應(yīng)外援

（陜西建工第三建設(shè)集團(tuán)有限公司，陜西 西安 710000）

信息化給金融企業(yè)財(cái)務(wù)管理和財(cái)務(wù)服務(wù)帶來巨大的經(jīng)濟(jì)利益和可觀的經(jīng)濟(jì)效益，與此同時(shí)，基于金融企業(yè)的特殊性，也帶來了新的挑戰(zhàn)，即信息系統(tǒng)本身的不安全因素，風(fēng)險(xiǎn)敞口、人為攻擊和破壞、安全管理制度不完善或執(zhí)行力不到位，都會產(chǎn)生多種隱患。近年來財(cái)務(wù)信息系統(tǒng)安全問題給企業(yè)帶來的意外損失和聲譽(yù)影響不斷增加。不僅影響金融企業(yè)財(cái)務(wù)信息化的進(jìn)一步發(fā)展，還關(guān)系到金融企業(yè)管理業(yè)務(wù)的開展、威脅企業(yè)經(jīng)營戰(zhàn)略的成敗。因此，保障信息安全是財(cái)務(wù)信息化平穩(wěn)快速發(fā)展的基礎(chǔ)和前提。2006年，時(shí)任中國銀監(jiān)會主席劉明康在信息科技風(fēng)險(xiǎn)管理與評價(jià)審計(jì)工作會議上指出，近幾年，國際上出現(xiàn)的信息系統(tǒng)故障對銀行業(yè)具有嚴(yán)重影響：銀行信息系統(tǒng)中斷1小時(shí)，將直接導(dǎo)致該銀行的基本收付和轉(zhuǎn)賬業(yè)務(wù)中斷；中斷1天，將對該銀行的聲譽(yù)造成極大影響；中斷2天至3天以上不能恢復(fù)，將直接影響銀行的運(yùn)營以及整個(gè)財(cái)務(wù)系統(tǒng)的正常操作。

金融企業(yè)應(yīng)對大數(shù)據(jù)時(shí)代的信息風(fēng)險(xiǎn)，搭建安全的財(cái)務(wù)管理體系，可進(jìn)行以下部署：搭建系統(tǒng)、終端、網(wǎng)絡(luò)、與環(huán)境的安全基礎(chǔ)設(shè)施環(huán)境；建立貫穿建模、需求、設(shè)計(jì)、開發(fā)、測試、運(yùn)營、災(zāi)備等環(huán)節(jié)的安全管控流程；實(shí)現(xiàn)包括安全策略管理、認(rèn)證、密碼服務(wù)、授權(quán)、訪問控制、數(shù)據(jù)安全、安全審計(jì)及監(jiān)控等安全技術(shù)服務(wù)；提供以“安全即服務(wù)”為核心理念的安全架構(gòu)，形成涵蓋政策、環(huán)境、技術(shù)架構(gòu)、管理框架在內(nèi)的有機(jī)安全體系。財(cái)務(wù)信息安全不僅是行業(yè)本身的問題，它與國家的經(jīng)濟(jì)安全、社會安全緊密相連，財(cái)務(wù)信息安全已成為我國信息化建設(shè)中具有戰(zhàn)略意義的關(guān)鍵問題[1]。

一、財(cái)務(wù)信息安全的特性

金融企業(yè)財(cái)務(wù)信息系統(tǒng)是復(fù)雜的，引發(fā)財(cái)務(wù)信息系統(tǒng)安全風(fēng)險(xiǎn)因素多種多樣。財(cái)務(wù)信息安全的風(fēng)險(xiǎn)形式表現(xiàn)多樣化，財(cái)務(wù)信息系統(tǒng)安全風(fēng)險(xiǎn)特點(diǎn)多而復(fù)雜。這些因素導(dǎo)致財(cái)務(wù)信息安全呈現(xiàn)出十分復(fù)雜的特性，這些特性主要表現(xiàn)為全面性、相對性、動(dòng)態(tài)性、周期性和社會性幾個(gè)方面。

財(cái)務(wù)信息安全的全面性包括物理安全（對網(wǎng)絡(luò)與信息系統(tǒng)中物理裝備的保護(hù)，如機(jī)房硬件、防電磁泄漏和信號插入、電子監(jiān)控等）、平臺安全（操作系統(tǒng)和通用基礎(chǔ)服務(wù)安全，主要用于防范黑客攻擊）、運(yùn)行安全（對網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)行過程和運(yùn)行狀態(tài)的保護(hù)）、通信安全（測試和優(yōu)化通信線路和網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性、安裝網(wǎng)絡(luò)加密設(shè)施等）、應(yīng)用安全（保障相關(guān)業(yè)務(wù)在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)上安全運(yùn)行）、數(shù)據(jù)安全（信息在數(shù)據(jù)收集、處理、存儲、檢索、傳輸、交換、顯示、擴(kuò)散等過程中的保護(hù)）。

財(cái)務(wù)信息安全的相對性包括實(shí)現(xiàn)期限限制（例如某個(gè)安全項(xiàng)目的開發(fā)周期是否在管理層認(rèn)可的期限內(nèi)）、財(cái)務(wù)限制（必須在系統(tǒng)預(yù)算和安全之間進(jìn)行權(quán)衡）、技術(shù)限制（程序或硬件不兼容的問題，導(dǎo)致系統(tǒng)不得不采用某些人工管理手段來達(dá)到安全要求）、社會限制（對于一些國家、地區(qū)或組織往往存在一些風(fēng)俗文化、宗教習(xí)慣等方面的限制因素）、環(huán)境限制（如空間、極端天氣、地理環(huán)境會影響安全措施的選擇）、法律限制（《電子簽名法》等信息安全法律因素會影響組織的安全目標(biāo)和措施的選擇）。

財(cái)務(wù)信息安全的動(dòng)態(tài)性體現(xiàn)在：當(dāng)社會和生產(chǎn)力狀態(tài)處在不同發(fā)展階段，信息安全就存在不同的內(nèi)涵。隨著計(jì)算機(jī)技術(shù)的快速發(fā)展以及新安全應(yīng)用不斷推出，對于現(xiàn)有財(cái)務(wù)信息系統(tǒng)就會產(chǎn)生出各種新的威脅。這些新出現(xiàn)的威脅有可能破壞原先設(shè)定的信息環(huán)境，對現(xiàn)有信息系統(tǒng)的數(shù)據(jù)維度和安全廣度有所損害。與此同時(shí)，如果現(xiàn)有財(cái)務(wù)信息系統(tǒng)的保護(hù)機(jī)制不能隨著外部環(huán)境或內(nèi)部其他組件的改變而改變，則安全系統(tǒng)有可能失效。業(yè)務(wù)規(guī)模和邊界的擴(kuò)大、模式的變革會導(dǎo)致新威脅模式的出現(xiàn)，原已解決的問題可能會以另外一種方式表現(xiàn)出來。

財(cái)務(wù)信息安全的周期性是指：系統(tǒng)生命周期是信息安全動(dòng)態(tài)性的一個(gè)表現(xiàn)，也是財(cái)務(wù)信息系統(tǒng)的風(fēng)險(xiǎn)平衡過程在組織級的體現(xiàn)。財(cái)務(wù)信息安全的周期性涉及反饋的一個(gè)交互式過程，包括安全系統(tǒng)的啟動(dòng)、分析、設(shè)計(jì)、測試、部署、運(yùn)行、維護(hù)、退出的完整過程，換言之，只有財(cái)務(wù)信息安全在全周期得到保證，才能做到財(cái)務(wù)信息系統(tǒng)安全保護(hù)的閉環(huán)管理。

財(cái)務(wù)信息安全的社會性是指：根據(jù)信息系統(tǒng)的廣泛定義，信息系統(tǒng)可以包括系統(tǒng)開發(fā)和運(yùn)行、維護(hù)人員、業(yè)務(wù)人員和管理層、客戶、競爭者、監(jiān)管者和政府。涉及財(cái)務(wù)信息系統(tǒng)方方面面的各類人員，包括擁有者、組織者、開發(fā)者、使用者、評價(jià)者、監(jiān)管下層系統(tǒng)部件的人員和團(tuán)體，對財(cái)務(wù)信息系統(tǒng)的安全都負(fù)有不可或缺的影響，其間任何一個(gè)環(huán)節(jié)存在風(fēng)險(xiǎn)敞口，都會導(dǎo)致整個(gè)財(cái)務(wù)信息系統(tǒng)的不穩(wěn)定性，所以，財(cái)務(wù)信息安全具有社會性。

二、財(cái)務(wù)交易中可能面臨的安全威脅

根據(jù)威脅的來源進(jìn)行分類，可將造成威脅的因素分為環(huán)境因素和人為因素，而人為因素又可分為惡意的和無意的兩個(gè)方面。環(huán)境因素包括由于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾等環(huán)境條件、自然災(zāi)害、意外事故等造成的系統(tǒng)故障。人為因素則又分為兩種情況。一種是惡意人員所帶來的人為因素。比如對收入待遇不滿的內(nèi)部人員，預(yù)謀對信息系統(tǒng)進(jìn)行惡意破壞；盜竊或篡改信息，進(jìn)行買賣以獲取額外利益。外部人員則會利用信息系統(tǒng)的脆弱性，對網(wǎng)絡(luò)或系統(tǒng)的機(jī)密性、完整性和可持續(xù)性進(jìn)行破壞，以獲取利益或?qū)崿F(xiàn)各種惡意目的。另一種是無意人員帶來的人為因素。比如內(nèi)部人員由于缺乏職業(yè)道德、職業(yè)態(tài)度，由于不專心，沒有認(rèn)真遵循系統(tǒng)設(shè)計(jì)流程和正確的操作規(guī)范，而導(dǎo)致系統(tǒng)故障或信息損壞；甚至存在外部人員誤入內(nèi)部財(cái)務(wù)信息系統(tǒng)，對財(cái)務(wù)信息系統(tǒng)進(jìn)行違規(guī)操作，從而導(dǎo)致操作結(jié)果失誤，以至于系統(tǒng)數(shù)據(jù)混亂而被破壞。

如果根據(jù)威脅的動(dòng)機(jī)進(jìn)行分類，則可以分為以下類別。泄漏，即對信息系統(tǒng)的非授權(quán)訪問。一個(gè)非授權(quán)方通過侵入系統(tǒng)進(jìn)行攻擊，破壞系統(tǒng)的保密性和安全性，這里的非授權(quán)方可以是人、程序、微機(jī)。這種攻擊包括搭線竊聽、文件或程序的不正當(dāng)復(fù)制和保存等。破壞，即妨礙或中斷系統(tǒng)正常的運(yùn)行和操作。包括對系統(tǒng)硬盤等硬件的毀壞、通信線路的切斷、文件管理系統(tǒng)的混亂和癱瘓等，目的是使信息系統(tǒng)毀壞或不能使用。篡奪，即對系統(tǒng)某些部分的非授權(quán)控制。在篡奪攻擊中，一個(gè)非授權(quán)方不僅侵入系統(tǒng)，而且還會篡奪系統(tǒng)的控制權(quán)。欺騙，即插入虛假數(shù)據(jù)。一個(gè)非授權(quán)方將偽造的客體插入系統(tǒng)中，如在網(wǎng)絡(luò)中插入假郵件，或者在文件中追加虛假記錄等。

三、財(cái)務(wù)信息系統(tǒng)風(fēng)險(xiǎn)的產(chǎn)生原因

財(cái)務(wù)信息系統(tǒng)直接與大量資金的遷移相關(guān)聯(lián)，是金融企業(yè)內(nèi)外各種不法分子關(guān)注與攻擊的首選目標(biāo)，因此財(cái)務(wù)信息系統(tǒng)需要很強(qiáng)的抗攻擊能力。同時(shí)，財(cái)務(wù)信息系統(tǒng)是由內(nèi)外部多個(gè)用戶參與，多部門合作的信息處理和通信等多種設(shè)備組成的系統(tǒng)，分布范圍廣、要求高、比較復(fù)雜的網(wǎng)絡(luò)系統(tǒng)，且具有開放性，所以系統(tǒng)安全與保密的技術(shù)要求高，難度大。隨著全球經(jīng)濟(jì)的飛速發(fā)展，財(cái)務(wù)業(yè)務(wù)服務(wù)種類需求迅速增加，同業(yè)的競爭又促使企業(yè)要不斷采用新的技術(shù)、新的手段，對信息系統(tǒng)安全技術(shù)更新。信息系統(tǒng)維護(hù)的工作量大、維護(hù)要求高，其使用地點(diǎn)和使用人員遍及各個(gè)分支機(jī)構(gòu)，而開發(fā)人員相對集中，這又要求財(cái)務(wù)信息系統(tǒng)較高的可維護(hù)性。因此，如果金融企業(yè)信息系統(tǒng)自身存在一些固有的脆弱性，如自然災(zāi)害、硬件故障、程序設(shè)計(jì)缺陷等，這些弱點(diǎn)在信息系統(tǒng)的運(yùn)行中易誘發(fā)各種財(cái)務(wù)風(fēng)險(xiǎn)，對系統(tǒng)安全構(gòu)成相對的威脅[2]。

1.交易數(shù)據(jù)輸入環(huán)節(jié)

輸入數(shù)據(jù)不完整、不準(zhǔn)確、不真實(shí)或數(shù)據(jù)無效是本環(huán)節(jié)的風(fēng)險(xiǎn)點(diǎn)。交易數(shù)據(jù)的采集和審查環(huán)節(jié)介于客戶層與服務(wù)層之間，這一環(huán)節(jié)要求采集的數(shù)據(jù)完整、準(zhǔn)確、真實(shí)和有效，否則會對業(yè)務(wù)處理造成安全威脅。在這過程中，導(dǎo)致交易數(shù)據(jù)輸入出現(xiàn)風(fēng)險(xiǎn)敞口的問題有很多，例如：因?yàn)槿斯げ僮鞯氖韬?，?shù)據(jù)輸入的過程會有意或無意地出現(xiàn)輸入錯(cuò)誤；在信息硬件載體的存儲與讀取時(shí)，磁卡磁條有可能損壞，導(dǎo)致輸入的數(shù)據(jù)出錯(cuò)。

2.交易數(shù)據(jù)傳輸、存儲與處理環(huán)節(jié)

確保交易數(shù)據(jù)在傳輸、存儲與處理過程中的完整性、機(jī)密性是本環(huán)節(jié)的主要風(fēng)險(xiǎn)點(diǎn)。在這一環(huán)節(jié)，柜面業(yè)務(wù)處理系統(tǒng)必須保障其所處理數(shù)據(jù)信息的完整性和機(jī)密性。保護(hù)算法的脆弱性或在管理過程中出現(xiàn)的漏洞，很有可能造成客戶資料信息的被盜或泄漏。在通過電信網(wǎng)絡(luò)進(jìn)行資金轉(zhuǎn)移的過程中，黑客有可能以欺詐的手段輸入、截取、重放或修改交易信息。在信息傳輸過程中，有可能出現(xiàn)失敗或隨機(jī)錯(cuò)誤。例如對于自動(dòng)取款機(jī)，黑客可以在通信聯(lián)系中插入他自己的設(shè)備進(jìn)行下列攻擊：修改從自動(dòng)取款機(jī)傳到系統(tǒng)的提取請求信息中的現(xiàn)金數(shù)量，使自動(dòng)取款機(jī)支付多余記錄的現(xiàn)金；重復(fù)先前自動(dòng)取款機(jī)取款的物理過程，這樣自動(dòng)取款機(jī)又支付了一次，而在系統(tǒng)中沒有記錄；現(xiàn)金支付成功后，產(chǎn)生一條消息取消交易——現(xiàn)金支付失敗，取消交易記錄；刪除所有從銀行到自動(dòng)取款機(jī)的黑名單通知，然后在離線的時(shí)間里用一個(gè)已被止付的卡進(jìn)行取款。

3.身份認(rèn)證環(huán)節(jié)

對客戶身份審查不嚴(yán)或驗(yàn)證違規(guī)，以及身份假冒是本環(huán)節(jié)的風(fēng)險(xiǎn)點(diǎn)。自動(dòng)取款機(jī)、營業(yè)網(wǎng)店、網(wǎng)絡(luò)銀行等均為公共的使用渠道，使用環(huán)境公開，交易過程中身份認(rèn)證環(huán)節(jié)的失敗會帶來較高的風(fēng)險(xiǎn)。在驗(yàn)證客戶身份的過程中，如果審查制度不嚴(yán)，或工作人員未按照程序進(jìn)行操作，或驗(yàn)證技術(shù)失效，會導(dǎo)致惡意人員侵入系統(tǒng)，給企業(yè)或客戶造成極大的安全威脅。由于磁條銀行卡作為客戶認(rèn)證并進(jìn)行業(yè)務(wù)操作的憑證，存在易于涂改、偽造和盜用的固有弊端，因?yàn)槌蔀樨?cái)務(wù)交易風(fēng)險(xiǎn)的集中點(diǎn)，風(fēng)險(xiǎn)種類多、數(shù)量大。例如：不法分子以高科技手段克隆同一卡號的銀行卡，在進(jìn)行密碼破譯；客戶相關(guān)信息被不法分子獲悉可引發(fā)偽造假身份等身份盜用風(fēng)險(xiǎn)；就身份認(rèn)證來說，還存在用戶對金融企業(yè)網(wǎng)點(diǎn)合法身份認(rèn)證的問題；利用自動(dòng)取款機(jī)使用環(huán)境管理薄弱的漏洞進(jìn)行詐騙；利用相關(guān)技術(shù)和管理漏洞，使用假自動(dòng)取款機(jī)采集客戶信息，進(jìn)而進(jìn)行虛假交易。

4.業(yè)務(wù)授權(quán)環(huán)節(jié)

對不合法、不正常的交易進(jìn)行授權(quán)是本環(huán)節(jié)的風(fēng)險(xiǎn)控制重點(diǎn)。業(yè)務(wù)授權(quán)環(huán)節(jié)，系統(tǒng)會自動(dòng)檢索賬戶的不合法性，不允許狀態(tài)不正常的賬戶進(jìn)行交易。例如，對交易狀態(tài)不正常（掛失、凍結(jié)、止付）的賬戶進(jìn)行交易，柜員（綜合柜員）如果違反規(guī)定辦理付款業(yè)務(wù)，或未發(fā)現(xiàn)讀卡信息錯(cuò)誤而發(fā)生的業(yè)務(wù)結(jié)算，都會引起法律糾紛，造成資金損失。在這個(gè)過程中，業(yè)務(wù)授權(quán)系統(tǒng)有賴于數(shù)據(jù)采集系統(tǒng)提供的客戶信用數(shù)據(jù)，但是，如果授信程序本身存在缺陷或執(zhí)行不嚴(yán)格，授權(quán)環(huán)節(jié)就有可能被不同方式的操作繞過。

5.交易處理環(huán)節(jié)

確保交易處理過程完整性、交易處理的及時(shí)性和非否認(rèn)性是交易處理環(huán)節(jié)的一項(xiàng)風(fēng)險(xiǎn)點(diǎn)。在完整性問題上，得到授權(quán)信息后，系統(tǒng)會調(diào)用相關(guān)程序作進(jìn)一步處理，在這一過程中，如出現(xiàn)線路故障、停電等意外事故，或者大量交易同時(shí)發(fā)生導(dǎo)致系統(tǒng)堵塞或故障，都可能會導(dǎo)致交易中斷，造成賬戶之間的信息不對稱問題。同時(shí)還存在時(shí)效性問題。金融交易處理主要是資金的融通，資金融通的時(shí)間長短意味著資金成本的高低?？s短資金在途時(shí)間、提高資金使用效率就必須對金融交易進(jìn)行及時(shí)、準(zhǔn)確、有效的處理，實(shí)現(xiàn)交易各方之間的溝通記錄和數(shù)據(jù)記錄的同時(shí)性；為防止事后可能出現(xiàn)糾紛，交易過程生成相關(guān)的憑據(jù)或證據(jù)要并妥善保存，以確保日后稽查和審計(jì)的需要，否則可能造成系統(tǒng)混亂、客戶糾紛或誘發(fā)經(jīng)濟(jì)案件。

6.日終處理環(huán)節(jié)

假賬、錯(cuò)帳、賬實(shí)不符的現(xiàn)象是本環(huán)節(jié)的主要風(fēng)險(xiǎn)點(diǎn)。在每日終了處理時(shí)，需要檢查各類賬目、科目、賬款、賬實(shí)、賬表和內(nèi)外賬等的平衡關(guān)系，對交易記錄進(jìn)行確認(rèn)和永久化處理，進(jìn)行賬賬相對、賬表相對、賬實(shí)相對。如果不進(jìn)行明細(xì)的賬務(wù)勾對、余額核對，則一些錯(cuò)賬、假賬不易被發(fā)現(xiàn)。一些不法分子正是利用這一點(diǎn)內(nèi)外勾結(jié)，采取偽造票據(jù)、制造假賬等非法手段盜用資金。對賬工作雖然是一項(xiàng)重要有效的手段，但是，涉及多個(gè)交易主體的對賬，往往比較復(fù)雜。有時(shí)候一筆賬務(wù)的沖銷或調(diào)整需要幾周的時(shí)間甚至跨月或跨年度，如果不及時(shí)對賬，對于實(shí)時(shí)清算的通存通兌業(yè)務(wù)，將很難做到及時(shí)有效地防范和補(bǔ)救。

四、建立財(cái)務(wù)信息安全風(fēng)險(xiǎn)的對策機(jī)制

信息作為一種資產(chǎn)，是金融企業(yè)進(jìn)行正常商務(wù)運(yùn)作和管理不可或缺的資源，也是金融企業(yè)財(cái)產(chǎn)和個(gè)人隱私等的重要載體。無論個(gè)人、組織還是國家，保持關(guān)鍵信息資產(chǎn)的安全性都是非常重要的。以財(cái)務(wù)信息系統(tǒng)為基礎(chǔ)的財(cái)務(wù)信息資產(chǎn)，則是金融企業(yè)財(cái)務(wù)管理以至于日常管理和宏觀調(diào)控最重要的參考指標(biāo)之一，對金融企業(yè)領(lǐng)導(dǎo)層決策企業(yè)發(fā)展方針，制定長期規(guī)劃至關(guān)重要，一旦財(cái)務(wù)信息資產(chǎn)存在風(fēng)險(xiǎn)，企業(yè)發(fā)展分析的基礎(chǔ)就會遭到動(dòng)搖，企業(yè)的長遠(yuǎn)利益就會受到相對的影響。針對現(xiàn)代財(cái)務(wù)信息安全風(fēng)險(xiǎn)，確保財(cái)務(wù)信息安全，就必須能對信息安全現(xiàn)狀作出正確的判斷，較為準(zhǔn)確地估計(jì)特定系統(tǒng)風(fēng)險(xiǎn)，建立相應(yīng)的風(fēng)險(xiǎn)控制機(jī)制[3]，并把這些機(jī)制融為一體，形成防護(hù)體系，并最大限度地提高防護(hù)系統(tǒng)的可用性，并把信息系統(tǒng)帶來的風(fēng)險(xiǎn)控制在可承受的范圍之內(nèi)，主要可以歸納為以下幾個(gè)方面。

訪問控制機(jī)制，是指對主題訪問客體的權(quán)限或能力的限制，以及進(jìn)入物理區(qū)域（出入控制）和限制使用計(jì)算機(jī)系統(tǒng)和計(jì)算機(jī)存儲數(shù)據(jù)的過程（存取控制）。其作用是對需要訪問系統(tǒng)及其數(shù)據(jù)的對象進(jìn)行鑒別并驗(yàn)證其合法身份，目的是防止對新系統(tǒng)資源的非授權(quán)訪問，防止非授權(quán)人使用信息系統(tǒng)資源。

授權(quán)機(jī)制，系統(tǒng)對每個(gè)用戶所賦予的對客體訪問的權(quán)限，用戶只能在授權(quán)的權(quán)限（范圍、時(shí)間等）內(nèi)使用系統(tǒng)的信息資源，不能越權(quán)使用非授權(quán)的信息資源。比如，在銀行環(huán)境中，出納員、分行管理者、顧客、系統(tǒng)管理者和審計(jì)員的訪問授權(quán)就有明顯差異。出納員修改顧客賬號記錄（包括存取款、轉(zhuǎn)賬等記錄），允許查詢所有賬號注冊項(xiàng)，分行管理者修改顧客的賬號記錄（包括存取款、不包括規(guī)定的資金數(shù)目的范圍），允許查詢所有賬號的注冊項(xiàng)，允許創(chuàng)建和終止賬號，顧客只有詢問自身賬號注冊項(xiàng)的授權(quán)，審計(jì)員只允許閱讀系統(tǒng)中的數(shù)據(jù)，但不允許做任何修改。

加密機(jī)制。數(shù)據(jù)加密就是將被傳輸?shù)臄?shù)據(jù)轉(zhuǎn)換成表面上雜亂無章的數(shù)據(jù)，合法的接受者通過逆變換可以恢復(fù)原來的數(shù)據(jù)，而非法竊取得到的則是毫無意義的數(shù)據(jù)。

數(shù)據(jù)完整性機(jī)制。對非授權(quán)用戶對數(shù)據(jù)存取、修改的限制，以防止對系統(tǒng)內(nèi)數(shù)據(jù)非法的存取、偽造、篡改、破壞，以確保存儲在系統(tǒng)內(nèi)的所有數(shù)據(jù)值均處于正確完整的狀態(tài)。

審計(jì)／監(jiān)控／簽名機(jī)制，能夠全面審計(jì)、跟蹤、記錄系統(tǒng)內(nèi)的一切活動(dòng)。在某些情況下，可能難以阻止非法操作的發(fā)生，但至少可以監(jiān)視非法操作，并采取跟蹤措施，找出非法執(zhí)行操作人員，記錄用戶的每一次登錄和退出系統(tǒng)的時(shí)間，以便今后出現(xiàn)問題時(shí)進(jìn)行追究，對系統(tǒng)安全進(jìn)行升級改進(jìn)。

數(shù)據(jù)備份與容災(zāi)恢復(fù)機(jī)制，采用數(shù)據(jù)備份與容災(zāi)恢復(fù)機(jī)制，以確保在自然災(zāi)害、人為（黑客攻擊、計(jì)算機(jī)病毒）或非人為（硬件或軟件出現(xiàn)問題）的情況下，系統(tǒng)出現(xiàn)故障時(shí)信息系統(tǒng)連續(xù)安全地運(yùn)行。

對于財(cái)務(wù)人員個(gè)人來說，也要加強(qiáng)信息安全的防范。例如，要合理使用各類安全軟件，如殺毒軟件、防火墻等安全分析軟件，對重要的財(cái)務(wù)檔案信息，一定進(jìn)行安全傳輸、導(dǎo)出、復(fù)制、轉(zhuǎn)發(fā)、保存，在財(cái)務(wù)信息傳遞的過程中，要注意加密傳輸，必要時(shí)使用其他安全技術(shù)。

同時(shí)要提高財(cái)務(wù)人員的安全意識。對于存在風(fēng)險(xiǎn)隱患的財(cái)務(wù)系統(tǒng)窗口，要了解并警惕欺詐信息；在操作過程中，要盡可能地使用可信的機(jī)構(gòu)平臺，登錄并設(shè)置財(cái)務(wù)系統(tǒng)賬號和要使用較強(qiáng)密碼，并且開啟二次驗(yàn)證，有必要時(shí)須使用安全的生物識別；在平時(shí)的學(xué)習(xí)中，著重對財(cái)務(wù)人員的安全知識進(jìn)行培訓(xùn)，及時(shí)了解最新網(wǎng)絡(luò)安全事故并做出相應(yīng)的保護(hù)舉措。

財(cái)務(wù)人員要優(yōu)化行為習(xí)慣，保護(hù)財(cái)務(wù)系統(tǒng)賬號的私密性。無論是對外還是內(nèi)部單位，不輕易透露給崗位之外的作保人員，同時(shí)要定期修改賬戶密碼；對財(cái)務(wù)系統(tǒng)內(nèi)部來說，要指定專業(yè)人員，合理設(shè)置每一個(gè)財(cái)務(wù)人員的賬戶使用權(quán)限，對已經(jīng)廢棄不再使用的賬戶密鑰，要統(tǒng)一注銷。

五、財(cái)務(wù)信息安全發(fā)展趨勢

未來財(cái)務(wù)信息安全的發(fā)展將成仙如下趨勢。

通過對財(cái)務(wù)系統(tǒng)基礎(chǔ)的區(qū)塊鏈技術(shù)發(fā)動(dòng)攻擊。世界上幾乎所有大型金融機(jī)構(gòu)都在積極投資基于區(qū)塊鏈的系統(tǒng)。任何新技術(shù)都擁有其優(yōu)點(diǎn)，但也會帶來一些新的風(fēng)險(xiǎn)?；趨^(qū)塊鏈的財(cái)務(wù)系統(tǒng)并不是獨(dú)立存在的，因此攻擊者可能會利用區(qū)塊鏈實(shí)施中的漏洞和錯(cuò)誤來賺錢并破壞金融機(jī)構(gòu)的工作。

金融領(lǐng)域出現(xiàn)更多的供應(yīng)鏈攻擊。大型金融機(jī)構(gòu)在網(wǎng)絡(luò)安全方面投入了大量的資源，因此，滲透它們的基礎(chǔ)設(shè)施并不容易。但是，網(wǎng)絡(luò)犯罪分子很可能對金融機(jī)構(gòu)的軟件供應(yīng)商進(jìn)行攻擊。在大多數(shù)情況下，這些供應(yīng)商的安防水平比金融機(jī)構(gòu)的安防水平低。

社交媒體入侵和操縱，通過證券/密碼交換交易來獲利。雖然證券交易大部分由機(jī)器人完成，它們操作用于進(jìn)行某些交易的原始數(shù)據(jù)；但假新聞也能導(dǎo)致商品價(jià)格、金融工具和加密貨幣價(jià)格發(fā)生巨大的變化。事實(shí)上，意見領(lǐng)袖的一條推特，或者虛假賬號在社交網(wǎng)絡(luò)上制造的一波消息，就可以推動(dòng)市場行情變化。

金融相關(guān)部門大量用戶數(shù)據(jù)泄露，傳統(tǒng)銀行卡詐騙將會激增。大規(guī)模私人數(shù)據(jù)泄露事件，導(dǎo)致傳統(tǒng)的銀行安全措施嚴(yán)重失效。例如，攻擊者了解受害人詳細(xì)的個(gè)人數(shù)據(jù)之后，可以假冒銀行客戶并提取受害者的錢或者安全信息；而對涉事銀行來說，攻擊者的請求看起來是合法的。機(jī)構(gòu)多年來收集（但未正確保護(hù)）的客戶數(shù)據(jù)，將幫助攻擊者成功實(shí)施詐騙計(jì)劃。

移動(dòng)金融方面。傳統(tǒng)的、面向個(gè)人電腦的網(wǎng)上銀行木馬數(shù)量下降，移動(dòng)銀行新用戶將會成為犯罪分子新的主要目標(biāo)。數(shù)字銀行將繼續(xù)在全球范圍內(nèi)特別是在新興市場徹底革新金融業(yè)，這些新興市場銀行的主要特點(diǎn)是完全沒有分支機(jī)構(gòu)和傳統(tǒng)客戶業(yè)務(wù)。銀行和客戶間的所有溝通實(shí)際上都發(fā)生在移動(dòng)App上。首先，通過傳統(tǒng)互聯(lián)網(wǎng)銀行竊取現(xiàn)金的Windows木馬將會減少。其次，數(shù)字金融機(jī)構(gòu)數(shù)量的增長將會導(dǎo)致其用戶的增長，而這些用戶是網(wǎng)絡(luò)犯罪分子容易攻擊的目標(biāo)。

六、結(jié)語

財(cái)務(wù)信息作為一種無形資產(chǎn)，是金融企業(yè)進(jìn)行正常商務(wù)運(yùn)作和管理不可或缺的資源，也是金融企業(yè)財(cái)產(chǎn)信息和個(gè)人信息等的重要載體。以財(cái)務(wù)信息系統(tǒng)為基礎(chǔ)的財(cái)務(wù)信息資產(chǎn)，對金融企業(yè)領(lǐng)導(dǎo)層決策、企業(yè)發(fā)展方針、制定企業(yè)長期規(guī)劃至關(guān)重要，一旦財(cái)務(wù)信息資產(chǎn)存在風(fēng)險(xiǎn)，企業(yè)的長遠(yuǎn)利益就會受到影響。無論個(gè)人、企業(yè)還是國家，保持關(guān)鍵信息資產(chǎn)的安全性都是非常重要的工作。財(cái)務(wù)管理是現(xiàn)代企業(yè)管理的核心要素，財(cái)務(wù)信息安全管理更是國民經(jīng)濟(jì)快速增長、健康穩(wěn)定發(fā)展的重要保障。財(cái)務(wù)信息系統(tǒng)的安全不僅是財(cái)務(wù)行業(yè)本身的安全問題，也與我國的經(jīng)濟(jì)信息安全、財(cái)產(chǎn)信息安全、社會信息安全緊密相連，財(cái)務(wù)信息系統(tǒng)的安全已經(jīng)成為我國財(cái)務(wù)信息化建設(shè)中具有戰(zhàn)略意義的關(guān)鍵問題。

信息安全機(jī)制是確保信息安全目標(biāo)實(shí)現(xiàn)的技術(shù)措施。面對財(cái)務(wù)信息安全的嚴(yán)峻形勢，只有建立健全“進(jìn)不來”的訪問控制機(jī)制、“拿不走”的授權(quán)機(jī)制、“看不懂”的加密機(jī)制、“改不了”的數(shù)據(jù)完整性機(jī)制、“逃不了”的審計(jì)／監(jiān)控／簽名機(jī)制和“打不垮”的數(shù)據(jù)備份與容災(zāi)恢復(fù)機(jī)制，才能真正保障金融企業(yè)財(cái)務(wù)系統(tǒng)中的信息安全。