金融信息安全分析

金融信息安全分析（通用12篇）

金融信息安全分析 篇1

摘要：近年来, 随着全球信息化进程的推进, 我国金融信息化得到了巨大发展, 在信息技术成果广泛应用不断推动国民经济信息化进程的背景下, 金融信息化已经被列为国家重点支持的重大科技攻关项目。但是随着金融信息系统的日益发展, 其安全性越来越受到挑战。本文首先分析了金融信息所面临的安全问题, 接着阐述了金融信息安全建设的要点, 最后提出保障我国金融信息安全的几点措施。

关键词：金融信息化,信息技术,安全

我国的金融信息化已经走过20多个年头, 在数万金融科技工作人员的努力下取得了巨大的成就, 从无到有、从有到精、由点及面, 初步建成了成熟完整的金融信息体系。然而, 安全是金融信息系统的生命。在金融信息系统日益发展, 信息越来越向上集中, 规模越来越大, 金融业对它的依赖性不断增加的同时, 金融信息化系统安全的重要性也与日俱增。目前, 我国金融信息化已进入了体系化信息安全管理的阶段, 亟待建立一套金融信息安全保障体系。

1 金融信息面临的安全风险

金融行业的信息系统面临的安全风险, 主要体现在以下四个方面:

1.1 金融信息化的加速和信息网络化的

推进, 使得金融行业在国民经济中的地位进一步提高, 其他行业对金融的依赖性也进一步加强。但是越来越多的信息电子化, 使金融信息系统内部采集、存储、传输、处理的信息量越来越大, 信息的重要程度也越来越高。如何确保这些关系到国计民生的金融数据的安全采集、安全存储、安全传输和安全处理, 成为金融信息系统建设面临的重要挑战。

1.2 随着金融网上业务的拓展, 诸如信

用卡号失窃、电子欺骗等金融犯罪活动逐年增加。作为开展网上交易活动的基础设施———金融信息系统, 应该具备对此类活动的事前监控预警、事中保护反击、事后审计分析的能力。

1.3 金融信息化的加速, 必然会使金融信

息系统与国内外公共互联网进行互联, 那么, 来自公共互联网的各类攻击、病毒及入侵将对金融信息系统的可用性带来巨大威胁。

1.4 随着金融信息化的加速, 金融信息

系统的规模逐步扩大, 同时金融信息资产的数量也将急剧增加, 如何对这些大量的信息资产进行有效的管理, 使不同程度的信息资产都能得到不同级别的安全保护, 将是金融信息系统安全管理面临的巨大挑战。

2 金融信息安全建设的要点

目前, 金融业的计算机系统除应用于日常的门市业务外, 还兼有信息管理、决策支持等方面的功能。计算机网络系统和应用的规模与上个世纪相比, 有了质的飞跃, 特别是互联网的使用, 使得计算机系统的安全在整个信息系统的安全建设中, 具有举足轻重的地位。

2.1 金融业的业务系统和渠道建设。

该系统建设是信息系统建设最重要的组成部分。目前使用的渠道多种多样, 有网上、手机、柜台、自助设备、电话等, 每一个渠道所引申的系统都成为信息安全一个重要的分支。

2.2 计算机网络系统和设备。网络系统和网络设备, 是计算机系统的一个重要载体。

计算机网络在信息安全体系中, 扮演了重要角色。网络的安全取决于线路、网络设备及所有接入该网络的接点。目前在我国, 中国电信、中国联通等电信运营商, 作为金融业网络运行的承运商, 拥有良好的运营性, 金融业全面依赖他们所提供的网络连接, 在其网络连接介质上进行业务处理。但是, 也许正是因为这一点, 潜在着巨大的风险隐患。

2.3 金融行业使用的介质。

目前金融行业使用的介质有存折和卡, 卡有IC卡和磁卡。IC卡源于欧洲, 国内的IC卡使用理论经纬环境尚不完全具备, 因此使用更为广泛的是磁卡, 目前国内发行的贷记卡、借记卡多用磁卡。在磁卡的使用上, 客户的素质和使用手段, 也有可能影响信息系统的安全, 这一点在银行业中体会尤深。一些居心不良的人员, 利用银行业应用系统的漏洞, 不断挑起事端, 提取诉讼, 让银行蒙受损失。

2.4 金融业数据集中。

近几年来, 金融业的数据集中已呈越来越大越快的发展趋势, 而数据集中所带来的信息安全风险和隐患也随之增加。产生了以下两个问题:

2.4.1 灾难备份问题。

如何确保系统在发生故障时, 能够有有效的、安全的应急手段, 为从业人员所关注。一方面要有良好的应用手段, 对故障进行有效的处理;另一方面, 当设备和网络出现故障时, 能在最短的时间内进行最有效的恢复, 这一点, 又必须对客户是透明的。这样的处理方式, 能够为广大客户所接受, 但实施起来并非易事。

2.4.2 风险集中问题。

数据集中后, 数据的安全完全集中到某一地, 加大了防范的难度。在物理安全防范上, 由于国内政局稳定, 最易被忽视。其实数据集中后, 信息安全过于集中而遭受攻击或破坏的可能性大大增加。

2.4.3 金融业从业人员的道德问题。

所有的信息系统建设都要依赖于人去进行, 据统计, 目前发生的危害信息系统安全的行为, 80%出自金融行业内部人员所为。经常有金融单位的柜员或技术开发人员, 以及某个部门的主管领导, 利用系统的漏洞, 肆无忌惮地窃取国家和客户的资金。这也是金融行业的信息安全最难于管理的部分。

2.4.4 相关法律法规的建设。

信息技术在国民生活中所起的作用已经越来越大, 规范人们的行为, 约束从业者的作为, 已经迫在眉睫。这些年来, 有关金融行业信息系统的相关案件的处理, 更多适用的是《中华人民共和国刑事诉讼法》的相关条款, 而对诸如知识产权、信息入侵、窃取资金, 乃至有意无意地破坏信息系统安全的各类行为的法律责任认定上, 尚比较模糊。

3 金融信息安全保障体系的构建

3.1 要进一步加强金融信息的保密工

作。随着信息技术的迅猛发展与广泛应用, 窃密手段更加隐蔽, 泄密的隐患增多, 泄密所造成的危害程度更大, 故保密工作面临许多新情况新问题。金融行业具备特有的高保密性, 对于各种涉及安全性信息的上传下达要求高。因此, 一要树立正确的保密意识。加入世贸组织“无密可保”、“有密难保”、“保密无用”的错误思想。二要抓好保密管理。三要抓好加密技术创新, 大力开发关键性技术, 使保障金融网络安全的密码技术、商用加密技术、身份鉴别技术、防火墙技术、攻击监测技术、病毒防御技术在网络银行上发挥应有的作用。

3.2 要建立和完善金融信息标准化体系。

金融信息标准化体系是带动我国金融IT技术与应用发展的关键, 是我国金融信息应用成熟发展的主要措施之一。对于我国来说, 目前要做的主要具体工作是, 要完善金融信息化标准体系总体规划, 确定我国金融信息标准体系的目标、任务、发展阶段策略和原则等, 全面规划银行通讯和网络技术设施建设, 区分银行面向社会服务、银行内部服务和中国银行监管的工作, 实施这些网络的业务分开, 提出统一业务平台体系, 提出银行信息认证技术框架和公共的必要设施。要建设我国自助的信息化标准体系, 必须与国际接轨, 同时我国金融信息化标准又必须维护国家主权和安全。

3.3 要大力培养金融信息化专业人才。

目前我国金融从业人员达到硕士以上学历的不足1%, 远远不能满足国内银行业的蓬勃发展。因此, 要培养具备以下方面的人才:一是金融经济与管理方面的基础知识;二是信息化方面的知识, 包括数据库知识;三是金融方面的业务知识, 如国际金融等。目前既懂“金融”又懂“IT”的复合型人才, 已是高端人才市场竞争的“焦点”, 而且在人才方面更重视的是“业务技能”导向而不是“理论”导向的学者。

参考文献

[1]张立洲.论金融信息化对金融业的影响, 财经问题研究, 2003 (3)

[2]李志彤.我国金融信息化现状与发展策略, 中外管理导报2002 (12)

[3]陈柳钦.安全:金融信息化的命脉, 中国科技投资, 2009 (2)

金融信息安全分析 篇2

为深入贯彻落实金融统计标准化和金融统计标准工作的指导意见，加强我公司贷款标准实施的工作，围绕金融统计标准化工作，将我公司金融统计标准管理纳入内控合规体系和战略规划，确立我公司金融统计标准化建设的目标，建立标准化工作管理制度，明确各职能部门的职权和责任，定期对本机构数据标准管理水平进行评估。

我公司成立了金融机构统计标准化工作落实小组，风险管理部门负责金融统计标准落实工作的组织、协调和管理工作，建立机制和流程，协调和督促其他相关业务部门，共同做好标准化落实工作。

二、制定金融统计标准化制度

我公司结合自身情况，在人民银行标准的基础上，进一步细化和完善，形成我公司的标准，并作为我公司的强制性标准。

（一）统计标准制度

我公司统计工作严格按照人行统计标准，逐步推进信息整合，强化对各类风险的有效监测和评估，提高我公司的经营管理水平。小贷公司贷款的行业分类标准，根据《国民经济行业分类》标准采用经济活动的同质性原则划分国民经济行业。即每一个行业类别按照同一种经济活动的性质划分，而不是依据编制、会计制度或部门管理等划分。

小贷公司贷款企业划分标准，根据人民银行下发的《中小企业划型标准规定》制定以下要求，并结合我公司实际，认真遵照执行。

中小企业划分为中型、小型、微型三种类型，具体标准根据企业从业人员、营业收入、资产总额等指标，结合行业特点制定。

适用的行业包括：农、林、牧、渔业，工业（包括采矿业，制造业，电力、热力、燃气及水生产和供应业），建筑业，批发业，零售业，交通运输业（不含铁路运输业），仓储业，邮政业，住宿业，餐饮业，信息传输业（包括电信、互联网和相关服务），软件和信息技术服务业，房地产开发经营，物业管理，租赁和商务服务业，其他未列明行业（包括科学研究和技术服务业，水利、环境和公共设施管理业，居民服务、修理和其他服务业，社会工作，文化、体育和娱乐业等）。

企业类型的划分以统计部门的统计数据为依据。

（二）会计制度

我公司建立健全统一法人制度，自主经营、自担风险、自负盈亏、自我约束。实行“统一管理、分类授权、集中核算、综合考评”的财务管理体制。

统一管理：由我公司统一对股东负责，统一制定全行财务制度、财务计划，统一配置财务资源，统一对外披露财务信息，统一对分支机构和部门下达综合经营计划。集中核算：我公司在其财务管理权限内，财务核算实行同城范围的集中管理，在分行设立财务核算中心，并根据内控管理和业务量需要，配备财务核算人员。在同城对其经营范围内的经济活动实行相对单独核算，客观反映其财务成果，正确实施财务监督。

综合考评：我公司以价值提升为中心，对经营管理绩效进行全面评价。

我公司财务管理的目标：建立健全激励约束机制，科学合理配置财务资源，加强财务监督，防范和化解财务风险，实现银行价值最大化。

本行财务管理的原则：

（一）坚持经济核算原则，以效益、质量为中心，优化资源配置，兼顾长期战略目标与中短期目标、全局利益与局部利益，努力增加收入，降低经营成本，稳步推进我公司业务的战略转型，促进业务持续健康发展。

（二）坚持科学管理原则。逐步运用管理会计方法，推进以价值提升为核心的财务管理精细化进程，辅助经营决策。

（三）坚持审慎管理原则。真实记录并全面反映各项财务活动，建立健全财务的内部控制，改善经营管理，提高经济效益。

（四）坚持依法办事原则，遵守各项财税法规和财经纪律，按章办事。

财务管理的基本方法包括规划、预测、计划、预算、控制、监督、考核、评价和分析等。我公司推行全面预算管理，以财务核算精细化为基础，运用平衡记分卡方法确保各项战略目标的实现。

逐步建立“垂直管理、双线报告、运行高效、信息透明”的财务主管委派制。通过委派财务主管，协助各分支机构行使各项财务管理职能，健全各项规章制度，提高财务管理专业化水平，充分发挥财务主管在强化财务管理和财务监督中的职能作用。

为有效防范和化解财务风险，应将财务风险防范关口前移，建立健全全方位、多层次的风险控制体系。

（三）授信管理制度

实行“授权管理、审贷分离、分级审批”制度。在办理授信业务过程中，将调查、审查、审批、经营管理等环节的工作职责分解，分为调查岗、审查人、贷审委、审批人，实现其相互制约和支持。

（四）信息系统标准

我公司建立了一整套信息系统软件，实现了信息系统标准化，规范化。有效降低统计成本，为各部门数据交换，信息共享创造了条件。为保障贷款标准化奠定了基础。

我公司为保障贷款安全性建立了个人信贷管理系统，公司信贷管理系统，实现了贷款流程化，标准化。个人信贷管理系统，公司信贷管理系统对数据的控制实现了贷款标准化。

三、具体工作计划

（一）应用阶段。

将我公司现有的统计制度根据人民银行金融统计标准和我公司实际工作情况不断修订完善，将金融统计标准化切实应用到我行工作中去，严格执行，合规经营。

（二）明确职责分工。

我公司各相关业务部门具体职责和分工明确，分解落实。

（三）加强学习培训。

我公司根据人民银行部署，制定培训规划，对统计人员和相关业务岗位人员开展金融统计标准培训。

（四）稳步贯彻实施。

针对经营管理和数据披露中的缺失信息和标准不一致的地方，按照标准进行补充和整改。

（五）定期进行自查。

金融信息安全分析 篇3

个人金融信息安全危机四伏

事实证明，保护个人金融信息安全，仅靠宣传教育、道德约束、技术防范、自我保护等是远远不够的，更需要法律层面的支持，以对侵害个人金融信息安全的违法犯罪分子严厉惩处，和对其有不良动机的人加以震慑，避免和减少类似案件的发生，使个人金融信息安全得到有效保障。但就目前我国关于个人金融信息保护的法律制度的建设来看，还存在着许多不尽人意的地方。

例如对信息主体享有权利的认识不够到位、缺少对个人金融信息保护的专门法律、个人金融信息保护立法层级较低、个人金融信息保护的侧重点存在位移现象、对保护个人金融信息的力度欠缺、未能形成对个人金融信息的有效保护等。由于缺乏个人金融信息保护方面的法律法规，导致当个人金融信息遭受非法侵犯后，多数获得的仅仅是停止侵害、消除影响等名誉补偿方式，经济和精神赔偿请求基本得不到司法部门支持。尤其是因个人金融信息泄露导致诈骗、资金被窃以及众多垃圾信息滋扰等，除犯罪分子承担刑事责任以外，民事主体难以获得经济赔偿。

如今，我们已经进入了信息社会，尤其是随着互联网的迅猛发展和被广泛运用，信息的传播与获取等更加便捷，而信息的泄漏与被盗取等也更加多发，从近几年的司法实践中可以发现，有不少的的侵犯个人信息案件缘起互联网。2014年8月8日，备受境内外关注的汉弗莱、虞英曾非法获取公民个人信息罪一案一审在上海市第一中级人民法院公开开庭审理。起诉书指控，2009年4月至2013年7月，被告人汉弗莱和其妻子虞英曾利用在上海注册成立的摄连公司，接受境内外客户委托，对多家公司或个人进行“背景调查”。两名被告人按每条人民币800元至2000元不等的价格，先后向周某某、刘某和蔡某某（均另案处理）购买公民的户籍、出入境记录、通话记录等信息资料累计达256条，并在制作“调查报告”后卖给委托客户。

除了非法向他人购买，还有五花八门的非法手段——在代号为“黑刺李”、“丑角”、“鹅”的一个个调查项目中，他们或使用跟踪、监控等手段，或冒充公司员工、客户、投资者甚至快递员的身份秘密走访、偷拍。汉弗莱、虞英曾的供述也显示，其客户主要为在华大型跨国公司，包括制造业企业、金融机构及其他机构，涉及美国、德国、英国、法国、瑞士、日本等16个国家。被告人汉弗莱、虞英曾因非法获取公民个人信息罪，分别被判处有期徒刑2年6个月并处罚金人民币20万元及驱逐出境、有期徒刑2年并处罚金人民币15万元。这是中国审理的首起在华外国人非法获取公民个人信息案件，也是首次对庭审进行微博直播的在华外国人犯罪案件。

个人金融信息需全方位保护

当下，因为移动商务类应用与消费者的关系更加紧密，手机游戏以及互联网理财也成为表现抢眼的网络应用，在这种新形势下，保护个人金融信息安全，法律不但不能缺位，更需要加强。针对我国在个人金融信息安全方面所存在的问题，应当尽快建立健全个人金融信息的法律保护体系，出台保护个人金融信息的专门法律，以完整的内容、完善的形式、完备的措施对个人金融信息实行全方位保护。

提升个人信息法律地位。要明确规定个人信息安全权利是个人独立于隐私权的一项基本权利受到法律保护，以平衡各方当事人权利义务，提升社会各界对个人金融信息保护的重视程度;要明确个人金融信息的内涵与范围，即银行等金融机构为了开展和结算业务、防范和监控风险，向个人、国家机关和企事业单位等获取的与个人存在直接联系的个人信息以及衍生信息。

保障信息主体享有权利。信息主体至少应包括以下权利：知情权、选择权、访问权、异议权、索赔权。个人金融信息受害人有提起相关调查程序的权利，只要符合法定条件，受害人有权要求启动相关调查程序，申请个人金融信息保护，要求侵权者停止侵权活动，销毁非法占有的个人金融信息并交代其来源，进行自查并承担相应责任，以求在源头上避免个人金融信息的外泄;当个人金融信息跨境转移时，只有当第三国确实能够提供充分保护的情况下，管理个人金融信息的金融机构才可以向其转移相应的个人金融信息，若第三国无法提供相应的充分保护，则只有在获得信息主体的明确同意，为履行信息主体与信息管理者之间的契约义务或者基于公共利益的特殊需要等法定情况下才可以转移相应个人金融信息;同时，鉴于金融机构的强势地位和双方信息的严重不对称，应当适当降低个人提起相关诉讼的法定条件并将主要举证责任转移给金融企业，即在涉及个人金融信息纠纷案件的司法裁决中，当客户遭到损失且无法证明损害是由银行等金融机构泄露客户个人金融信息导致的情况下，银行方面需要承担相应的举证责任。

金融机构必须尽其责任。信息主体享有的权利，从另一方面来说，就是金融机构应尽的责任和义务。金融企业与客户间发生业务，凡涉及到个人信息的，须双方签订保密合同，以“默示条款”的形式确立金融企业的保密义务与泄密违约赔偿责任;当金融企业需要将客户的信息披露给第三方时，必须征得客户的同意，否则即是违约;另外，鉴于个人金融信息受到的侵害多属民事性质，当侵权者应当承担的民事赔偿责任时，所做出的相关规定要更具针对性，更精准细致，更具操作性。

金融信息安全分析 篇4

(一) 信息安全工作的总体方针和安全策略较为模糊

地方性金融机构制定的“十二五”规划中对信息安全工作的总体方针和安全策略不够明晰, 中长期规划缺少对总体信息安全发展方向上的把握, 特别是没有结合金融机构自身实际情况制定相应的信息安全发展战略和规划。同时, 一些金融机构虽然制定了相关方针和策略, 但也缺少具体的实施计划和步骤。

(二) 信息安全机制有待进一步健全

地方性金融机构设立了信息科技管理委员会, 但在审核和检查中没有制定安全审核和与其配套的检查制度, 一些制度过于零散, 没有及时修订和补充完善, 安全管理制度没有进行版本控制, 大多数金融机构没有组织相关人员对制定的安全管理制度进行论证和审定。

同时, 金融机构内部信息安全检查没有对安全措施的有效性进行检验, 缺乏整改落实文档, 一般为零散检查, 有些虽然开展了相关检查, 但检查内容没有包括系统漏洞和现有安全技术措施的有效性检查。

(三) 核心业务系统和网银运营过于依赖托管商或第三方机构

地方性金融机构核心业务系统的实时性、服务对象、连接互联网符合基本要求规范, 但地方性金融机构的综合业务系统建设通常是委托第三方提供核心业务系统及相应的外围子系统的技术服务。由于采用了托管方式, 大型业务需求或有新的业务拓展, 都将受到托管商的约束, 难以快速响应。金融机构虽然有外包供应商的资质证明、评估报告, 但在信息安全方面仍然是心中无底、控制乏术。

(四) 综合业务系统对国内厂商的高度依赖, 设备和软件依赖度则各有侧重

除少数金融机构能够全面独立完成综合业务系统的开发和自主设计外, 大多数地方性金融机构需要委托国内厂商开发相关业务系统, 对国内厂商依赖度逐年递增。核心设备中, 中、小型服务器IBM品牌占据绝对地位, 路由器、交换机等网络产品, 国内、国外品牌各占半壁江山;防火墙等安全产品依然还有不少国外品牌产品, 但比例呈逐年下降趋势。操作系统和数据库国外品牌依然是主流, 对国外产品的依赖程度依旧明显。

(五) 应急处置工作还有待进一步加强, 演练多流于形式或应付检查

地方性金融机构虽然建立了不同系统的应急预案, 但未对系统相关人员进行应急预案系统性培训, 未建立应急预案审查制度, 未随着信息系统的变更定期对原有的应急预案进行重新评估, 以及根据安全评估结果, 定期修订完善重要系统等的应急预案, 少数应急预案成为一个一成不变的假预案。一些金融机构虽然有明确的应急灾备处置机制和方案, 并每年根据安排对系统进行演练, 但未确定演练周期, 演练计划、规模, 组织和实战操作水平参差不齐, 尤其缺少对应急演练工作开展的主动性。

二、地方性金融机构信息安全

(一) 人民银行对金融机构的业务指导、信息安全监督管理需要进一步加强

1. 人民银行应建立和健全金融业信息安全协调机制以及重点时期的信息安全工作机制, 特别是对地方性金融机构信息安全的准入严格把关, 建立信息资产风险评估体系, 提高信息安全水平, 确保金融业务稳定开展。

2. 人民银行需要充分发挥金融业信息安全领导小组的作用, 并建立和完善信息安全通报制度、报告制度和联席会议制度, 建立健全一个运转灵活、反应灵敏的信息安全应急处理协调机制, 随时处理和协调金融机构安全事件, 以迅速应对突发事件的发生, 降低或消除金融机构网络和主要信息系统因出现重大事件造成的损失。

3. 应加强对地方性金融机构的服务指导, 尤其是在核心业务系统建设、技术防护与安全技术检测、应急处置、容灾备份和信息安全管理方面给予具体指导, 通过现场指导、经验交流等方式, 从防范和化解地方性金融机构风险的高度, 努力提高地方性金融机构对信息安全的风险防范意识, 帮助地方性金融机构借鉴成功经验, 规避风险, 实现跨越式发展, 指导金融机构在业务拓展和信息安全建设做到统筹兼顾、平衡发展, 避免信息安全管理工作走弯路。

(二) 协调督促金融机构, 加强自主创新

近几年, 信息系统建设虽然已经从过去的高风险转变为中等风险, 但进一步降低风险等级还任重道远。对信息化建设水平还比较低的地方性金融机构, 要加大支持力度, 加强行业内部的交流合作。

针对目前地方性金融机构过于依赖第三方信息系统的开发、建设和运维外包的情况, 需要督促金融机构出台相应的制度和措施, 实行市场准入制度, 引进权威机构对外包服务商的产品的风险、安全、实用等进行综合性评估, 由此促进信息系统建设、信息安全评估和外包健康快速发展。

人民银行需要规范服务商的服务标准和流程, 使外包服务商能够提供强大的配套支持能力、灵活的外包服务方式, 成为金融机构快速发展的得力助手, 协调督促金融机构, 加强自主创新。

(三) 建立地方性金融机构的信息系统监测预警体系

金融机构在重要数据传输、存储安全防护措施已经逐步到位, 对重要数据传输通过加密机进行了数据加密, 对安全存储进行了加密保护。但是还需要进一步实施重要信息系统上线、升级、变更等事前报告制度, 每2年开展对自身重要业务系统的全面信息安全风险评估。在此基础上, 人民银行需要指导地方性金融机构开展灾备系统建设, 同时根据应急预案, 组织地方性金融机构开展应急处置演练, 通报地方性金融机构计算机信息系统的突出风险源, 阻止辖区内金融信息风险的扩散传播。

此外, 还需要指导地方性金融机构建立核心业务系统同城、异地备份中心, 督促地方性金融机构将信息系统灾备建设列入年度工作计划, 并认真组织实施, 全面建立应急处置机制, 完善应急处置体系。

(四) 定期组织开展对地方性金融机构的信息安全检查

1. 通过建立健全信息安全检查机制、定期组织信息安全非现场和现场检查, 促进金融机构做好系统加固工作, 依据人民银行发布的《金融行业信息系统信息安全等级保护实施指引》、《网上银行系统信息安全通用规范》等已确立的行业标准与制度, 定期开展信息安全检查工作, 确保信息安全保障工作落到实处。

2. 建立责任通报制度, 对检查中发现的违规行为, 按规定责成地方性金融机构处罚相关责任人, 对检查中发现的安全问题和隐患, 明确责任部门和责任人, 限期整改。

3. 在开展信息安全检查的同时, 综合运用检测工具, 明确安全控制目标, 加强深度的专项安全检查工作, 将信息安全风险管理纳入金融机构风险管理的范畴, 站在“两管理、两综合”的高度, 保证检查工作的针对性、深入性和时效性。

(五) 大力加强培养信息安全专业人才

地方性金融机构需要加大信息安全人才培养、引进的力度, 高度重视和培养信息安全管理专业人才。

近年来, 地方性金融机构通过事业留人、待遇留人等手段, 初步改善了信息安全人才特别短缺的状况, 但仍需要进一步“走出去, 请进来”, 通过正向激励机制管理和发挥信息安全人才的智慧, 加强信息安全管理人才的培养, 造就一支既懂金融又懂计算机信息安全技术的复合型人才队伍, 提高科技人员自主配置系统安全策略的能力, 避免单一软件开发人员的重复引进。

新时期金融信息安全体系构建措施 篇5

1信息安全体系概况

信息安全体系的构建在于其通过计算机技术在内部形成有效的防火墙和巩固的内部系统来预防和阻止因非法入侵、攻击、盗用而造成的信息遗失安全问题，信息安全管理主要包括系统安全管理、安全服务管理和安全机制管理。

要确保信息安全体系的有效运行，就要确保安全有效的信息安全保护机制。

1.1信息安全保护机制

信息安全保护机制的形成是由内而外的逐级形成，其形成的基础在于现阶段全民对于信息资源安全问题的高度重视，从而形成了全体信息资源安全意识，建立起了巩固的心理屏障;其次，国家通过相关法律法规对信息安全管理进行了规范和约束，严厉打击非法入侵和盗用信息资源，为信息安全体系的构建提供了法律保障。

1.2安全服务

安全服务通过对服务过程中的数据和服务对象的鉴定来规范访问权限，以确保未授权情况下的信息资源的完整性和保密性，在服务过程中对相关信息数据的接收和发生备档，防止事后对方抵赖事件的发生。

1.3信息安全体系的框架

完整的信息安全体系的构建是由技术体系、组织机构体系、管理体系三者共同组建的。

金融信息安全分析 篇6

2012年10月，上市公司财务安全总指数为4776.67，与去年同期相比下降了756个基点，同比下降幅度为13.7%，其指数分值和降幅为2008年金融危机以来各季度最低值和最大降幅。上市公司总体财务安全状况非常严峻，也反映了我国实体经济总体财务安全状况下滑严重。

2.20个非金融行业财务安全指数同比全部下降

3.主板中小板财务安全降幅超10%，中小板稍好

从分市场情况看，存在风险的上市公司主要来源于主板上市公司，存在风险的上市公司占主板上市公司总体比例为31.31%，而中小企业板块的风险上市公司占比要小得多（16.57%）。

4.存在较大或重大财务风险的上市公司比例高

在1689家统计样本中，存在财务风险或较大财务风险的上市公司（低于CCC级、39分）475家，占所有上市公司的28.12%，存在较大风险上市公司的比例比2011年年报分析时上升近5%；财务安全较为优秀的企业仅为23家，占所有上市公司的1.36%；最优秀的企业（90分以上）数量为0。

5.多个行业异常指标大量出现

3个行业上市公司资产系数指标出现重大异常：1.房地产业资产系数指数3.12；2.仓储业资产系数指数3.92，3.建筑业资产系数指数4.08；

6行业经常收支指标出现严重异常：1.房地产业经常收支指数4.07，降幅6.8%；2. 电信业经常收支指数4.77，降幅23.8%；3. 农林牧渔业经常收支指数4.89，降幅22.74%；4.建筑行业经常收支指数5.17，降幅27.18%；5.多种经营行业经常收支指数5.24，降幅24.7%；6.机械工业经常收支指数5.9，降幅16.66%；

8行业借款指标出现异常：食品行业（4.9）、仓储业（4.07）、零售业（4.47）、批发业（4.64）、住宿和餐饮业（4.74）、房地产业（4.71）、建筑业（4.75）、运输业（4.0）；

4行业上下游支付环节恶化：房地产业债权债务周转指数为3.12，降幅6.5%；多种经营行业债权债务周转指数为5.09，降幅19.96%；电信业债权债务周转指数为4.77，降幅23.8%；住宿和餐饮业债权债务周转指数为4.35，降幅28.97%。

6.存在财务报表粉饰嫌疑上市公司分析

通过Themis纯定量异常值评级分析看，截至2012年第三季度，在1689家样本中，有823家上市公司存在不同程度的财务报表粉饰嫌疑，占全部样本上市公司的48.73%。（下表为存在粉饰嫌疑公司占比前15的行业）

金融信息安全分析 篇7

随着信息技术的广泛应用和电子商务的快速发展, 金融服务模式正由传统的柜台服务模式向网络交易、第三方支付等新型服务模式扩展。这种扩展推动了金融业务与互联网的进一步融合, 我国金融业信息化正经历向信息化金融的转变, 互联网金融已逐渐成为我国金融业的发展方向。与此同时, 由于这种新型服务方式具有虚拟化、业务边界模糊化、经营环境开放化等特点, 互联网上的金融业务面临网络攻击、病毒侵扰、客户信息泄露等新的信息安全问题。为适应信息技术发展形势, 强化金融信息安全管理, 提升风险处置能力, 维护辖区金融稳定, 人行连云港市中心支行依据国务院批准人民银行新“三定”方案的法定职责, 就基层人行如何履行好辖区非银行业金融机构信息安全指导职能, 逐步实现从后台服务向前台管理的转变, 通过对信息安全风险评估理论的应用, 探讨适用于非银行业金融机构的测评方法。

二、风险分析与评估理论

在信息安全领域, 风险是指由于系统存在的脆弱性, 人为或自然的威胁导致安全事件发生的可能性及其造成的影响。GB/T 20984-2007《信息安全风险评估规范》给出了信息安全风险分析思路:风险值=R (A, T, V) =R[L (T, V) , F (Ia, Va) ]。其中, R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产价值;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件的可能性;F表示安全事件发生后造成的损失。由此表达式可以看出, 风险具备两个特征, 一是不确定性状态的概率, 二是事件发生后可能产生的损害及损失。带来这种可能性的原因则是研究对象存在不确定性, 即风险源的存在。

风险管理包括风险源识别、风险分析与评估、风险措施决策、风险处理与监控等几个方面。要实施风险管理, 首要解决的是对风险源的识别。通过对风险源进行登记与分类, 统计其发生的规律与概率, 确定其发生的后果, 经过风险定级 (定性或定量的风险分析和评价) , 设计和采取应对风险的措施, 实施监控过程, 完成风险管理的整个循环, 即辨识、分析与评价、应对措施的全过程。风险评估与分析过程如图1所示。

三、风险分析在非银行业金融机构信息安全评估中的应用

(一) 资产识别

为了解非银行业金融机构信息安全管理实践的实际状况, 人行连云港市中心支行设计了调查问卷, 对辖内某证券类金融机构开展了问卷调查。调查问卷的内容涵盖了硬件资产情况、软件资产情况、服务资产情况、人员资产情况、文档资产情况、信息系统情况等内容, 对信息安全管理有关的资产进行了全面的信息安全风险评估。

(二) 风险识别与评估

课题组采用以下预先定义好的风险评级矩阵, 根据资产重要程度、安全威胁级别、安全脆弱性级别等要素最终确定安全风险的级别, 见表1所列。

通过对该机构相关资产的重要性赋值、威胁可能性赋值、以及脆弱性严重程度赋值, 对其所面临的信息安全风险进行定性级别判定, 最终识别出的信息安全风险类别23项。将风险根据计算得出的风险值定性地分为5个风险等级, 依次为非常高、高、中、低、可忽略。全部23项风险中未发现高级以上风险, 中风险4项, 低风险13项, 见表2所列。

总体来看, 该机构已经具备了一定的信息安全风险管理基础, 采取了一些风险防控的措施, 当前风险主要体现在由于设备冗余、人员培训与分工、应用系统、应急备份等潜在因素, 造成信息系统的基础服务失效、功能受损等风险。各等级风险汇总见表3所列。

(三) 评估结果应用

人民银行可以依据风险评估结果, 有针对性地督促金融机构根据风险级别分别采取相应措施进行整改, 通过管理制度和技术措施的控制进行降低或消减。人民银行亦可根据评估结果对金融机构进行分类考核。表4为不同级别的安全风险分类指导策略:

四、结论

本文通过基于风险矩阵分析的信息安全评估方法, 对非银行业金融机构开展风险评估实践, 可以看出该方法可以较为系统和有效地对信息安全管理进行评估测评。人民银行可以依据风险评估结果, 有针对性地督促金融机构根据风险级别采取相应措施进行整改, 通过管理制度和技术措施的控制进行降低或消减, 为基层央行履行好辖区非银行业金融机构信息安全指导职能提供了很好的技术手段。

参考文献

[1]宋明哲.现代风险管理[M].北京:中国纺织工业出版社, 2003.

金融信息安全分析 篇8

一、互联网金融给传统金融信息安全带来的影响

(一) 互联网金融时代的到来

阿里巴巴集团CEO马云曾说过:“如果银行不改变, 我们就改变银行。”短短几年时间, 在互联网技术飞速发展的推动下, 阿里巴巴的支付宝业务已是第三方支付领域的翘楚, 后来发布的余额宝产品更是引发了基金界地震。这些产品让同行及传统金融大亨们对其刮目相看。当下中国互联网金融发展之迅猛, 一时间不仅让金融界大吃一惊, 就连互联网金融自身也始料未及, 他们在心有余悸感触的同时, 也开始反思互联网金融未来发展的方向。虽然传统金融大亨们已经开始反击、应对新生互联网金融企业的挑战, 但互联网金融依靠虚拟化的服务方式、模糊化的业务边界、开放的经营环境和透明化的市场运行, 正在创造一个又一个的财富奇迹, 同时一场让传统金融格局发生质变的互联网金融大幕已经开启。

(二) 互联网金融对金融信息安全带来的影响

一是互联网金融让金融实现去中介化, 最终实现资金融通双方直接对接, 这一直是金融发展的一个重要目标。虽然互联网金融的实质就是以信息化为手段, 实现资金融通双方直接对接, 但是目前大多的互联网金融只是利用了互联网技术手段来从事金融中介业务, 还未能真正实现资金融通双方直接对接的目标, 不过它至少已经让人们看到“金融脱媒”最终实现的希望。

二是互联网金融让传统金融模式倍感压力。有别于传统金融, 互联网金融提供了更方便快捷的支付方式、更低的交易成本、更优化的资源配置方案, 这三大优势让传统金融的商业模式受到了史无前例的竞争压力, 这也是未来互联网金融立足金融业的根本基础。

三是互联网金融能解决一些传统金融长久以来无法很好解决的问题。互联网技术发展到今天, 云计算和大数据技术赋予互联网金融传统金融无法实现的一个最大优势——为小微客户提供成本最低的金融服务。所以占全国企业总数九成的小微企业, 在互联网金融时代到来后, 多年梦寐以求的低成本、高效率的融资服务得以实现。

四是互联网金融为创新提供了更广阔的舞台。虽然现在还不能准确预计互联网金融未来发展的方向, 但从目前互联网金融发展的三大形态——第三方支付、P2P和众筹融资, 可以基本明确未来的互联网金融发展一定是在网络IT技术突飞猛进的基础上, 将更多已有的线下金融服务变为线上金融服务, 让金融的创新空间得到大范围的扩张。

(三) 传统金融信息安全观正出现新的变化趋势

从以上互联网金融的实际发展变化看, 传统的金融安全观正在呈现出一些新的趋势。这些趋势一方面有别于传统金融信息安全观, 互联网金融虚拟化的服务方式、跨领域的业务开展、开放与透明的市场经营环境, 使其具备了互联网所包含的信息安全的动态性、综合性等特点;另一方面, 互联网金融背景下的信息安全风险, 除了具有传统金融业经营过程中存在的流动性风险、市场风险和利率风险外, 还存在基于信息技术导致的平台风险、技术风险、系统安全风险和基于虚拟金融服务的业务风险, 且风险诱因更加复杂、风险扩散传播速度快。

二、互联网金融时代, 金融信息安全面临的主要挑战

由于技术平台、安全防护机制尚不成熟, 除传统互联网自身安全风险外, 互联网金融信息安全正面临着新形势、新技术、新业态的全方位多层次的挑战。

(一) 互联网金融信息安全保障体系的建设速度滞后于互联网金融业务的发展速度

互联网金融在新兴技术的推动下, 第三方支付、在线理财、众筹网贷和在线保险等各类金融业务如雨后春笋般出现。因此病毒、木马等威胁比以往任何时候对金融信息安全的威胁都大。但是一个旨在全面支撑和保护互联网金融信息安全的保障体系还未到位, 面对互联网金融日新月异的发展速度, 符合互联网金融要求的信息安全保障体系建设已经迫在眉睫。

(二) 层出不穷的互联技术应用是当前金融信息安全面临的最大挑战

移动互联、云计算、下一代互联网和大数据等新兴技术的蓬勃发展, 是催生互联网金融时代快速到来的主要推手。一方面, 这些基于开放性网络的互联网金融服务, 使得以往金融信息安全技术防范已经不能全部适应新互联网技术的进步速度;另一方面, 这些新兴互联网技术自身还在不断发展, 其技术成熟度还不稳定, 特别是第三方支付、P2P等互联网金融新业态还处于起步阶段, 其信息安全管理水平不高。如何尽快建立一套既符合金融行业特点, 又能快速跟进互联网新技术发展需要的金融信息安全技术规范显得十分紧迫。

(三) 网络安全防控是互联网金融信息安全防范的难点

《2013年中国互联网发展报告》中指出2013年互联网遭到的网络攻击同比增长14%, 已经连续多年呈上升趋势, 其中涉及客户信用卡信息、各种资金账户信息的非法网络攻击行为增速位居前列。曾有专家说过, “互联网金融第一要素就是互联网, 安全就是生命线。”由于互联网模糊了传统金融领域的界限, 使得金融行为范畴借助互联网技术衍生到前所未有的新领域。一方面, 无论是传统金融机构还是新生的互联网金融公司, 来自互联网的各种入侵破坏行为已经成为日常信息安全防范的重点;另一方面, 在互联网开放性的影响下, 各类基于互联网平台的金融创新业务也带来一些类似网络洗钱和网上支付诈骗的社会安全问题, 这类网络安全防控不断突破传统金融安全的范畴, 让金融信息安全防范的工作变得更加复杂。

(四) 新生银行机构缺乏互联网金融信息安全防控方面的保障

随着中国银行业逐步向民营资本开放, 这些新生的民营银行机构, 包括一些地方性中小银行, 他们无论大小和成立时间的长短都想上马网上银行项目, 尽快发布互联网理财的金融业务, 目的就是搭上互联网金融的顺风车, 从互联网金融的大蛋糕中分得一份。但这些银行机构往往只看到了互联网金融低成本的一面, 却习惯性忽视了信息安全的投入, 这些机构迫切需要加大对互联网信息安全投入。

(五) 对互联网金融监管需要与时俱进的改进

2014年初, 金融监管当局多次强调互联网金融有两条红线不能碰, 一个是非法吸收公共存款, 另一个是非法集资。所以, 新时期下金融监管必须有一个符合时代发展要求的金融信息安全防范体系作保障。这一体系需要从技术和制度上确保足够的风险预警时间, 帮助金融监管当局最大限度避免互联网金融从线上向线下实体金融输出风险, 避免系统性金融风险。除此以外, 如何把控监管的度, 不让过度监管扼杀互联网金融, 也需要行之有效的信息安全防范做保证。

三、相关对策建议

(一) 完善顶层设计, 尽快构建适应互联网金融发展需要的金融信息安全保障体系

虽然我国已经建立了金融信息安全保障体系, 但这一体系是建立在原有金融信息化建设基础上, 主要是针对基于密钥管理、身份识别、核心数据访问控制等传统金融信息安全领域, 对迅速兴起的互联网金融没有充足的准备。面对新的形势, 《2013年中国互联网金融发展报告》建议尽快建立我国互联网金融安全主动防御体系, 它的核心就是建立国家层面金融与安全部门的信息安全服务保障联盟, 从而进一步完善现有的金融信息安全组织保障体系。新的金融安全保障体系要包含符合互联网金融快速发展需要的法律法规、自有知识产权技术、人才队伍建设和社会信用体系建设等内容。

(二) 加大自主知识产权的金融信息安全技术研发力度, 为金融信息安全体系建设提供可靠的技术保障

一是加快制定互联网金融信息安全标准规范, 进一步完善相关信息安全等级保护内容, 从而指导各类互联网金融业务服务平台安全建设和运营。二是深刻吸取“棱镜门”安全事件的教训, 大力研发具有自主知识产权的互联网信息安全技术, 避免出现关键核心技术受制于人的窘境。三是积极与安全部门合作, 加快研发互联网金融安全自动化实时监控技术, 及时发现和预防互联网金融犯罪。

(三) 加快安全网络体系建设, 最大限度提升金融网络防御攻击的水平

一是加快采用可信计算、可信网络等可信技术。在自主研发的基础上, 充分利用云计算和大数据分析的技术优势, 进行精准的信用习惯数据分析。通过掌握云计算分析的结果, 对网络平台可信程度进行评估。二是努力建设互联网金融征信网络。在可信网络的基础上, 通过整合互联网络、社交平台、政府征信资源等数据信息, 逐步建立面向互联网金融行业, 提供统一权威可信的征信服务网络。三是考虑建立以金融网络为基础的中国金融网 (CFNET) 。可以参考中国教育网 (CERNET) 或是中国科学技术网 (CSTNET) 的模式, 建设金融系统互联网络, 并接入公共互联网。同时根据不同行业进行接入分级, 金融行业为最高级, 其他行业根据可信级别进行区分, 这样可以很大程度解决互联网金融网络安全的问题。

(四) 加强对新生金融实体从事互联网金融业务的信息安全保障

一方面开展对新生银行机构从事互联网金融业务进行准入审批。通过建立制度提高新生银行机构从事互联金融业务的门槛, 对那些不具备实力, 信息安全保障投入不足的新生银行机构暂缓其涉足互联网金融业务;另一方面建议逐步建立由央行主导的互联网金融业务报备制度, 特别是对那些新发起涵盖银行、证券和保险综合性强的互联网金融业务实体, 进行严格的信息安全备案审查制度, 达不到标准不得开展相关业务, 或是降低开展业务规模和范围。

(五) 积极探索适合监管互联网金融的金融信息安全防范措施

信息安全为金融创新保驾护航 篇9

金融创新需要信息安全的保障

信息网络的兴起和发展正改变着许多行业, 金融也在其中寻找创新的机会。在金融创新的过程中, 信息安全作为其保障, 重要性愈加凸显。

首先, 金融创新将会使金融业务在更大程度上依赖于信息网络, 这种依赖将使海量的数据进入网络, 从而对信息安全必须提出更高的要求。其次, 云计算、大数据、移动因特网、物联网、智慧城市等新一代信息技术的发展, 也使金融行业的应用环境更加复杂、更加多样, 带来信息安全保障的更大难题。针对这两点, 信息安全工作在金融创新的过程中是十分重要的, 对其要求也越来越高。

“棱镜门”事件曝光之后, 原来依托国外软硬件建立起来的金融业务平台, 其安全感瞬间降低, 信息安全隐患也得到了高度的重视。人们认识到, 如果信息系统中软硬件不能自主可控, 信息安全是无法得到保障的。例如按照美国法规 (《爱国者法案》等) , 美国公司必须将其掌握的用户数据提交给安全部门进行监控, 所以我们更要正视因信息系统中采用外国跨国公司的技术和设备而带来的安全风险。在此背景下, 我国金融业的信息安全问题和现状需要得到重新的认识。

目前, 我国金融业中普遍采用了国外的产品, 主要是IBM、甲骨文 (Oracle) 和EMC等企业的软硬件。随着“棱镜门”事件的曝光, 人们认为, 要解决金融业的信息安全问题, 提高安全等级, 必须“去‘IOE’”, 即使用国产软硬件来替代以“IOE”这三家为代表的跨国公司的软硬件。

金融业去“IOE”只是我国各行业各领域目前进行的若干国产化替代工程之一。但这是否不符合“国际化”的潮流呢?确切地说, “国产化替代工程”和“国际化”潮流两者之间并不存在冲突, 因为某些领域并不适合“国际化”。许多发达国家在信息技术领域都是坚持研发和使用本地的产品。例如美国, 其生活用品许多是由其他国家生产的, 但信息领域全部采用国产产品和服务, 丝毫没有“国际化”的痕迹。近段时间, 我国华为、中兴的通信产品因性价比较高, 在美国市场上受到青睐, 但美国政府以存在安全风险为由, 宁愿违背自由竞争的市场经济原则, 也要将华为、中兴排除在美国市场之外。同时, “棱镜门”此类事件凸显增强信息安全的迫切性, 因此, 我国在对待信息领域产品方面要借鉴美国等发达国家的经验, 支持国产IT产品在行业中的应用。

国产化替代工程

从历史上看, 我国重要行业、重要信息系统大量采用外国技术及设备是由于过去我国的信息技术和产业都很落后, 许多核心的技术都掌握在外国企业中, 不得不采用进口的技术和设备。但随着我国在信息技术和设备研发的重视和投入加大, 已经有许多成功的国产化替代例子。比如北斗全球定位系统、TD-SCDMA和TD-LTE等已经成为国际上位于前列的系统或标准。同样, 在信息基础设施方面, 百度、阿里、腾讯等许多因特网企业的云计算中心都采用了大量国产软件, 华为、中兴等公司也已经能够提供性价比高的信息基础设施, 能够支撑大型跨国公司基于云计算的信息系统。这也进一步说明了我国实行国产化替代的时机基本成熟。

国产化替代的实施

当前正值国产化替代的黄金时期, 但要实施并完成这一历史使命, 仍然需要多方的努力。一方面要更好地发挥市场在资源配置中的决定性作用, 建立以企业为主体, 以市场为导向的技术创新体系, 鼓励形成更多“政产学研用”相结合的产业联盟, 如国产主机产业联盟这一类型的NGO组织。另一方面, 相关部门要给予更多政策红利, 鼓励社会各行各业使用国产的产品和服务, 引导社会相关资金投入到国产技术和设备的研发, 同时鼓励相关的公益组织良性发展, 使之发挥创新精神, 带动相关产业的发展。

为了保证国产化替代工程的成功实施, 客观地衡量国产化替代的效果, 在替代过渡和实验的过程中, 需要制订相应的评价指标。指标至少涵盖以下5个方面:功能, 产品是否能够完成所需的任务;性能, 应用是否有足够的效率;稳定性, 产品是否能够持续工作;用户体验, 用户是否感到满意;迁移性, 即是否能够保护用户已经形成的数据资产, 在替代过程中不会造成重要数据丢失。同时, 根据特定的场合, 可适当加入其它特定的评价指标。

K迁工程

K迁工程是一个重要的国产化替代的成功工程, 主要适用于金融等相关领域, 是以浪潮集团自主开发的K1主机为核心的国产软硬件替代工程。

浅论金融信息安全关键技术 篇10

金融风险防范是任何国家在经济政治领域里的一个永恒的话题。随着金融电子化的高速发展, 计算机通信在金融领域的广泛的应用, 尤其是在网络银行以及电子货币上发展, 使得金融信息安全形成的潜在风险已经成为现代金融风险当中的主要的内容, 给传统的金融业务当中的市场风险、信用风险、管理风险、操作风险添加了新的技术内涵。信息安全技术在金融电子化系统当中的有效的管理和合理的运用成为现代金融风险防范控制的主要课题。

1 常见的信息安全威胁

信息系统在许多可以引起各种重大损失的威胁面前是脆弱的。各类威胁可以是内部某个雇员对系统的欺骗, 也可以是外部黑客或者存心的数据录入员。各种威胁的影响各不相同, 有些影响数据的完整性和保密性, 有些则会影响数据系统的可用性。

1.1 差错和遗漏

差错和遗漏是严重威胁了数据的完整性, 差错不仅仅可能是由每天处理数百比交易的数据录入员引起的, 也可能是由各类用户产生的。因此, 良好的安全意识以及培训程序有利于减少差错和遗漏。在某些情况下, 差错就是威胁, 会数据的崩溃。

1.2 系统的漏洞

系统漏洞通常是开发者有意设置的, 这样做的目的是为了使自己在用户失去了对系统的所有权访问时候仍然能够进入系统。系统漏洞引起的安全威胁很多, 有时候操作系统的服务程序会绕过计算机的安全系统访问数据, 任意对存储的数据进行修改删除等。

1.3 恶意黑客

一些计算机黑客能够在别人未发觉的情况下, 仅仅依靠随处可以买到的计算机以及简单的网络设备, 利用信息系统上安全措施上的种种漏洞, 自由的进出联网的信息系统, 盗取有用的数据信息。

1.4 恶意代码

恶意代码是指一些病毒、蠕虫、逻辑炸弹和其他的不受欢迎的软件。这些软件或者病毒程序能够在不经过用户许可的情况下, 在用户的计算机终端上运行, 侵犯用户的合法权益。这些代码或者恶意的软件往往是故意编写的, 会对信息的安全产生极大的威胁。

2 金融信息网络的关键防范技术

为了确保金融网络信息信息的安全, 在实际的应用当中采用的安全技术通常有如下的几种。

2.1 访问控制技术

访问控制是金融计算机网络安全防范和保护的主要的策略。访问控制根据网络当中主体和客体之间的访问授权的关系, 限制访问的过程, 主要可分为自主访问控制和强制访问控制。自主访问控制主要是基于主体以及其身份来控制主体的活动, 能够实施用户权限的管理、访问属性的读写管理、强制访问控制则强调对每一主体、客体进行密级的划分, 并采用敏感的标识主客体之间的密级, 保证网络资源不被非法的使用和访问是其主要的任务。

2.2 病毒防范技术

计算机病毒实际上就是一种在计算机系统运行过程当中能够实现传染和侵害计算机系统的功能程序, 病毒违反授权攻击成功后, 攻击者通常植入木马或者逻辑炸弹等程序, 为以后攻击系统提供了方便。网络环境下, 计算机病毒具有不可估量的破坏。金融系统当中计算机病毒的防范, 除了要加固隔离系统本身外, 主要采用实时扫描检测的方法。随着计算机技术的不断的发展, 当前的杀毒软件也正面临着互联网的挑战, 这就要求杀毒软件能支持金融系统所有可能用到的互联网协议以及邮件系统, 并且能够适应及时跟上瞬息万变的时代步伐。

2.3 防火墙技术

“防火墙”技术是通过隔离网络做拓扑结构和服务类型, 从而加强网络安全的一种手段。它所保护的对象是网络当中有明确闭合边界的一个网块, 其防范的对象则是保护网块外部的威胁。因此, 防火墙技术最适合在企业专网当中使用, 特别是在企业专网和公共网络互连的时候使用。使用防火墙可以隔离金融内外部网络。防火墙具有防御措施、限制网络的访问、限制服务的开放等, 已经成为金融计算机网络安全防护体系当中的一个重要的组成部分。

2.4 信息加密技术

信息加密技术是保障信息安全最核心最基本的技术措施。信息加密也是现代密码学的重要的组成部分。信息加密过程中涉及到形形色色的加密算法, 它能够以很小的代价来提供很大的安全保护。在大多数的情况下, 数据加密是保证信息机密性的唯一的方法。目前, 已经公开的加密算法已经达到了数百种, 按照收发双方密钥种类划分, 可以分为常规密码算法和公钥密码算法。

2.5 VPN 技术

虚拟局域网 (VPN) 是由一些端系统组成的虚拟的局域网。虚拟局域网超越了传统的局域网的物理位置的局限性。这种虚拟的专用网络是基于Internet等公用开放的传输媒体, 通过加密验证等安全机制建立的虚拟数据传输通道, 从而能够保证公共网上传输私有数据信息不被窃取篡改等。这种技术目前在电子商务、电子政务上得到了广泛的应用。

3 结论

金融网络信息安全是一个系统的工程, 它和网络系统的复杂度、运行的层次位置都有很大的关系。因为金融网络的动态特性, 可能在一定的安全策略下, 网络是安全的, 但是随着时间的推移或者环境的改变, 网络的安全程度也随着发生了改变。因此, 金融的网络安全必须采用纵深配置、多样性的技术手段来保证金融信息的安全防护。

摘要：随着金融业网络水平的提高, 金融系统出现了越来越多的安全隐患, 因此如何建立一个高效的金融网络信息安全系统成为一个现实而又迫切解决的问题。本文在分析金融信息安全威胁的基础上, 有针对性的对金融信息安全的关键技术进行分析。

关键词：金融,安全

参考文献

[1]陈静.银行信息化发展趋势[J].中国信息化, 2008, 24 (3) :20-24

[2]崔颖安, 陈皓.大集中环境下商业银行信息安全系统的研究[J].计算机工程, 2008 34 (22) :162-164

[3]李建华, 陈松, 马华.SOA参考模型与应用研究[J].计算机工程, 2006, 32 (20) :100-101

信息安全防护技术分析 篇11

【摘 要】文章首先从“以传播协议为途径发动攻击”等五个方面论述了计算机网络应用中的常见安全问题，随后从“运用入侵检测技术”等四个方面论述了相关防护策略。

【主题词】信息网络应用

【中图分类号】TP183 【文献标识码】A 【文章编号】1672-5158（2013）03-0148-01

一、信息安全常见问题

计算机网络具有大跨度、分布式、无边界等特征，为黑客攻击网络提供了方便。加上行为主体身份的隐匿性和网络信息的隐蔽性，使得计算机网络应用中的恶意攻击性行为肆意妄为，计算机网络应用中常见的安全问题主要有：①利用操作系统的某些服务开放的端口发动攻击。这主要是由于软件中边界条件、函数拾针等方面设计不当或缺乏限制，因而造成地址空间错误的一种漏洞。如利用软件系统中对某种特定类型的报文或请求没有处理，导致软件遇到这种类型的报文时运行出现异常，从而导致软件崩溃甚至系统崩溃。比较典型的如OOB攻击，通过向Windows系统TCP端口139发送随机数来攻击操作系统，从而让中央处理器（CPU）一直处于繁忙状态。②以传输协议为途径发动攻击。攻击者利用一些传输协议在其制定过程中存在的一些漏洞进行攻击，通过恶意地请求资源导致服务超载，造成目标系统无法正常工作或瘫痪。比较典型的例子为利用TCP/IP协议中的“三次握手”的漏洞发动SYN Flood攻击。或者，发送大量的垃圾数据包耗尽接收端资源导致系统瘫痪，典型的攻击方法如ICMP F1ood}Connection Floa」等。③采用伪装技术发动攻击。例如通过伪造IP地址、路由条目、DNS解析地址，使受攻击的服务器无法辨别这些请求或无法正常响应这些请求，从而造成缓冲区阻塞或死机；或者，通过将局域网中的某台机器IP地址设置为网关地址，导致网络中数据包无法正常转发而使某一网段瘫痪。④通过木马病毒进行人侵攻击。木马是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点，一旦被成功植人到目标主机中，用户的主机就被黑客完全控制，成为黑客的超级用户。木马程序可以被用来收集系统中的重要信息，如口令、帐号、密码等，对用户的信息安全构成严重威胁。⑤利用扫描或者Sniffer（嗅探器）作为工具进行信息窥探。扫描，是指针对系统漏洞，对系统和网络的遍历搜寻行为。由于漏洞普遍存在，扫描手段往往会被恶意使用和隐蔽使用，探测他人主机的有用信息，为进一步恶意攻击做准备。而嗅探器（sni$}er）是利用计算机的网络接口截获目的地为其它计算机的数报文的一种技术。网络嗅探器通过被动地监听网络通信、分析数据来非法获得用户名、口令等重要信息，它对网络安全的威胁来自其被动性和非干扰性，使得网络嗅探具有很强的隐蔽性，往往让网络信息泄密变得不容易被用户发现。

二、网络安全防护常用策略

1、对重要的信息数据进行加密保护

为了防止对网络上传输的数据被人恶意窃听修改，可以对数据进行加密，使数据成为密文。如果没有密钥，即使是数据被别人窃取也无法将之还原为原数据，一定程度上保证了数据的安全。可以采用对称加密和非对称加密的方法来解决。对称加密体制就是指加密密钥和解密密钥相同的机制，常用的算法为DES算法，ISO将之作为数据加密标准。而非对称加密是指加密和解密使用不同的密钥，每个用户保存一个公开的密钥和秘密密钥。公开密钥用于加密密钥而秘密密钥则需要用户自己保密，用于解密密钥。具体采取那种加密方式应根据需求而定。

2、采用病毒防护技术

包括：①未知病毒查杀技术。未知病毒技术是继虚拟执行技术后的又一大技术突破，它结合了虚拟技术和人工智能技术，实现了对未知病毒的准确查杀。②智能引擎技术。智能引擎技术发展了特征码扫描法的优点，改进了其弊端，使得病毒扫描速度不随病毒库的增大而减慢。③压缩智能还原技术。它可以对压缩或打包文件在内存中还原，从而使得病毒完全暴露出来。④病毒免疫技术。病毒免疫技术一直是反病毒专家研究的热点，它通过加强自主访问控制和设置磁盘禁写保护区来实现病毒免疫的基本构想。⑤嵌人式杀毒技术。它是对病毒经常攻击的应用程序或对象提供重点保护的技术，它利用操作系统或应用程序提供的内部接口来实现。它对使用频度高、使用范围广的主要的应用软件提供被动式的防护。如对MS一Office，Outlook，IE，Winzip，NetAnt等应用软件进行被动式杀毒。

3、运用入侵检测技术

人侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。人侵检测系统的应用，能使在人侵攻击对系统发生危害前，检测到人侵攻击，并利用报警与防护系统驱逐人侵攻击。在人侵攻击过程中，能减少人侵攻击所造成的损失。在被人侵攻击后，收集人侵击的相关信息，作为防范系统的知识，添加人知识库内，以增强系统的防范能力。

根据采用的检测技术，人侵检测系统被分为误用检测（ Misuse Detec-lion ）和异常检测（Anomaly Detection）两大类。误用检测根据事先定义的人侵模式库，人侵模式描述了人侵行为的特征、条件、排列以及事件间关系，检测时通过将收集到的信息与人侵模式进行匹配来判断是否有人侵行为。它的人侵检测性能取决于模式库的完整性。它不能检测模式库中没有的新入侵行为或者变体，漏报率较高。而异常检测技术则是通过提取审计踪迹（如网络流量、日志文件）中的特征数据来描述用户行为，建立典型网络活动的轮廓模型用于检测。检测时将当前行为模式与轮廓模型相比较，如果两者的偏离程度超过一个确定的闽值则判定为人侵。比较典型的异常检测技术有统计分析技术、机器学习和数据挖掘技术等。二者各有优缺点：误用检测技术一般能够较准确地检测已知的攻击行为并能确定具体的攻击，具有低的误报率，但面对新的攻击行为确无能为力，漏报率高；而异常检测技术具有发现新的攻击行为的能力，漏报率低，但其以高的误报率为代价并不能确定具体的攻击行为。现在的人侵检测技术朝着综合化、协同式和分布式方向发展，如NIDES，EMER-ALD，Haystack都为误用与异常检测的综合系统，其中用误用检测技术检测已知的人侵行为，而异常检测系统检测未知的人侵行为。

4、利用网络防火墙和防毒墙技术

防火墙是一种隔离控制技术，通过预定义的安全策略，对内外网通信强制实施访问控制，常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。以包过滤技术为例，它是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤逻辑，检查数据据流中的每个数据包，根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过。。防火墙能够对网络数据流连接的合法性进行分析，但它对从允许连接的电脑上发送过来的病毒数据流却是无能为力的，因为它无法识别合法数据包中是否存在病毒这一情况；防毒墙则是为了解决防火墙这种防毒缺陷而产生，它是指位于网络人口处，用于对网络传输中的病毒进行过滤的网络安全设备。防毒墙使用签名技术在网关处进行查毒工作，阻止网络蠕虫（Worm）和僵尸网络（BOT）的扩散。此外，管理人员能够定义分组的安全策略，以过滤网络流量并阻止特定文件传输、文件类型扩展名、即时通信信道、批量或单独的IP/MAC地址，以及TCP/UDP端口和协议。

三、小结

除了上述的策略外，还有漏洞扫描技术、VPN（虚拟网专用网络）技术、数据备份和容灾技术等，由于篇幅的原因文中没有详细论述。计算机网络应用安全问题随着各种新技术和算法的出现而不断更新和复杂化，相关策略也将愈加先进。

参考文献：

金融标准化工作力保信息安全 篇12

2004年, 《金融业星型网间互联安全规范》发布实施, 从而规范了金融业星型网间互联涉及的信息安全保障技术措施、物理环境与人员安全、安全运行与管理。

2008年, 发布了《银行业信息系统灾难管理规范》, 该标准贯彻落实了国家关于提高重要信息系统灾难恢复能力的方针、政策, 对促进银行业信息系统灾难恢复工作、有效防范银行业信息系统风险、规范灾难恢复应急管理和日常运维管理等发挥了重要作用。

2009年, 国家标准《银行业务安全文件传输 (零售) 》发布, 填补了国内金融领域银行零售业务环境下安全文件传输标准的空白, 对促进国内银行业安全管理技术水平的提高、防范金融信息安全风险起到一定作用。

在网络与信息系统安全保障方面, 为不断加强网上银行安全保障工作, 人民银行正在抓紧制订网上银行相关的信息安全管理规范, 这将进一步有效提高银行业防范网络犯罪、渗透、攻击破坏的能力。为更好地指导金融机构落实信息安全等级保护工作, 明确金融业具有行业特点的信息安全等级保护基本要求, 人民银行拟开展“金融业信息安全等级保护实施指引”系列金融行业标准编写工作。

当前, 金融标准化工作正处在一个新的历史阶段和新的发展起点上, 金融标准化工作的继续推进必将为我国经济和社会全面、协调和可持续发展作出更大的贡献。