何漢

摘要：隨著互聯(lián)網(wǎng)技術(shù)以及計(jì)算機(jī)技術(shù)的飛速發(fā)展，金融電子化給現(xiàn)階段金融業(yè)發(fā)展帶來(lái)空前的機(jī)遇，但是卻讓其不得不面臨非法外聯(lián)、網(wǎng)絡(luò)釣魚等信息安全方面的問(wèn)題。所以，文章基于基本的金融電子化以及信息安全受到的主要威脅進(jìn)行探討，分析了金融電子化信息安全保護(hù)技術(shù)，希望對(duì)于金融業(yè)的發(fā)展有一定的借鑒意義。

關(guān)鍵詞：金融電子化；信息安全；保護(hù)

隨著金融電子化建設(shè)從無(wú)到有，從原本的內(nèi)部信息系統(tǒng)電子化逐漸發(fā)展到對(duì)外業(yè)務(wù)的網(wǎng)絡(luò)化，從原本的單一業(yè)務(wù)網(wǎng)絡(luò)化朝著綜合業(yè)務(wù)網(wǎng)絡(luò)化發(fā)展，取得了一定的成績(jī)，將傳統(tǒng)模式下的金融業(yè)務(wù)處理方式改變。但是就目前金融信息安全建設(shè)的水平來(lái)看，依舊存在落后于電子化水平的問(wèn)題。無(wú)論是在金融系統(tǒng)的內(nèi)聯(lián)網(wǎng)之中，還是接入對(duì)外服務(wù)網(wǎng)絡(luò)，都置于各式各樣的安全分級(jí)風(fēng)險(xiǎn)之中。隨著金融電子化的不斷發(fā)展，其面臨的安全風(fēng)險(xiǎn)也越來(lái)越大。

1 金融電子化

金融電子化指的是通過(guò)網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)技術(shù)以及通信手段等一系列現(xiàn)代化技術(shù)，將傳統(tǒng)的金融業(yè)工作方式改變，實(shí)現(xiàn)金融業(yè)務(wù)處理的自動(dòng)化、管理信息化以及金融服務(wù)電子化，這樣就可以為客戶提供快捷方便的服務(wù)，為國(guó)民經(jīng)濟(jì)各個(gè)部門提供準(zhǔn)確、及時(shí)信息的全部活動(dòng)過(guò)程。其屬于一個(gè)綜合各個(gè)不同應(yīng)用形式、各種層次應(yīng)用為主要特征的金融計(jì)算機(jī)信息系統(tǒng)應(yīng)用總稱。也就是在銀行、保險(xiǎn)、政權(quán)以及其余金融機(jī)構(gòu)之中提升工作效率，需要圍繞金融業(yè)務(wù)以及銀行管理現(xiàn)代化進(jìn)程之中所使用的現(xiàn)金電子設(shè)備或者是計(jì)算機(jī)信息系統(tǒng)，都包含在金融電子化的范疇之中。而金融電子化的最終目標(biāo)就是為了建立金融信息系統(tǒng)，從而方便金融業(yè)務(wù)的處理、金融決策的制定以及開展金融信息管理[1]。

2 金融電子化中的信息安全威脅

在金融電子化的信息安全威脅中，主要包含了非法外聯(lián)和網(wǎng)絡(luò)釣魚兩個(gè)方面。

2.1非法外聯(lián)

長(zhǎng)久以來(lái)，安全防御理念都局限于網(wǎng)絡(luò)便捷、常規(guī)網(wǎng)關(guān)級(jí)別等防御之中，重要的安全設(shè)施大部分都集中在機(jī)房以及網(wǎng)絡(luò)入口的位置上，在這一部分設(shè)備的監(jiān)控下，來(lái)源于外部網(wǎng)絡(luò)的威脅就減少了很多。但是來(lái)源于網(wǎng)絡(luò)內(nèi)部的安全威脅，卻是現(xiàn)階段網(wǎng)絡(luò)管理人員需要面臨的主要問(wèn)題。為了滿足涉密網(wǎng)絡(luò)安全運(yùn)行要求，在公共信息網(wǎng)絡(luò)和涉密網(wǎng)絡(luò)之中實(shí)現(xiàn)物理隔離，就成為當(dāng)前真正需要解決的問(wèn)題之一。實(shí)施物理隔離，可以在公共信息網(wǎng)絡(luò)與涉密網(wǎng)絡(luò)之間建立一條安全邊界，其主要目的就是為了建立出可信并可控的內(nèi)部安全網(wǎng)絡(luò)。

就目前的網(wǎng)絡(luò)管理工作來(lái)看，客戶端安全管理是主要部分，而客戶端安全管理同樣也是對(duì)網(wǎng)絡(luò)產(chǎn)生最大威脅的一部分，經(jīng)常會(huì)有安全隱患存在。眾所周知，內(nèi)網(wǎng)客戶端組成了90%的內(nèi)網(wǎng)，是內(nèi)網(wǎng)安全管理的核心。通過(guò)大量的實(shí)踐表明，單純的物理隔離是無(wú)法將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)完全隔離開的。對(duì)于內(nèi)網(wǎng)的客戶端機(jī)器，依舊存在非法外聯(lián)的安全隱患[2]。

第一，內(nèi)外網(wǎng)線出現(xiàn)交叉錯(cuò)接的問(wèn)題。第二，內(nèi)網(wǎng)客戶端機(jī)器使用撥號(hào)、WiFi無(wú)線上網(wǎng)、GPRS/CDMA無(wú)線網(wǎng)卡等方式接入外網(wǎng)。第三，方便攜帶的筆記本電腦直接接入內(nèi)網(wǎng)，然后又接入到外網(wǎng)使用。這些人為的故意或者是無(wú)意的疏忽，就很容易在內(nèi)網(wǎng)與外網(wǎng)之間建立新的通道，導(dǎo)致黑客攻擊或者是病毒直接繞過(guò)了防護(hù)屏障，進(jìn)入非法外聯(lián)的計(jì)算機(jī)，從而竊取機(jī)密數(shù)據(jù)和敏感信息，導(dǎo)致泄密事件出現(xiàn)，甚至?xí)斐烧麄€(gè)內(nèi)網(wǎng)出現(xiàn)癱瘓。尤其是對(duì)于金融業(yè)具有較高保密級(jí)別的財(cái)務(wù)信息中心這種內(nèi)聯(lián)網(wǎng)，需要格外注意。

2.2網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚主要是為了竊取用戶的網(wǎng)上支付賬號(hào)、銀行卡號(hào)等私人信息，其主要的攻擊步驟為：建立釣魚網(wǎng)站一分發(fā)釣魚網(wǎng)站一欺騙用戶輸入相應(yīng)的賬號(hào)與口令一關(guān)閉網(wǎng)站。對(duì)于網(wǎng)絡(luò)釣魚網(wǎng)站，其主要的技術(shù)有以下幾個(gè)。

2.2.1相似欺騙 相似欺騙是使用最頻繁的一種技術(shù)，就是利用與合法頁(yè)面相類似的網(wǎng)頁(yè)，很容易讓用戶以為釣魚網(wǎng)站就是合法網(wǎng)站。

2.2.2 DNS注毒（Pharming）

也就是釣魚者在域名系統(tǒng)（Domain Name System，DNS）解析上做手腳，當(dāng)用戶訪問(wèn)合法網(wǎng)站的時(shí)候，錯(cuò)誤的DNS解析就會(huì)給用戶返回釣魚網(wǎng)站IP，這樣就會(huì)讓用戶無(wú)意之下訪問(wèn)釣魚網(wǎng)站。實(shí)現(xiàn)Pharming包含了修改本地Hosts文件、修改DNS服務(wù)器配置等方法。

2.2.3惡意軟件

惡意軟件指的是用戶終端直接竊取了用戶信息，如堅(jiān)挺鍵盤輸入、誘導(dǎo)用戶主動(dòng)訪問(wèn)等。KeyLogger等惡意軟件在最初階段并非網(wǎng)絡(luò)釣魚一類。但是之后在APWG定義之中，就將其判定為惡意軟件。

2.2.4垃圾郵件

傳播釣魚網(wǎng)站信息，垃圾郵件是主要的途徑之一。釣魚者向著用戶發(fā)送垃圾郵件，并且告知其網(wǎng)上銀行出了問(wèn)題，讓其登錄輸入口令來(lái)解決這一部分問(wèn)題，之后在郵件行附帶網(wǎng)上銀行的鏈接，這些鏈接之中顯示有網(wǎng)上銀行的URL，但是其錨都是指向的釣魚網(wǎng)站[3]。

3 金融電子化下的信息安全保護(hù)技術(shù)策略

金融電子化信息安全保護(hù)技術(shù)，首先需要建立完善的信息安全策略，在策略的支持下，再配合信息安全保護(hù)技術(shù)，這樣才能夠讓金融電子化信息安全保護(hù)滿足金融電子化的發(fā)展要求。

3.1確立完善的信息安全策略

3.1.1實(shí)施安全教育

對(duì)于財(cái)務(wù)信息中心這一種離不開計(jì)算機(jī)的企事業(yè)單位，一定要注意信息安全。首先需要一套完善的安全管理辦法的支持，再配合上完備的網(wǎng)絡(luò)安全管理系統(tǒng)。作為辦公人員，需要提升危機(jī)意識(shí)和網(wǎng)絡(luò)素質(zhì)，確定用戶授權(quán)的謹(jǐn)慎原則與重要性，網(wǎng)絡(luò)管理部門需要做好先進(jìn)追蹤審核體系的配置，并且普及網(wǎng)絡(luò)安全知識(shí)。

3.1.2建立圖文檔的加密流程

這一種加密技術(shù)指的是在無(wú)人操作的時(shí)候，系統(tǒng)會(huì)自動(dòng)識(shí)別計(jì)算機(jī)之中運(yùn)行的涉密數(shù)據(jù)，然后強(qiáng)制性、自動(dòng)化地進(jìn)行加密操作。這一種功能可以從根本上解決信息泄密的問(wèn)題。

3.1.3建立安全操作平臺(tái)

就來(lái)源和途徑分析，數(shù)據(jù)出現(xiàn)失竊與服務(wù)器運(yùn)行平臺(tái)的安全性有著直接的聯(lián)系。SMTP安全、FTP協(xié)議安全以及萬(wàn)維網(wǎng)安全，共同組成帶來(lái)堅(jiān)實(shí)的數(shù)據(jù)安全基礎(chǔ)，也成為網(wǎng)絡(luò)產(chǎn)品的保護(hù)條件。

3.1.4制定相對(duì)應(yīng)的法律法規(guī)

計(jì)算機(jī)作為新鮮事物，依舊存在無(wú)法可依的問(wèn)題，現(xiàn)有的法律制度還無(wú)法有效地打擊計(jì)算機(jī)犯罪。隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)犯罪日益嚴(yán)重，基于這一情況，就應(yīng)該建立網(wǎng)絡(luò)安全方面的法律法規(guī)，這樣才能減少網(wǎng)絡(luò)犯罪行為的出現(xiàn)。

3.2加強(qiáng)信息安全保護(hù)技術(shù)

除開信息安全策略完善之外，網(wǎng)絡(luò)安全還需要先進(jìn)的信息安全技術(shù)的支持。而信息安全保護(hù)技術(shù)，主要是為了杜絕計(jì)算機(jī)犯罪行為的出現(xiàn)。

將黑客入侵或者是信息安全病毒防范作為分析的主要目標(biāo)，通過(guò)完善的流程，或者是SOX404 PCI DSS標(biāo)準(zhǔn)的制定，就能夠建立有效的防御機(jī)制。（l）基于技術(shù)流入手，通過(guò)服務(wù)器本身的安全性能強(qiáng)化。一般來(lái)說(shuō)，就是在改版之后的操作系統(tǒng)之中，需要進(jìn)一步強(qiáng)化安全管理軟件，或者是安全管理軟件本身存在極大的提升空間。在提升之后，這一部分軟件就可以利用應(yīng)用服務(wù)包，對(duì)于可能存在的網(wǎng)絡(luò)攻擊威脅加以防范。（2）加強(qiáng)防守，其主要的目的是為了做好計(jì)算機(jī)操作系統(tǒng)服務(wù)功能的進(jìn)一步完善，重新歸納并整理長(zhǎng)時(shí)間不適用的軟件，將無(wú)用的功能數(shù)據(jù)全部刪除，確保服務(wù)器內(nèi)部的清潔度，降低用戶賬號(hào)和密碼出現(xiàn)泄漏的風(fēng)險(xiǎn)；理論上，服務(wù)器的內(nèi)部越清潔，其運(yùn)轉(zhuǎn)越高效，也就能夠強(qiáng)化計(jì)算機(jī)系統(tǒng)的安全認(rèn)證性能[4]。

對(duì)于入侵檢測(cè)系統(tǒng)、防病毒系統(tǒng)等傳統(tǒng)模式下的安全防護(hù)系統(tǒng)，需要對(duì)其進(jìn)行合理的部署，確保合理地配置系統(tǒng)資源，定時(shí)進(jìn)行病毒特征庫(kù)的升級(jí)；針對(duì)常見的攻擊點(diǎn)，需要做好網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化與調(diào)整，讓病毒無(wú)縫可鉆。

針對(duì)IP欺騙，密碼認(rèn)證機(jī)制是最佳的解決方法。目前，TPV4體系結(jié)構(gòu)不支持基于密碼的認(rèn)證，所以，就不能對(duì)IP欺騙攻擊行為加以阻止，只能通過(guò)其余的檢測(cè)與預(yù)防的方法來(lái)加以處理。（l）實(shí)時(shí)監(jiān)控流過(guò)網(wǎng)絡(luò)的數(shù)據(jù)包，發(fā)現(xiàn)其中存在的偽造IP以及相應(yīng)的攻擊信號(hào)。（2）維護(hù)自身系統(tǒng)資源的實(shí)際運(yùn)行情況。一般來(lái)說(shuō)，計(jì)算機(jī)系統(tǒng)都會(huì)有日記來(lái)記錄日常事件或者是誤操作警報(bào)日期和時(shí)間戳信息。絕大部分的IP偽造手段都是通過(guò)被攻擊主機(jī)新人對(duì)象的模擬來(lái)進(jìn)行的，所以，檢查日志一致性的過(guò)程中，就可以對(duì)TCP鏈條是否被更改加以檢查，從流程中段來(lái)阻止IP攻擊。（3）提高入侵檢測(cè)系統(tǒng)本身的智能化水平，可以為其建立一個(gè)相對(duì)高級(jí)的匹配模式。通過(guò)這樣的方式，就能夠?qū)⒃镜膯我粩?shù)據(jù)包提升至大量數(shù)據(jù)包，同時(shí)，還可以分析大量數(shù)據(jù)包之間的潛在聯(lián)系，這樣也可以提升檢測(cè)的實(shí)際效率。（4）在通信過(guò)程中，要求做到加密傳輸與驗(yàn)證，通過(guò)數(shù)字證書認(rèn)證、數(shù)字簽名等技術(shù)，就可以在互聯(lián)網(wǎng)之中保護(hù)身份的可信度、行為的可信度以及數(shù)據(jù)的可信度，這才是金融電子化信任體系構(gòu)建的關(guān)鍵所在。

4結(jié)語(yǔ)

隨著改革開放的不斷深入，國(guó)內(nèi)的金融電子化建設(shè)經(jīng)歷了從無(wú)到有的一個(gè)整體性蛻變，取得了驕人的成績(jī)。隨著金融管理系統(tǒng)和電子清算系統(tǒng)的出現(xiàn)，傳統(tǒng)的金融業(yè)務(wù)處理模式得到根本上的改變。在日益信息化的今天，各個(gè)財(cái)務(wù)信息中心被迫接受大量的信息數(shù)據(jù)，如果不能有效地進(jìn)行數(shù)據(jù)的管理，就無(wú)法將其轉(zhuǎn)化成為真正可以使用的決策信息，那么就會(huì)出現(xiàn)資源的浪費(fèi)以及行業(yè)的失職現(xiàn)象。在面對(duì)“客戶為主導(dǎo)”的財(cái)務(wù)信息中心等企事業(yè)單位，金融機(jī)構(gòu)就應(yīng)該做好信息的再加工，深度分析客戶信息，提供更加個(gè)性化的定制服務(wù)。就財(cái)務(wù)信息中心與客戶而言，這樣的方式才能夠達(dá)到雙贏的局面，這也是金融電子化建設(shè)諸多問(wèn)題得以解決的發(fā)展方向之一。

[參考文獻(xiàn)]

[1]王珊珊，邱云武，擺曄.金融標(biāo)準(zhǔn)化在行業(yè)信息安全等級(jí)保護(hù)中的實(shí)踐[J].金融電子化，2014 （1）：88-89

[2]柳思佳.金融電子化的風(fēng)險(xiǎn)與安全[J]新聞前哨，2014（8）：93-95.

[3]蔡倩倩.金融云信息安全等級(jí)保護(hù)之云定級(jí)[J]現(xiàn)代經(jīng)濟(jì)信息，2016 （6）：304-305

[4]俠名金.融信息安全及設(shè)備保護(hù)解決方案提供商——安全可靠，精密保護(hù)[J]金融科技時(shí)代，2017 （2）：105