郭洪斌

[摘要]建立起我國較為完善的公共信用體系，進而規(guī)范并促進社會經(jīng)濟活動，是一項社會、經(jīng)濟意義深遠且關(guān)系到管理體制創(chuàng)新、政府職能轉(zhuǎn)變、法制建設(shè)規(guī)范等方面規(guī)模浩大的系統(tǒng)工程。公共信用信息的保護雖然是一個法律問題，但是客體是公共信用信息系統(tǒng)保護的技術(shù)層次內(nèi)容。分析公共信用信息系統(tǒng)存在的安全威脅，并提出保護公共信用信息系統(tǒng)安全的具體策略和措施。

[關(guān)鍵詞]信用信息系統(tǒng)安全保護

中圖分類號：G31文獻標識碼；A文章編號：1671—7597(2009)1010073—01

一、引言

目前企業(yè)和個人的公共信用信息的主要使用者是金融機構(gòu)，通過專線與商業(yè)銀行等金融機構(gòu)總部相連(即一口接入)，并通過商業(yè)銀行的內(nèi)聯(lián)網(wǎng)系統(tǒng)將終端延伸到商業(yè)銀行分支機構(gòu)信貸人員的業(yè)務(wù)柜臺，實現(xiàn)了企業(yè)和個人信用信息定期由各金融機構(gòu)流入企業(yè)和個人征信系統(tǒng)，匯總后金融機構(gòu)實時共享的功能。目前，企業(yè)和個人征信系統(tǒng)的信息來源主要是商業(yè)銀行等金融機構(gòu)，收錄的信息包括企業(yè)和個人的基本信息、在金融機構(gòu)的借款、擔(dān)保等信貸信息，以及企業(yè)主要財務(wù)指標。自企業(yè)和個人征信系統(tǒng)建設(shè)以來，人民銀行一直都在與相關(guān)部門積極協(xié)商，擴大數(shù)據(jù)采集范圍，提升系統(tǒng)功能。

二、公共信用信息系統(tǒng)概述

(一)個人信用信息。從信用信息內(nèi)容來看，個人信用信息結(jié)構(gòu)主要涉及到四個方面的內(nèi)容，一是個人的身份信息，包括姓名、住址、電話、社會保障號碼及征信機構(gòu)賦予的個人代碼；二是個人的信用記錄，包括信用卡、消費貸款、住房抵押貸款、分期付款、租賃等信用交易及其付賬記錄，既包括正面信息，也包括拖欠、收賬等負面信息；三是公共記錄信息，如涉及個人財產(chǎn)、犯罪的法院判決記錄、個人破產(chǎn)信息、欠稅信息等；四是查詢信息，這是根據(jù)美國《公平信用報告法》要求設(shè)置的，用于記錄和監(jiān)督個人信用信息的使用者及其使用目的，以保障個人信用信息的使用符合法律規(guī)定的用途，避免個人的權(quán)益受到不必要的侵害。

(二)企業(yè)信用信息。企業(yè)信用信息數(shù)據(jù)庫結(jié)構(gòu)包括了三個組成部分，九類信息內(nèi)容。第一部分主要是企業(yè)的基本信息，分為三類，一類是包括企業(yè)名稱、地址、電話及鄧氏編碼(Data Universal Numbering System)的身份信息；第二類自然狀況信息，如企業(yè)的規(guī)模、雇員人數(shù)、業(yè)務(wù)范圍、年銷售收入等；第三類是組織信息，包括企業(yè)的總部、主要投資者、分支機構(gòu)及企業(yè)的部門結(jié)構(gòu)等。第二部分數(shù)據(jù)主要涉及企業(yè)的信用記錄和狀況，一是企業(yè)的財務(wù)狀況，包括企業(yè)的資產(chǎn)負債表、各種收益率、發(fā)展趨勢和信用等級評定情況；二是企業(yè)的付款和銀行記錄，主要包括企業(yè)各種應(yīng)付賬款情況、付款記錄與特點、銀行開戶及貸款情況等；三是法院及其他公共信息，包括訴訟、判決等法院記錄、欠稅情況、破產(chǎn)記錄以及企業(yè)在政府的登記注冊信息。第三部分主要是關(guān)于企業(yè)經(jīng)營管理活動方面的信息，如企業(yè)高級管理人員的情況、主要業(yè)務(wù)領(lǐng)域、品牌等。

(三)信用信息系統(tǒng)的安全問題。在現(xiàn)代社會中，信息是人類最寶貴的資源，以數(shù)據(jù)庫為核心的信息系統(tǒng)在人們的社會生活中起著越來越重要的作用，信息安全也日益成為關(guān)系企業(yè)成敗、戰(zhàn)爭勝負乃至國家根本利益的重要問題，越來越引起人們的廣泛重視。

公共信用信息數(shù)據(jù)庫面臨的安全威脅主要有：軟件和硬件環(huán)境出現(xiàn)意外，如磁盤損壞，系統(tǒng)崩潰等；計算機病毒可能造成系統(tǒng)崩潰，進而破壞數(shù)據(jù)；對數(shù)據(jù)庫的不正確訪問，引起數(shù)據(jù)庫中數(shù)據(jù)的錯誤；為了某種目的，故意破壞數(shù)據(jù)庫；未經(jīng)授權(quán)非法訪問數(shù)據(jù)庫信息。竊取其中的數(shù)據(jù)；未經(jīng)授權(quán)非法修改數(shù)據(jù)庫中的數(shù)據(jù)，使其數(shù)據(jù)失去真實性；通過網(wǎng)絡(luò)對數(shù)據(jù)庫的訪問遭到偵聽；通過網(wǎng)絡(luò)對數(shù)據(jù)庫進行各種非法存??；通過網(wǎng)絡(luò)破壞數(shù)據(jù)庫系統(tǒng)的完整性、可用性；對網(wǎng)絡(luò)數(shù)據(jù)庫進行拒絕式服務(wù)攻擊等等。對于重要部門或敏感領(lǐng)域的數(shù)據(jù)，面臨更多威脅，需要更復(fù)雜的操作才能保證數(shù)據(jù)的安全性，此時，就需要進行一些專門的安全性方法設(shè)計，來進一步加強這些網(wǎng)絡(luò)數(shù)據(jù)庫的安全性。

三、保證公共信用信息系統(tǒng)安全的策略

建立完善安全嚴密的信息存儲、管理、流轉(zhuǎn)機制。

1，確保網(wǎng)絡(luò)系統(tǒng)的安全。網(wǎng)絡(luò)系統(tǒng)的安全是數(shù)據(jù)庫安全的第一道屏障，網(wǎng)絡(luò)系統(tǒng)是數(shù)據(jù)庫應(yīng)用的外部環(huán)境和基礎(chǔ)，數(shù)據(jù)庫系統(tǒng)要發(fā)揮其強大作用離不開網(wǎng)絡(luò)系統(tǒng)的支持，數(shù)據(jù)庫系統(tǒng)的用戶(如異地用戶、分布式用戶)也要通過網(wǎng)絡(luò)才能訪問數(shù)據(jù)庫的數(shù)據(jù)。

2，確保操作系統(tǒng)的安全。操作系統(tǒng)是大型數(shù)據(jù)庫系統(tǒng)的運行平臺，為數(shù)據(jù)庫系統(tǒng)提供一定程度的安全保護。操作系統(tǒng)的安全控制方法主要是采用隔離控制、訪問控制、信息加密和審計跟蹤。主要安全技術(shù)有操作系統(tǒng)安全策略、安全管理策略、數(shù)據(jù)安全等。

3，數(shù)據(jù)庫管理系統(tǒng)的安全。因為數(shù)據(jù)庫的結(jié)構(gòu)與其它系統(tǒng)不同，擁有各種特權(quán)的用戶共享，同時又不能超出給定的范圍。它對安全的需求范圍更廣，除了對計算機、外部設(shè)備、聯(lián)機網(wǎng)絡(luò)和通信設(shè)備進行物理保護外，還必須采取其它安全措施有效地防止非法訪問或盜用敏感數(shù)據(jù)，保證數(shù)據(jù)的完整性和一致性。

4，安裝網(wǎng)絡(luò)防病毒墻。網(wǎng)絡(luò)上的病毒仍很猖獗，應(yīng)在網(wǎng)絡(luò)的內(nèi)外出口處或各個子網(wǎng)出口處安裝網(wǎng)絡(luò)防病毒墻，在服務(wù)器上安裝網(wǎng)絡(luò)版殺毒軟件，部署在線殺毒平臺，同時在邊沿交換機上配置常見病毒端口訪問控制列表，建立網(wǎng)絡(luò)防病毒體系，控制病毒在網(wǎng)絡(luò)上的傳播。

5，建立合理、高效且靈活的權(quán)限體系。通過多層次的權(quán)限驗證機制，沒有相應(yīng)權(quán)限的用戶無法修改或訪問有關(guān)的信息，充分保障了數(shù)據(jù)安全和個人隱私。同時建立完備的安全日志審計，為每個用戶建立獨立的操作日志，高權(quán)限的管理員可以隨時發(fā)現(xiàn)問題，也可作為日后查詢的依據(jù)。

6，對系統(tǒng)定期進行安全備份。一般對整個系統(tǒng)每月進行一次備份，對新增或修改過的數(shù)據(jù)每周進行一次各份，最好做到自動備份。

四、總結(jié)

目前，中國人民銀行、商務(wù)部等部門在相應(yīng)的范圍內(nèi)制定了信用信息共享、保護的政策文件，但法律效力層次不高，保護內(nèi)容尚不全面。除了信用信息保護的法律問題外，存在的一個問題就是信用信息保護的手段和方法上的不足，通過計算機存儲和在網(wǎng)絡(luò)上傳播的信用信息也面臨著很大的威脅。網(wǎng)絡(luò)傳播的信息保護是一個時刻變化的、動態(tài)的過程，本文提出的幾種措施雖然在一定程度上可以保護信息的安全，但是隨著技術(shù)的發(fā)展，還需要有新的保護措施不斷提出來。