我國金融業(yè)信息安全論文
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了我國金融業(yè)信息安全論文范文,希望能給你帶來靈感和參考,敬請閱讀。
一、當前金融業(yè)信息安全形勢分析
(一)境外信息安全威脅已然顯現(xiàn)
棱鏡門事件折射出美國通過國內(nèi)高科技公司實施全球網(wǎng)絡空間霸權(quán)的戰(zhàn)略圖謀,為我國金融業(yè)敲響警鐘。是國外對中國金融信息的竊取僅次于軍事情報,我國金融業(yè)核心軟硬件多為國外企業(yè)產(chǎn)品,使得我國金融信息系統(tǒng)容易被國外掌控,為行業(yè)信息安全埋下隱患。服務外包對國外廠商依賴度較高,加大了風險控制難度,敏感信息、核心技術(shù)泄密的可能性增加。我國對外政治經(jīng)濟摩擦不斷增多,金融改革持續(xù)推進,競爭進一步激烈,金融機構(gòu)數(shù)據(jù)中心遭受境外黑客攻擊的可能性大大增加。例如,2013年11月29日,“中國煤炭銀行”官網(wǎng)被黑,其官網(wǎng)稱此次事件系日本金融財閥勾結(jié)國內(nèi)金融集團所為。
(二)互聯(lián)網(wǎng)輿情威脅不容忽視
互聯(lián)網(wǎng)是廣大網(wǎng)民獲取信息資源、表達訴求最便捷和最有效的平臺。微博客、網(wǎng)絡社區(qū)、論壇等網(wǎng)絡輿論平臺飛速發(fā)展,成為社會輿論的發(fā)動機。網(wǎng)絡輿論與摘要:我國金融業(yè)信息化進程不斷加速,國內(nèi)外信息安全環(huán)境深刻變化,金融機構(gòu)須定期判斷和分析國內(nèi)外信息安全形勢,不斷提高風險防范水平。本文分析了當前金融業(yè)面臨的信息安全形勢,并從完善信息安全組織機制、夯實信息安全基礎(chǔ)、強化互聯(lián)網(wǎng)風險防范等角度提出應對策略和建議。關(guān)鍵詞:金融業(yè);信息安全;安全威脅;形勢分析;應對策略傳統(tǒng)媒體相互呼應,將迅速形成風險擴散的“蝴蝶效應”,放大信息安全風險。一旦金融機構(gòu)局部的信息安全風險被網(wǎng)絡聚焦、放大,會加大風險控制與事件處置的難度。此外,一些組織或個人出于競爭、報復或利益的目的,通過互聯(lián)網(wǎng)關(guān)于金融機構(gòu)的不實信息,營造“偽輿論”。還有一些小摩擦或小糾紛,由于沒有得到及時察覺和合理處置,引發(fā)網(wǎng)民圍觀,形成網(wǎng)絡熱點事件。這些不僅會嚴重影響金融機構(gòu)聲譽,還會給整個行業(yè)帶來不良社會影響,甚至造成巨額經(jīng)濟損失,實力相對較小的微型金融機構(gòu)可能面臨倒閉風險。
(三)互聯(lián)網(wǎng)金融使信息安全形勢更趨復雜
2013年中國互聯(lián)網(wǎng)金融出現(xiàn)了快速發(fā)展勢頭,被稱為中國互聯(lián)網(wǎng)金融元年,各大互聯(lián)網(wǎng)企業(yè)巨頭紛紛進軍互聯(lián)網(wǎng)金融,推出“余額寶”、“微銀行”、“京寶貝”等金融產(chǎn)品和服務。面對激烈競爭,傳統(tǒng)金融機構(gòu)積級調(diào)整戰(zhàn)略介入其中。互聯(lián)網(wǎng)金融為金融業(yè)帶來新的發(fā)展機遇的同時,同樣引入了信息安全風險和威脅。除具有傳統(tǒng)金融業(yè)經(jīng)營過程中存在的流動性風險、市場風險和利率風險外,互聯(lián)網(wǎng)金融還存有信息技術(shù)導致的平臺風險、技術(shù)風險、系統(tǒng)安全風險和基于虛擬金融服務的業(yè)務風險,且風險誘因更加復雜、風險擴散傳播速度更快。移動互聯(lián)網(wǎng)發(fā)展和智能手機的普及使互聯(lián)網(wǎng)金融隨處可及,互聯(lián)網(wǎng)金融活動突破了時間和空間的局限,將成為網(wǎng)絡釣魚、黑客攻擊的新目標,金融業(yè)面臨信息安全形式更趨復雜。
二、新形勢下金融業(yè)信息安全應對策略
(一)完善信息安全工作的組織機制
組織機制是保障信息安全最基礎(chǔ)、最有效的長效機制,金融機構(gòu)要基于當前信息安全形勢和監(jiān)管部門要求,進一步完善信息安全工作的組織機制。
1.明確不同部門和崗位的信息安全職責。當前,保障信息安全已不是一個或幾個部門的責任,而是機構(gòu)內(nèi)所有部門、全體員工共同的職責。金融機構(gòu)要明確業(yè)務部門、內(nèi)控部門與技術(shù)部門共擔信息安全風險的責任,將信息安全保障納入到各崗位職責中,將信息安全工作作為一項重要的日常工作,努力形成全員參與信息安全保障的局面。
2.嚴格信息安全責任追究。按照“誰主管,誰負責;誰使用,誰負責”的原則,落實信息安全問責制,把信息安全風險的防范、識別、消除納入業(yè)績考核范疇,使所有員工意識到信息安全責任重于天。
3.提高制度的執(zhí)行力。建立健全制度落實的規(guī)范流程和監(jiān)督檢查機制,關(guān)注各流程、環(huán)節(jié)之間的銜接性,實現(xiàn)部門自控與機構(gòu)內(nèi)控相結(jié)合。及時發(fā)現(xiàn)和解決制度執(zhí)行中的問題,保證制度的有效落實,維護制度的嚴肅性和權(quán)威性。
(二)夯實信息安全基礎(chǔ),提升風險防范水平
信息安全工作涉及內(nèi)容較多,內(nèi)外部的信息安全威脅不斷發(fā)生變化,信息安全保障和風險防范不可能一蹴而就,而是一項不斷建設、持續(xù)完善的工程。金融機構(gòu)應根據(jù)機構(gòu)現(xiàn)狀和內(nèi)外部安全形勢,科學制定機構(gòu)信息安全發(fā)展規(guī)劃,有重點、有層次推進機構(gòu)信息安全工作,不斷提升信息安全防范水平。
1.切實落實國家信息安全等級保護和涉密信息系統(tǒng)分級保護工作。按照國家有關(guān)等級保護和分級保護的管理規(guī)范和技術(shù)標準開展等級保護和分級保護工作,嚴格遵照安全等級劃分標準確定機構(gòu)計算機網(wǎng)絡和信息系統(tǒng)的安全等級,并按相應等級具體要求,建設安全設施、建立安全制度、落實安全責任,接受公安機關(guān)、保密部門、國家密碼工作部門對信息安全等級保護工作的監(jiān)督、指導,保障信息系統(tǒng)安全。
2.穩(wěn)步推進信息產(chǎn)品國產(chǎn)化進程。“棱鏡門”事件后,信息安全國產(chǎn)化進程加快,金融業(yè)要牢牢把握國產(chǎn)化機遇期,以安全生產(chǎn)為底線,按照“推廣成熟、擴大基本成熟、試點逐步成熟、攻關(guān)不成熟”的策略,穩(wěn)步推進金融業(yè)信息技術(shù)國產(chǎn)化進程,逐步實現(xiàn)信息安全產(chǎn)品、關(guān)鍵設備、核心系統(tǒng)、外圍系統(tǒng)等國有產(chǎn)品替換。加強人才隊伍建設和培養(yǎng),提高自主運維能力和水平,逐漸減少對國外企業(yè)外包服務的依賴。
3.安全管理與技術(shù)防護并重。綜合使用多種安全機制,將不同安全機制的保護效果有機結(jié)合,安全管理與技術(shù)防護雙管齊下,相互配合,形成完整的立體防護體系。金融機構(gòu)要摒棄“重技術(shù),輕管理”的認識誤區(qū),突出安全管理在信息安全保障體系中的重要性,增強技術(shù)防護體系的效率和效果,彌補當前技術(shù)不能完全解決的安全缺陷,實現(xiàn)最佳的保護效果。
4.完善災備體系建設和管理。災備體系是保障金融業(yè)務連續(xù)性的重要防線,是維護信息系統(tǒng)和網(wǎng)絡安全的重要措施。金融機構(gòu)要把災備中心建設規(guī)劃提升到國家信息安全戰(zhàn)略高度予以重視,扎實做好機構(gòu)災備中心布局規(guī)劃和災備建設工作。定期研究、評估當前災備中心布局,對存在的問題及時進行整改。對于核心業(yè)務系統(tǒng),要實現(xiàn)應用級備份,保證突發(fā)事件發(fā)生時可及時恢復業(yè)務運營。確保備份數(shù)據(jù)的有效性,定期對冗余備份系統(tǒng)、備份介質(zhì)進行深度可用性驗證。
5.加強人員操作行為管理,防范操作風險。從風險防范角度進一步完善網(wǎng)絡和信息系統(tǒng)的操作流程,加強操作流程管理和審查,實現(xiàn)人員操作事前能控制、事中可監(jiān)控、事后有審計,使風險防范從“管住人”進一步發(fā)展到“管住行為”。善于運用技術(shù)手段加強對操作風險防控,達到從管理和技術(shù)兩個方面防范技術(shù)人員操作風險的目標,確保操作零風險。
6.提高機房設施保障水平。計算機機房是信息中心的核心部位,除承載機構(gòu)的重要網(wǎng)絡和信息系統(tǒng)外,還有空調(diào)、消防、防雷等保障機房設備安全穩(wěn)定運行的機房設施。要加強機房設施的監(jiān)測和風險評估工作,確保UPS供配電子系統(tǒng)、機房空調(diào)子系統(tǒng)、防雷接地子系統(tǒng)、設備監(jiān)控子系統(tǒng)、機柜微環(huán)境子系統(tǒng)、安全消防子系統(tǒng)等機房設施健康運轉(zhuǎn),為機房這個“軀體”提供充足的“氧氣“和“血液”,保障作為“器官”的各信息系統(tǒng)正常運行。將機房設施安全放在同網(wǎng)絡和信息系統(tǒng)安全同等重要地位,發(fā)現(xiàn)風險隱患及時整改,勿將本應發(fā)揮安全保障功能的機房設施變成風險易發(fā)區(qū)域。
7.重視應急演練工作,提高應對突發(fā)事件的能力和水平。全面評估信息安全風險,建立風險全覆蓋的應急預案體系和應急演練常態(tài)化工作機制。根據(jù)風險的等級和影響程度,合理確定單項演練、綜合演練、跨部門演練、跨地域演練等不同類型演練的組合,具備應對不同類型風險的應急處置能力。依據(jù)風險的變化和應急演練效果完善應急預案,不斷提高應急預案的可操作性。堅持在演練中鍛煉隊伍,持續(xù)提高人員的風險意識和突發(fā)事件的響應處置能力。
(三)強化互聯(lián)網(wǎng)風險防控工作
1.加強互聯(lián)網(wǎng)輿情監(jiān)測,妥善處置網(wǎng)絡熱點事件。完善互聯(lián)網(wǎng)輿情監(jiān)測系統(tǒng),加強人才隊伍建設,建立網(wǎng)絡輿情摘報和熱點專報制度,及時掌控輿情動態(tài),盡早發(fā)現(xiàn)各種形式“偽輿論”,避免形成網(wǎng)絡熱點事件,影響正常的金融秩序。重視信息和輿論引導工作,做到未雨綢繆、預防在先。完善輿情熱點事件處置機制和流程,做到反應快速、判斷準確、處置合理,充分發(fā)揮傳統(tǒng)媒體與網(wǎng)絡媒體的協(xié)同作用,對網(wǎng)絡輿情進行正面引導和回應,將不利影響控制在最小范圍內(nèi)。
2.認識互聯(lián)網(wǎng)金融威脅,完善安全防護措施。互聯(lián)網(wǎng)金融和移動支付的發(fā)展使金融業(yè)信息安全威脅具有了開放性、普遍性、動態(tài)性等新特征,信息安全防護工作更為艱巨。網(wǎng)上銀行、手機銀行、第三方支付的安全防護措施須進一步完善,從基礎(chǔ)技術(shù)和設備、身份認證、數(shù)據(jù)安全和加密、安全傳輸?shù)拳h(huán)節(jié)夯實互聯(lián)網(wǎng)支付安全基礎(chǔ),打造安全可靠的信息鏈和資金鏈。適時對交易終端進行安全評估,及時發(fā)現(xiàn)安全隱患和彌補安全漏洞,保障安全交易環(huán)境。運用多種手段增強用戶風險意識宣傳的力度和廣度,提高用戶警惕性及對個人敏感信息的保護意識。
作者:劉彥宏 單位:中國人民銀行太原中心支行