上一页 目录 下一页 
 
金融业信息安全建设之我见
钱永华 专家

  在我国加入WTO以来,金融业即将进入全面开放的时代,金融行业信息安全问题也随之成为政府机构和相关行业关注的焦点。本文拟就金融行业的信息安全问题,作一点探讨。
  目前,金融业的计算机系统除应用于日常的门市业务外,还兼有信息管理、决策支持等方面的功能。计算机网络系统和应用的规模与上个世纪80年代相比,有了质的飞跃,特别是INTERNET的使用,使得计算机系统的安全在整个信息系统的安全建设中,具有举足轻重的地位。
  首先,金融业的业务系统和渠道建设。该系统建设是信息系统建设最重要的组成部分。目前使用的渠道多种多样,有网上、手机、柜台、自助设备、电话等,每一个渠道所引申的系统都成为信息安全一个重要的分支。
  由于信息安全的特殊性,对任何一个渠道的使用,都有可能产生相应的信息安全盲点,而任何一个盲点都有可能导致整个系统被侵入、被攻击,乃至崩溃。因此在信息系统的安全建设过程中,对渠道的安全建设首当其冲。
  目前所使用的防范手段主要有:在网上采用密码、安全证书论证、USB接口的硬件设施等,通过以上手段对客户进行个人身份论证。更多的时候是采用密码方式进行安全防护。
  作为计算机系统安全的一个重要部分,渠道的安全接入方式,对信息安全建设十分重要。
  其次,计算机网络系统和设备。网络系统和网络设备,是计算机系统的一个重要载体。计算机网络在信息安全体系中,扮演了重要角色。网络的安全取决于线路、网络设备及所有接入该网络的接点。
  目前在我国,中国电信、中国联通、中国网通、中国铁通或其他电信运营商,作为金融业网络运行的承运商,拥有良好的运营性率,金融业全面依赖他们所提供的网络连接,在其网络连接介质上进行业务处理。但是,也许正是因为这一点,金融业将会付出代价。
  现在,已经有越来越多的金融从业人员认识到这个问题。一方面在网络介质供应商的选择上不再盲目选择一家供应商;另一方面在信息传输时采用不同的技术,以防范来自供应商有意无意的信息攻击。
  目前,国内外有数十家网络设备供应商在为金融业提供不同的网络设备,金融也在选择相关网络设备时,一直比较注重设备的质量和价格。但在选择网络设备时,设备的安全性能应是重点关注的因素。在互联网使用的广度不断拓宽,使用层面不断加深的情况下,网络设备供应商可以借助无处不在的INTERNET,对自己生产的产品发送各种指令,进行相关的监控、维护乃至修复。因此存在网络设备供应商对自己供应的产品进行远程操控的可能。而目前我们在对网络设备供应商的选择上,完全基于对其资质的信任,而没有进行主动防范。
  在网络接入的接点上,一个金融企业,小到数百个,大到数十万、数百万,每一个信息接点都有可能成为危害信息安全的入口。在日常的管理工作中,我们不难发现就是因为某一个接点的问题,导致整个网络系统的瘫痪,也曾发现过有人利用与他人相同的地址接入网络,使本应能正常操作的设备不能正常工作,从而影响了某个部门乃至整个企业的正常运作。
  第三,金融行业使用的介质。目前金融行业使用的介质有存折和卡,卡有IC卡和磁卡。IC卡源于欧洲,国内的IC卡使用环境尚不完全具备,因此使用更为广泛的是磁卡,目前国内发行的贷记卡、借记卡多用磁卡。
  在磁卡的使用上,客户的素质和使用手段,也有可能影响信息系统的安全,这一点在银行业中体会尤深。一些居心不良的人员,利用银行业应用系统的漏洞,不断旨在事端,提取诉讼,让银行蒙受损失。我们经常可以看到不法分子利用磁卡窃取银行客户的信息而作案;或内外勾结,利用银行工作人员的疏忽,窃取客户和国家资金;或银行从业人员利用管理上的漏洞进行贪污;或利用银行提供的新的服务功能的缺陷,盗取资金。
  因此在介质的选择和介质上存在的更多的金融信息,也是计算机安全防范的一个重要组成部分。
  第四,金融业数据集中。近几年来,金融业的数据集中已呈越来越大越快的发展趋势,而数据集中所带来的信息安全风险和隐患也随之增加。我们经常在各种媒体上看到某某银行因主机系统故障导致多个省市关联银行停机数小时,相关业务不能处理;也曾出现过某一著名银行因网络系统故障,导致所有的柜员机不能正常工作。在数据集中的趋势下,产生了以下两个问题:
  一是灾难备份问题。如何确保系统在发生故障时,能够有有效的、安全的应急手段,为从业人员所关注。一方面要有良好的应用手段,对故障进行有效的处理;另一方面,当设备和网络出现故障时,能在最短的时间内进行最有效的恢复,这一点,又必须对客户是透明的。
  这样的处理方式,能够为广大客户所接受,但实施起来并非易事。
  二是风险集中问题。数据集中后,数据的安全完全集中到某一地,加大了防范的难度。在物理安全防范上,由于国内政局稳定,最易被忽视。其实数据集中后,信息安全过于集中而遭受攻击或破坏的可能性大大增加。如果已经实施数据集中的某地信息中心遭受恐怖袭击,其所造成的灾害可能比“911”更大,影响更深远,这决不是危言耸听。
  此外,数据集中的防水、防地震、防辐射等物理防范上,在国内依然没有引起足够的重视。我们经常可以看到某个数据中心所在的建筑物,人员可以随意进出;或建筑物处在垃圾成堆、蚊虫滋生的工业区内。
  数据集中后的数据中心建设,应引起主管信息安全的各领导者、决策者的高度重视。
  第五,金融业从业人员的道德问题。所有的信息系统建设都要依赖于人去进行,据统计,目前发生的危害信息系统安全的行为,80%出自金融行业内部人员所为。经常有金融单位的柜员或技术开发人员,以及某个部门的主管领导,利用系统的漏洞,肆无忌惮地窃取国家和客户的资金。这也是金融行业的信息安全最难于管理的部分。
  如何防范此类道德风险,一方面要从技术上加强管控,让有犯罪动机的人在技术上无从下手,无法作案;另一方面,要使犯罪的风险成本大大增加,不敢作案。
  第六,相关法律法规的建设。信息技术在国民生活中所起的作用已经越来越大,规范人们的行为,约束从业者的作为,已经迫在眉睫。这些年来,有关金融行业信息系统的相关案件的处理,更多适用的是《中华人民共和国刑事诉讼法》的相关条款,而对诸如知识产权、信息入侵、窃取资金,乃至有意无意地破坏信息系统安全的各类行为的法律责任认定上,尚比较模糊。
  因此,制定并颁布具有中国特色的信息安全管理法,是当务之急。
  总之,金融行业的信息安全建设,是一个庞杂的系统工程,信息系统的安全与稳定,有赖于应用系统的安全、应用渠道的安全、网络系统和设备的安全、从业人员的道德、完善的法律法规和科学的管理。
  其中,科学的管理是信息系统建设的灵魂,完善的法律法规是信息系统建设的根本保证。
  我们应在计算机信息安全立法的基础上,利用良好的信息安全管理手段,通过对新时期计算机信息安全技术的科学分析和论证,利用一切可能的技术手段,充分化解上述各方面存在的风险,堵塞其中的漏洞,才能构建起让管理者放心、使用者满意的信息系统。


   编者的话
   精选论文
   聚焦
   本刊特稿
   外围设备篇
   系统集成篇
   金融机具篇
   网络技术篇
   安全防范篇
   证券市场篇
   邮电税保篇
   资源管理篇