金融电子化信息安全保护技术探究

何汉

摘要：随着互联网技术以及计算机技术的飞速发展，金融电子化给现阶段金融业发展带来空前的机遇，但是却让其不得不面临非法外联、网络钓鱼等信息安全方面的问题。所以，文章基于基本的金融电子化以及信息安全受到的主要威胁进行探讨，分析了金融电子化信息安全保护技术，希望对于金融业的发展有一定的借鉴意义。

关键词：金融电子化；信息安全；保护

随着金融电子化建设从无到有，从原本的内部信息系统电子化逐渐发展到对外业务的网络化，从原本的单一业务网络化朝着综合业务网络化发展，取得了一定的成绩，将传统模式下的金融业务处理方式改变。但是就目前金融信息安全建设的水平来看，依旧存在落后于电子化水平的问题。无论是在金融系统的内联网之中，还是接入对外服务网络，都置于各式各样的安全分级风险之中。随着金融电子化的不断发展，其面临的安全风险也越来越大。

1 金融电子化

金融电子化指的是通过网络技术、计算机技术以及通信手段等一系列现代化技术，将传统的金融业工作方式改变，实现金融业务处理的自动化、管理信息化以及金融服务电子化，这样就可以为客户提供快捷方便的服务，为国民经济各个部门提供准确、及时信息的全部活动过程。其属于一个综合各个不同应用形式、各种层次应用为主要特征的金融计算机信息系统应用总称。也就是在银行、保险、政权以及其余金融机构之中提升工作效率，需要围绕金融业务以及银行管理现代化进程之中所使用的现金电子设备或者是计算机信息系统，都包含在金融电子化的范畴之中。而金融电子化的最终目标就是为了建立金融信息系统，从而方便金融业务的处理、金融决策的制定以及开展金融信息管理[1]。

2 金融电子化中的信息安全威胁

在金融电子化的信息安全威胁中，主要包含了非法外联和网络钓鱼两个方面。

2.1非法外联

长久以来，安全防御理念都局限于网络便捷、常规网关级别等防御之中，重要的安全设施大部分都集中在机房以及网络入口的位置上，在这一部分设备的监控下，来源于外部网络的威胁就减少了很多。但是来源于网络内部的安全威胁，却是现阶段网络管理人员需要面临的主要问题。为了满足涉密网络安全运行要求，在公共信息网络和涉密网络之中实现物理隔离，就成为当前真正需要解决的问题之一。实施物理隔离，可以在公共信息网络与涉密网络之间建立一条安全边界，其主要目的就是为了建立出可信并可控的内部安全网络。

就目前的网络管理工作来看，客户端安全管理是主要部分，而客户端安全管理同样也是对网络产生最大威胁的一部分，经常会有安全隐患存在。众所周知，内网客户端组成了90%的内网，是内网安全管理的核心。通过大量的实践表明，单纯的物理隔离是无法将内部网络和外部网络完全隔离开的。对于内网的客户端机器，依旧存在非法外联的安全隐患[2]。

第一，内外网线出现交叉错接的问题。第二，内网客户端机器使用拨号、WiFi无线上网、GPRS/CDMA无线网卡等方式接入外网。第三，方便携带的笔记本电脑直接接入内网，然后又接入到外网使用。这些人为的故意或者是无意的疏忽，就很容易在内网与外网之间建立新的通道，导致黑客攻击或者是病毒直接绕过了防护屏障，进入非法外联的计算机，从而窃取机密数据和敏感信息，导致泄密事件出现，甚至会造成整个内网出现瘫痪。尤其是对于金融业具有较高保密级别的财务信息中心这种内联网，需要格外注意。

2.2网络钓鱼

网络钓鱼主要是为了窃取用户的网上支付账号、银行卡号等私人信息，其主要的攻击步骤为：建立钓鱼网站一分发钓鱼网站一欺骗用户输入相应的账号与口令一关闭网站。对于网络钓鱼网站，其主要的技术有以下几个。

2.2.1相似欺骗 相似欺骗是使用最频繁的一种技术，就是利用与合法页面相类似的网页，很容易让用户以为钓鱼网站就是合法网站。

2.2.2 DNS注毒（Pharming）

也就是钓鱼者在域名系统（Domain Name System，DNS）解析上做手脚，当用户访问合法网站的时候，错误的DNS解析就会给用户返回钓鱼网站IP，这样就会让用户无意之下访问钓鱼网站。实现Pharming包含了修改本地Hosts文件、修改DNS服务器配置等方法。

2.2.3恶意软件

恶意软件指的是用户终端直接窃取了用户信息，如坚挺键盘输入、诱导用户主动访问等。KeyLogger等恶意软件在最初阶段并非网络钓鱼一类。但是之后在APWG定义之中，就将其判定为恶意软件。

2.2.4垃圾邮件

传播钓鱼网站信息，垃圾邮件是主要的途径之一。钓鱼者向着用户发送垃圾邮件，并且告知其网上银行出了问题，让其登录输入口令来解决这一部分问题，之后在邮件行附带网上银行的链接，这些链接之中显示有网上银行的URL，但是其锚都是指向的钓鱼网站[3]。

3 金融电子化下的信息安全保护技术策略

金融电子化信息安全保护技术，首先需要建立完善的信息安全策略，在策略的支持下，再配合信息安全保护技术，这样才能够让金融电子化信息安全保护满足金融电子化的发展要求。

3.1确立完善的信息安全策略

3.1.1实施安全教育

对于财务信息中心这一种离不开计算机的企事业单位，一定要注意信息安全。首先需要一套完善的安全管理办法的支持，再配合上完备的网络安全管理系统。作为办公人员，需要提升危机意识和网络素质，确定用户授权的谨慎原则与重要性，网络管理部门需要做好先进追踪审核体系的配置，并且普及网络安全知识。

3.1.2建立图文档的加密流程

这一种加密技术指的是在无人操作的时候，系统会自动识别计算机之中运行的涉密数据，然后强制性、自動化地进行加密操作。这一种功能可以从根本上解决信息泄密的问题。

3.1.3建立安全操作平台

就来源和途径分析，数据出现失窃与服务器运行平台的安全性有着直接的联系。SMTP安全、FTP协议安全以及万维网安全，共同组成带来坚实的数据安全基础，也成为网络产品的保护条件。

3.1.4制定相对应的法律法规

计算机作为新鲜事物，依旧存在无法可依的问题，现有的法律制度还无法有效地打击计算机犯罪。随着计算机技术的不断发展，网络犯罪日益严重，基于这一情况，就应该建立网络安全方面的法律法规，这样才能减少网络犯罪行为的出现。

3.2加强信息安全保护技术

除开信息安全策略完善之外，网络安全还需要先进的信息安全技术的支持。而信息安全保护技术，主要是为了杜绝计算机犯罪行为的出现。

将黑客入侵或者是信息安全病毒防范作为分析的主要目标，通过完善的流程，或者是SOX404 PCI DSS标准的制定，就能够建立有效的防御机制。（l）基于技术流入手，通过服务器本身的安全性能强化。一般来说，就是在改版之后的操作系统之中，需要进一步强化安全管理软件，或者是安全管理软件本身存在极大的提升空间。在提升之后，这一部分软件就可以利用应用服务包，对于可能存在的网络攻击威胁加以防范。（2）加强防守，其主要的目的是为了做好计算机操作系统服务功能的进一步完善，重新归纳并整理长时间不适用的软件，将无用的功能数据全部删除，确保服务器内部的清洁度，降低用戶账号和密码出现泄漏的风险；理论上，服务器的内部越清洁，其运转越高效，也就能够强化计算机系统的安全认证性能[4]。

对于入侵检测系统、防病毒系统等传统模式下的安全防护系统，需要对其进行合理的部署，确保合理地配置系统资源，定时进行病毒特征库的升级；针对常见的攻击点，需要做好网络结构的优化与调整，让病毒无缝可钻。

针对IP欺骗，密码认证机制是最佳的解决方法。目前，TPV4体系结构不支持基于密码的认证，所以，就不能对IP欺骗攻击行为加以阻止，只能通过其余的检测与预防的方法来加以处理。（l）实时监控流过网络的数据包，发现其中存在的伪造IP以及相应的攻击信号。（2）维护自身系统资源的实际运行情况。一般来说，计算机系统都会有日记来记录日常事件或者是误操作警报日期和时间戳信息。绝大部分的IP伪造手段都是通过被攻击主机新人对象的模拟来进行的，所以，检查日志一致性的过程中，就可以对TCP链条是否被更改加以检查，从流程中段来阻止IP攻击。（3）提高入侵检测系统本身的智能化水平，可以为其建立一个相对高级的匹配模式。通过这样的方式，就能够将原本的单一数据包提升至大量数据包，同时，还可以分析大量数据包之间的潜在联系，这样也可以提升检测的实际效率。（4）在通信过程中，要求做到加密传输与验证，通过数字证书认证、数字签名等技术，就可以在互联网之中保护身份的可信度、行为的可信度以及数据的可信度，这才是金融电子化信任体系构建的关键所在。

4结语

随着改革开放的不断深入，国内的金融电子化建设经历了从无到有的一个整体性蜕变，取得了骄人的成绩。随着金融管理系统和电子清算系统的出现，传统的金融业务处理模式得到根本上的改变。在日益信息化的今天，各个财务信息中心被迫接受大量的信息数据，如果不能有效地进行数据的管理，就无法将其转化成为真正可以使用的决策信息，那么就会出现资源的浪费以及行业的失职现象。在面对“客户为主导”的财务信息中心等企事业单位，金融机构就应该做好信息的再加工，深度分析客户信息，提供更加个性化的定制服务。就财务信息中心与客户而言，这样的方式才能够达到双赢的局面，这也是金融电子化建设诸多问题得以解决的发展方向之一。

[参考文献]

[1]王珊珊，邱云武，摆晔.金融标准化在行业信息安全等级保护中的实践[J].金融电子化，2014 （1）：88-89

[2]柳思佳.金融电子化的风险与安全[J]新闻前哨，2014（8）：93-95.

[3]蔡倩倩.金融云信息安全等级保护之云定级[J]现代经济信息，2016 （6）：304-305

[4]侠名金.融信息安全及设备保护解决方案提供商——安全可靠，精密保护[J]金融科技时代，2017 （2）：105