金融領(lǐng)域計(jì)算機(jī)信息安全與防范探析

欒昕平

【摘要】隨著我國(guó)金融電子化建設(shè)的快速發(fā)展，計(jì)算機(jī)應(yīng)用已經(jīng)進(jìn)入了金融領(lǐng)域的各個(gè)層面，越來(lái)越多的關(guān)鍵業(yè)務(wù)必須通過(guò)計(jì)算機(jī)系統(tǒng)進(jìn)行，計(jì)算機(jī)信息安全與防范成為金融機(jī)構(gòu)亟待解決的問(wèn)題。面對(duì)日益猖獗的黑客攻擊，金融領(lǐng)域計(jì)算機(jī)安全防范體系面臨巨大的挑戰(zhàn)。

【關(guān)鍵詞】金融 計(jì)算機(jī) 安全與防范

隨著金融領(lǐng)域信息技術(shù)的快速發(fā)展，計(jì)算機(jī)應(yīng)用于金融服務(wù)的規(guī)模在逐步擴(kuò)大，金融信息資產(chǎn)的數(shù)量也在急劇增加，涉及金融的計(jì)算機(jī)犯罪案件也大幅提升，大量的信息資產(chǎn)需要進(jìn)行有效的管控和保護(hù)，金融領(lǐng)域計(jì)算機(jī)信息安全管理面臨越來(lái)越嚴(yán)峻的挑戰(zhàn)。

1金融信息安全分析

近年來(lái)，計(jì)算機(jī)網(wǎng)絡(luò)犯罪在金融行業(yè)尤為突出，金融行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)犯罪案件發(fā)案比例占整個(gè)計(jì)算機(jī)犯罪比例高達(dá)60%以上。綜合分析案例可歸納如下。

1.1安全威脅及表現(xiàn)形式

金融計(jì)算機(jī)網(wǎng)絡(luò)由于它自身具有的特性，如形式的多樣性、終端分布的廣泛性、網(wǎng)絡(luò)的開放性和互聯(lián)性等，使得網(wǎng)絡(luò)極易受到來(lái)自黑客、惡意軟件、病毒等的攻擊。

安全威脅主要來(lái)自：（1）網(wǎng)絡(luò)濫用：用戶內(nèi)、外網(wǎng)絡(luò)濫用，以及非法移動(dòng)、設(shè)備和業(yè)務(wù)濫用等。（2）信息泄露：信息被泄露給非授權(quán)的實(shí)體。（3）完整性破壞。通過(guò)漏洞利用、授權(quán)侵犯、木馬病毒等方式。（4）拒絕服務(wù)攻擊：拒絕用戶合法地訪問(wèn)信息或資源，或者推遲與時(shí)間密切相關(guān)的操作。

安全威脅主要表現(xiàn)：（1）竊聽。通過(guò)監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)等技術(shù)手段，獲得重要的系統(tǒng)信息，導(dǎo)致金融網(wǎng)絡(luò)信息的泄密。（2）篡改。合法用戶之間的通信信息被入侵后，攻擊者將修改后的偽造信息發(fā)送給接收者。（3）拒絕服務(wù)：攻擊者通過(guò)某種方法植入惡意程序使系統(tǒng)響應(yīng)減慢甚至癱瘓。（4）非授權(quán)訪問(wèn)。未經(jīng)同意使用指定的網(wǎng)絡(luò)或計(jì)算機(jī)資源。（5）病毒。攻擊者通過(guò)網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒。

1.2犯罪的主要特征和常用手段

犯罪的特征：（1）內(nèi)部人員居多。了解和熟悉業(yè)務(wù)和內(nèi)控的內(nèi)部人員，更容易達(dá)到犯罪的目的。（2）手段較為隱蔽，痕跡不明顯：犯罪分子大多熟悉計(jì)算機(jī)技術(shù)和業(yè)務(wù)操作規(guī)程，作案時(shí)間短，所留痕跡少，不易被偵破。（3）情節(jié)嚴(yán)重：金融計(jì)算機(jī)犯罪大案無(wú)數(shù)，令人觸目驚心。（4）社會(huì)危害嚴(yán)重。由于金融的特殊地位和其在保持社會(huì)穩(wěn)定方面所起的重要作用，金融案件會(huì)帶來(lái)社會(huì)不穩(wěn)定因素。

犯罪的手段：記賬員作案和終端復(fù)核員利用直接操作計(jì)算機(jī)進(jìn)行犯罪；系統(tǒng)管理員往往借助管理系統(tǒng)的特殊權(quán)限作案；另外還有軟硬件人員作案、內(nèi)部及外部人員作案等。

1.3信息泄密途徑

（1）電磁波輻射泄密。犯罪分子借助高靈敏的儀器設(shè)備接收計(jì)算機(jī)設(shè)備工作時(shí)輻射出的電磁波，可以監(jiān)測(cè)到計(jì)算機(jī)正在處理的信息。（2）剩磁效應(yīng)泄密。計(jì)算機(jī)存儲(chǔ)介質(zhì)中的信息被刪除后有時(shí)仍會(huì)留下可讀的信息痕跡，犯罪分子可以非法利用磁盤剩磁效應(yīng)提取原記錄的信息。（3）聯(lián)網(wǎng)泄密。局域網(wǎng)和互聯(lián)網(wǎng)沒(méi)有做到完全的物理隔離可能使計(jì)算機(jī)遭到黑客、病毒等的攻擊。另外，登陸口令不注意保密和及時(shí)更換，超級(jí)用戶管理不善，信息傳輸不進(jìn)行加密處理等，也會(huì)導(dǎo)致泄密。

1.4犯罪的成因

（1）防范意識(shí)差，抵御能力低。管理者對(duì)計(jì)算機(jī)犯罪的危害性認(rèn)識(shí)有限，防范意識(shí)薄弱，堵截能力差，同時(shí)，計(jì)算機(jī)安全組織不健全，對(duì)有關(guān)人員安全教育不到位，沒(méi)有形成強(qiáng)有力的安全抵御防線。這些都是導(dǎo)致計(jì)算機(jī)犯罪案件發(fā)生的重要因素。（2）內(nèi)部控制不完備，管理制度落實(shí)不力。金融主管部門對(duì)計(jì)算機(jī)安全檢查、監(jiān)督不力，不能及時(shí)發(fā)現(xiàn)和堵塞安全漏洞。（3）管理手段滯后，應(yīng)急預(yù)案不到位。項(xiàng)目運(yùn)行等環(huán)節(jié)沒(méi)有一套完整、科學(xué)的安全防范體系，給犯罪分子利用計(jì)算機(jī)作案提供了可乘之機(jī)。應(yīng)急預(yù)案缺乏演練，事故處理能力低。

2金融信息安全防范措施

2.1制度層面的保障

金融部門要參照有關(guān)的法規(guī)、條例，制定出比較全面的切實(shí)可行的安全管理制度。如：機(jī)房及工作場(chǎng)地、硬件設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫(kù)、計(jì)算機(jī)網(wǎng)絡(luò)、應(yīng)用系統(tǒng)軟件、口令。

2.2管理保障

首先要提高安全管理意識(shí)，加大安全管理力度。要充分認(rèn)識(shí)到計(jì)算機(jī)犯罪對(duì)金融信譽(yù)和資金的危害，強(qiáng)化職工安全教育。第二要加大要害崗位人員的審查和管理，認(rèn)真部署計(jì)算機(jī)安全防范工作，提高系統(tǒng)、網(wǎng)絡(luò)的管理能力。第三加強(qiáng)對(duì)設(shè)備、存儲(chǔ)介質(zhì)的管理，對(duì)存儲(chǔ)過(guò)涉密文件的存儲(chǔ)介質(zhì)，要明確標(biāo)示密級(jí)、編號(hào)，統(tǒng)一登記管理，嚴(yán)格執(zhí)行報(bào)廢銷毀制度。第四對(duì)涉密場(chǎng)所要設(shè)立相應(yīng)的保密控制區(qū)，明確專人負(fù)責(zé)維護(hù)與保障。做到上網(wǎng)信息不涉密、涉密信息不上網(wǎng)，執(zhí)行信息披露審批制度。

2.3技術(shù)保障

（1）設(shè)置權(quán)限。分級(jí)設(shè)置內(nèi)聯(lián)網(wǎng)計(jì)算機(jī)管理權(quán)限、操作權(quán)限和維護(hù)權(quán)限，對(duì)不同的人員設(shè)置等級(jí)不同的權(quán)限。（2）嚴(yán)防電磁波輻射泄密。盡量選購(gòu)、使用低輻射計(jì)算機(jī)設(shè)備。根據(jù)客觀環(huán)境，對(duì)計(jì)算機(jī)機(jī)房或主機(jī)內(nèi)部件加以屏蔽，或者安裝微機(jī)視頻保護(hù)機(jī)等設(shè)施，采取有效的技術(shù)措施，對(duì)計(jì)算機(jī)的輻射信號(hào)進(jìn)行干擾，保護(hù)計(jì)算機(jī)輻射的秘密信息。（3）嚴(yán)格物理隔離措施。重要業(yè)務(wù)計(jì)算機(jī)信息系統(tǒng)與國(guó)際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)實(shí)行物理隔離。與互聯(lián)網(wǎng)相連的計(jì)算機(jī)不得存儲(chǔ)、處理和傳遞內(nèi)部信息，在互聯(lián)網(wǎng)上提取的信息也必須經(jīng)殺毒處理后再接入內(nèi)聯(lián)網(wǎng)供內(nèi)部使用。（4）規(guī)范存儲(chǔ)介質(zhì)的管理。嚴(yán)格按照國(guó)家相關(guān)保密規(guī)定，進(jìn)行涉密信息、存儲(chǔ)和銷毀。使用移動(dòng)存儲(chǔ)介質(zhì)要有嚴(yán)格的安全措施，防止病毒、木馬等傳入。（5）重視業(yè)務(wù)數(shù)據(jù)的加密。在軟件開發(fā)過(guò)程中加大對(duì)加密軟件的投入，對(duì)重點(diǎn)涉密的應(yīng)用程序軟件，加密設(shè)計(jì)要達(dá)到網(wǎng)絡(luò)級(jí)水平，最大限度地保證信息的安全與保密。對(duì)涉密信息加密保存，計(jì)算機(jī)要設(shè)置開機(jī)密碼、屏保密碼等。

3結(jié)語(yǔ)

總之，金融系統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)犯罪根本原因是網(wǎng)絡(luò)自身的安全隱患無(wú)法根除，金融人員防范意識(shí)有待提高。只有建立完整的安全管理制度，明確各自的安全職責(zé)，加強(qiáng)信息交流和安全技術(shù)交流，制定科學(xué)的安全策略，采取有效措施和步驟，形成整體的防范力量，構(gòu)建起強(qiáng)有力的金融信息安全體系，才能贏造金融信息系統(tǒng)更加穩(wěn)健的運(yùn)行環(huán)境，更好的為經(jīng)濟(jì)建設(shè)服務(wù)。

參考文獻(xiàn)：

[1]陳進(jìn)，崔金紅.《電子金融服務(wù)》.浙江大學(xué)出版社，2010年.

[2]（英）高爾曼.《計(jì)算機(jī)安全學(xué)（原書第二版）》.機(jī)械工業(yè)出版社，2008年.

[3]蔣睿，胡愛群等.《網(wǎng)絡(luò)信息安全理論與技術(shù)》.華中科技大學(xué)出版社，2007年.

[4]江常青.《信息安全保障基礎(chǔ)》.航空工業(yè)出版社，2009年.