金融行業(yè)信息系統(tǒng)的發(fā)展及安全防范措施的改進研究

徐俊杰

摘 要 隨著現(xiàn)代經(jīng)濟的不斷發(fā)展，金融行業(yè)在安全防范措施上采用了信息產(chǎn)業(yè)技術。筆者分析了金融結構存在的風險性以及在后期管理上的運維措施，利用密碼加密、指紋識別以及動態(tài)口令等方法是銀行產(chǎn)業(yè)結構安全穩(wěn)定的有序保障。

關鍵詞 金融行業(yè)；信息系統(tǒng)；安全評估；運維措施

中圖分類號：TP3 文獻標識碼：A 文章編號：1671-7597（2014）02-0009-02

根據(jù)當前金融行業(yè)的動態(tài)變化進行分析，在信息安全方面加強了進一步的控制管理，信息系統(tǒng)的安全指標包括：安全性、穩(wěn)定性、保密性以及有效性。但在信息系統(tǒng)正常安全運行時，也會受到外圍環(huán)境的不同威脅，其中在通信傳輸過程中容易造成金融機構機密信息的泄漏，給金融機構造成重大的經(jīng)濟損失；在數(shù)據(jù)信息存儲時容易遭受外界不明代碼的攻擊，使傳輸?shù)臄?shù)據(jù)代碼的位置發(fā)生錯亂，導致在數(shù)據(jù)信息排序時無法進行有效的讀??；其次便是數(shù)據(jù)處理過程中面臨的威脅，主要受黑客病毒的惡意性攻擊，使處理的數(shù)據(jù)信息與原有備份的信息存有一定的差異性。而現(xiàn)有金融行業(yè)安全系統(tǒng)中針對不同的風險做出了應對策略，其中包括金融機構系統(tǒng)中保護密碼的設定、訪問動態(tài)控制的權限的設定、信息漏洞檢測的設定以及系統(tǒng)審計技術的設定等，這些運行系統(tǒng)技術的設定能夠有效保證信息系統(tǒng)的安全穩(wěn)定的運行，筆者在此進行了詳細的分析介紹，以便于為今后金融行業(yè)信息系統(tǒng)安全管理提供可參考的依據(jù)。

1 金融信息系統(tǒng)的發(fā)展歷程

隨著現(xiàn)代科技技術的不斷創(chuàng)新，國內金融信息產(chǎn)業(yè)共經(jīng)歷四個發(fā)展階段，尤其是在近幾年金融信息產(chǎn)業(yè)分發(fā)展速度尤為迅猛。第一階段是在20世紀70年代末，國內金融行業(yè)還處于發(fā)展起步階段，銀行業(yè)的存儲方式還是采用的是人工手記的方式，并且這種方式的存儲存有主觀的弊端因素，主要是因為人為盲目性較大，對一些大型數(shù)據(jù)統(tǒng)計時，容易造成客觀因素的疏忽，使金融產(chǎn)業(yè)最后出現(xiàn)虧損的現(xiàn)象；第二階段為20世紀80年代末，此時計算機變應用到了信息化產(chǎn)業(yè)結構中，當時計算機還沒有得到有效的普及，對于當時的互聯(lián)網(wǎng)技術還沒有進行全面的發(fā)展，金融行業(yè)便采用計算機進行內部的應用程序進行業(yè)務的辦理；第三階段為20世紀90年代中期，互聯(lián)網(wǎng)信息產(chǎn)業(yè)進入到國內市場，于此金融結構便采用聯(lián)網(wǎng)的方式進行業(yè)務的辦理以及支付的結算；第四階段為當今信息產(chǎn)業(yè)化的發(fā)展模式，不僅能夠利用互聯(lián)網(wǎng)進行相關業(yè)務的辦理，并且還可以采用網(wǎng)上支付系統(tǒng)進行現(xiàn)款的結余，使得處理效率與傳統(tǒng)相比有了明顯的提升。

2 金融信息系統(tǒng)安全性分析

網(wǎng)絡系統(tǒng)的安全性始終是金融行業(yè)關注的熱點話題，主要是因為現(xiàn)代產(chǎn)業(yè)進行了集中控制管理，信息產(chǎn)業(yè)化規(guī)模集中控制已成為當今信息產(chǎn)業(yè)發(fā)展的主流趨勢，所以必須保證運行環(huán)境的安全性。不但關系到整個金融行業(yè)的動態(tài)變化，而且也影響著國家經(jīng)濟命脈的動態(tài)變化。

2.1 金融信息產(chǎn)業(yè)面臨的威脅因素

信息產(chǎn)業(yè)的安全主要從保密性、穩(wěn)定性、有效性進行分析，其中保密性針對的是內部數(shù)據(jù)信息資源不外泄，保留原始的數(shù)據(jù)狀態(tài)。穩(wěn)定性指的是不容易的產(chǎn)生邏輯性錯誤，導致信息數(shù)據(jù)發(fā)生巨變。有效性是針對數(shù)據(jù)信息的正確性，對處理后的數(shù)據(jù)能夠與原備份的信息數(shù)據(jù)完全吻合，保證處理數(shù)據(jù)信息的正確性。金融機構在支付系統(tǒng)中面臨的主要威脅存在三個因素，包括通信系統(tǒng)存有的威脅性、數(shù)據(jù)存儲系統(tǒng)存有的威脅性以及后期數(shù)據(jù)處理存有的威脅性。其中對于通信傳輸系統(tǒng)存有的威脅性主要表現(xiàn)在數(shù)據(jù)信息在傳遞過程中容易遭受攻擊，造成支付數(shù)據(jù)的丟失，無法完成交易處理。數(shù)據(jù)存儲的風險威脅表現(xiàn)在參與者交付的信息不能進行有效的登記，這種現(xiàn)象造成的原因可能是網(wǎng)絡安全系統(tǒng)存有一定的安全隱患，導致接收的信息不能有效的反饋至終端設備，使數(shù)據(jù)信息發(fā)生丟失的現(xiàn)象。最后便是后期數(shù)據(jù)處理過程中存有的威脅，支付系統(tǒng)在完成數(shù)據(jù)信息的統(tǒng)計后，需要將企業(yè)內部的數(shù)據(jù)信息進行匯總，對數(shù)據(jù)信息統(tǒng)一處理。但在后期數(shù)據(jù)得不到有效性處理，使金融行業(yè)機構無法對后期的數(shù)據(jù)核算。

2.2 信息安全防范技術

對于信息產(chǎn)業(yè)安全防范的技術有多種，密碼技術是比較傳統(tǒng)的一種通用技術，采用輸入數(shù)字的方式來設置固態(tài)密碼鎖，利用輸入密碼的方式進行網(wǎng)絡結構后臺系統(tǒng)的操作，參與者在支付系統(tǒng)中可以很方便的完成數(shù)據(jù)信息的結算。訪問控制技術也是金融行業(yè)所發(fā)展的一種模式，這種技術的控制形式分為動態(tài)型和固態(tài)型。固態(tài)型是輸入口令的方式，需要參與者輸入口令的密碼便可解鎖，但存有一定的弊端性，不是參與者本人也可以進行動態(tài)口令的操作，使用戶數(shù)據(jù)信息丟失的可能性較大。對于固態(tài)型采用的輸入方式為指紋、眼角膜信息的識別。這種方式的輸入程序具有一定的局限性，但是加密性能好，能夠保證用戶信息的安全性。但對于金融機構的存取控制模型有一定的限制要求，每個銀行產(chǎn)業(yè)機構所制定的安全標準不一致，所以這種加密技術采用結合金融機構統(tǒng)一模式進行制定，防止因數(shù)據(jù)信息采集不一致導致無法完成操作系統(tǒng)的支付程序。

3 金融行業(yè)信息安全系統(tǒng)的改進措施

3.1 構建IT服務管理體系標準

隨著經(jīng)濟全球化的不斷發(fā)展，各大銀行的產(chǎn)業(yè)機構也逐步走向戰(zhàn)略型發(fā)展規(guī)劃的道路上，加大了對國外金融產(chǎn)業(yè)之間的競爭。對于各大金融機構對IT管理服務條例上也具有不同的管理標準，要求參與者在對業(yè)務支付時，保證對IT服務的管理項目做出明確的分析，嚴格按照各大金融制定的標準去執(zhí)行。防止參與者在交易時，系統(tǒng)處于繁忙狀態(tài)無法進行有效的交易。對于IT管理者在滿足金融業(yè)務的需求的同時，避免在短時間內進行業(yè)務系統(tǒng)的刷新，主要是在刷新過程中用戶的數(shù)據(jù)信息不能完全有效的保留，這樣會造成業(yè)務數(shù)據(jù)信息的丟失。所以在構建IT服務管理標準時，應按照各大銀行機構的交易量進行制定，既能滿足參與者對支付平臺的需要，又能使信息產(chǎn)業(yè)平臺資源得到充分的利用。其中建設銀行在構建IT服務管理體系標準時，劃分了三個等級進行實現(xiàn)IT服務管理項目指標，第一階段為建立完善的服務標準體系，對各個流程的管理層面進行細致化的劃分，使得管理流程有序進行。第二階段為配置服務項目流程，配置的流程為業(yè)務數(shù)據(jù)流程、產(chǎn)業(yè)信息發(fā)布流程、服務項目流程，對每個項目流程的配備要符合金融企業(yè)的發(fā)展規(guī)劃。第三階段便是為安全支撐網(wǎng)業(yè)務體系的建立，對IT服務類型的項目實行保證有一個安全穩(wěn)定的運行環(huán)境。

3.2 加強金融行業(yè)安全防范建設

安全風險系統(tǒng)的建立始終是國內金融機構探討的熱點話題，主要是風險因素的存在使金融機構的運行存有一定的風險性。隨著當前金融機構安全風險意識的不斷加強，對該建設的力度也正投入發(fā)展規(guī)劃區(qū)域范圍內，近幾年隨著金融機構的信息產(chǎn)業(yè)的不斷完善，對巴塞爾資本協(xié)議提出了新的規(guī)劃方案，重點在于加強金融行業(yè)安全標準體系，對非控制訪問的系統(tǒng)加強對其監(jiān)督流程，保證金融系統(tǒng)安全穩(wěn)定的運行。加大對外界數(shù)據(jù)的抵賴性，外圍的終端系統(tǒng)會向金融終端提供一些數(shù)據(jù)信息的原發(fā)證據(jù)，導致參與者支付的信息不能進行有效的處理。其次加強對參與者用戶密碼設定的程序流程，多采用一些數(shù)字密碼。這種密碼的加密性比一些動態(tài)口令存有的安全性較高，保證用戶個人信息的安全性。

4 結束語

通過對金融行業(yè)信息系統(tǒng)安全性的分析，其中在網(wǎng)絡體系結構規(guī)劃發(fā)展中會遇到各種威脅性的因素，包括通信系統(tǒng)的傳輸過程、數(shù)據(jù)存儲過程以及后期動態(tài)處理過程中都會遭受不同程度的威脅因素。后期通過加大對安全因素的建設力度，使得網(wǎng)絡系統(tǒng)在運維管理上減少了安全威脅性的因素，在IT管理項目上既要滿足參與者對金融業(yè)務的需求，又能保證網(wǎng)絡資源的有效利用，充分發(fā)揮金融機構所固有的潛能。

參考文獻

[1]中國人民銀行.銀行計算機信息系統(tǒng)安全技術規(guī)范[M].北京：電子工業(yè)出版社，2007：16-18.

[2]張仁斌，李鋼，侯整風.計算機病毒與反病毒技術[M].北京：清華大學出版社，2003：5-7.

[3]楊堅爭，趙雯，楊力帆.電子商務安全與電子支付[M].北京：機械工業(yè)出版社，2006：41-43.

[4]張紅旗，王新昌，楊英杰，唐慧林.信息安全管理[M].北京：人民郵電出版社，2007：27-29.

[5]蔣睿，胡愛群，陸哲明.網(wǎng)絡信息安全理論與技術[M].武漢：華中科技大學出版社，2007：15-16.

[6]顧巧論，高鐵杠，賈春福.計算機網(wǎng)絡安全[M].北京：清華大學出版社，2007：15-18.endprint