信息化給我國金融業(yè)的發(fā)展注入了新的活力,有效提高了金融業(yè)的業(yè)務(wù)水平和管理水平,使我國金融業(yè)的競爭力大大增強。隨著信息化的逐漸深入,金融業(yè)對信息系統(tǒng)的依賴程度越來越強,這就對金融業(yè)信息系統(tǒng)的安全提出了極高的要求。本文從分析金融業(yè)信息系統(tǒng)現(xiàn)狀著手,對信息系統(tǒng)安全保障提出以技術(shù)層面為主要內(nèi)容的相關(guān)措施。

　　《信息技術(shù)與信息化》從信息技術(shù)的研究、應(yīng)用角度展現(xiàn)IT行業(yè)與科技發(fā)展與進步，是全國高校、科研院所、企業(yè)發(fā)表信息科學(xué)研究、技術(shù)應(yīng)用成果的園地。雜志內(nèi)容以科技論文為主，并設(shè)有評論與綜述、信息化論壇、網(wǎng)絡(luò)通訊、信息處理與模式識別、研究與探索、方案與應(yīng)用等欄目。整個雜志分三個層次，第一個層次是評論與綜述，由政府職能部門和專家對技術(shù)、產(chǎn)業(yè)的發(fā)展趨勢，所做的前瞻性的論述和規(guī)劃;第二個層次是電子信息科技論文，主要刊登高校研究生、科研院所的論文和理論研究成果;第三個層次是企業(yè)及各行業(yè)中IT技術(shù)的應(yīng)用案例。

　　1.前言

　　經(jīng)過二十多年的發(fā)展歷程,在無數(shù)金融科技工作者嘔心瀝血的努力之下,我國建立了比較成熟完整的金融信息系統(tǒng)。隨著金融信息系統(tǒng)的不斷發(fā)展,呈現(xiàn)出信息越來越集中的趨勢,信息規(guī)模也越來越大,同時網(wǎng)上金融業(yè)務(wù)所占比例越來越高,這一切都讓金融信息系統(tǒng)成為金融機構(gòu)的依賴。

　　與此同時,金融信息系統(tǒng)的安全性就變得愈發(fā)重要。但來自各方面的安全威脅對金融信息系統(tǒng)提出了越來越嚴(yán)峻的考驗。鑒于金融系統(tǒng)在整個社會經(jīng)濟中的重要地位,如果金融系統(tǒng)一旦出現(xiàn)問題,將會造成不可估量的損失,因此保障金融信息系統(tǒng)的安全是一個需要我們認(rèn)真對待的課題。

　　2.金融信息系統(tǒng)現(xiàn)狀分析

　　在進行金融信息系統(tǒng)現(xiàn)狀分析之前,我們先要對其安全的重要性有足夠的認(rèn)識。安全是金融信息系統(tǒng)的生命。在金融信息系統(tǒng)日益發(fā)展,信息越來越向上集中,規(guī)模越來越大,金融業(yè)對它的依賴性不斷增加的同時,金融信息化系統(tǒng)安全的重要性也與日俱增。它關(guān)系到金融機構(gòu)的生存和經(jīng)營的成敗,所以,應(yīng)把金融信息化系統(tǒng)的安全視同資金的安全一樣,看作是金融機構(gòu)的生命。

　　金融信息系統(tǒng)的安全不僅是金融行業(yè)本身的問題,它與我國的經(jīng)濟安全、社會安全和國家安全緊密相連,是保障金融業(yè)穩(wěn)定發(fā)展、增強競爭力和生存能力的重要組成部分,金融信息系統(tǒng)的安全已成為我國金融信息化建設(shè)中具有戰(zhàn)略意義的關(guān)鍵問題。

　　隨著網(wǎng)上金融業(yè)務(wù)的增加,金融機構(gòu)的業(yè)務(wù)處理對信息系統(tǒng)的依賴與日俱增。大量業(yè)務(wù)的處理需要信息系統(tǒng)在短時間內(nèi)迅速完成大規(guī)模的數(shù)據(jù)傳輸、數(shù)據(jù)處理工作,同時要保證數(shù)據(jù)的完整性和安全性,是對信息系統(tǒng)的一個極大的考驗。我們對金融系統(tǒng)現(xiàn)狀分析如下:

　　2.1金融信息系統(tǒng)與外網(wǎng)的連接。為了方便群眾生活,我國銀行創(chuàng)新了許多新的業(yè)務(wù)品種,比如消費者可以網(wǎng)上購物網(wǎng)上支付、比如網(wǎng)上交水電費、比如超市、餐館等消費場所的刷卡諸如此類,這些都需要與外網(wǎng)的連接。在為群眾提供便利,也為銀行增加收益的同時,因為大量與外網(wǎng)的連接也給金融信息系統(tǒng)帶來極大的風(fēng)險。

　　2.2不法分子的蓄意破壞。互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展和廣泛應(yīng)用,一小撮有才無德之徒利用網(wǎng)絡(luò)從事不法活動,給金融信息系統(tǒng)的安全造成嚴(yán)重威脅。

　　2.3防御的被動與不力。金融信息系統(tǒng)對破壞的防御能力不足,有些金融信息系統(tǒng)甚至只能防御外敵入侵而不能防范內(nèi)部破壞。而且對于黑客等犯罪分子防御太過被動,守既無力,攻也不足。

　　2.4金融信息系統(tǒng)缺乏優(yōu)秀人才,無力對系統(tǒng)安全進行有效保障。

　　2.5在制度上沒有相應(yīng)健全的標(biāo)準(zhǔn)與法律法規(guī)加以規(guī)范指導(dǎo)。

　　國家和銀行應(yīng)該高度重視金融信息系統(tǒng)的安全問題,因為金融信息系統(tǒng)的安全關(guān)系著金融行業(yè)的穩(wěn)定發(fā)展,關(guān)系著居民和銀行的利益,還關(guān)系著國家的經(jīng)濟安全,社會穩(wěn)定等等,對金融業(yè)的建設(shè)和國家的發(fā)展有著重要的意義。

　　3.金融信息系統(tǒng)安全保障

　　通過對金融信息系統(tǒng)現(xiàn)狀的分析,我們可以看到信息系統(tǒng)處于一個非常危險的狀態(tài),對此我們必須采取有力措施防范危險,保障系統(tǒng)安全。我們可以從技術(shù)和管理兩個方向來進行安全保障:

　　3.1技術(shù)層面,主要從系統(tǒng)的硬件軟件方面加強對危險的防御能力。這里涉及到如下幾個部分:

　　3.1.1網(wǎng)絡(luò)的安全性,做為系統(tǒng)的載體,網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備在信息系統(tǒng)的安全中至關(guān)重要。關(guān)于網(wǎng)絡(luò)我們需要采取兩方面措施,一方面加強對物理網(wǎng)絡(luò)設(shè)備的維護工作,避免由于設(shè)備的損壞造成系統(tǒng)的破壞;另一方面在軟件方面要加強安全保障技術(shù),保障系統(tǒng)的信息安全。這里主要針對不法分子的破壞行為。我們可以采取如下信息安全技術(shù)來提高我們的系統(tǒng)安全性能。

　　①密碼技術(shù)。密碼技術(shù)是信息安全的核心技術(shù)。使用密碼對信息系統(tǒng)中的信息進行加密是保證信息保密性的最佳選擇;使用密碼技術(shù)實施數(shù)字簽名,進行身份認(rèn)證,通過對信息進行完整校驗可以有效保證信息的完整性;利用密碼進行系統(tǒng)登錄管理,存取授權(quán)管理是保障信息系統(tǒng)和信息為授權(quán)者所用的有效方法;還可以利用密碼和密鑰管理來保證電子信息系統(tǒng)的可控性。

　　②訪問控制技術(shù)。主要內(nèi)容包括限制主體的權(quán)限,防止非授權(quán)主體對客體的越權(quán)訪問。存取控制的研究內(nèi)容主要有存取控制模型、存取控制策略、存取控制機制、存取控制的實現(xiàn)等。用戶識別是存取控制的基礎(chǔ),系統(tǒng)通過唯一的標(biāo)識符來驗證用戶是否合法,從而決定對用戶的允許或拒絕。認(rèn)證要求用戶提供足夠的信息來證明他的身份,這些信息是保密的,可以采用單向加密算法加密后保存在系統(tǒng)中。 口令機制做為一種認(rèn)證手段,雖然簡單易行,但因其簡單而比較脆弱,容易被破解。生物技術(shù)是一種比較有前途的方法,如視網(wǎng)膜、指紋等,但限于技術(shù)條件,目前還不能廣泛采用。

　　③漏洞掃描和入侵檢測技術(shù)。漏洞掃描與網(wǎng)絡(luò)安全評估緊密相關(guān),其主要目的是在入侵者之前發(fā)現(xiàn)安全漏洞并及時進行修復(fù),是一種主動防御手段,是所謂防患于未然。由于網(wǎng)絡(luò)環(huán)境比較復(fù)雜,一般會利用工具來進行漏洞檢查,針對網(wǎng)絡(luò)層、操作系統(tǒng)層、數(shù)據(jù)庫層、應(yīng)用系統(tǒng)層多個層面上進行。在這方面的工作從某種程度上講是與黑客相同的,因此可以對黑客的工具和手法加以借鑒,知識沒有好壞,我們完全可以拿來用。

　　④響應(yīng)和恢復(fù)技術(shù)。任何信息系統(tǒng)無論采用多么高明的安全技術(shù),也不可能是絕對安全的,或多或少會存在破綻,響應(yīng)和恢復(fù)技術(shù)就是在系統(tǒng)遭到入侵或破壞的時候,如何把損失降到最低程度,并在最短的時間內(nèi)將系統(tǒng)恢復(fù)正常。響應(yīng)和恢復(fù)技術(shù)是一種被動防護手段,是謂亡羊補牢。

　　⑤審計技術(shù)。審計類似于飛機上的“黑匣子”,利用系統(tǒng)運行日志,對系統(tǒng)進行事故原因查詢、定位,為事故發(fā)生后的處理提供詳細可靠的依據(jù)戴支持。

　　⑥病毒防治技術(shù)。對于品種繁多且傳播迅速的病毒,我們可以采用專業(yè)殺毒軟件來進行防御,目前市面上已經(jīng)具有效果比較良好的殺毒軟件,可以選用,工作人員只需定期進行病毒查殺并及時更新病毒庫即可。

　　3.1.2金融行業(yè)的本身介質(zhì)的安全性,目前我國銀行發(fā)行的借記卡多為磁卡,磁卡本身具有一定的脆弱性,可能被別有用心者改變其信息,從而給銀行造成損失。對此一方面要盡量從技術(shù)上對磁卡的這種弱點進行彌補,一方面要尋找磁卡的替代品,從根本上解決問題。

　　3.1.3數(shù)據(jù)集中的安全性。由于數(shù)據(jù)大量集中,危險系數(shù)也大大增加。首先數(shù)據(jù)存儲設(shè)備可能會受到破壞,而造成數(shù)據(jù)大量丟失。對此我們可以采取數(shù)據(jù)備份措施,國內(nèi)已有比較成熟的數(shù)據(jù)存儲系統(tǒng),可以對數(shù)據(jù)進行有效保護,如果數(shù)據(jù)因物理原因而丟失,系統(tǒng)可以對數(shù)據(jù)進行準(zhǔn)確恢復(fù)。其次是數(shù)據(jù)的大量集中,極易招致攻擊,對此我們可以通過信息安全技術(shù)進行防范。

　　3.2管理層面,任何先進技術(shù)都是由人來執(zhí)行的,如果沒有有效的管理,那么再好的技術(shù)也難以得到有效發(fā)揮,因此從管理方面來加強安全防范十分必要。可以從如下幾個方面來加強安全管理:

　　3.2.1安全意識,要樹立網(wǎng)絡(luò)安全意識,每個工作人員在工作中都要時刻注意網(wǎng)絡(luò)安全問題,不可以隨意做出對網(wǎng)絡(luò)安全不利的行為。

　　3.2.2人才培養(yǎng),面對不法分子的肆意攻擊,我們需要培養(yǎng)一批優(yōu)秀人才對網(wǎng)絡(luò)安全進行維護,甚至可以將有心悔過的黑客收為已用。

　　3.2.3行政干預(yù),加強對網(wǎng)絡(luò)犯罪的打擊力度,并建立一批專業(yè)公司對各部門網(wǎng)絡(luò)進行量體裁衣式的定制和維護。

　　3.2.4制度方面,構(gòu)建金融安全管理體系,建立完善的組織機構(gòu)。制定安全管理辦法和法規(guī),加強嚴(yán)格管理,加強登錄身份的認(rèn)證,嚴(yán)格控制用戶的使用權(quán)限,重視信息保護的等級,對重要信息實施強制保護和強制性認(rèn)證,以確保重要信息的安全。

　　4.結(jié)語

　　信息化與網(wǎng)絡(luò)化趨勢的增強和社會信息化步伐的加快推動著金融信息化的快速發(fā)展,金融信息系統(tǒng)的規(guī)模不斷擴張,對網(wǎng)絡(luò)與信息系統(tǒng)的安全保障需要我們給予更多的關(guān)注。我們要隨著環(huán)境的不斷變化,時時分析金融信息系統(tǒng)的狀態(tài),以便從技術(shù)與管理等各各層面采取更佳的保障措施,不斷提高金融信息系統(tǒng)的安全保障能力,維護系統(tǒng)的正常運轉(zhuǎn)和效能的發(fā)揮。