全国相关的金融机构陆续成立了专门的安全防范机构,并重点加强对系统需求设计、投产、推广和软件开发等重点程序的监管和保护以及风险防范;在系统设计开发、防火墙选用、认证密码等方面加大了投入。但是,当前的金融电子行业仍然存在着一些隐患,具体是传递信息的安全隐患和业务系统维护的风险防范隐患。
二、信息安全防护措施
(一)行业自律
行业或是客户自身的信息包括最敏感机密部分对金融机构而言往往是公开的,金融机构可以轻松的获取这部分信息,其中有部分信息具有相当的经济价值。对信息保护,行业的自律有着相当重要的意义,政府的监管只是被动的行为,防患于未然更多的在于金融结构的自律行为。电子金融行业需制定一个有效的行业自律规范,从行业内部规范从事人员的行为总则,争取将非法信息来源斩断。国外大多数国家在立法上对行业自律机制给予较高的肯定,我国其实也可以借鉴,进一步发挥行业自律在信息安全上的作用。
(二)金融信息监管
完善的信息安全法律法规是做好信息安全工作的基础。我国在信息安全法律法规建设方面已经做了很多工作,如今与信息安全有关的法律法规包括法律、行政法规、部门规章及规范性文件三个层面。但是,我国的信息安全法律法规仍然不够完善,管理机构存在多头管理,要求从金融信息监督开始为信息安全做好第一步。同时,中国人民银行对网上银行业务的监管尚处于起步阶段,应在《人民银行法》等相关法规中将网上银行明确纳入中国人民银行、银监会监管的对象。其次,金融服务业消费者安全保障的投诉与受理机制欠缺,监管机构中缺乏专门负责金融消费者安全保障方面事务的部门,对于投诉问题没有从自律或者强制性法律机制角度进行规范。建议在我国因成立一个独立的电子金融监管机构,它独立于各个行政体系,采用直接负责制,这是由于电子金融领域如出现信息安全事故,它所牵扯的相关行政部门较多,地域范围较广,现有职能部门无法对它进行有效的监管,该机构应对电子金融机构信息可审查,可回溯并构建一个评价体系,将其评价结果对外公示,对于那些信息安全保护不当的机构应给予惩罚,改变我国对信息泄露或是保护不当的金融机构只罚不惩的局面。
(三)信息安全体系
电子金融主要的运行手段是基于计算机网络或是通信网络,必须要技术层面上保护其安全,传统的金融交易手段是基于柜台式、盘点式,早期电子金融只是较为粗犷的将原有的业务照搬于网络环境中,又由于网络是个开放的平台,所以造成了较多的信息安全事故,在近几年的发展中有了迅猛的进步,但还存在诸多问题:用户认证手段单一、支付手段繁杂、内网权限过大、设备更新过于频繁、客户端保护不够、异常行为监管不到位、标准不统一等问题。现应构建一个统一标准网络信息安全体系。将用户权限分割,将用户不常用或是对其信息保护有隐患的功能部分需转为传统的柜台办理,用户可对其权限进行缩减,提供用户常用功能及其权限。用户认证需多层次的,一般的安全层次认证简单快捷,高层次需提供较多有效凭证方可使用。网络模型要做到有效的内外分离,对外网要设置多层安全防范,不能以单一的防火墙形式存在,应具有动态更新、行为分析、危害恢复等功能。对内网必须将权限分割,无单一权限,在很多核心内容上应采用多人协同开启权限功能,防止某一个体权限过大造成过多损失等。客户端应该附加对客户端安全的监察,如发现客户端存在隐患则尽到提醒义务,保护客户信息安全。
三、结束语
安全建设的研究一定要考虑到多方面,找到多种技术和管理方法,而不能只局限到某一种策略。单一的安全技术和产品已满足不了行业用户保障网络安全的需求,防火墙、隔离卡、防病毒技术、信息加密技术、入侵检测技术、安全评估技术、等级管理体系、安全认证技术、漏洞扫描等相互配合,构成网络安全整体解决方案,并能在稳定性及协同性整体配合上加强。信息的安全建设如今不仅仅只是技术的问题,更需要管理与技术相融合而发挥作用的一项系统工程。当然,不断完善的规章制度、科学系统的管理以及高素质、高执行力的团队也是安全建设所必不可少的。
13888888888
点击咨询 