金融信息安全

金融信息安全(指将信息安全技术运用到金融系统中)

  金融业信息化程度不断提高,对金融业改革、发展、壮大发挥了重要的促进作用。同时,金融业对信息技术的依赖程度越来越大,信息安全保障工作的难度不断加大,互联网应用又进一步加大了信息安全风险的扩散效应。

 基本信息

安全是金融信息系统的生命,金融信息安全是根据金融系统的实际应用需求,将密码学、密钥管理、身份认证、访问控制、应用安全协议和事务处理等信息安全技术运用到金融信息系统安全工程中,并能在系统运行过程中发现、纠正系统暴露的安全问题, 它关系到金融机构的生存和经营的成败,所以,应把金融信息安全视同资金的安全一样,看作是金融机构的生命。

项目内容

  金融信息安全项目主要包括了以下安全产品: 网络防火墙;入侵检测工具;网络计算机病毒防范工具;硬件加密机; VPN/IP保密机;工具身份识别工具 (单机用户);身份识别工具(网络用户);网络信息审计工具;业务信息审计工具;桌面安全软件;密钥管理中心;风险评估和策略审计工具。

  网络具备功能

身份识别

身份识别是安全系统应具备的最基本功能。这是验证通信双方身份的有效手段,用户向其系统请求服务时,要出示自己的身份证明,例如输入User ID和Password。

存取权限控制

其基本任务是防止非法用户进入系统及防止合法用户对系统资源的非法使用。

 数字签名

即通过一定的机制如RSA公钥加密算法等,使信息接收方能够做出"该信息是来自某一数据源且只可能来自该数据源"的判断。

保护数据完整性

即通过一定的机制如加入消息摘要等,以发现息是否被非法修改,避免用户或主机被伪信息欺骗。

 审计追踪

即通过记录日志、 对一些有关信息统计等手段,使系统在出现安全问题时能够追查原因。

 密钥管理

信息加密是保障信息安全的重要途径,以密文方式在相对安全的信道上传递信息,可以让用户比较放心地使用网络,因此,要对密钥的产生、存储、传递和定期更换进行有效地控制,并引入密钥管理机制,对增加网络的安全性和抗攻击性。从安全技术来讲,在所有的安全技术中,密码技术是解决信息安全的核心技术。

 病毒防范与监控

由于病毒的潜伏期和传染性的特征,以及计算机网络的普遍使用,加剧了病毒的传染性,使得单机手工查杀病毒难以做到斩草除根。因此,基于网络的计算机防毒手段日益为银行系统所重视,尤其需要防病毒系统化,反病毒实时化。

实现金融信息安全方法

1、 要保证信息的完整性和秘密性 。网上银行系统的信息传输完全向互联网开放,任何合法用户都可以在这里进行信息的交换和获取。为了保证信息的完整性和秘密性,可以通过对动态信息进行签名保证信息的完整性,并使用密钥加密的办法保证信息的秘密性;可以通过对静态信息进行特别保存,利用密码对文件进行锁定,以保证信息的完整性和秘密性。

2、 对网络访问用户身份进行强鉴别。 可以利用公开密钥机制(PKI)来对访问用户进行身份强鉴别。

3、 建立网络防计算机病毒机制 。建立严密的防病毒系统,对所有服务器进行病毒监测,同时建立病毒监测系统,对感染了病毒的流动信息给出预警,并有相应的强制性手段。

4、 非法入侵的安全审计与跟踪 。网上银行的一个重要内容就是防止非法入侵,防火墙虽然能够起到一定的作用,但不可能防止所有的入侵,因此应加强安全审计和事后追踪的力度,对入侵者起到威慑作用和追查作用。

5、 信息系统安全 。主要是解决信息系统安全设计、生产、测试、运营、维护等方面的安全问题,其对象包括集成电路、智能卡、计算机设备、通讯设备、视象设备、控制设备、控制系统、网络设备、终端设备、操作系统、数据库系统和应用系统等。

 保障体系

在历经了网络建设、数据大集中、网络安全基础设施建设等阶段后,如今,我国金融信息化已进入了体系化信息安全管理的阶段,亟待建立一套金融信息安全保障体系,有效地防范和化解安全风险,统一安全问题处理规范和流程,增强金融系统的信息安全整体防范能力,以保证金融机构的信息系统平稳运行及各项业务的持续展开。

加强金融信息保密工作

随着信息技术的迅猛发展与广泛应用,窃密手段更加隐蔽,泄密的隐患增多,泄密所造成的危害程度大,保密工作面临许多新情况新问题。金融行业具备特有的高保密性,对于各种涉及安全性信息的上传下达要求高,因此我们要:

(1)树立正确的保密意识。通过对领导干部、涉密人员、保密干部的教育培训,通过广泛开展群众性的保密法制宣教活动,使广大员工认识到,金融保密工作是关系到国家安全和利益的大事,彻底摒弃金融加入世贸组织“无密可保”、“有密难保”、“保密无用”的错误思想。

(2)要抓好保密管理。金融系统要进一步建立健全保密管理的专门机构,配备专兼职人员,实施规范化管理,重点要加强定密管理、涉密人员的管理和要害部位的管理。

(3)要抓好加密技术创新。我们要大力开发关键性技术,使保障金融网络安全的密码技术、商用加密技术、身份鉴别技术、防火墙技术、攻击监测技术、病毒防御技术在网络银行上发挥应有的作用,同时要把研究开发CPU和操作系统内核技术作为长期性策略,尽快开发我国自己的操作系统、密码专用芯片和安全处理器;要大力推行网络隔离技术;要推广电子认证技术。

 完善金融信息标准体系

金融信息技术和应用标准化的必要性和好处显而易见。举例来说,银行以前建立的非标准化系统就像形状和大小各异的一组杯子,不同的杯子各司其职不能共享,而且每个杯子都要有一模一样的备份。考虑到业务的长久发展,这些系统在建设之初均需按一定的业务峰值来配置,也就是说这些“杯子”还都要买最大号的。这种模式不仅导致了系统的不兼容和管理困难,更极大的造成了备份资源的重复和浪费。而标准化则意味着银行IT系统变成了一组形状、大小一致的杯子,技术标准、规范和平台完全一致,且只需选择大小适中而非最大的,而以备份数量的多少来动态满足业务需求。此外,由于规格完全一样,资源充分共享,整个银行只需多准备两只作为备份就够了,不用每个系统都备一个。技术和应用的标准化不仅能灵活的满足银行不同时点的应用需求,减少系统冗余,节省资源,同时还可以降低系统的复杂性和管理难度,简化操作,并能在市场突变时快速应对,提升银行IT应用的前瞻性和主动性。

金融信息标准化体系是带动我国金融IT技术与应用发展的关键,是我国金融信息应用成熟发展的主要措施之一。我国在新世纪的金融信息化必须强调金融信息基础设施的建设,强调信息基础设施公共操作环境(COE)的建设,在此基础上建设我国统一的现代化的金融支付清算系统、银行卡系统、银行信誉系统、金融监管信息系统和金融信息系统安全系统等,从而实现金融IT资源的最大限度重复利用和共享信息,实现金融信息系统之间的互连、互通和互相操作及其基础上的安全性。对于我国来说,要做的主要具体工作是,要完善金融信息化标准体系总体规划,确定我国金融信息标准体系的目标、任务、发展阶段策略和原则等,全面规划银行通讯和网络技术设施建设,区分银行面向社会服务、银行内部服务和中国银行监管的工作,实施这些网络的业务分开,提出统一业务平台体系,提出银行信息认证技术框架和公共的必要设施。要建设我国自助的信息化标准体系,必须与国际接轨,同时我国金融信息化标准又必须维护国家主权和安全。

考虑到我国的文化特色,必须自主独立地制定金融信息化应用平台标准和信息安全标准体系。要逐步建立我们金融行业系统的互操作性、安全性和应用平台的一致性及对技术应用成熟的评估。要加强我国金融信息基础设施公共环境的建设,金融信息基础设施公共环境是金融信息系统应用于管理最重要的技术关系条件。公共操纵环境建设不仅仅是一种标准结构,更是IT产业在互联网时代的新兴产业模式的样板。应该说它是应用化系统走向成熟的主流技术之一,也是我国信息管理的最重要的技术标准体系。要建立和应用信息安全标准体系,我们要加快产生信息安全测评认证标准、互操作性测评标准、信息安全产品技术要求(PP标准)、信息系统安全技术要求(PP标准)等标准文件,要积极完成信息安全测评认证标准体系、信息安全测评产品体系、信息安全测评服务体系、信息安全测评产品研发体系以及网络远程服务的标准体系等方面的建设工作。

 构筑信息安全服务后盾

  有关专家指出,在我国整个金融信息安全当中,八十年代以前主要的目标是所谓的加密、签名和访问控制,希望把攻击者拒之门外。而现在,如何具有容错、容灾和快速恢复,实现不间断服务的能力,正在成为当前网络安全的主要内容。 从整个安全系统来看,金融业在选购存储安全产品时面临的最大的问题在于:目前的网络安全产品仍然是在以"点"式发展,比如访问控制、病毒扫描、内容过滤等等。作为应用系统来看,金融业希望有一个网管一样能够提供动态的、可调整的网络安全管理系统,而这样的一个系统可以随着应用业务的不同来定制集成。所以,在今后的应用系统当中,完整的网络安全管理系统将是今后发展的重要内容。随着服务的逐步高技术化,网络远程服务将是我国各行各业服务的主流技术。把管理代理软件、服务代理软件、测试代理软件与芯片嵌入到被管理、被服务、被测试、被监控、被维护的设备与系统中,实现网络远程的服务,是现代企业的规范和标准服务概念。它对企业降低成本发挥着重要作用的同时,也对发达国家实现网络经济意义上的控制提供了条件,直接威胁着采用此类服务国际信息系统、金融信息系统等的安全。

解决这类问题,长期服务是根本。服务的不间断,即保持业务的持续性,是当今金融业数据存储需要考虑的一个极为重要的方面。系统故障的出现可能导致业务停顿、客户满意度降低、失去客户甚至大量的资金流失,金融企业的竞争力也会因此大打折扣。这就要求数据存储采用的系统必须具有高度的可靠性。高可靠性方案应该考虑到应 用、数据和系统各级的保护。在一个有效的高可靠性计算环境中,数据中心的任何系统硬件、软件及应用的故障不应影响到整个中心的处理工作,当数据中心由于灾难等原因无法工作时,应有一个备份数据中心能够立即接管关键应用,继续维持系统运行,而当主数据中心恢复后,应用和数据均应迅速切换回主中心运行。 这些功能的实现,需要平台化的产品和平台化的服务来支撑。

 培养金融信息专业人才

人是生产力中最积极最活跃的因素,事情办得好与坏人是起主导作用的,把好用人关,是做好金融信息化安全工作的前提。为了克服银行信息化的路障,各大银行要加大对金融信息化人才的培养和重用。目前我国金融从业人员达到硕士以上学历的不足1%,远远不能满足国内银行业的蓬勃发展,而且国内能够培养金融信息人才的院校屈指可数。目前虽然也有很多金融机构的科技人员是纯IT背景,可由于本身不懂金融,这些人员加盟后有相当长的时间不能够充分发挥作用;同时,有部分金融人才中途改行去做信息,可能实际能力又达不到工作要求等等一些原因使我国的“金融信息化”进程受到阻碍。

金融IT方向的人才主要应该掌握以下一些方面的知识:一是金融经济与管理方面的基础知识;二是信息化方面的知识,包括数据库知识;三是金融方面的业务知识,如国际金融等。既懂“金融”又懂“IT”复合型人才是高端人才市场的“焦点”,而且这种金融经验应该是“业务技能”导向而不是“理论”导向的学者。

安全服务商:提供安全快捷、全方位的安全服务

  移动金融信息安全问题方面,很重要的一点在于,权利人自身要加强保护意识,即应用开发者要提升安全保护意识。现在,不管是要求政府部门监管,还是要求司法机关动起来,一个重要前提是开发者要提升安全保护意识,这样才可能使信息保护问题得到根本解决,否则只靠市场、政府权力机关等单方面去做无法达到根除的效果。

纵观行业现状,由于大多数app开发者团队精力资源有限,自身并无保护能力,导致开发出的app很容易被盗版或注入病毒;还有就是由于安卓加密技术研发投入过大,成本过高,也致使移动终端出现各种安全问题,这种时候,与第三方的安全服务商进行合作,也未尝不是一个好的方法。

目前,市场上有多种为移动应用提供安全服务的厂商,但是能够满足移动金融支付类应用高要求、高防护、高级别需求的专业移动安全服务厂商并不多,作为关系着用户个人财产的重要工具,移动支付类应用必须需要更为专业、更为安全的服务。

爱加密作为国内顶尖的移动应用安全服务商,专注为移动领域金融、游戏、企业级应用及开发者提供安全解决方案、漏洞检测、安全评估等一站式服务,已为众多银行、支付及大型上市手游公司提供了定制化的移动安全保护服务。同时,移动金融安全是一个广而深,且不断动态提升的技术领域,希望有更多安全服务商参与进来,共同研究与促进移动金融安全的进一步发展。

编辑/发表时间:2018-01-24 02:22
编辑词条如何编辑词条?)                          历史版本

资料出处:百度 综合
贡献者:
蔡律