网络金融会计信息系统安全体系的构建
来源:用户上传
作者: 郭立
摘要:近年来,随着网络信息全球化的不断创新和发展,我国金融会计网络信息化服务体系也已建成,与此同时,由于金融业对网络信息及技术的依赖程度加大,种种原因造成金融会计信息系统安全保障难度也在持续加大,给我国金融信息系统安全工作带来了新的更大的挑战,主要表现为网络侵权问题屡见不鲜,出现了网上盗窃、诈骗、知识产权侵权、抢注域名等现象;尤其是金融会计信息系统一旦受到侵害,往往会造成经济上的巨大损失。所以,构建金融会计信息系统安全体系势在必行。本文将围绕该问题展开讨论。
关键词:网络 金融 会计 安全体系 构建
电脑网络信息的高速发展,为各行各业工作效率的提高提供了巨大的方便,在某种程度上甚至可以说,不少行业和部门离开网络信息系统就无法开展工作。但网络侵权问题也随之而来,而受害最深的单位莫过于金融会计等行业,其一旦受到侵权,往往就会造成巨大的经济损失。如何建立起金融会计信息网络系统安全体系,已成为一个急需解决的重大问题。多年以来,人们往往依靠加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、漏洞扫描、身份认证等等来保障信息系统的安全。但实践证明,只有这些还是不够的,还有不少多变的复杂的安全威胁和安全隐患让你防不胜防。据统计,我国公安机关自2000年至2009年,共破获利用网络犯罪案件16700余起,缉捕犯罪嫌疑人19300余人,涉案总价值近95亿元。有统计报告称,将受侵权案件进行归类,发现属于管理方面的原因比重高达60%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来避免的。因此,加强安全管理已成为提高信息系统安全保障能力的可靠保证。在提高安全管理技术手段的同时,还要从制度和管理机制上提高安全管理水平。俗话说“三分技术,七分管理”,由于金融信息系统相对比较封闭,对于金融信息系统安全来说,业务逻辑和操作规范的严密程度是关键。加强金融信息系统的内部安全管理措施,层层建立起组织管理系统,制定和完善内控的各项规章制度,不断改进和加强程序的操作与管理技术,是做好金融会计信息系统安全管理的根本。
一、金融会计网络信息系统面临的挑战
目前,网络信息和技术的广泛使用,给金融会计网络信息系统带来了多方面的风险和隐患,金融会计网络信息系统正面临十分严峻的形势和挑战。
(一)金融行业的管理落后于金融网络系统发展的需求
目前,我国金融业的网络信息安全管理工作还存有不少漏洞,从领导决策、内部安全制度管理到网络技术的安全管理,都还需要直一步加强。曾有金融界专家根据我国金融网络信息安全管理不佳的现状指出:“信息资产风险监管是金融监管体系的核心理念。”这里说的信息风险资产是指在网络信息化进程中,信息资产的设计、规划、服务、运用、监管以及操作等过程中产生的业务风险。从目前我国整体形势来看,金融会计系统的安全管理制度都已比较完善,但从上级机构对下级机构的监管和指导上还处于一个较低级的阶段。因为往往缺乏完整的认识,缺乏统一的监管目标,缺乏上下级之间监管的运作机制,从而造成上下级监管不到位,就不同程度地消弱了网络信息安全管理的实际效果。
(二)核心设备和技术依赖国外,造成安全隐患
目前,我国的网络信息系统所使用的操作系统、芯片、数据库等大多数还是由外国生产和提供,其中有些人为设置的软件陷井和系统漏洞,往往就会使我们防不胜防。有人在调查中发现,外国人生产设计的操作系统和数据库及一些重要网络系统中使用的信息技术产品等,都不可避免地存在着一些安全上的漏洞。这些漏洞其中有的是疏忽造成的,但也有的是有意设置的。在网络运行中,这些安全上的漏洞就有可能被人利用实施入侵,被人破坏设备程序或从中窃取机密信息和数据,实施经济犯罪。
(三)境内外网络违法犯罪活动呈快速发展趋势,金融会计网络信息系统安全将面临严峻的网络技术挑战
金融会计网络信息系统和其它重要信息系统正成为国内外不法分子进行攻击和破坏的重点目标,他们都是利用自己高尖端的网络信息系统技术进行犯罪活动,只要我们一时的疏忽和松懈,就会让坏人有机可乘,给国家和集体的财产造成很大的损失。目前,从全国的形势来看,不法份子正在利用其所拥有的高科技,在整个金融界无孔不入地从事破坏活动,已有不少金融会计信息系统受到他们的攻击,并给我们的金融业造成了巨大的危害,所以说,我国目前金融会计网络信息安全的形势十分严峻。2009年国防科技大学的一项研究表明,我国与互联网相连的网络管理中心95%都遭到过境内外黑客的攻击和侵入,其中以银行、金融和证券机构为其攻击的重点。
二、应对措施
(一)加强金融网络信息系统安全管理的行业监管和制度建设
目前,随着我国社会经济的快速发展,网络信息安全工作也已受到国家有关部门的高度重视。尤其是近几年以来,党和政府开始把金融信息系统安全工作提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度,并提出了“积极防御、综合防范”的信息安全管理方针,同时,各级政府还专门成立了网络与信息安全领导小组、国家计算机网络应急技术处理协调中心(简称CNCERT/CC)、中国信息安全产品测评认证中心(简称CNITSEC)等,初步建成了国家信息安全组织保障体系,为金融会计系统网络信息的安全管理打下了一个良好的基础。具体到一个行业和部门就更应自己对加强信息系统安全管理重大意义的认识,在国家高度重视并建立防护机构的基础上,建立起自己的信息安全管理组织,联系本行业、本部门的工作实际,科学认真地制定出确保金融信息系统的安全管理措施。管理措施主要应包括领导责任、安全管理人员的职责划定以及工作人员技术管理、操作程序上的具体要求和防护策略。同时应要求将各种安全策略规范化和实用化,加强其可操作性,以保证安全管理人员在工作中具有明确的依据或参照,并便其形成一种人人都严格实施的工作制度。
为了进一步从根本上强化金融网络信息系统的安全管理,还应建立起跨部门的金融行业安全协调机制以及关键时期的安保工作机制,加强信息安全的检测和准入制度,层层建立起信息资产风险评估体系,切实提高信息系统安全管理水平,保证金融业的长期稳定和发展。上层金融机构要切实加强对下属中、小金融机构的监管,并加强具体指导和提供各项服务。加强对下属金融机构的业务、技术培训,提高其安全防范意识和防范技能,帮助中小金融机构规避各种风险,实现持续发展。各金融系统还应自上而下地成立行业网络信息安全领导小组,并随之建立起一系列的信息安全的报告制度、通报制度和联席会议制度,真正建立健全运转灵活的、反应灵敏的信息安全应急协调机制,及时消除隐患,快速有效地应对各类突发事件,从根本上降低和消除各类重大事故的发生,保障金融业健康有序的发展。
(二)强化网络信息的安全机制建设
在网络信息机构、制度建设的基础上,必须加强行业、部门内部的安全机制建设。这就是说,机构和制度的建立固然重要,但更为重要的是机构和制度的运作是否能够形成一个科学有效的内部管理机制,没有形成一个科学有效的管理机制,机构和制度都将形同虚设。安全机制建设的内容应包括:一是层层建立岗位安全责任制,在防患于未然的前提下,一旦发生问题,责任十分明确,谁也无法推诿,以此增强每一个领导者和每一个工作人员的责任意识;二是可进行安全区域划分,重点加强重要地区和部位的防御力量。从人力到有针对性的安全设备部署和设置,都要向重要部位实施强化,以改进和加强对重要区域的分割防护;三是增加入侵检测系统、漏洞扫描、违规外联等安全管理工具,进行定时监控、事件管理和鉴定分析,发现问题及时向主管领导报告或立即报警,力争将隐患和问题消灭在萌芽状态,以此来保证和提高自身的动态防御能力;四是完善已有的防病毒系统、增加内部信息系统的审计平台,以便形成对内部安全状况的长期跟踪和防护能力。五是要强化“突发”与“应急”意识。由于灾害事件的不确定性,应急管理与保障工作必须建立在高强度的实战性基础上,使灾难应急管理真正适应“应急”的要求。六是要扩大应急预案本身的覆盖范围。应通过建立健全信息安全制度、定期组织信息安全非现场和现场检查等方式,促进金融部门做好系统加固工作,充分利用各种安全产品强化网络安全防范,加强移动存储介质管理,做好安全日志分析、预警和监测工作,防止植入木马导致信息泄漏和来自内部的安全威胁。
(三)组建网络信息安全专业组织
因金融会计网络系统安全问题事关重大,在已解决上述有关问题的前提下,组建起一支精干而专业的网络信息安全的专业组织是大有必要的。专业安全保障人员应专门负责信息网络方面安全保障、安全监管、安全应急和安全威慑等方面的工作。在此基础上,要根据可能发生的安全问题,制定出关键设施或部位的应急预案,让每一个人都牢记在心,防患于未然;同时还要对专业安全人员进行有目的的业务和技能培训,让其真正具备应急预案中所规定的专业安全保卫人员的思想素质和各项防范技能,随时准备应对可能发生的突出事件。如上所述,多管齐下,多渠道实施综合防范,真正建立起网络信息系统的安全保障体系,实现对金融机构信息安全风险的及时、动态、全面、连续的监管,同时促进各家金融机构完善内控机制,保障运行安全。现代金融业高度依赖信息技术,所以我们就必须充分认识到金融业信息安全对整体业务和金融体系,乃至体系的影响,牢固树立风险防范意识,把不断提高信息科技能力作为风险管理的重要手段。
(四)积极应对挑战,建成安全防范体系
随着计算机网络信息运用的日益普及,网络系统侵权问题越来越引起人们的高度重视,并已经开始为此问题开展有益的广泛的探讨。在法制日益加强和完善的今天,国家应继续加强对这一事关国计民生的重大问题的立法,比如,在适当的时机,由全国人大出台“反网络侵权法”,筹划出台“信息网络传播保护条例”,以形成全国反网络侵权的合力。尽管现在用于网络安全的产品有很多,比如有防火墙、杀毒软件、入侵检测系统,但是仍然有很多黑客的非法入侵。根本原因是网络自身的安全隐患无法根除,这就使得黑客进行入侵有机可乘。虽然如此,安全防护仍然必须是慎之又慎,提高防范意识,优化操作技术,加强技术管理,尽最大可能降低黑客入侵的可能,从而保护我们的网络信息安全。金融会计网络系统安全问题是一个系统工程,实践证明单方面的努力住住效果不太显著,它需要领导阶层、具体管理阶层、网络技术操作阶层所有人的协调和配合才能收到理想的效果。要自始至终强化安全防范意识,采取全面、可行的安全防护措施,把安全风险降低到最小程度。金融业信息安全事关经济金融的稳定大局,责任重大,金融业要未雨绸缪,认真贯彻落实国家信息安全的工作要求,加快建立完备的安全防护体系,积极应对挑战。金融会计系统要以科学发展观统领金融业信息化建设全局,充分发挥科技在履行职能中的支持、保障、指导、协调作用,全面推进金融业信息化建设,为促进我国经济平稳运行发挥重要作用。
参考文献:
[1]郭振民,姜楠,陈琳.信息安全发展策略的思考[J].微电子与计算机2002
[2]关义章,戴宗坤.信息系统安全工程学[M].北京:电子工业出版社,2002
[3]潘立军等.网络通信中的基本安全技术[J.]网络安全技术与应用,2002
[4]万里威.网络通信中的数据安全技术[J].网络安全技术与应用,2002
转载注明来源:https://www.xzbu.com/3/view-7730.htm