试论当前金融信息系统的风险与防范

刘晓倩 汪佳奇

摘要：随着经济的发展和技术的进步，服务化成为产业发展的必然趋势。现代金融业的服务在极大程度上依赖于信息技术，无论是行业自身的信息系统构建还是银行业务的网络化发展都需要信息技术作为载体。随着对信息技术依赖性的日益增强，如何抵御信息技术引入带来的风险成为金融信息安全防范的一项重要工作。长期以来，金融业在系统安全保障方面更倚重于信息技术安全手段，包括数据加密技术、病毒防护技术、入侵检测技术以及身份认证等。但随着业务的发展、信息技术的更新，仅仅采用传统的信息安全手段保障金融信息的安全已远远不够，更多的来自网络环境的安全威胁和人为攻击是信息技术安全软、硬件产品无法解决的。因此，金融信息安全的保障工作除了要采用传统的信息安全防护手段外，如何建立一套切实有效，符合自身行业特点的信息安全体系正成为金融科技工作的重点。

关键词：信息系统;安全管理;体系建设

一、我国银行业信息系统安全管理现状

银行是与信息行业结合最为紧密的行业之一，银行本身就是经营各种信息的特殊行业，如客户信息、账户信息、交易信息、金融信息、产业信息、政策信息、资金信息、利率信息、汇率信息等。同时银行也是一个信息科技高需求、高投入、高配置、高输出的产业，是信息市場交换的主要参与者，在采用先进的信息技术方面，银行业一直走在各行业的前列。由于银行是社会的敏感部门，他通过生产和传递信息来提供金融服务，支配、引导社会资金运动，因而其安全性至关重要，银行经营的三性原则要求安全性始终是第一位。银行的安全会直接影响经济安全、社会安全和国家安全。银行在业务电子化过程中，一方面要利用先进的信息技术为客户提供优质服务，另一方面要确保数据安全，并防范金融计算机犯罪。

我国金融信息化建设经过近30年的发展，已经取得显著的成就。为防范和化解银行技术风险，保证国家金融安全，金融系统初步建立起由组织体系、制度体系和技术体系等组成的信息安全保障体系。随着我国金融信息化的深入，信息安全日益受到金融行业的重视。

信息安全法制建设也初见成效，以《计算机信息系统安全保护条例》为基础的法律法规相继出台。随后，人民银行发布了《关于采取有效措施防范金融计算机犯罪的通知》。针对有关领导提出的“银行家要抓电脑技术”和“防范金融计算机犯罪”的批示，人民银行明确把系统在投产过程中的风险防范要求放在首位，并开展全国范围的安全大检查。各行都成立了专职的安全生产机构，并在系统的需求设计、设备选型、软件开发、系统投产和推广、系统升级、系统归档等多方面把关，特别是在防火墙、防病毒软件、隔离卡、认证加密等方面进行了很大的投入。

然而，目前金融行业同样存在着极大的安全隐患，主要表现为信息传递的安全隐患和业务系统的安全隐患。具体来讲，前者包括网络硬件的安全缺陷、通讯链路的安全缺陷、技术被动引起的安全缺陷、缺乏安全系统标准引起的安全缺陷等;后者包括非法用户对系统资源的非法使用及合法用户对系统资源的非法使用等，特别是来自系统内部的安全威胁。

同时，银行的业务系统经过多年的发展和整合已经取得了很大的提高和飞跃，这对信息安全的建设提出了更全面更深刻的要求。虽然旧的业务系统也可能考虑到安全机制问题，但那只停留在一个较浅的层次，还不可避免地存在很多的安全漏洞。信息安全建设应综合考虑信息在获取、存储、加工、传输等过程中的完整性、可靠性、机密性、可用性、可控性和可审计性，全方位考虑设计信息系统的安全方案和安全策略。

近年来，数据大集中成为我国银行业信息化工程的重点，也是银行管理的根本变革，数据集中带来了便捷的经营管理，能有效控制外部风险，增强规模效益，但同时也带来了风险集中——数据中心的风险骤然加大。随着银行对计算机依赖程度的增强和数据中心规模的壮大，这种风险更加突出，一旦数据中心遭到灾难性打击性并停止服务，必将引起大范围银行业务停顿或瘫痪，甚至引起法律纠纷和社会动荡。有人形象地将数据大集中比喻为把所有的难蛋都放在一篮子里，这是银行在“大集中”之后无法回避的安全问题。2002年5月，由人民银行召开的“中国银行业首届灾难备份研讨会”上，有关领导指出，“实施数据大集中的银行，必须建立灾难备份，制定业务连续性计划并报人民银行备案。”

随着信息技术的进一步发展，会有越来越多的信息安全问题出现，入侵与反入侵的斗争也将日益复杂，银行业对网络各级体系实施安全整合防护的需求也将会更加迫切。

二、金融信息系统网络安全威胁分析

（一）系统脆弱性

一是系统开发安全生命周期管理缺乏。金融信息系统的安全开发在现实上存在很多障碍，很多金融机构对于软件的安全开发不够重视，没有一套完善的安全管理体系，安全风险缺乏控制，导致出现业务逻辑漏洞如越权操作、密码找回、垃圾注册，以及数据泄露、服务中断等严重影响金融信息系统的稳定运行的问题。主要表现在，安全开发的理念没有深入，安全前置的概念依然没有建立，金融机构未对当前的软件开发流程进行全面梳理，在需求、设计、实施、测试、发布等软件开发的各个阶段都没有提供安全能力支撑。此外，金融机构缺乏一整套的高效安全开发工具，不能够在保持业务敏捷性的前提下安全、快速地开发金融应用，无法充分满足业务拓展需求。

二是各类系统漏洞广泛存在。金融信息系统资产庞杂，除去专门开发的相关系统之外，包含大量通用型程序或第三方服务，以及商业软硬件设施，在资产识别和管理上有一定的难度。而当某个资产出现漏洞时，不仅仅是更新升级版本的问题，而是需要梳理受影响的系统组件到底有哪些，这些组件的实时在线要求以及修复漏洞是否会导致关联服务不可用。

（二）内部因素

一是操作失误。内部人员没有遵循安全要求和操作流程而导致系统宕机损坏，无法对外提供服务，甚至是重要数据遭到破坏。更进一步地讲，主要是内部人员缺乏安全意识和专业技能培训，不符合岗位技能要求。

二是内部恶意人员。具体指内部恶意人员对信息系统进行破坏，采用自主或内外勾结的方式盗窃机密信息数据或进行篡改以获取利益。据调研统计，数据泄露已经成为绝大多数金融机构最关心的网络安全问题之一。数据泄露所产生的影响已经远不止数据损失这么简单，它对品牌声誉、客户资源和供应链资源都会产生很多的影响。虽然部分数据泄露是由于应用漏洞、代码编写不规范等引起，但实际上导致信息泄露问题原因更多是机构内部人员疏漏和恶意盗窃。

三是软硬件故障。由于缺乏物理环境影响分析，导致对信息系统正常运行造成影响，如断电、静电、灰尘、潮湿、温度、自然灾害等对系统运行产生影响的设备软硬件故障，以及由通信中断、系统缺陷等问题形成的设备软硬件故障。

（三）管理制度策略

一是制度不完善职责不清晰。网络安全组织体系不完善，网络安全管理目标和策略不明晰。不仅未建立信息安全整体策略和检查评价方法，信息安全管理基础流程不够完善，还缺乏相应外包风险管控能力，内部信息技术安全管控和服务能力;或安全开发和运维管理流程、制度、标准缺乏，授权、变更、供应商管理各项管理措施不到位，安全人员的权责关系不明确，信息安全风险管理体系建设未深入人心等，导致网络安全管理内部标准没有形成，对漏洞问题的响应速度和能力难以提升，尤其是灾难恢复手册、运维操作手册等内容流于形式、内容简单，遇到突发事件时无法发挥实质作用。

二是網络安全专业人才缺乏。在网络安全攻击愈演愈烈的形势下，有效的安全分析能力成为刚需。而在当前网络安全专业人才短缺的大环境下，有的金融机构特别是网络安全部门的人员基本由运维人员兼职，即使设置有专业安全岗位，工作职责也是以沟通协调为主。由于缺乏足够有效的安全培训，导致知识脱节，难以应对复杂安全形势。同时还要看到部分机构把网络安全工作仅作为部门某岗位专职工作，未在业务、技术、管理等多个层面进行行之有效的安全意识教育，导致整体安全意识缺乏的现象依然明显。

三是安全投入有待提高。随着金融行业的竞争加大，利润空间受到挤压，总体信息化建设投入存在下降的趋势，网络安全建设方面也存在同样问题。很多金融机构目前是围绕单点解决方案构建安全基础设施，往往是因为此类解决方案只需要数额较小的短期投资，意欲利用边界型的防御阻止各种攻击和风险。以多维度、多层面融合的，围绕预测、预防、监测、响应、处置、改善的体系化网络安全防御体系建设投入明显不足，难以使网络安全能力成为机构核心竞争力之一。

三、应对措施建议

（一）提升意识、明晰风险

在战略规划和重大决策中贯彻网络安全要求，健全安全组织体系和战略规划，加强网络安全意识教育和专业培训，提高全员安全意识，建设专业的安全团队。同时，注重利用好等级保护测评、风险评估、渗透测试和内部审计等手段，强化对自身信息资产梳理和分析，力争做到每个资产形成风险分值，强化发现问题的及时整改和跟踪管理，将网络安全风险完整纳入机构风险管理体系。

（二）转变思维，建设安全体系

面对不断变化的安全威胁，首先，要有安全前置思维，将安全贯穿于整个信息系统建设使用生命周期，从需求——建设——测试——投产——升级各阶段将安全作为必选项，特别是安全要求贯注于开发平台、代码仓库、测试用例等方面，保证所有信息化建设项目都处于安全掌控之中;其次，要有随时面对攻击的思维，承认系统时刻处于被攻击之中，通过对全面的基础信息（用户+行为+流量+日志+资产）进行集中采集、存储和持续深层分析，构建监控分析和响应处置体系，建立事件持续响应处理机制;最后，要有主动纵深防御思维，被动式的城墙防御机制已经难以应对多样的网络安全威胁，要以威胁为中心构筑主动防御，以数据为基点形成纵深防御，融合防御、检测、响应溯源和预测全生命周期的威胁应对机制，构建自适应安全体系，弹性应对来自外部和内部的各种威胁，实现全网安全态势可知、可见、可控的闭环。

（三）合作赋能，搭建安全生态

在“互联网+”不断深入生活方方面面的时代背景下，国家和行业专控队伍、安全厂商的赋能作用凸显。在网络安全产业分工更加精细化的趋势下，金融机构、专控队伍、安全厂商、供应链企业之间联动可在彼此防护能力的基础上由点成线，合力构筑一条安全堤坝。借助各方人才技术优势，研究探索国内外安全先进理念、模型、技术的运用，增强网络安全预警、分析和追溯的能力，特别是事后应急响应和快速修复能力，开展合作共治，形成安全生态链，链接利益，共谋发展，共同提高金融网络空间安全防范能力。

（四）共享共赢，抵御网络威胁

针对各类外部攻击和威胁，探索建立行业网络安全信息共享机制，逐步形成行业安全专家联合研判和应急处置的有效机制。监管机构可在总体要求框架下，建设行业性态势感知和共享平台，围绕金融行业网络安全态势感知信息共享需求，构建集威胁识别、防御控制、信息共享、应急响应于一体的技术体系。进一步加大金融行业和网络安全行业交流力度，充分发挥联合优势，凝聚共识、加强合作、为维护国家金融行业网络安全和公众利益提供支撑。

参考文献

[1]蔡蕙敏，周黎辉，吴畅.电力能源生产信息系统安全防护能力验证与评估方法.电子技术与软件工程，2021，第17期

[2]宋婷婷.浅析云计算平台的安全防护.安阳师范学院学报，2020，第5期

[3]张旭东，孙暄，李孟阳.适用于公用网络通信的电力终端自动接入管控体系研究.电子世界，2020，第1期

[4]马文丽.电视播控系统的网络安全建设.电子技术与软件工程，2019，第21期

[5]李涵.等保2.0时代的博物馆云环境信息安全刍议.电子世界，2019，第16期

[6]张旭刚，谢宗晓.网络安全等级保护及其相关标准介绍.中国质量与标准导报，2019，第9期

[7]魏兴民，贺江敏.信息安全等级保护技术之强制访问控制技术探讨.电子世界，2019，第8期

[8]赵志远.等保2.0的变化及各方职责解析.网络安全和信息化，2019，第6期

[9]陈英杰，李世武.基于安全环的一站式Web应用安全防范研究.计算机与网络，2019，第45卷，第6期

[10]陈钦华.实践企业信息安全等保建设.网络安全和信息化，2019，第4期

作者简介

刘晓倩，2000.01.03女，汉族，内蒙古自治区赤峰市，信息管理与信息系统。

汪佳奇，2000.02.23，女，汉族，黑龙江省绥化市，金融学。