随着人类社会进入信息时代,金融信息化进程加快,因特网在信息全球化中扮演着非常重要的角色。通信、计算机技术等高科技手段在银行业广泛运用。在金融信息系统日益发展,信息越来越向上集中,规模越来越大,金融业对它的依赖性不断增加的同时,金融信息化系统安全的重要性也与日俱增。
金融信息化是一个热点话题,关系金融行业的稳定性和发展。所谓“金融信息化”,是构建在由通信网络、计算机、信息资源和人力资源等四要素组成的国家信息基础框架之上,由具有统一技术标准,能以不同速率传送数据、语音、图形图像、视频影像的综合信息网络,将具备智能交换和增值服务的多种以计算机为主的金融信息系统互连在一起,创造金融经营、管理、服务新模式的长期系统工程。
当今世界经济全球化趋势日益明显,经济全球化,首先是信息全球化,随着人类社会进入信息时代,金融信息化进程加快,因特网在信息全球化中扮演着非常重要的角色。通信、计算机技术等高科技手段在银行业广泛运用,外资银行大举进入,网络银行迅速发展,给人们带来方便的同时,利用信息网络技术犯罪也在迅速增长。曾几何时,银行存折和信用卡明明在自己手里,银行支票和印章明明锁在保险柜里,计算机操作密码慎之又慎,账户上的存款却不翼而飞。
据CERT统计,2002年中心接到的事件报告82094件,相比2001年度的52658件增加了36%。这些事件包括了电脑病毒、网络攻击以及利用电脑系统或应用软件进行的攻击事件。2005年12月,日本瑞穗证券公司误将客户的“以61万日元卖出1股J-COM公司股票”指令输入为“以每股1日元卖出61万股”。东京股票交易所计算机系统对该公司取消下单的指令不能给予及时回应导致错误的订单全部成交,导致瑞穗证券损失超过400亿日元。2006年,花旗银行日本分行出现交易系统故障,5天内约27.5万笔公用事业缴费遭重复扣划,或者交易后未做相应记录,造成花旗银行在日本的重大声誉损失。金融业尤其是银行业,作为国民经济发展的核心与枢纽,涉及到社会生活的方方面面,它的信任临界点很高,一旦有相关案件发生,将引发信用危机,造成社会不稳定。
近年来,我国一些银行机构也相继出现过系统宕机和网络瘫痪,其中影响较大的是银联系统瘫痪事件。2006年4月,银联全国跨行交易系统瘫痪6小时,国内大部分商户的POS机无法刷卡,所有银行的ATM终端无法进行跨行操作,“停刷”阻断交易量246.6万笔,金额1287.7亿元,造成了重大的社会影响。中国金融认证中心CFCA发布的《2007年中国网上银行调查报告》显示,在2007年调查的10个经济发达城市中,使用网上银行服务的个人仅37.8%,安全性是导致大家不敢使用网上银行的主要原因。在那些没有使用网上银行的网民中,有71.7%的用户认为网上银行的安全性偏低。2008年春,中国银监会副主席郭利根在银行业信息科技风险奥运专项自查工作部署会上,通报了2007年以来银行业金融机构发生的信息科技风险事件:2007年3月21日,交通银行因主机监控软件存在缺陷,导致业务交易阻塞,系统瘫痪近四个小时,所有营网点无法正常开展业务。2007年8月15日,工商银行对计算机系统进行升级,但由于没有避开业务高峰期,导致个人业务系统运行不畅,在持续五个半小时之后,系统才逐步恢复正常。2008年1月7日,北京银行因主干专线的入户接入设备发生故障,造成在京的117家支行所属网点柜台交易缓慢,业务无法正常进行,故障持续一个多小时。
安全是金融信息系统的生命。在金融信息系统日益发展,信息越来越向上集中,规模越来越大,金融业对它的依赖性不断增加的同时,金融信息化系统安全的重要性也与日俱增。它关系到金融机构的生存和经营的成败,所以,应把金融信息化系统的安全视同资金的安全一样作是金融机构的生命。金融信息系统的安全不仅是金融行业本身的问题,它与我国的经济安全、社会安全和国家安全紧密相连,是保障金融业稳定发展、增强竞争力和生存能力的重要组成部分,金融信息系统的安全已成为我国金融信息化建设中具有战略意义的关键问题。
鉴于金融信息化安全的重要性,对阳泉市农村信用社信息化建设进行了初步调查,发现存在以下几方面的安全问题:
(1)内网与外网没有安全隔离。
目前,我们的业务网络与外网没有完全隔离,并未采取有效的安全措施、运行业务系统的计算机在没有相应安全措施的情况下与外网进行连接。
(2)一些拓展服务没有相应的安全保障措施。
我们的一些拓展服务,没有相应的安全措施。如网上对账系统,服务器运行于外网环境中,没有相应的安全措施,那么可能造成客户信息的泄密;对账系统运行于HTTP协议下,此协议不具备数据加密等要求,同样在数据传输中可能造成客户信息的泄密。
(3)员工信息化安全意识淡薄。
员工对业务系统、计算机密码的设置、保管、更换没有引起高度的重视。很多人的密码较简单,还有很多人的密码为系统预设密码。
(4)计算机外设的使用没有安全保障措施。
对于大多数的计算机外设的使用,我们没有相应的安全制度和措施。外设的随意使用,可能造成我们信息的泄密,如:移动硬盘。
针对以上问题,经过分析研究,觉得以下几方面的措施,可以有力的保障信息安全:
(1) 内网与外网进行有效隔离。
针对内网与外网有效隔离,可以采取运行内网业务计算机上安装杀毒软件、防火墙,并及时更新病毒库、定时查杀;对计算机进行定期扫描系统及应用漏洞;避免安装未知软件,软件均由内网FTP服务器下载;外网出口架设硬件防火墙,并配置访问控制列表,防止计算机被攻击、下马。
(2) 拓展业务采取安全保障措施。
对于拓展业务采取相应的安全保障措施。接入外网的服务器,安装杀毒软件、防火墙,并及时更新病毒库、定时查杀;进行定期扫描系统及应用漏洞;禁止安装非业务相关软件;外网出口架设硬件防火墙,并配置访问控制列表,除业务应用外所有端口封闭;WEB应用采用安全的传输模式,如HTTPS,制作访问证书,并对相应客户颁发相应的访问证书,否则无法访问到业务服务器,并对证书进行定期撤销、更新;修改应用及数据库常用端口、避免端口被扫描及攻击;WEB应用的用户名密码采取MD5方式加密,该加密方式为不可逆,防止客户用户名与密码被窃取;
(3)加强员工信息安全培训。
分批、分级对员工进行信息安全培训,加强员工对信息安全的重视程度、培养信息安全方面的基础知识。
(4)制定计算机外设使用制度。
制定计算机外设使用制度,规定外设使用的计算机及使用人,可建立登记薄,有效监控;配置使用外设计算机,防止自动播放外设内容,防止病毒传播;杀毒后方可使用外设;使用外设后计算机进行扫描后方可接入内网,防止病毒在内网中传播。