金融业信息安全

金融业信息安全（共12篇）

金融业信息安全 篇1

随着银行、保险、证券等金融交易的全面信息化, 金融机构特别是小微金融机构在大力拓展信息化业务的同时, 由于意识、技术的限制和对盈利的追求, 经常在信息安全方面考虑不足, 留下诸多安全隐患。人民银行作为管理机构, 在保障信息安全和预防信息犯罪方面, 有责任加大监管和指导的力度, 与金融机构共同构筑立体化的金融信息安全体系。

一、加强金融业信息安全指导的现实意义

(一) 金融机构信息安全意识不强

安全意识跟不上业务信息化发展是金融行业普遍存在的问题, 尤其是商业银行网点多、分布广, 面临的环境非常复杂。

某国有商业银行支行将网络设备机柜直接放置在营业间, 既没有专人管理, 也没配置摄像头, 机柜上积满了灰尘。网络设备接入银行信息化生产处理中心, 是非常关键的信息系统设备, 按照《金融行业信息系统信息安全等级保护实施指引》要求, 应该放置在机房内并设置视频监控。该支行的处置方法, 在物理安全方面存在很大隐患。这种情况在银行系统并不少见, 究其原因, 是主管部门安全意识不到位, 考虑问题欠周到。

(二) 信息安全技术水平有待提高

金融行业信息安全技术水平参差不齐, 特别是随着村镇银行进城, 区域性银行外扩, 银行在网点急速扩张的同时, 人员与技术跟不上要求。

某村镇银行跨省成立分支机构, 除董事长和行长是从总部外派之外, 其他人员都在当地招聘, 为了迅速开展业务, 对招聘人员的能力把关不严, 又没有经过专门的培训, 科技人员技术水平不能满足信息化业务的需要。检查中发现, 其机房安全隐患严重, 存在没有门禁系统、没有消防报警、强弱电布线紊乱等各种问题, 并且依靠其现有技术力量短期内无法实现整改。不仅如此, 其业务系统在安全技术的采用方面也存在不足, 需要当地人民银行的现场指导完成整改。

(三) 国务院赋予的履职需要

根据《国务院办公厅关于中国人民银行主要职责内设机构和人员编制规定的通知》 (国办发[2008]83号) 文件精神, 人民银行负有组织制定金融业信息化发展规划, 指导协调金融业信息安全工作等重要责任。在当时, 这是一项新的工作任务, 经过近几年的探索和工作实践, 基层央行对于如何有效指导、有效监管和有效督促整改方面还有待提高。

二、人行对金融业信息安全的指导尚存在不足

(一) 监管与指导的面很窄

湖南省人民银行2009年开始积极探索对商业银行的信息安全指导。2009年6月, 人行长沙中支第一次组织了对辖内地方性商业银行网上银行的信息安全检查和调研, 有效促进了网上银行系统的安全升级。但是人民银行对金融机构的信息安全指导还停留在银行业, 对保险、证券等其他金融行业尚没有涉及, 而对于地市一级城市, 由于证监会、保监会没有设立分支机构, 人民银行的监管指导显得格外重要。

(二) 监管与指导的方式有待探索提高

2012年, 人民银行出台了JR/T 0071-2012《金融行业信息系统信息安全等级保护实施指引》, 对金融行业各等级信息系统在场地、技术、人员、制度等方面做了具体的要求, 但是这个标准是推荐性行业标准, 人民银行在据此进行检查督导时, 对金融机构没有强制约束力。

目前, 人民银行已经将金融机构信息安全工作纳入“两管理、两综合”, 两管理是指开业管理和营业管理, 两综合是指综合执法检查和综合评价。适用信息安全日常指导的主要是综合执法检查和综合评价。然而, 综合执法检查中信息安全部分由于没有处罚依据, 很容易流于形势;综合评价中金融科技比占又很小 (7%) , 很难直接影响总体评价结果。

(三) 指导效果缺乏有效的反馈与跟踪机制。

人民银行在对金融机构履行信息安全检查与指导职责时, 对于要求被检查单位整改的事项, 由于缺乏有效的反馈与跟踪机制, 对整改后的效果和安全性难以进行有效评估, 这主要有几个方面的原因。一是人民银行信息安全主管部门与金融机构缺乏有效的工作联系机制, 尤其是一些县 (市) 根本未设立人民银行分支机构, 很难进行有效反馈;二是对检查结果缺乏处罚依据和强制约束力, 难以引起金融机构的重视, 相关工作缺乏抓手;三是目前人民银行主管信息安全的科技部门人员有限, 工作既对内又对外, 既有服务又有管理, 工作内容繁重, 由于人力、能力和时间的限制, 存在应接不暇的情况。

三、建议

(一) 成立区域性金融信息安全领导小组

由人民银行牵头, 当地银监、证监、保监和各金融机构参与, 成立区域性金融信息安全领导小组, 领导小组办公室设人民银行科技部门。对于没有设立人民银行分支机构的县 (市) , 要在政府部门设立联络员, 作为地市一级金融信息安全领导小组的成员, 列席相关会议并主持本辖区内工作。在领导小组的指导下, 每年要开展常规信息安全交叉检查和评估, 定期开展信息安全培训与交流, 对区域内重要信息系统 (如网上银行系统, 银行卡系统等) 上线进行风险评估, 并进行区域性的金融信息安全突发事件应急演练, 提高区域金融信息安全的应变能力。

(二) 提高人民银行自身的信息安全指导能力

一是进一步充实人民银行科技队伍, 加强队伍能力建设, 培养合格的信息安全专家团队, 地市以上人民银行要设立信息安全管理部门或专职信息安全员。二是将人民银行科技部门对金融机构的信息安全指导工作分解具体指标并纳入年度考核, 提高相关部门和人员的工作责任心。三是加强基础设施建设, 将金融城域网延伸至证券和保险机构, 方便与银行业以外金融机构进行文件与数据传输, 方便监管指导工作的布置与落实。四是建设金融信息安全网站, 对区域内金融信息安全检查结果进行通报, 对国内外信息安全前沿技术进行推介, 对国内外信息安全事件进行跟踪, 及时发布病毒预警, 多渠道加强信息安全指导。

(三) 不断深化“两管理、两综合”

“两管理、两综合”是人民银行加强金融管理与服务、维护金融稳定的重要手段, 在方式方法上不断探索、完善和深化, 将有益于加强金融信息安全的监管指导。一是加强“两管理、两综合”的横向联系, 避免将其作为孤立的工作内容, 提高其工作效能。比如将开业管理、营业管理、综合执法检查的结果直接反馈到综合评价上, 提高综合评价的权威性。二是加强“两管理、两综合”的流程控制, 这项工作参与部门多, 各部门专业性质迥异, 在流程控制时应提高各参与部门的话语权。比如开业管理应由所有相关部门签字认可, 综合评价结果的运用应全面争求各职能部门的意见等。三是加强对综合评价结果的运用, 将综合评价得分低的单位, 作为下一阶段重点监督检查的对象。对于引起其得分低的主要矛盾 (比如信息安全问题) , 加大监督检查力度。如果在第二阶段检查中主要矛盾仍没有得到有效解决, 可全面加大检查和处罚力度, 以提高人民银行的权威性。

(四) 提高人民银行信息安全指导的执行力

由于金融业是现代国民经济的核心, 金融信息安全关系国家的发展与稳定, 为应对国内外敌对势力和网络犯罪势力的威胁, 建议人民银行总行对金融信息安全的重要事项建立行业强制性标准, 对重要设备选型、业务技术规范、信息化业务外包和信息化基础设施建设等提出强制性要求, 使金融机构在进行信息化项目建设时有规可循, 基层央行在履行金融信息安全指导职责时有法可依, 从而提高金融业信息安全整体水平。

金融业信息安全 篇2

摘要：互联网的迅猛发展全面浸透到我们的各个方面的生活中，极大地改动了世界经济金融发展的格局和态势。在全新的网络经济时期，存在网络本身脆弱、易遭病毒或电脑高手入侵、买卖方歹意违约等问题，网络金融信息曾经成为新型立功的重要目的，影响着经济次序的稳定。需求进一步树立健全相关法律法规、增强网络金融信誉体系建立和完善有效的信息安全应急机制。

关键词：网络金融的论文

目前，以计算机信息技术为代表的新技术反动，我们迎来了一个全新的信息网络社会，信息安全，特别是金融信息的安全需求特别关注。本文从制度金融剖析的视角，在剖析网络金融信息存在的安全问题的基础上，对发展中的信息金融安全保证停止讨论。

1网络金融信息的重要性

网络金融是指借助于计算机技术及其网络完成资金融通、支付和信息中介等业务的金融方式，具有本身的优势，曾经成为人们生活的重要内容。（1）网络金融发展很快。自从科技人员将计算机技术运用到金融范畴后，金融与计算技术的分离互相促进，金融业务发展疾速。在网络金融方式中，目前典型的方式有以支付宝为代表的在债权债务人双方之间作为中介平台提供支付效劳包括银行卡收单业务在内的第三方支付平台，还有东方财富、同花顺、工银瑞信、华夏基金、南方基金等基金公司、苏宁易购等第三方机构应用电子商务平台停止基金销售的网络理财，应用中介机构推出的网络平台完成小额贷款买卖的P2P网络借贷、向公众募集小额资金或其他支持，再将创意施行结果反应给出资人的众筹融资，等等。（2）网络金融介入社会才能很强。网络曾经显露其全面介入社会的才能，包括世界进入人们的日常生活、企业公司、政治军事等。从计算机到手机，人们在电脑上联络、购物、付款，包括点菜外卖、发送红包、预购车票等等，每个人的资金和资产简直都能够经过网络查询，人们能够经过网络转移资金停止物资买卖、生活消费。自然，电子技术网络化的便当也为有些不法人员提供了立功的时机和可能。信息金融安全问题因而不只是一个技术问题或企业、个人行为，而且是一个普遍的和共同的社会问题，成为信息时期大家都关怀的一个根本问题。（3）世界经济对网络金融依赖加强。网络社会的呈现加速了世界经济的一体化，反过来也使世界经济的增长表现关于网络技术的极大依赖。我们传统的金钱都是放在有形的中央，比方保险柜，但在目前高度兴旺的网络技术下，绝大局部的企业和个人都是把金钱放在无边无边无影无形的网络数据中，在自然直观的状况下，人们无法发现金钱的存在，只要在计算机技术下才干有形地表现出来。也就是说，寄存在网络世界里的金钱不再能够一五一十指出其存在，曾经化为了一系列的数据符号，假如有电脑高手破译密码或应用其它手腕侵入计算机网络里，那么他就能够随意改动这些数据符号，一个企业或个人的金钱将迅间华为乌有。网络社会的重要性，标明金融信息安全问题是电子网络建立中的重要议题。

2网络金融信息存在安全缺乏

经过网络，全球信息化高速发展，给资金活动带来了史无前例的便当，但也带来了来自网上的金融要挟。（1）金融信息的载体网络易遭病毒或电脑高手入侵。自从有了电脑网络系统开端，网上的信息安全简直就同时存在，比拟突出的是病毒入侵问题和木马植入问题，在病毒入侵状况下，有的电脑迅间解体，所构成的数据不复存在，或者是网络呈现障碍，不再可以正常完成金钱业务，在木马植入的状况下，电脑高手经过木马病毒轻而易举地获取电脑主人的各种账号密码，随便地从网络上窃取别人的金钱。一些实力不是很雄厚、技术力气不是很强大的金融平台，很容易遭受网络电脑高手病毒的侵入，如4月8日，丰达财富P2P网贷平台遭电脑高手持续攻击，网站瘫痪5分钟；7月6日，中财在线自主开发的系统遭遇电脑高手攻击，招致用户数据走漏，温州的几家P2P网站也遭到过不同水平的攻击。（2）大数据系统本身存在的潜在要挟。计算机和网络技术的发展，使我们的网络运转越来越便当，也使我们可以运转更多更复杂的数据，目前曾经进入“云”计算和大数据时期。有了“云”计算和大数据，我们要获取各种信息就会愈加便当、疾速，在金融范畴还有一个明显的优势，是有了这样的数据运转，使更多主体更细致的信誉数据得到聚集，减少了主体之间的信息不对称，愈加有利于人们做出金融决策。但是，这么海量的数据，假如一旦由于技术缘由解体或为无意中被毁坏，那将形成无法预算的损失，个人金融信息数据及个人隐私的泄露将不可防止。（3）网络世界的债务人违约隐秘化。在网络世界里，金钱买卖的双方在各自的天文位置，互相都不晓得，以至对面可能是在另外一个国度也完整是可能的。这样，买卖双方的`真实性不容易直观地感遭到，也就是说双方存在一个信息不真实、不对称的过程，假如有一方成心提供虚假的信息或能够坦白了一些重要信息，另外一方当事人很可能不可以及时识破，就会带来信誉风险。（4）网络金融信息曾经成为新型立功的重要目的。金融信息的隐秘性，使有些人心存幸运，随意滋事。因特网是一个宏大的自在市场，有的人经过网络窃取别人的金融信息，保罗资金和财富，进犯了别人的隐私权和买卖安全权。有的立功分子应用网络窃取别人的银行存款数据信息，伪造存折或银行卡窃取别人的资金。有的人存在幸运心理设置钓鱼网站或植入木马，盗取其他企业或个人的网络金融信息，再运用其他合法或非法的途径转走资金。此外，一些不法分子还经过目前正常运转的第三方支付平台，将信誉卡资金转进支付账户后再行取现，或是经过制造虚假买卖来完成非法转移现金。（5）网络信息安全影响着国度经济的稳定。金融是国民经济的中心内容及其指标表现，金融自身请求市场的一体化和无障碍化，而这一点与计算互联技术表现的网络世界一体化和无障碍化是完整吻合的。金融经济的发展促进了计算机技术的打破和晋级，计算网络技术的创新反过来又推进了经济金融的快速发展。随着计算机科技和商品经济的展开，金融活动越来越依赖计算机及其网络。假如一旦有人应用金融网络停止毁坏性行为或损伤别人的行为，其形成的损伤影响将会远超越原来的人工买卖传送时期，这也是近年来网络金融立功增加的缘由，如洗钱。

3网络金融信息安全保证的主要思绪

信息安全问题是国际经济和社会信息化过程中呈现的问题。网络曾经成为现代社会发展的先进消费力，是国民经济增长的宏大源泉。我国目前面临着国民经济与社会发展的双重担务，既要发展网络信息以推进经济发展和社会进步，也要注重信息安全问题，使其更好地为我国国民经济和社会发展效劳。（1）树立健全相关法律法规。在网络信息化的社会下，信息安全的综合性特征使得安全问题史无前例，因而除依托政府引导、社会普遍参与外，还必需借助法律。法律关于社会发展中存在很多问题的范畴来说，由于其具有标准稳定的人人可见的条文格式和国度强迫力推进和保证的外在优势，是保证网络金融信息安全不可短少的一个环节和要素。以德国为例，他们在很早的时分就正式施行《信息和通讯效劳标准法》、《联邦数据维护法》、《统计法》等法律文本，固然不一定很完善，但为他们后来发展网络信息提供了制度性的基础。当然，我国关于信息安全特别是国度信息安全也是不断很注重的，我国也有《计算机信息系统安全维护条例》，包括了网络信息的各种可能问题，如病毒、电脑高手、程序、密码等等。如今要做的是，要分离我国的特有国情和民众上网习气，制定和发布我国的行业规范和原则，标准和指导互联网络金融发展，包括保证金融信息安全。（2）增强网络金融信誉体系建立。信誉是金融的基础和中心表现，分开企业和个人的信誉信息，金融业务将无法有效展开，比方银行信誉卡业务的疾速扩张就是有赖于个人信誉信息的搜集、处置与合理运用。依法合理树立金融信誉信息系统，非常必要，是网络金融业务发展和个人金融信息数据完善的基础，但是依法保证金融信息系统的正常运转和不被毁坏、非法运用，更是非常必要。网络金融的快速发展，大大拓宽了企业和个人金融信息的数据范畴，能够经过各种各类买卖平台、中介机构、金融企业聚集企业和个人的信誉数据，处理信息不对称、信息鸿沟等问题，使网络金融产品的销售和购置变得愈加便当、快捷，保证金融业务的稳健展开。（3）完善有效的信息安全应急机制。金融信息安全的应急机制是处置金融信息安全突发事情的制度。要充沛发挥国务院金融办和人民银行统一金融监管谐和制度的作用，延伸监管边境，出台监管政策，配套跟进监管措施，着力增强货币政策和金融监管政策之间，金融监管政策与法律法规之间，维护金融稳定和防备化解系统性、区域性金融风险之间，穿插性金融产品和跨市场金融创新之间，金融信息共享和金融业综合统计体系建立之间的谐和，以有制度标准的体系建立促进构成无形的金融信息安全保证的有效机制。

参考文献

1李珮．互联网金融信息安全风险防备刻不容缓［N］．金融时报，－12－11

2谢然．社交关系与大数据的分离，催生真正的互联网与金融指导者［J］．互联网周刊，（1）

3蓝寿荣，周艳芳．论消费者倾斜性维护的逻辑［J］．南昌大学学报，2015（3）．

4陈勇．我国反网络洗钱的制度构建［D］．南昌：南昌大学，

金融业信息安全 篇3

信息安全，尤其是金融行业的信息安全，一直是上至国家领导、下至黎民百姓都十分关注的话题。然而，我国金融行业信息系统安全问题并不容乐观。当前，虽然我国出台了一些相关政策和管理办法，但据专家分析，由于专职的安全监管机构的缺失，使得信息系统安全工作很难落实。人们不禁要问: 无人监管，又何来安全呢？

存在问题

随着我国信息化的日益推进，国民经济和社会发展对网络和信息系统的依赖越来越紧密，尤其是银行、证券等行业的信息系统已经成为国家重要基础设施，这些信息系统的安全运行直接关系到国家的安全、人民的利益和社会的稳定。

近些年来，国内外发生的一系列事件表明，如果重要信息系统没有一定的安全防范能力，一旦发生重大事故或遭遇突发事件，将会造成无可挽回的经济损失。

我国相关部门对信息安全工作十分重视，国务院信息化工作办公室司长王渝次曾指出，灾难恢复是信息安全保障的重要的基础性工作，做好国家重要信息系统灾难恢复工作，提高其抵御灾难和重大事故的能力，对于确保重要信息系统数据安全和业务的连续性，保障社会经济的稳定是非常重要的。

2003年颁发的《国家信息化领导小组关于加强信息安全保障工作的意见》，对重要信息系统的安全做出了明确要求。2004年，国务院信息办又组织起草了《重要信息系统灾难恢复指南》，并印发给各基础信息网络和重要信息系统主管部门。

然而，金融行业的信息化虽然取得了快速发展，但其背后隐藏着可怕的问题：虽然在实现了数据大集中的银行企业中，有80％的企业都做了系统灾难备份中心的建设，但真正能实现业务连续管理的，估计只有15％左右。

最近，银行业系统故障不断。就在今年，中国建设银行总行转账系统发生通信故障，数小时后系统才恢复正常。此事件殃及在中国建设银行投资证券公司全国70余家营业部开户的200万股民，致使股民们因无法进行转账交易而受到经济损失。而在这之后，银联因通信网络和主机出现故障造成全国多省市无法刷卡长达7小时，究竟造成了多大的损失，尚无可靠数据。而近期发生的网银大盗横行网络的一系列事件，也再一次为网络银行系统的信息安全敲响了警钟。

机构缺失

为何有国家政策出台，但问题却仍然如此严重呢？

国务院信息化工作办公室的专家、国家金卡工程办公室安全组组长、中国信息产业商会信息安全产业分会常务副理事长屈延文介绍，我国金融行业尤其是银行的信息化系统需要监管的风险资产很大，到目前为止，我国还没有建立基本的专业化信息资产风险监管队伍和组织。

屈延文进一步解释说，“银行信息系统事故还不可怕，可怕的是金融信息化风险有可能引发金融危机，拉丁美洲的金融危机就为我们敲响了警钟。如果发生金融危机，将会影响到我们社会的稳定、人民的切身利益。”

也有专家说，各银行有科技部门，自己会管好自己的，不用为他们担心。

然而，从国外经验看，商业银行信息技术的运营与管理是相互分离的。但目前大多数国内银行现行的信息技术部门既具有十分明显的运营商特征，同时又具有明显的行政管理属性，是集运营、管理、监督于一身的技术垄断部门，这样的运行机制蕴藏着很大的运行风险。

一方面，由于信息技术自身的专业性极强，高级管理层和风险控制部门无法对其实施有效监管。目前，各家银行基本上还没有相应的专业管理部门负责信息业务系统的管理政策、技术标准、风险防范标准的制定，以及监督、检查以及绩效评估等工作。

另一方面，由于既当裁判员，又当运动员，集行政管理与技术管理于一身，信息技术部门本身难以胜任信息技术的监管职责，而且容易产生责任推诿、自行其事的不良风气与行为。正因为如此，直到目前为止，许多银行的信息技术还没有一个明确统一的技术故障的分级标准，信息化投入和产出严重不均衡，业务迟延、事故频繁发生等问题时有发生，银行信息化安全面临严峻挑战。

当然也有人持不同意见，认为人民银行和银监会都有信息中心，由他们统一管理不必过于担心金融行业的信息安全的问题。

然而，屈延文坚持认为，我国金融信息安全正处于监管缺失的状态。其理由有二: 一是人民银行和银监会都在管，政策交叉和死角就很难避免，各银行无法“从一而终”; 二是科技部门大多只是管技术，他们不承担也无法承担安全责任，没人负责也就没人来管。那么，缺失的监管又应由谁来填补呢？

呼吁监管

屈延文认为银行信息化安全属于整个银行监管体系的组成部分，将其从银行监管体系组成部分里面分离出来，是不符合我们银行整个监管安全体制的，同样，也不符合客观规律，不符合中央提出科学发展观，也不符合建立和谐社会、以人为本的要求。

屈延文主张，首先要加强认识，建立银行风险监管科学认识体系，即融合金融学方法、管理学方法、系统工程方法和信息化科学方法为一体化的认识理论体系，要把我国银行信息化发展纳入科学发展的轨道。

在这之后，更为重要的是银行信息化的科学发展必须建立信息资产风险监管组织机构。主要是建立一支在信息化条件下的监管专业队伍。首先是要建立安全监管机构，有了专人负责之后，很快相关标准、长效机制、审核措施等顺理成章地就会出来了，而且工作的落实也就有了监督。那么，迅速高效地推行金融信息安全工作也就不是难事了。

屈延文分析，没有一支监管专业队伍，难以提出银行企业、领域和监管当局信息化的科学发展战略，无法实现银行信息资产风险监管的综合方法，以及对人类与网络两个世界一体化的监管体系的运营和维系，也无法研究信息资产风险价值化体系、信息资产风险监管标准体系和信息资产风险监管法规体系。没有专门的信息资产监管专业机构，就不可能实现信息资产风险监管计划、管理和监控，就不可能实现实时掌控银行信息化系统的运行情况和各种风险情况。

巨大的数字化的资产与财产天天在网络上传输飞跑，依然采用“服务在网络里”和“监管在网络外”的监管方法，而无视信息化条件下的风险监管问题，其监管措施就不可能是可信与有效的。

屈延文强调，主管部门应该成立信息安全监管司，“成立这样一个机构是绝决对必要的，因为承担银行信息安全责任不是国家的哪一个部委，而是银行，是银监会。没有这样一个机构，工作也就不到位。”

出于对当前金融信息安全监管问题的担忧，屈延文曾给相关主管部门提出建议，阐明成立安全监管机构的紧迫性和必要性，相关领导也对此表示了一定的重视。

“当前不是谈网络如何建设、怎么弄防火墙的时候，先要谈如何监管信息安全的问题，这个问题不解决，其他问题没法搞。”屈延文十分担忧，这不是哪一个人的事情，也不是哪一个部门的事情，这将牵扯到整个国家的经济安全。”

屈延文呼吁：“我国银行信息化系统需要监管的风险资产如此之大，如果没有基本的专业化信息资产风险监管队伍和组织，价值与风险之间的关系也就不可能平衡。”

链接：我国银行安全监管现状及相关政策

在上市转型和外资银行进入中国金融市场的双重压力下，过去5年，特别是进入2005年以来，我国的银行监管部门明显加快了对商业银行的监管力度，初步建立了较为完善的市场准入、退出，非现场监管、现场监管、高级管理人员管理、风险预警等金融监管预警系统。比如，针对日益严重的电子支付安全问题而出台的《电子支付指引（第一号）》法令，就是人民银行在今年的重要举措。“电子支付指引”一定程度上进一步规范和引导了电子支付业务的健康发展，有利于防范电子支付业务风险，确保银行和客户资金的安全。

由于电子银行所面临的技术安全、客户利益被侵犯以及第三方过失等风险日益突出，银监会去年还出台了《电子银行业务管理办法》、《电子银行安全评估指引》和《电子银行安全评估机构业务资格认定工作规程》三个法令，目的是强化电子银行风险监管、防范电子银行业务风险、规范电子银行业务发展，银监会对商业银行监管正在加强。

金融业信息安全 篇4

一是随着金融业向数字化、网络化、虚拟化的迅猛发展, 金融业信息安全保障难度越来越大, 通过互联网络利用各种漏洞的攻击犯罪, 已经不再受地域的限制。在当前金融业信息系统高度集中管理模式下, 加强“两地三中心”有效安全防护的同时, 不可忽视星状结构各结点的安全防护。如何形成“易守难攻”的安全防线, 是金融业信息安全工作面临的挑战, 也是基层央行指导工作的重点目标。

二是虽然人民银行“三定”方案明确规定了基层央行承担金融业信息安全属地协调管理职责, 然而各地的银监局也成立科技部门开展同样工作。监管部门之间职责重叠、分工不明确给金融机构乃至政府机构造成困惑, 曾导致当地安全部门时而与人民银行联合时而与银监局联合的现象发生。加之银监局与生俱来的权威和不同的标准要求, 也削弱了基层央行的监管效果。这些都给基层央行对当地金融业信息安全的指导工作带来一定的难度。

三是由于金融机构规模不一、业务形式多样、重视度不同, 在执行人民银行信息安全规定上存在很大差异。此外, 加上基层央行安全管理人员缺乏有力手段, 使得基层央行对各金融机构信息安全工作缺乏足够的指导和监管。

二、相关建议

(一) 围绕人总行工作重点开展工作

按照人民银行总行信息安全工作安排, 基层央行对银行业金融机构信息安全工作的指导工作重点从金融机构“三道防线”的建设和国产密码算法推广应用两方面开展, 利用“金融机构信息安全检查”“银行卡联网通用检查”“银行卡发卡系统安全性和技术标准符合性检查”等执法事项权力, 按照信息系统等级保护安全建设标准, 加强对金融机构在制定并落实安全管理制度、落实安全责任、建设安全设施、落实安全技术措施等方面开展检查和指导。特别要关注商业银行第三方系统用机的检查。此前曾发生某银行连接人民银行回笼券管理系统的用机发起病毒攻击造成业务中断的事件, 但由于处理及时, 未对业务造成大的影响。

(二) 充分使用现有的监管手段

一是行使人民银行“两综合、两管理”职权, 要求新设立金融机构开业前完成机构代码申请, 进行机构报备;二是利用“金融城域网入网审核”, 对接入网点的环境进行检查, 严控网络接入, 避免不安全节点接入;三是召开银行业金融机构信息安全工作联席会议, 进行充分沟通交流, 解决实际问题, 开展业务培训, 明确工作目标;四是以“综合执法检查”“专项检查”“联合检查”的形式, 开展信息安全检查, 对存在的问题要求其整改;五是利用“综合评价体系”反馈金融机构执行人民银行相关规定的完成情况, 这使基层央行要进一步细化评价标准, 对不同性质、不同规模的银行机构使用不同的权重, 促使综合评价更合理更有效。

(三) 立足区域全局开展工作

认真理解人民银行对金融业信息安全指导管理职责, 指导工作不仅局限在对银行机构信息安全工作的监管, 还包括对证券和保险等非银行金融机构的信息安全工作的指导。银行机构开展信息安全工作起步较早、重视度高、防御体系较为完善, 相对来说, 证券和保险机构信息安全工作开展情况就不明朗了。

由于缺少总行层面文件精神的支持, 前期在与证券、保险机构沟通上还存在一定的难度, 可以先从以下两方面努力。

一方面先建立跨行业、跨部门沟通机制。继续加强与银行、证券、保险等监管部门的沟通联系, 通过不断的沟通, 建立有效的联系;通过举办行业交流会或组织信息安全培训, 以沟通有无、统一认识、明确目标。在条件成熟时, 再建立信息安全协调工作机制。

另一方面开展信息安全调研。去年人民银行合肥中心支行为了解非银行金融机构信息安全工作开展情况, 首次牵头组织开展的辖区证券、保险行业信息安全情况调查工作。初步发现一些问题, 主要有对外国产品和外包服务商服务的依赖程度偏高、信息安全制度体系有待完善、信息安全管理人员配置不足、信息安全防护技术在某些方面还有一定的缺失等。

(四) 努力建设“跨行业、跨部门”协调机制

新时期金融信息安全体系构建措施 篇5

摘要：近年来，信息化在各个行业的应用和融合逐渐深入，金融业也受其推动而获得了快速发展，但金融信息安全问题始终是金融行业发展的一个敏感和热点问题。

下面本文主要分析金融行业计算机信息存在的风险，并在此基础上提出构建计算机信息安全保障体系的一些可行性建议。

关键词：金融行业 计算机 信息安全 保障体系

随着社会的不断进步和发展，信息系统改变人们的生活方式，推动了整个社会的发展，金融行业也不例外。

信息化虽然给人们带来了极大的便利，然而计算机信息技术的发展也存在潜在的信息安全问题。

在这一背景下，计算机网络的开放性与金融信息的私密性又具有直接的矛盾，金融行业信息安全形势也不容乐观，加强金融行业计算机信息保护，构建更加安全可靠的金融信息安全保障体系显得尤为重要。

一、金融行业计算机信息存在的风险

(一)计算机数据被攻击窃取

计算机病毒和木马依然是目前金融行业信息风险的主要因素。

计算机病毒和木马在计算机程序中潜伏，被激活后会对其他程序进行感染和破坏，轻者造成数据毁坏、丢失，严重者甚至可能使整个信息系统瘫痪，是破坏计算机数据的一个主要因素，也是计算机面临的一个主要安全问题。

一旦金融计算机数据传输系统被破坏，就可能会导致数据被窃或者客户资料泄露，甚至导致客户资金或证券交易价值损失。

(二)系统设计维护的缺陷

金融行业的各项信息系统设计不可能做到完美无缺，任何一个系统都具有固有的缺陷，这就为不法分子留下攻击的漏洞，并且无效的安全管理也是造成安全隐患的重要因素，将直接影响客户和银行的资金安全。

通常情况下，金融计算机系统都有管理人员对其进行监视，若发现漏洞则应对其危险程度进行分析，并应积极采取相应措施进行补救。

然而即使是维护过的系统，在软件更新或者升级后又可能会产生新的漏洞，依然会危及金融系统的安全。

二、金融行业计算机信息安全保障体系的构建

为了确保金融行业计算机信息安全体系的有效运行，就必须要构建一个安全、有效的信息安全体系对其进行保护，从而在计算机技术内部形成有效的防火墙，并加强系统的维护和管理，以预防和阻止由于非法入侵、攻击、盗用等造成的信息遗失安全问题。

(一)推进金融科技标准化体系

近几年，标准化体系建设已经成为人民银行科技主管部门的一项重要工作，为金融行业信息技术发展的做出了行业规范。

在实际发展中，金融行业在计算机信息管理，专业研发、维护和管理部门和人才等方面做了大量的工作。

金融机构既建立计算机信息系统规划、开发、建设、维护等相关技术部门，也设立风险管理部门和安全管理部门。

为了更好地推进金融科技标准化工作，各金融行业风险管理部门要加强对安全风险进行监视，从组织监督检查的角度，由金融系统内部审计部门，对其业务流程及系统运作情况进行安全监督检查，及时将监视结果提供给其他相关部门;安全管理部门要加强对管理制度、法规、安全细则等进行规定，并通过监督、指导、管理等使制度得到落实，从信息安全管理层面使金融信息安全体系的防范级别得到切实提高。

(二)加强计算机信息数据的保护

金融行业服务业已进入大数据时代，要求数据存储系统具有较高的可靠性，只有完善的数据存储才能更好的保障其访问和交易过程的顺利进行。

若系统出现故障，可能会出现业务中断、客户流失，甚至资金链断裂等等诸多问题，会很多大程度影响客户体验和企业信誉度。

金融行业不仅要开发适合本机构的金融产品和完整有效的信息系统，更应该加强备用数据中心的建设，强化减灾容灾能力。

这样，在数据中心无法继续正常运行时，可以通过使用备用数据中心通道来维持系统的正常工作，从而更好的防范数据问题引起的服务事故，为网络信息安全保障体系建立强大的服务后盾。

(三)积极跟进新型信息安全技术

计算机信息安全技术是维持信息安全体系的关键，合理运用安全机制，积极探索和采用新型信息安全技术，可以保障系统的顺利运行和广大人民的资金财产安全。

一是要加强网络访问者身份认证。

金融行业要采用静态密码认证、动态密码认证、指纹识别、数字证书以及其它新型认证方式，做好客户身份认证工作，同时也要避免客户相关隐私信息被盗用。

二是加强网络病毒木马的实时监测。

坚持金融行业计算机网络安全以防护为主的原则，做好病毒防护系统升级工作，主动强化对病毒木马进行实时监测，分析病毒木马最新动态，制定合理的防护机制和预警机制，从而更好的 对其进行防范;三是加强计算机信息系统软硬件管理、维护和升级工作。

计算机信息系统的正常运行是以软硬件设备为基础的，其安全性设计和优化配置对于保障系统信息安全都尤为重要。

在实际工作中既要积极解决信息系统安全设计、生产、测试、运营、维护等方面的问题，提高系统设备安全性，从而更好的保障计算机网络安全策略的顺利执行，也要做好系统的更新和升级工作，要把用户体验好，安全防护好各类新型金融信息产品投入运行。

三、结束语

在信息化愈加普及的今天，金融机构更应重视计算机信息安全系统的构建，不仅要加强对信息资源的保护，同时还要建立完善、可靠的金融信息安全体系，以安全技术以及防护手段作为安全体系构建的支撑，确保信息体系的安全运行和实施，保障监视、评审信息安全，从而切实保障客户的个人信息安全，最终才能不断推动推动金融业的快速发展。

参考文献：

[1]韦雪江.我国金融行业计算机信息安全形势分析和研究[J].计算机光盘软件与应用，

[2]袁晓冬.银行业金融机构信息安全存在问题及建议[J].金融科技时代，2013

金融业信息安全 篇6

近年来，随着入世“过渡期”的正式结束，国内外金融市场的联系更为紧密，全球金融市场呈现出融合发展的趋势，这一切都对我国金融体系的发展提出了更高的要求。莱芜商业银行为满足客户境内商品及劳务服务、金融市场交易等各类交易对安全高效外币支付结算服务的需求，作为直接参与者第二批加入人民银行牵头建设的境内外币支付系统。

NCS为莱芜市商业银行开发了其行内系统与人民银行境内外币支付系统之间直联方式下的应用接口系统：ECP-PowerClear。该系统采用先进的基于WEB技术、轻量级J2EE的技术体系，实现了动态分布式业务应用系统模式。该系统既可以与商业银行的后台业务系统无缝联接，实现境内外币支付业务的大道直通处理，同时自己也拥有完整的业务处理工作流程，支持业务人员通过系统发起和处理境内外币支付业务报文，从而满足境内外币支付业务的要求。

ECP-PowerClear系统是在NCS开发的具有自主产权的SWIFT中间件平台系统——ECP业务整合平台(Exchange Connect Platform)的基础上开发的满足特定业务功能的解决方案，作为连接金融机构后台业务系统和SWIFT系统的中间平台，ECP业务整合平台能帮助两者进行简单高效的业务流程自动化处理。

除了ECP-PowerClear系统，NCS还开发了同样基于ECP业务整合平台的从事报文管理的ECP-PowerMessage系统和高度自动化银行支付类业务查询查复的ECP-PowerX系统。这些解决方案可以使银行机构能够快速、安全地部署系统(ECP或现代化支付系统)，降低运营成本、提高机构效率，从而增强银行的竞争力，并提高客户满意度。

NCS中国金融事业部总监秦纬业先生介绍说，“在广大金融客户的支持下，我们在国内的业务有了长足的发展，NCS赢得了世界顶尖金融机构和中国本土银行的青睐。在IDC2007年的中国金融支付和清算市场排名中，NCS排名前10位。我们将不断努力，为中国金融行业信息化贡献一份自己的力量。”

金融业信息安全 篇7

一、互联网金融给传统金融信息安全带来的影响

(一) 互联网金融时代的到来

阿里巴巴集团CEO马云曾说过:“如果银行不改变, 我们就改变银行。”短短几年时间, 在互联网技术飞速发展的推动下, 阿里巴巴的支付宝业务已是第三方支付领域的翘楚, 后来发布的余额宝产品更是引发了基金界地震。这些产品让同行及传统金融大亨们对其刮目相看。当下中国互联网金融发展之迅猛, 一时间不仅让金融界大吃一惊, 就连互联网金融自身也始料未及, 他们在心有余悸感触的同时, 也开始反思互联网金融未来发展的方向。虽然传统金融大亨们已经开始反击、应对新生互联网金融企业的挑战, 但互联网金融依靠虚拟化的服务方式、模糊化的业务边界、开放的经营环境和透明化的市场运行, 正在创造一个又一个的财富奇迹, 同时一场让传统金融格局发生质变的互联网金融大幕已经开启。

(二) 互联网金融对金融信息安全带来的影响

一是互联网金融让金融实现去中介化, 最终实现资金融通双方直接对接, 这一直是金融发展的一个重要目标。虽然互联网金融的实质就是以信息化为手段, 实现资金融通双方直接对接, 但是目前大多的互联网金融只是利用了互联网技术手段来从事金融中介业务, 还未能真正实现资金融通双方直接对接的目标, 不过它至少已经让人们看到“金融脱媒”最终实现的希望。

二是互联网金融让传统金融模式倍感压力。有别于传统金融, 互联网金融提供了更方便快捷的支付方式、更低的交易成本、更优化的资源配置方案, 这三大优势让传统金融的商业模式受到了史无前例的竞争压力, 这也是未来互联网金融立足金融业的根本基础。

三是互联网金融能解决一些传统金融长久以来无法很好解决的问题。互联网技术发展到今天, 云计算和大数据技术赋予互联网金融传统金融无法实现的一个最大优势——为小微客户提供成本最低的金融服务。所以占全国企业总数九成的小微企业, 在互联网金融时代到来后, 多年梦寐以求的低成本、高效率的融资服务得以实现。

四是互联网金融为创新提供了更广阔的舞台。虽然现在还不能准确预计互联网金融未来发展的方向, 但从目前互联网金融发展的三大形态——第三方支付、P2P和众筹融资, 可以基本明确未来的互联网金融发展一定是在网络IT技术突飞猛进的基础上, 将更多已有的线下金融服务变为线上金融服务, 让金融的创新空间得到大范围的扩张。

(三) 传统金融信息安全观正出现新的变化趋势

从以上互联网金融的实际发展变化看, 传统的金融安全观正在呈现出一些新的趋势。这些趋势一方面有别于传统金融信息安全观, 互联网金融虚拟化的服务方式、跨领域的业务开展、开放与透明的市场经营环境, 使其具备了互联网所包含的信息安全的动态性、综合性等特点;另一方面, 互联网金融背景下的信息安全风险, 除了具有传统金融业经营过程中存在的流动性风险、市场风险和利率风险外, 还存在基于信息技术导致的平台风险、技术风险、系统安全风险和基于虚拟金融服务的业务风险, 且风险诱因更加复杂、风险扩散传播速度快。

二、互联网金融时代, 金融信息安全面临的主要挑战

由于技术平台、安全防护机制尚不成熟, 除传统互联网自身安全风险外, 互联网金融信息安全正面临着新形势、新技术、新业态的全方位多层次的挑战。

(一) 互联网金融信息安全保障体系的建设速度滞后于互联网金融业务的发展速度

互联网金融在新兴技术的推动下, 第三方支付、在线理财、众筹网贷和在线保险等各类金融业务如雨后春笋般出现。因此病毒、木马等威胁比以往任何时候对金融信息安全的威胁都大。但是一个旨在全面支撑和保护互联网金融信息安全的保障体系还未到位, 面对互联网金融日新月异的发展速度, 符合互联网金融要求的信息安全保障体系建设已经迫在眉睫。

(二) 层出不穷的互联技术应用是当前金融信息安全面临的最大挑战

移动互联、云计算、下一代互联网和大数据等新兴技术的蓬勃发展, 是催生互联网金融时代快速到来的主要推手。一方面, 这些基于开放性网络的互联网金融服务, 使得以往金融信息安全技术防范已经不能全部适应新互联网技术的进步速度;另一方面, 这些新兴互联网技术自身还在不断发展, 其技术成熟度还不稳定, 特别是第三方支付、P2P等互联网金融新业态还处于起步阶段, 其信息安全管理水平不高。如何尽快建立一套既符合金融行业特点, 又能快速跟进互联网新技术发展需要的金融信息安全技术规范显得十分紧迫。

(三) 网络安全防控是互联网金融信息安全防范的难点

《2013年中国互联网发展报告》中指出2013年互联网遭到的网络攻击同比增长14%, 已经连续多年呈上升趋势, 其中涉及客户信用卡信息、各种资金账户信息的非法网络攻击行为增速位居前列。曾有专家说过, “互联网金融第一要素就是互联网, 安全就是生命线。”由于互联网模糊了传统金融领域的界限, 使得金融行为范畴借助互联网技术衍生到前所未有的新领域。一方面, 无论是传统金融机构还是新生的互联网金融公司, 来自互联网的各种入侵破坏行为已经成为日常信息安全防范的重点;另一方面, 在互联网开放性的影响下, 各类基于互联网平台的金融创新业务也带来一些类似网络洗钱和网上支付诈骗的社会安全问题, 这类网络安全防控不断突破传统金融安全的范畴, 让金融信息安全防范的工作变得更加复杂。

(四) 新生银行机构缺乏互联网金融信息安全防控方面的保障

随着中国银行业逐步向民营资本开放, 这些新生的民营银行机构, 包括一些地方性中小银行, 他们无论大小和成立时间的长短都想上马网上银行项目, 尽快发布互联网理财的金融业务, 目的就是搭上互联网金融的顺风车, 从互联网金融的大蛋糕中分得一份。但这些银行机构往往只看到了互联网金融低成本的一面, 却习惯性忽视了信息安全的投入, 这些机构迫切需要加大对互联网信息安全投入。

(五) 对互联网金融监管需要与时俱进的改进

2014年初, 金融监管当局多次强调互联网金融有两条红线不能碰, 一个是非法吸收公共存款, 另一个是非法集资。所以, 新时期下金融监管必须有一个符合时代发展要求的金融信息安全防范体系作保障。这一体系需要从技术和制度上确保足够的风险预警时间, 帮助金融监管当局最大限度避免互联网金融从线上向线下实体金融输出风险, 避免系统性金融风险。除此以外, 如何把控监管的度, 不让过度监管扼杀互联网金融, 也需要行之有效的信息安全防范做保证。

三、相关对策建议

(一) 完善顶层设计, 尽快构建适应互联网金融发展需要的金融信息安全保障体系

虽然我国已经建立了金融信息安全保障体系, 但这一体系是建立在原有金融信息化建设基础上, 主要是针对基于密钥管理、身份识别、核心数据访问控制等传统金融信息安全领域, 对迅速兴起的互联网金融没有充足的准备。面对新的形势, 《2013年中国互联网金融发展报告》建议尽快建立我国互联网金融安全主动防御体系, 它的核心就是建立国家层面金融与安全部门的信息安全服务保障联盟, 从而进一步完善现有的金融信息安全组织保障体系。新的金融安全保障体系要包含符合互联网金融快速发展需要的法律法规、自有知识产权技术、人才队伍建设和社会信用体系建设等内容。

(二) 加大自主知识产权的金融信息安全技术研发力度, 为金融信息安全体系建设提供可靠的技术保障

一是加快制定互联网金融信息安全标准规范, 进一步完善相关信息安全等级保护内容, 从而指导各类互联网金融业务服务平台安全建设和运营。二是深刻吸取“棱镜门”安全事件的教训, 大力研发具有自主知识产权的互联网信息安全技术, 避免出现关键核心技术受制于人的窘境。三是积极与安全部门合作, 加快研发互联网金融安全自动化实时监控技术, 及时发现和预防互联网金融犯罪。

(三) 加快安全网络体系建设, 最大限度提升金融网络防御攻击的水平

一是加快采用可信计算、可信网络等可信技术。在自主研发的基础上, 充分利用云计算和大数据分析的技术优势, 进行精准的信用习惯数据分析。通过掌握云计算分析的结果, 对网络平台可信程度进行评估。二是努力建设互联网金融征信网络。在可信网络的基础上, 通过整合互联网络、社交平台、政府征信资源等数据信息, 逐步建立面向互联网金融行业, 提供统一权威可信的征信服务网络。三是考虑建立以金融网络为基础的中国金融网 (CFNET) 。可以参考中国教育网 (CERNET) 或是中国科学技术网 (CSTNET) 的模式, 建设金融系统互联网络, 并接入公共互联网。同时根据不同行业进行接入分级, 金融行业为最高级, 其他行业根据可信级别进行区分, 这样可以很大程度解决互联网金融网络安全的问题。

(四) 加强对新生金融实体从事互联网金融业务的信息安全保障

一方面开展对新生银行机构从事互联网金融业务进行准入审批。通过建立制度提高新生银行机构从事互联金融业务的门槛, 对那些不具备实力, 信息安全保障投入不足的新生银行机构暂缓其涉足互联网金融业务;另一方面建议逐步建立由央行主导的互联网金融业务报备制度, 特别是对那些新发起涵盖银行、证券和保险综合性强的互联网金融业务实体, 进行严格的信息安全备案审查制度, 达不到标准不得开展相关业务, 或是降低开展业务规模和范围。

(五) 积极探索适合监管互联网金融的金融信息安全防范措施

金融业信息安全 篇8

在第16届亚运会即将在广州举行之际, 《华南金融电脑》杂志社和上海琮谷信息科技有限公司于4月30日在广州联合主办了“2010年广东金融行业信息安全高层专题研讨会”, 以进一步推动广东金融业信息安全建设。广东人民银行、银监局、证监局、保监局, 银行、证券、保险等金融机构科技部门的领导和安全管理人员共30多人参加了此次研讨会, 共同探讨金融业信息安全的热点和难点问题。

会议期间, 上海琮谷信息科技有限公司总经理张永勤先生结合金融业安全认证的发展趋势, 重点介绍了琮谷公司IDtrust安全认证管理平台, 并请工作人员现场示范电话认证这一具有创新意义的认证方式, 引起了与会领导的浓厚兴趣;飞塔信息科技 (北京) 有限公司中国区技术总监李宏凯先生分析了三层安全体系架构, 并向参会代表介绍了飞塔公司安全产品解决方案;EMC公司代表则重点介绍了EMC/R SA金融业信息技术风险管理解决方案。而广东省农村信用社联合社信息技术部副总经理韦旦博士则结合自身工作经验, 作了“Web时代银行信息系统的安全挑战和应对”的主题演讲, 细致地分析了银行信息系统面临的安全问题和应对策略, 引发了各位代表的深刻思考。

信息安全为金融创新保驾护航 篇9

金融创新需要信息安全的保障

信息网络的兴起和发展正改变着许多行业, 金融也在其中寻找创新的机会。在金融创新的过程中, 信息安全作为其保障, 重要性愈加凸显。

首先, 金融创新将会使金融业务在更大程度上依赖于信息网络, 这种依赖将使海量的数据进入网络, 从而对信息安全必须提出更高的要求。其次, 云计算、大数据、移动因特网、物联网、智慧城市等新一代信息技术的发展, 也使金融行业的应用环境更加复杂、更加多样, 带来信息安全保障的更大难题。针对这两点, 信息安全工作在金融创新的过程中是十分重要的, 对其要求也越来越高。

“棱镜门”事件曝光之后, 原来依托国外软硬件建立起来的金融业务平台, 其安全感瞬间降低, 信息安全隐患也得到了高度的重视。人们认识到, 如果信息系统中软硬件不能自主可控, 信息安全是无法得到保障的。例如按照美国法规 (《爱国者法案》等) , 美国公司必须将其掌握的用户数据提交给安全部门进行监控, 所以我们更要正视因信息系统中采用外国跨国公司的技术和设备而带来的安全风险。在此背景下, 我国金融业的信息安全问题和现状需要得到重新的认识。

目前, 我国金融业中普遍采用了国外的产品, 主要是IBM、甲骨文 (Oracle) 和EMC等企业的软硬件。随着“棱镜门”事件的曝光, 人们认为, 要解决金融业的信息安全问题, 提高安全等级, 必须“去‘IOE’”, 即使用国产软硬件来替代以“IOE”这三家为代表的跨国公司的软硬件。

金融业去“IOE”只是我国各行业各领域目前进行的若干国产化替代工程之一。但这是否不符合“国际化”的潮流呢?确切地说, “国产化替代工程”和“国际化”潮流两者之间并不存在冲突, 因为某些领域并不适合“国际化”。许多发达国家在信息技术领域都是坚持研发和使用本地的产品。例如美国, 其生活用品许多是由其他国家生产的, 但信息领域全部采用国产产品和服务, 丝毫没有“国际化”的痕迹。近段时间, 我国华为、中兴的通信产品因性价比较高, 在美国市场上受到青睐, 但美国政府以存在安全风险为由, 宁愿违背自由竞争的市场经济原则, 也要将华为、中兴排除在美国市场之外。同时, “棱镜门”此类事件凸显增强信息安全的迫切性, 因此, 我国在对待信息领域产品方面要借鉴美国等发达国家的经验, 支持国产IT产品在行业中的应用。

国产化替代工程

从历史上看, 我国重要行业、重要信息系统大量采用外国技术及设备是由于过去我国的信息技术和产业都很落后, 许多核心的技术都掌握在外国企业中, 不得不采用进口的技术和设备。但随着我国在信息技术和设备研发的重视和投入加大, 已经有许多成功的国产化替代例子。比如北斗全球定位系统、TD-SCDMA和TD-LTE等已经成为国际上位于前列的系统或标准。同样, 在信息基础设施方面, 百度、阿里、腾讯等许多因特网企业的云计算中心都采用了大量国产软件, 华为、中兴等公司也已经能够提供性价比高的信息基础设施, 能够支撑大型跨国公司基于云计算的信息系统。这也进一步说明了我国实行国产化替代的时机基本成熟。

国产化替代的实施

当前正值国产化替代的黄金时期, 但要实施并完成这一历史使命, 仍然需要多方的努力。一方面要更好地发挥市场在资源配置中的决定性作用, 建立以企业为主体, 以市场为导向的技术创新体系, 鼓励形成更多“政产学研用”相结合的产业联盟, 如国产主机产业联盟这一类型的NGO组织。另一方面, 相关部门要给予更多政策红利, 鼓励社会各行各业使用国产的产品和服务, 引导社会相关资金投入到国产技术和设备的研发, 同时鼓励相关的公益组织良性发展, 使之发挥创新精神, 带动相关产业的发展。

为了保证国产化替代工程的成功实施, 客观地衡量国产化替代的效果, 在替代过渡和实验的过程中, 需要制订相应的评价指标。指标至少涵盖以下5个方面:功能, 产品是否能够完成所需的任务;性能, 应用是否有足够的效率;稳定性, 产品是否能够持续工作;用户体验, 用户是否感到满意;迁移性, 即是否能够保护用户已经形成的数据资产, 在替代过程中不会造成重要数据丢失。同时, 根据特定的场合, 可适当加入其它特定的评价指标。

K迁工程

K迁工程是一个重要的国产化替代的成功工程, 主要适用于金融等相关领域, 是以浪潮集团自主开发的K1主机为核心的国产软硬件替代工程。

浅论金融信息安全关键技术 篇10

金融风险防范是任何国家在经济政治领域里的一个永恒的话题。随着金融电子化的高速发展, 计算机通信在金融领域的广泛的应用, 尤其是在网络银行以及电子货币上发展, 使得金融信息安全形成的潜在风险已经成为现代金融风险当中的主要的内容, 给传统的金融业务当中的市场风险、信用风险、管理风险、操作风险添加了新的技术内涵。信息安全技术在金融电子化系统当中的有效的管理和合理的运用成为现代金融风险防范控制的主要课题。

1 常见的信息安全威胁

信息系统在许多可以引起各种重大损失的威胁面前是脆弱的。各类威胁可以是内部某个雇员对系统的欺骗, 也可以是外部黑客或者存心的数据录入员。各种威胁的影响各不相同, 有些影响数据的完整性和保密性, 有些则会影响数据系统的可用性。

1.1 差错和遗漏

差错和遗漏是严重威胁了数据的完整性, 差错不仅仅可能是由每天处理数百比交易的数据录入员引起的, 也可能是由各类用户产生的。因此, 良好的安全意识以及培训程序有利于减少差错和遗漏。在某些情况下, 差错就是威胁, 会数据的崩溃。

1.2 系统的漏洞

系统漏洞通常是开发者有意设置的, 这样做的目的是为了使自己在用户失去了对系统的所有权访问时候仍然能够进入系统。系统漏洞引起的安全威胁很多, 有时候操作系统的服务程序会绕过计算机的安全系统访问数据, 任意对存储的数据进行修改删除等。

1.3 恶意黑客

一些计算机黑客能够在别人未发觉的情况下, 仅仅依靠随处可以买到的计算机以及简单的网络设备, 利用信息系统上安全措施上的种种漏洞, 自由的进出联网的信息系统, 盗取有用的数据信息。

1.4 恶意代码

恶意代码是指一些病毒、蠕虫、逻辑炸弹和其他的不受欢迎的软件。这些软件或者病毒程序能够在不经过用户许可的情况下, 在用户的计算机终端上运行, 侵犯用户的合法权益。这些代码或者恶意的软件往往是故意编写的, 会对信息的安全产生极大的威胁。

2 金融信息网络的关键防范技术

为了确保金融网络信息信息的安全, 在实际的应用当中采用的安全技术通常有如下的几种。

2.1 访问控制技术

访问控制是金融计算机网络安全防范和保护的主要的策略。访问控制根据网络当中主体和客体之间的访问授权的关系, 限制访问的过程, 主要可分为自主访问控制和强制访问控制。自主访问控制主要是基于主体以及其身份来控制主体的活动, 能够实施用户权限的管理、访问属性的读写管理、强制访问控制则强调对每一主体、客体进行密级的划分, 并采用敏感的标识主客体之间的密级, 保证网络资源不被非法的使用和访问是其主要的任务。

2.2 病毒防范技术

计算机病毒实际上就是一种在计算机系统运行过程当中能够实现传染和侵害计算机系统的功能程序, 病毒违反授权攻击成功后, 攻击者通常植入木马或者逻辑炸弹等程序, 为以后攻击系统提供了方便。网络环境下, 计算机病毒具有不可估量的破坏。金融系统当中计算机病毒的防范, 除了要加固隔离系统本身外, 主要采用实时扫描检测的方法。随着计算机技术的不断的发展, 当前的杀毒软件也正面临着互联网的挑战, 这就要求杀毒软件能支持金融系统所有可能用到的互联网协议以及邮件系统, 并且能够适应及时跟上瞬息万变的时代步伐。

2.3 防火墙技术

“防火墙”技术是通过隔离网络做拓扑结构和服务类型, 从而加强网络安全的一种手段。它所保护的对象是网络当中有明确闭合边界的一个网块, 其防范的对象则是保护网块外部的威胁。因此, 防火墙技术最适合在企业专网当中使用, 特别是在企业专网和公共网络互连的时候使用。使用防火墙可以隔离金融内外部网络。防火墙具有防御措施、限制网络的访问、限制服务的开放等, 已经成为金融计算机网络安全防护体系当中的一个重要的组成部分。

2.4 信息加密技术

信息加密技术是保障信息安全最核心最基本的技术措施。信息加密也是现代密码学的重要的组成部分。信息加密过程中涉及到形形色色的加密算法, 它能够以很小的代价来提供很大的安全保护。在大多数的情况下, 数据加密是保证信息机密性的唯一的方法。目前, 已经公开的加密算法已经达到了数百种, 按照收发双方密钥种类划分, 可以分为常规密码算法和公钥密码算法。

2.5 VPN 技术

虚拟局域网 (VPN) 是由一些端系统组成的虚拟的局域网。虚拟局域网超越了传统的局域网的物理位置的局限性。这种虚拟的专用网络是基于Internet等公用开放的传输媒体, 通过加密验证等安全机制建立的虚拟数据传输通道, 从而能够保证公共网上传输私有数据信息不被窃取篡改等。这种技术目前在电子商务、电子政务上得到了广泛的应用。

3 结论

金融网络信息安全是一个系统的工程, 它和网络系统的复杂度、运行的层次位置都有很大的关系。因为金融网络的动态特性, 可能在一定的安全策略下, 网络是安全的, 但是随着时间的推移或者环境的改变, 网络的安全程度也随着发生了改变。因此, 金融的网络安全必须采用纵深配置、多样性的技术手段来保证金融信息的安全防护。

摘要：随着金融业网络水平的提高, 金融系统出现了越来越多的安全隐患, 因此如何建立一个高效的金融网络信息安全系统成为一个现实而又迫切解决的问题。本文在分析金融信息安全威胁的基础上, 有针对性的对金融信息安全的关键技术进行分析。

关键词：金融,安全

参考文献

[1]陈静.银行信息化发展趋势[J].中国信息化, 2008, 24 (3) :20-24

[2]崔颖安, 陈皓.大集中环境下商业银行信息安全系统的研究[J].计算机工程, 2008 34 (22) :162-164

[3]李建华, 陈松, 马华.SOA参考模型与应用研究[J].计算机工程, 2006, 32 (20) :100-101

金融市场·产业信息 篇11

0•6%

5月份，全国70个大中城市房屋销售价格环比上涨0.6%，涨幅比上个月增加0.2%，其单月上涨幅度已经接近2007年楼市高峰水平。

-44亿美元

截至今年4月底，中国持有的美国国债为7635亿美元，低于3月底的7679亿美元。这意味着，4月份我国减持了约44亿美元美国国债。

97•64亿千瓦时

6月上旬全国统调发电量同比下降0.17%，降幅明显缩窄。而此时段的日均发电量已经上升至97.64亿千瓦时，为今年1月以来最高。

-26•4%

5月，我国出口下降26.4%，这是过去7个月出口连续下降中，降幅最大的月份。

11•1年

英国石油公司(BP)发布的《2009年全球能源观察》报告显示，按照目前的探明储量和开采速度，中国石油只够用11.1年。

4•8%

5月份，全国财政收入6569.47亿元，比去年同月增加301.32亿元，增长4.8%。5月份出现同比增长尚属今年首次。

金融市场

IPO上路

证监会6月10日正式发布《关于进一步改革和完善新股发行体制的指导意见》，自6月11日起施行。

证监会预期通过此项改革，使得市场价格发现功能得到优化，买方、卖方的内在制衡机制得以强化，缓解巨额资金申购新股状况；同时，在风险明晰的前提下，中小投资者的参与意愿得到重视，向有意向申购新股的中小投资者适当倾斜。

上海成立国内首家文化产权交易所

6月15日，由上海联合产权交易所、解放日报报业集团、上海精文投资公司联合投资创立的上海文化产权交易所正式揭牌。

上海文化产权交易所是国内率先建立的以文化物权、债权、股权、知识产权等为交易对象的专业化市场平台，将促进文化产业与金融资本的对接，成为上海及国家文化体制改革的重要市场平台。这也是上海国际金融中心建设的组成部分之一。

美国公布金融监管改革白皮书

6月18日，奥巴马政府正式宣布了长达88页的金融监管体系改革“白皮书”。这份影响深远的监管计划内容之详尽几乎涉及到银行和市场的方方面面，改革力度之大自上世纪30年代以来前所未有。

此次改革内容主要涵盖五大方面：一是授权美联储对大型金融公司实行强有力和持续性的监管；二是首次要求国会授权拆分那些陷入困境的大型金融公司的权力，避免个体垮台将危及整体经济；三是将联邦监管范围扩大到金融市场监管的灰色地带，复杂衍生品交易以及抵押贷款担保证券的交易都将置于监管之内；四是创设一个新的机构，保护抵押贷款、信用卡和其他金融产品消费者的利益；五是推动全球金融监管的协调工作。

产业信息

国家发布生物产业发展政策

2009年6月15日，国务院下发的《促进生物产业加快发展的若干政策》全文公布，《政策》特别提到，将引导社会资金投向生物产业，并且鼓励设立、发展生物技术创业投资机构和产业投资基金。

同时，《政策》还表示，将积极支持符合条件的中小生物企业在中小企业板和创业板上市，鼓励符合条件的生物企业在境内外上市筹资。开展生物产业基地内具备条件的生物企业进入证券公司代办系统进行股份转让试点，推进未上市生物企业股权的流通，拓宽创业投资退出渠道。支持符合条件的生物企业发行企业债券、公司债券、短期融资券和中期票据等，开展生物产业基地内企业联合发行企业债券试点。

中铝与力拓195亿美元交易夭折

6月5日中国铝业公司确认，力拓集团董事会已撤销对今年2月12日宣布的195亿美元交易的推荐，并将依据双方签署的合作与执行协议向中铝支付1.95亿美元的“分手费”。

我国调整成品油价格

国家发改委5月31日晚十点在其官方网站宣布，自6月6日零时起，将汽、柴油价格每吨均提高400元。

官方上一次调整成品油价是在今年的3月25日。当时，汽油、柴油价格每吨分别上调了290元和180元。

发改委透露，自上次调价以来，国内成品油价格调整参考的国际市场原油价格也已由当时的每桶45美元左右上涨至目前的70美元左右。根据完善后的成品油价格形成机制，决定上调汽、柴油价格，并综合考虑相关因素，适当缩小了价格调整的幅度。

家电、汽车鼓励以旧换新

今年国家安排财政资金20亿元，在上海、北京、天津、江苏等9省市，开展电视机、电冰箱、洗衣机、空调、电脑等5类家电产品“以旧换新”试点。补贴资金由中央财政和试点省市财政共同负担。

方案规定，消费者通过网络或者电话提出交售旧家电，回收企业上门收购，并向消费者开具国家统一印制的家电以旧换新凭证。家电销售商凭家电以旧换新凭证，按照新家电售价减去补贴后的价格销售给消费者。财政部门根据销售商的有关记录和凭证给予补贴。回收企业收购的旧家电一律交售给拆解处理企业。

在汽车更新方面，方案明确，2009年在已安排老旧汽车报废更新补贴资金10亿元的基础上，国家再安排40亿元，对符合一定使用年限要求的中、轻、微型载货车和部分中型载客车，以及“黄标车”适度提前报废并换购新车，给予不高于同型车辆单辆车辆购置税金额补贴。其中，“黄标车”主要指污染物排放达不到国I标准的汽油车和达不到国Ⅲ标准的柴油车。

新售个人电脑将预装上网过滤软件

金融信息安全分析之我见 篇12

关键词：金融信息化,信息技术,安全

我国的金融信息化已经走过20多个年头, 在数万金融科技工作人员的努力下取得了巨大的成就, 从无到有、从有到精、由点及面, 初步建成了成熟完整的金融信息体系。然而, 安全是金融信息系统的生命。在金融信息系统日益发展, 信息越来越向上集中, 规模越来越大, 金融业对它的依赖性不断增加的同时, 金融信息化系统安全的重要性也与日俱增。目前, 我国金融信息化已进入了体系化信息安全管理的阶段, 亟待建立一套金融信息安全保障体系。

1 金融信息面临的安全风险

金融行业的信息系统面临的安全风险, 主要体现在以下四个方面:

1.1 金融信息化的加速和信息网络化的

推进, 使得金融行业在国民经济中的地位进一步提高, 其他行业对金融的依赖性也进一步加强。但是越来越多的信息电子化, 使金融信息系统内部采集、存储、传输、处理的信息量越来越大, 信息的重要程度也越来越高。如何确保这些关系到国计民生的金融数据的安全采集、安全存储、安全传输和安全处理, 成为金融信息系统建设面临的重要挑战。

1.2 随着金融网上业务的拓展, 诸如信

用卡号失窃、电子欺骗等金融犯罪活动逐年增加。作为开展网上交易活动的基础设施———金融信息系统, 应该具备对此类活动的事前监控预警、事中保护反击、事后审计分析的能力。

1.3 金融信息化的加速, 必然会使金融信

息系统与国内外公共互联网进行互联, 那么, 来自公共互联网的各类攻击、病毒及入侵将对金融信息系统的可用性带来巨大威胁。

1.4 随着金融信息化的加速, 金融信息

系统的规模逐步扩大, 同时金融信息资产的数量也将急剧增加, 如何对这些大量的信息资产进行有效的管理, 使不同程度的信息资产都能得到不同级别的安全保护, 将是金融信息系统安全管理面临的巨大挑战。

2 金融信息安全建设的要点

目前, 金融业的计算机系统除应用于日常的门市业务外, 还兼有信息管理、决策支持等方面的功能。计算机网络系统和应用的规模与上个世纪相比, 有了质的飞跃, 特别是互联网的使用, 使得计算机系统的安全在整个信息系统的安全建设中, 具有举足轻重的地位。

2.1 金融业的业务系统和渠道建设。

该系统建设是信息系统建设最重要的组成部分。目前使用的渠道多种多样, 有网上、手机、柜台、自助设备、电话等, 每一个渠道所引申的系统都成为信息安全一个重要的分支。

2.2 计算机网络系统和设备。网络系统和网络设备, 是计算机系统的一个重要载体。

计算机网络在信息安全体系中, 扮演了重要角色。网络的安全取决于线路、网络设备及所有接入该网络的接点。目前在我国, 中国电信、中国联通等电信运营商, 作为金融业网络运行的承运商, 拥有良好的运营性, 金融业全面依赖他们所提供的网络连接, 在其网络连接介质上进行业务处理。但是, 也许正是因为这一点, 潜在着巨大的风险隐患。

2.3 金融行业使用的介质。

目前金融行业使用的介质有存折和卡, 卡有IC卡和磁卡。IC卡源于欧洲, 国内的IC卡使用理论经纬环境尚不完全具备, 因此使用更为广泛的是磁卡, 目前国内发行的贷记卡、借记卡多用磁卡。在磁卡的使用上, 客户的素质和使用手段, 也有可能影响信息系统的安全, 这一点在银行业中体会尤深。一些居心不良的人员, 利用银行业应用系统的漏洞, 不断挑起事端, 提取诉讼, 让银行蒙受损失。

2.4 金融业数据集中。

近几年来, 金融业的数据集中已呈越来越大越快的发展趋势, 而数据集中所带来的信息安全风险和隐患也随之增加。产生了以下两个问题:

2.4.1 灾难备份问题。

如何确保系统在发生故障时, 能够有有效的、安全的应急手段, 为从业人员所关注。一方面要有良好的应用手段, 对故障进行有效的处理;另一方面, 当设备和网络出现故障时, 能在最短的时间内进行最有效的恢复, 这一点, 又必须对客户是透明的。这样的处理方式, 能够为广大客户所接受, 但实施起来并非易事。

2.4.2 风险集中问题。

数据集中后, 数据的安全完全集中到某一地, 加大了防范的难度。在物理安全防范上, 由于国内政局稳定, 最易被忽视。其实数据集中后, 信息安全过于集中而遭受攻击或破坏的可能性大大增加。

2.4.3 金融业从业人员的道德问题。

所有的信息系统建设都要依赖于人去进行, 据统计, 目前发生的危害信息系统安全的行为, 80%出自金融行业内部人员所为。经常有金融单位的柜员或技术开发人员, 以及某个部门的主管领导, 利用系统的漏洞, 肆无忌惮地窃取国家和客户的资金。这也是金融行业的信息安全最难于管理的部分。

2.4.4 相关法律法规的建设。

信息技术在国民生活中所起的作用已经越来越大, 规范人们的行为, 约束从业者的作为, 已经迫在眉睫。这些年来, 有关金融行业信息系统的相关案件的处理, 更多适用的是《中华人民共和国刑事诉讼法》的相关条款, 而对诸如知识产权、信息入侵、窃取资金, 乃至有意无意地破坏信息系统安全的各类行为的法律责任认定上, 尚比较模糊。

3 金融信息安全保障体系的构建

3.1 要进一步加强金融信息的保密工

作。随着信息技术的迅猛发展与广泛应用, 窃密手段更加隐蔽, 泄密的隐患增多, 泄密所造成的危害程度更大, 故保密工作面临许多新情况新问题。金融行业具备特有的高保密性, 对于各种涉及安全性信息的上传下达要求高。因此, 一要树立正确的保密意识。加入世贸组织“无密可保”、“有密难保”、“保密无用”的错误思想。二要抓好保密管理。三要抓好加密技术创新, 大力开发关键性技术, 使保障金融网络安全的密码技术、商用加密技术、身份鉴别技术、防火墙技术、攻击监测技术、病毒防御技术在网络银行上发挥应有的作用。

3.2 要建立和完善金融信息标准化体系。

金融信息标准化体系是带动我国金融IT技术与应用发展的关键, 是我国金融信息应用成熟发展的主要措施之一。对于我国来说, 目前要做的主要具体工作是, 要完善金融信息化标准体系总体规划, 确定我国金融信息标准体系的目标、任务、发展阶段策略和原则等, 全面规划银行通讯和网络技术设施建设, 区分银行面向社会服务、银行内部服务和中国银行监管的工作, 实施这些网络的业务分开, 提出统一业务平台体系, 提出银行信息认证技术框架和公共的必要设施。要建设我国自助的信息化标准体系, 必须与国际接轨, 同时我国金融信息化标准又必须维护国家主权和安全。

3.3 要大力培养金融信息化专业人才。

目前我国金融从业人员达到硕士以上学历的不足1%, 远远不能满足国内银行业的蓬勃发展。因此, 要培养具备以下方面的人才:一是金融经济与管理方面的基础知识;二是信息化方面的知识, 包括数据库知识;三是金融方面的业务知识, 如国际金融等。目前既懂“金融”又懂“IT”的复合型人才, 已是高端人才市场竞争的“焦点”, 而且在人才方面更重视的是“业务技能”导向而不是“理论”导向的学者。

参考文献

[1]张立洲.论金融信息化对金融业的影响, 财经问题研究, 2003 (3)

[2]李志彤.我国金融信息化现状与发展策略, 中外管理导报2002 (12)