李明珂

大數(shù)據(jù)時代下，數(shù)據(jù)量指數(shù)級的增長是非常驚人也相當復(fù)雜，對金融領(lǐng)域來說，保證金融信息數(shù)據(jù)安全非常重要。隨著金融系統(tǒng)的不斷增加和升級，越來越多的金融主體以各種方式進行互聯(lián)互通，這也給信息安全監(jiān)管帶來了巨大挑戰(zhàn)，金融信息會暴露在各種潛在威脅之中，如果金融信息安全得不到很好的保障，可能導(dǎo)致嚴重的后果。

信息技術(shù)的迅猛發(fā)展，大數(shù)據(jù)已經(jīng)成為經(jīng)濟社會發(fā)展中一個重要基礎(chǔ)，就目前發(fā)展情況來看，還依然存在著安全方面的問題。大數(shù)據(jù)既帶來了機遇也帶來了挑戰(zhàn)，尤其是金融信息安全方面的問題需要重視起來。大數(shù)據(jù)就是在一定時間和范圍內(nèi)對數(shù)據(jù)進行采集、分析和整理，并且在處理過程中依托新模式使信息更加全面準確。大數(shù)據(jù)具有體量大、類型多、價值高、處理速度快、準確度高等特點，并且已經(jīng)逐漸應(yīng)用到各個領(lǐng)域。在處理使用過程中，除了傳統(tǒng)的數(shù)據(jù)處理外，還可以對非結(jié)構(gòu)化數(shù)據(jù)進行相應(yīng)處理，找出不同數(shù)據(jù)之間的相關(guān)性，為制定合理決策提供數(shù)據(jù)支持，提高其合理性和科學(xué)性。大數(shù)據(jù)已經(jīng)不單單是一類科技集成，更多的是思想價值觀念的體現(xiàn)，它可以使得人們在處理數(shù)據(jù)過程中改變傳統(tǒng)認知，通過運用大數(shù)據(jù)思維和處理手段得到不一樣的解決方案。

一、大數(shù)據(jù)時代金融信息安全面臨風(fēng)險

隨著各類信息技術(shù)在金融領(lǐng)域的廣泛應(yīng)用，傳統(tǒng)金融運營模式發(fā)生著深刻變化。電子商務(wù)、網(wǎng)上銀行、網(wǎng)上證券、手機支付、網(wǎng)絡(luò)集中代收付等網(wǎng)絡(luò)金融正在蓬勃發(fā)展。大數(shù)據(jù)伴隨著數(shù)據(jù)增大和集中趨勢，金融信息化加速的同時也增加了信息安全風(fēng)險，加之一些敏感數(shù)據(jù)存在灰色地帶以及部分技術(shù)依賴于國外技術(shù)，使得金融信息安全面臨風(fēng)險，這主要表現(xiàn)在技術(shù)和管理兩個方面。

在技術(shù)方面：一是數(shù)據(jù)安全威脅。數(shù)據(jù)龐大、復(fù)雜程度更高、敏感性更強，在網(wǎng)絡(luò)環(huán)境下大數(shù)據(jù)更易成為攻擊目標，由于數(shù)據(jù)更加集中，數(shù)據(jù)一旦受到威脅，一次性被破壞的數(shù)據(jù)體量也會更大。目前，隨著經(jīng)濟社會發(fā)展，金融信息化程度已經(jīng)到了一個相當高的程度，這對金融業(yè)務(wù)系統(tǒng)運行可靠性和安全性提出了更高的要求。在一些技術(shù)領(lǐng)域方面，其體系并不完善，有些硬件設(shè)施設(shè)備和技術(shù)還依賴于國外技術(shù)，這些因素的疊加都使得大數(shù)據(jù)時代金融信息安全風(fēng)險系數(shù)越來越高。二是數(shù)據(jù)終端威脅。我國已經(jīng)成為全球最大的終端使用市場，而這些終端又是數(shù)據(jù)安全防護關(guān)鍵所在。終端設(shè)備在使用過程會存儲大量信息，一旦遭到破壞會使數(shù)據(jù)信息泄露。在金融信息已經(jīng)實現(xiàn)網(wǎng)絡(luò)化的今天，金融信息系統(tǒng)會通過互聯(lián)網(wǎng)與終端設(shè)備更好地實現(xiàn)互聯(lián)，在采集、儲存、傳輸和處理中發(fā)揮越來越重要的作用，信息量的增多也增加了被入侵和攻擊的概率。三是數(shù)據(jù)虛擬威脅。數(shù)據(jù)虛擬技術(shù)是用戶訪問數(shù)據(jù)、管理和優(yōu)化異構(gòu)基礎(chǔ)架構(gòu)的技術(shù)，在實現(xiàn)數(shù)據(jù)虛擬后，有效避免越權(quán)訪問或數(shù)據(jù)泄露就顯得尤為重要。在金融電子業(yè)務(wù)不斷拓展和網(wǎng)上業(yè)務(wù)使用增多的情況下，數(shù)據(jù)處理的復(fù)雜程度也越來越高，涉及的金融領(lǐng)域犯罪活動也呈現(xiàn)增多趨勢的情況下，來自網(wǎng)絡(luò)的虛擬數(shù)據(jù)入侵和攻擊也在增加。

在管理方面：一是相關(guān)法律制度有待完善。近年來，我國金融領(lǐng)域信息化程度發(fā)展突飛猛進，無論是哪個層面都享受到了金融信息化所帶來的高效和便利，但是在大數(shù)據(jù)背景下，相關(guān)法律制度存在一定滯后，這些問題使得金融信息安全監(jiān)管存在漏洞。二是安全意識有待加強。大數(shù)據(jù)時代的金融信息安全不單是相關(guān)部門或金融機構(gòu)的事情，特別是對于金融領(lǐng)域終端客戶，都需要加強自身防范工作。從目前情況看，在金融信息安全不斷受到威脅的情況下，一些終端客戶特別是個人客戶，金融信息安全意識薄弱，表現(xiàn)在其認為金融信息安全防范與個人無關(guān)。三是應(yīng)急處置能力有待加強。在大數(shù)據(jù)時代，金融信息安全涉及多方內(nèi)容，如果信息安全受到威脅，其應(yīng)急處置能力弱會造成嚴重的破壞或損失。如何應(yīng)對可能發(fā)生的各類突發(fā)事件，以最快速、最有效的手段解決問題進行應(yīng)急處置是保證大數(shù)據(jù)時代金融信息安全的關(guān)鍵。由于我國信息化起步晚，在技術(shù)、人員還存在許多短板，這些問題都亟待解決。

二、大數(shù)據(jù)時代金融信息安全體系建立

大數(shù)據(jù)時代的數(shù)據(jù)量龐大復(fù)雜，保障這些數(shù)據(jù)信息安全尤為重要，鑒于大數(shù)據(jù)時代金融信息安全面臨的風(fēng)險挑戰(zhàn)，金融信息安全風(fēng)險系數(shù)更高，因此需要從技術(shù)和管理兩個方面，建立全方位、多層次的安全體系，進而保證金融信息安全。

一是建立核心信息安全防護系統(tǒng)。信息核心是金融領(lǐng)域所有業(yè)務(wù)運行的基礎(chǔ)，這里包括了金融領(lǐng)域信息服務(wù)和網(wǎng)絡(luò)管理等，這個方面對業(yè)務(wù)運行有著較高的要求，其管理復(fù)雜、數(shù)據(jù)封閉性強等特點，其是否安全會對整個金融信息穩(wěn)定運行會產(chǎn)生重要影響。數(shù)據(jù)結(jié)構(gòu)化對保障數(shù)據(jù)安全發(fā)揮著重要作用，能夠高效地識別出非法數(shù)據(jù)，所以需要鑒別出影響信息安全因素，在侵入和攻擊發(fā)生前，監(jiān)測這些危險并做好預(yù)防，進而保障全系統(tǒng)安全。

二是建立信息交流安全防護系統(tǒng)。金融信息交流是實現(xiàn)金融活動的關(guān)鍵，特別是信息交流區(qū)承載著系統(tǒng)與外部互通的關(guān)鍵功能，由于信息交流通過互聯(lián)網(wǎng)與外界連接，在交流過程中會涉及到金融敏感業(yè)務(wù)信息，因此對系統(tǒng)的安全性和業(yè)務(wù)的連續(xù)性也會有更高的要求，計算機病毒、黑客攻擊具有隱蔽性強、危害性大等特點，一旦系統(tǒng)被攻擊或破壞，后果不堪設(shè)想，所以建立信息交流安全防護系統(tǒng)很有必要。

三是建立信息內(nèi)部安全防護系統(tǒng)。目前，多數(shù)金融系統(tǒng)內(nèi)部網(wǎng)絡(luò)更加注重通用性設(shè)計，在安全性方面會稍有欠缺，所以需要加強這方面的設(shè)計，在設(shè)計過程中把安全性作為重要指標，加強對內(nèi)部系統(tǒng)和節(jié)點安全性控制，有效解決當前內(nèi)部系統(tǒng)防御設(shè)計孤立化、在防范各類攻擊和入侵過程中比較被動、較難形成較強的對抗，進而形成有效防護。具體措施可以在設(shè)計階段就需要充分考慮內(nèi)部安全防護問題，對系統(tǒng)及節(jié)點控制從一開始就要采用集中化處理手段，將控制執(zhí)行到位，這樣才能對整個系統(tǒng)起到應(yīng)有的保護作用。同時，應(yīng)注重內(nèi)部辦公系統(tǒng)的安全防護問題，因為在金融領(lǐng)域內(nèi)部使用辦公系統(tǒng)，病毒有可能存在于共享文件中，在系統(tǒng)內(nèi)部實現(xiàn)互傳，進而會加速對系統(tǒng)破壞的可能性?？梢酝ㄟ^設(shè)置防火墻等方式，對來自不同網(wǎng)絡(luò)信息進行安全篩選和風(fēng)險控制，并根據(jù)安全性要求有針對性地控制信息內(nèi)部安全。

四是建立管理區(qū)域安全防護系統(tǒng)。確保金融信息安全既要考慮技術(shù)手段因素，也要考慮從管理手段人手，管理是通過人來實現(xiàn)的。這就需要有專門的人員負責(zé)整個網(wǎng)絡(luò)的管理，定期檢查各種網(wǎng)絡(luò)設(shè)備、安全設(shè)備、監(jiān)測設(shè)備等，并查看其是否有狀態(tài)異常的情況，及時采取防范措施定期對技術(shù)和設(shè)備進行升級。作為從事該項目人員必須要有較強的安全意識，完善相關(guān)制度機制，提供針對性的管理和技術(shù)支持。

三、大數(shù)據(jù)時代金融信息安全應(yīng)對措施

結(jié)合金融領(lǐng)域所面臨的信息安全風(fēng)險，建立與之相對應(yīng)的安全體系，其目標是通過各類制度、技術(shù)和措施構(gòu)建一個全方位的金融信息安全體系，為金融信息業(yè)務(wù)高速建設(shè)和發(fā)展提供堅實保障。

一是完善相關(guān)法規(guī)制度建設(shè)。在大數(shù)據(jù)時代金融信息安全，法規(guī)和制度建設(shè)是必不可少的一個環(huán)節(jié)，也是至關(guān)重要的一環(huán)。目前，我國相關(guān)法規(guī)和各類規(guī)章制度中，與信息安全有關(guān)的較多。它們涉及方方面面，如信息系統(tǒng)安全、信息內(nèi)容安全、計算機病毒與危害性程序防治、信息安全犯罪等各個方面，這其中也涵蓋了金融等特定領(lǐng)域的相關(guān)法規(guī)制度，使其有了初步法規(guī)制度的保障。但是，其相關(guān)條款更新速度往往還跟不上信息安全領(lǐng)域出現(xiàn)的新情況，存在一定滯后性，特別針對金融信息安全特定領(lǐng)域，還需更具可操作的具體規(guī)范。因此，需要繼續(xù)完善并細化金融信息安全方面法規(guī)和制度，制定金融信息安全具體操作細則。另外，金融領(lǐng)域各個主體都應(yīng)該高度重視自身信息安全管理制度建設(shè)，在完善法規(guī)制度的同時，對其落實情況進行有效監(jiān)督，確保制度能夠得到貫徹。

二是提高金融信息安全意識。各金融主體要加強自身安全防范和內(nèi)控管理，做好本系統(tǒng)人員信息安全培訓(xùn)工作，明確部門、崗位和人員管理責(zé)任，從思想意識上提升金融信息安全重視程度;同時加強對金融信息安全宣傳力度，對相關(guān)領(lǐng)域、群體加強必要的信息安全防范技能宣傳，提高他們的意識。從金融個體來說，也要加強金融信息安全風(fēng)險防范意識，不能簡單地認為金融信息安全與個人無關(guān)。

三是加強金融信息安全頂層設(shè)計。金融信息安全也是一項系統(tǒng)工程，其各類金融信息安全運行穩(wěn)定離不開各類體系的建立和維護，所以需要站在更高層次做好頂層設(shè)計，在安全保障方面提供最尖端、最嚴密的技術(shù)支持，加快技術(shù)、體系、人才等方面建設(shè)，不斷建立和完善各類體系和系統(tǒng)，始終關(guān)注金融業(yè)務(wù)整體發(fā)展態(tài)勢，實現(xiàn)金融信息安全有效預(yù)測和防范。

四是加快大數(shù)據(jù)技術(shù)研發(fā)運用。隨著大數(shù)據(jù)普及，其技術(shù)對數(shù)據(jù)信息的采集、分析、處理和存儲過程中會如現(xiàn)的隱患，需要加大對大數(shù)據(jù)信息安全保障技術(shù)的研究，如對大數(shù)據(jù)隱私安全保護技術(shù)的研究、如何使用數(shù)據(jù)發(fā)布匿名保護技術(shù)、信息數(shù)據(jù)來源追溯技術(shù)。再比如，運用好大數(shù)據(jù)技術(shù)，有效區(qū)分正常和惡意活動，才能保證金融信息受到攻擊后能快速應(yīng)對各類突發(fā)情況。通過分析特點和規(guī)律，可以建立一套有效模型，對大數(shù)據(jù)信息進行整合，實現(xiàn)各數(shù)據(jù)庫之間信息安全共享，有效應(yīng)對金融信息安全攻擊。

五是健全金融信息安全體系。大數(shù)據(jù)時代金融信息安全是一項復(fù)雜工作，需要各級多部門多領(lǐng)域協(xié)調(diào)配合，只有齊頭并進才能做好金融信息安全保護工作。要加快金融信息安全體系建設(shè)，最大程度地提升金融信息安全水平。推動信息安全產(chǎn)業(yè)鏈合作聯(lián)合防控風(fēng)險，在建設(shè)完善防控基礎(chǔ)上，可以通過聯(lián)合防控、安全聯(lián)盟、紅黑名單、風(fēng)險信息共享、大數(shù)據(jù)安全分析挖掘、行業(yè)安全預(yù)警等方面對信息安全風(fēng)險進行聯(lián)合防范化解。同時，通過人員交流培訓(xùn)、經(jīng)驗分享等不斷發(fā)現(xiàn)問題、分析問題和解決問題，提高信息安全防范應(yīng)對能力和溝通協(xié)作能力。

六是加大應(yīng)急災(zāi)備建設(shè)力度。應(yīng)急災(zāi)備是整個金融信息系統(tǒng)安全保障的最后一道防線，即便是在金融信息安全各方面的風(fēng)險已經(jīng)可以有效控制的情況下，仍然避免不了各類突發(fā)情況的發(fā)生，特別是在緊急情況如大規(guī)模災(zāi)難事件發(fā)生時如何保證金融數(shù)據(jù)信息安全，進而保證金融業(yè)務(wù)的正常運行，就需要加大應(yīng)急災(zāi)備建設(shè)力度。從目前的調(diào)研情況看，我國大型金融機構(gòu)基本實現(xiàn)了業(yè)務(wù)和數(shù)據(jù)集中處理，初步建立了異地災(zāi)備系統(tǒng)和災(zāi)難恢復(fù)應(yīng)急保障機制。盡管在這方面做了大量工作，但由于建設(shè)和完善的時間還不長，全國層面的大數(shù)據(jù)處理中心管理、災(zāi)難備份機制和應(yīng)急處置等方面還缺少足夠的經(jīng)驗。近些年，個別金融機構(gòu)由于信息系統(tǒng)故障而導(dǎo)致大面積、大范圍、長時間業(yè)務(wù)中斷，產(chǎn)生較大的社會影響。這需要制定相對完善、低風(fēng)險的災(zāi)難應(yīng)急演練方案并定期進行實戰(zhàn)演練，實地檢驗金融信息系統(tǒng)抗災(zāi)能力和需要改進的問題、環(huán)節(jié)。

七是注重保障基礎(chǔ)設(shè)施建設(shè)。在國家層面，需要不斷完善大數(shù)據(jù)金融信息安全保障基礎(chǔ)設(shè)施，基于金融信息安全能力可以采用產(chǎn)業(yè)化思路建設(shè)大數(shù)據(jù)金融信息安全保障基礎(chǔ)設(shè)施。如金融系統(tǒng)仿真信息安全分析、信息安全態(tài)勢聯(lián)防聯(lián)控感知與監(jiān)測預(yù)警、金融系統(tǒng)信息安全服務(wù)平臺、信息安全大數(shù)據(jù)分析、深度運維系統(tǒng)工程、國產(chǎn)化設(shè)備與系統(tǒng)替代、信息安全服務(wù)替代、計算機防護加固等，建立面對新業(yè)務(wù)、新技術(shù)、新威脅、新挑戰(zhàn)的基礎(chǔ)設(shè)施。

八是積極探索有效監(jiān)管措施?？梢越梃b國外先進金融信息安全管理經(jīng)驗，為積極探索有效監(jiān)管措施提供參考。同時，各級金融領(lǐng)域主體要加快轉(zhuǎn)變監(jiān)管模式，明確責(zé)任界限和標準，建立健全跨部門聯(lián)合監(jiān)管機制，在做好日常監(jiān)管的同時做好對出現(xiàn)問題進行不定期抽查，切實提高金融信息安全監(jiān)督管理能力。需要強調(diào)的是，各部門要打通數(shù)據(jù)壁壘，發(fā)揮好信息披露在金融管理中的重要作用。金融領(lǐng)域主管部門要及時關(guān)注研判風(fēng)險，結(jié)合具體實際給出具體解決措施，使監(jiān)管措施得當有效。

九是管控金融信息技術(shù)風(fēng)險。為有效避免在金融信息風(fēng)險發(fā)生時陷入被動局面，各金融主體需要管控金融信息技術(shù)風(fēng)險，從根本上保證投資者資產(chǎn)及其信息安全。為此，需要建立日常維護制度，做好重要數(shù)據(jù)保護運行，管理好金融數(shù)據(jù)，做好硬件軟件日常維護;可以建立防火墻制度，如定時清理病毒、嚴格控制使用權(quán)限、防范網(wǎng)絡(luò)技術(shù)出現(xiàn)問題等;建立應(yīng)急維護方案，如在系統(tǒng)遭受黑客、病毒攻擊，或因其他因素造成系統(tǒng)中斷甚至是崩潰，能有一套完善的緊急處理方案對抗風(fēng)險。