基本信息
安全是金融信息系統的生命,金融信息安全是根據金融系統的實際套用需求,將
密碼學、
密鑰管理、
身份認證、
訪問控制、
套用安全協定和
事務處理等信息安全技術運用到金融信息系統安全工程中,並能在系統運行過程中發現、糾正系統暴露的安全問題, 它關係到金融機構的生存和經營的成敗,所以,應把金融信息安全視同資金的安全一樣,看作是金融機構的生命。
項目內容
金融信息安全項目主要包括了以下安全產品:
網路防火牆;
入侵檢測工具;網路計算機病毒防範工具;硬體
加密機; VPN/IP保密機;工具身份識別工具 (單機用戶);身份識別工具(網路用戶);網路信息審計工具;業務信息審計工具;
桌面安全軟體;
密鑰管理中心;風險評估和策略審計工具。
網路具備功能
身份識別
身份識別是安全系統應具備的最基本功能。這是驗證通信雙方身份的有效手段,用戶向其系統請求服務時,要出示自己的身份證明,例如輸入User ID和Password。
存取許可權控制
其基本任務是防止非法用戶進入系統及防止合法用戶對
系統資源的非法使用。
數字簽名
即通過一定的機制如RSA
公鑰加密算法等,使信息接收方能夠做出"該信息是來自某一數據源且只可能來自該數據源"的判斷。
保護數據完整性
即通過一定的機制如加入
訊息摘要等,以發現息是否被非法修改,避免用戶或
主機被偽信息欺騙。
審計追蹤
即通過記錄日誌、 對一些有關信息統計等手段,使系 統在出現安全問題時能 夠追查原因。
密鑰管理
信息加密是保障信息安全的重要途徑,以密文方式在相對安全的信道上傳遞信息,可以讓用戶比較放心地使用網路,因此,要對密鑰的產生、
存儲、傳遞和定期更換進行有效地控制,並引入
密鑰管理機制,對增加網路的安全性和抗攻擊性。從安全技術來講,在所有的安全技術中,
密碼技術是解決信息安全的核心技術。
病毒防範與監控
由於病毒的潛伏期和傳染性的特徵,以及計算機網路的普遍使用,加劇了病毒的傳染性,使得單機手工查殺病毒難以做到斬草除根。因此,基於網路的計算機防毒手段日益為銀行系統所重視,尤其需要
防病毒系統化,反病毒實時化。
實現金融信息安全方法
1、 要保證信息的完整性和秘密性 。網上銀行系統的信息傳輸完全向網際網路開放,任何合法用戶都可以在這裡進行信息的交換和獲取。為了保證信息的完整性和秘密性,可以通過對動態信息進行簽名保證信息的完整性,並使用密鑰加密的辦法保證信息的秘密性;可以通過對靜態信息進行特別保存,利用密碼對檔案進行鎖定,以保證信息的完整性和秘密性。
2、 對網路訪問用戶身份進行強鑑別。 可以利用
公開密鑰機制(PKI)來對訪問用戶進行身份強鑑別。
3、 建立網路防
計算機病毒機制 。建立嚴密的
防病毒系統,對所有伺服器進行病毒監測,同時建立病毒監測系統,對感染了病毒的流動信息給出預警,並有相應的強制性手段。
4、 非法入侵的
安全審計與跟蹤 。網上銀行的一個重要內容就是防止非法入侵,防火牆雖然能夠起到一定的作用,但不可能防止所有的入侵,因此應加強
安全審計和事後追蹤的力度,對入侵者起到威懾作用和追查作用。
5、 信息系統安全 。主要是解決信息系統安全設計、生產、測試、運營、維護等方面的安全問題,其對象包括積體電路、智慧卡、計算機設備、通訊設備、視象設備、控制設備、控制系統、網路設備、終端設備、作業系統、資料庫系統和套用系統等。
保障體系
在歷經了網路建設、數據大集中、網路安全基礎設施建設等階段後,如今,我國金融信息化已進入了體系化信息安全管理的階段,亟待建立一套金融信息安全保障體系,有效地防範和化解安全風險,統一安全問題處理規範和流程,增強金融系統的信息安全整體防範能力,以保證金融機構的信息系統平穩運行及各項業務的持續展開。
加強金融信息保密工作
隨著信息技術的迅猛發展與廣泛套用,竊密手段更加隱蔽,泄密的隱患增多,泄密所造成的危害程度大,保密工作面臨許多新情況新問題。金融行業具備特有的高保密性,對於各種涉及安全性信息的上傳下達要求高,因此我們要:(1)樹立正確的保密意識。通過對領導幹部、涉密人員、保密幹部的教育培訓,通過廣泛開展民眾性的保密法制宣教活動,使廣大員工認識到,金融保密工作是關係到國家安全和利益的大事,徹底摒棄金融加入世貿組織“無密可保”、“有密難保”、“保密無用”的錯誤思想。(2)要抓好保密管理。金融系統要進一步建立健全保密管理的專門機構,配備專兼職人員,實施規範化管理,重點要加強定密管理、涉密人員的管理和要害部位的管理。(3)要抓好加密技術創新。我們要大力開發關鍵性技術,使保障金融網路安全的密碼技術、商用加密技術、身份鑑別技術、防火牆技術、攻擊監測技術、病毒防禦技術在網路銀行上發揮應有的作用,同時要把研究開發CPU和作業系統核心技術作為長期性策略,儘快開發我國自己的作業系統、密碼專用晶片和安全處理器;要大力推行網路隔離技術;要推廣電子認證技術。
完善金融信息標準體系
金融信息技術和套用標準化的必要性和好處顯而易見。舉例來說,銀行以前建立的非標準化系統就像形狀和大小各異的一組杯子,不同的杯子各司其職不能共享,而且每個杯子都要有一模一樣的備份。考慮到業務的長久發展,這些系統在建設之初均需按一定的業務峰值來配置,也就是說這些“杯子”還都要買最大號的。這種模式不僅導致了系統的不兼容和管理困難,更極大的造成了備份資源的重複和浪費。而標準化則意味著銀行IT系統變成了一組形狀、大小一致的杯子,技術標準、規範和平台完全一致,且只需選擇大小適中而非最大的,而以備份數量的多少來動態滿足業務需求。此外,由於規格完全一樣,資源充分共享,整個銀行只需多準備兩隻作為備份就夠了,不用每個系統都備一個。技術和套用的標準化不僅能靈活的滿足銀行不同時點的套用需求,減少系統冗餘,節省資源,同時還可以降低系統的複雜性和管理難度,簡化操作,並能在市場突變時快速應對,提升銀行IT套用的前瞻性和主動性。 金融信息標準化體系是帶動我國金融IT技術與套用發展的關鍵,是我國金融信息套用成熟發展的主要措施之一。我國在新世紀的金融信息化必須強調金融信息基礎設施的建設,強調信息基礎設施公共操作環境(COE)的建設,在此基礎上建設我國統一的現代化的金融支付清算系統、銀行卡系統、銀行信譽系統、金融監管信息系統和金融信息系統安全系統等,從而實現金融IT資源的最大限度重複利用和共享信息,實現金融信息系統之間的互連、互通和互相操作及其基礎上的安全性。對於我國來說,要做的主要具體工作是,要完善金融信息化標準體系總體規劃,確定我國金融信息標準體系的目標、任務、發展階段策略和原則等,全面規劃銀行通訊和網路技術設施建設,區分銀行面向社會服務、銀行內部服務和中國銀行監管的工作,實施這些網路的業務分開,提出統一業務平台體系,提出銀行信息認證技術框架和公共的必要設施。要建設我國自助的信息化標準體系,必須與國際接軌,同時我國金融信息化標準又必須維護國家主權和安全。考慮到我國的文化特色,必須自主獨立地制定金融信息化套用平台標準和信息安全標準體系。要逐步建立我們金融行業系統的互操作性、安全性和套用平台的一致性及對技術套用成熟的評估。要加強我國金融信息基礎設施公共環境的建設,金融信息基礎設施公共環境是金融信息系統套用於管理最重要的技術關係條件。公共操縱環境建設不僅僅是一種標準結構,更是IT產業在網際網路時代的新興產業模式的樣板。應該說它是套用化系統走向成熟的主流技術之一,也是我國信息管理的最重要的技術標準體系。要建立和套用信息安全標準體系,我們要加快產生信息安全測評認證標準、互操作性測評標準、信息安全產品技術要求(PP標準)、信息系統安全技術要求(PP標準)等標準檔案,要積極完成信息安全測評認證標準體系、信息安全測評產品體系、信息安全測評服務體系、信息安全測評產品研發體系以及網路遠程服務的標準體系等方面的建設工作。
構築信息安全服務後盾
有關專家指出,在我國整個金融信息安全當中,八十年代以前主要的目標是所謂的加密、簽名和訪問控制,希望把攻擊者拒之門外。而現在,如何具有容錯、容災和快速恢復,實現不間斷服務的能力,正在成為當前網路安全的主要內容。 從整個安全系統來看,金融業在選購存儲安全產品時面臨的最大的問題在於:目前的網路安全產品仍然是在以"點"式發展,比如訪問控制、病毒掃描、內容過濾等等。作為套用系統來看,金融業希望有一個網管一樣能夠提供動態的、可調整的網路安全管理系統,而這樣的一個系統可以隨著套用業務的不同來定製集成。所以,在今後的套用系統當中,完整的網路安全管理系統將是今後發展的重要內容。隨著服務的逐步高技術化,網路遠程服務將是我國各行各業服務的主流技術。把管理代理軟體、服務代理軟體、測試代理軟體與晶片嵌入到被管理、被服務、被測試、被監控、被維護的設備與系統中,實現網路遠程的服務,是現代企業的規範和標準服務概念。它對企業降低成本發揮著重要作用的同時,也對已開發國家實現網路經濟意義上的控制提供了條件,直接威脅著採用此類服務國際信息系統、金融信息系統等的安全。解決這類問題,長期服務是根本。服務的不間斷,即保持業務的持續性,是當今金融業數據存儲需要考慮的一個極為重要的方面。系統故障的出現可能導致業務停頓、客戶滿意度降低、失去客戶甚至大量的資金流失,金融企業的競爭力也會因此大打折扣。這就要求數據存儲採用的系統必須具有高度的可靠性。高可靠性方案應該考慮到應用、數據和系統各級的保護。在一個有效的高可靠性計算環境中,數據中心的任何系統硬體、軟體及套用的故障不應影響到整箇中心的處理工作,當數據中心由於災難等原因無法工作時,應有一個備份數據中心能夠立即接管關鍵套用,繼續維持系統運行,而當主數據中心恢復後,套用和數據均應迅速切換回主中心運行。 這些功能的實現,需要平台化的產品和平台化的服務來支撐。
培養金融信息專業人才
人是生產力中最積極最活躍的因素,事情辦得好與壞人是起主導作用的,把好用人關,是做好金融信息化安全工作的前提。為了克服銀行信息化的路障,各大銀行要加大對金融信息化人才的培養和重用。目前我國金融從業人員達到碩士以上學歷的不足1%,遠遠不能滿足國內銀行業的蓬勃發展,而且國內能夠培養金融信息人才的院校屈指可數。目前雖然也有很多金融機構的科技人員是純IT背景,可由於本身不懂金融,這些人員加盟後有相當長的時間不能夠充分發揮作用;同時,有部分金融人才中途改行去做信息,可能實際能力又達不到工作要求等等一些原因使我國的“金融信息化”進程受到阻礙。金融IT方向的人才主要應該掌握以下一些方面的知識:一是金融經濟與管理方面的基礎知識;二是信息化方面的知識,包括資料庫知識;三是金融方面的業務知識,如國際金融等。既懂“金融”又懂“IT”複合型人才是高端人才市場的“焦點”,而且這種金融經驗應該是“業務技能”導向而不是“理論”導向的學者。
安全服務商:提供安全快捷。全方位的安全服務
移動金融信息安全問題方面,很重要的一點在於,權利人自身要加強保護意識,即套用開發者要提升安全保護意識。現在,不管是要求政府部門監管,還是要求司法機關動起來,一個重要前提是開發者要提升安全保護意識,這樣才可能使信息保護問題得到根本解決,否則只靠市場、政府權力機關等單方面去做無法達到根除的效果。
縱觀行業現狀,由於大多數app開發者團隊精力資源有限,自身並無保護能力,導致開發出的app很容易被盜版或注入病毒;還有就是由於
安卓加密技術研發投入過大,成本過高,也致使
移動終端出現各種安全問題,這種時候,與第三方的安全服務商進行合作,也未嘗不是一個好的方法。
目前,市場上有多種為移動套用提供安全服務的廠商,但是能夠滿足移動金融支付類套用高要求、高防護、高級別需求的專業移動
安全服務廠商並不多,作為關係著用戶個人財產的重要工具,
移動支付類套用必須需要更為專業、更為安全的服務。
愛加密作為國內頂尖的移動套用安全服務商,專注為移動領域金融、遊戲、企業級套用及開發者提供安全解決方案、漏洞檢測、安全評估等一站式服務,已為眾多銀行、支付及大型上市手遊公司提供了定製化的移動安全保護服務。同時,移動金融安全是一個廣而深,且不斷動態提升的技術領域,希望有更多安全服務商參與進來,共同研究與促進移動金融安全的進一步發展。