shù)和病毒防御技術(shù)等。一些新興技術(shù)要盡快進行完善,如網(wǎng)絡(luò)隔離和電子認證技術(shù)。在硬件方面,我國在CPU開發(fā)和操作系統(tǒng)內(nèi)核技術(shù)研究領(lǐng)域相對比較落后,應(yīng)加大開發(fā)力度,盡快縮短差距。
(三)完善金融信息標準體系
建立健全金融信息的標準化體系給整個金融行業(yè)所帶來的好處毋庸置疑。近些年隨著我國金融信息技術(shù)的大力推廣,標準化體系已成為網(wǎng)絡(luò)行業(yè)相關(guān)技術(shù)發(fā)展的關(guān)鍵和迫切需要,也是使我國金融信息技術(shù)快速發(fā)展的重要措施。
對于我國的現(xiàn)代銀行業(yè)來說,金融機構(gòu)應(yīng)該迅速建立健全相關(guān)部門,如科技信息部門應(yīng)該具體負責(zé)本機構(gòu)信息系統(tǒng)的統(tǒng)籌規(guī)劃、開發(fā)建設(shè)和日常維護等技術(shù)方面的工作;風(fēng)險管理部門專門負責(zé)信息管理系統(tǒng)的風(fēng)險管理規(guī)章制度以及向有關(guān)部門提供相關(guān)的監(jiān)管信息;審計部門則負責(zé)建立信息系統(tǒng)審計制度,配備相關(guān)人員進行信息的風(fēng)險審計。根據(jù)金融信息標準設(shè)立安全管理機構(gòu),并進一步制定管理制度、法規(guī)與安全細則,將規(guī)范、監(jiān)督、管理和指導(dǎo)網(wǎng)絡(luò)金融信息系統(tǒng)的建設(shè)落到實處,從信息安全管理層面切實提高安全體系防范網(wǎng)絡(luò)風(fēng)險和金融風(fēng)險的級別。
(四)構(gòu)筑信息安全服務(wù)后盾
數(shù)據(jù)的存儲是重要的網(wǎng)絡(luò)金融研究課題,而信息數(shù)據(jù)如何存儲才可保證網(wǎng)絡(luò)金融服務(wù)的連續(xù)性,保證在訪問和交易過程中不會間斷甚至終止,是作為網(wǎng)絡(luò)金融信息安全研究學(xué)者必須要思考的問題。一旦系統(tǒng)發(fā)生故障,可能會出現(xiàn)眾多問題,比如業(yè)務(wù)中斷、客戶流失,甚至資金鏈斷裂等,隨之而來的后果便是金融企業(yè)的競爭力下降。因此,金融信息系統(tǒng)中的數(shù)據(jù)存儲系統(tǒng)要求具有較高的可靠性。所謂的可靠應(yīng)考慮到諸多方面,比如對各級系統(tǒng)和數(shù)據(jù)的保護。一套完整、有效的金融信息系統(tǒng),應(yīng)不受硬件、軟件或者應(yīng)用程序故障所帶來的影響,如果數(shù)據(jù)中心由于某些原因無法正常工作時,應(yīng)提前做好準備,由另一套備份的數(shù)據(jù)中心進行接管工作,繼續(xù)維持任務(wù)的執(zhí)行,當(dāng)主數(shù)據(jù)中心恢復(fù)正常后,工作再轉(zhuǎn)回主數(shù)據(jù)中心進行工作。
近年來,我國越來越重視對知識產(chǎn)權(quán)的保護,尤其是與銀行金融業(yè)相關(guān)的自主性知識產(chǎn)權(quán),如正版軟件系統(tǒng)或者相關(guān)的硬件產(chǎn)品。應(yīng)大力開發(fā)適合我國銀行業(yè)金融機構(gòu)的具有自主知識產(chǎn)權(quán)的信息系統(tǒng)和金融產(chǎn)品,并通過建立產(chǎn)品的平臺化和服務(wù)的平臺化等措施保護研發(fā)成果,為網(wǎng)絡(luò)信息安全保障體系建立強大的服務(wù)后盾。
(五)培養(yǎng)金融信息安全專業(yè)人才
為了更快地適應(yīng)信息化所帶來的沖擊,應(yīng)盡快為金融行業(yè)培養(yǎng)出新型人才,把合適的人放到合適的崗位,是做好金融信息化安全工作的前提。目前,金融機構(gòu)中很多的技術(shù)人員是純計算機專業(yè)出身,他們沒有系統(tǒng)學(xué)過金融方面知識,對金融行業(yè)知之甚少,在就業(yè)后有相當(dāng)長的時間無法體現(xiàn)出自身價值。同時,由于金融機構(gòu)的行業(yè)特點,金融信息系統(tǒng)的運行、維護、軟硬件及數(shù)據(jù)方面的監(jiān)察與維護都需要由專職技術(shù)人員專人專責(zé),在工作過程中需嚴格按照專業(yè)規(guī)程和授權(quán)進行規(guī)范操作、定期檢查和及時維護?,F(xiàn)如今我國金融行業(yè)的信息安全保障人員很多是由金融從業(yè)者改行過來的,在信息技術(shù)方面往往無法真正達到要求,因而影響了我國金融信息化的進程。這些現(xiàn)狀阻礙了網(wǎng)絡(luò)金融信息安全保障體系的構(gòu)建。為了滿足目前網(wǎng)絡(luò)金融行業(yè)的快速發(fā)展,培養(yǎng)當(dāng)今社會急需的金融信息安全人才應(yīng)掌握以下方面的知識內(nèi)容:首先是金融與管理相關(guān)的基礎(chǔ)知識,如金融學(xué)基礎(chǔ)、會計學(xué)基礎(chǔ)等;其次是信息技術(shù)相關(guān)的知識,如計算機軟件、計算機網(wǎng)絡(luò)技術(shù)、數(shù)據(jù)庫和金融信息系統(tǒng)設(shè)計等;再就是金融方向的業(yè)務(wù)知識。對于我國的金融學(xué)府來說,盡快培養(yǎng)出金融和計算機信息技術(shù)的交叉復(fù)合型高端人才是迫在眉睫要解決的問題。
選擇我們,優(yōu)質(zhì)服務(wù),不容錯過
1. 優(yōu)秀的網(wǎng)絡(luò)資源,強大的網(wǎng)站優(yōu)化技術(shù),穩(wěn)定的網(wǎng)站和速度保證
2. 15年上海網(wǎng)站建設(shè)經(jīng)驗,優(yōu)秀的技術(shù)和設(shè)計水平,更放心
3. 全程省心服務(wù),不必擔(dān)心自己不懂網(wǎng)絡(luò),更省心。
------------------------------------------------------------
24小時聯(lián)系電話:021-58370032