浅析金融信息安全体系的构建

摘要：近年来，金融业信息化程度的不断提高，金融信息系统的不断升级与更新，为促进我国经济的快速发展起到了不可忽视的作用。同时，应该注意到，金融业信息化程度越高，可能产生的金融信息风险就越大，对信息安全保障的要求也就越高。因此，如何做好金融信息安全保障，消除各类风险隐患，是我国金融业稳定快速发展的基本要求。
    关键词：金融科技，信息安全，体系

信息安全是指信息系统的硬件、软件及系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。金融信息安全涉及的主要是金融行业信息系统，其核心任务即保护金融信息的机密性、完整性和可用性。金融信息系统是技术较为先进、资金投入巨大、网络化程度极高的复杂人机综合系统，随着全球信息技术的快速发展，信息科技在金融系统中的应用越来越广，金融业对信息系统的依赖程度也越来越大，与此同时，金融机构、金融服务及最终客户所面临的信息系统风险也随之增大。
    一、金融信息安全所面临的主要问题
    随着信息科技技术在金融业的广泛应用，传统的金融业运行模式正在发生着深刻的变化，电子商务、网上证券、网上银行、手机银行、网络集中代收付等网络金融服务正在快速发展，但随之而来的安全问题也越来越突出。目前，金融业信息安全问题主要体现在以下几个方面：
    (一)金融信息安全规章制度有待进一步完善
    近些年来，我国的金融信息化程度可以说得上是突飞猛进，无论是企业还是个人都不同程度的感受到了金融电子化所带来的便利与高效。但是，与之相关的一些法律规章、管理制度不能及时更新，存在一些漏洞，这就给一些恶意破坏者以可乘之机。
    (二)公众金融信息安全意识有待增强
    不是所有的金融参与者都有良好的信息安全防范意识，特别是一些金融业终端客户，也不排除一些金融机构的管理者与维护人员。若某个客户疏于防范，可能会给自己造成损失，但若某个金融机构内部出现信息系统安全问题，其影响范围就不言而喻了。
    (三)由于网络互联而导致的系统风险加大
    随着金融服务系统的不断增加与升级，越来越多金融机构、管理机构、服务机构、企业及个体会以各种连接方式互联互通，这也带来了巨大的挑战，金融信息系统会暴露在各种潜在的威胁之中。特别是那些与国际互联网直接、间接相连的信息系统，如果存在设计上的漏洞，则很可能造成意想不到的后果。
    (四)应急处理能力有待加强
    保障工作做得再好的信息系统也不能做到百分之百的安全，如何应对随时可能发生的各类突发事件，特别是一些灾难性的事件，如何以最快的时间恢复系统运行，如何协同相关单位、部门进行全方位应急处置，是必须要未雨绸缪做到的事情。
    二、构建金融信息安全体系的对策建议
    根据金融行业所面临的信息安全风险，与之对应的金融信息安全保障体系建设的目标则是通过建立完善的信息安全管理制度和先进的的安全防御技术手段，构建一个覆盖面广、适应力强、等级分明的全方位安全防范体系，为金融信息业务的高速发展提供一个坚实的基础设施保障。
    (一)进一步完善金融信息安全法规与制度体系建设
    在金融信息安全保障体系的建设中，法规建设是必不可少的一个环节，也可以说是至关重要的一环。目前我国现行法律及各类规章制度中，与信息安全有关的已逾百部，它们涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、计算机病毒与危害性程序防治、信息安全犯罪等各个方面，其中也包含了金融等特定领域的信息安全法规与制度，初步形成了信息安全的法律体系。但是，这一体系还不很完善，其更新速度往往跟不上信息系统发展的速度，存在一定的滞后性，特别是金融等专项领域，还需要更具可操作的具体规范。
    所以，构建金融信息安全保障体系的首要任务便是继续完善并细化信息安全方面的法规与制度，制定金融业信息安全实施细则。此外，各金融机构应高度重视自身的信息安全管理制度建设，形成由安全策略、管理制度、操作规程等构成的全面的金融信息安全管理制度体系，并进行有效的监督，确保各项制度得到有效执行。
    (二)提高金融信息安全意识
    卡未离身，账户中的资金却不翼而飞；没申请过信用卡，却被银行告知钱款逾期未还，近年来频频曝出的银行卡相关案件，体现出无论是企事业单位、个人还是金融机构，金融信息安全意识必须得到进一步加强。
    从金融消费者的角度来说，个人身份信息、财产信息、账户信息、信用信息、金融交易信息、衍生信息等等都应防止不经意的泄漏，相关的金融电子化环境要保持安全，严防病毒、木马等各类网络入侵。一句话，就是必须随时具备金融信息安全风险防范意识，不给金融罪犯以可乘之机。而对于金融机构来说，一方面要加强自身的安全防范及内控管理，做好内部人员的信息安全培训，明确部门、岗位和人员的管理责任，保护好金融客户的金融信息与数据；另一方面应加强对金融客户的金融信息安全宣传力度，使金融客户具备必要的信息安全防范技能，同时为客户提供更好的加密认证方式。
    (三)通过先进的技术防护手段增强金融信息系统的安全可靠性
    技术层面的安全保障是金融信息安全保障体系的核心，只有建立稳固高效的金融信息系统架构才能保证信息系统的正常运行，金融信息系统是否健壮，和其结构设计息息相关。
    最大程度的避免外部风险的方式就是把不同级别的系统从物理上隔开，特别是把国际互联网与金融机构内部业务系统进行隔离。但是真正运营过程中，很多金融机构无法把互联网业务和生产业务完全隔开，因为很多数据要在这之间进行交换。但对于金融业来说，其实物理隔离也有另外的含义，至少应在终端级来实现网络的物理隔离。同时，应通过不断更新的、先进的认证、加密、隔离、入侵防御及病毒防护技术保护内部业务系统安全。应该特别注意的是，做好外部防护的同时，千万不要忽视来自内部的威胁。从实际经验来看，来自内部的风险隐患要大于来自外部的入侵攻击，所以必须做好内部的系统规划及安全防护，一方面对内部客户端进行统一管控，安装客户端代理，实现系统升级、病毒防御、非法外联阻断及移动介质控制等终端集中管理。另一方面，应不断完善机构自身的内控及审计机制，将各项管理措施落到实处，并加强监督，确保各项技术保障措施不因人为因素而得到削弱。人是生产力中最积极的因素，是做好金融信息化安全工作的关键。为了实现金融信息化的高速发展，必须要加大对金融信息化人才的培养和重用，培养大批既懂“金融”又懂“IT”的复合型人才是各金融机构做好自身金融信息安全保障的关键所在。
    (四)加大应急与灾备建设力度与广度
    即使金融信息安全各方面风险已得到控制，仍避免不了各类突发事件的发生，如何在紧急情况特别是大规模灾难事件发生时确保金融信息与数据的安全；保障金融业务可以正常进行，是各金融机构必须面对的问题，灾难备份系统是整个金融信息系统安全保障的最后一道防线。
    目前，我国各类大型金融机构基本实现了业务和数据处理大集中，建立了异地灾备系统和灾难恢复应急保障机制。但是，由于我国金融业完成数据处理集中与灾备建设的时间还不长，全国性超大型数据处理中心的管理、灾难备份机制及应急处置等业务管理还缺乏足够的经验。近几年，个别金融机构由于信息系统故障而导致大面积、较长时间业务中断，产生了很大的社会影响。对此，各金融机构必须对应急灾备系统建设给予高度重视，不能等到灾难发生时再来检验灾备系统的可用性，应制定完善的、最低风险的灾难应急演练方案并定期进行实战演练，真实地检验金融信息系统的抗灾能力及操作流程中是否存在需要改进的环节。
    同时，对于多数中小金融机构来说，完全靠自己的力量建设和运行维护灾难备份中心，无论从投资、应用以及应用的效果上都存在一些问题。为此，通过近几年来第三方灾备外包服务中心的建设，帮助中小金融机构进行灾备系统和业务连续性体系的形成。各中小金融机构应在此基础之上探索适合自身发展需求的应急灾备模式，不断积累经验，把应急体系建设落到实处。
    （作者单位： 中国人民银行天津分行）