提升金融信息安全綜合保障能力的對策探討

【摘要】隨著社會的發(fā)展，社會對金融的依賴程度越來越高，金融與國民經濟的聯系日益密切，金融滲透到國民經濟各領域，滲透到老百姓的日常生活當中。由于信息技術在金融業(yè)的廣泛應用，金融信息安全不僅關系到金融安全，甚至關系到社會穩(wěn)定和國家安全。

【關鍵詞】金融信息 安全風險 對策

一、引言

信息安全建設應綜合考慮，信息在獲取過程中要考慮其的完整性、可用性等，我們要盡量的全方位考慮，將設計信息系統(tǒng)的安全方策略做到最好。隨著網絡建設的覆蓋、網絡安全基礎設施的建立，數據的大集中已進入發(fā)展階段，其中數據大集中成為我國金融業(yè)信息化工程的重點，方便的經營管理能有效控制外部安全風險，增強了規(guī)模化程序化效益，但同時也帶來了風險。金融業(yè)的辦公自動化和信息數據中心規(guī)模數據的不斷擴張，這種聚集的風險會更加突出，數據控制中心一旦受到攻擊，計算機將立即終止服務，同時引起與之相關聯的一系列的金融服務業(yè)務暫?；虬c瘓，最終將因數據的丟失而引起多起法律糾紛，這必然也會造成社會的不和諧。隨著我國信息技術的快速發(fā)展，會有越來越多的安全技術問題隨之而來，電腦系統(tǒng)的入侵與反入侵的攻擊也將會變得復雜并且頻繁上演。所以，金融業(yè)對網絡體系實施安全保障防護的要求也就刻不容緩了。因此，要保證金融機構的信息系統(tǒng)平穩(wěn)運行及各項業(yè)務的持續(xù)展開，必須建立一套金融信息安全保障體系，統(tǒng)一金融信息安全問題處理規(guī)范和流程，是有效防范和化解安全風險，以及增強金融系統(tǒng)的信息安全整體防范體系的關鍵。

二、金融信息安全的現狀

由于信息技術在金融系統(tǒng)的廣泛應用，金融業(yè)務都是以信息技術為支撐，各金融系統(tǒng)同中央銀行、國家相關部門實現了網絡聯接，從而，信息安全的重要性凸現，信息安全不僅關系到金融安全，甚至關系到社會穩(wěn)定和國家安全。但金融系統(tǒng)在建設初期“重建設，輕管理”，信息安全管理相對滯后，管理機制、管理制度、人員配備、技術手段等都同信息安全管理的要求有一定差距，致使信息安全面臨的風險越來越呈現復雜性：既有環(huán)境風險、設備風險、技術風險、操作風險、人員風險，又有遭受惡意攻擊和失泄密的風險，而國家有關信息安全管理的制度缺失，人民銀行等監(jiān)管部門在對金融系統(tǒng)信息安全管理方面的監(jiān)管中，缺乏相關的制度規(guī)定、法律規(guī)定，相關工作的開展受到一定的影響，急需完善金融信息安全制度，加強金融系統(tǒng)信息安全管理工作。

三、提升金融信息安全綜合保障能力的對策

努力構建金融信息安全保障體系，金融信息綜合安全防護的抵抗能力要增強，這一項龐大而復雜的系統(tǒng)工程，信息安全防線的構成是多層次多角度的，需要有正確的信息安全意識，科學投資，抓好硬件設施建設，但也決不能靠幾件安全性能的硬件就解決、放心。還需要有完善的可行性制度。因此，要加強安全管理的科學性和制度化，總結成八個字：“三分技術，七分管理”，應用這個道理，從我國金融業(yè)法制、技術、管理、人員等幾方面齊步共進，來完善我國金融信息建設。

（一）樹立正確的信息安全意識

信息的價值就在于它的獨占性、排他性，并保證其安全性，信息安全是繼領土主權、政治主權和經濟主權之后的另一主權。國家只有建立保護好信息安全產業(yè)的屏障，開發(fā)具有自主知識產權的技術和產品，擁有自己的主權，才能在世界經濟中占主動地位，進而也就避免了我國企業(yè)目前的常常被國外公司起訴侵犯其專利權的窘境和落后的危險。

對待信息安全問題，要本著客觀、公正、科學的態(tài)度，既要認識到信息安全保障系統(tǒng)確確實實存在安全漏洞，又要客觀對待系統(tǒng)漏洞的狀態(tài)，針對現狀和有限的條件，及時對漏洞加以修補，要正視信息安全保障系統(tǒng)帶來的利與弊。要構建一個絕對安全的完善系統(tǒng)是不可能的，因為在任何時候安全都是相對的，系統(tǒng)的開放性與方便性和系統(tǒng)的安全性與保密性始終是一對矛盾，因此，我們要做的就是建立一個不斷完善的補充機制，來強化信息安全的屏障作用，在危機時刻數秒鐘能及時更正，恢復這樣的認識即可。

（二）科學均衡投資，努力抓好金融信息安全的建設

為確保信息系統(tǒng)的安全，硬件的投入是必要的，但仔細分析我國金融業(yè)在信息技術方面的投入發(fā)現，在投入方向上重硬件、輕軟件，信息系統(tǒng)的建設要遠遠高于信息安全方面的建設，即所謂的“重業(yè)務發(fā)展，輕安全管理”。 然而，金融業(yè)的數據就是金融機構的生命，隨著對計算機系統(tǒng)的依賴性與日俱增，就意味著金融機構的核心競爭力——金融業(yè)，是社會核心的集聚敏感的部門。從金融機構的運營角度來講，安全性一直都是重中之重，安全建設是各金融機構應該時刻重視而且必須做好的工作。要做到未雨綢繆，安全防范，實施穩(wěn)妥。因此，金融業(yè)在對待信息技術的投入方面，應高度重視信息安全，積極推進系統(tǒng)建設，在業(yè)務系統(tǒng)建設的同時，同步推進信息安全建設，做到科學投資，確保安全。

（三）構建信息安全技術保障體系

就目前的情況看，我國信息技術安全屏障防止各類復雜的信息系統(tǒng)攻擊能力不是很好，尚不具備抵抗外界破壞的后備程序或者說應急機制，可以說我國的信息技術安全保障尚未建立成體系，應加強信息安全技術的投入和產品的研究、開發(fā)與應用，建立信息安全程序增進研發(fā)、產品跟蹤反應及應用的完好優(yōu)質的循環(huán)體系，要有自主知識產權的技術和產品，要從監(jiān)控、系統(tǒng)、設備、硬件、軟件等各方面，從信息流轉的各個環(huán)節(jié)，和個人用戶、金融機構、金融行業(yè)、國家等不同層面上，建立一個高效安全的金融信息網絡通道的安全信息保障體系。

（四）促進金融信息安全保障體系的制度完善

目前，金融信息安全的制度相對缺失，法律、法規(guī)有待完善。金融機構之間已實現了網絡聯接，網絡聯通使得信息安全風險的傳導作用不斷擴大，系統(tǒng)一旦出現問題，不但影響到一個金融機構，很可能影響到整個金融行業(yè)，甚至整個社會的經濟活動，因此，應加強金融信息安全的制度建設，建立和完善金融信息安全制度保障體系。一是各金融機構應加強自身的制度建設，從系統(tǒng)的規(guī)劃、建設、使用、維護、廢止等各環(huán)節(jié)，建立起信息安全管理制度，使信息安全和業(yè)務工作同步推進。二是人民銀行等監(jiān)管部門，應根據當前的形勢，盡快出臺金融信息安全的部門規(guī)章，加大對金融機構信息安全的管理和指導力度，督促金融機構提升信息安全保障水平。在當前情況下，人民銀行應積極探索金融機構從人民銀行金融服務網絡中的退出機制，讓信息安全存在嚴重問題，有可能引起較大風險的金融機構從金融服務網絡中退出，維護金融穩(wěn)定。三是國家應盡快出臺金融信息安全的法律、法規(guī)。金融信息安全涉及金融的安全、社會的穩(wěn)定和國家的安全，因此，國家應盡快出臺金融信息安全的法律、法規(guī)，讓金融信息安全建設走上治化的軌道，做到在金融信息安全方面有法可依。建立起金融信息安全的制度保障體系。

（五）增強金融信息的保密工作程度

信息技術快速發(fā)展的同時竊密手段亦是越來越隱蔽，泄密隱患也越來越多，泄密所造成的危害程度更是越加廣泛，因此，保密工作必將面臨更多新情況與新問題。金融行業(yè)具備特有的高精準的保密性、及時性等特點。因此，一要樹立正確的保密觀念。通過對各個級別工作人員的教育培訓，廣泛開展全體性的保密法的普法宣傳，使廣大員工在潛意識里建立一個觀念，金融保密工作是開展各項工作的基礎，每位從業(yè)人員必須牢記的職業(yè)道德。二要對保密工作進行科學管理。金融系統(tǒng)應建立保密管理的專門機構，配備專職人員，實施科學的、規(guī)范化、程序化管理，重點要加強定密管理、涉密人員管理等。三要鼓勵加密技術創(chuàng)新。鼓勵開發(fā)關鍵性的技術，把研究開發(fā)CPU 和操作系統(tǒng)內核技術作為長期戰(zhàn)略，開發(fā)一套屬于我國自主掌控的操作系統(tǒng)、密碼專用芯片和安全處理器等核心技術。保障金融網絡正常運轉，并能抵御一定的風險，具備及時補充程序，已達到良好的防范效果。

（六）要建立和完善金融信息標準化體系

計算機信息技術是金融業(yè)的強大支撐，而金融信息標準已成為現代國際金融競爭和溝通合作的重要手段和技術紐帶，是提高金融業(yè)整體競爭力的重要手段。同時，隨著信息技術應用的深入，金融信息安全的風險逐步增大，金融信息標準將有力推動和保障金融業(yè)安全穩(wěn)定運行。通過設計和實施金融信息安全標準，能有效防范和化解金融信息安全風險。例如，2004年人民銀行發(fā)布了由全國金融標準化技術委員會制定的《金融業(yè)星型網間互聯安全規(guī)范》，規(guī)定了金融業(yè)網間互聯安全保障體系規(guī)范，對星型金融業(yè)網間互聯涉及安全與管理問題提出了規(guī)范性要求和標準。2008年發(fā)布了《銀行業(yè)信息系統(tǒng)災難恢復管理規(guī)范》，對銀行業(yè)信息系統(tǒng)災難恢復應急管理和日常運維管理提出了具體要求，有效促進了銀行業(yè)信息系統(tǒng)災難恢復和管理能力的提高，對防范和化解銀行業(yè)信息系統(tǒng)風險起到了積極的作用。所以，全國金融標準化技術委員會應盡快制定和完善金融信息安全標準，從環(huán)境、設備、網絡、系統(tǒng)、人員、管理等方面和環(huán)節(jié)，建立金融信息標準化體系，防范信息安全風險。

（七）大力培養(yǎng)防護信息安全方向專業(yè)人才

做好金融信息安全工作的前提是要把好用人關。要加大對金融信息化人才的專項培養(yǎng)。從目前看，我國金融信息技術從業(yè)人員達到碩士以上學歷比率還很低，遠遠低于國際同行業(yè)水平，也不能滿足國內金融業(yè)迅速發(fā)展的需要。目前有很多金融機構的科技人員雖然是IT專業(yè)，但沒有系統(tǒng)的金融知識，這些人員對金融業(yè)的了解又需要相當長的一段時間；而有一部分金融專修的人才中途改行去做信息安全的研究，實際操作能力又達不到技術要求，等等，這些原因使我國的“金融信息化”進程受阻嚴重，致使金融信息安全綜合保障水平長久以來得不到明顯提高。所以，推進人才培養(yǎng)力度，就要大目標培養(yǎng)懂業(yè)務、懂技術的復合型人才，小范圍預備培養(yǎng)信息安全管理的專家型人才，才能推動金融信息化的進程，提高金融信息安全綜合保障水平。

（八）科學管理與觀念教育奇頭并進

觀念教育至關重要，在影響安全管理的各種因素中，人的因素是最重要的。據資料表明，內部工作人員疏于管理是信息安全事件頻發(fā)的內因。因此制定可操作性強的管理規(guī)章，明確責任并真正落到每個個體的頭上；堅持教育、管理防內、技術防外。加強信息安全思想教育，提高工作人員的信息安全意識，最終形成信息安全的群治群防體系。

金融行業(yè)的信息安全保障系統(tǒng)完善是一個龐雜的系統(tǒng)工程，需要科學的管理和與時俱進的法律法規(guī)。因此，要確保信息系統(tǒng)的安全與穩(wěn)定，必須提高應用系統(tǒng)安全、應用渠道安全、網絡系統(tǒng)和設備安全及從業(yè)人員的職業(yè)道德。

參考文獻

[1]杜珍媛.消費者金融信息安全保障制度探討[J].中國集體經濟，2011(04).

[2]陳柳欽.金融信息安全需進一步加強[J].華南金融電腦，2009(02).

[3]劉萍.淺析金融信息安全[J].甘肅金融，2009(07).

作者簡介：張亞杰（1965-），男，四川南江人，本科，就職于中國人民銀行南充市中心支行科技處，任科技處處長，工程師，研究方向：銀行科技管理和金融信息安全。

（責任編輯：劉影）