外匯信息安全風險及安全保障措施分析

【摘要】本文首先要對外匯管理信息系統和數據面臨的風險加以梳理，總結外匯信息安全基本準則和特性，在此基礎上提出有針對性安全防護措施，以解除外匯信息安全隱患，確保外匯業務數據完整可用。

【關鍵詞】外匯 ?信息安全 ?風險 ?保障措施

近年來，國家外匯管理局加大了信息化建設步伐，信息系統已基本替代了手工操作用于處理外匯管理日常工作，在外匯監管與服務的過程中發揮著越來越重要的作用，外匯業務信息系統的安全正常運行已成為外匯局開展業務開展的前提，任何一個環節的信息系安全管理缺失，都可能給外匯管理工作帶來嚴重的后果。

一、外匯信息系統和數據所面臨的風險

信息安全就是保護信息系統或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的保密性、完整性、可用性.可控性和平可否認性。

外匯管理信息系統和數據在采集、保存和使用等過程中存在諸多安全風險，例如硬盤損壞等物理環境風險，操作系統和網絡協議漏洞導致外匯信息數據被非法訪問、修改或惡意刪除，最終導致外匯信息喪失上述安全特性，從而影響了外匯業務的正常開展。本節僅結合外匯信息系統和數據實際情況，簡要介紹外匯信息常見的風險。

（一）電子設備存在軟件和硬件故障風險

外匯信息系統在運行過程往往會面臨硬件設備發生故障，軟件系統出現運行錯誤的風險，例如服務器電源設備老化、硬盤出現壞道無法讀寫、軟件崩潰、通訊網絡故障等問題。上述問題是外匯信息系統實際運維過程中最為常見風險源。

（二）人為操作風險

因人為操作外匯信息系統產生的未授權的數據訪問和數據修改、信息錯誤或虛假信息輸入、授權的終端用戶濫用、不完整處理等。產生該類風險的原因是用戶安全意識淡薄，未授權訪問數據造成外匯信息泄漏，數據手工處理導致的錯誤或虛假信息，未授權用戶操作等行為都會造成信息系統安全性風險。實際外匯信息系統運行中，人為事件造成損失的概率遠遠大于其他威脅造成損失的。

（三）系統風險

一般所用的計算機操作系統以及大量的應用軟件在組織業務交流的過程中使用，來自這些系統和應用軟件的問題和缺陷會對一系列系統造成影響，特別是在多個應用系統互聯時，影響會涉及整個組織的多個系統。例如，部分系統具有維護困難、結構不完善、缺乏文檔和設計有漏洞等多個隱患，有時就會在系統升級和安裝補丁的時候引入較高的風險。

（四）物理環境風險

由于組織缺乏對組織場所的安全保衛，或者缺乏防水、防火、防雷等防護措施，在面臨自然災難時，可能會造成極大的損失。

二、外匯信息安全基本準則和特性

外匯信息系統是一個以保障外匯業務系統正常運行的專用的信息系統，近年來在不斷加大信息科技方面投入、加快信息化建設的過程中得到了有效整合和完善。為有效應對外匯信息系統安全風險，科技部門應同步提升科技管理制度的完整性和執行力度、管理精細化程度。制定外匯信息系統安全的具體保障措施之前，首先需要我們認清信息安全的基本準則和一些特性：

（一）信息安全短板效應

對信息系統安全所涉及的領域進行安全保護即全面構筑外匯管理信息安全保障工作，重點加強對安全洼地、薄弱環節的安全防護。

（二）信息安全系統化

信息系統安全其實是一項系統工程，要從管理、技術、工程等層面總體考量，全面保障外匯管理局信息系統安全。

（三）信息安全動態化

信息安全保障措施所防范的對象是一個動態變化的過程，所以信息系統也應該隨著內外部安全形勢的變化不斷改進。

（四）信息安全常態化

信息安全從時間角度看是一個長期存在的問題，只有在信息安全技術方面嚴格把握重點，綜合信息安全體系的可持續構建，才能保障外匯管理局信息系統安全。

（五）系統操作權責明確

信息系統安全的前提是要嚴格內部授權，劃分各崗位職責，如加大內控風險防范和控制。使各系統角色操作者權限形成相互制約的控制機制。

三、外匯信息安全保障應對措施

外匯信息安全工作應以信息系統所面臨的安全威脅依據，遵循基本準則，以信息基礎設施建設和安全管理制度為我切入點制定相應的防護措施。

（一）建立系統性的安全管理制度

安全管理制度要包括人員管理、資產管理、數據管理、網絡管理、運維管理、應急管理、事后審查等方面內容

（二）建立良好的網絡信息安全防護體系

從物理環境安全、網絡邊界安全、設備安全、應用系統安全以及數據安全等方面部署相關的安全防護設備和措施。

（三）定期進行信息安全教育培訓

因信息技術行業快速發展，信息安全形勢也在不斷變化，外匯管理局科技部門可定期對轄內外匯信息系統維護和操作人員進行信息系統安全培訓，更新安全知識。為了有效防范未知威脅和隱患，外匯管理局科技部門可對轄內定期開展信息系統安全檢查，確保外匯信息系統安全有效運行，保障外匯信息的可控、可用和完整性。

（四）開展信息系統安全風險評估，進一步做好系統等保工作

首先對外匯信息系統安全進行風險評估，根據評估識別威脅外匯信息系統安全的風險，作為制定、實施安全策略、措施的基礎，風險評估同時也是外匯信息系統安全等級保護的重要前提與依據。其次確定信息系統安全級別，根據級別的不同，實施對應的保護措施，啟動對應級別的安全事件應急響應程序。

（五）運用入侵檢測等技術，預防惡意攻擊

隨著技術發展，當前惡意攻擊手段呈現越來越隱蔽的趨勢，需要科技部門采用具有預警功能的技術手段來應對，如入侵檢測、數據挖掘等技術，通過分析歷史數據，發現當前安全措施的缺陷，及時糾正和預防內外部風險再次發生。

（六）完善監督管理，實施信息安全自查與檢查相結合

查找現有信息化建設工作中的薄弱環節，井切實進行整改，建立良性的信息安全管理機制。開展信息安全檢查與自查是完善信息安全監督管理工作的有效方式之一，其中信息安全檢查方案的設計是安全檢查的核心，科技部門需要根據外匯業務實際情況，將外匯管理局有關要求進行梳理完善，對相應風險點進行總結和歸納，科學設計了信息安全檢查方案。

參考文獻

[1]林國恩.信息系統安全[M].北京：電子工業出版社.2010

[2]《信息系統安全等級保護基本要求》GB/T 22239-2008

作者簡介：李興勇（1982-），男，安徽六安人，就職于人行銀行合肥中心支行，中級工程師。