金融企業信息安全管理現狀分析

楊遠 崔朝 陳濤

【摘要】當前面對日益嚴峻的安全國際形勢，金融行業作為中國的主要發展基礎產業也正面臨著嚴峻的安全挑戰。另一方面，金融機構企業基礎配套設施的全面化及數字化轉型升級等也帶來了新的安全管理問題。[1]我國金融機構如何有效應對新信息時代的安全管理挑戰，如何有效保護我國金融機構重要業務信息的安全？本報告將通過案例分析金融信息安全在我國金融機構企業的應用概念、現存問題、相關建議等，對金融企業應當如何面對嚴峻挑戰提供了一些對策。

【關鍵詞】金融企業、信息安全管理

1、金融企業信息安全管理相關概念

1.1、金融企業信息安全管理的定義

近年來，金融企業的業務規模和種類迅速增長，信息技術在商業銀行各項業務中的應用越來越廣泛。[2]信息安全管理技術在促進商業銀行提高效率、提高服務水平、擴大業務范圍、優化組織結構等方面發揮著不可替代的作用。《新巴塞爾資本協議》將商業信息系統技術安全風險明確進行界定已成為金融操作系統風險管理防控的一個重點。如何不斷調整和完善優化商業信息安全風險管理體系架構和規范業務流程，以不斷提高信息安全管理的風險管控防范管理能力，是現代金融企業當前面臨的主要技術挑戰。

1.2、金融企業信息安全管理的目標

金融服務企業必須正確使用各種技術性的網絡安全措施，如安全防火墻、入侵軟件檢測、反勒索病毒等網絡安全措施，以迅速有效消除干擾無線網絡的各種安全事件，以防止各種網絡病毒感染等惡性事件。

2、金融企業信息安全管理存在的問題

2.1、金融企業信息安全管理的現狀

金融企業信息安全面臨兩大突出問題。[3]首先，金融信息科技產品創新的技術發展推進速度非常有限，科技上的創新與我國底層金融體系難以完美相互匹配。其次，國外金融產品的技術壟斷行為使得我國金融機構企業內部信息安全風險管理的費用成本相對較高且持續安全管理更加困難。

2.2、信息安全管理形式單一

金融機構企業對單一信息安全財務管理軟件的安全需求量雖然在不斷擴大增加，但僅單一信息安全軟件產品是否一定能真正滿足整個金融機構的安全需求仍然存在重大技術問題。[4]

針對金融企業信息安全管理形式單一的問題，本報告提出以下幾種防范階段：

一、初級保護：

初級安全保護應該是組織信息安全生產管理二級保護的最低一個級別。初級安全保護的三個基本特征主要是：缺乏初級安全控制，缺乏安全風險管理控制能力，缺乏安全保護工作管理功能。

二、基礎防范：

基礎準備是信息安全管理保護的第二級。基礎防范的基本特征是：安全管控比較分散、風險管理基礎較低、安全工作無序、安全事件反應遲鈍、難以應對監管檢查。

三、體系化控制：

體系化安全控制也就是安全屬于發展到了第三個成熟的安全階段。體系化控制的基本特征是：建立安全監控系統，建立了一套機制、風險管理、標準化和勞動安全秩序，建立應急能力，并符合安全合規要求。

四、主動性防御：

主動性防御即第四成熟的階段。主動防御水平的基本特征是：初步安全控制、預防和控制先進的威脅，安全性能的定量評估、監測和預警、安全事件的實時數據和控制的基礎。

五、進攻性防御：

進攻成熟度最高水平的安全與防務。進攻性安全防御的三個基本特征是：對于安全控制主動實現智能化，安全技術對抗防御能力主動實現智能化，安全技術價值的有效整合利用，對于潛在安全風險的有效預警，促進網絡金融企業健康有序發展。

目前，絕大多數企業安全正處于第三層級階段，基本完全符合國家信息網絡安全監管制度要求， 遇到問題時有望及時解決。下一步將專注于如何建立主動安全防御，以提高安全性。[5]

3、完善金融企業信息安全管理的建議

一、建立較為完善的網絡信息安全監督管理制度：

要想有效預防和控制信息安全管理技術風險，首先要建立完善的信息技術安全管理體系，約束職員的行為，明確職員的責任，引導職員的思想。[6]同時，應積極監測信息系統，及時發現新問題。

二、構建全面的網絡信息安全風險管理體系風險評估監測和安全保障體系：

信息系統的健康是系統在整個生命周期內安全性能的關鍵因素，并與生產安全密切相關。因此，企業應在做好開發及處理應用系統繁瑣的服務同時，應認真做好應用系統的前期開發、測試維護工作，建立一個全面的信息技術風險監控和保障體系。

三、鼓勵信息安全管理防范技術創新型研究：

對于大型金融系統企業進行信息安全風險管理利用技術抵御風險，加強利用創新技術和研發裝備有利于提高系統的自我保護抵御技術風險的管理能力。目前，一些大型金融系統企業通過金融創新技術研究，大大提高了企業信息安全風險管理技術系統的風險防范能力。

結語：

隨著中國手機移動客戶端和中國互聯網、云計算等金融信息網絡技術的不斷飛速發展，金融機構的內部金融商業信息管理體系環境越來越復雜，內部金融信息管理系統與外部金融信息系統空間的商業管理體系界限也越來越模糊。與此同時，網絡攻擊者的各種不同攻擊方式等也越來越豐富，攻擊的電子文件涉及數量也在增加。

所以在新時代，金融企業除了過去的風險和威脅外，還面臨著許多新的風險，特別是在數據和應用安全領域。這些新的威脅與金融情景密切相關，值得我們關注。

參考文獻：

[1]井鵬程，王真.計算機網絡安全現狀和防御技術分析[J].網絡安全技術與應 用， 017（03） ：60-61.

[2]朱駿.基于網絡安全的計算機網絡技術現狀及發展研究[J].信息系統工 程， 017（03）：70-71.

[3]王劍.關于網絡安全技術的現狀分析及發展趨勢探討[J].數字通信世 界， 016（05） ：3 -33.

[4]艾戩.企業信息化建設中的信息安全探究[J].網絡安全技術與應 用， 015（3） ：100-101.

[5]吳捷.企業信息化建設中信息安全問題的研究[J].通訊世界， 016（1） ： 47- 48 【6】肖錕.淺議網絡環境下的企業信息安全管理[J].標準科學， 010（8） ： 0- 3.

[6]李慧.信息安全管理體系研究[D].西安電子科技大學， 014.