彭胤

（中國農(nóng)業(yè)銀行軟件開發(fā)中心，北京 100161）

我國的金融信息化已經(jīng)走過20多個(gè)年頭，在數(shù)萬金融科技工作人員的努力下取得了巨大的成就，從無到有、從有到精、由點(diǎn)及面，初步建成了成熟完整的金融信息體系。然而，安全是金融信息系統(tǒng)的生命。在金融信息系統(tǒng)日益發(fā)展，信息越來越向上集中，規(guī)模越來越大，金融業(yè)對它的依賴性不斷增加的同時(shí)，金融信息化系統(tǒng)安全的重要性也與日俱增。目前，我國金融信息化已進(jìn)入了體系化信息安全管理的階段，亟待建立一套金融信息安全保障體系。

1 金融信息面臨的安全風(fēng)險(xiǎn)

金融行業(yè)的信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)，主要體現(xiàn)在以下四個(gè)方面：

1.1 金融信息化的加速和信息網(wǎng)絡(luò)化的推進(jìn)，使得金融行業(yè)在國民經(jīng)濟(jì)中的地位進(jìn)一步提高，其他行業(yè)對金融的依賴性也進(jìn)一步加強(qiáng)。但是越來越多的信息電子化，使金融信息系統(tǒng)內(nèi)部采集、存儲(chǔ)、傳輸、處理的信息量越來越大，信息的重要程度也越來越高。如何確保這些關(guān)系到國計(jì)民生的金融數(shù)據(jù)的安全采集、安全存儲(chǔ)、安全傳輸和安全處理，成為金融信息系統(tǒng)建設(shè)面臨的重要挑戰(zhàn)。

1.2 隨著金融網(wǎng)上業(yè)務(wù)的拓展，諸如信用卡號(hào)失竊、電子欺騙等金融犯罪活動(dòng)逐年增加。作為開展網(wǎng)上交易活動(dòng)的基礎(chǔ)設(shè)施——金融信息系統(tǒng)，應(yīng)該具備對此類活動(dòng)的事前監(jiān)控預(yù)警、事中保護(hù)反擊、事后審計(jì)分析的能力。

1.3 金融信息化的加速，必然會(huì)使金融信息系統(tǒng)與國內(nèi)外公共互聯(lián)網(wǎng)進(jìn)行互聯(lián)，那么，來自公共互聯(lián)網(wǎng)的各類攻擊、病毒及入侵將對金融信息系統(tǒng)的可用性帶來巨大威脅。

1.4 隨著金融信息化的加速，金融信息系統(tǒng)的規(guī)模逐步擴(kuò)大，同時(shí)金融信息資產(chǎn)的數(shù)量也將急劇增加，如何對這些大量的信息資產(chǎn)進(jìn)行有效的管理，使不同程度的信息資產(chǎn)都能得到不同級別的安全保護(hù)，將是金融信息系統(tǒng)安全管理面臨的巨大挑戰(zhàn)。

2 金融信息安全建設(shè)的要點(diǎn)

目前，金融業(yè)的計(jì)算機(jī)系統(tǒng)除應(yīng)用于日常的門市業(yè)務(wù)外，還兼有信息管理、決策支持等方面的功能。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)和應(yīng)用的規(guī)模與上個(gè)世紀(jì)相比，有了質(zhì)的飛躍，特別是互聯(lián)網(wǎng)的使用，使得計(jì)算機(jī)系統(tǒng)的安全在整個(gè)信息系統(tǒng)的安全建設(shè)中，具有舉足輕重的地位。

2.1 金融業(yè)的業(yè)務(wù)系統(tǒng)和渠道建設(shè)。該系統(tǒng)建設(shè)是信息系統(tǒng)建設(shè)最重要的組成部分。目前使用的渠道多種多樣，有網(wǎng)上、手機(jī)、柜臺(tái)、自助設(shè)備、電話等，每一個(gè)渠道所引申的系統(tǒng)都成為信息安全一個(gè)重要的分支。

2.2 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)和設(shè)備。網(wǎng)絡(luò)系統(tǒng)和網(wǎng)絡(luò)設(shè)備，是計(jì)算機(jī)系統(tǒng)的一個(gè)重要載體。計(jì)算機(jī)網(wǎng)絡(luò)在信息安全體系中，扮演了重要角色。網(wǎng)絡(luò)的安全取決于線路、網(wǎng)絡(luò)設(shè)備及所有接入該網(wǎng)絡(luò)的接點(diǎn)。目前在我國，中國電信、中國聯(lián)通等電信運(yùn)營商，作為金融業(yè)網(wǎng)絡(luò)運(yùn)行的承運(yùn)商，擁有良好的運(yùn)營性，金融業(yè)全面依賴他們所提供的網(wǎng)絡(luò)連接，在其網(wǎng)絡(luò)連接介質(zhì)上進(jìn)行業(yè)務(wù)處理。但是，也許正是因?yàn)檫@一點(diǎn)，潛在著巨大的風(fēng)險(xiǎn)隱患。

2.3 金融行業(yè)使用的介質(zhì)。目前金融行業(yè)使用的介質(zhì)有存折和卡，卡有IC卡和磁卡。IC卡源于歐洲，國內(nèi)的IC卡使用理論經(jīng)緯環(huán)境尚不完全具備，因此使用更為廣泛的是磁卡，目前國內(nèi)發(fā)行的貸記卡、借記卡多用磁卡。在磁卡的使用上，客戶的素質(zhì)和使用手段，也有可能影響信息系統(tǒng)的安全，這一點(diǎn)在銀行業(yè)中體會(huì)尤深。一些居心不良的人員，利用銀行業(yè)應(yīng)用系統(tǒng)的漏洞，不斷挑起事端，提取訴訟，讓銀行蒙受損失。

2.4 金融業(yè)數(shù)據(jù)集中。近幾年來，金融業(yè)的數(shù)據(jù)集中已呈越來越大越快的發(fā)展趨勢，而數(shù)據(jù)集中所帶來的信息安全風(fēng)險(xiǎn)和隱患也隨之增加。產(chǎn)生了以下兩個(gè)問題：

2.4.1 災(zāi)難備份問題。如何確保系統(tǒng)在發(fā)生故障時(shí)，能夠有有效的、安全的應(yīng)急手段，為從業(yè)人員所關(guān)注。一方面要有良好的應(yīng)用手段，對故障進(jìn)行有效的處理；另一方面，當(dāng)設(shè)備和網(wǎng)絡(luò)出現(xiàn)故障時(shí)，能在最短的時(shí)間內(nèi)進(jìn)行最有效的恢復(fù)，這一點(diǎn)，又必須對客戶是透明的。這樣的處理方式，能夠?yàn)閺V大客戶所接受，但實(shí)施起來并非易事。

2.4.2 風(fēng)險(xiǎn)集中問題。數(shù)據(jù)集中后，數(shù)據(jù)的安全完全集中到某一地，加大了防范的難度。在物理安全防范上，由于國內(nèi)政局穩(wěn)定，最易被忽視。其實(shí)數(shù)據(jù)集中后，信息安全過于集中而遭受攻擊或破壞的可能性大大增加。

2.4.3 金融業(yè)從業(yè)人員的道德問題。所有的信息系統(tǒng)建設(shè)都要依賴于人去進(jìn)行，據(jù)統(tǒng)計(jì)，目前發(fā)生的危害信息系統(tǒng)安全的行為，80%出自金融行業(yè)內(nèi)部人員所為。經(jīng)常有金融單位的柜員或技術(shù)開發(fā)人員，以及某個(gè)部門的主管領(lǐng)導(dǎo)，利用系統(tǒng)的漏洞，肆無忌憚地竊取國家和客戶的資金。這也是金融行業(yè)的信息安全最難于管理的部分。

2.4.4 相關(guān)法律法規(guī)的建設(shè)。信息技術(shù)在國民生活中所起的作用已經(jīng)越來越大，規(guī)范人們的行為，約束從業(yè)者的作為，已經(jīng)迫在眉睫。這些年來，有關(guān)金融行業(yè)信息系統(tǒng)的相關(guān)案件的處理，更多適用的是《中華人民共和國刑事訴訟法》的相關(guān)條款，而對諸如知識(shí)產(chǎn)權(quán)、信息入侵、竊取資金，乃至有意無意地破壞信息系統(tǒng)安全的各類行為的法律責(zé)任認(rèn)定上，尚比較模糊。

3 金融信息安全保障體系的構(gòu)建

3.1 要進(jìn)一步加強(qiáng)金融信息的保密工作。隨著信息技術(shù)的迅猛發(fā)展與廣泛應(yīng)用，竊密手段更加隱蔽，泄密的隱患增多，泄密所造成的危害程度更大，故保密工作面臨許多新情況新問題。金融行業(yè)具備特有的高保密性，對于各種涉及安全性信息的上傳下達(dá)要求高。因此，一要樹立正確的保密意識(shí)。加入世貿(mào)組織“無密可?！?、“有密難保”、“保密無用”的錯(cuò)誤思想。二要抓好保密管理。三要抓好加密技術(shù)創(chuàng)新，大力開發(fā)關(guān)鍵性技術(shù)，使保障金融網(wǎng)絡(luò)安全的密碼技術(shù)、商用加密技術(shù)、身份鑒別技術(shù)、防火墻技術(shù)、攻擊監(jiān)測技術(shù)、病毒防御技術(shù)在網(wǎng)絡(luò)銀行上發(fā)揮應(yīng)有的作用。

3.2 要建立和完善金融信息標(biāo)準(zhǔn)化體系。金融信息標(biāo)準(zhǔn)化體系是帶動(dòng)我國金融IT技術(shù)與應(yīng)用發(fā)展的關(guān)鍵，是我國金融信息應(yīng)用成熟發(fā)展的主要措施之一。對于我國來說，目前要做的主要具體工作是，要完善金融信息化標(biāo)準(zhǔn)體系總體規(guī)劃，確定我國金融信息標(biāo)準(zhǔn)體系的目標(biāo)、任務(wù)、發(fā)展階段策略和原則等，全面規(guī)劃銀行通訊和網(wǎng)絡(luò)技術(shù)設(shè)施建設(shè)，區(qū)分銀行面向社會(huì)服務(wù)、銀行內(nèi)部服務(wù)和中國銀行監(jiān)管的工作，實(shí)施這些網(wǎng)絡(luò)的業(yè)務(wù)分開，提出統(tǒng)一業(yè)務(wù)平臺(tái)體系，提出銀行信息認(rèn)證技術(shù)框架和公共的必要設(shè)施。要建設(shè)我國自助的信息化標(biāo)準(zhǔn)體系，必須與國際接軌，同時(shí)我國金融信息化標(biāo)準(zhǔn)又必須維護(hù)國家主權(quán)和安全。

3.3 要大力培養(yǎng)金融信息化專業(yè)人才。目前我國金融從業(yè)人員達(dá)到碩士以上學(xué)歷的不足1%，遠(yuǎn)遠(yuǎn)不能滿足國內(nèi)銀行業(yè)的蓬勃發(fā)展。因此，要培養(yǎng)具備以下方面的人才：一是金融經(jīng)濟(jì)與管理方面的基礎(chǔ)知識(shí)；二是信息化方面的知識(shí)，包括數(shù)據(jù)庫知識(shí)；三是金融方面的業(yè)務(wù)知識(shí)，如國際金融等。目前既懂“金融”又懂“IT”的復(fù)合型人才，已是高端人才市場競爭的“焦點(diǎn)”，而且在人才方面更重視的是“業(yè)務(wù)技能”導(dǎo)向而不是“理論”導(dǎo)向的學(xué)者。

[1]張立洲.論金融信息化對金融業(yè)的影響，財(cái)經(jīng)問題研究，2003(3)

[2]李志彤.我國金融信息化現(xiàn)狀與發(fā)展策略，中外管理導(dǎo)報(bào)2002(12)

[3]陳柳欽.安全：金融信息化的命脈，中國科技投資，2009(2)