前言:想要寫出一篇引人入勝的文章?我們特意為您整理了我國金融業(yè)信息安全論文范文,希望能給你帶來靈感和參考,敬請閱讀。
一、當(dāng)前金融業(yè)信息安全形勢分析
(一)境外信息安全威脅已然顯現(xiàn)
棱鏡門事件折射出美國通過國內(nèi)高科技公司實(shí)施全球網(wǎng)絡(luò)空間霸權(quán)的戰(zhàn)略圖謀,為我國金融業(yè)敲響警鐘。是國外對中國金融信息的竊取僅次于軍事情報,我國金融業(yè)核心軟硬件多為國外企業(yè)產(chǎn)品,使得我國金融信息系統(tǒng)容易被國外掌控,為行業(yè)信息安全埋下隱患。服務(wù)外包對國外廠商依賴度較高,加大了風(fēng)險控制難度,敏感信息、核心技術(shù)泄密的可能性增加。我國對外政治經(jīng)濟(jì)摩擦不斷增多,金融改革持續(xù)推進(jìn),競爭進(jìn)一步激烈,金融機(jī)構(gòu)數(shù)據(jù)中心遭受境外黑客攻擊的可能性大大增加。例如,2013年11月29日,“中國煤炭銀行”官網(wǎng)被黑,其官網(wǎng)稱此次事件系日本金融財閥勾結(jié)國內(nèi)金融集團(tuán)所為。
(二)互聯(lián)網(wǎng)輿情威脅不容忽視
互聯(lián)網(wǎng)是廣大網(wǎng)民獲取信息資源、表達(dá)訴求最便捷和最有效的平臺。微博客、網(wǎng)絡(luò)社區(qū)、論壇等網(wǎng)絡(luò)輿論平臺飛速發(fā)展,成為社會輿論的發(fā)動機(jī)。網(wǎng)絡(luò)輿論與摘要:我國金融業(yè)信息化進(jìn)程不斷加速,國內(nèi)外信息安全環(huán)境深刻變化,金融機(jī)構(gòu)須定期判斷和分析國內(nèi)外信息安全形勢,不斷提高風(fēng)險防范水平。本文分析了當(dāng)前金融業(yè)面臨的信息安全形勢,并從完善信息安全組織機(jī)制、夯實(shí)信息安全基礎(chǔ)、強(qiáng)化互聯(lián)網(wǎng)風(fēng)險防范等角度提出應(yīng)對策略和建議。關(guān)鍵詞:金融業(yè);信息安全;安全威脅;形勢分析;應(yīng)對策略傳統(tǒng)媒體相互呼應(yīng),將迅速形成風(fēng)險擴(kuò)散的“蝴蝶效應(yīng)”,放大信息安全風(fēng)險。一旦金融機(jī)構(gòu)局部的信息安全風(fēng)險被網(wǎng)絡(luò)聚焦、放大,會加大風(fēng)險控制與事件處置的難度。此外,一些組織或個人出于競爭、報復(fù)或利益的目的,通過互聯(lián)網(wǎng)關(guān)于金融機(jī)構(gòu)的不實(shí)信息,營造“偽輿論”。還有一些小摩擦或小糾紛,由于沒有得到及時察覺和合理處置,引發(fā)網(wǎng)民圍觀,形成網(wǎng)絡(luò)熱點(diǎn)事件。這些不僅會嚴(yán)重影響金融機(jī)構(gòu)聲譽(yù),還會給整個行業(yè)帶來不良社會影響,甚至造成巨額經(jīng)濟(jì)損失,實(shí)力相對較小的微型金融機(jī)構(gòu)可能面臨倒閉風(fēng)險。
(三)互聯(lián)網(wǎng)金融使信息安全形勢更趨復(fù)雜
2013年中國互聯(lián)網(wǎng)金融出現(xiàn)了快速發(fā)展勢頭,被稱為中國互聯(lián)網(wǎng)金融元年,各大互聯(lián)網(wǎng)企業(yè)巨頭紛紛進(jìn)軍互聯(lián)網(wǎng)金融,推出“余額寶”、“微銀行”、“京寶貝”等金融產(chǎn)品和服務(wù)。面對激烈競爭,傳統(tǒng)金融機(jī)構(gòu)積級調(diào)整戰(zhàn)略介入其中?;ヂ?lián)網(wǎng)金融為金融業(yè)帶來新的發(fā)展機(jī)遇的同時,同樣引入了信息安全風(fēng)險和威脅。除具有傳統(tǒng)金融業(yè)經(jīng)營過程中存在的流動性風(fēng)險、市場風(fēng)險和利率風(fēng)險外,互聯(lián)網(wǎng)金融還存有信息技術(shù)導(dǎo)致的平臺風(fēng)險、技術(shù)風(fēng)險、系統(tǒng)安全風(fēng)險和基于虛擬金融服務(wù)的業(yè)務(wù)風(fēng)險,且風(fēng)險誘因更加復(fù)雜、風(fēng)險擴(kuò)散傳播速度更快。移動互聯(lián)網(wǎng)發(fā)展和智能手機(jī)的普及使互聯(lián)網(wǎng)金融隨處可及,互聯(lián)網(wǎng)金融活動突破了時間和空間的局限,將成為網(wǎng)絡(luò)釣魚、黑客攻擊的新目標(biāo),金融業(yè)面臨信息安全形式更趨復(fù)雜。
二、新形勢下金融業(yè)信息安全應(yīng)對策略
(一)完善信息安全工作的組織機(jī)制
組織機(jī)制是保障信息安全最基礎(chǔ)、最有效的長效機(jī)制,金融機(jī)構(gòu)要基于當(dāng)前信息安全形勢和監(jiān)管部門要求,進(jìn)一步完善信息安全工作的組織機(jī)制。
1.明確不同部門和崗位的信息安全職責(zé)。當(dāng)前,保障信息安全已不是一個或幾個部門的責(zé)任,而是機(jī)構(gòu)內(nèi)所有部門、全體員工共同的職責(zé)。金融機(jī)構(gòu)要明確業(yè)務(wù)部門、內(nèi)控部門與技術(shù)部門共擔(dān)信息安全風(fēng)險的責(zé)任,將信息安全保障納入到各崗位職責(zé)中,將信息安全工作作為一項(xiàng)重要的日常工作,努力形成全員參與信息安全保障的局面。
2.嚴(yán)格信息安全責(zé)任追究。按照“誰主管,誰負(fù)責(zé);誰使用,誰負(fù)責(zé)”的原則,落實(shí)信息安全問責(zé)制,把信息安全風(fēng)險的防范、識別、消除納入業(yè)績考核范疇,使所有員工意識到信息安全責(zé)任重于天。
3.提高制度的執(zhí)行力。建立健全制度落實(shí)的規(guī)范流程和監(jiān)督檢查機(jī)制,關(guān)注各流程、環(huán)節(jié)之間的銜接性,實(shí)現(xiàn)部門自控與機(jī)構(gòu)內(nèi)控相結(jié)合。及時發(fā)現(xiàn)和解決制度執(zhí)行中的問題,保證制度的有效落實(shí),維護(hù)制度的嚴(yán)肅性和權(quán)威性。
(二)夯實(shí)信息安全基礎(chǔ),提升風(fēng)險防范水平
信息安全工作涉及內(nèi)容較多,內(nèi)外部的信息安全威脅不斷發(fā)生變化,信息安全保障和風(fēng)險防范不可能一蹴而就,而是一項(xiàng)不斷建設(shè)、持續(xù)完善的工程。金融機(jī)構(gòu)應(yīng)根據(jù)機(jī)構(gòu)現(xiàn)狀和內(nèi)外部安全形勢,科學(xué)制定機(jī)構(gòu)信息安全發(fā)展規(guī)劃,有重點(diǎn)、有層次推進(jìn)機(jī)構(gòu)信息安全工作,不斷提升信息安全防范水平。
1.切實(shí)落實(shí)國家信息安全等級保護(hù)和涉密信息系統(tǒng)分級保護(hù)工作。按照國家有關(guān)等級保護(hù)和分級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)開展等級保護(hù)和分級保護(hù)工作,嚴(yán)格遵照安全等級劃分標(biāo)準(zhǔn)確定機(jī)構(gòu)計算機(jī)網(wǎng)絡(luò)和信息系統(tǒng)的安全等級,并按相應(yīng)等級具體要求,建設(shè)安全設(shè)施、建立安全制度、落實(shí)安全責(zé)任,接受公安機(jī)關(guān)、保密部門、國家密碼工作部門對信息安全等級保護(hù)工作的監(jiān)督、指導(dǎo),保障信息系統(tǒng)安全。
2.穩(wěn)步推進(jìn)信息產(chǎn)品國產(chǎn)化進(jìn)程?!袄忡R門”事件后,信息安全國產(chǎn)化進(jìn)程加快,金融業(yè)要牢牢把握國產(chǎn)化機(jī)遇期,以安全生產(chǎn)為底線,按照“推廣成熟、擴(kuò)大基本成熟、試點(diǎn)逐步成熟、攻關(guān)不成熟”的策略,穩(wěn)步推進(jìn)金融業(yè)信息技術(shù)國產(chǎn)化進(jìn)程,逐步實(shí)現(xiàn)信息安全產(chǎn)品、關(guān)鍵設(shè)備、核心系統(tǒng)、外圍系統(tǒng)等國有產(chǎn)品替換。加強(qiáng)人才隊(duì)伍建設(shè)和培養(yǎng),提高自主運(yùn)維能力和水平,逐漸減少對國外企業(yè)外包服務(wù)的依賴。
3.安全管理與技術(shù)防護(hù)并重。綜合使用多種安全機(jī)制,將不同安全機(jī)制的保護(hù)效果有機(jī)結(jié)合,安全管理與技術(shù)防護(hù)雙管齊下,相互配合,形成完整的立體防護(hù)體系。金融機(jī)構(gòu)要摒棄“重技術(shù),輕管理”的認(rèn)識誤區(qū),突出安全管理在信息安全保障體系中的重要性,增強(qiáng)技術(shù)防護(hù)體系的效率和效果,彌補(bǔ)當(dāng)前技術(shù)不能完全解決的安全缺陷,實(shí)現(xiàn)最佳的保護(hù)效果。
4.完善災(zāi)備體系建設(shè)和管理。災(zāi)備體系是保障金融業(yè)務(wù)連續(xù)性的重要防線,是維護(hù)信息系統(tǒng)和網(wǎng)絡(luò)安全的重要措施。金融機(jī)構(gòu)要把災(zāi)備中心建設(shè)規(guī)劃提升到國家信息安全戰(zhàn)略高度予以重視,扎實(shí)做好機(jī)構(gòu)災(zāi)備中心布局規(guī)劃和災(zāi)備建設(shè)工作。定期研究、評估當(dāng)前災(zāi)備中心布局,對存在的問題及時進(jìn)行整改。對于核心業(yè)務(wù)系統(tǒng),要實(shí)現(xiàn)應(yīng)用級備份,保證突發(fā)事件發(fā)生時可及時恢復(fù)業(yè)務(wù)運(yùn)營。確保備份數(shù)據(jù)的有效性,定期對冗余備份系統(tǒng)、備份介質(zhì)進(jìn)行深度可用性驗(yàn)證。
5.加強(qiáng)人員操作行為管理,防范操作風(fēng)險。從風(fēng)險防范角度進(jìn)一步完善網(wǎng)絡(luò)和信息系統(tǒng)的操作流程,加強(qiáng)操作流程管理和審查,實(shí)現(xiàn)人員操作事前能控制、事中可監(jiān)控、事后有審計,使風(fēng)險防范從“管住人”進(jìn)一步發(fā)展到“管住行為”。善于運(yùn)用技術(shù)手段加強(qiáng)對操作風(fēng)險防控,達(dá)到從管理和技術(shù)兩個方面防范技術(shù)人員操作風(fēng)險的目標(biāo),確保操作零風(fēng)險。
6.提高機(jī)房設(shè)施保障水平。計算機(jī)機(jī)房是信息中心的核心部位,除承載機(jī)構(gòu)的重要網(wǎng)絡(luò)和信息系統(tǒng)外,還有空調(diào)、消防、防雷等保障機(jī)房設(shè)備安全穩(wěn)定運(yùn)行的機(jī)房設(shè)施。要加強(qiáng)機(jī)房設(shè)施的監(jiān)測和風(fēng)險評估工作,確保UPS供配電子系統(tǒng)、機(jī)房空調(diào)子系統(tǒng)、防雷接地子系統(tǒng)、設(shè)備監(jiān)控子系統(tǒng)、機(jī)柜微環(huán)境子系統(tǒng)、安全消防子系統(tǒng)等機(jī)房設(shè)施健康運(yùn)轉(zhuǎn),為機(jī)房這個“軀體”提供充足的“氧氣“和“血液”,保障作為“器官”的各信息系統(tǒng)正常運(yùn)行。將機(jī)房設(shè)施安全放在同網(wǎng)絡(luò)和信息系統(tǒng)安全同等重要地位,發(fā)現(xiàn)風(fēng)險隱患及時整改,勿將本應(yīng)發(fā)揮安全保障功能的機(jī)房設(shè)施變成風(fēng)險易發(fā)區(qū)域。
7.重視應(yīng)急演練工作,提高應(yīng)對突發(fā)事件的能力和水平。全面評估信息安全風(fēng)險,建立風(fēng)險全覆蓋的應(yīng)急預(yù)案體系和應(yīng)急演練常態(tài)化工作機(jī)制。根據(jù)風(fēng)險的等級和影響程度,合理確定單項(xiàng)演練、綜合演練、跨部門演練、跨地域演練等不同類型演練的組合,具備應(yīng)對不同類型風(fēng)險的應(yīng)急處置能力。依據(jù)風(fēng)險的變化和應(yīng)急演練效果完善應(yīng)急預(yù)案,不斷提高應(yīng)急預(yù)案的可操作性。堅(jiān)持在演練中鍛煉隊(duì)伍,持續(xù)提高人員的風(fēng)險意識和突發(fā)事件的響應(yīng)處置能力。
(三)強(qiáng)化互聯(lián)網(wǎng)風(fēng)險防控工作
1.加強(qiáng)互聯(lián)網(wǎng)輿情監(jiān)測,妥善處置網(wǎng)絡(luò)熱點(diǎn)事件。完善互聯(lián)網(wǎng)輿情監(jiān)測系統(tǒng),加強(qiáng)人才隊(duì)伍建設(shè),建立網(wǎng)絡(luò)輿情摘報和熱點(diǎn)專報制度,及時掌控輿情動態(tài),盡早發(fā)現(xiàn)各種形式“偽輿論”,避免形成網(wǎng)絡(luò)熱點(diǎn)事件,影響正常的金融秩序。重視信息和輿論引導(dǎo)工作,做到未雨綢繆、預(yù)防在先。完善輿情熱點(diǎn)事件處置機(jī)制和流程,做到反應(yīng)快速、判斷準(zhǔn)確、處置合理,充分發(fā)揮傳統(tǒng)媒體與網(wǎng)絡(luò)媒體的協(xié)同作用,對網(wǎng)絡(luò)輿情進(jìn)行正面引導(dǎo)和回應(yīng),將不利影響控制在最小范圍內(nèi)。
2.認(rèn)識互聯(lián)網(wǎng)金融威脅,完善安全防護(hù)措施。互聯(lián)網(wǎng)金融和移動支付的發(fā)展使金融業(yè)信息安全威脅具有了開放性、普遍性、動態(tài)性等新特征,信息安全防護(hù)工作更為艱巨。網(wǎng)上銀行、手機(jī)銀行、第三方支付的安全防護(hù)措施須進(jìn)一步完善,從基礎(chǔ)技術(shù)和設(shè)備、身份認(rèn)證、數(shù)據(jù)安全和加密、安全傳輸?shù)拳h(huán)節(jié)夯實(shí)互聯(lián)網(wǎng)支付安全基礎(chǔ),打造安全可靠的信息鏈和資金鏈。適時對交易終端進(jìn)行安全評估,及時發(fā)現(xiàn)安全隱患和彌補(bǔ)安全漏洞,保障安全交易環(huán)境。運(yùn)用多種手段增強(qiáng)用戶風(fēng)險意識宣傳的力度和廣度,提高用戶警惕性及對個人敏感信息的保護(hù)意識。
作者:劉彥宏 單位:中國人民銀行太原中心支行