论文部分内容阅读
【摘要】随着社会的发展,社会对金融的依赖程度越来越高,金融与国民经济的联系日益密切,金融渗透到国民经济各领域,渗透到老百姓的日常生活当中。由于信息技术在金融业的广泛应用,金融信息安全不仅关系到金融安全,甚至关系到社会稳定和国家安全。
【关键词】金融信息 安全风险 对策
一、引言
信息安全建设应综合考虑,信息在获取过程中要考虑其的完整性、可用性等,我们要尽量的全方位考虑,将设计信息系统的安全方策略做到最好。随着网络建设的覆盖、网络安全基础设施的建立,数据的大集中已进入发展阶段,其中数据大集中成为我国金融业信息化工程的重点,方便的经营管理能有效控制外部安全风险,增强了规模化程序化效益,但同时也带来了风险。金融业的办公自动化和信息数据中心规模数据的不断扩张,这种聚集的风险会更加突出,数据控制中心一旦受到攻击,计算机将立即终止服务,同时引起与之相关联的一系列的金融服务业务暂停或瘫痪,最终将因数据的丢失而引起多起法律纠纷,这必然也会造成社会的不和谐。随着我国信息技术的快速发展,会有越来越多的安全技术问题随之而来,电脑系统的入侵与反入侵的攻击也将会变得复杂并且频繁上演。所以,金融业对网络体系实施安全保障防护的要求也就刻不容緩了。因此,要保证金融机构的信息系统平稳运行及各项业务的持续展开,必须建立一套金融信息安全保障体系,统一金融信息安全问题处理规范和流程,是有效防范和化解安全风险,以及增强金融系统的信息安全整体防范体系的关键。
二、金融信息安全的现状
由于信息技术在金融系统的广泛应用,金融业务都是以信息技术为支撑,各金融系统同中央银行、国家相关部门实现了网络联接,从而,信息安全的重要性凸现,信息安全不仅关系到金融安全,甚至关系到社会稳定和国家安全。但金融系统在建设初期“重建设,轻管理”,信息安全管理相对滞后,管理机制、管理制度、人员配备、技术手段等都同信息安全管理的要求有一定差距,致使信息安全面临的风险越来越呈现复杂性:既有环境风险、设备风险、技术风险、操作风险、人员风险,又有遭受恶意攻击和失泄密的风险,而国家有关信息安全管理的制度缺失,人民银行等监管部门在对金融系统信息安全管理方面的监管中,缺乏相关的制度规定、法律规定,相关工作的开展受到一定的影响,急需完善金融信息安全制度,加强金融系统信息安全管理工作。
三、提升金融信息安全综合保障能力的对策
努力构建金融信息安全保障体系,金融信息综合安全防护的抵抗能力要增强,这一项庞大而复杂的系统工程,信息安全防线的构成是多层次多角度的,需要有正确的信息安全意识,科学投资,抓好硬件设施建设,但也决不能靠几件安全性能的硬件就解决、放心。还需要有完善的可行性制度。因此,要加强安全管理的科学性和制度化,总结成八个字:“三分技术,七分管理”,应用这个道理,从我国金融业法制、技术、管理、人员等几方面齐步共进,来完善我国金融信息建设。
(一)树立正确的信息安全意识
信息的价值就在于它的独占性、排他性,并保证其安全性,信息安全是继领土主权、政治主权和经济主权之后的另一主权。国家只有建立保护好信息安全产业的屏障,开发具有自主知识产权的技术和产品,拥有自己的主权,才能在世界经济中占主动地位,进而也就避免了我国企业目前的常常被国外公司起诉侵犯其专利权的窘境和落后的危险。
对待信息安全问题,要本着客观、公正、科学的态度,既要认识到信息安全保障系统确确实实存在安全漏洞,又要客观对待系统漏洞的状态,针对现状和有限的条件,及时对漏洞加以修补,要正视信息安全保障系统带来的利与弊。要构建一个绝对安全的完善系统是不可能的,因为在任何时候安全都是相对的,系统的开放性与方便性和系统的安全性与保密性始终是一对矛盾,因此,我们要做的就是建立一个不断完善的补充机制,来强化信息安全的屏障作用,在危机时刻数秒钟能及时更正,恢复这样的认识即可。
(二)科学均衡投资,努力抓好金融信息安全的建设
为确保信息系统的安全,硬件的投入是必要的,但仔细分析我国金融业在信息技术方面的投入发现,在投入方向上重硬件、轻软件,信息系统的建设要远远高于信息安全方面的建设,即所谓的“重业务发展,轻安全管理”。 然而,金融业的数据就是金融机构的生命,随着对计算机系统的依赖性与日俱增,就意味着金融机构的核心竞争力——金融业,是社会核心的集聚敏感的部门。从金融机构的运营角度来讲,安全性一直都是重中之重,安全建设是各金融机构应该时刻重视而且必须做好的工作。要做到未雨绸缪,安全防范,实施稳妥。因此,金融业在对待信息技术的投入方面,应高度重视信息安全,积极推进系统建设,在业务系统建设的同时,同步推进信息安全建设,做到科学投资,确保安全。
(三)构建信息安全技术保障体系
就目前的情况看,我国信息技术安全屏障防止各类复杂的信息系统攻击能力不是很好,尚不具备抵抗外界破坏的后备程序或者说应急机制,可以说我国的信息技术安全保障尚未建立成体系,应加强信息安全技术的投入和产品的研究、开发与应用,建立信息安全程序增进研发、产品跟踪反应及应用的完好优质的循环体系,要有自主知识产权的技术和产品,要从监控、系统、设备、硬件、软件等各方面,从信息流转的各个环节,和个人用户、金融机构、金融行业、国家等不同层面上,建立一个高效安全的金融信息网络通道的安全信息保障体系。
(四)促进金融信息安全保障体系的制度完善
目前,金融信息安全的制度相对缺失,法律、法规有待完善。金融机构之间已实现了网络联接,网络联通使得信息安全风险的传导作用不断扩大,系统一旦出现问题,不但影响到一个金融机构,很可能影响到整个金融行业,甚至整个社会的经济活动,因此,应加强金融信息安全的制度建设,建立和完善金融信息安全制度保障体系。一是各金融机构应加强自身的制度建设,从系统的规划、建设、使用、维护、废止等各环节,建立起信息安全管理制度,使信息安全和业务工作同步推进。二是人民银行等监管部门,应根据当前的形势,尽快出台金融信息安全的部门规章,加大对金融机构信息安全的管理和指导力度,督促金融机构提升信息安全保障水平。在当前情况下,人民银行应积极探索金融机构从人民银行金融服务网络中的退出机制,让信息安全存在严重问题,有可能引起较大风险的金融机构从金融服务网络中退出,维护金融稳定。三是国家应尽快出台金融信息安全的法律、法规。金融信息安全涉及金融的安全、社会的稳定和国家的安全,因此,国家应尽快出台金融信息安全的法律、法规,让金融信息安全建设走上治化的轨道,做到在金融信息安全方面有法可依。建立起金融信息安全的制度保障体系。 (五)增强金融信息的保密工作程度
信息技术快速发展的同时窃密手段亦是越来越隐蔽,泄密隐患也越来越多,泄密所造成的危害程度更是越加广泛,因此,保密工作必将面临更多新情况与新问题。金融行业具备特有的高精准的保密性、及时性等特点。因此,一要树立正确的保密观念。通过对各个级别工作人员的教育培训,广泛开展全体性的保密法的普法宣传,使广大员工在潜意识里建立一个观念,金融保密工作是开展各项工作的基础,每位从业人员必须牢记的职业道德。二要对保密工作进行科学管理。金融系统应建立保密管理的专门机构,配备专职人员,实施科学的、规范化、程序化管理,重点要加强定密管理、涉密人员管理等。三要鼓励加密技术创新。鼓励开发关键性的技术,把研究开发CPU 和操作系统内核技术作为长期战略,开发一套属于我国自主掌控的操作系统、密码专用芯片和安全处理器等核心技术。保障金融网络正常运转,并能抵御一定的风险,具备及时补充程序,已达到良好的防范效果。
(六)要建立和完善金融信息标准化体系
计算机信息技术是金融业的强大支撑,而金融信息标准已成为现代国际金融竞争和沟通合作的重要手段和技术纽带,是提高金融业整体竞争力的重要手段。同时,随着信息技术应用的深入,金融信息安全的风险逐步增大,金融信息标准将有力推动和保障金融业安全稳定运行。通过设计和实施金融信息安全标准,能有效防范和化解金融信息安全风险。例如,2004年人民银行发布了由全国金融标准化技术委员会制定的《金融业星型网间互联安全规范》,规定了金融业网间互联安全保障体系规范,对星型金融业网间互联涉及安全与管理问题提出了规范性要求和标准。2008年发布了《银行业信息系统灾难恢复管理规范》,对银行业信息系统灾难恢复应急管理和日常运维管理提出了具体要求,有效促进了银行业信息系统灾难恢复和管理能力的提高,对防范和化解银行业信息系统风险起到了积极的作用。所以,全国金融标准化技术委员会应尽快制定和完善金融信息安全标准,从环境、设备、网络、系统、人员、管理等方面和环节,建立金融信息标准化体系,防范信息安全风险。
(七)大力培养防护信息安全方向专业人才
做好金融信息安全工作的前提是要把好用人关。要加大对金融信息化人才的专项培养。从目前看,我国金融信息技术从业人员达到硕士以上學历比率还很低,远远低于国际同行业水平,也不能满足国内金融业迅速发展的需要。目前有很多金融机构的科技人员虽然是IT专业,但没有系统的金融知识,这些人员对金融业的了解又需要相当长的一段时间;而有一部分金融专修的人才中途改行去做信息安全的研究,实际操作能力又达不到技术要求,等等,这些原因使我国的“金融信息化”进程受阻严重,致使金融信息安全综合保障水平长久以来得不到明显提高。所以,推进人才培养力度,就要大目标培养懂业务、懂技术的复合型人才,小范围预备培养信息安全管理的专家型人才,才能推动金融信息化的进程,提高金融信息安全综合保障水平。
(八)科学管理与观念教育奇头并进
观念教育至关重要,在影响安全管理的各种因素中,人的因素是最重要的。据资料表明,内部工作人员疏于管理是信息安全事件频发的内因。因此制定可操作性强的管理规章,明确责任并真正落到每个个体的头上;坚持教育、管理防内、技术防外。加强信息安全思想教育,提高工作人员的信息安全意识,最终形成信息安全的群治群防体系。
金融行业的信息安全保障系统完善是一个庞杂的系统工程,需要科学的管理和与时俱进的法律法规。因此,要确保信息系统的安全与稳定,必须提高应用系统安全、应用渠道安全、网络系统和设备安全及从业人员的职业道德。
参考文献
[1]杜珍媛.消费者金融信息安全保障制度探讨[J].中国集体经济,2011(04).
[2]陈柳钦.金融信息安全需进一步加强[J].华南金融电脑,2009(02).
[3]刘萍.浅析金融信息安全[J].甘肃金融,2009(07).
作者简介:张亚杰(1965-),男,四川南江人,本科,就职于中国人民银行南充市中心支行科技处,任科技处处长,工程师,研究方向:银行科技管理和金融信息安全。
(责任编辑:刘影)
【关键词】金融信息 安全风险 对策
一、引言
信息安全建设应综合考虑,信息在获取过程中要考虑其的完整性、可用性等,我们要尽量的全方位考虑,将设计信息系统的安全方策略做到最好。随着网络建设的覆盖、网络安全基础设施的建立,数据的大集中已进入发展阶段,其中数据大集中成为我国金融业信息化工程的重点,方便的经营管理能有效控制外部安全风险,增强了规模化程序化效益,但同时也带来了风险。金融业的办公自动化和信息数据中心规模数据的不断扩张,这种聚集的风险会更加突出,数据控制中心一旦受到攻击,计算机将立即终止服务,同时引起与之相关联的一系列的金融服务业务暂停或瘫痪,最终将因数据的丢失而引起多起法律纠纷,这必然也会造成社会的不和谐。随着我国信息技术的快速发展,会有越来越多的安全技术问题随之而来,电脑系统的入侵与反入侵的攻击也将会变得复杂并且频繁上演。所以,金融业对网络体系实施安全保障防护的要求也就刻不容緩了。因此,要保证金融机构的信息系统平稳运行及各项业务的持续展开,必须建立一套金融信息安全保障体系,统一金融信息安全问题处理规范和流程,是有效防范和化解安全风险,以及增强金融系统的信息安全整体防范体系的关键。
二、金融信息安全的现状
由于信息技术在金融系统的广泛应用,金融业务都是以信息技术为支撑,各金融系统同中央银行、国家相关部门实现了网络联接,从而,信息安全的重要性凸现,信息安全不仅关系到金融安全,甚至关系到社会稳定和国家安全。但金融系统在建设初期“重建设,轻管理”,信息安全管理相对滞后,管理机制、管理制度、人员配备、技术手段等都同信息安全管理的要求有一定差距,致使信息安全面临的风险越来越呈现复杂性:既有环境风险、设备风险、技术风险、操作风险、人员风险,又有遭受恶意攻击和失泄密的风险,而国家有关信息安全管理的制度缺失,人民银行等监管部门在对金融系统信息安全管理方面的监管中,缺乏相关的制度规定、法律规定,相关工作的开展受到一定的影响,急需完善金融信息安全制度,加强金融系统信息安全管理工作。
三、提升金融信息安全综合保障能力的对策
努力构建金融信息安全保障体系,金融信息综合安全防护的抵抗能力要增强,这一项庞大而复杂的系统工程,信息安全防线的构成是多层次多角度的,需要有正确的信息安全意识,科学投资,抓好硬件设施建设,但也决不能靠几件安全性能的硬件就解决、放心。还需要有完善的可行性制度。因此,要加强安全管理的科学性和制度化,总结成八个字:“三分技术,七分管理”,应用这个道理,从我国金融业法制、技术、管理、人员等几方面齐步共进,来完善我国金融信息建设。
(一)树立正确的信息安全意识
信息的价值就在于它的独占性、排他性,并保证其安全性,信息安全是继领土主权、政治主权和经济主权之后的另一主权。国家只有建立保护好信息安全产业的屏障,开发具有自主知识产权的技术和产品,拥有自己的主权,才能在世界经济中占主动地位,进而也就避免了我国企业目前的常常被国外公司起诉侵犯其专利权的窘境和落后的危险。
对待信息安全问题,要本着客观、公正、科学的态度,既要认识到信息安全保障系统确确实实存在安全漏洞,又要客观对待系统漏洞的状态,针对现状和有限的条件,及时对漏洞加以修补,要正视信息安全保障系统带来的利与弊。要构建一个绝对安全的完善系统是不可能的,因为在任何时候安全都是相对的,系统的开放性与方便性和系统的安全性与保密性始终是一对矛盾,因此,我们要做的就是建立一个不断完善的补充机制,来强化信息安全的屏障作用,在危机时刻数秒钟能及时更正,恢复这样的认识即可。
(二)科学均衡投资,努力抓好金融信息安全的建设
为确保信息系统的安全,硬件的投入是必要的,但仔细分析我国金融业在信息技术方面的投入发现,在投入方向上重硬件、轻软件,信息系统的建设要远远高于信息安全方面的建设,即所谓的“重业务发展,轻安全管理”。 然而,金融业的数据就是金融机构的生命,随着对计算机系统的依赖性与日俱增,就意味着金融机构的核心竞争力——金融业,是社会核心的集聚敏感的部门。从金融机构的运营角度来讲,安全性一直都是重中之重,安全建设是各金融机构应该时刻重视而且必须做好的工作。要做到未雨绸缪,安全防范,实施稳妥。因此,金融业在对待信息技术的投入方面,应高度重视信息安全,积极推进系统建设,在业务系统建设的同时,同步推进信息安全建设,做到科学投资,确保安全。
(三)构建信息安全技术保障体系
就目前的情况看,我国信息技术安全屏障防止各类复杂的信息系统攻击能力不是很好,尚不具备抵抗外界破坏的后备程序或者说应急机制,可以说我国的信息技术安全保障尚未建立成体系,应加强信息安全技术的投入和产品的研究、开发与应用,建立信息安全程序增进研发、产品跟踪反应及应用的完好优质的循环体系,要有自主知识产权的技术和产品,要从监控、系统、设备、硬件、软件等各方面,从信息流转的各个环节,和个人用户、金融机构、金融行业、国家等不同层面上,建立一个高效安全的金融信息网络通道的安全信息保障体系。
(四)促进金融信息安全保障体系的制度完善
目前,金融信息安全的制度相对缺失,法律、法规有待完善。金融机构之间已实现了网络联接,网络联通使得信息安全风险的传导作用不断扩大,系统一旦出现问题,不但影响到一个金融机构,很可能影响到整个金融行业,甚至整个社会的经济活动,因此,应加强金融信息安全的制度建设,建立和完善金融信息安全制度保障体系。一是各金融机构应加强自身的制度建设,从系统的规划、建设、使用、维护、废止等各环节,建立起信息安全管理制度,使信息安全和业务工作同步推进。二是人民银行等监管部门,应根据当前的形势,尽快出台金融信息安全的部门规章,加大对金融机构信息安全的管理和指导力度,督促金融机构提升信息安全保障水平。在当前情况下,人民银行应积极探索金融机构从人民银行金融服务网络中的退出机制,让信息安全存在严重问题,有可能引起较大风险的金融机构从金融服务网络中退出,维护金融稳定。三是国家应尽快出台金融信息安全的法律、法规。金融信息安全涉及金融的安全、社会的稳定和国家的安全,因此,国家应尽快出台金融信息安全的法律、法规,让金融信息安全建设走上治化的轨道,做到在金融信息安全方面有法可依。建立起金融信息安全的制度保障体系。 (五)增强金融信息的保密工作程度
信息技术快速发展的同时窃密手段亦是越来越隐蔽,泄密隐患也越来越多,泄密所造成的危害程度更是越加广泛,因此,保密工作必将面临更多新情况与新问题。金融行业具备特有的高精准的保密性、及时性等特点。因此,一要树立正确的保密观念。通过对各个级别工作人员的教育培训,广泛开展全体性的保密法的普法宣传,使广大员工在潜意识里建立一个观念,金融保密工作是开展各项工作的基础,每位从业人员必须牢记的职业道德。二要对保密工作进行科学管理。金融系统应建立保密管理的专门机构,配备专职人员,实施科学的、规范化、程序化管理,重点要加强定密管理、涉密人员管理等。三要鼓励加密技术创新。鼓励开发关键性的技术,把研究开发CPU 和操作系统内核技术作为长期战略,开发一套属于我国自主掌控的操作系统、密码专用芯片和安全处理器等核心技术。保障金融网络正常运转,并能抵御一定的风险,具备及时补充程序,已达到良好的防范效果。
(六)要建立和完善金融信息标准化体系
计算机信息技术是金融业的强大支撑,而金融信息标准已成为现代国际金融竞争和沟通合作的重要手段和技术纽带,是提高金融业整体竞争力的重要手段。同时,随着信息技术应用的深入,金融信息安全的风险逐步增大,金融信息标准将有力推动和保障金融业安全稳定运行。通过设计和实施金融信息安全标准,能有效防范和化解金融信息安全风险。例如,2004年人民银行发布了由全国金融标准化技术委员会制定的《金融业星型网间互联安全规范》,规定了金融业网间互联安全保障体系规范,对星型金融业网间互联涉及安全与管理问题提出了规范性要求和标准。2008年发布了《银行业信息系统灾难恢复管理规范》,对银行业信息系统灾难恢复应急管理和日常运维管理提出了具体要求,有效促进了银行业信息系统灾难恢复和管理能力的提高,对防范和化解银行业信息系统风险起到了积极的作用。所以,全国金融标准化技术委员会应尽快制定和完善金融信息安全标准,从环境、设备、网络、系统、人员、管理等方面和环节,建立金融信息标准化体系,防范信息安全风险。
(七)大力培养防护信息安全方向专业人才
做好金融信息安全工作的前提是要把好用人关。要加大对金融信息化人才的专项培养。从目前看,我国金融信息技术从业人员达到硕士以上學历比率还很低,远远低于国际同行业水平,也不能满足国内金融业迅速发展的需要。目前有很多金融机构的科技人员虽然是IT专业,但没有系统的金融知识,这些人员对金融业的了解又需要相当长的一段时间;而有一部分金融专修的人才中途改行去做信息安全的研究,实际操作能力又达不到技术要求,等等,这些原因使我国的“金融信息化”进程受阻严重,致使金融信息安全综合保障水平长久以来得不到明显提高。所以,推进人才培养力度,就要大目标培养懂业务、懂技术的复合型人才,小范围预备培养信息安全管理的专家型人才,才能推动金融信息化的进程,提高金融信息安全综合保障水平。
(八)科学管理与观念教育奇头并进
观念教育至关重要,在影响安全管理的各种因素中,人的因素是最重要的。据资料表明,内部工作人员疏于管理是信息安全事件频发的内因。因此制定可操作性强的管理规章,明确责任并真正落到每个个体的头上;坚持教育、管理防内、技术防外。加强信息安全思想教育,提高工作人员的信息安全意识,最终形成信息安全的群治群防体系。
金融行业的信息安全保障系统完善是一个庞杂的系统工程,需要科学的管理和与时俱进的法律法规。因此,要确保信息系统的安全与稳定,必须提高应用系统安全、应用渠道安全、网络系统和设备安全及从业人员的职业道德。
参考文献
[1]杜珍媛.消费者金融信息安全保障制度探讨[J].中国集体经济,2011(04).
[2]陈柳钦.金融信息安全需进一步加强[J].华南金融电脑,2009(02).
[3]刘萍.浅析金融信息安全[J].甘肃金融,2009(07).
作者简介:张亚杰(1965-),男,四川南江人,本科,就职于中国人民银行南充市中心支行科技处,任科技处处长,工程师,研究方向:银行科技管理和金融信息安全。
(责任编辑:刘影)