我国金融业信息安全论文

一、当前金融业信息安全形势分析

（一）境外信息安全威胁已然显现

棱镜门事件折射出美国通过国内高科技公司实施全球网络空间霸权的战略图谋，为我国金融业敲响警钟。是国外对中国金融信息的窃取仅次于军事情报，我国金融业核心软硬件多为国外企业产品，使得我国金融信息系统容易被国外掌控，为行业信息安全埋下隐患。服务外包对国外厂商依赖度较高，加大了风险控制难度，敏感信息、核心技术泄密的可能性增加。我国对外政治经济摩擦不断增多，金融改革持续推进，竞争进一步激烈，金融机构数据中心遭受境外黑客攻击的可能性大大增加。例如，2013年11月29日，“中国煤炭银行”官网被黑，其官网称此次事件系日本金融财阀勾结国内金融集团所为。

（二）互联网舆情威胁不容忽视

互联网是广大网民获取信息资源、表达诉求最便捷和最有效的平台。微博客、网络社区、论坛等网络舆论平台飞速发展，成为社会舆论的发动机。网络舆论与摘要：我国金融业信息化进程不断加速，国内外信息安全环境深刻变化，金融机构须定期判断和分析国内外信息安全形势，不断提高风险防范水平。本文分析了当前金融业面临的信息安全形势，并从完善信息安全组织机制、夯实信息安全基础、强化互联网风险防范等角度提出应对策略和建议。关键词：金融业；信息安全；安全威胁；形势分析；应对策略传统媒体相互呼应，将迅速形成风险扩散的“蝴蝶效应”，放大信息安全风险。一旦金融机构局部的信息安全风险被网络聚焦、放大，会加大风险控制与事件处置的难度。此外，一些组织或个人出于竞争、报复或利益的目的，通过互联网关于金融机构的不实信息，营造“伪舆论”。还有一些小摩擦或小纠纷，由于没有得到及时察觉和合理处置，引发网民围观，形成网络热点事件。这些不仅会严重影响金融机构声誉，还会给整个行业带来不良社会影响，甚至造成巨额经济损失，实力相对较小的微型金融机构可能面临倒闭风险。

（三）互联网金融使信息安全形势更趋复杂

2013年中国互联网金融出现了快速发展势头，被称为中国互联网金融元年，各大互联网企业巨头纷纷进军互联网金融，推出“余额宝”、“微银行”、“京宝贝”等金融产品和服务。面对激烈竞争，传统金融机构积级调整战略介入其中。互联网金融为金融业带来新的发展机遇的同时，同样引入了信息安全风险和威胁。除具有传统金融业经营过程中存在的流动性风险、市场风险和利率风险外，互联网金融还存有信息技术导致的平台风险、技术风险、系统安全风险和基于虚拟金融服务的业务风险，且风险诱因更加复杂、风险扩散传播速度更快。移动互联网发展和智能手机的普及使互联网金融随处可及，互联网金融活动突破了时间和空间的局限，将成为网络钓鱼、黑客攻击的新目标，金融业面临信息安全形式更趋复杂。

二、新形势下金融业信息安全应对策略

（一）完善信息安全工作的组织机制

组织机制是保障信息安全最基础、最有效的长效机制，金融机构要基于当前信息安全形势和监管部门要求，进一步完善信息安全工作的组织机制。

1.明确不同部门和岗位的信息安全职责。当前，保障信息安全已不是一个或几个部门的责任，而是机构内所有部门、全体员工共同的职责。金融机构要明确业务部门、内控部门与技术部门共担信息安全风险的责任，将信息安全保障纳入到各岗位职责中，将信息安全工作作为一项重要的日常工作，努力形成全员参与信息安全保障的局面。

2.严格信息安全责任追究。按照“谁主管，谁负责；谁使用，谁负责”的原则，落实信息安全问责制，把信息安全风险的防范、识别、消除纳入业绩考核范畴，使所有员工意识到信息安全责任重于天。

3.提高制度的执行力。建立健全制度落实的规范流程和监督检查机制，关注各流程、环节之间的衔接性，实现部门自控与机构内控相结合。及时发现和解决制度执行中的问题，保证制度的有效落实，维护制度的严肃性和权威性。

（二）夯实信息安全基础，提升风险防范水平

信息安全工作涉及内容较多，内外部的信息安全威胁不断发生变化，信息安全保障和风险防范不可能一蹴而就，而是一项不断建设、持续完善的工程。金融机构应根据机构现状和内外部安全形势，科学制定机构信息安全发展规划，有重点、有层次推进机构信息安全工作，不断提升信息安全防范水平。

1.切实落实国家信息安全等级保护和信息系统分级保护工作。按照国家有关等级保护和分级保护的管理规范和技术标准开展等级保护和分级保护工作，严格遵照安全等级划分标准确定机构计算机网络和信息系统的安全等级，并按相应等级具体要求，建设安全设施、建立安全制度、落实安全责任，接受公安机关、保密部门、国家密码工作部门对信息安全等级保护工作的监督、指导，保障信息系统安全。

2.稳步推进信息产品国产化进程。“棱镜门”事件后，信息安全国产化进程加快，金融业要牢牢把握国产化机遇期，以安全生产为底线，按照“推广成熟、扩大基本成熟、试点逐步成熟、攻关不成熟”的策略，稳步推进金融业信息技术国产化进程，逐步实现信息安全产品、关键设备、核心系统、系统等国有产品替换。加强人才队伍建设和培养，提高自主运维能力和水平，逐渐减少对国外企业外包服务的依赖。

3.安全管理与技术防护并重。综合使用多种安全机制，将不同安全机制的保护效果有机结合，安全管理与技术防护双管齐下，相互配合，形成完整的立体防护体系。金融机构要摒弃“重技术，轻管理”的认识误区，突出安全管理在信息安全保障体系中的重要性，增强技术防护体系的效率和效果，弥补当前技术不能完全解决的安全缺陷，实现最佳的保护效果。

4.完善灾备体系建设和管理。灾备体系是保障金融业务连续性的重要防线，是维护信息系统和网络安全的重要措施。金融机构要把灾备中心建设规划提升到国家信息安全战略高度予以重视，扎实做好机构灾备中心布局规划和灾备建设工作。定期研究、评估当前灾备中心布局，对存在的问题及时进行整改。对于核心业务系统，要实现应用级备份，保证突发事件发生时可及时恢复业务运营。确保备份数据的有效性，定期对冗余备份系统、备份介质进行深度可用性验证。

5.加强人员操作行为管理，防范操作风险。从风险防范角度进一步完善网络和信息系统的操作流程，加强操作流程管理和审查，实现人员操作事前能控制、事中可监控、事后有审计，使风险防范从“管住人”进一步发展到“管住行为”。善于运用技术手段加强对操作风险防控，达到从管理和技术两个方面防范技术人员操作风险的目标，确保操作零风险。

6.提高机房设施保障水平。计算机机房是信息中心的核心部位，除承载机构的重要网络和信息系统外，还有空调、消防、防雷等保障机房设备安全稳定运行的机房设施。要加强机房设施的监测和风险评估工作，确保UPS供配电子系统、机房空调子系统、防雷接地子系统、设备监控子系统、机柜微环境子系统、安全消防子系统等机房设施健康运转，为机房这个“躯体”提供充足的“氧气“和“血液”，保障作为“器官”的各信息系统正常运行。将机房设施安全放在同网络和信息系统安全同等重要地位，发现风险隐患及时整改，勿将本应发挥安全保障功能的机房设施变成风险易发区域。

7.重视应急演练工作，提高应对突发事件的能力和水平。全面评估信息安全风险，建立风险全覆盖的应急预案体系和应急演练常态化工作机制。根据风险的等级和影响程度，合理确定单项演练、综合演练、跨部门演练、跨地域演练等不同类型演练的组合，具备应对不同类型风险的应急处置能力。依据风险的变化和应急演练效果完善应急预案，不断提高应急预案的可操作性。坚持在演练中锻炼队伍，持续提高人员的风险意识和突发事件的响应处置能力。

（三）强化互联网风险防控工作

1.加强互联网舆情监测，妥善处置网络热点事件。完善互联网舆情监测系统，加强人才队伍建设，建立网络舆情摘报和热点专报制度，及时掌控舆情动态，尽早发现各种形式“伪舆论”，避免形成网络热点事件，影响正常的金融秩序。重视信息和舆论引导工作，做到未雨绸缪、预防在先。完善舆情热点事件处置机制和流程，做到反应快速、判断准确、处置合理，充分发挥传统媒体与网络媒体的协同作用，对网络舆情进行正面引导和回应，将不利影响控制在最小范围内。

2.认识互联网金融威胁，完善安全防护措施。互联网金融和移动支付的发展使金融业信息安全威胁具有了开放性、普遍性、动态性等新特征，信息安全防护工作更为艰巨。网上银行、手机银行、第三方支付的安全防护措施须进一步完善，从基础技术和设备、身份认证、数据安全和加密、安全传输等环节夯实互联网支付安全基础，打造安全可靠的信息链和资金链。适时对交易终端进行安全评估，及时发现安全隐患和弥补安全漏洞，保障安全交易环境。运用多种手段增强用户风险意识宣传的力度和广度，提高用户警惕性及对个人敏感信息的保护意识。

作者：刘彦宏 单位：中国人民银行太原中心支行