信息化给我国金融业的发展注入了新的活力,有效提高了金融业的业务水平和管理水平,使我国金融业的竞争力大大增强。随着信息化的逐渐深入,金融业对信息系统的依赖程度越来越强,这就对金融业信息系统的安全提出了极高的要求。本文从分析金融业信息系统现状着手,对信息系统安全保障提出以技术层面为主要内容的相关措施。
《信息技术与信息化》从信息技术的研究、应用角度展现IT行业与科技发展与进步,是全国高校、科研院所、企业发表信息科学研究、技术应用成果的园地。杂志内容以科技论文为主,并设有评论与综述、信息化论坛、网络通讯、信息处理与模式识别、研究与探索、方案与应用等栏目。整个杂志分三个层次,第一个层次是评论与综述,由政府职能部门和专家对技术、产业的发展趋势,所做的前瞻性的论述和规划;第二个层次是电子信息科技论文,主要刊登高校研究生、科研院所的论文和理论研究成果;第三个层次是企业及各行业中IT技术的应用案例。
1.前言
经过二十多年的发展历程,在无数金融科技工作者呕心沥血的努力之下,我国建立了比较成熟完整的金融信息系统。随着金融信息系统的不断发展,呈现出信息越来越集中的趋势,信息规模也越来越大,同时网上金融业务所占比例越来越高,这一切都让金融信息系统成为金融机构的依赖。
与此同时,金融信息系统的安全性就变得愈发重要。但来自各方面的安全威胁对金融信息系统提出了越来越严峻的考验。鉴于金融系统在整个社会经济中的重要地位,如果金融系统一旦出现问题,将会造成不可估量的损失,因此保障金融信息系统的安全是一个需要我们认真对待的课题。
2.金融信息系统现状分析
在进行金融信息系统现状分析之前,我们先要对其安全的重要性有足够的认识。安全是金融信息系统的生命。在金融信息系统日益发展,信息越来越向上集中,规模越来越大,金融业对它的依赖性不断增加的同时,金融信息化系统安全的重要性也与日俱增。它关系到金融机构的生存和经营的成败,所以,应把金融信息化系统的安全视同资金的安全一样,看作是金融机构的生命。
金融信息系统的安全不仅是金融行业本身的问题,它与我国的经济安全、社会安全和国家安全紧密相连,是保障金融业稳定发展、增强竞争力和生存能力的重要组成部分,金融信息系统的安全已成为我国金融信息化建设中具有战略意义的关键问题。
随着网上金融业务的增加,金融机构的业务处理对信息系统的依赖与日俱增。大量业务的处理需要信息系统在短时间内迅速完成大规模的数据传输、数据处理工作,同时要保证数据的完整性和安全性,是对信息系统的一个极大的考验。我们对金融系统现状分析如下:
2.1金融信息系统与外网的连接。为了方便群众生活,我国银行创新了许多新的业务品种,比如消费者可以网上购物网上支付、比如网上交水电费、比如超市、餐馆等消费场所的刷卡诸如此类,这些都需要与外网的连接。在为群众提供便利,也为银行增加收益的同时,因为大量与外网的连接也给金融信息系统带来极大的风险。
2.2不法分子的蓄意破坏。互联网技术的不断发展和广泛应用,一小撮有才无德之徒利用网络从事不法活动,给金融信息系统的安全造成严重威胁。
2.3防御的被动与不力。金融信息系统对破坏的防御能力不足,有些金融信息系统甚至只能防御外敌入侵而不能防范内部破坏。而且对于黑客等犯罪分子防御太过被动,守既无力,攻也不足。
2.4金融信息系统缺乏优秀人才,无力对系统安全进行有效保障。
2.5在制度上没有相应健全的标准与法律法规加以规范指导。
国家和银行应该高度重视金融信息系统的安全问题,因为金融信息系统的安全关系着金融行业的稳定发展,关系着居民和银行的利益,还关系着国家的经济安全,社会稳定等等,对金融业的建设和国家的发展有着重要的意义。
3.金融信息系统安全保障
通过对金融信息系统现状的分析,我们可以看到信息系统处于一个非常危险的状态,对此我们必须采取有力措施防范危险,保障系统安全。我们可以从技术和管理两个方向来进行安全保障:
3.1技术层面,主要从系统的硬件软件方面加强对危险的防御能力。这里涉及到如下几个部分:
3.1.1网络的安全性,做为系统的载体,网络及网络设备在信息系统的安全中至关重要。关于网络我们需要采取两方面措施,一方面加强对物理网络设备的维护工作,避免由于设备的损坏造成系统的破坏;另一方面在软件方面要加强安全保障技术,保障系统的信息安全。这里主要针对不法分子的破坏行为。我们可以采取如下信息安全技术来提高我们的系统安全性能。
①密码技术。密码技术是信息安全的核心技术。使用密码对信息系统中的信息进行加密是保证信息保密性的最佳选择;使用密码技术实施数字签名,进行身份认证,通过对信息进行完整校验可以有效保证信息的完整性;利用密码进行系统登录管理,存取授权管理是保障信息系统和信息为授权者所用的有效方法;还可以利用密码和密钥管理来保证电子信息系统的可控性。
②访问控制技术。主要内容包括限制主体的权限,防止非授权主体对客体的越权访问。存取控制的研究内容主要有存取控制模型、存取控制策略、存取控制机制、存取控制的实现等。用户识别是存取控制的基础,系统通过唯一的标识符来验证用户是否合法,从而决定对用户的允许或拒绝。认证要求用户提供足够的信息来证明他的身份,这些信息是保密的,可以采用单向加密算法加密后保存在系统中。 口令机制做为一种认证手段,虽然简单易行,但因其简单而比较脆弱,容易被破解。生物技术是一种比较有前途的方法,如视网膜、指纹等,但限于技术条件,目前还不能广泛采用。
③漏洞扫描和入侵检测技术。漏洞扫描与网络安全评估紧密相关,其主要目的是在入侵者之前发现安全漏洞并及时进行修复,是一种主动防御手段,是所谓防患于未然。由于网络环境比较复杂,一般会利用工具来进行漏洞检查,针对网络层、操作系统层、数据库层、应用系统层多个层面上进行。在这方面的工作从某种程度上讲是与黑客相同的,因此可以对黑客的工具和手法加以借鉴,知识没有好坏,我们完全可以拿来用。
④响应和恢复技术。任何信息系统无论采用多么高明的安全技术,也不可能是绝对安全的,或多或少会存在破绽,响应和恢复技术就是在系统遭到入侵或破坏的时候,如何把损失降到最低程度,并在最短的时间内将系统恢复正常。响应和恢复技术是一种被动防护手段,是谓亡羊补牢。
⑤审计技术。审计类似于飞机上的“黑匣子”,利用系统运行日志,对系统进行事故原因查询、定位,为事故发生后的处理提供详细可靠的依据戴支持。
⑥病毒防治技术。对于品种繁多且传播迅速的病毒,我们可以采用专业杀毒软件来进行防御,目前市面上已经具有效果比较良好的杀毒软件,可以选用,工作人员只需定期进行病毒查杀并及时更新病毒库即可。
3.1.2金融行业的本身介质的安全性,目前我国银行发行的借记卡多为磁卡,磁卡本身具有一定的脆弱性,可能被别有用心者改变其信息,从而给银行造成损失。对此一方面要尽量从技术上对磁卡的这种弱点进行弥补,一方面要寻找磁卡的替代品,从根本上解决问题。
3.1.3数据集中的安全性。由于数据大量集中,危险系数也大大增加。首先数据存储设备可能会受到破坏,而造成数据大量丢失。对此我们可以采取数据备份措施,国内已有比较成熟的数据存储系统,可以对数据进行有效保护,如果数据因物理原因而丢失,系统可以对数据进行准确恢复。其次是数据的大量集中,极易招致攻击,对此我们可以通过信息安全技术进行防范。
3.2管理层面,任何先进技术都是由人来执行的,如果没有有效的管理,那么再好的技术也难以得到有效发挥,因此从管理方面来加强安全防范十分必要。可以从如下几个方面来加强安全管理:
3.2.1安全意识,要树立网络安全意识,每个工作人员在工作中都要时刻注意网络安全问题,不可以随意做出对网络安全不利的行为。
3.2.2人才培养,面对不法分子的肆意攻击,我们需要培养一批优秀人才对网络安全进行维护,甚至可以将有心悔过的黑客收为已用。
3.2.3行政干预,加强对网络犯罪的打击力度,并建立一批专业公司对各部门网络进行量体裁衣式的定制和维护。
3.2.4制度方面,构建金融安全管理体系,建立完善的组织机构。制定安全管理办法和法规,加强严格管理,加强登录身份的认证,严格控制用户的使用权限,重视信息保护的等级,对重要信息实施强制保护和强制性认证,以确保重要信息的安全。
4.结语
信息化与网络化趋势的增强和社会信息化步伐的加快推动着金融信息化的快速发展,金融信息系统的规模不断扩张,对网络与信息系统的安全保障需要我们给予更多的关注。我们要随着环境的不断变化,时时分析金融信息系统的状态,以便从技术与管理等各各层面采取更佳的保障措施,不断提高金融信息系统的安全保障能力,维护系统的正常运转和效能的发挥。
