信息化給我國金融業(yè)的發(fā)展注入了新的活力,有效提高了金融業(yè)的業(yè)務(wù)水平和管理水平,使我國金融業(yè)的競(jìng)爭(zhēng)力大大增強(qiáng)。隨著信息化的逐漸深入,金融業(yè)對(duì)信息系統(tǒng)的依賴程度越來越強(qiáng),這就對(duì)金融業(yè)信息系統(tǒng)的安全提出了極高的要求。本文從分析金融業(yè)信息系統(tǒng)現(xiàn)狀著手,對(duì)信息系統(tǒng)安全保障提出以技術(shù)層面為主要內(nèi)容的相關(guān)措施。

　　《信息技術(shù)與信息化》從信息技術(shù)的研究、應(yīng)用角度展現(xiàn)IT行業(yè)與科技發(fā)展與進(jìn)步，是全國高校、科研院所、企業(yè)發(fā)表信息科學(xué)研究、技術(shù)應(yīng)用成果的園地。雜志內(nèi)容以科技論文為主，并設(shè)有評(píng)論與綜述、信息化論壇、網(wǎng)絡(luò)通訊、信息處理與模式識(shí)別、研究與探索、方案與應(yīng)用等欄目。整個(gè)雜志分三個(gè)層次，第一個(gè)層次是評(píng)論與綜述，由政府職能部門和專家對(duì)技術(shù)、產(chǎn)業(yè)的發(fā)展趨勢(shì)，所做的前瞻性的論述和規(guī)劃;第二個(gè)層次是電子信息科技論文，主要刊登高校研究生、科研院所的論文和理論研究成果;第三個(gè)層次是企業(yè)及各行業(yè)中IT技術(shù)的應(yīng)用案例。

　　1.前言

　　經(jīng)過二十多年的發(fā)展歷程,在無數(shù)金融科技工作者嘔心瀝血的努力之下,我國建立了比較成熟完整的金融信息系統(tǒng)。隨著金融信息系統(tǒng)的不斷發(fā)展,呈現(xiàn)出信息越來越集中的趨勢(shì),信息規(guī)模也越來越大,同時(shí)網(wǎng)上金融業(yè)務(wù)所占比例越來越高,這一切都讓金融信息系統(tǒng)成為金融機(jī)構(gòu)的依賴。

　　與此同時(shí),金融信息系統(tǒng)的安全性就變得愈發(fā)重要。但來自各方面的安全威脅對(duì)金融信息系統(tǒng)提出了越來越嚴(yán)峻的考驗(yàn)。鑒于金融系統(tǒng)在整個(gè)社會(huì)經(jīng)濟(jì)中的重要地位,如果金融系統(tǒng)一旦出現(xiàn)問題,將會(huì)造成不可估量的損失,因此保障金融信息系統(tǒng)的安全是一個(gè)需要我們認(rèn)真對(duì)待的課題。

　　2.金融信息系統(tǒng)現(xiàn)狀分析

　　在進(jìn)行金融信息系統(tǒng)現(xiàn)狀分析之前,我們先要對(duì)其安全的重要性有足夠的認(rèn)識(shí)。安全是金融信息系統(tǒng)的生命。在金融信息系統(tǒng)日益發(fā)展,信息越來越向上集中,規(guī)模越來越大,金融業(yè)對(duì)它的依賴性不斷增加的同時(shí),金融信息化系統(tǒng)安全的重要性也與日俱增。它關(guān)系到金融機(jī)構(gòu)的生存和經(jīng)營的成敗,所以,應(yīng)把金融信息化系統(tǒng)的安全視同資金的安全一樣,看作是金融機(jī)構(gòu)的生命。

　　金融信息系統(tǒng)的安全不僅是金融行業(yè)本身的問題,它與我國的經(jīng)濟(jì)安全、社會(huì)安全和國家安全緊密相連,是保障金融業(yè)穩(wěn)定發(fā)展、增強(qiáng)競(jìng)爭(zhēng)力和生存能力的重要組成部分,金融信息系統(tǒng)的安全已成為我國金融信息化建設(shè)中具有戰(zhàn)略意義的關(guān)鍵問題。

　　隨著網(wǎng)上金融業(yè)務(wù)的增加,金融機(jī)構(gòu)的業(yè)務(wù)處理對(duì)信息系統(tǒng)的依賴與日俱增。大量業(yè)務(wù)的處理需要信息系統(tǒng)在短時(shí)間內(nèi)迅速完成大規(guī)模的數(shù)據(jù)傳輸、數(shù)據(jù)處理工作,同時(shí)要保證數(shù)據(jù)的完整性和安全性,是對(duì)信息系統(tǒng)的一個(gè)極大的考驗(yàn)。我們對(duì)金融系統(tǒng)現(xiàn)狀分析如下:

　　2.1金融信息系統(tǒng)與外網(wǎng)的連接。為了方便群眾生活,我國銀行創(chuàng)新了許多新的業(yè)務(wù)品種,比如消費(fèi)者可以網(wǎng)上購物網(wǎng)上支付、比如網(wǎng)上交水電費(fèi)、比如超市、餐館等消費(fèi)場(chǎng)所的刷卡諸如此類,這些都需要與外網(wǎng)的連接。在為群眾提供便利,也為銀行增加收益的同時(shí),因?yàn)榇罅颗c外網(wǎng)的連接也給金融信息系統(tǒng)帶來極大的風(fēng)險(xiǎn)。

　　2.2不法分子的蓄意破壞。互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展和廣泛應(yīng)用,一小撮有才無德之徒利用網(wǎng)絡(luò)從事不法活動(dòng),給金融信息系統(tǒng)的安全造成嚴(yán)重威脅。

　　2.3防御的被動(dòng)與不力。金融信息系統(tǒng)對(duì)破壞的防御能力不足,有些金融信息系統(tǒng)甚至只能防御外敵入侵而不能防范內(nèi)部破壞。而且對(duì)于黑客等犯罪分子防御太過被動(dòng),守既無力,攻也不足。

　　2.4金融信息系統(tǒng)缺乏優(yōu)秀人才,無力對(duì)系統(tǒng)安全進(jìn)行有效保障。

　　2.5在制度上沒有相應(yīng)健全的標(biāo)準(zhǔn)與法律法規(guī)加以規(guī)范指導(dǎo)。

　　國家和銀行應(yīng)該高度重視金融信息系統(tǒng)的安全問題,因?yàn)榻鹑谛畔⑾到y(tǒng)的安全關(guān)系著金融行業(yè)的穩(wěn)定發(fā)展,關(guān)系著居民和銀行的利益,還關(guān)系著國家的經(jīng)濟(jì)安全,社會(huì)穩(wěn)定等等,對(duì)金融業(yè)的建設(shè)和國家的發(fā)展有著重要的意義。

　　3.金融信息系統(tǒng)安全保障

　　通過對(duì)金融信息系統(tǒng)現(xiàn)狀的分析,我們可以看到信息系統(tǒng)處于一個(gè)非常危險(xiǎn)的狀態(tài),對(duì)此我們必須采取有力措施防范危險(xiǎn),保障系統(tǒng)安全。我們可以從技術(shù)和管理兩個(gè)方向來進(jìn)行安全保障:

　　3.1技術(shù)層面,主要從系統(tǒng)的硬件軟件方面加強(qiáng)對(duì)危險(xiǎn)的防御能力。這里涉及到如下幾個(gè)部分:

　　3.1.1網(wǎng)絡(luò)的安全性,做為系統(tǒng)的載體,網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備在信息系統(tǒng)的安全中至關(guān)重要。關(guān)于網(wǎng)絡(luò)我們需要采取兩方面措施,一方面加強(qiáng)對(duì)物理網(wǎng)絡(luò)設(shè)備的維護(hù)工作,避免由于設(shè)備的損壞造成系統(tǒng)的破壞;另一方面在軟件方面要加強(qiáng)安全保障技術(shù),保障系統(tǒng)的信息安全。這里主要針對(duì)不法分子的破壞行為。我們可以采取如下信息安全技術(shù)來提高我們的系統(tǒng)安全性能。

　　①密碼技術(shù)。密碼技術(shù)是信息安全的核心技術(shù)。使用密碼對(duì)信息系統(tǒng)中的信息進(jìn)行加密是保證信息保密性的最佳選擇;使用密碼技術(shù)實(shí)施數(shù)字簽名,進(jìn)行身份認(rèn)證,通過對(duì)信息進(jìn)行完整校驗(yàn)可以有效保證信息的完整性;利用密碼進(jìn)行系統(tǒng)登錄管理,存取授權(quán)管理是保障信息系統(tǒng)和信息為授權(quán)者所用的有效方法;還可以利用密碼和密鑰管理來保證電子信息系統(tǒng)的可控性。

　　②訪問控制技術(shù)。主要內(nèi)容包括限制主體的權(quán)限,防止非授權(quán)主體對(duì)客體的越權(quán)訪問。存取控制的研究?jī)?nèi)容主要有存取控制模型、存取控制策略、存取控制機(jī)制、存取控制的實(shí)現(xiàn)等。用戶識(shí)別是存取控制的基礎(chǔ),系統(tǒng)通過唯一的標(biāo)識(shí)符來驗(yàn)證用戶是否合法,從而決定對(duì)用戶的允許或拒絕。認(rèn)證要求用戶提供足夠的信息來證明他的身份,這些信息是保密的,可以采用單向加密算法加密后保存在系統(tǒng)中。 口令機(jī)制做為一種認(rèn)證手段,雖然簡(jiǎn)單易行,但因其簡(jiǎn)單而比較脆弱,容易被破解。生物技術(shù)是一種比較有前途的方法,如視網(wǎng)膜、指紋等,但限于技術(shù)條件,目前還不能廣泛采用。

　　③漏洞掃描和入侵檢測(cè)技術(shù)。漏洞掃描與網(wǎng)絡(luò)安全評(píng)估緊密相關(guān),其主要目的是在入侵者之前發(fā)現(xiàn)安全漏洞并及時(shí)進(jìn)行修復(fù),是一種主動(dòng)防御手段,是所謂防患于未然。由于網(wǎng)絡(luò)環(huán)境比較復(fù)雜,一般會(huì)利用工具來進(jìn)行漏洞檢查,針對(duì)網(wǎng)絡(luò)層、操作系統(tǒng)層、數(shù)據(jù)庫層、應(yīng)用系統(tǒng)層多個(gè)層面上進(jìn)行。在這方面的工作從某種程度上講是與黑客相同的,因此可以對(duì)黑客的工具和手法加以借鑒,知識(shí)沒有好壞,我們完全可以拿來用。

　　④響應(yīng)和恢復(fù)技術(shù)。任何信息系統(tǒng)無論采用多么高明的安全技術(shù),也不可能是絕對(duì)安全的,或多或少會(huì)存在破綻,響應(yīng)和恢復(fù)技術(shù)就是在系統(tǒng)遭到入侵或破壞的時(shí)候,如何把損失降到最低程度,并在最短的時(shí)間內(nèi)將系統(tǒng)恢復(fù)正常。響應(yīng)和恢復(fù)技術(shù)是一種被動(dòng)防護(hù)手段,是謂亡羊補(bǔ)牢。

　　⑤審計(jì)技術(shù)。審計(jì)類似于飛機(jī)上的“黑匣子”,利用系統(tǒng)運(yùn)行日志,對(duì)系統(tǒng)進(jìn)行事故原因查詢、定位,為事故發(fā)生后的處理提供詳細(xì)可靠的依據(jù)戴支持。

　　⑥病毒防治技術(shù)。對(duì)于品種繁多且傳播迅速的病毒,我們可以采用專業(yè)殺毒軟件來進(jìn)行防御,目前市面上已經(jīng)具有效果比較良好的殺毒軟件,可以選用,工作人員只需定期進(jìn)行病毒查殺并及時(shí)更新病毒庫即可。

　　3.1.2金融行業(yè)的本身介質(zhì)的安全性,目前我國銀行發(fā)行的借記卡多為磁卡,磁卡本身具有一定的脆弱性,可能被別有用心者改變其信息,從而給銀行造成損失。對(duì)此一方面要盡量從技術(shù)上對(duì)磁卡的這種弱點(diǎn)進(jìn)行彌補(bǔ),一方面要尋找磁卡的替代品,從根本上解決問題。

　　3.1.3數(shù)據(jù)集中的安全性。由于數(shù)據(jù)大量集中,危險(xiǎn)系數(shù)也大大增加。首先數(shù)據(jù)存儲(chǔ)設(shè)備可能會(huì)受到破壞,而造成數(shù)據(jù)大量丟失。對(duì)此我們可以采取數(shù)據(jù)備份措施,國內(nèi)已有比較成熟的數(shù)據(jù)存儲(chǔ)系統(tǒng),可以對(duì)數(shù)據(jù)進(jìn)行有效保護(hù),如果數(shù)據(jù)因物理原因而丟失,系統(tǒng)可以對(duì)數(shù)據(jù)進(jìn)行準(zhǔn)確恢復(fù)。其次是數(shù)據(jù)的大量集中,極易招致攻擊,對(duì)此我們可以通過信息安全技術(shù)進(jìn)行防范。

　　3.2管理層面,任何先進(jìn)技術(shù)都是由人來執(zhí)行的,如果沒有有效的管理,那么再好的技術(shù)也難以得到有效發(fā)揮,因此從管理方面來加強(qiáng)安全防范十分必要。可以從如下幾個(gè)方面來加強(qiáng)安全管理:

　　3.2.1安全意識(shí),要樹立網(wǎng)絡(luò)安全意識(shí),每個(gè)工作人員在工作中都要時(shí)刻注意網(wǎng)絡(luò)安全問題,不可以隨意做出對(duì)網(wǎng)絡(luò)安全不利的行為。

　　3.2.2人才培養(yǎng),面對(duì)不法分子的肆意攻擊,我們需要培養(yǎng)一批優(yōu)秀人才對(duì)網(wǎng)絡(luò)安全進(jìn)行維護(hù),甚至可以將有心悔過的黑客收為已用。

　　3.2.3行政干預(yù),加強(qiáng)對(duì)網(wǎng)絡(luò)犯罪的打擊力度,并建立一批專業(yè)公司對(duì)各部門網(wǎng)絡(luò)進(jìn)行量體裁衣式的定制和維護(hù)。

　　3.2.4制度方面,構(gòu)建金融安全管理體系,建立完善的組織機(jī)構(gòu)。制定安全管理辦法和法規(guī),加強(qiáng)嚴(yán)格管理,加強(qiáng)登錄身份的認(rèn)證,嚴(yán)格控制用戶的使用權(quán)限,重視信息保護(hù)的等級(jí),對(duì)重要信息實(shí)施強(qiáng)制保護(hù)和強(qiáng)制性認(rèn)證,以確保重要信息的安全。

　　4.結(jié)語

　　信息化與網(wǎng)絡(luò)化趨勢(shì)的增強(qiáng)和社會(huì)信息化步伐的加快推動(dòng)著金融信息化的快速發(fā)展,金融信息系統(tǒng)的規(guī)模不斷擴(kuò)張,對(duì)網(wǎng)絡(luò)與信息系統(tǒng)的安全保障需要我們給予更多的關(guān)注。我們要隨著環(huán)境的不斷變化,時(shí)時(shí)分析金融信息系統(tǒng)的狀態(tài),以便從技術(shù)與管理等各各層面采取更佳的保障措施,不斷提高金融信息系統(tǒng)的安全保障能力,維護(hù)系統(tǒng)的正常運(yùn)轉(zhuǎn)和效能的發(fā)揮。