金融行业信息安全研究
2012-01-27柳辉
柳 辉
哈尔滨金融学院,黑龙江 哈尔滨 150030
前言
金融业的有序发展,绝对离不开信息安全的可靠保证。近几年的国际金融危机,使得金融系统的潜在风险控制和有效的安全监管得到的高度的重视。因此,金融业在依赖程度上对信息技术的青睐越来越高,对于信息安全来说,保障金融业信息安全的难度也在增大。
1 存在的问题
2005年六月十八日,美国爆发了有史以来最严重的信息安全事件,多家当地大型企业包括美国运通公司和VISA在内,服务商的网络数据处理中心均被黑客的恶意程序侵入并截获了其中4000万多个客户资金的相关信息。而这样的信息盗窃案件在我国银行、证券和金融机构也时有发生。
2 问题的原因
2.1 核心技术与生产设备落后且存在安全隐患,缺乏独立自主创新意识,过分依赖国外
当今我国大部分金融业的信息和网络管理所使用的信息技术,普遍的存在安全漏洞与安全隐患。大部分是开发者在研发过程中或疏忽或无力解决的难题。而正是这些疏忽和漏洞,才使得网络黑客有机可乘,从而进一步对内部深层信息修改或破坏。另一方面,我国金融业所使用的网络信息系统和设备,大部分是国外研发与生产的,包括相关芯片和数据库等重要环节,而国外研发机构是断不会提供我们先进的生产技术与设备,这就是我国金融业在信息网络系统方面落后的原因。
2.2 数据集中度与风险集中度成正比
在我国金融业信息系统和网络的管理中,往往会希望得到数据大集中的现象以方便管理,但随之也带来了管理的风险。因为所有数据都由当前系统维系与存储,一旦系统崩溃或发生灾难,其下设的所有分支机构、业务办理处及营业中的网点也将随着大量重要数据的丢失,造成瘫痪。典型事件就是日本花旗银行在2006年,因在交易中出现系统故障,导致二十七万多元公共事业缴费被重复扣划,造成该行当月月结记录混乱,更蒙受了巨大的声誉损失。
2.3 薄弱的灾难处理能力
2009年,人民银行调查了我国21家商业银行的灾备中心建设情况,结果令人惊讶,当中只有3家银行建立了既有本地处理又含异地处理的灾难准备中心,有3家竟没有任何灾难准备中心做信息安全保障。由此可见我国金融行业在信息安全方面所产生的可能性灾难,其处理及应变能力有多么的薄弱。
3 解决方法
3.1 技术方面
技术领域的信息化安全可以细分为传统技术和新技术。而传统技术又可细分为数据安全技术、信息隐藏技术、数据发现技术、网络安全检测与监控技术、网络及系统防护技术、系统安全检测与监控技术、安全管理平台技术、病毒代码检测与消除技术、蓄意代码检测与消除技术、身份认证技术、业务连续性技术。另一方面,可信计算平台技术、可信网络平台和可信应用平台技术、多代理技术、数字标签技术、无第三方认证与行为可信认证技术、监管信息化和信息化监管技术、网络对抗技术、多代理计算网格技术等技术为新技术。
3.2 管理方面
面对我国金融行业的信息安全现状,有必要加强金融服务的专业指导和其相关行业的监管。带动每一个成员参与安全体系的创建,对引入的新型信息管理技术也要进行风险的防护与监测。久而久之,才能在金融信息安全的道路上走出独立、自主、创新的特点。我们可以通过发展、创新原有业务来提高金融信息的安全性。当今许多先进的技术,像云技术、3G和因特网、SOA,都可以在一定程度上推动各金融行业业务的增长。同时需要注意的是,大量先进技术在带来管理便宜的同时也带来了相应的风险。谨慎对待风险的同时我们更应采取积极的态度谨慎对待应对方式。
现如今,数据成为企业管理的重要工具,其安全的重要性日益显露,而网络黑客主要攻击和窃取企业的核心重要数据,在日益猖獗的网络攻击的威胁下,作为经营多项网银及网上数据业务的各银行来说,网银潜在的风险,更加值得赢得高度重视和严格监控。银行应积极主动建立健全信息风险防控的相关安全措施与信息保障,在源头做好监管及防护工作。
4 金融单位可实施的措施
4.1 加密算法
数据在传输中时常会遇到诸如截取、中断、篡改和伪造这四种威胁,这大大降低了相关数据信息的完整性,更关乎信息安全的可用性和保密性。因此,针对上述状况,数据加密技术便应运而生。这项技术有效的对付了信息窃取的威胁,优秀而成功的加密技术可以隐藏使用者的身份,从而可以避免信息在传输中的中断或截取,只要核对预先设定成功的验证信息就可以校验信息和数据在运营过程中有没有被篡改和伪造。
4.2 数字水印技术
数字水印技术在我们日常应用中,最简单的例子便是我们在辨别人民币真伪时,将人民币置于光下,会发现真的纸币中有清晰的图像信息显示出来。数字水印技术有其特有的性质,用肉眼几乎不可能看到,必须将水印必须放置于特定环境下才能被看到,水印的制作和复制方法比较复杂,需要及其特殊的工艺材料才能使得印刷品上的水印很难被去掉。正是由于这些特性,水印便被广泛应用于支票、证书、护照、发票等印刷品领域,印刷品是否包含水印是现如今判定真伪的一个重要手段。
有了水印技术为例,人们将同样的原理运用到数字图像和数字音乐的领域,便产生了“数字水印”的概念和技术数字水印技术的内涵为向多媒体数据中添加必要的数字信息,其内容就像要添加摄制者的信息到数码相片中,或将电影公司的信息添加到在数字影碟中。类似于普通的水印技术,数字水印在各种多媒体数据中比如数码相片中也几乎是肉眼所看不见的,因其独特的特性也不容易被破坏掉。种种数字水印技术的优点与可行性使得它在当今的信息时代尤为受到管理者的青睐。
4.3 入侵检测
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现:监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
5 结语
保障信息的安全度与可靠度是一个精细且严密的系统工程,它不只要求经营者和管理者对其重视,还需要决策层、管理层、技术层等相关环节的密切配合。结合着技术层面和管理层面,建立健全信息资源的安全制度,加强信息安全意识的教育和培训,增强信息在使用和管理过程中的自我保护意识,采取创新、严密的防范措施结合完善的安全管理机制。在信息高度集中的基础上将风险集中度降到最低。金融业的信息、资源和数据的安全关系着我国经济的稳定繁荣,因此金融行业应认真贯彻落实国家信息安全的工作要求,加快建立完备的安全防护体系,积极应对挑战。
[1]李改成.金融信息安全工程.机械工业出版社, 2010年
[2]方德英,黄飞鸣.金融业信息化战略——理论与实践.电子工业出版社,2009年
[3]丁育生,郑妮妮.国际金融业务.对外经济贸易大学出版社,2009年
[4]张洪金.金融业财税实务与管理一本通.哈尔滨出版社,2010年
[5]周继军等.网络与信息安全基础.清华大学出版社,2008年