一、金融信息安全概述及现状
金融信息安全是根据金融信息系统在计算机网络环境下的实际应用需求,将密码学、密钥管理、身份认证、访问控制、应用安全协议和事务处理等信息安全技术运用系统安全工程中,并能在系统运行过程中发现、纠正系统暴露的安全问题,它关系到金融机构的生存和经营的成败。
金融信息安全是在当今恶劣的计算机网络环境下孕育而生的必然产物,它是金融信息系统得以生存的重要保障,各大金融机构和在线零售业将金融信息安全视同资金安全一样重要。近年来,随着经济建设速度的加快及计算机网络技术在金融业的广泛应用,金融信息被赋予了更多新的特性,如快捷、便利和易获取等。但当计算机网络的开放性与金融信息的私密性发生碰撞时,计算机网络环境下金融信息安全形势就会更加严峻。仅以2014年一年中国内外金融机构及零售机构接连不断发生的影响性较大的信息安全事件为例:1月,韩国发生金融行业最大规模信用卡个人信息泄密事件,涉及约2 000 万用户,共 1 亿多条客户信息被泄露,最多的用户有 19 项个人信息被泄露,多名高管因此事件引咎辞职。3月,携程网被爆安全支付日志可便利下载,因此导致大量用户银行卡信息泄露。9月,美国家得宝公司确认其支付系统遭到网络攻击,有近5 600万张银行卡的信息被盗。面对如此严峻的形势,人们在不断地探究和寻找计算机网络与金融信息两者并生并存的平衡点。
二、计算机网络环境下金融信息安全保障体系的构建思路
(一)运用多样化的信息安全技术
要确保金融信息的安全,必须实现信息安全技术的全面化与科技化,因为它是整个金融信息安全体系的支柱。现在比较常见的安全机制包括:数据完整性和保密性、身份认证、病毒防御、安全审计与跟踪、系统安全等内容。
1.保证网络信息的完整性和私密性
在如今这个互联网开放程度很高的年代,各种信息包括网上银行的信息在向互联网传输的同时都存在着安全隐患,因为任何用户都可以通过网络对信息进行提取或者交换。数字签名技术[2]
在网上银行的普遍应用,很大程度上保证了信息传输的完整性,并通过对信息发送者的身份认证,很好地解决了在交易中容易出现的纠纷问题。密钥加密的方法可以有效防止发生通信业务流分析、抵赖、伪造、非授权连接和篡改消息、消息流被观察和篡改等安全问题,以保证信息的保密性。为了保证网络中静态信息的完整性和保密性,可使用密码进行保存和锁定。
2. 对网络访问者进行身份认证
身份认证是保障网络信息安全的主要手段之一。通过它可以获取并确认网络用户的身份信息及访问权限,并确保企业或个人用户的相关隐私信息被正确的人合理使用。身份认证技术发展到今天普遍适用的技术包括数字证书、指纹识别、动态密码和静态密码认证技术等。
3.建立健全网络病毒预防机制
病毒防护系统是计算机网络安全的重要防线,建立健全病毒防护系统十分重要。在系统正常运行过程中需进行实时的病毒监测,建立病毒库对病毒进行整理和收集。同时制定合理的防毒机制,对可能出现的病毒感染进行预警,进而采取有效的措施进行防范。
4.加强安全审计与跟踪力度
防止非法入侵作为网上银行日常防护的重要内容,一直以来对防火墙的依赖有增无减,但是防火墙并不能够有效地防止所有的网络非法入侵。因此,我们需要格外加强安全审计和事后追踪的力度,提前对恶意攻击和侵入主机行为进行拦截,提供主动的防御能力,对入侵者进行有效的震慑和追查。
5.保障信息系统安全
金融信息系统中软硬件设备的安全性设计与优化配置是信息安全保障体系必不可少的重要环节。
其中,计算机软件系统中包括操作系统、数据库系统、控制系统、应用软件等;硬件基础设施包括计算机主机、网络通讯设备、控制设备、智能卡、终端外设等。为防止系统出现异常情况时确保计算机网络安全策略的顺利执行,实现计算机网络环境下网络层的安全访问,必须认真解决信息系统安全设计、生产、测试、运营、维护等方面的问题,从而实现系统设备的安全。
(二)强化金融信息保密管理
近年来,信息技术在快速发展的同时也伴随着诸多隐患,金融信息的保密性问题显得尤为重要。
随着科技的发展,盗窃密码的手段多种多样并十分隐蔽,密码一旦被盗窃则危害极大,所以,保密工作面临着诸多难题。金融行业的特殊性质要求其信息必须具备严格的保密性,尤其信息在网络中进行上传下达的过程中,其保密性更是不容忽视,因此,应做到以下几点。
1.树立正确的保密意识
我国在加入世贸组织后,有些人一直持有"无密可保、有密难保和保密无用"等错误认识。这些错误思想应彻底杜绝,并通过各种途径开展广泛宣传,如对基层领导干部、各单位涉密人员和保密干部进行相关方面的培训,对员工开展群众性的保密意识法制宣传教育,使其了解金融保密工作时刻关系着国家安全和自身利益的重要性。
2.抓实保密管理工作
为了确保网络金融信息安全体系的健全,金融行业应逐步建立保密管理的相关机构或部门,并要求有专人负责以便使管理更加规范化,其重点工作是强化涉密人员的岗位职责和对要害部位的重点监察,并进一步强化保密管理。
3.注重加密技术创新
开展新型技术研发一直是保密工作的核心任务,只有不断创新才能使保密工作更加坚固。随着网络银行的大力推广,许多新型网络安全技术也在逐渐普及和应用,如密码技术、防火墙技术、身份鉴别技术和病毒防御技术等。一些新兴技术要尽快进行完善,如网络隔离和电子认证技术。在硬件方面,我国在CPU开发和操作系统内核技术研究领域相对比较落后,应加大开发力度,尽快缩短差距。
(三)完善金融信息标准体系
建立健全金融信息的标准化体系给整个金融行业所带来的好处毋庸置疑。近些年随着我国金融信息技术的大力推广,标准化体系已成为网络行业相关技术发展的关键和迫切需要,也是使我国金融信息技术快速发展的重要措施。
对于我国的现代银行业来说,金融机构应该迅速建立健全相关部门,如科技信息部门应该具体负责本机构信息系统的统筹规划、开发建设和日常维护等技术方面的工作;风险管理部门专门负责信息管理系统的风险管理规章制度以及向有关部门提供相关的监管信息;审计部门则负责建立信息系统审计制度,配备相关人员进行信息的风险审计。根据金融信息标准设立安全管理机构,并进一步制定管理制度、法规与安全细则,将规范、监督、管理和指导网络金融信息系统的建设落到实处,从信息安全管理层面切实提高安全体系防范网络风险和金融风险的级别。
(四)构筑信息安全服务后盾
数据的存储是重要的网络金融研究课题,而信息数据如何存储才可保证网络金融服务的连续性,保证在访问和交易过程中不会间断甚至终止,是作为网络金融信息安全研究学者必须要思考的问题。一旦系统发生故障,可能会出现众多问题,比如业务中断、客户流失,甚至资金链断裂等,随之而来的后果便是金融企业的竞争力下降。因此,金融信息系统中的数据存储系统要求具有较高的可靠性。所谓的可靠应考虑到诸多方面,比如对各级系统和数据的保护。一套完整、有效的金融信息系统,应不受硬件、软件或者应用程序故障所带来的影响,如果数据中心由于某些原因无法正常工作时,应提前做好准备,由另一套备份的数据中心进行接管工作,继续维持任务的执行,当主数据中心恢复正常后,工作再转回主数据中心进行工作。
近年来,我国越来越重视对知识产权的保护,尤其是与银行金融业相关的自主性知识产权,如正版软件系统或者相关的硬件产品。应大力开发适合我国银行业金融机构的具有自主知识产权的信息系统和金融产品,并通过建立产品的平台化和服务的平台化等措施保护研发成果,为网络信息安全保障体系建立强大的服务后盾。
(五)培养金融信息安全专业人才
为了更快地适应信息化所带来的冲击,应尽快为金融行业培养出新型人才,把合适的人放到合适的岗位,是做好金融信息化安全工作的前提。目前,金融机构中很多的技术人员是纯计算机专业出身,他们没有系统学过金融方面知识,对金融行业知之甚少,在就业后有相当长的时间无法体现出自身价值。同时,由于金融机构的行业特点,金融信息系统的运行、维护、软硬件及数据方面的监察与维护都需要由专职技术人员专人专责,在工作过程中需严格按照专业规程和授权进行规范操作、定期检查和及时维护。现如今我国金融行业的信息安全保障人员很多是由金融从业者改行过来的,在信息技术方面往往无法真正达到要求,因而影响了我国金融信息化的进程。这些现状阻碍了网络金融信息安全保障体系的构建。为了满足目前网络金融行业的快速发展,培养当今社会急需的金融信息安全人才应掌握以下方面的知识内容:首先是金融与管理相关的基础知识,如金融学基础、会计学基础等;其次是信息技术相关的知识,如计算机软件、计算机网络技术、数据库和金融信息系统设计等;再就是金融方向的业务知识。对于我国的金融学府来说,尽快培养出金融和计算机信息技术的交叉复合型高端人才是迫在眉睫要解决的问题。
三、结语
致力于网络金融信息安全保障体系的构建与完善,应充分认清我们面临的金融风险和网络风险,采取相应措施和有效手段进行有效抵御,以增强我国金融领域信息安全的防护能力,从而确保我国的金融行业在计算机网络环境下长久、稳定地运行。
参考文献:
[1] 陶亮。计算机网络信息安全技术探讨[J].网络安全技术与应用,2014,(8):75-76.
[2] 李伟民,褚玉晓。浅析计算机网络信息安全问题及对策[J].网络安全技术与应用,2014,(8):174-175.
[3] 李国海。新时期金融信息安全体系构建策略浅析[J].中国金融电脑,2012,(7):47-51.
[4] 陈立新。金融计算机网络安全的威胁及防范技术[J].金融科技时代,2012,(7):65-66.