全球化時(shí)代金融電子化的信息安全保護(hù)技術(shù)探索

□胡 磊

一、全球化時(shí)代金融電子化趨勢(shì)

近年來(lái)，隨著國(guó)際金融市場(chǎng)金融機(jī)構(gòu)并購(gòu)愈演愈烈、金融業(yè)混業(yè)競(jìng)爭(zhēng)日益明顯以及金融衍生工具發(fā)展加快和金融網(wǎng)絡(luò)化經(jīng)營(yíng)趨勢(shì)加強(qiáng)，金融業(yè)越來(lái)越體現(xiàn)出全球化特征的同時(shí)，金融電子化已成為全球金融業(yè)發(fā)展的必然選擇。金融電子化(Financial Computerizing)是指利用通訊工程、計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)連接等現(xiàn)代化技術(shù)手段，兼得提高傳統(tǒng)金融服務(wù)業(yè)的工作效率和降低經(jīng)營(yíng)成本的優(yōu)勢(shì)，實(shí)現(xiàn)自動(dòng)化業(yè)務(wù)、信息化管理和科學(xué)化決策，使客戶足不出戶就能享受銀行服務(wù)。電子化金融極大地改變了傳統(tǒng)金融業(yè)的面貌，金融業(yè)服務(wù)品種因此擴(kuò)大，人們的經(jīng)濟(jì)和社會(huì)生活方式遭到徹底變革。在此背景下，各大互聯(lián)網(wǎng)公司不斷進(jìn)軍金融業(yè)務(wù)，如貸款，投融資，甚至以貨幣基金替代現(xiàn)金進(jìn)行消費(fèi)。而傳統(tǒng)金融機(jī)構(gòu)也紛紛覺(jué)醒，開(kāi)始意識(shí)到互聯(lián)網(wǎng)的重要性，工行、交行、招行等銀行也都推出了各自的電商平臺(tái)。但其中的姣姣者無(wú)疑是中國(guó)平安集團(tuán)，無(wú)論是網(wǎng)上車險(xiǎn)、陸金所、24 財(cái)富、醫(yī)網(wǎng)、藥網(wǎng)，還是眾安在線保險(xiǎn)等等布局，都揭示著金融電子化的黃金時(shí)代已來(lái)臨?，F(xiàn)今，一切個(gè)人及社會(huì)組織都在有意或無(wú)意中時(shí)刻感受著金融電子化的存在并享受其提供的服務(wù)。

二、金融電子化下信息安全威脅的主要來(lái)源

(一)安全意識(shí)差，專業(yè)信息人員配備不充分。未嚴(yán)格落實(shí)“禁止專用辦公、通信網(wǎng)絡(luò)與其他網(wǎng)絡(luò)或互聯(lián)網(wǎng)互通”原則的情況下，員工辦公終端出現(xiàn)較高的安全風(fēng)險(xiǎn)。

(二)內(nèi)部或外部泄密。在利益的驅(qū)使下，個(gè)別內(nèi)部員工法制觀念淡薄、道德防線脆弱。他們搜集客戶的銀行卡號(hào)、姓名、資產(chǎn)、聯(lián)系方式等大量個(gè)人隱私信息，甚至是銀行重要信息系統(tǒng)的關(guān)鍵數(shù)據(jù)，通過(guò)向不法分子兜售來(lái)獲得個(gè)人利益，從而導(dǎo)致泄密。

(三)網(wǎng)絡(luò)協(xié)議的缺陷。比如IPv4 在安全領(lǐng)域最令人詬病的是它沒(méi)有提供任何有效的安全機(jī)制(校驗(yàn)和算法等于沒(méi)有)，因此整個(gè)報(bào)文是可以篡改的——偽造數(shù)據(jù)、篡改數(shù)據(jù)、篡改報(bào)頭從而獲取遠(yuǎn)程權(quán)限，同時(shí)源路由選項(xiàng)就是將自己網(wǎng)絡(luò)的結(jié)構(gòu)與秘密拱手送出。

(四)“黑客”行為。黑客攻擊方式主要有竊取密碼、IP 欺騙等。針對(duì)金融機(jī)構(gòu)，攻擊者可利用對(duì)金融網(wǎng)站影響較大的漏洞，如Stuts2 命令執(zhí)行漏洞，通過(guò)黑客技術(shù)非法侵入金融機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)，竊取其注冊(cè)用戶密碼、篡改服務(wù)數(shù)據(jù)、破壞系統(tǒng)運(yùn)行，或進(jìn)行有目的的金融犯罪活動(dòng)。針對(duì)金融機(jī)構(gòu)用戶，攻擊者則利用偽造IP 進(jìn)行大規(guī)模釣魚攻擊，誘騙大量客戶錄入用戶名、賬號(hào)、轉(zhuǎn)賬密碼等敏感信息從而造成資金損失。更有甚者，攻擊方式已經(jīng)從單純的利用黑客工具，演變?yōu)槔貌《镜男问剑柚]件、系統(tǒng)漏洞等方式，進(jìn)行大規(guī)模的傳播。

三、金融電子化下的信息安全保護(hù)技術(shù)策略

(一)確立完善的信息安全策略。

1．實(shí)行嚴(yán)格的安全教育。對(duì)于離不開(kāi)計(jì)算機(jī)網(wǎng)絡(luò)的企事業(yè)單位等機(jī)構(gòu)，要確保信息安全，首先要有一套嚴(yán)密的安全管理辦法，加上完備的網(wǎng)絡(luò)安全管理系統(tǒng)。辦公人員更要提高網(wǎng)絡(luò)素質(zhì)與危機(jī)意識(shí)，明確用戶授權(quán)的重要性與謹(jǐn)慎原則，網(wǎng)絡(luò)管理部門要配置先進(jìn)的追蹤審核體系，并向機(jī)構(gòu)成員普及網(wǎng)絡(luò)安全知識(shí)。

2．建立圖文檔加密流程。圖文檔加密技術(shù)是指系統(tǒng)能在無(wú)人操作下，智能識(shí)別計(jì)算機(jī)運(yùn)行中的涉密數(shù)據(jù)，并自動(dòng)化、強(qiáng)制化地對(duì)其進(jìn)行加密操作。該功能能有效從根源上解決信息泄密。

3．建立安全操作平臺(tái)。從途徑與來(lái)源分析，數(shù)據(jù)的失竊與服務(wù)器的運(yùn)行平臺(tái)安全與否密不可分。萬(wàn)維網(wǎng)的安全、FTP 協(xié)議的安全以及SMTP 的安全，共同組成了數(shù)據(jù)安全的堅(jiān)實(shí)基礎(chǔ)，組成了網(wǎng)絡(luò)產(chǎn)品的護(hù)身符。

4．制定嚴(yán)格的法律法規(guī)。計(jì)算機(jī)作為一種新生事物，仍有很多行為處于無(wú)法可依的狀態(tài)，現(xiàn)有法律制度不能對(duì)計(jì)算機(jī)犯罪構(gòu)成有效打擊制裁。隨著計(jì)算機(jī)的發(fā)展，網(wǎng)絡(luò)犯罪也日趨嚴(yán)重，在這種情況下，必須盡快建立網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)，對(duì)非法分子構(gòu)成法律震懾，從而減少網(wǎng)絡(luò)犯罪的發(fā)生。

(二)加強(qiáng)信息安全保護(hù)技術(shù)。除了確立完善的信息安全策略外，先進(jìn)的信息安全技術(shù)是網(wǎng)絡(luò)安全的根本保證。而信息安全保護(hù)技術(shù)主要就是防護(hù)黑客惡意攻擊等計(jì)算機(jī)犯罪行為。

以信息安全病毒或者黑客入侵技術(shù)等特點(diǎn)作為分析對(duì)象，完善制度流程和SOX404 PCI DSS 標(biāo)準(zhǔn)等方面，建立保障服務(wù)器安全配置的有效防御機(jī)制。一是從技術(shù)流入手，加強(qiáng)自身服務(wù)器的安全性能，一般說(shuō)來(lái)，在改版后的操作系統(tǒng)中，大部分安全管理軟件有待強(qiáng)化或具備很大提升空間，提升后，這些軟件能自動(dòng)應(yīng)用服務(wù)包來(lái)預(yù)先防范可能構(gòu)成威脅的網(wǎng)絡(luò)攻擊。二是加強(qiáng)防守，有目的地一步一步對(duì)計(jì)算機(jī)操作系統(tǒng)的服務(wù)功能進(jìn)行完善，對(duì)長(zhǎng)久不用的軟件進(jìn)行重新整理歸類，及時(shí)刪除無(wú)用的功能數(shù)據(jù)，保證服務(wù)器內(nèi)里的清潔度，降低用戶賬號(hào)和密碼的泄露風(fēng)險(xiǎn);理論上，服務(wù)器內(nèi)里越清潔，越高效運(yùn)轉(zhuǎn)，也就越能加強(qiáng)計(jì)算機(jī)系統(tǒng)的安全認(rèn)證性能。

對(duì)于防病毒系統(tǒng)、入侵檢測(cè)系統(tǒng)等傳統(tǒng)安全防護(hù)系統(tǒng)，應(yīng)進(jìn)行合理部署，確保系統(tǒng)資源的合理配置、病毒特征庫(kù)的定時(shí)升級(jí);針對(duì)常見(jiàn)攻擊點(diǎn)，及時(shí)調(diào)整優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，讓病毒無(wú)縫可鉆。

對(duì)于IP 欺騙，最好的解決辦法是密碼認(rèn)證機(jī)制。由于目前的IPV4 體系結(jié)構(gòu)并不支持基于密碼的認(rèn)證，在無(wú)法從根本上阻止IP 欺騙攻擊發(fā)生的情況下，只能采取某些預(yù)防和檢測(cè)的辦法。一是通過(guò)對(duì)流過(guò)網(wǎng)絡(luò)的數(shù)據(jù)包的實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)偽造的IP 及其攻擊信號(hào);二是為了維護(hù)自身系統(tǒng)資源的運(yùn)行狀況，計(jì)算機(jī)系統(tǒng)一般都會(huì)有相應(yīng)的日志記錄系統(tǒng)有關(guān)日常事件或者誤操作警報(bào)的日期及時(shí)間戳信息。大部分偽造IP 的欺騙手段都是模擬被攻擊的主機(jī)所信任的對(duì)象，因此檢查日志的一致性，可以檢查TCP 鏈條是否被更改，從流程中段阻止IP 攻擊;三是提高入侵檢測(cè)系統(tǒng)的智能化水平，為入侵檢測(cè)系統(tǒng)建立一個(gè)較高級(jí)別的匹配模式，這樣，入侵檢測(cè)系統(tǒng)的檢測(cè)量從單個(gè)數(shù)據(jù)包提升到了大量數(shù)據(jù)包，能同時(shí)對(duì)大量數(shù)據(jù)包之間的潛在聯(lián)系進(jìn)行分析，檢測(cè)的效率將得到極大的提升;四是在通信時(shí)要求加密傳輸和驗(yàn)證，利用數(shù)字證書認(rèn)證、數(shù)字簽名等技術(shù)，在互聯(lián)網(wǎng)當(dāng)中保證身份的可信、數(shù)據(jù)的可信、行為的可信，是構(gòu)建可信的金融電子化信任體系的關(guān)鍵。

四、結(jié)語(yǔ)

隨著改革開(kāi)放的深入，我國(guó)的金融電子化建設(shè)經(jīng)歷了系統(tǒng)從無(wú)到有、業(yè)務(wù)從單調(diào)向多元化的蛻變，并且成績(jī)斐然。電子清算系統(tǒng)和金融管理系統(tǒng)的誕生，從根本上改變了傳統(tǒng)金融業(yè)務(wù)的處理模式。在日益信息化的今天，每個(gè)銀行都被迫面對(duì)日益龐大的信息數(shù)據(jù)，如果這些大數(shù)據(jù)不能得到有效的管理，就無(wú)法轉(zhuǎn)化為真正可用的決策信息，那將是嚴(yán)重的行業(yè)失職和資源浪費(fèi)。面對(duì)“客戶為主導(dǎo)”的行業(yè)特征，金融機(jī)構(gòu)可通過(guò)信息再加工，對(duì)客戶信息進(jìn)行深度分析，挖掘客戶潛在需求，實(shí)現(xiàn)個(gè)性化的可定制服務(wù)。對(duì)于銀行和客戶來(lái)說(shuō)，如此客戶主導(dǎo)型的經(jīng)營(yíng)模式，是讓兩方受益的雙贏選擇，也是金融電子化建設(shè)中的諸多困難以及安全問(wèn)題之后發(fā)展的重點(diǎn)方向。

［1］孫彬．金融電子化的信息安全保護(hù)技術(shù)研究［D］．北京郵電大學(xué)，2010

［2］卓武揚(yáng)．論全球化下電子金融的有效監(jiān)管［J］．西部經(jīng)濟(jì)管理論壇，2012