杨远 崔朝 陈涛

【摘要】当前面对日益严峻的安全国际形势，金融行业作为中国的主要发展基础产业也正面临着严峻的安全挑战。另一方面，金融机构企业基础配套设施的全面化及数字化转型升级等也带来了新的安全管理问题。[1]我国金融机构如何有效应对新信息时代的安全管理挑战，如何有效保护我国金融机构重要业务信息的安全？本报告将通过案例分析金融信息安全在我国金融机构企业的应用概念、现存问题、相关建议等，对金融企业应当如何面对严峻挑战提供了一些对策。

【关键词】金融企业、信息安全管理

1、金融企业信息安全管理相关概念

1.1、金融企业信息安全管理的定义

近年来，金融企业的业务规模和种类迅速增长，信息技术在商业银行各项业务中的应用越来越广泛。[2]信息安全管理技术在促进商业银行提高效率、提高服务水平、扩大业务范围、优化组织结构等方面发挥着不可替代的作用。《新巴塞尔资本协议》将商业信息系统技术安全风险明确进行界定已成为金融操作系统风险管理防控的一个重点。如何不断调整和完善优化商业信息安全风险管理体系架构和规范业务流程，以不断提高信息安全管理的风险管控防范管理能力，是现代金融企业当前面临的主要技术挑战。

1.2、金融企业信息安全管理的目标

金融服务企业必须正确使用各种技术性的网络安全措施，如安全防火墙、入侵软件检测、反勒索病毒等网络安全措施，以迅速有效消除干扰无线网络的各种安全事件，以防止各种网络病毒感染等恶性事件。

2、金融企业信息安全管理存在的问题

2.1、金融企业信息安全管理的现状

金融企业信息安全面临两大突出问题。[3]首先，金融信息科技产品创新的技术发展推进速度非常有限，科技上的创新与我国底层金融体系难以完美相互匹配。其次，国外金融产品的技术垄断行为使得我国金融机构企业内部信息安全风险管理的费用成本相对较高且持续安全管理更加困难。

2.2、信息安全管理形式单一

金融机构企业对单一信息安全财务管理软件的安全需求量虽然在不断扩大增加，但仅单一信息安全软件产品是否一定能真正滿足整个金融机构的安全需求仍然存在重大技术问题。[4]

针对金融企业信息安全管理形式单一的问题，本报告提出以下几种防范阶段：

一、初级保护：

初级安全保护应该是组织信息安全生产管理二级保护的最低一个级别。初级安全保护的三个基本特征主要是：缺乏初级安全控制，缺乏安全风险管理控制能力，缺乏安全保护工作管理功能。

二、基础防范：

基础准备是信息安全管理保护的第二级。基础防范的基本特征是：安全管控比较分散、风险管理基础较低、安全工作无序、安全事件反应迟钝、难以应对监管检查。

三、体系化控制：

体系化安全控制也就是安全属于发展到了第三个成熟的安全阶段。体系化控制的基本特征是：建立安全监控系统，建立了一套机制、风险管理、标准化和劳动安全秩序，建立应急能力，并符合安全合规要求。

四、主动性防御：

主动性防御即第四成熟的阶段。主动防御水平的基本特征是：初步安全控制、预防和控制先进的威胁，安全性能的定量评估、监测和预警、安全事件的实时数据和控制的基础。

五、进攻性防御：

进攻成熟度最高水平的安全与防务。进攻性安全防御的三个基本特征是：对于安全控制主动实现智能化，安全技术对抗防御能力主动实现智能化，安全技术价值的有效整合利用，对于潜在安全风险的有效预警，促进网络金融企业健康有序发展。

目前，绝大多数企业安全正处于第三层级阶段，基本完全符合国家信息网络安全监管制度要求， 遇到问题时有望及时解决。下一步将专注于如何建立主动安全防御，以提高安全性。[5]

3、完善金融企业信息安全管理的建议

一、建立较为完善的网络信息安全监督管理制度：

要想有效预防和控制信息安全管理技术风险，首先要建立完善的信息技术安全管理体系，约束职员的行为，明确职员的责任，引导职员的思想。[6]同时，应积极监测信息系统，及时发现新问题。

二、构建全面的网络信息安全风险管理体系风险评估监测和安全保障体系：

信息系统的健康是系统在整个生命周期内安全性能的关键因素，并与生产安全密切相关。因此，企业应在做好开发及处理应用系统繁琐的服务同时，应认真做好应用系统的前期开发、测试维护工作，建立一个全面的信息技术风险监控和保障体系。

三、鼓励信息安全管理防范技术创新型研究：

对于大型金融系统企业进行信息安全风险管理利用技术抵御风险，加强利用创新技术和研发装备有利于提高系统的自我保护抵御技术风险的管理能力。目前，一些大型金融系统企业通过金融创新技术研究，大大提高了企业信息安全风险管理技术系统的风险防范能力。

结语：

随着中国手机移动客户端和中国互联网、云计算等金融信息网络技术的不断飞速发展，金融机构的内部金融商业信息管理体系环境越来越复杂，内部金融信息管理系统与外部金融信息系统空间的商业管理体系界限也越来越模糊。与此同时，网络攻击者的各种不同攻击方式等也越来越丰富，攻击的电子文件涉及数量也在增加。

所以在新时代，金融企业除了过去的风险和威胁外，还面临着许多新的风险，特别是在数据和应用安全领域。这些新的威胁与金融情景密切相关，值得我们关注。

参考文献：

[1]井鹏程，王真.计算机网络安全现状和防御技术分析[J].网络安全技术与应 用， 017（03） ：60-61.

[2]朱骏.基于网络安全的计算机网络技术现状及发展研究[J].信息系统工 程， 017（03）：70-71.

[3]王剑.关于网络安全技术的现状分析及发展趋势探讨[J].数字通信世 界， 016（05） ：3 -33.

[4]艾戬.企业信息化建设中的信息安全探究[J].网络安全技术与应 用， 015（3） ：100-101.

[5]吴捷.企业信息化建设中信息安全问题的研究[J].通讯世界， 016（1） ： 47- 48 【6】肖锟.浅议网络环境下的企业信息安全管理[J].标准科学， 010（8） ： 0- 3.

[6]李慧.信息安全管理体系研究[D].西安电子科技大学， 014.