构建金融行业网络安全策略研究

李泓杉，康埕铭，王 钰，刘谋儒，陈国庆

(成都锦城学院，四川 成都 611731)

1 研究背景

随着大数据等新兴科技信息技术赋能金融产业发展，不断加大深度融合力度，形成计算机产业与金融产业协同发展新局面。在构建金融网络系统过程中注重鼓励金融科技发展，因此忽视了网络监管问题，我国金融行业网络安全问题也显得愈加突出。金融机构网络系统具有覆盖范围广、网络情况复杂等特点，为维护网络安全问题带来新的挑战。

我国金融科技飞速发展，电子商务系统出现崩溃的现象，方如(2003)认为应当使用工人的生物监测技术作为核心技术，建立生物识别系统，对人们的个人信息进行储存，建立特征模板，作为电子货币的基础[1]。金融行业涉及大量客户的私人敏感信息，这类信息是金融业安全防御系统保护的重点，曹虎、葛庆鸣(2021)从数据安全与个人隐私保护两方面总结出了建立“首席数据官”制度与构建标准数据体系[2]。从20世纪开始，截取信息传输已经成为数据窃取者重要手段之一，无论是有线传输还是无线传输，都可能被攻击者截获，甚至由于无线传输中所使用的无线网络具有一定的开放性，被当今企业使用的无线传输相比有线传输更容易被截取。针对网络信息传输方式，沈超(2019)通过对量子传输的优势进行分析，得出了量子通信“稳定、高速、远距”的传输特点可以代替传统信息传输方式[3]。金融业的交易对象十分广泛，这样的市场结构导致了金融业具有各式各样的交易平台，这也使得平台安全维护的难度增加。

综上所述，国内学者对金融业信息安全维护体系的研究十分丰富，并且通过完善网络安全体系来提高企业信息防御水平的观点较为赞同。

2 金融业信息安全现状分析

2.1 金融业网络安全监管体制不健全

早在20世纪90年代，我国监管部门就已经颁布多部涉及信息安全的法规，时至今日，国内已经形成初步的法律法规用于监管金融行业网络安全。同时，企业在经历了客户信息泄露的商业事件后也逐步形成了企业内部的监管体系。但对比严格健全、法律完备的信息管理体系，金融行业对于网络监管的体系相形见绌，行业中仍存在法律漏洞。我国互联网金融公司往往对金融业的信息化建设做出大量的投资，花费了大量财力资源与人力资源，并追求个性化、高效化的服务建设，但与此同时，网络相关的安全体系往往被金融公司忽视。金融业公司需要在其网络安全的监管制度与实施上做出更多完善，防止因网络安全带来不必要的损失。

2.2 金融业维护信息保护体系难度增加

互联网金融时代的到来，大量数据开始涌入金融业，金融业面对更多的商业机会，同时也增加了金融业对信息保护体系的难度。当下的金融行业交易频率更加频繁，这导致金融企业对信息保护的难度日益提升，金融企业内部之间往往以多个部门协同工作来进行，随着工作压力越来越大，各个部门之间的交流不够及时，信息容易被工作人员恶意利用，企业难以及时应对风险，企业信息安全得不到保障。金融业维护安全防御体系的成本与难度增加，因此，一方面，分析金融行业企业的运营特征；另一方面，针对金融企业维护体系进行优化，降低企业维护成本与难度，确保企业能够具备独立解决维护体系的问题。

2.3 技术人员信息安全意识薄弱

金融企业在利用信息为自身增加更多的利益时，大多数相关技术人员往往不会在意相关的信息安全，因为信息安全并不能对金融企业带来直观的、可视化的收益。企业如果想要与信息安全的相关工作达到实用性效果，但实际上信息所给予企业的风险也是十分巨大的，技术人员信息安全意识薄弱，那么金融企业针对信息安全制定的一系列措施也难以得到实施，会使企业面临巨大的信息安全风险，不利于金融业的发展。

3 安全策略

3.1 完善金融业网络安全体系

金融业处于时代发展前沿，行业信息安全系统要求较高，需要行业利用先进的计算机技术来加强企业网络信息安全保护系统，形成不断更新、不断升级的动态安全防御系统闭环，以此跟上飞速发展的计算机技术，防范利用新兴技术进行非法攻击的攻击者。

金融行业的运营体系中，充斥着大量金融交易信息，同时涉及了客户大量敏感信息，需要企业将信息管理部分独立出来，建立相关的监管部门，并利用传统安保手段，防止攻击者从源头进行网络攻击。在信息存放方面，需要公司建立访问权限系统，明确各级员工访问权限，防止员工窃取企业内部信息。对公司机密文件进行独立保护，使企业信息储存风险评估进入常态化。同时，构建信息识别与销毁系统，定期对数据库中的信息进行分类，清除企业数据库中的无用信息以解决企业信息冗余的问题，并杜绝无用信息泄露对公司造成损失。企业在建立加密传输体系时应当选择符合传输安全标准的材料。数据访问方面，可以通过在公司内网中建设员工认证数据库，构建硬件安全测试团队，使安全检测进入公司常态化，完善系统漏洞，防止信息越权等事故。完善安全监管系统，制定漏洞评估体系与应急解决方案，能够及时处理系统漏洞，通过评估系统分级设立不同的反应方案，在企业安全监管体系中插入警告系统，对企业日常信息数据库进行抽查分析，处理异常数据，监管某一设备或某一账号的高频次访问，并通过评估系统对事件风险进行评估，以邮件电话等方式通知各级安全事件应急方案的安全负责人，以此降低监管系统信息的无效传输与安全团队的无效工作量。

企业内网具有数据集中、访问量多、持续时间长的特点，加强企业内网构建，依照职能对员工信息访问权限进行等级划分，同时提高员工识别认证系统，从传统的身份磁卡改为对更加严密的访问者生理特征识别，减小冒充者进入内网的可能性，防止由于员工内网账号泄露导致的企业安全事故。金融业在安全保护投资有限，需要寻找外力形成多层保护，例如积极响应国家机构，对行业安全威胁实时上报，周期性对企业防御体系进行评估，配合执法部门对企业安全防护能力分级，与网络监管部门形成联动机制，时刻保护自身信息安全。

3.2 降低金融业信息维护门槛

大数据技术的大规模使用加快了行业信息传输速率的同时，也为金融业各企业信息防御体系带来新的挑战。信息安全的维护不能仅靠维护团队，企业需要有针对性地建立硬件系统与软件修复等反馈系统，以细化各部门安全技术维护要求，提高整体安全防范规模，对于频繁接触敏感信息的部门提高其安全攻防能力，各技术部门为单元，建设统一的一体化安全维护平台，使企业任何人员在遇到安全事件时能够快速向企业安全监管部门进行反应，协助监管团队对安全事件高效、迅速地解决事件。在保护反馈平台方面，在数据采集、信息储存、平台设计、数据测试等方面都需要有安全方面的考虑，提升反馈平台程序健壮性。建立各部门安全反馈数据库，由风险评估团队接入数据，针对数据库呈现的防护薄弱点进行攻防测试，对部门安全防御体系进行风险评估与安全等级评价。在数据库到达一定体量后，通过数据分析，总结企业操作系统高频漏洞，并在一体化平台中总结解决方案，帮助普通员工在日常工作中维护企业安全防御体系。

3.3 规范安全管理制度，增强人员安全意识

安全防御体系的逐渐成形，需要企业规范信息安全管理制度，客户交易信息的保护需要从法律层面明确。规范各安全部门工作制度，明确安全部门主体责任。在计算机技术不断迭代的今天，金融行业作为网络安全防护的第一线，其网络安全部门应当不断学习，紧盯网络安全技术发展，进而对企业网络安全防护系统进行评估，提高企业信息安全防务的先进性。在增强部门实力的同时，需要增加企业其他部门各级员工的网络安全意识，从基础入门对大量金融人才进行科普教育，提升公司安全意识素养。