罗世璇

（湖北财税职业学院，武汉 430064）

1 背 景

改革开放40 多年来，中国各领域的信息系统建设从无到有、从单一向多元发展，并从根本上改变了传统业务的处理方式，建立了以计算机和网络为基础的信息系统。随着信息化的深入发展，各行业对计算机信息系统高度依赖，信息系统的安全问题也变得日益突出，成为影响国家安全的重要因素。为化解和防范信息系统风险，保障社会经济安全、网络安全、信息安全，还需要做大量的工作，才能有效地保障信息系统的安全、稳定和持续运行。

从信息系统安全的民生关切度来看，较为集中体现在互联网金融方面，金融企业已向商业化方向发展，传统行业也已形成网络化和金融化发展的趋势，即金融提供以顾客为中心的金融产品和服务，已实现了数据集中，建立网络及提款终端，广泛提供网上银行服务，并配合商业化发展，为传统行业和电商平台提供金融服务。这一发展方向是以金融信息化和信息网络化为基础的，并以此发展先进的网络化金融机构模式，从而增强在国际金融行业中的竞争力，为传统行业发展注入活力。我国的信息系统虽已基本建立，但是国内在实施信息化建设的过程中还存在着不少的问题，应在符合我国国情的前提下，综合国内外先进技术和经验，弥补我国各行业信息系统的缺陷，从而保证信息系统的安全性和可靠性。

2 信息系统的作用机制

信息系统，是由计算机软件、计算机硬件、通信设备和网络、信息用户、信息资源和规章制度组成的以处理信息流为目的的人机一体化系统。主要有五个基本功能，即对信息的输入、存储、处理、输出和控制。信息系统经历了简单的数据处理信息系统、孤立的业务管理信息系统、集成的智能信息系统三个发展阶段。计算机的应用，是从最基础的数据处理开始的，然后发展到事务或业务处理系统阶段，接着是信息管理系统，现代计算机信息系统已从管理信息系统阶段发展到更强调支持高层领导决策的决策支持系统阶段。随着“互联网＋”模式的快速发展，信息系统的应用已经非常普遍，信息系统的安全性是当今社会密切关注的问题。

以第三方支付为开端的互联网金融，已经不断地发展壮大，形成信息化全覆盖的代表领域。所以金融机构、消费者、投资者和政府这四个主体，对互联网金融的迅猛发展既满心期盼，又心存疑虑。在中国，互联网金融除了互联网支付之外、还包括网络借贷、股权众筹融资、互联网基金销售、互联网保险、互联网信托和互联网消费金融等主要业态。然而，互联网金融不是新的金融，而是金融消费渠道的创新，是“互联网＋”与产业融合的体现之一。这种创新，为“大众创业，万众创新”提供了新的途径，形成了集约化便捷渠道，也加快了互联网与传统行业的再融合再创新，这种融合创新模式，常见于政务、商务、生产、教育、医疗等领域。

计算机网络技术与信息系统相结合，实现了金融信息化、教育信息化、政务信息化、医疗信息化、电子商务、无纸化办公、云技术应用、物联网应用等。现代化信息技术手段，有效提高了工作效率和生活质量，然而在信息化技术给我们带来便利的同时，信息系统的安全问题也逐渐暴露出来。信息安全是系统运行的保障，是信息系统运行的重要部分，信息流和资金流的流动过程，其优势体现在信息资源的充分共享和运作方式的高效率上，其安全的重要性不言而喻，一旦出现安全问题，所有工作便等于零。

3 信息安全的比较与价值研究

美国的互联网信息安全风险监管，是以法律为基础，多部门分工监管，强调监管与自律相结合，强化第三方管理，以准入门槛和信息透明度作为网络平台管理重点。重视应对云计算面临的特殊风险，美国国家标准技术研究所的云计算安全工作组，于2011 年1 月宣布成立，开发出具有权威性的“云安全服务体系架构”，识别云安全面临威胁，并对威胁进行相应分类，为相关机构提供技术支持。欧盟传统金融机构与网络金融机构受同等法律法规监管，并将第三方支付纳入了电子货币体系，以便于监管。

在中国，无论是衣食住行还是投资理财，信息系统都已渗透到人们生活中的每个角落，以覆盖广、发展快、成本低、效率高等特点，深深地影响甚至改变着人们的生活方式。在“互联网＋”井喷式发展之下，信息系统产生的意义是积极的，但发展速度过快，必定会暴露出一些问题，如果漠视问题，尤其是信息系统安全问题，有可能会引发不可收拾的后果。

国家信息中心信息化研究部主任张新红曾指出，2020 年前后中国的信息社会指数会达到0.6%，即到2020 年中国将整体上进入信息社会的第一发展阶段，那时最大的推动力除“互联网＋”之外，还有全面推进信息社会建设。在互联网与各领域深度融合及信息技术高速发展的背景下，“互联网＋”将走向全面融合，新业态发展也将面临各类安全障碍，各种信息系统安全问题更加突出，保障数据安全、资产安全、内容安全、行为安全便显得格外重要。

4 信息系统内部的风险防范对策

（1）加强涉及信息安全的行业内部管理，对信息系统相关工作人员进行职业道德教育，建立严格的业务操作规程，禁止使用相关计算机设备和系统，进行与业务无关的操作，减少人为形成的安全漏洞。另外，作为网络管理员也需要对管理信息做好保密工作，保管好管理员账户，按照业务流程规范操作。

（2）提高系统的硬件配置，强化尖端技术研究。在硬件设备的配置及研发方面，全面建设高标准信息系统，鼓励自主研发核心技术设备并加大投入，加快缩小与发达国家之间的差距，强化硬件设备性能，提高安全防御能力。

（3）在软件方面，定期彻底清除系统存在的安全隐患，研究制定安全技术标准和技术规范，自主研发具有较强稳定性和兼容性的系统软件，逐步摆脱技术依赖，建立稳定可靠的信息系统安全应用平台。对于计算机系统本身的漏洞，需要对其及时安装软件补丁，做好相应的防范措施。

（4）应着重鼓励自主开发研制我国的电子技术产品，在网络化进程中掌握主动权。大力发展安全可靠、技术达标、性能一流的国产硬件设备，从根本上解决计算机及网络设备对国外硬件生产厂商的依赖。

5 信息系统外部网络的风险防范对策

我们要大力开发关键性技术，运用多重防护手段，保障金融信息系统的网络安全。更好地运用加密技术、防火墙技术、访问控制技术、密码安全技术等重要技术，在信息系统中发挥应有的作用。免疫墙和防火墙是确保网络不会受到破坏与入侵的保护装置，然而这二者在应用的过程当中所起到的作用却有所不同。对于信息安全来讲，免疫墙与防火墙要各尽其责，是缺一不可的防患措施。

5.1 免疫墙

免疫墙是管理内网时应用的，比如卡滞、掉线等一些相关问题，免疫墙主要是由终端、网关、服务器以及免疫协议组成，用于内部的攻击保护和防御，防火墙、防毒墙、杀毒软件等都无法制止网络协议病毒的攻击。

5.2 防火墙

防火墙的应用主要就是在内网与外网之间，或者是公网与专网之间，在边界上对其构建一个屏障，从而确保其内部网不会受到非法入侵。通过安装防火墙，实现下列安全目标：

（1）利用防火墙将内部网络、Internet 外部网络、DMZ 服务区、安全监控与备份中心进行有效隔离，避免与外部网络直接通信。

（2）利用防火墙建立网络各终端和服务器的安全保护措施，保证系统安全。

（3）利用防火墙对来自外网的服务请求进行控制，使非法访问在到达主机前被拒绝。

（4）利用防火墙使用IP 与MAC 地址绑定功能，强化终端用户的访问认证，在不影响用户正常访问的情况下将用户访问权限控制在最低限度内。

（5）利用防火墙全面监控对服务器的访问，及时发现和阻止非法操作。

（6）利用防火墙及服务器上的审计记录，形成了一个完善的审计体系，建立了第二条防线。

（7）根据需要设置流量控制规则，实现网络流量控制，设置基于时间段的访问控制。

5.3 系统访问控制

访问控制是对进入系统的控制，如经常在工作站或终端上所使用的Logon（Login）User ID、Password 等。该技术的作用，是对需要访问系统及数据的用户，进行识别和查验，判断其身份是否合法，防止未授权的非法访问。

6 创新防护思路和密码输入方式

如今，许多网络犯罪的最终目的就是盗取他人的账号、密码，来获取非法利益，保证密码的安全也就显得非常重要了。密码输入环节是盗取密码的重要阶段，所以控制好密码输入环节就可以大大提高防护水平。密码盗取主要是通过电脑键盘的输入，自动按输入顺序记录所输入的密码，从而按要求发送到指定邮箱或其他地址来盗取他人密码。本文提出的随机密码输入系统，创新了防护思路与密码输入方式，可起到有效的防护作用。

随机密码输入系统不是指单纯的输入系统出现的随机密码，而是结合原密码本身，通过系统的随机要求连续输入密码的多位数字或字母。因要求输入的密码个数小于原密码个数，不能通过简单的试错方式还原，以防黑客打乱顺序也能试出原密码，增加了输入方式的可靠度。

随机密码输入系统的举例说明：如利用网上银行实现网上支付，原密码为ABC123，密码为数字和字母的组合共六位。在输入密码时，系统自动弹出对话，要求输入密码的第三、六、四、二、五位，这时按要求输入随机密码，于是输入C31B2。在下一次交易中要输入密码时，系统自动弹出对话，要求输入密码的第一、五、三、六、二位，这时按要求输入随机密码，于是输入A2C3B。

这种情况下，只有本人才能正确输入，因打乱了密码顺序，即使电脑自动记录了所输入的密码也只是把第一次输入的随机密码C31B2 和第二次输入的随机密码A2C3B 当作了原密码，又因输入的密码个数与原密码个数不同，所以无法以打乱密码顺序的方法试图还原密码，所以真正的原密码ABC123 不易被盗取。

7 强化国家金融安全意识及健全相关法律法规

7.1 强化国家网络安全意识

信息安全事件大多为利益集团为达到某种目的而发起的网络攻击，往往是向指定的目标发起特定的网络攻击，具有极强的针对性。攻击控制系统的病毒和黑客异常熟悉控制系统的网络情况，攻击方法独特导致无法及时发现，具有极强的隐蔽性，可以长时间隐藏于各类控制系统中。电力、能源、金融等系统如果遭到破坏，轻则造成经济损失，重则会造成人身伤亡，甚至会影响地区和国家的安定，乃至国家战略和重大计划的执行。所以，无论是国家层面还是各行业从业人员，都应逐步强化网络安全建设，加强全民网络安全意识和隐患防范意识。

7.2 健全相关法律法规

近年来，我国对互联网犯罪问题十分重视，并初步建立了计算机系统安全保护方面的法律体系，相继出台中华人民共和国网络安全法、工业控制系统信息安全防护指南、信息安全等级保护基本要求、工业控制系统评估规范以及一些其他行业规范等。

应当注意的是，计算机网络犯罪是一种高技术、隐蔽型、智能型犯罪，通常是以非实体的电磁信息形态出现，所以不易被人察觉，也不容易留下确凿的人证和物证。随着“互联网＋”的进一步发展，新问题、新情况必然会接连不断，只有能针对现有问题做到有法可依，增加违法犯罪行为的成本，才能为有效惩治网络违法犯罪，为信息系统安全提供坚实的法律依据和保障。可针对现有问题，对互联网与行业发展做出预判，借鉴先进国家的经验，不断完善相关法律法规，以规范信息系统和网络参与者的行为。

8 总结

在信息化进程中，我国必须将计算机系统及信息系统的安全体系建设放在首要地位，尤其是对计算机系统的核心技术进行提升，对相关设备的安全防御能力进行强化。信息系统安全防范的关键在于，提高信息系统硬件和软件的严密性和先进性，创新应对方法，加强内部管理，从根本上建成风险可控、规范运营的现代信息系统体系。另外，还需重视来自网络的风险和危害，保障信息系统安全，使信息系统运行正常稳定。