金融行業信息安全研究

柳 輝

哈爾濱金融學院，黑龍江 哈爾濱 150030

前言

金融業的有序發展，絕對離不開信息安全的可靠保證。近幾年的國際金融危機，使得金融系統的潛在風險控制和有效的安全監管得到的高度的重視。因此，金融業在依賴程度上對信息技術的青睞越來越高，對于信息安全來說，保障金融業信息安全的難度也在增大。

1 存在的問題

2005年六月十八日，美國爆發了有史以來最嚴重的信息安全事件，多家當地大型企業包括美國運通公司和VISA在內，服務商的網絡數據處理中心均被黑客的惡意程序侵入并截獲了其中4000萬多個客戶資金的相關信息。而這樣的信息盜竊案件在我國銀行、證券和金融機構也時有發生。

2 問題的原因

2.1 核心技術與生產設備落后且存在安全隱患，缺乏獨立自主創新意識，過分依賴國外

當今我國大部分金融業的信息和網絡管理所使用的信息技術，普遍的存在安全漏洞與安全隱患。大部分是開發者在研發過程中或疏忽或無力解決的難題。而正是這些疏忽和漏洞，才使得網絡黑客有機可乘，從而進一步對內部深層信息修改或破壞。另一方面，我國金融業所使用的網絡信息系統和設備，大部分是國外研發與生產的，包括相關芯片和數據庫等重要環節，而國外研發機構是斷不會提供我們先進的生產技術與設備，這就是我國金融業在信息網絡系統方面落后的原因。

2.2 數據集中度與風險集中度成正比

在我國金融業信息系統和網絡的管理中，往往會希望得到數據大集中的現象以方便管理，但隨之也帶來了管理的風險。因為所有數據都由當前系統維系與存儲，一旦系統崩潰或發生災難，其下設的所有分支機構、業務辦理處及營業中的網點也將隨著大量重要數據的丟失，造成癱瘓。典型事件就是日本花旗銀行在2006年，因在交易中出現系統故障，導致二十七萬多元公共事業繳費被重復扣劃，造成該行當月月結記錄混亂，更蒙受了巨大的聲譽損失。

2.3 薄弱的災難處理能力

2009年，人民銀行調查了我國21家商業銀行的災備中心建設情況，結果令人驚訝，當中只有3家銀行建立了既有本地處理又含異地處理的災難準備中心，有3家竟沒有任何災難準備中心做信息安全保障。由此可見我國金融行業在信息安全方面所產生的可能性災難，其處理及應變能力有多么的薄弱。

3 解決方法

3.1 技術方面

技術領域的信息化安全可以細分為傳統技術和新技術。而傳統技術又可細分為數據安全技術、信息隱藏技術、數據發現技術、網絡安全檢測與監控技術、網絡及系統防護技術、系統安全檢測與監控技術、安全管理平臺技術、病毒代碼檢測與消除技術、蓄意代碼檢測與消除技術、身份認證技術、業務連續性技術。另一方面，可信計算平臺技術、可信網絡平臺和可信應用平臺技術、多代理技術、數字標簽技術、無第三方認證與行為可信認證技術、監管信息化和信息化監管技術、網絡對抗技術、多代理計算網格技術等技術為新技術。

3.2 管理方面

面對我國金融行業的信息安全現狀，有必要加強金融服務的專業指導和其相關行業的監管。帶動每一個成員參與安全體系的創建，對引入的新型信息管理技術也要進行風險的防護與監測。久而久之，才能在金融信息安全的道路上走出獨立、自主、創新的特點。我們可以通過發展、創新原有業務來提高金融信息的安全性。當今許多先進的技術，像云技術、3G和因特網、SOA，都可以在一定程度上推動各金融行業業務的增長。同時需要注意的是，大量先進技術在帶來管理便宜的同時也帶來了相應的風險。謹慎對待風險的同時我們更應采取積極的態度謹慎對待應對方式。

現如今，數據成為企業管理的重要工具，其安全的重要性日益顯露，而網絡黑客主要攻擊和竊取企業的核心重要數據，在日益猖獗的網絡攻擊的威脅下，作為經營多項網銀及網上數據業務的各銀行來說，網銀潛在的風險，更加值得贏得高度重視和嚴格監控。銀行應積極主動建立健全信息風險防控的相關安全措施與信息保障，在源頭做好監管及防護工作。

4 金融單位可實施的措施

4.1 加密算法

數據在傳輸中時常會遇到諸如截取、中斷、篡改和偽造這四種威脅，這大大降低了相關數據信息的完整性，更關乎信息安全的可用性和保密性。因此，針對上述狀況，數據加密技術便應運而生。這項技術有效的對付了信息竊取的威脅，優秀而成功的加密技術可以隱藏使用者的身份，從而可以避免信息在傳輸中的中斷或截取，只要核對預先設定成功的驗證信息就可以校驗信息和數據在運營過程中有沒有被篡改和偽造。

4.2 數字水印技術

數字水印技術在我們日常應用中，最簡單的例子便是我們在辨別人民幣真偽時，將人民幣置于光下，會發現真的紙幣中有清晰的圖像信息顯示出來。數字水印技術有其特有的性質，用肉眼幾乎不可能看到，必須將水印必須放置于特定環境下才能被看到，水印的制作和復制方法比較復雜，需要及其特殊的工藝材料才能使得印刷品上的水印很難被去掉。正是由于這些特性，水印便被廣泛應用于支票、證書、護照、發票等印刷品領域，印刷品是否包含水印是現如今判定真偽的一個重要手段。

有了水印技術為例，人們將同樣的原理運用到數字圖像和數字音樂的領域，便產生了“數字水印”的概念和技術數字水印技術的內涵為向多媒體數據中添加必要的數字信息，其內容就像要添加攝制者的信息到數碼相片中，或將電影公司的信息添加到在數字影碟中。類似于普通的水印技術，數字水印在各種多媒體數據中比如數碼相片中也幾乎是肉眼所看不見的，因其獨特的特性也不容易被破壞掉。種種數字水印技術的優點與可行性使得它在當今的信息時代尤為受到管理者的青睞。

4.3 入侵檢測

入侵檢測是防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執行以下任務來實現：監視、分析用戶及系統活動；系統構造和弱點的審計；識別反映已知進攻的活動模式并向相關人士報警；異常行為模式的統計分析；評估重要系統和數據文件的完整性；操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為。

5 結語

保障信息的安全度與可靠度是一個精細且嚴密的系統工程，它不只要求經營者和管理者對其重視，還需要決策層、管理層、技術層等相關環節的密切配合。結合著技術層面和管理層面，建立健全信息資源的安全制度，加強信息安全意識的教育和培訓，增強信息在使用和管理過程中的自我保護意識，采取創新、嚴密的防范措施結合完善的安全管理機制。在信息高度集中的基礎上將風險集中度降到最低。金融業的信息、資源和數據的安全關系著我國經濟的穩定繁榮，因此金融行業應認真貫徹落實國家信息安全的工作要求，加快建立完備的安全防護體系，積極應對挑戰。

[1]李改成.金融信息安全工程.機械工業出版社, 2010年

[2]方德英,黃飛鳴.金融業信息化戰略——理論與實踐.電子工業出版社,2009年

[3]丁育生,鄭妮妮.國際金融業務.對外經濟貿易大學出版社,2009年

[4]張洪金.金融業財稅實務與管理一本通.哈爾濱出版社,2010年

[5]周繼軍等.網絡與信息安全基礎.清華大學出版社,2008年