全球化时代金融电子化的信息安全保护技术探索

□胡 磊

一、全球化时代金融电子化趋势

近年来，随着国际金融市场金融机构并购愈演愈烈、金融业混业竞争日益明显以及金融衍生工具发展加快和金融网络化经营趋势加强，金融业越来越体现出全球化特征的同时，金融电子化已成为全球金融业发展的必然选择。金融电子化(Financial Computerizing)是指利用通讯工程、计算机技术、网络连接等现代化技术手段，兼得提高传统金融服务业的工作效率和降低经营成本的优势，实现自动化业务、信息化管理和科学化决策，使客户足不出户就能享受银行服务。电子化金融极大地改变了传统金融业的面貌，金融业服务品种因此扩大，人们的经济和社会生活方式遭到彻底变革。在此背景下，各大互联网公司不断进军金融业务，如贷款，投融资，甚至以货币基金替代现金进行消费。而传统金融机构也纷纷觉醒，开始意识到互联网的重要性，工行、交行、招行等银行也都推出了各自的电商平台。但其中的姣姣者无疑是中国平安集团，无论是网上车险、陆金所、24 财富、医网、药网，还是众安在线保险等等布局，都揭示着金融电子化的黄金时代已来临。现今，一切个人及社会组织都在有意或无意中时刻感受着金融电子化的存在并享受其提供的服务。

二、金融电子化下信息安全威胁的主要来源

(一)安全意识差，专业信息人员配备不充分。未严格落实“禁止专用办公、通信网络与其他网络或互联网互通”原则的情况下，员工办公终端出现较高的安全风险。

(二)内部或外部泄密。在利益的驱使下，个别内部员工法制观念淡薄、道德防线脆弱。他们搜集客户的银行卡号、姓名、资产、联系方式等大量个人隐私信息，甚至是银行重要信息系统的关键数据，通过向不法分子兜售来获得个人利益，从而导致泄密。

(三)网络协议的缺陷。比如IPv4 在安全领域最令人诟病的是它没有提供任何有效的安全机制(校验和算法等于没有)，因此整个报文是可以篡改的——伪造数据、篡改数据、篡改报头从而获取远程权限，同时源路由选项就是将自己网络的结构与秘密拱手送出。

(四)“黑客”行为。黑客攻击方式主要有窃取密码、IP 欺骗等。针对金融机构，攻击者可利用对金融网站影响较大的漏洞，如Stuts2 命令执行漏洞，通过黑客技术非法侵入金融机构的网络系统，窃取其注册用户密码、篡改服务数据、破坏系统运行，或进行有目的的金融犯罪活动。针对金融机构用户，攻击者则利用伪造IP 进行大规模钓鱼攻击，诱骗大量客户录入用户名、账号、转账密码等敏感信息从而造成资金损失。更有甚者，攻击方式已经从单纯的利用黑客工具，演变为利用病毒的形式，借助邮件、系统漏洞等方式，进行大规模的传播。

三、金融电子化下的信息安全保护技术策略

(一)确立完善的信息安全策略。

1．实行严格的安全教育。对于离不开计算机网络的企事业单位等机构，要确保信息安全，首先要有一套严密的安全管理办法，加上完备的网络安全管理系统。办公人员更要提高网络素质与危机意识，明确用户授权的重要性与谨慎原则，网络管理部门要配置先进的追踪审核体系，并向机构成员普及网络安全知识。

2．建立图文档加密流程。图文档加密技术是指系统能在无人操作下，智能识别计算机运行中的涉密数据，并自动化、强制化地对其进行加密操作。该功能能有效从根源上解决信息泄密。

3．建立安全操作平台。从途径与来源分析，数据的失窃与服务器的运行平台安全与否密不可分。万维网的安全、FTP 协议的安全以及SMTP 的安全，共同组成了数据安全的坚实基础，组成了网络产品的护身符。

4．制定严格的法律法规。计算机作为一种新生事物，仍有很多行为处于无法可依的状态，现有法律制度不能对计算机犯罪构成有效打击制裁。随着计算机的发展，网络犯罪也日趋严重，在这种情况下，必须尽快建立网络安全相关的法律法规，对非法分子构成法律震慑，从而减少网络犯罪的发生。

(二)加强信息安全保护技术。除了确立完善的信息安全策略外，先进的信息安全技术是网络安全的根本保证。而信息安全保护技术主要就是防护黑客恶意攻击等计算机犯罪行为。

以信息安全病毒或者黑客入侵技术等特点作为分析对象，完善制度流程和SOX404 PCI DSS 标准等方面，建立保障服务器安全配置的有效防御机制。一是从技术流入手，加强自身服务器的安全性能，一般说来，在改版后的操作系统中，大部分安全管理软件有待强化或具备很大提升空间，提升后，这些软件能自动应用服务包来预先防范可能构成威胁的网络攻击。二是加强防守，有目的地一步一步对计算机操作系统的服务功能进行完善，对长久不用的软件进行重新整理归类，及时删除无用的功能数据，保证服务器内里的清洁度，降低用户账号和密码的泄露风险;理论上，服务器内里越清洁，越高效运转，也就越能加强计算机系统的安全认证性能。

对于防病毒系统、入侵检测系统等传统安全防护系统，应进行合理部署，确保系统资源的合理配置、病毒特征库的定时升级;针对常见攻击点，及时调整优化网络结构，让病毒无缝可钻。

对于IP 欺骗，最好的解决办法是密码认证机制。由于目前的IPV4 体系结构并不支持基于密码的认证，在无法从根本上阻止IP 欺骗攻击发生的情况下，只能采取某些预防和检测的办法。一是通过对流过网络的数据包的实时监控，及时发现伪造的IP 及其攻击信号;二是为了维护自身系统资源的运行状况，计算机系统一般都会有相应的日志记录系统有关日常事件或者误操作警报的日期及时间戳信息。大部分伪造IP 的欺骗手段都是模拟被攻击的主机所信任的对象，因此检查日志的一致性，可以检查TCP 链条是否被更改，从流程中段阻止IP 攻击;三是提高入侵检测系统的智能化水平，为入侵检测系统建立一个较高级别的匹配模式，这样，入侵检测系统的检测量从单个数据包提升到了大量数据包，能同时对大量数据包之间的潜在联系进行分析，检测的效率将得到极大的提升;四是在通信时要求加密传输和验证，利用数字证书认证、数字签名等技术，在互联网当中保证身份的可信、数据的可信、行为的可信，是构建可信的金融电子化信任体系的关键。

四、结语

随着改革开放的深入，我国的金融电子化建设经历了系统从无到有、业务从单调向多元化的蜕变，并且成绩斐然。电子清算系统和金融管理系统的诞生，从根本上改变了传统金融业务的处理模式。在日益信息化的今天，每个银行都被迫面对日益庞大的信息数据，如果这些大数据不能得到有效的管理，就无法转化为真正可用的决策信息，那将是严重的行业失职和资源浪费。面对“客户为主导”的行业特征，金融机构可通过信息再加工，对客户信息进行深度分析，挖掘客户潜在需求，实现个性化的可定制服务。对于银行和客户来说，如此客户主导型的经营模式，是让两方受益的双赢选择，也是金融电子化建设中的诸多困难以及安全问题之后发展的重点方向。

［1］孙彬．金融电子化的信息安全保护技术研究［D］．北京邮电大学，2010

［2］卓武扬．论全球化下电子金融的有效监管［J］．西部经济管理论坛，2012