李泓杉，康埕銘，王 鈺，劉謀儒，陳國慶

(成都錦城學(xué)院，四川 成都 611731)

1 研究背景

隨著大數(shù)據(jù)等新興科技信息技術(shù)賦能金融產(chǎn)業(yè)發(fā)展，不斷加大深度融合力度，形成計(jì)算機(jī)產(chǎn)業(yè)與金融產(chǎn)業(yè)協(xié)同發(fā)展新局面。在構(gòu)建金融網(wǎng)絡(luò)系統(tǒng)過程中注重鼓勵金融科技發(fā)展，因此忽視了網(wǎng)絡(luò)監(jiān)管問題，我國金融行業(yè)網(wǎng)絡(luò)安全問題也顯得愈加突出。金融機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)具有覆蓋范圍廣、網(wǎng)絡(luò)情況復(fù)雜等特點(diǎn)，為維護(hù)網(wǎng)絡(luò)安全問題帶來新的挑戰(zhàn)。

我國金融科技飛速發(fā)展，電子商務(wù)系統(tǒng)出現(xiàn)崩潰的現(xiàn)象，方如(2003)認(rèn)為應(yīng)當(dāng)使用工人的生物監(jiān)測技術(shù)作為核心技術(shù)，建立生物識別系統(tǒng)，對人們的個人信息進(jìn)行儲存，建立特征模板，作為電子貨幣的基礎(chǔ)[1]。金融行業(yè)涉及大量客戶的私人敏感信息，這類信息是金融業(yè)安全防御系統(tǒng)保護(hù)的重點(diǎn)，曹虎、葛慶鳴(2021)從數(shù)據(jù)安全與個人隱私保護(hù)兩方面總結(jié)出了建立“首席數(shù)據(jù)官”制度與構(gòu)建標(biāo)準(zhǔn)數(shù)據(jù)體系[2]。從20世紀(jì)開始，截取信息傳輸已經(jīng)成為數(shù)據(jù)竊取者重要手段之一，無論是有線傳輸還是無線傳輸，都可能被攻擊者截獲，甚至由于無線傳輸中所使用的無線網(wǎng)絡(luò)具有一定的開放性，被當(dāng)今企業(yè)使用的無線傳輸相比有線傳輸更容易被截取。針對網(wǎng)絡(luò)信息傳輸方式，沈超(2019)通過對量子傳輸?shù)膬?yōu)勢進(jìn)行分析，得出了量子通信“穩(wěn)定、高速、遠(yuǎn)距”的傳輸特點(diǎn)可以代替?zhèn)鹘y(tǒng)信息傳輸方式[3]。金融業(yè)的交易對象十分廣泛，這樣的市場結(jié)構(gòu)導(dǎo)致了金融業(yè)具有各式各樣的交易平臺，這也使得平臺安全維護(hù)的難度增加。

綜上所述，國內(nèi)學(xué)者對金融業(yè)信息安全維護(hù)體系的研究十分豐富，并且通過完善網(wǎng)絡(luò)安全體系來提高企業(yè)信息防御水平的觀點(diǎn)較為贊同。

2 金融業(yè)信息安全現(xiàn)狀分析

2.1 金融業(yè)網(wǎng)絡(luò)安全監(jiān)管體制不健全

早在20世紀(jì)90年代，我國監(jiān)管部門就已經(jīng)頒布多部涉及信息安全的法規(guī)，時至今日，國內(nèi)已經(jīng)形成初步的法律法規(guī)用于監(jiān)管金融行業(yè)網(wǎng)絡(luò)安全。同時，企業(yè)在經(jīng)歷了客戶信息泄露的商業(yè)事件后也逐步形成了企業(yè)內(nèi)部的監(jiān)管體系。但對比嚴(yán)格健全、法律完備的信息管理體系，金融行業(yè)對于網(wǎng)絡(luò)監(jiān)管的體系相形見絀，行業(yè)中仍存在法律漏洞。我國互聯(lián)網(wǎng)金融公司往往對金融業(yè)的信息化建設(shè)做出大量的投資，花費(fèi)了大量財(cái)力資源與人力資源，并追求個性化、高效化的服務(wù)建設(shè)，但與此同時，網(wǎng)絡(luò)相關(guān)的安全體系往往被金融公司忽視。金融業(yè)公司需要在其網(wǎng)絡(luò)安全的監(jiān)管制度與實(shí)施上做出更多完善，防止因網(wǎng)絡(luò)安全帶來不必要的損失。

2.2 金融業(yè)維護(hù)信息保護(hù)體系難度增加

互聯(lián)網(wǎng)金融時代的到來，大量數(shù)據(jù)開始涌入金融業(yè)，金融業(yè)面對更多的商業(yè)機(jī)會，同時也增加了金融業(yè)對信息保護(hù)體系的難度。當(dāng)下的金融行業(yè)交易頻率更加頻繁，這導(dǎo)致金融企業(yè)對信息保護(hù)的難度日益提升，金融企業(yè)內(nèi)部之間往往以多個部門協(xié)同工作來進(jìn)行，隨著工作壓力越來越大，各個部門之間的交流不夠及時，信息容易被工作人員惡意利用，企業(yè)難以及時應(yīng)對風(fēng)險(xiǎn)，企業(yè)信息安全得不到保障。金融業(yè)維護(hù)安全防御體系的成本與難度增加，因此，一方面，分析金融行業(yè)企業(yè)的運(yùn)營特征；另一方面，針對金融企業(yè)維護(hù)體系進(jìn)行優(yōu)化，降低企業(yè)維護(hù)成本與難度，確保企業(yè)能夠具備獨(dú)立解決維護(hù)體系的問題。

2.3 技術(shù)人員信息安全意識薄弱

金融企業(yè)在利用信息為自身增加更多的利益時，大多數(shù)相關(guān)技術(shù)人員往往不會在意相關(guān)的信息安全，因?yàn)樾畔踩⒉荒軐鹑谄髽I(yè)帶來直觀的、可視化的收益。企業(yè)如果想要與信息安全的相關(guān)工作達(dá)到實(shí)用性效果，但實(shí)際上信息所給予企業(yè)的風(fēng)險(xiǎn)也是十分巨大的，技術(shù)人員信息安全意識薄弱，那么金融企業(yè)針對信息安全制定的一系列措施也難以得到實(shí)施，會使企業(yè)面臨巨大的信息安全風(fēng)險(xiǎn)，不利于金融業(yè)的發(fā)展。

3 安全策略

3.1 完善金融業(yè)網(wǎng)絡(luò)安全體系

金融業(yè)處于時代發(fā)展前沿，行業(yè)信息安全系統(tǒng)要求較高，需要行業(yè)利用先進(jìn)的計(jì)算機(jī)技術(shù)來加強(qiáng)企業(yè)網(wǎng)絡(luò)信息安全保護(hù)系統(tǒng)，形成不斷更新、不斷升級的動態(tài)安全防御系統(tǒng)閉環(huán)，以此跟上飛速發(fā)展的計(jì)算機(jī)技術(shù)，防范利用新興技術(shù)進(jìn)行非法攻擊的攻擊者。

金融行業(yè)的運(yùn)營體系中，充斥著大量金融交易信息，同時涉及了客戶大量敏感信息，需要企業(yè)將信息管理部分獨(dú)立出來，建立相關(guān)的監(jiān)管部門，并利用傳統(tǒng)安保手段，防止攻擊者從源頭進(jìn)行網(wǎng)絡(luò)攻擊。在信息存放方面，需要公司建立訪問權(quán)限系統(tǒng)，明確各級員工訪問權(quán)限，防止員工竊取企業(yè)內(nèi)部信息。對公司機(jī)密文件進(jìn)行獨(dú)立保護(hù)，使企業(yè)信息儲存風(fēng)險(xiǎn)評估進(jìn)入常態(tài)化。同時，構(gòu)建信息識別與銷毀系統(tǒng)，定期對數(shù)據(jù)庫中的信息進(jìn)行分類，清除企業(yè)數(shù)據(jù)庫中的無用信息以解決企業(yè)信息冗余的問題，并杜絕無用信息泄露對公司造成損失。企業(yè)在建立加密傳輸體系時應(yīng)當(dāng)選擇符合傳輸安全標(biāo)準(zhǔn)的材料。數(shù)據(jù)訪問方面，可以通過在公司內(nèi)網(wǎng)中建設(shè)員工認(rèn)證數(shù)據(jù)庫，構(gòu)建硬件安全測試團(tuán)隊(duì)，使安全檢測進(jìn)入公司常態(tài)化，完善系統(tǒng)漏洞，防止信息越權(quán)等事故。完善安全監(jiān)管系統(tǒng)，制定漏洞評估體系與應(yīng)急解決方案，能夠及時處理系統(tǒng)漏洞，通過評估系統(tǒng)分級設(shè)立不同的反應(yīng)方案，在企業(yè)安全監(jiān)管體系中插入警告系統(tǒng)，對企業(yè)日常信息數(shù)據(jù)庫進(jìn)行抽查分析，處理異常數(shù)據(jù)，監(jiān)管某一設(shè)備或某一賬號的高頻次訪問，并通過評估系統(tǒng)對事件風(fēng)險(xiǎn)進(jìn)行評估，以郵件電話等方式通知各級安全事件應(yīng)急方案的安全負(fù)責(zé)人，以此降低監(jiān)管系統(tǒng)信息的無效傳輸與安全團(tuán)隊(duì)的無效工作量。

企業(yè)內(nèi)網(wǎng)具有數(shù)據(jù)集中、訪問量多、持續(xù)時間長的特點(diǎn)，加強(qiáng)企業(yè)內(nèi)網(wǎng)構(gòu)建，依照職能對員工信息訪問權(quán)限進(jìn)行等級劃分，同時提高員工識別認(rèn)證系統(tǒng)，從傳統(tǒng)的身份磁卡改為對更加嚴(yán)密的訪問者生理特征識別，減小冒充者進(jìn)入內(nèi)網(wǎng)的可能性，防止由于員工內(nèi)網(wǎng)賬號泄露導(dǎo)致的企業(yè)安全事故。金融業(yè)在安全保護(hù)投資有限，需要尋找外力形成多層保護(hù)，例如積極響應(yīng)國家機(jī)構(gòu)，對行業(yè)安全威脅實(shí)時上報(bào)，周期性對企業(yè)防御體系進(jìn)行評估，配合執(zhí)法部門對企業(yè)安全防護(hù)能力分級，與網(wǎng)絡(luò)監(jiān)管部門形成聯(lián)動機(jī)制，時刻保護(hù)自身信息安全。

3.2 降低金融業(yè)信息維護(hù)門檻

大數(shù)據(jù)技術(shù)的大規(guī)模使用加快了行業(yè)信息傳輸速率的同時，也為金融業(yè)各企業(yè)信息防御體系帶來新的挑戰(zhàn)。信息安全的維護(hù)不能僅靠維護(hù)團(tuán)隊(duì)，企業(yè)需要有針對性地建立硬件系統(tǒng)與軟件修復(fù)等反饋系統(tǒng)，以細(xì)化各部門安全技術(shù)維護(hù)要求，提高整體安全防范規(guī)模，對于頻繁接觸敏感信息的部門提高其安全攻防能力，各技術(shù)部門為單元，建設(shè)統(tǒng)一的一體化安全維護(hù)平臺，使企業(yè)任何人員在遇到安全事件時能夠快速向企業(yè)安全監(jiān)管部門進(jìn)行反應(yīng)，協(xié)助監(jiān)管團(tuán)隊(duì)對安全事件高效、迅速地解決事件。在保護(hù)反饋平臺方面，在數(shù)據(jù)采集、信息儲存、平臺設(shè)計(jì)、數(shù)據(jù)測試等方面都需要有安全方面的考慮，提升反饋平臺程序健壯性。建立各部門安全反饋數(shù)據(jù)庫，由風(fēng)險(xiǎn)評估團(tuán)隊(duì)接入數(shù)據(jù)，針對數(shù)據(jù)庫呈現(xiàn)的防護(hù)薄弱點(diǎn)進(jìn)行攻防測試，對部門安全防御體系進(jìn)行風(fēng)險(xiǎn)評估與安全等級評價。在數(shù)據(jù)庫到達(dá)一定體量后，通過數(shù)據(jù)分析，總結(jié)企業(yè)操作系統(tǒng)高頻漏洞，并在一體化平臺中總結(jié)解決方案，幫助普通員工在日常工作中維護(hù)企業(yè)安全防御體系。

3.3 規(guī)范安全管理制度，增強(qiáng)人員安全意識

安全防御體系的逐漸成形，需要企業(yè)規(guī)范信息安全管理制度，客戶交易信息的保護(hù)需要從法律層面明確。規(guī)范各安全部門工作制度，明確安全部門主體責(zé)任。在計(jì)算機(jī)技術(shù)不斷迭代的今天，金融行業(yè)作為網(wǎng)絡(luò)安全防護(hù)的第一線，其網(wǎng)絡(luò)安全部門應(yīng)當(dāng)不斷學(xué)習(xí)，緊盯網(wǎng)絡(luò)安全技術(shù)發(fā)展，進(jìn)而對企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)進(jìn)行評估，提高企業(yè)信息安全防務(wù)的先進(jìn)性。在增強(qiáng)部門實(shí)力的同時，需要增加企業(yè)其他部門各級員工的網(wǎng)絡(luò)安全意識，從基礎(chǔ)入門對大量金融人才進(jìn)行科普教育，提升公司安全意識素養(yǎng)。