構建金融行業網絡安全策略研究

李泓杉，康埕銘，王 鈺，劉謀儒，陳國慶

(成都錦城學院，四川 成都 611731)

1 研究背景

隨著大數據等新興科技信息技術賦能金融產業發展，不斷加大深度融合力度，形成計算機產業與金融產業協同發展新局面。在構建金融網絡系統過程中注重鼓勵金融科技發展，因此忽視了網絡監管問題，我國金融行業網絡安全問題也顯得愈加突出。金融機構網絡系統具有覆蓋范圍廣、網絡情況復雜等特點，為維護網絡安全問題帶來新的挑戰。

我國金融科技飛速發展，電子商務系統出現崩潰的現象，方如(2003)認為應當使用工人的生物監測技術作為核心技術，建立生物識別系統，對人們的個人信息進行儲存，建立特征模板，作為電子貨幣的基礎[1]。金融行業涉及大量客戶的私人敏感信息，這類信息是金融業安全防御系統保護的重點，曹虎、葛慶鳴(2021)從數據安全與個人隱私保護兩方面總結出了建立“首席數據官”制度與構建標準數據體系[2]。從20世紀開始，截取信息傳輸已經成為數據竊取者重要手段之一，無論是有線傳輸還是無線傳輸，都可能被攻擊者截獲，甚至由于無線傳輸中所使用的無線網絡具有一定的開放性，被當今企業使用的無線傳輸相比有線傳輸更容易被截取。針對網絡信息傳輸方式，沈超(2019)通過對量子傳輸的優勢進行分析，得出了量子通信“穩定、高速、遠距”的傳輸特點可以代替傳統信息傳輸方式[3]。金融業的交易對象十分廣泛，這樣的市場結構導致了金融業具有各式各樣的交易平臺，這也使得平臺安全維護的難度增加。

綜上所述，國內學者對金融業信息安全維護體系的研究十分豐富，并且通過完善網絡安全體系來提高企業信息防御水平的觀點較為贊同。

2 金融業信息安全現狀分析

2.1 金融業網絡安全監管體制不健全

早在20世紀90年代，我國監管部門就已經頒布多部涉及信息安全的法規，時至今日，國內已經形成初步的法律法規用于監管金融行業網絡安全。同時，企業在經歷了客戶信息泄露的商業事件后也逐步形成了企業內部的監管體系。但對比嚴格健全、法律完備的信息管理體系，金融行業對于網絡監管的體系相形見絀，行業中仍存在法律漏洞。我國互聯網金融公司往往對金融業的信息化建設做出大量的投資，花費了大量財力資源與人力資源，并追求個性化、高效化的服務建設，但與此同時，網絡相關的安全體系往往被金融公司忽視。金融業公司需要在其網絡安全的監管制度與實施上做出更多完善，防止因網絡安全帶來不必要的損失。

2.2 金融業維護信息保護體系難度增加

互聯網金融時代的到來，大量數據開始涌入金融業，金融業面對更多的商業機會，同時也增加了金融業對信息保護體系的難度。當下的金融行業交易頻率更加頻繁，這導致金融企業對信息保護的難度日益提升，金融企業內部之間往往以多個部門協同工作來進行，隨著工作壓力越來越大，各個部門之間的交流不夠及時，信息容易被工作人員惡意利用，企業難以及時應對風險，企業信息安全得不到保障。金融業維護安全防御體系的成本與難度增加，因此，一方面，分析金融行業企業的運營特征；另一方面，針對金融企業維護體系進行優化，降低企業維護成本與難度，確保企業能夠具備獨立解決維護體系的問題。

2.3 技術人員信息安全意識薄弱

金融企業在利用信息為自身增加更多的利益時，大多數相關技術人員往往不會在意相關的信息安全，因為信息安全并不能對金融企業帶來直觀的、可視化的收益。企業如果想要與信息安全的相關工作達到實用性效果，但實際上信息所給予企業的風險也是十分巨大的，技術人員信息安全意識薄弱，那么金融企業針對信息安全制定的一系列措施也難以得到實施，會使企業面臨巨大的信息安全風險，不利于金融業的發展。

3 安全策略

3.1 完善金融業網絡安全體系

金融業處于時代發展前沿，行業信息安全系統要求較高，需要行業利用先進的計算機技術來加強企業網絡信息安全保護系統，形成不斷更新、不斷升級的動態安全防御系統閉環，以此跟上飛速發展的計算機技術，防范利用新興技術進行非法攻擊的攻擊者。

金融行業的運營體系中，充斥著大量金融交易信息，同時涉及了客戶大量敏感信息，需要企業將信息管理部分獨立出來，建立相關的監管部門，并利用傳統安保手段，防止攻擊者從源頭進行網絡攻擊。在信息存放方面，需要公司建立訪問權限系統，明確各級員工訪問權限，防止員工竊取企業內部信息。對公司機密文件進行獨立保護，使企業信息儲存風險評估進入常態化。同時，構建信息識別與銷毀系統，定期對數據庫中的信息進行分類，清除企業數據庫中的無用信息以解決企業信息冗余的問題，并杜絕無用信息泄露對公司造成損失。企業在建立加密傳輸體系時應當選擇符合傳輸安全標準的材料。數據訪問方面，可以通過在公司內網中建設員工認證數據庫，構建硬件安全測試團隊，使安全檢測進入公司常態化，完善系統漏洞，防止信息越權等事故。完善安全監管系統，制定漏洞評估體系與應急解決方案，能夠及時處理系統漏洞，通過評估系統分級設立不同的反應方案，在企業安全監管體系中插入警告系統，對企業日常信息數據庫進行抽查分析，處理異常數據，監管某一設備或某一賬號的高頻次訪問，并通過評估系統對事件風險進行評估，以郵件電話等方式通知各級安全事件應急方案的安全負責人，以此降低監管系統信息的無效傳輸與安全團隊的無效工作量。

企業內網具有數據集中、訪問量多、持續時間長的特點，加強企業內網構建，依照職能對員工信息訪問權限進行等級劃分，同時提高員工識別認證系統，從傳統的身份磁卡改為對更加嚴密的訪問者生理特征識別，減小冒充者進入內網的可能性，防止由于員工內網賬號泄露導致的企業安全事故。金融業在安全保護投資有限，需要尋找外力形成多層保護，例如積極響應國家機構，對行業安全威脅實時上報，周期性對企業防御體系進行評估，配合執法部門對企業安全防護能力分級，與網絡監管部門形成聯動機制，時刻保護自身信息安全。

3.2 降低金融業信息維護門檻

大數據技術的大規模使用加快了行業信息傳輸速率的同時，也為金融業各企業信息防御體系帶來新的挑戰。信息安全的維護不能僅靠維護團隊，企業需要有針對性地建立硬件系統與軟件修復等反饋系統，以細化各部門安全技術維護要求，提高整體安全防范規模，對于頻繁接觸敏感信息的部門提高其安全攻防能力，各技術部門為單元，建設統一的一體化安全維護平臺，使企業任何人員在遇到安全事件時能夠快速向企業安全監管部門進行反應，協助監管團隊對安全事件高效、迅速地解決事件。在保護反饋平臺方面，在數據采集、信息儲存、平臺設計、數據測試等方面都需要有安全方面的考慮，提升反饋平臺程序健壯性。建立各部門安全反饋數據庫，由風險評估團隊接入數據，針對數據庫呈現的防護薄弱點進行攻防測試，對部門安全防御體系進行風險評估與安全等級評價。在數據庫到達一定體量后，通過數據分析，總結企業操作系統高頻漏洞，并在一體化平臺中總結解決方案，幫助普通員工在日常工作中維護企業安全防御體系。

3.3 規范安全管理制度，增強人員安全意識

安全防御體系的逐漸成形，需要企業規范信息安全管理制度，客戶交易信息的保護需要從法律層面明確。規范各安全部門工作制度，明確安全部門主體責任。在計算機技術不斷迭代的今天，金融行業作為網絡安全防護的第一線，其網絡安全部門應當不斷學習，緊盯網絡安全技術發展，進而對企業網絡安全防護系統進行評估，提高企業信息安全防務的先進性。在增強部門實力的同時，需要增加企業其他部門各級員工的網絡安全意識，從基礎入門對大量金融人才進行科普教育，提升公司安全意識素養。