電子金融領(lǐng)域信息安全研究-經(jīng)濟(jì)論文

　　一、我國電子金融領(lǐng)域信息安全的現(xiàn)狀

　　我國金融電子信息化的發(fā)展歷經(jīng)了這么幾個(gè)階段：初期網(wǎng)絡(luò)建設(shè)、數(shù)據(jù)庫建設(shè)、網(wǎng)絡(luò)軟件基礎(chǔ)設(shè)施建設(shè)和體系化信息安全管理等四個(gè)階段。在當(dāng)前階段，對(duì)于建立健全金融信息安全保障體系已是金融電子信息化進(jìn)一步發(fā)展的刻不容緩、迫不及待的要求，以抵御和化解風(fēng)險(xiǎn)，統(tǒng)一處理安全問題的規(guī)范性程序，提高金融電子安全系統(tǒng)的整體防御能力，從而促使金融企業(yè)信息系統(tǒng)的平穩(wěn)運(yùn)行和健康發(fā)展。

　　伴隨著《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等相關(guān)法律法規(guī)文件的出臺(tái)，金融電子信息安全系統(tǒng)法制建設(shè)取得初步成效。金融電子安全系統(tǒng)已經(jīng)成為投資-產(chǎn)出過程中的風(fēng)險(xiǎn)防范首要位置，而且在全國范圍內(nèi)得到了大范圍的安全普查。全國相關(guān)的金融機(jī)構(gòu)陸續(xù)成立了專門的安全防范機(jī)構(gòu)，并重點(diǎn)加強(qiáng)對(duì)系統(tǒng)需求設(shè)計(jì)、投產(chǎn)、推廣和軟件開發(fā)等重點(diǎn)程序的監(jiān)管和保護(hù)以及風(fēng)險(xiǎn)防范；在系統(tǒng)設(shè)計(jì)開發(fā)、防火墻選用、認(rèn)證密碼等方面加大了投入。但是，當(dāng)前的金融電子行業(yè)仍然存在著一些隱患，具體是傳遞信息的安全隱患和業(yè)務(wù)系統(tǒng)維護(hù)的風(fēng)險(xiǎn)防范隱患。

　　二、信息安全防護(hù)措施

　?。ㄒ唬┬袠I(yè)自律

　　行業(yè)或是客戶自身的信息包括最敏感機(jī)密部分對(duì)金融機(jī)構(gòu)而言往往是公開的，金融機(jī)構(gòu)可以輕松的獲取這部分信息，其中有部分信息具有相當(dāng)?shù)慕?jīng)濟(jì)價(jià)值。對(duì)信息保護(hù)，行業(yè)的自律有著相當(dāng)重要的意義，政府的監(jiān)管只是被動(dòng)的行為，防患于未然更多的在于金融結(jié)構(gòu)的自律行為。

　　電子金融行業(yè)需制定一個(gè)有效的行業(yè)自律規(guī)范，從行業(yè)內(nèi)部規(guī)范從事人員的行為總則，爭取將非法信息來源斬?cái)?。國外大多?shù)國家在立法上對(duì)行業(yè)自律機(jī)制給予較高的肯定，我國其實(shí)也可以借鑒，進(jìn)一步發(fā)揮行業(yè)自律在信息安全上的作用。

　　（二）金融信息監(jiān)管

　　完善的信息安全法律法規(guī)是做好信息安全工作的基礎(chǔ)。我國在信息安全法律法規(guī)建設(shè)方面已經(jīng)做了很多工作，如今與信息安全有關(guān)的法律法規(guī)包括法律、行政法規(guī)、部門規(guī)章及規(guī)范性文件三個(gè)層面。但是，我國的信息安全法律法規(guī)仍然不夠完善，管理機(jī)構(gòu)存在多頭管理，要求從金融信息監(jiān)督開始為信息安全做好第一步。同時(shí)，中國人民銀行對(duì)網(wǎng)上銀行業(yè)務(wù)的監(jiān)管尚處于起步階段，應(yīng)在《人民銀行法》等相關(guān)法規(guī)中將網(wǎng)上銀行明確納入中國人民銀行、銀監(jiān)會(huì)監(jiān)管的對(duì)象。其次，金融服務(wù)業(yè)消費(fèi)者安全保障的投訴與受理機(jī)制欠缺，監(jiān)管機(jī)構(gòu)中缺乏專門負(fù)責(zé)金融消費(fèi)者安全保障方面事務(wù)的部門，對(duì)于投訴問題沒有從自律或者強(qiáng)制性法律機(jī)制角度進(jìn)行規(guī)范。建議在我國因成立一個(gè)獨(dú)立的電子金融監(jiān)管機(jī)構(gòu)，它獨(dú)立于各個(gè)行政體系，采用直接負(fù)責(zé)制，這是由于電子金融領(lǐng)域如出現(xiàn)信息安全事故，它所牽扯的相關(guān)行政部門較多，地域范圍較廣，現(xiàn)有職能部門無法對(duì)它進(jìn)行有效的監(jiān)管，該機(jī)構(gòu)應(yīng)對(duì)電子金融機(jī)構(gòu)信息可審查，可回溯并構(gòu)建一個(gè)評(píng)價(jià)體系，將其評(píng)價(jià)結(jié)果對(duì)外公示，對(duì)于那些信息安全保護(hù)不當(dāng)?shù)臋C(jī)構(gòu)應(yīng)給予懲罰，改變我國對(duì)信息泄露或是保護(hù)不當(dāng)?shù)慕鹑跈C(jī)構(gòu)只罰不懲的局面。

　?。ㄈ┬畔踩w系

　　電子金融主要的運(yùn)行手段是基于計(jì)算機(jī)網(wǎng)絡(luò)或是通信網(wǎng)絡(luò)，必須要技術(shù)層面上保護(hù)其安全，傳統(tǒng)的金融交易手段是基于柜臺(tái)式、盤點(diǎn)式，早期電子金融只是較為粗獷的將原有的業(yè)務(wù)照搬于網(wǎng)絡(luò)環(huán)境中，又由于網(wǎng)絡(luò)是個(gè)開放的平臺(tái)，所以造成了較多的信息安全事故，在近幾年的發(fā)展中有了迅猛的進(jìn)步，但還存在諸多問題：用戶認(rèn)證手段單一、支付手段繁雜、內(nèi)網(wǎng)權(quán)限過大、設(shè)備更新過于頻繁、客戶端保護(hù)不夠、異常行為監(jiān)管不到位、標(biāo)準(zhǔn)不統(tǒng)一等問題。

　　現(xiàn)應(yīng)構(gòu)建一個(gè)統(tǒng)一標(biāo)準(zhǔn)網(wǎng)絡(luò)信息安全體系。

　　將用戶權(quán)限分割，將用戶不常用或是對(duì)其信息保護(hù)有隱患的功能部分需轉(zhuǎn)為傳統(tǒng)的柜臺(tái)辦理，用戶可對(duì)其權(quán)限進(jìn)行縮減，提供用戶常用功能及其權(quán)限。

　　用戶認(rèn)證需多層次的，一般的安全層次認(rèn)證簡單快捷，高層次需提供較多有效憑證方可使用。

　　網(wǎng)絡(luò)模型要做到有效的內(nèi)外分離，對(duì)外網(wǎng)要設(shè)置多層安全防范，不能以單一的防火墻形式存在，應(yīng)具有動(dòng)態(tài)更新、行為分析、危害恢復(fù)等功能。對(duì)內(nèi)網(wǎng)必須將權(quán)限分割，無單一權(quán)限，在很多核心內(nèi)容上應(yīng)采用多人協(xié)同開啟權(quán)限功能，防止某一個(gè)體權(quán)限過大造成過多損失等。

　　客戶端應(yīng)該附加對(duì)客戶端安全的監(jiān)察，如發(fā)現(xiàn)客戶端存在隱患則盡到提醒義務(wù)，保護(hù)客戶信息安全。

　　三、結(jié)束語

　　安全建設(shè)的研究一定要考慮到多方面，找到多種技術(shù)和管理方法，而不能只局限到某一種策略。單一的安全技術(shù)和產(chǎn)品已滿足不了行業(yè)用戶保障網(wǎng)絡(luò)安全的需求，防火墻、隔離卡、防病毒技術(shù)、信息加密技術(shù)、入侵檢測技術(shù)、安全評(píng)估技術(shù)、等級(jí)管理體系、安全認(rèn)證技術(shù)、漏洞掃描等相互配合，構(gòu)成網(wǎng)絡(luò)安全整體解決方案，并能在穩(wěn)定性及協(xié)同性整體配合上加強(qiáng)。信息的安全建設(shè)如今不僅僅只是技術(shù)的問題，更需要管理與技術(shù)相融合而發(fā)揮作用的一項(xiàng)系統(tǒng)工程。當(dāng)然，不斷完善的規(guī)章制度、科學(xué)系統(tǒng)的管理以及高素質(zhì)、高執(zhí)行力的團(tuán)隊(duì)也是安全建設(shè)所必不可少的。

文章來源于《時(shí)代金融》雜志2012年第24期