(天津社会科学院城市经济研究所,天津,300191)
【内容提要】安全是金融信息系统的生命。在金融信息系统日益发展,信息越来越向上集中,规模越来越大,金融业对它的依赖性不断增加的同时,金融信息化系统安全的重要性也与日俱增。目前,我国金融信息化已进入了体系化信息安全管理的阶段,亟待建立一套金融信息安全保障体系,具体来说:要进一步加强金融信息的保密工作;要建立和完善金融信息标准化体系;要构筑金融信息安全的服务后盾;要大力培养金融信息化专业人才;等等。
【关键词】安全;金融信息;金融信息化
一、安全性受质疑,金融信息化面临严峻挑战
金融信息化是一个热点话题,关系金融行业的稳定性和发展。所谓“金融信息化”,是构建在由通信网络、计算机、信息资源和人力资源等四要素组成的国家信息基础框架之上,由具有统一技术标准,能以不同速率传送数据、语音、图形图像、视频影像的综合信息网络,将具备智能交换和增值服务的多种以计算机为主的金融信息系统互连在一起,创造金融经营、管理、服务新模式的长期系统工程。金融是现代经济的核心,金融信息化在国民经济信息化中的重要性不言而喻;与此同时,现代金融作为知识密集型产业,客观上要求以飞速发展的信息技术为支撑,不断推行金融创新,实现自身的信息化和知识化。“传统的商业银行是要在21世纪灭绝的一群恐龙。”这曾是比尔8226;盖茨的预言。然而,各种伸向网上银行的黑手,使得“恐龙”的灭绝似乎成为一个预想的神话。当今世界经济全球化趋势日益明显,经济全球化,首先是信息全球化,随着人类社会进入信息时代,金融信息化进程加快,因特网在信息全球化中扮演着非常重要的角色,通信、计算机技术等高科技手段在银行业广泛运用,外资银行大举进入,网络银行迅速发展,传统银行富丽堂皇的高楼大厦、戒备森严的金库不再是信誉的充分象征和实力的完全保障。信息和网络技术的推广应用给人们带来方便的同时,利用信息网络技术犯罪也在迅速增长。曾几何时,银行存折和信用卡明明在自己手里,银行支票和印章明明锁在保险柜里,计算机操作密码慎之又慎,账户上的存款却不翼而飞,信息网络系统却屡遭“黑”运。随着信息数量爆炸性增长,针对信息的网络犯罪分子受巨大的经济利益驱使,在全球范围有计划、有组织地开展行动,他们的技术手段和市场拓展计划甚至和技术公司同步。银行、证券、基金、保险等金融服务机构是其首要目标,因为他们的数字信息直接与现实世界的财富相连。据CERT统计,2002年中心接到的事件报告82094件,相比2001年度的52658件增加了36%。这些事件包括了电脑病毒、网络攻击以及利用电脑系统或应用软件进行的攻击事件。据美国联邦调查局揭露,一个东欧黑客团体于2001年非法侵入340多个商业网站,盗取了一百多万个信用卡号。2003年1月,美国银行13000台ATM机因病毒瞬间宕机,该行客户长时间无法利用ATM完成存取款交易。2003年,在全球范围内,1200多家欧洲和美国的银行和保险公司称,其客户密码和信用卡号码等重要信息有可能已经被黑客窃取。2005年12月,日本瑞穗证券公司误将客户的“以61万日元卖出1股J-COM公司股票”指令输入为“以每股1日元卖出61万股”,东京股票交易所计算机系统对该公司取消下单的指令不能给予及时回应导致错误的订单全部成交,瑞穗证券损失超过400亿日元;2006年,花旗银行日本分行出现交易系统故障,5天内约27.5万笔公用事业缴费遭重复扣划,或者交易后未做相应记录,造成花旗银行在日本的重大声誉损失。金融业尤其是银行业,作为国民经济发展的核心与枢纽,涉及到社会生活的方方面面,它的信任临界点很高,一旦有相关案件发生,将引发信用危机,造成社会不稳定。
近年来,我国一些银行机构也相继出现过系统宕机和网络瘫痪,其中影响较大的是银联系统瘫痪事件。2006年4月,银联全国跨行交易系统瘫痪6小时,国内大部分商户的POS机无法刷卡,所有银行的ATM终端无法进行跨行操作,“停刷”阻断交易量246.6万笔,金额1287.7亿元,造成了重大的社会影响。2006年11月中旬,关于银联网站被黑客攻破的传闻,引起业界的关注。据悉,2006年11月17日,一些用户访问银联官方网站首页时,其计算机上安装的杀毒软件发出病毒警报,提示该网页含有名为“黑洞2005”的病毒程序。经瑞星、江民等专门从事信息安全的公司验证,银联官方网站首页被黑客嵌入恶意程序。用户点击网站首页后,系统即可自动下载后门程序,该病毒具有强大的穿透防火墙能力,可以禁止防火墙并开启染毒计算机的摄像头,实现远程监控、远程摄像等操作。病毒还会添加自身为“系统服务”,达到开机自动启动的目的,隐蔽性很强。据悉,如果感染该病毒,用户密码很有可能会被窃取,包括BIOS密码、屏幕保护密码、基于NT系统的登录密码、电子邮件密码和浏览器自动完成密码等,直接威胁用户的信息安全。更让人担忧的是,这种病毒能够按反向端口的方式进行反向连接,这样它就可以穿透很多防火墙进入到企业的内部网络,给企业用户的信息安全带来隐患。虽然银联有关人士在媒体采访时否认银联网站感染病毒,但是这一事件还是给金融信息化的信息安全带来警示——银行业对信息科技的高度依赖,使得信息技术系统的安全性、可靠性和有效性直接关系到整个银行业的安全和金融体系的稳定。
中国金融认证中心CFCA于2008年初近日发布的《2007年中国网上银行调查报告》显示,在2007年调查的10个经济发达的城市中,使用网上银行服务的个人仅37.8%。安全性是导致大家不敢使用网上银行的主要原因,在那些没有使用网上银行的网民中,有71.7%的用户认为网上银行的安全性偏低,这一比例比2006年上升了10%。2008年春,中国银监会副主席郭利根在银行业信息科技风险奥运专项自查工作部署会上,通报了2007年以来银行业金融机构发生的5起信息科技风险事件。银监会通报的这5起事件是:2007年3月21日,交通银行因主机监控软件存在缺陷,导致业务交易阻塞,系统瘫痪近四个小时,所有营业网点无法正常开展业务;2007年8月15日,工商银行对计算机系统进行升级,但由于没有避开业务高峰期,导致个人业务系统运行不畅,在持续五个半小时之后,系统才逐步恢复正常;2007年10月18日,正值十七大召开期间,建设银行股民保证金第三方存管系统出现故障,与券商的交易无法正常进行,事故持续了两个小时,在证券交易收盘后才恢复正常;2007年12月21日,招商银行因运行中心核心网络设备出现故障,造成业务无法正常进行,虽然启动了应急预案,但仍然中断相关业务近一个小时;2008年1 月7日,北京银行因主干专线的入户接入设备发生故障,造成在京的117家支行所属网点柜台交易缓慢,业务无法正常进行,故障持续一个多小时之后才得以解决。2007年以来,我国银行业金融机构发生的几起信息科技风险事件,已经给我们敲响了防范金融风险的警钟。
经过20多年的建设和发展,我国的金融系统信息化水平有了较大提高,呈现出经营集约化、数据集中化、用户个人化等三大趋势。而随着金融信息化的迅猛发展,我国的金融信息安全形势越来越严峻:1、金融信息化的加速和信息网络化的推进,使得金融行业在国民经济中的地位进一步得到提高。因此,其他行业对金融的依赖性也进一步加强,但是越来越多的信息电子化,将使金融信息系统内部采集、存储、传输、处理的信息量越来越大,信息的重要程度也越来越高。而如何确保这些关系到国计民生的金融数据的安全采集、安全存储、安全传输和安全处理,将是金融信息系统建设面临的重要挑战。2、随着金融网上业务的拓展,诸如信用卡号失窃、电子欺骗等金融犯罪活动将逐年增加。作为开展网上交易活动的基础设施——金融信息系统,应该具备对此类活动的事前监控预警、事中保护反击、事后审计分析的能力。 3、金融信息化的加速,必然会使金融信息系统与国内外公共互联网进行互联,那么,来自公共互联网的各类攻击、病毒及入侵将对金融信息系统的可用性带来巨大威胁和侵害。信用卡、网上支付经常出现的金融诈骗,严重威胁了银行资金安全和金融管理秩序。4、随着金融信息化的加速,将使金融信息系统的规模逐步扩大,同时金融信息资产的数量也将急剧增加,如何对这些大量的信息资产进行有效的管理,使不同程度的信息资产都能得到不同级别的安全保护,将是金融信息系统安全管理面临的巨大挑战。
金融信息系统是技术密集、资金密集、大型复杂、网络化的人机系统,随着全球信息技术的快速发展,信息科技在金融系统中的应用越来越广,金融机构对信息系统的依赖程度也越来越大,与此同时,金融机构所面临的信息科技风险也随之增大。安全是金融信息系统的生命。在金融信息系统日益发展,信息越来越向上集中,规模越来越大,金融业对它的依赖性不断增加的同时,金融信息化系统安全的重要性也与日俱增。它关系到金融机构的生存和经营的成败,所以,应把金融信息化系统的安全视同资金的安全一样,看作是金融机构的生命。金融信息系统的安全不仅是金融行业本身的问题,它与我国的经济安全、社会安全和国家安全紧密相连,是保障金融业稳定发展、增强竞争力和生存能力的重要组成部分,金融信息系统的安全已成为我国金融信息化建设中具有战略意义的关键问题。信息安全因其特殊性在金融领域显得更加严峻和重要,层出不穷的案件提醒金融界有识之士必须将此问题纳入金融电子化进程的一个重要方面予以重视。
二、金融信息安全项目及其实现的技术要求
金融信息安全项目主要包括了以下安全产品:网络防火墙;入侵检测工具;网络计算机病毒防范工具;硬件加密机; VPN/IP保密机;工具身份识别工具 (单机用户);身份识别工具(网络用户);网络信息审计工具;业务信息审计工具;桌面安全软件;密钥管理中心;风险评估和策略审计工具。一个金融信息安全网络系统至少应有如下的功能:1、身份识别:身份识别是安全系统应具备的最基本功能。这是验证通信双方身份的有效手段,用户向其系统请求服务时,要出示自己的身份证明,例如输入User ID和Password。2、存取权限控制:其基本任务是防止非法用户进入系统及防止合法用户对系统资源的非法使用。3、数字签名:即通过一定的机制如RSA公钥加密算法等,使信息接收方能够做出"该信息是来自某一数据源且只可能来自该数据源"的判断。 4、护数据完整性:即通过一定的机制如加入消息摘要等,以发现息是否被非法修改,避免用户或主机被伪信息欺骗。5、审计追踪:即通过记录日志、 对一些有关信息统计等手段,使系 统在出现安全问题时能 够追查原因。6、 密钥管理:信息加密是保障信息安全的重要途径,以密文方式在相对安全的信道上传递信息,可以让用户比较放心地使用网络,因此,要对密钥的产生、存储、传递和定期更换进行有效地控制,并引入密钥管理机制,对增加网络的安全性和抗攻击性。从安全技术来讲,在所有的安全技术中,密码技术是解决信息安全的核心技术。7、 病毒防范与监控:由于病毒的潜伏期和传染性的特征,以及计算机网络的普遍使用,加剧了病毒的传染性,使得单机手工查杀病毒难以做到斩草除根。因此,基于网络的计算机防毒手段日益为银行系统所重视,尤其需要防病毒系统化,反病毒实时化。
因此,借助金融信息网络系统,实现金融信息安全,我们可以从以下几个方面着手,来保证它的技术性。1、 要保证信息的完整性和秘密性 。网上银行系统的信息传输完全向互联网开放,任何合法用户都可以在这里进行信息的交换和获取。为了保证信息的完整性和秘密性,可以通过对动态信息进行签名保证信息的完整性,并使用密钥加密的办法保证信息的秘密性;可以通过对静态信息进行特别保存,利用密码对文件进行锁定,以保证信息的完整性和秘密性。 2、 对网络访问用户身份进行强鉴别。 可以利用公开密钥机制(PKI)来对访问用户进行身份强鉴别。 3、 建立网络防计算机病毒机制 。建立严密的防病毒系统,对所有服务器进行病毒监测,同时建立病毒监测系统,对感染了病毒的流动信息给出预警,并有相应的强制性手段。4、 非法入侵的安全审计与跟踪 。网上银行的一个重要内容就是防止非法入侵,防火墙虽然能够起到一定的作用,但不可能防止所有的入侵,因此应加强安全审计和事后追踪的力度,对入侵者起到威慑作用和追查作用。5、 信息系统安全 。主要是解决信息系统安全设计、生产、测试、运营、维护等方面的安全问题,其对象包括集成电路、智能卡、计算机设备、通讯设备、视象设备、控制设备、控制系统、网络设备、终端设备、操作系统、数据库系统和应用系统等。
三、金融信息安全保障体系的构建
现代金融学被喻为管理科学领域的中的“火箭科学”,现代金融业被比作当代西方经济管理的“航天工业”。发展我国金融信息化,要解决的难题很多,项目的建设也是一个涉及银行、保险、证券和税务等多个部门,计算机、通信、金融和经济管理等多个学科的综合性系统工程,技术起点高,实施难度大。信息安全是金融信息化建设的重中之重,一旦发生重大信息安全问题,不仅会给银行带来难以估量的信誉损失和经济损失,甚至还将引发社会动荡,严重影响国家经济的正常运转及社会稳定。
在历经了网络建设、数据大集中、网络安全基础设施建设等阶段后,如今,我国金融信息化已进入了体系化信息安全管理的阶段,亟待建立一套金融信息安全保障体系,有效地防范和化解安全风险,统一安全问题处理规范和流程,增强金融系统的信息安全整体防范能力,以保证金融机构的信息系统平稳运行及各项业务的持续展开。
1、要进一步加强金融信息的保密工作。随着信息技术的迅猛发展与广泛应用,窃密手段更加隐蔽,泄密的隐患增多,泄密所造成的危害程度大,保密工作面临许多新情况新问题。金融行业具备特有的高保密性,对于各种涉及安全性信息的上传下达要求高,因此我们要:(1)树立正确的保密意识。通过对领导干部、涉密人员、保密干部的教育培训,通过广泛开展群众性的保密法制宣教活动,使广大员工认识到,金融保密工作是关系到国家安全和利益的大事,彻底摒弃金融加入世贸组织“无密可保”、“有密难保”、“保密无用”的错误思想。(2)要抓好保密管理。金融系统要进一步建立健全保密管理的专门机构,配备专兼职人员,实施规范化管理,重点要加强定密管理、涉密人员的管理和要害部位的管理。(3)要抓好加密技术创新。我们要大力开发关键性技术,使保障金融网络安全的密码技术、商用加密技术、身份鉴别技术、防火墙技术、攻击监测技术、病毒防御技术在网络银行上发挥应有的作用,同时要把研究开发CPU和操作系统内核技术作为长期性策略,尽快开发我国自己的操作系统、密码专用芯片和安全处理器;要大力推行网络隔离技术;要推广电子认证技术。
2、要建立和完善金融信息标准化体系。金融信息技术和应用标准化的必要性和好处显而易见。举例来说,银行以前建立的非标准化系统就像形状和大小各异的一组杯子,不同的杯子各司其职不能共享,而且每个杯子都要有一模一样的备份。考虑到业务的长久发展,这些系统在建设之初均需按一定的业务峰值来配置,也就是说这些“杯子”还都要买最大号的。这种模式不仅导致了系统的不兼容和管理困难,更极大的造成了备份资源的重复和浪费。而标准化则意味着银行IT系统变成了一组形状、大小一致的杯子,技术标准、规范和平台完全一致,且只需选择大小适中而非最大的,而以备份数量的多少来动态满足业务需求。此外,由于规格完全一样,资源充分共享,整个银行只需多准备两只作为备份就够了,不用每个系统都备一个。技术和应用的标准化不仅能灵活的满足银行不同时点的应用需求,减少系统冗余,节省资源,同时还可以降低系统的复杂性和管理难度,简化操作,并能在市场突变时快速应对,提升银行IT应用的前瞻性和主动性。
金融信息标准化体系是带动我国金融IT技术与应用发展的关键,是我国金融信息应用成熟发展的主要措施之一。我国在新世纪的金融信息化必须强调金融信息基础设施的建设,强调信息基础设施公共操作环境(COE)的建设,在此基础上建设我国统一的现代化的金融支付清算系统、银行卡系统、银行信誉系统、金融监管信息系统和金融信息系统安全系统等,从而实现金融IT资源的最大限度重复利用和共享信息,实现金融信息系统之间的互连、互通和互相操作及其基础上的安全性。对于我国来说,目前要做的主要具体工作是,要完善金融信息化标准体系总体规划,确定我国金融信息标准体系的目标、任务、发展阶段策略和原则等,全面规划银行通讯和网络技术设施建设,区分银行面向社会服务、银行内部服务和中国银行监管的工作,实施这些网络的业务分开,提出统一业务平台体系,提出银行信息认证技术框架和公共的必要设施。要建设我国自助的信息化标准体系,必须与国际接轨,同时我国金融信息化标准又必须维护国家主权和安全。考虑到我国的文化特色,必须自主独立地制定金融信息化应用平台标准和信息安全标准体系。要逐步建立我们金融行业系统的互操作性、安全性和应用平台的一致性及对技术应用成熟的评估。要加强我国金融信息基础设施公共环境的建设,金融信息基础设施公共环境是金融信息系统应用于管理最重要的技术关系条件。公共操纵环境建设不仅仅是一种标准结构,更是IT产业在互联网时代的新兴产业模式的样板。应该说它是应用化系统走向成熟的主流技术之一,也是我国信息管理的最重要的技术标准体系。要建立和应用信息安全标准体系,我们要加快产生信息安全测评认证标准、互操作性测评标准、信息安全产品技术要求(PP标准)、信息系统安全技术要求(PP标准)等标准文件,要积极完成信息安全测评认证标准体系、信息安全测评产品体系、信息安全测评服务体系、信息安全测评产品研发体系以及网络远程服务的标准体系等方面的建设工作。
3、要构筑金融信息安全的服务后盾。 有关专家指出,在我国整个金融信息安全当中,八十年代以前主要的目标是所谓的加密、签名和访问控制,希望把攻击者拒之门外。而现在,如何具有容错、容灾和快速恢复,实现不间断服务的能力,正在成为当前网络安全的主要内容。从整个安全系统来看,金融业在选购存储安全产品时面临的最大的问题在于:目前的网络安全产品仍然是在以"点"式发展,比如访问控制、病毒扫描、内容过滤等等。作为应用系统来看,金融业希望有一个网管一样能够提供动态的、可调整的网络安全管理系统,而这样的一个系统可以随着应用业务的不同来定制集成。所以,在今后的应用系统当中,完整的网络安全管理系统将是今后发展的重要内容。随着服务的逐步高技术化,网络远程服务将是我国各行各业服务的主流技术。把管理代理软件、服务代理软件、测试代理软件与芯片嵌入到被管理、被服务、被测试、被监控、被维护的设备与系统中,实现网络远程的服务,是现代企业的规范和标准服务概念。它对企业降低成本发挥着重要作用的同时,也对发达国家实现网络经济意义上的控制提供了条件,直接威胁着采用此类服务国际信息系统、金融信息系统等的安全。解决这类问题,长期服务是根本。服务的不间断,即保持业务的持续性,是当今金融业数据存储需要考虑的一个极为重要的方面。系统故障的出现可能导致业务停顿、客户满意度降低、失去客户甚至大量的资金流失,金融企业的竞争力也会因此大打折扣。这就要求数据存储采用的系统必须具有高度的可靠性。高可靠性方案应该考虑到应用、数据和系统各级的保护。在一个有效的高可靠性计算环境中,数据中心的任何系统硬件、软件及应用的故障不应影响到整个中心的处理工作,当数据中心由于灾难等原因无法工作时,应有一个备份数据中心能够立即接管关键应用,继续维持系统运行,而当主数据中心恢复后,应用和数据均应迅速切换回主中心运行。这些功能的实现,需要平台化的产品和平台化的服务来支撑。
4、要大力培养金融信息化专业人才。人是生产力中最积极最活跃的因素,事情办得好与坏人是起主导作用的,把好用人关,是做好金融信息化安全工作的前提。为了克服银行信息化的路障,各大银行要加大对金融信息化人才的培养和重用。目前我国金融从业人员达到硕士以上学历的不足1%,远远不能满足国内银行业的蓬勃发展,而且国内能够培养金融信息人才的院校屈指可数。目前虽然也有很多金融机构的科技人员是纯IT背景,可由于本身不懂金融,这些人员加盟后有相当长的时间不能够充分发挥作用;同时,有部分金融人才中途改行去做信息,可能实际能力又达不到工作要求等等一些原因使我国的“金融信息化”进程受到阻碍。目前金融IT方向的人才主要应该掌握以下一些方面的知识:一是金融经济与管理方面的基础知识;二是信息化方面的知识,包括数据库知识;三是金融方面的业务知识,如国际金融等。既懂“金融”又懂“IT”复合型人才是高端人才市场的“焦点”,而且这种金融经验应该是“业务技能”导向而不是“理论”导向的学者。