吳明

摘要：計(jì)算機(jī)和網(wǎng)絡(luò)通信技術(shù)在給銀行工作帶來方便、快捷的同時，網(wǎng)絡(luò)信息安全問題也開始顯現(xiàn)。因此，必須對銀行信息安全加以重視，并采取相應(yīng)的措施進(jìn)行防范?；诖它c(diǎn)，該文基于實(shí)際工作的經(jīng)驗(yàn)知識，從管理和技術(shù)兩個角度對網(wǎng)絡(luò)時代銀行信息安全存在的問題和對策進(jìn)行了淺談。

關(guān)鍵詞：大數(shù)據(jù)；信息安全；災(zāi)備；應(yīng)急預(yù)案

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）18-0042-03

1 引言

隨著計(jì)算機(jī)和網(wǎng)絡(luò)通信技術(shù)的快速發(fā)展，信息技術(shù)越來越多地被應(yīng)用于銀行各項(xiàng)業(yè)務(wù)，銀行可以為客戶提供“3A”（Anytime，Anywhere，Anyway）服務(wù)，信息技術(shù)在給業(yè)務(wù)辦理帶來巨大方便、高效的同時，也帶來了極大的信息安全隱患。從一般概念上來講，網(wǎng)絡(luò)信息安全主要指網(wǎng)絡(luò)信息的完整性、保密性、可用性、真實(shí)性和不可抵賴性。但是銀行作為一個特殊的機(jī)構(gòu)關(guān)乎國家經(jīng)濟(jì)命脈和人民生活，銀行信息安全自然非常重要，它是指銀行信息系統(tǒng)的軟硬件資源及其數(shù)據(jù)受到嚴(yán)格保護(hù)，不受惡意的或偶然的原因而遭到更改、破壞、泄露，系統(tǒng)可持續(xù)穩(wěn)定可靠地運(yùn)行，信息服務(wù)不間斷。銀行信息安全是銀行業(yè)務(wù)開展的基礎(chǔ)，是銀行經(jīng)營穩(wěn)健運(yùn)行的保障。

2 我國銀行信息安全的現(xiàn)狀

自1998年3月6日，中國銀行業(yè)務(wù)系統(tǒng)第一次成功辦理電子商務(wù)交易，從此開始了中國內(nèi)地網(wǎng)上銀行業(yè)務(wù)發(fā)展的序幕。近年來，我國銀行業(yè)的信息系統(tǒng)經(jīng)歷了地震、泥石流等各種各樣的考驗(yàn)，充分說明了我國大陸銀行業(yè)信息系統(tǒng)建設(shè)取得了一定成績，同時監(jiān)管層也頒布了《金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定》、《關(guān)于進(jìn)一步加強(qiáng)銀行業(yè)金融機(jī)構(gòu)信息安全保障工作的指導(dǎo)意見》等政策法規(guī)。目前，各大銀行已經(jīng)意識到網(wǎng)絡(luò)信息安全的重要性，成立了信息安全專門管理機(jī)構(gòu)，并在信息安全管理機(jī)構(gòu)內(nèi)養(yǎng)一些專業(yè)人才，并增加了信息安全的投入。

雖然中國銀行業(yè)在信息安全建設(shè)方面取得了佳績，但是銀行信息安全危險(xiǎn)依然存在，銀行信息安全保障依然不能忽視。據(jù)了解，國內(nèi)網(wǎng)絡(luò)犯罪案件呈現(xiàn)逐年上升的態(tài)勢，其中銀行信息安全方面的犯罪率達(dá)到了60%以上。據(jù)互聯(lián)網(wǎng)新聞報(bào)道，2009年上海農(nóng)商銀行信息系統(tǒng)出現(xiàn)故障，區(qū)域內(nèi)大量營業(yè)網(wǎng)點(diǎn)無法正常辦理業(yè)務(wù)；2010年2月3日中國民生銀行網(wǎng)絡(luò)信息系統(tǒng)出現(xiàn)長達(dá)4小時的系統(tǒng)故障，全國范圍內(nèi)無法辦理業(yè)務(wù)；2014年2月支付寶員工在信息系統(tǒng)的后臺下載了大量客戶信息有償出售給其他電商公司。上述事件嚴(yán)重影響了人民的利益，對金融企業(yè)的形象和聲譽(yù)造成了極大的負(fù)面影響，充分暴露出銀行業(yè)機(jī)構(gòu)在網(wǎng)絡(luò)信息安全領(lǐng)域有較大隱患，不容小覷。

3 銀行信息安全存在的問題

銀行信息安全系統(tǒng)的建設(shè)是一個龐大復(fù)雜的工程，大部分工作牽扯到銀行業(yè)務(wù)管理水平和信息安全技術(shù)，目前無論從系統(tǒng)管理的角度還是從安全技術(shù)水平的角度，銀行信息安全方面都存在著較多問題，下面從這兩個方面展開論述。

3.1 從業(yè)務(wù)管理的角度看銀行信息安全存在的問題

⑴對信息安全的認(rèn)識不到位，信息安全的意識觀念薄弱

銀行業(yè)的信息安全問題，首先是意識和觀念的問題。不管是管理層還是底層員工，能認(rèn)識到網(wǎng)絡(luò)信息安全的重要性，熟悉信息安全的基本內(nèi)容和具體工作要求是非常重要的。人們往往認(rèn)為信息安全的核心安全性取決于核心技術(shù)，其實(shí)這種思想是錯誤的，信息安全首先取決于基本規(guī)范的實(shí)施和安全手段的應(yīng)用。

⑵重視信息安全產(chǎn)品的投入而忽視管理投入，應(yīng)急預(yù)案不完備

網(wǎng)絡(luò)信息安全投入不完全是安全產(chǎn)品和工具的投入，還應(yīng)包括操作流程、應(yīng)急處理機(jī)制策略等方面的投入，還必須配套與安全產(chǎn)品有相適應(yīng)的過程管理機(jī)制。建立合理的流程管理機(jī)制需要投入，這些投入與安全體系的完整性有著緊密的聯(lián)系，否則報(bào)警無人處理、入侵無人響應(yīng)，效果并不理想。應(yīng)急預(yù)案的覆蓋范圍必須足夠廣，制定規(guī)范性、系統(tǒng)性應(yīng)急預(yù)案并進(jìn)行實(shí)踐檢驗(yàn)，部分應(yīng)急預(yù)案的制定與銀行實(shí)際工作情況沒有關(guān)聯(lián)，側(cè)重于應(yīng)急預(yù)案的形式，而不注重應(yīng)急演練實(shí)踐檢驗(yàn)，極少有銀行機(jī)構(gòu)做到模擬真實(shí)場景進(jìn)行應(yīng)急演練和評估風(fēng)險(xiǎn)。

⑶銀行缺少信息安全管理的復(fù)合型人才

金融管理離不開管理方面的人才，金融企業(yè)信息安全管理需要復(fù)合型人才，這種復(fù)合型人才必須熟悉計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)，又要懂銀行業(yè)務(wù)流程和信息安全風(fēng)險(xiǎn)防范知識。目前，這種復(fù)合型人才還比較少。各大銀行的信息安全專業(yè)技術(shù)人員大部分都是畢業(yè)于計(jì)算機(jī)或相關(guān)專業(yè)，他們對計(jì)算機(jī)專業(yè)知識相對比較了解，但是對銀行業(yè)務(wù)的工作流程和信息系統(tǒng)潛在威脅的把握還不夠。

3.2從專業(yè)技術(shù)角度看銀行信息安全存在的問題

⑴銀行使用的軟件安全性比較弱

由于計(jì)算機(jī)應(yīng)用軟件是銀行內(nèi)部信息的載體，所以軟件本身的質(zhì)量相當(dāng)重要。目前銀行業(yè)務(wù)系統(tǒng)的軟件體系，包括項(xiàng)目管理系統(tǒng)和軟件開發(fā)生命周期都只注重軟件功能、開發(fā)速度和市場，很少考慮安全的需要?，F(xiàn)在發(fā)現(xiàn)管理和技術(shù)上存在的安全威脅，主要出現(xiàn)在應(yīng)用軟件安全設(shè)計(jì)上。

⑵系統(tǒng)漏洞和信息泄密

所謂漏洞一般是指系統(tǒng)設(shè)計(jì)開發(fā)人員在軟件開發(fā)的時候，故意設(shè)置的。這樣做的目的是為了保證銀行從業(yè)人員在某些特殊情況下失去系統(tǒng)訪問權(quán)限時可以順利進(jìn)入系統(tǒng)，正是因這些軟件漏洞的存在，給銀行業(yè)務(wù)系統(tǒng)帶來了信息安全威脅，這樣就會造成信息的泄露。其次，銀行的內(nèi)部職工最熟悉金融企業(yè)的計(jì)算機(jī)應(yīng)用系統(tǒng)，他們知道那些操作能使計(jì)算機(jī)系統(tǒng)出現(xiàn)故障、損壞或泄密。某些時候金融企業(yè)裁員也可能導(dǎo)致計(jì)算機(jī)泄密，當(dāng)裁員時某些系統(tǒng)賬號沒有及時刪除，也可能導(dǎo)致重要敏感信息的泄露。

⑶計(jì)算機(jī)黑客的惡意入侵

網(wǎng)絡(luò)黑客是一些具備較強(qiáng)計(jì)算機(jī)專業(yè)技術(shù)知識的愛好者，他們可以在他人無法察覺的情況下，利用計(jì)算機(jī)設(shè)備侵入一些重要行業(yè)的計(jì)算機(jī)系統(tǒng)，并從中獲的有價(jià)值信息或破壞信息系統(tǒng)。大多數(shù)的網(wǎng)絡(luò)黑客主要利用計(jì)算機(jī)軟件系統(tǒng)的漏洞來入侵信息系統(tǒng)，入侵方法高明且多種多樣，并且入侵手段更新速度也很快，從而使現(xiàn)有的計(jì)算機(jī)系統(tǒng)安全產(chǎn)品很難及時做出相應(yīng)的預(yù)防，進(jìn)而導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)經(jīng)常遭到網(wǎng)絡(luò)黑客的侵入。

⑷計(jì)算機(jī)病毒和木馬

計(jì)算機(jī)病毒是目前信息安全主要威脅因素之一，而且現(xiàn)在的計(jì)算機(jī)病毒千奇百怪，多種多樣。計(jì)算機(jī)病毒是一些計(jì)算機(jī)愛好者刻意編寫的程序代碼，具有類似于生物病毒的破壞性、傳染性、隱蔽性等特點(diǎn)。為了保證銀行計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行，應(yīng)重視防范病毒。另外還有就是木馬程序，木馬程序是一種由攻擊者悄悄安裝在受害人計(jì)算機(jī)上的竊聽及控制程序，通常包括控制端和被控制端兩個部分，被控制端程序通過網(wǎng)絡(luò)或其他介質(zhì)植入受害人計(jì)算機(jī)，控制端程序則安裝在不法分子的計(jì)算機(jī)設(shè)備上，利用控制端遠(yuǎn)程的和被控制端傳送數(shù)據(jù)，以竊取受害人計(jì)算機(jī)上的資源，盜取個人信息和各種重要敏感數(shù)據(jù)，給單位和個人造成相當(dāng)大的損失。

⑸災(zāi)備措施不完善和基礎(chǔ)設(shè)施故障

銀行的災(zāi)難備份和恢復(fù)能力必須進(jìn)一步加強(qiáng)，中國銀行業(yè)的災(zāi)備系統(tǒng)類型比較單一，覆蓋面還較小，尤其缺乏系統(tǒng)的災(zāi)難恢復(fù)方案。正因?yàn)檫@些情況的存在，導(dǎo)致了各種各樣的自然災(zāi)害發(fā)生后，無法立刻啟動應(yīng)急預(yù)案并快速切換到備份系統(tǒng)，所以才會出現(xiàn)長達(dá)數(shù)小時的信息服務(wù)中斷。計(jì)算機(jī)基礎(chǔ)設(shè)施可以說是任何計(jì)算機(jī)系統(tǒng)安全運(yùn)行的保障，當(dāng)基礎(chǔ)設(shè)施出現(xiàn)故障后，勢必會造成信息服務(wù)的中斷，同時這種情況的發(fā)生是不可預(yù)知的。基礎(chǔ)設(shè)施的出現(xiàn)故障的原因比較復(fù)雜而且多樣化，具體包括服務(wù)器電源故障、網(wǎng)線老化、通信中斷等。

4 銀行信息安全風(fēng)險(xiǎn)的應(yīng)對策略與建議

從以上關(guān)于我國銀行信息安全問題的分析可以知，構(gòu)建一套可行的銀行信息系統(tǒng)安全保障體系和方法，加強(qiáng)防范信息安全風(fēng)險(xiǎn)勢在必行。因此，應(yīng)做好以下方面的工作。

⑴認(rèn)真做好相關(guān)專業(yè)人員的安全意識教育，而且常抓不懈

銀行內(nèi)部比須加強(qiáng)信息安全監(jiān)管和懲戒力度，明確法律責(zé)任，將信息安全的責(zé)任落實(shí)到每個相關(guān)人員，出現(xiàn)問題誰負(fù)責(zé)追究誰，將違規(guī)操作的可能性降到最低。對于銀行而言，任何的數(shù)據(jù)和客戶信息都非常重要，必須有嚴(yán)格的保密規(guī)定，但是常常在實(shí)際工作中出現(xiàn)這樣那樣的小問題，因此要強(qiáng)化內(nèi)部員工的安全意識教育和信息安全基礎(chǔ)知識培訓(xùn)，此項(xiàng)工作必須常抓不懈，然后將相關(guān)內(nèi)容整理成冊，定期的學(xué)習(xí)考核。必要時，有機(jī)會接觸重要信息的員工在進(jìn)入崗位之前必須做出書面承諾，保密承諾要包括重要信息的范圍以及泄密需要承擔(dān)的相應(yīng)責(zé)任，使每一個能接觸重要信息的人員明確信息泄露的危害。同時通過培訓(xùn)，提高所有參與管理的人員信息安全和風(fēng)險(xiǎn)防范意識，關(guān)鍵是要重點(diǎn)培養(yǎng)信息安全的業(yè)務(wù)骨干。

⑵建立與災(zāi)備體系相適應(yīng)的應(yīng)急管理機(jī)制，兩者缺一不可

日常生活中突發(fā)事件是不可預(yù)知的，尤其是各種各樣的自然災(zāi)害，其破壞力比較大。如果銀行能事先把預(yù)防措施做到位，做到防患于未然，就可以最大限度地減少經(jīng)濟(jì)損失，保證人民財(cái)產(chǎn)不受損失，保障國家經(jīng)濟(jì)安全運(yùn)行。首先是要建立完善的應(yīng)急預(yù)案機(jī)制，有針對性的強(qiáng)化應(yīng)急演練，對各種自然災(zāi)害事件進(jìn)行全面有效的風(fēng)險(xiǎn)評估，分類制定科學(xué)的應(yīng)急方案，開展接近于實(shí)際情況的模擬應(yīng)急訓(xùn)練，及時評估應(yīng)急演練的效果，做到突發(fā)事件發(fā)生時無死角，有的放矢，同時通過應(yīng)急演練檢驗(yàn)應(yīng)急預(yù)案的實(shí)用性、合理性、可行性。接下就是建立與應(yīng)急機(jī)制相適應(yīng)的災(zāi)難備份恢復(fù)系統(tǒng)，提高業(yè)務(wù)可持續(xù)性。大型的銀行要積極建設(shè)“兩地三中心”，中小型銀行可以考慮選擇災(zāi)難備份外包服務(wù)，使銀行具備抵御火災(zāi)、地震、暴雨等自然災(zāi)害的能力。全面促進(jìn)業(yè)務(wù)系統(tǒng)的連續(xù)性，著實(shí)增強(qiáng)銀行防范風(fēng)險(xiǎn)能力。

⑶加大銀行信息安全復(fù)合型人才的培養(yǎng)力度，拓寬培養(yǎng)渠道

任何科技工作都必須以人才為重心。為了徹底清除銀行信息化建設(shè)中的障礙，切實(shí)保障金融企業(yè)信息安全，各大銀行要大力培養(yǎng)信息安全復(fù)合型人才。首先根據(jù)各單位信息安全的人員結(jié)構(gòu)和知識結(jié)構(gòu)，在強(qiáng)化信息安全專業(yè)知識教育的同時，還要兼顧計(jì)算機(jī)專業(yè)知識和金融業(yè)務(wù)知識的培訓(xùn)，而且此項(xiàng)工作必須長期堅(jiān)持，做好人才儲備。在人才培養(yǎng)的同時還要與實(shí)踐相結(jié)合，在學(xué)習(xí)各類信息安全知識的前提條件下，組織參與培訓(xùn)專業(yè)人員針對信息安全制度進(jìn)行實(shí)踐檢驗(yàn)。

⑷敏感重要數(shù)據(jù)務(wù)必加密，同時安裝殺毒軟件

首先，加密是確保信息安全的關(guān)鍵技術(shù)之一。越來越多的數(shù)據(jù)要求銀行的業(yè)務(wù)系統(tǒng)在選擇加密方式時要盡可能的有多種數(shù)據(jù)防護(hù)需求，在已有的加密方式下，多模加密技術(shù)是較好的選擇。多模加密技術(shù)是將非對稱加密算法（如RSA）和對稱加密算法（如DES和AES）相結(jié)合，在確保數(shù)據(jù)安全的同時，其多模的特性可以根據(jù)需求選擇對稱或非對稱加密方式。另外防范計(jì)算機(jī)病毒最有效的措施就在銀行的各類計(jì)算機(jī)系統(tǒng)中安裝正版的防病毒軟件，力爭做到病毒防范無死角無遺漏，并且確保殺毒軟件能實(shí)時更新病毒庫。對于新購置的軟件和類似于U盤的存儲介質(zhì)，在使用前銀行員工須使用殺毒軟件進(jìn)行全面的病毒掃描，確認(rèn)安全之后方可使用。

⑸進(jìn)一步推進(jìn)銀行信息化技術(shù)法規(guī)和標(biāo)準(zhǔn)化體系建設(shè)

結(jié)合銀行信息化發(fā)展的實(shí)際需要，以各種方式協(xié)作，分層次和有序的加快銀行信息化技術(shù)規(guī)范和標(biāo)準(zhǔn)的建設(shè)進(jìn)度。組織完善數(shù)據(jù)中心建設(shè)、數(shù)據(jù)存儲、網(wǎng)絡(luò)互連、安全加密、數(shù)據(jù)交換、安全認(rèn)證、客戶服務(wù)方面標(biāo)準(zhǔn)的制定。對網(wǎng)上銀行、移動銀行、電子商務(wù)等創(chuàng)新產(chǎn)品和服務(wù)，制定與之相適應(yīng)的標(biāo)準(zhǔn)和規(guī)范。同時，建立科學(xué)的監(jiān)督策略，通過制度建設(shè)，強(qiáng)化技術(shù)標(biāo)準(zhǔn)和規(guī)范的執(zhí)行強(qiáng)度。

5 總結(jié)

總之，計(jì)算機(jī)和網(wǎng)絡(luò)通信技術(shù)在銀行的大量使用和不斷發(fā)展，促進(jìn)了銀行各種業(yè)務(wù)的發(fā)展和進(jìn)步，計(jì)算機(jī)網(wǎng)絡(luò)給銀行辦理業(yè)務(wù)帶來了巨大方便快捷，同時也帶來了巨大的安全威脅。銀行信息安全系統(tǒng)建設(shè)是一個相當(dāng)復(fù)雜的工程，大部分工作與銀行業(yè)務(wù)的管理水平和技術(shù)水平存在緊密的關(guān)聯(lián)。只有我們切實(shí)認(rèn)識到信息安全建設(shè)的重要性，才能使信息系統(tǒng)的安全管理和建設(shè)取得更大進(jìn)步。

參考文獻(xiàn)：

[1] 李永伍﹒淺談大數(shù)據(jù)時代銀行信息的安全防護(hù)[J]﹒科技管理，2015（5）﹒

[2] 趙剛﹒淺談銀行安全存在的問題[J]﹒科技開發(fā)與經(jīng)濟(jì)，2006（6）﹒

[3] 王大威﹒構(gòu)建銀行信息安全屏障——商業(yè)銀行信息科技風(fēng)險(xiǎn)防范與管理論壇綜述[J]﹒銀行家，2009（8）﹒

[4] 王國吉，郭勇﹒基層人行計(jì)算機(jī)信息安全面臨的問題及對策[J]﹒華南金融電腦，2009（2）﹒