关于金融电子化安全问题的探讨 张国昌 (吉林市冰上运动中心,吉林市132000) 摘 要: 分析金融电子化的安全问题,探讨解决的方法和措施是防范金融风险,保 证金融电子化建设健康发展的重要课题。本文简要地分析了金融电子化的安全需求阐述了 金融电子化的安全问题,并提出了所述金融电子化安全问题的对策。金融电子化的安全问题 是普遍存在的,并随着时间的推移和技术的发展会不断的出现新问题和表现出新的形式。这 就需要不断研究其新变化,与时俱进采取切实可行的应对措施。 关键词:金融;电子化;系统;安全 中图分类号:F830.49 文献标识码:A 文章编号:1008-7508( 2010)05-0092-03 一、引言 金融电子化是计算机技术和通信技术在银行及其电子金融机构业务和管理领域的应用。 在信息技术的应用已经渗透到金融领域各个环节的今天,金融电子化的安全不仅直接关系到 金融机构的生存发展和经营竞争的成败,也与国民经济的健康发展息息相关。为确保客户利 益和银行信誉,应对金融电子化应用系统的安全性予以高度重视。分析金融电子化所出现 的安全问题,探讨解决的方法和应对措施是防范金融风险,保证金融电子化建设健康发展的 重要课题,要采取一切措施应对可能产生的风险防患于未然。 二、金融电子化的安全需求 金融电子化安全问题是一个复杂的系统问题,对安全的需求是多方面的,不断发展 递进的,需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、 可控性、可审查性和不可抵赖性。 1、机密性:指信息内容只有特定方才能了解,要预防非法的信息存取和信息在传输过程中 被非法窃取,就必须增强金融电子化的机密性。维护金融电子化信息的机密性是金融电子化 健康发展的重要保障。 2、完整性:信息的完整性包括信息传输和信息存储两个方面。在存储时要防止非法篡改和 破坏所存储的信息,在传输时要保证接收方收到的信息与发送方的信息完全一致,才能说明 信息在传输过程中没有遭到破坏并且保持了信息的完整性。 3、可鉴别性:指辨别清楚客户的真实身份,而不会被假冒和欺骗。这需要提供一种方法来 验证声明的正确性。 4、不可抵赖性:是指信息的发送方不能否认已发送的信息,接收方不能否认已收到的信息 。 实现金融电子化信息的机密性、身份认证的可靠性、数据传输的完整性、信息的不可抵 赖性和唯一性是保证金融电子化安全的关键所在。 三、金融电子化的安全问题 1、管理方面:金融电子化的基础是功能齐全、门类繁多的各类电子设备以及操 作这些设备的员工。无论对设备还是对人员的管理不善都会产生严重的安全问题,造成风险 和损失。 2、软件系统方面:软件系统同硬件系统一样也会产生安全问题。随着技术的发展,金融电 子化系统变得越来越复杂。一个大型的金融电子化系统往往由多个子系统构成,它的设计是 一个非常复杂的系统工程,所涉及到的技术领域很多。因此,在设计过程中难免由诸多因 素造成所研制开发出来的系统存在这样或那样的安全漏洞和隐患。 3、计算机及其设备的运行环境方面:主要是在金融电子化的系统运行过程中,由于计算机 软件、硬件、通信等各个环节和外部环境引起的安全问题。目前金融电子化系统的网络化程 度很高,所涉及到的环节很多,如计算机软件、计算机硬件、通信、供电、机房环境与众多 技术环节,还会遇到外部的雷电、电磁干扰等等不确定因素,都可能造成金融电子化的安全 问题。 4、通信网络方面:由于银行的网络系统分布面广,一些不法分子可以在任意地点攻击银行 网络系统,毫无察觉地窃取银行机密信息,盗取银行资金。 5、银行卡系统方面:随着银行卡支付业务的飞速发展,银行卡的使用越来越普遍,但我国 现在使用的大部分是磁性卡,其结构简单,存储量少,容易伪造,存在安全隐患。 6、系统使用操作方面:在金融电子化系统运行过程中,由于操作人员误操作而产生的对系 统或资金安全造成的风险。 金融电子化的安全问题普遍存在,并随着时间的推移和技术的发展会不断出现新问题 和新的形式。需要不断研究新变化,要与时俱进采取切实可行的应对措施。针对目前存在的 金融电子化的安全问题,应主动采取相应的防范措施。 四、金融电子化安全问题的对策 1、建立和完善各项规章制度,狠抓安全制度的贯彻落实。加强对系统使用人员进行安全教 育,树立安全意识;加强计算机、通讯和网络理论知识的培训,提高政治和业务素质;要树 立良好的职业道德,自觉遵守各种操作规章制度和操作规程,增强安全防范意识,防止工作 中出现不必要的失误。 2、在金融电子化进程中,应当使大家建立金融电子化风险防范意识,在系统设计、开发、 验收、运行的阶段将应用与安全同时考虑,做到安全促进应用,应用立足于安全。在设计中 尽量采用先进的加密技术,设置层层防线,尽可能提高防范能力。针对不同的安全威胁应采 用不同的技术措施。软件系统应具有容错性功能,尤其当用户在对重要数据进行删除修改操 作时,应有提示,以免误删误改。容错性是一个预防措施,容错性的设计应贯穿系统的始终 ,体现软件以人为本的设计理念。 3、计算机运行环境包括硬件环境和软件环境。保证运行环境的安全是整个金融电子化安全 的基本前提。机房建设必须符合国家制定的机房建设标准.做到防盗、防火、防水、防鼠、 防尘、防雷电、防电磁辐射和干扰,接地电阻必须达到安全值。配置符合标准的电源设备, 配置防雷设备,配置必要的后备机器,保证在工作机发生故障时不会影响银行正常业务的开 展。加强设备的管理、维护、检验、更新工作,确保相关设备能正常运转。软件运行环境的 关键是采用反病毒技术防止病毒侵害,保证系统的安全。随着计算机技术和网络技术的发展 , 计算机病毒也不断升级变得越来越复杂,破坏性也越来越强,对计算机信息系统造成了极大 的安全威胁,极大地影响了系统的安全。反病毒技术应针对病毒传播的途径和破坏的方式建 立全方位的、完善的防护体系。 4、对于金融网络系统,必须严格按照国际标准化组织制定的“网络系统信息安全标准”进 行管理。其中主要的技术手段有:采取公钥和私钥的非对称加密技术对信息进行加密,保证 网络信息的保密性;运用文件认证,保证信息的完整性;运用数字签名,保证信息双方的真 实性;运用密钥管理,保证密码的有效性。网络系统中要利用防火墙技术保护内部网资源免 遭外部的非法入侵。所谓防火墙,“是指一个由软件或硬件设备组合而成,处于企业或网络 群体计算机与外界通道之间,加强因特网与内部网之间安全防范的一个或一组系统。也就是 说,它是位于两个网之间的屏蔽,一个是内部网络(可信赖的网络),另一个是外部网络( 不可信赖的网络)。”只有被授权的通信才能通过此保护层。防火墙的功能包括:一是限制 外部网对内部网的访问,从而保护内部网特定资源免受非法侵犯;二是限制内部网对外部网 的访问。防火墙系统的实现技术主要分为包过滤和代理服务器两种,比较完善的防火墙系统 通常结合使用这两种技术。 5、金融系统应加强信用卡的防伪性能,提高业务人员对假卡的识别能力,大力发展IC卡, 并加强对POS、ATM等读写卡设备的安全管理。 6、加强操作人员的业务培训,提高业务能力,加强操作人员的思想教育,提高责任心,落 实责任制。并且在相关操作上设计一些验证机制控制或减少误操作的发生。分级授权措施, 按职责的不同为操作人员设置不同的密码和操作权限,不能互相交叉使用,不能越权操作; 全面推行确认措施,对操作人员身份的合法性、录入数据的合法性和有效性、交易的合法性 进行全面的确认,保证各项数据的万无一失;实行安全跟踪措施,系统处理过程要设置完善 的跟踪日志,做到事后有案可查,并且要经常检查日志,发现问题及时解决。 7、对数据要进行多重备份和异地备份,以便在设备故障或发生意外时能及时恢复数据,保 证数据的完整性。“备份是为了保证安全而产生的一个对数据、程序文件或系统的拷贝,是 一种防止原盘中的数据丢失而以某种外存的方式储存全部数据的技术方法,是一个完整的容 灾备份系统的核心技术。” 五、结束语 金融电子化的安全问题是一个综合复杂的、动态发展的问题。随着金融电子化的不断向 前发展,将会不断出现越来越多的安全问题。因此,要解决金融电子化的安全问题,必须与 时俱进统筹兼顾,不断完善金融电子化安全问题的防范和应对措施。 金融业是一个高风险的行业,如何防范金融风险是金融行业一个重要的永恒话题。防范 金融电子化风险需要从技术、法律、体制、规章制度以及管理等方面着手,是个综合的系统 工程。因此,需要各个方面齐抓共管,才能取得成效。加强内控机制是金融电子化系统的可 靠 保证,只有这样,金融电子化安全才能做到有章可循,有的放矢。因此,必须做好人事安全 管理 、操作安全管理、场地与设施安全管理、操作系统与数据库安全管理、计算机网络安全管理 、应用软件管理、密钥安全管理、计算机病毒防治等一系列安全制度的建立、健全工作,确 保金融电子化系统安全。
参考文献: [1]芮廷先,电子化监管技术(金融电子化风险管理),北京:电子工业出版社,2003。 [2]张卓其,电子银行安全技术,北京:电子工业出版社,2003。 [3]张福德,电子商务安全词典,北京:清华大学出版社,2005。
收稿日期:2010-04-09 作者简介:张国昌(1963~),吉林市人,吉林市冰上运动中心机电科副科长、工程师。主要 研究方向:计算机信息管理技术的应用与开发。
|