前言:想要寫出一篇引人入勝的文章?我們特意為您整理了我國金融業信息安全論文范文,希望能給你帶來靈感和參考,敬請閱讀。
一、當前金融業信息安全形勢分析
(一)境外信息安全威脅已然顯現
棱鏡門事件折射出美國通過國內高科技公司實施全球網絡空間霸權的戰略圖謀,為我國金融業敲響警鐘。是國外對中國金融信息的竊取僅次于軍事情報,我國金融業核心軟硬件多為國外企業產品,使得我國金融信息系統容易被國外掌控,為行業信息安全埋下隱患。服務外包對國外廠商依賴度較高,加大了風險控制難度,敏感信息、核心技術泄密的可能性增加。我國對外政治經濟摩擦不斷增多,金融改革持續推進,競爭進一步激烈,金融機構數據中心遭受境外黑客攻擊的可能性大大增加。例如,2013年11月29日,“中國煤炭銀行”官網被黑,其官網稱此次事件系日本金融財閥勾結國內金融集團所為。
(二)互聯網輿情威脅不容忽視
互聯網是廣大網民獲取信息資源、表達訴求最便捷和最有效的平臺。微博客、網絡社區、論壇等網絡輿論平臺飛速發展,成為社會輿論的發動機。網絡輿論與摘要:我國金融業信息化進程不斷加速,國內外信息安全環境深刻變化,金融機構須定期判斷和分析國內外信息安全形勢,不斷提高風險防范水平。本文分析了當前金融業面臨的信息安全形勢,并從完善信息安全組織機制、夯實信息安全基礎、強化互聯網風險防范等角度提出應對策略和建議。關鍵詞:金融業;信息安全;安全威脅;形勢分析;應對策略傳統媒體相互呼應,將迅速形成風險擴散的“蝴蝶效應”,放大信息安全風險。一旦金融機構局部的信息安全風險被網絡聚焦、放大,會加大風險控制與事件處置的難度。此外,一些組織或個人出于競爭、報復或利益的目的,通過互聯網關于金融機構的不實信息,營造“偽輿論”。還有一些小摩擦或小糾紛,由于沒有得到及時察覺和合理處置,引發網民圍觀,形成網絡熱點事件。這些不僅會嚴重影響金融機構聲譽,還會給整個行業帶來不良社會影響,甚至造成巨額經濟損失,實力相對較小的微型金融機構可能面臨倒閉風險。
(三)互聯網金融使信息安全形勢更趨復雜
2013年中國互聯網金融出現了快速發展勢頭,被稱為中國互聯網金融元年,各大互聯網企業巨頭紛紛進軍互聯網金融,推出“余額寶”、“微銀行”、“京寶貝”等金融產品和服務。面對激烈競爭,傳統金融機構積級調整戰略介入其中。互聯網金融為金融業帶來新的發展機遇的同時,同樣引入了信息安全風險和威脅。除具有傳統金融業經營過程中存在的流動性風險、市場風險和利率風險外,互聯網金融還存有信息技術導致的平臺風險、技術風險、系統安全風險和基于虛擬金融服務的業務風險,且風險誘因更加復雜、風險擴散傳播速度更快。移動互聯網發展和智能手機的普及使互聯網金融隨處可及,互聯網金融活動突破了時間和空間的局限,將成為網絡釣魚、黑客攻擊的新目標,金融業面臨信息安全形式更趨復雜。
二、新形勢下金融業信息安全應對策略
(一)完善信息安全工作的組織機制
組織機制是保障信息安全最基礎、最有效的長效機制,金融機構要基于當前信息安全形勢和監管部門要求,進一步完善信息安全工作的組織機制。
1.明確不同部門和崗位的信息安全職責。當前,保障信息安全已不是一個或幾個部門的責任,而是機構內所有部門、全體員工共同的職責。金融機構要明確業務部門、內控部門與技術部門共擔信息安全風險的責任,將信息安全保障納入到各崗位職責中,將信息安全工作作為一項重要的日常工作,努力形成全員參與信息安全保障的局面。
2.嚴格信息安全責任追究。按照“誰主管,誰負責;誰使用,誰負責”的原則,落實信息安全問責制,把信息安全風險的防范、識別、消除納入業績考核范疇,使所有員工意識到信息安全責任重于天。
3.提高制度的執行力。建立健全制度落實的規范流程和監督檢查機制,關注各流程、環節之間的銜接性,實現部門自控與機構內控相結合。及時發現和解決制度執行中的問題,保證制度的有效落實,維護制度的嚴肅性和權威性。
(二)夯實信息安全基礎,提升風險防范水平
信息安全工作涉及內容較多,內外部的信息安全威脅不斷發生變化,信息安全保障和風險防范不可能一蹴而就,而是一項不斷建設、持續完善的工程。金融機構應根據機構現狀和內外部安全形勢,科學制定機構信息安全發展規劃,有重點、有層次推進機構信息安全工作,不斷提升信息安全防范水平。
1.切實落實國家信息安全等級保護和涉密信息系統分級保護工作。按照國家有關等級保護和分級保護的管理規范和技術標準開展等級保護和分級保護工作,嚴格遵照安全等級劃分標準確定機構計算機網絡和信息系統的安全等級,并按相應等級具體要求,建設安全設施、建立安全制度、落實安全責任,接受公安機關、保密部門、國家密碼工作部門對信息安全等級保護工作的監督、指導,保障信息系統安全。
2.穩步推進信息產品國產化進程。“棱鏡門”事件后,信息安全國產化進程加快,金融業要牢牢把握國產化機遇期,以安全生產為底線,按照“推廣成熟、擴大基本成熟、試點逐步成熟、攻關不成熟”的策略,穩步推進金融業信息技術國產化進程,逐步實現信息安全產品、關鍵設備、核心系統、外圍系統等國有產品替換。加強人才隊伍建設和培養,提高自主運維能力和水平,逐漸減少對國外企業外包服務的依賴。
3.安全管理與技術防護并重。綜合使用多種安全機制,將不同安全機制的保護效果有機結合,安全管理與技術防護雙管齊下,相互配合,形成完整的立體防護體系。金融機構要摒棄“重技術,輕管理”的認識誤區,突出安全管理在信息安全保障體系中的重要性,增強技術防護體系的效率和效果,彌補當前技術不能完全解決的安全缺陷,實現最佳的保護效果。
4.完善災備體系建設和管理。災備體系是保障金融業務連續性的重要防線,是維護信息系統和網絡安全的重要措施。金融機構要把災備中心建設規劃提升到國家信息安全戰略高度予以重視,扎實做好機構災備中心布局規劃和災備建設工作。定期研究、評估當前災備中心布局,對存在的問題及時進行整改。對于核心業務系統,要實現應用級備份,保證突發事件發生時可及時恢復業務運營。確保備份數據的有效性,定期對冗余備份系統、備份介質進行深度可用性驗證。
5.加強人員操作行為管理,防范操作風險。從風險防范角度進一步完善網絡和信息系統的操作流程,加強操作流程管理和審查,實現人員操作事前能控制、事中可監控、事后有審計,使風險防范從“管住人”進一步發展到“管住行為”。善于運用技術手段加強對操作風險防控,達到從管理和技術兩個方面防范技術人員操作風險的目標,確保操作零風險。
6.提高機房設施保障水平。計算機機房是信息中心的核心部位,除承載機構的重要網絡和信息系統外,還有空調、消防、防雷等保障機房設備安全穩定運行的機房設施。要加強機房設施的監測和風險評估工作,確保UPS供配電子系統、機房空調子系統、防雷接地子系統、設備監控子系統、機柜微環境子系統、安全消防子系統等機房設施健康運轉,為機房這個“軀體”提供充足的“氧氣“和“血液”,保障作為“器官”的各信息系統正常運行。將機房設施安全放在同網絡和信息系統安全同等重要地位,發現風險隱患及時整改,勿將本應發揮安全保障功能的機房設施變成風險易發區域。
7.重視應急演練工作,提高應對突發事件的能力和水平。全面評估信息安全風險,建立風險全覆蓋的應急預案體系和應急演練常態化工作機制。根據風險的等級和影響程度,合理確定單項演練、綜合演練、跨部門演練、跨地域演練等不同類型演練的組合,具備應對不同類型風險的應急處置能力。依據風險的變化和應急演練效果完善應急預案,不斷提高應急預案的可操作性。堅持在演練中鍛煉隊伍,持續提高人員的風險意識和突發事件的響應處置能力。
(三)強化互聯網風險防控工作
1.加強互聯網輿情監測,妥善處置網絡熱點事件。完善互聯網輿情監測系統,加強人才隊伍建設,建立網絡輿情摘報和熱點專報制度,及時掌控輿情動態,盡早發現各種形式“偽輿論”,避免形成網絡熱點事件,影響正常的金融秩序。重視信息和輿論引導工作,做到未雨綢繆、預防在先。完善輿情熱點事件處置機制和流程,做到反應快速、判斷準確、處置合理,充分發揮傳統媒體與網絡媒體的協同作用,對網絡輿情進行正面引導和回應,將不利影響控制在最小范圍內。
2.認識互聯網金融威脅,完善安全防護措施。互聯網金融和移動支付的發展使金融業信息安全威脅具有了開放性、普遍性、動態性等新特征,信息安全防護工作更為艱巨。網上銀行、手機銀行、第三方支付的安全防護措施須進一步完善,從基礎技術和設備、身份認證、數據安全和加密、安全傳輸等環節夯實互聯網支付安全基礎,打造安全可靠的信息鏈和資金鏈。適時對交易終端進行安全評估,及時發現安全隱患和彌補安全漏洞,保障安全交易環境。運用多種手段增強用戶風險意識宣傳的力度和廣度,提高用戶警惕性及對個人敏感信息的保護意識。
作者:劉彥宏 單位:中國人民銀行太原中心支行