楊遠 崔朝 陳濤

【摘要】當前面對日益嚴峻的安全國際形勢，金融行業(yè)作為中國的主要發(fā)展基礎產(chǎn)業(yè)也正面臨著嚴峻的安全挑戰(zhàn)。另一方面，金融機構企業(yè)基礎配套設施的全面化及數(shù)字化轉型升級等也帶來了新的安全管理問題。[1]我國金融機構如何有效應對新信息時代的安全管理挑戰(zhàn)，如何有效保護我國金融機構重要業(yè)務信息的安全？本報告將通過案例分析金融信息安全在我國金融機構企業(yè)的應用概念、現(xiàn)存問題、相關建議等，對金融企業(yè)應當如何面對嚴峻挑戰(zhàn)提供了一些對策。

【關鍵詞】金融企業(yè)、信息安全管理

1、金融企業(yè)信息安全管理相關概念

1.1、金融企業(yè)信息安全管理的定義

近年來，金融企業(yè)的業(yè)務規(guī)模和種類迅速增長，信息技術在商業(yè)銀行各項業(yè)務中的應用越來越廣泛。[2]信息安全管理技術在促進商業(yè)銀行提高效率、提高服務水平、擴大業(yè)務范圍、優(yōu)化組織結構等方面發(fā)揮著不可替代的作用?！缎掳腿麪栙Y本協(xié)議》將商業(yè)信息系統(tǒng)技術安全風險明確進行界定已成為金融操作系統(tǒng)風險管理防控的一個重點。如何不斷調整和完善優(yōu)化商業(yè)信息安全風險管理體系架構和規(guī)范業(yè)務流程，以不斷提高信息安全管理的風險管控防范管理能力，是現(xiàn)代金融企業(yè)當前面臨的主要技術挑戰(zhàn)。

1.2、金融企業(yè)信息安全管理的目標

金融服務企業(yè)必須正確使用各種技術性的網(wǎng)絡安全措施，如安全防火墻、入侵軟件檢測、反勒索病毒等網(wǎng)絡安全措施，以迅速有效消除干擾無線網(wǎng)絡的各種安全事件，以防止各種網(wǎng)絡病毒感染等惡性事件。

2、金融企業(yè)信息安全管理存在的問題

2.1、金融企業(yè)信息安全管理的現(xiàn)狀

金融企業(yè)信息安全面臨兩大突出問題。[3]首先，金融信息科技產(chǎn)品創(chuàng)新的技術發(fā)展推進速度非常有限，科技上的創(chuàng)新與我國底層金融體系難以完美相互匹配。其次，國外金融產(chǎn)品的技術壟斷行為使得我國金融機構企業(yè)內(nèi)部信息安全風險管理的費用成本相對較高且持續(xù)安全管理更加困難。

2.2、信息安全管理形式單一

金融機構企業(yè)對單一信息安全財務管理軟件的安全需求量雖然在不斷擴大增加，但僅單一信息安全軟件產(chǎn)品是否一定能真正滿足整個金融機構的安全需求仍然存在重大技術問題。[4]

針對金融企業(yè)信息安全管理形式單一的問題，本報告提出以下幾種防范階段：

一、初級保護：

初級安全保護應該是組織信息安全生產(chǎn)管理二級保護的最低一個級別。初級安全保護的三個基本特征主要是：缺乏初級安全控制，缺乏安全風險管理控制能力，缺乏安全保護工作管理功能。

二、基礎防范：

基礎準備是信息安全管理保護的第二級。基礎防范的基本特征是：安全管控比較分散、風險管理基礎較低、安全工作無序、安全事件反應遲鈍、難以應對監(jiān)管檢查。

三、體系化控制：

體系化安全控制也就是安全屬于發(fā)展到了第三個成熟的安全階段。體系化控制的基本特征是：建立安全監(jiān)控系統(tǒng)，建立了一套機制、風險管理、標準化和勞動安全秩序，建立應急能力，并符合安全合規(guī)要求。

四、主動性防御：

主動性防御即第四成熟的階段。主動防御水平的基本特征是：初步安全控制、預防和控制先進的威脅，安全性能的定量評估、監(jiān)測和預警、安全事件的實時數(shù)據(jù)和控制的基礎。

五、進攻性防御：

進攻成熟度最高水平的安全與防務。進攻性安全防御的三個基本特征是：對于安全控制主動實現(xiàn)智能化，安全技術對抗防御能力主動實現(xiàn)智能化，安全技術價值的有效整合利用，對于潛在安全風險的有效預警，促進網(wǎng)絡金融企業(yè)健康有序發(fā)展。

目前，絕大多數(shù)企業(yè)安全正處于第三層級階段，基本完全符合國家信息網(wǎng)絡安全監(jiān)管制度要求， 遇到問題時有望及時解決。下一步將專注于如何建立主動安全防御，以提高安全性。[5]

3、完善金融企業(yè)信息安全管理的建議

一、建立較為完善的網(wǎng)絡信息安全監(jiān)督管理制度：

要想有效預防和控制信息安全管理技術風險，首先要建立完善的信息技術安全管理體系，約束職員的行為，明確職員的責任，引導職員的思想。[6]同時，應積極監(jiān)測信息系統(tǒng)，及時發(fā)現(xiàn)新問題。

二、構建全面的網(wǎng)絡信息安全風險管理體系風險評估監(jiān)測和安全保障體系：

信息系統(tǒng)的健康是系統(tǒng)在整個生命周期內(nèi)安全性能的關鍵因素，并與生產(chǎn)安全密切相關。因此，企業(yè)應在做好開發(fā)及處理應用系統(tǒng)繁瑣的服務同時，應認真做好應用系統(tǒng)的前期開發(fā)、測試維護工作，建立一個全面的信息技術風險監(jiān)控和保障體系。

三、鼓勵信息安全管理防范技術創(chuàng)新型研究：

對于大型金融系統(tǒng)企業(yè)進行信息安全風險管理利用技術抵御風險，加強利用創(chuàng)新技術和研發(fā)裝備有利于提高系統(tǒng)的自我保護抵御技術風險的管理能力。目前，一些大型金融系統(tǒng)企業(yè)通過金融創(chuàng)新技術研究，大大提高了企業(yè)信息安全風險管理技術系統(tǒng)的風險防范能力。

結語：

隨著中國手機移動客戶端和中國互聯(lián)網(wǎng)、云計算等金融信息網(wǎng)絡技術的不斷飛速發(fā)展，金融機構的內(nèi)部金融商業(yè)信息管理體系環(huán)境越來越復雜，內(nèi)部金融信息管理系統(tǒng)與外部金融信息系統(tǒng)空間的商業(yè)管理體系界限也越來越模糊。與此同時，網(wǎng)絡攻擊者的各種不同攻擊方式等也越來越豐富，攻擊的電子文件涉及數(shù)量也在增加。

所以在新時代，金融企業(yè)除了過去的風險和威脅外，還面臨著許多新的風險，特別是在數(shù)據(jù)和應用安全領域。這些新的威脅與金融情景密切相關，值得我們關注。

參考文獻：

[1]井鵬程，王真.計算機網(wǎng)絡安全現(xiàn)狀和防御技術分析[J].網(wǎng)絡安全技術與應 用， 017（03） ：60-61.

[2]朱駿.基于網(wǎng)絡安全的計算機網(wǎng)絡技術現(xiàn)狀及發(fā)展研究[J].信息系統(tǒng)工 程， 017（03）：70-71.

[3]王劍.關于網(wǎng)絡安全技術的現(xiàn)狀分析及發(fā)展趨勢探討[J].數(shù)字通信世 界， 016（05） ：3 -33.

[4]艾戩.企業(yè)信息化建設中的信息安全探究[J].網(wǎng)絡安全技術與應 用， 015（3） ：100-101.

[5]吳捷.企業(yè)信息化建設中信息安全問題的研究[J].通訊世界， 016（1） ： 47- 48 【6】肖錕.淺議網(wǎng)絡環(huán)境下的企業(yè)信息安全管理[J].標準科學， 010（8） ： 0- 3.

[6]李慧.信息安全管理體系研究[D].西安電子科技大學， 014.