彭胤

（中国农业银行软件开发中心，北京 100161）

我国的金融信息化已经走过20多个年头，在数万金融科技工作人员的努力下取得了巨大的成就，从无到有、从有到精、由点及面，初步建成了成熟完整的金融信息体系。然而，安全是金融信息系统的生命。在金融信息系统日益发展，信息越来越向上集中，规模越来越大，金融业对它的依赖性不断增加的同时，金融信息化系统安全的重要性也与日俱增。目前，我国金融信息化已进入了体系化信息安全管理的阶段，亟待建立一套金融信息安全保障体系。

1 金融信息面临的安全风险

金融行业的信息系统面临的安全风险，主要体现在以下四个方面：

1.1 金融信息化的加速和信息网络化的推进，使得金融行业在国民经济中的地位进一步提高，其他行业对金融的依赖性也进一步加强。但是越来越多的信息电子化，使金融信息系统内部采集、存储、传输、处理的信息量越来越大，信息的重要程度也越来越高。如何确保这些关系到国计民生的金融数据的安全采集、安全存储、安全传输和安全处理，成为金融信息系统建设面临的重要挑战。

1.2 随着金融网上业务的拓展，诸如信用卡号失窃、电子欺骗等金融犯罪活动逐年增加。作为开展网上交易活动的基础设施——金融信息系统，应该具备对此类活动的事前监控预警、事中保护反击、事后审计分析的能力。

1.3 金融信息化的加速，必然会使金融信息系统与国内外公共互联网进行互联，那么，来自公共互联网的各类攻击、病毒及入侵将对金融信息系统的可用性带来巨大威胁。

1.4 随着金融信息化的加速，金融信息系统的规模逐步扩大，同时金融信息资产的数量也将急剧增加，如何对这些大量的信息资产进行有效的管理，使不同程度的信息资产都能得到不同级别的安全保护，将是金融信息系统安全管理面临的巨大挑战。

2 金融信息安全建设的要点

目前，金融业的计算机系统除应用于日常的门市业务外，还兼有信息管理、决策支持等方面的功能。计算机网络系统和应用的规模与上个世纪相比，有了质的飞跃，特别是互联网的使用，使得计算机系统的安全在整个信息系统的安全建设中，具有举足轻重的地位。

2.1 金融业的业务系统和渠道建设。该系统建设是信息系统建设最重要的组成部分。目前使用的渠道多种多样，有网上、手机、柜台、自助设备、电话等，每一个渠道所引申的系统都成为信息安全一个重要的分支。

2.2 计算机网络系统和设备。网络系统和网络设备，是计算机系统的一个重要载体。计算机网络在信息安全体系中，扮演了重要角色。网络的安全取决于线路、网络设备及所有接入该网络的接点。目前在我国，中国电信、中国联通等电信运营商，作为金融业网络运行的承运商，拥有良好的运营性，金融业全面依赖他们所提供的网络连接，在其网络连接介质上进行业务处理。但是，也许正是因为这一点，潜在着巨大的风险隐患。

2.3 金融行业使用的介质。目前金融行业使用的介质有存折和卡，卡有IC卡和磁卡。IC卡源于欧洲，国内的IC卡使用理论经纬环境尚不完全具备，因此使用更为广泛的是磁卡，目前国内发行的贷记卡、借记卡多用磁卡。在磁卡的使用上，客户的素质和使用手段，也有可能影响信息系统的安全，这一点在银行业中体会尤深。一些居心不良的人员，利用银行业应用系统的漏洞，不断挑起事端，提取诉讼，让银行蒙受损失。

2.4 金融业数据集中。近几年来，金融业的数据集中已呈越来越大越快的发展趋势，而数据集中所带来的信息安全风险和隐患也随之增加。产生了以下两个问题：

2.4.1 灾难备份问题。如何确保系统在发生故障时，能够有有效的、安全的应急手段，为从业人员所关注。一方面要有良好的应用手段，对故障进行有效的处理；另一方面，当设备和网络出现故障时，能在最短的时间内进行最有效的恢复，这一点，又必须对客户是透明的。这样的处理方式，能够为广大客户所接受，但实施起来并非易事。

2.4.2 风险集中问题。数据集中后，数据的安全完全集中到某一地，加大了防范的难度。在物理安全防范上，由于国内政局稳定，最易被忽视。其实数据集中后，信息安全过于集中而遭受攻击或破坏的可能性大大增加。

2.4.3 金融业从业人员的道德问题。所有的信息系统建设都要依赖于人去进行，据统计，目前发生的危害信息系统安全的行为，80%出自金融行业内部人员所为。经常有金融单位的柜员或技术开发人员，以及某个部门的主管领导，利用系统的漏洞，肆无忌惮地窃取国家和客户的资金。这也是金融行业的信息安全最难于管理的部分。

2.4.4 相关法律法规的建设。信息技术在国民生活中所起的作用已经越来越大，规范人们的行为，约束从业者的作为，已经迫在眉睫。这些年来，有关金融行业信息系统的相关案件的处理，更多适用的是《中华人民共和国刑事诉讼法》的相关条款，而对诸如知识产权、信息入侵、窃取资金，乃至有意无意地破坏信息系统安全的各类行为的法律责任认定上，尚比较模糊。

3 金融信息安全保障体系的构建

3.1 要进一步加强金融信息的保密工作。随着信息技术的迅猛发展与广泛应用，窃密手段更加隐蔽，泄密的隐患增多，泄密所造成的危害程度更大，故保密工作面临许多新情况新问题。金融行业具备特有的高保密性，对于各种涉及安全性信息的上传下达要求高。因此，一要树立正确的保密意识。加入世贸组织“无密可保”、“有密难保”、“保密无用”的错误思想。二要抓好保密管理。三要抓好加密技术创新，大力开发关键性技术，使保障金融网络安全的密码技术、商用加密技术、身份鉴别技术、防火墙技术、攻击监测技术、病毒防御技术在网络银行上发挥应有的作用。

3.2 要建立和完善金融信息标准化体系。金融信息标准化体系是带动我国金融IT技术与应用发展的关键，是我国金融信息应用成熟发展的主要措施之一。对于我国来说，目前要做的主要具体工作是，要完善金融信息化标准体系总体规划，确定我国金融信息标准体系的目标、任务、发展阶段策略和原则等，全面规划银行通讯和网络技术设施建设，区分银行面向社会服务、银行内部服务和中国银行监管的工作，实施这些网络的业务分开，提出统一业务平台体系，提出银行信息认证技术框架和公共的必要设施。要建设我国自助的信息化标准体系，必须与国际接轨，同时我国金融信息化标准又必须维护国家主权和安全。

3.3 要大力培养金融信息化专业人才。目前我国金融从业人员达到硕士以上学历的不足1%，远远不能满足国内银行业的蓬勃发展。因此，要培养具备以下方面的人才：一是金融经济与管理方面的基础知识；二是信息化方面的知识，包括数据库知识；三是金融方面的业务知识，如国际金融等。目前既懂“金融”又懂“IT”的复合型人才，已是高端人才市场竞争的“焦点”，而且在人才方面更重视的是“业务技能”导向而不是“理论”导向的学者。

[1]张立洲.论金融信息化对金融业的影响，财经问题研究，2003(3)

[2]李志彤.我国金融信息化现状与发展策略，中外管理导报2002(12)

[3]陈柳钦.安全：金融信息化的命脉，中国科技投资，2009(2)