導語：管理技術角度處理金融業(yè)務隱患論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

編者按：本文主要從互聯(lián)網(wǎng)環(huán)境下金融業(yè)務面臨的風險；金融網(wǎng)絡安全風險根源及共性分析；提高金融信息服務安全的對策進行論述。其中，主要包括：計算機和互聯(lián)網(wǎng)的出現(xiàn)，給金融業(yè)務的推廣提供了極大的便利、非授權訪問、求金融業(yè)務部門能夠提供多樣化的對外互聯(lián)接口、非法竊取賬戶等機密信息、仍然有可能利用其掌握的知識篡改系統(tǒng)數(shù)據(jù)、泄露信息、互聯(lián)網(wǎng)環(huán)境的改變、國內(nèi)軟件平臺環(huán)境較為單一、加強金融企業(yè)網(wǎng)絡相關的研發(fā)及其管理工作、采用專用協(xié)議和專用軟件服務是一種有效的方法、加強網(wǎng)上信息系統(tǒng)管理、科學規(guī)劃業(yè)務網(wǎng)絡功能和區(qū)域、合理使用并開發(fā)網(wǎng)絡安全技術等，具體請詳見。

計算機和互聯(lián)網(wǎng)的出現(xiàn)，給金融業(yè)務的推廣提供了極大的便利，金融機構對網(wǎng)絡的重視程度越來越高。網(wǎng)絡化信息技術的發(fā)展進一步提升了銀行等金融企業(yè)的計算機應用水平和信息處理能力，但同時也給金融信息的安全帶來了更大和更多的風險。由于金融業(yè)務的特殊性，要求金融網(wǎng)絡必須是“健壯”的，甚至在“帶病”的情況下依然能夠具有足夠的性能以維持業(yè)務的正常運行，金融信息網(wǎng)絡相關的軟硬件支撐必須能保證24小時×365天可靠運轉(zhuǎn)；金融信息網(wǎng)絡必須是安全的，要有嚴格的用戶驗證和完善的管理體系。本文主要分析了現(xiàn)行金融業(yè)務中存在的安全隱患，并從管理和技術的角度提出了一些解決方案。

一、互聯(lián)網(wǎng)環(huán)境下金融業(yè)務面臨的風險

在黑客行為商業(yè)化日趨明顯的今天，金融行業(yè)由于其信息內(nèi)容的敏感性，自然而然地成為黑客的攻擊目標。從目前來看，金融信息網(wǎng)絡受到的攻擊主要來自以下途徑：

1，非授權訪問。目前。大量基于網(wǎng)絡的金融業(yè)務產(chǎn)品(如增值業(yè)務、業(yè)務、網(wǎng)上支付等)的推廣，需要廣泛的網(wǎng)絡支持才能實現(xiàn)，這必然要求金融業(yè)務部門能夠提供多樣化的對外互聯(lián)接口。因此金融企業(yè)信息對外開放的程度會加深，受到攻擊的途徑也就更加多樣和復雜。很多黑客利用系統(tǒng)漏洞或者網(wǎng)絡安全策略的缺陷非法侵入金融企業(yè)網(wǎng)絡內(nèi)部，竊取大量的敏感信息、篡改系統(tǒng)數(shù)據(jù)或用戶資料、泄露敏感信息，給金融企業(yè)造成經(jīng)濟損失和信譽損失。

2，非法竊取賬戶等機密信息。用戶賬戶密碼信息的失竊事件時有發(fā)生，盜竊用戶賬戶也是大多數(shù)普通攻擊者的目的。攻擊者往往采用搭線、嗅探工具等方式竊取用戶的數(shù)據(jù)，并在需要的情況下解密用戶的敏感信息，或者通過木馬之類的手段對用戶的信息進行截取并發(fā)送給攻擊者。

3，內(nèi)部破壞。據(jù)統(tǒng)計，在所有網(wǎng)絡攻擊事件中，來自網(wǎng)絡內(nèi)部的攻擊占總量的80％。對于金融業(yè)務網(wǎng)絡來說，盡管由于其承擔任務的特殊性，從管理上會盡最大可能避免此類事件的發(fā)生，但對于熟悉金融業(yè)務和計算機技術的人而言，仍然有可能利用其掌握的知識篡改系統(tǒng)數(shù)據(jù)、泄露信息。

4，病毒侵擾。日趨擴大的網(wǎng)絡環(huán)境為病毒的大量傳播提供了條件，網(wǎng)絡病毒已經(jīng)給人類生活帶來了廣泛的影響。隨著國內(nèi)多種操作系統(tǒng)的普及，除了Windows平臺的病毒外，針對其他操作系統(tǒng)平臺的病毒也逐漸增多，對于廣泛使用UNIX的銀行等金融部門來說，更是越來越容易受到病毒的侵擾。更何況很多金融部門的計算機本身就是使用Windows，一旦中毒會影響到通訊子網(wǎng)的運行，甚至會導致網(wǎng)絡及其承擔業(yè)務的癱瘓。

5，拒絕服務。拒絕服務簡稱DOS(DENIALOFSERVICE)攻擊，目前常用的是分布式拒絕服務DDOS。由于這種攻擊并不是利用系統(tǒng)漏洞，而是直接使用SYNFLOODING方式，是一種簡單而有效的攻擊方式，故非常難以防范。拒絕服務攻擊發(fā)生時會導致被攻擊主機無法提供正常的服務，比如網(wǎng)上銀行、電子支付等，由于其服務器是在互聯(lián)網(wǎng)條件下訪問，其受到拒絕服務攻擊的可能性相當大。一旦受到攻擊或由于安全策略等其他問題而出現(xiàn)無法提供正常服務的情況，不但會造成經(jīng)濟損失，更會給企業(yè)帶來信譽上的損害。

二、金融網(wǎng)絡安全風險根源及共性分析

如前所述，雖然金融網(wǎng)絡信息安全風險既有可能來自網(wǎng)絡外部也有可能來自網(wǎng)絡內(nèi)部。但究其原因，導致安全風險的根源不外乎兩種：技術漏洞和管理漏洞。金融信息安全面臨風險的原因主要有以下幾個方面：

1，互聯(lián)網(wǎng)環(huán)境的改變。利用互聯(lián)網(wǎng)開展金融業(yè)務極大推動了金融業(yè)的發(fā)展，也給普通用戶辦理金融業(yè)務帶來了便利，但由于金融網(wǎng)絡和普通用戶接入互聯(lián)網(wǎng)使用了相同的TCP／IP協(xié)議，在此基礎之上建立起來的金融服務和用戶的關系與實現(xiàn)網(wǎng)絡化之前有很大的不同。由于服務商和客戶的網(wǎng)絡基于相同的TCP／IP協(xié)議，從網(wǎng)絡技術角度上看，用戶獲得了以往任何形式下都不具備的和服務商幾乎相同的“話語權”。因此，不法分子假冒銀行實施詐騙的可能性大大增加，很多對網(wǎng)絡不熟悉或者粗心大意的用戶為此遭受了經(jīng)濟損失。另外，用戶連人互聯(lián)網(wǎng)的成本降低使得使用網(wǎng)上金融業(yè)務的用戶數(shù)不斷增加，黑客利用技術手段竊取用戶銀行賬號、密碼的可能性隨之提高，木馬、間諜軟件都是比較常見的方式。網(wǎng)絡環(huán)境的改善和上網(wǎng)用戶的增多，也為某些針對服務器的攻擊提供了便利條件。若黑客計劃針對某金融服務器展開DDOs攻擊，黑客找到能夠長時間開機且擁有良好帶寬條件“受控電腦”的難度也在迅速下降，這就為其攻擊提供了極為便利的條件。并且，黑客在實施攻擊行為時往往會采用多級“跳板”的方式，即不直接使用自己的計算機攻擊目標主機，而是先攻陷幾臺中間計算機并以它們?yōu)樘暹M行攻擊，這極大地增加了網(wǎng)上取證和追查的難度。也使很多網(wǎng)上金融犯罪人員存有僥幸心理。

2，國內(nèi)軟件平臺環(huán)境較為單一。目前很多新的金融產(chǎn)品是基于互聯(lián)網(wǎng)支持的，采用最多的方式就是WEB方式，從用戶使用的便利性角度來看，采用WEB方式由于不需要特定的軟件環(huán)境，只要擁有一臺能上網(wǎng)的計算機即可實現(xiàn)對金融網(wǎng)站的訪問。但這種模式在信息安全上存在很大的隱患。以最常見的網(wǎng)上銀行為例，目前各個銀行的網(wǎng)上銀行系統(tǒng)對非IE瀏覽器的支持大都做得不好，用戶只有在Windows平臺下使用IE系列瀏覽器對網(wǎng)上銀行進行訪問。造成這種情況的原因主要是由于國內(nèi)的計算機用戶普遍采用微軟的windows操作系統(tǒng)，網(wǎng)上銀行的開發(fā)必然需要考慮到這種實際情況。一些用戶嘗試使用其他平臺如LINUX訪問網(wǎng)絡銀行，但發(fā)現(xiàn)由于網(wǎng)絡銀行大多采用了微軟的ACTIVEX技術，導致非IE瀏覽器無法正常訪問，即使能夠訪問也需要很復雜的操作，這種操作甚至是代碼級別的，普通用戶只能望而卻步，從而退回到windows平臺，這就使得網(wǎng)絡銀行應用客戶端的單一Windows平臺狀況更加明顯。由于Windows操作系統(tǒng)平臺在國內(nèi)擁有最廣泛的用戶群，因此目前絕大多數(shù)黑客軟件和病毒等對安全構成威脅的程序都是針對它的，這就使用戶個人信息由于木馬或間諜軟件的原因而泄露的可能性大大增加，進而增加了用戶資金損失的可能性。

三、提高金融信息服務安全的對策

(一)加強金融企業(yè)網(wǎng)絡相關的研發(fā)及其管理工作

這里所指的研發(fā)并不僅僅指業(yè)務產(chǎn)品的開發(fā)，更重要的開發(fā)內(nèi)容是承載金融業(yè)務專有通訊協(xié)議的開發(fā)。由于TCP／LP協(xié)議是目前互聯(lián)網(wǎng)的事實標準，網(wǎng)絡化的金融業(yè)務也必然要基于此協(xié)議，但這并不意味著網(wǎng)絡化金融產(chǎn)品開發(fā)工作只能圍繞著業(yè)務需求。以網(wǎng)上銀行為例，目前采用的軟件運行模式主要是B／S模式，即采用WEB技術服務，用戶通過IE瀏覽器訪問服務器上的相關服務。這樣做的好處是用戶只要能夠上網(wǎng)就能夠訪問網(wǎng)上金融業(yè)務，并且操作也非常簡單。由于此種模式從根本上是基于開放HTTP協(xié)議的，在安全方面必須通過插件等技術形式的支持才能實現(xiàn)。目前盡管很多網(wǎng)上金融服務提供了安全插件，但大都僅僅針對IE瀏覽器提供支持，采用其他核心技術的瀏覽器訪問時會由于插件問題導致業(yè)務不能正常操作。因此，加強對非IE瀏覽器的支持是提高網(wǎng)絡金融業(yè)務安全性的一種快速有效的手段。可以讓用戶在客戶端上有更多的選擇余地，盡量降低由于操作系統(tǒng)平臺單一所帶來的病毒、木馬等問題。

從筆者的經(jīng)驗來看，采用專用協(xié)議和專用軟件服務是一種有效的方法，專用協(xié)議由于其不具備開放性，因而更安全。

(二)加強網(wǎng)上信息系統(tǒng)管理

目前我國已經(jīng)制定出很多相關的法律法規(guī)，各個金融企業(yè)也有相關的管理制度。這些制度能否嚴格執(zhí)行對于企業(yè)的信息安全關系重大。我國在信息安全技術方面和發(fā)達國家仍然有不小的差距，從很多金融信息安全案件來看，安全制度實施不嚴密占案件總體數(shù)量的很大比例。

(三)科學規(guī)劃業(yè)務網(wǎng)絡功能和區(qū)域

信息安全區(qū)域規(guī)劃是近幾年來網(wǎng)絡安全領域出現(xiàn)的一個新名詞，目前尚沒有業(yè)內(nèi)公認的嚴格定義。筆者認為，信息安全區(qū)域規(guī)劃就是根據(jù)網(wǎng)絡的業(yè)務功能、數(shù)據(jù)流動狀況以及企業(yè)對不同類別數(shù)據(jù)不同的安全需求，規(guī)劃網(wǎng)絡的拓撲結構并對關鍵數(shù)據(jù)轉(zhuǎn)發(fā)節(jié)點采用的安全技術進行選擇。網(wǎng)絡規(guī)劃方面的缺陷在此稱為結構性缺陷。結構性缺陷會導致信息安全實現(xiàn)的難度和成本增加，在某些情況下甚至會造成不可彌補的損失。比如，需要相互保密的數(shù)據(jù)流出現(xiàn)在相同的TRUNK鏈路上，這種情況就是由于網(wǎng)絡拓撲結構不合理導致的。盡管從IEEE802，1Q協(xié)議規(guī)定上看，兩種數(shù)據(jù)流在邏輯上是隔絕的，但它們通過了公用的鏈路，因此這種網(wǎng)絡結構對于數(shù)據(jù)的安全性和傳輸效率都是非常不利的。

在金融企業(yè)中，目前比較適用的規(guī)劃方法就是根據(jù)業(yè)務類型及數(shù)據(jù)保密分級進行數(shù)據(jù)區(qū)域規(guī)劃。網(wǎng)絡安全區(qū)域得以規(guī)劃并實施后，不同等級的數(shù)據(jù)可以在很大程度上被隔離，并且不同區(qū)域之間可以設置網(wǎng)閘對訪問進行限制和認證，不但能夠增強抵御外部攻擊的能力，還能夠在很大程度上增強內(nèi)部攻擊的難度，極大地提高系統(tǒng)的整體安全性。

(四)合理使用并開發(fā)網(wǎng)絡安全技術

1，合理使用加密技術和VPN技術，探索除WEB以外的其他形式的網(wǎng)絡金融業(yè)務途徑，特別是采用專用客戶端并開發(fā)專用通訊協(xié)議和安全用戶界面也是提高系統(tǒng)安全性能的可行途徑。

2，引AQOS服務質(zhì)景，改善關鍵服務的響應速度，在關鍵節(jié)點不論是數(shù)據(jù)轉(zhuǎn)發(fā)節(jié)點還是服務器節(jié)點都采用雙機熱備份。使用狀態(tài)檢測技術，監(jiān)視關鍵節(jié)點的數(shù)據(jù)狀態(tài)，及時發(fā)現(xiàn)并抵御拒絕服務(DOS)等異常數(shù)據(jù)流。在劃分了安全區(qū)域的情況下，可以采用防火墻和入侵檢測系統(tǒng)(IDS)加強信息系統(tǒng)抵御和發(fā)現(xiàn)黑客攻擊的能力。

使用這些技術手段的最終目標是增強信息系統(tǒng)的“健壯性”，其中一些與信息安全目標的實現(xiàn)直接相關，也有一些和信息安全沒有直接關系，如QOS。合理使用網(wǎng)絡安全技術對提高系統(tǒng)的可靠性是非常必要的，也是實現(xiàn)信息安全的基礎。需要注意的是，并不是安全技術越多就一定越好，安全技術的應用往往都是在信息轉(zhuǎn)發(fā)結點上實現(xiàn)的，不可避免地會降低該節(jié)點的轉(zhuǎn)發(fā)效率，嚴重時甚至會引起網(wǎng)絡中斷；另外，有些不必要的限制會給信息系統(tǒng)數(shù)據(jù)傳輸帶來障礙，造成工作效率的下降，有時反而會導致安全性的下降。

金融企業(yè)的信息安全建設必須管理、技術兩手抓，這兩方面缺一不可。防范網(wǎng)絡環(huán)境下的金融業(yè)務風險，并不是單純依靠技術手段就可以完全解決的，必須依托有力的管理制度才能得以有效實施。另外，隨著互聯(lián)網(wǎng)技術的不斷發(fā)展，金融業(yè)務不斷推陳出新，必將出現(xiàn)更多新的安全需求，金融企業(yè)的信息安全建設將是一項長期持續(xù)的工作。