一�����、我國電子金融領域信息安全的現狀
全國相關的金融機構陸續成立了專門的安全防范機構�����,并重點加強對系統需求設計、投產、推廣和軟件開發等重點程序的監管和保護以及風險防范;在系統設計開發�����、防火墻選用���、認證密碼等方面加大了投入���。但是�����,當前的金融電子行業仍然存在著一些隱患,具體是傳遞信息的安全隱患和業務系統維護的風險防范隱患。
二���、信息安全防護措施
(一)行業自律
行業或是客戶自身的信息包括最敏感機密部分對金融機構而言往往是公開的,金融機構可以輕松的獲取這部分信息,其中有部分信息具有相當的經濟價值��。對信息保護�����,行業的自律有著相當重要的意義�����,政府的監管只是被動的行為,防患于未然更多的在于金融結構的自律行為���。電子金融行業需制定一個有效的行業自律規范,從行業內部規范從事人員的行為總則���,爭取將非法信息來源斬斷。國外大多數國家在立法上對行業自律機制給予較高的肯定���,我國其實也可以借鑒,進一步發揮行業自律在信息安全上的作用���。
(二)金融信息監管
完善的信息安全法律法規是做好信息安全工作的基礎。我國在信息安全法律法規建設方面已經做了很多工作���,如今與信息安全有關的法律法規包括法律��、行政法規���、部門規章及規范性文件三個層面�����。但是,我國的信息安全法律法規仍然不夠完善�����,管理機構存在多頭管理,要求從金融信息監督開始為信息安全做好第一步��。同時�����,中國人民銀行對網上銀行業務的監管尚處于起步階段��,應在《人民銀行法》等相關法規中將網上銀行明確納入中國人民銀行、銀監會監管的對象��。其次�����,金融服務業消費者安全保障的投訴與受理機制欠缺��,監管機構中缺乏專門負責金融消費者安全保障方面事務的部門,對于投訴問題沒有從自律或者強制性法律機制角度進行規范�����。建議在我國因成立一個獨立的電子金融監管機構���,它獨立于各個行政體系��,采用直接負責制,這是由于電子金融領域如出現信息安全事故���,它所牽扯的相關行政部門較多,地域范圍較廣���,現有職能部門無法對它進行有效的監管,該機構應對電子金融機構信息可審查���,可回溯并構建一個評價體系,將其評價結果對外公示��,對于那些信息安全保護不當的機構應給予懲罰�����,改變我國對信息泄露或是保護不當的金融機構只罰不懲的局面��。
(三)信息安全體系
電子金融主要的運行手段是基于計算機網絡或是通信網絡,必須要技術層面上保護其安全���,傳統的金融交易手段是基于柜臺式、盤點式�����,早期電子金融只是較為粗獷的將原有的業務照搬于網絡環境中���,又由于網絡是個開放的平臺�����,所以造成了較多的信息安全事故�����,在近幾年的發展中有了迅猛的進步�����,但還存在諸多問題:用戶認證手段單一���、支付手段繁雜�����、內網權限過大、設備更新過于頻繁���、客戶端保護不夠��、異常行為監管不到位、標準不統一等問題。現應構建一個統一標準網絡信息安全體系�����。將用戶權限分割��,將用戶不常用或是對其信息保護有隱患的功能部分需轉為傳統的柜臺辦理���,用戶可對其權限進行縮減�����,提供用戶常用功能及其權限。用戶認證需多層次的���,一般的安全層次認證簡單快捷�����,高層次需提供較多有效憑證方可使用�����。網絡模型要做到有效的內外分離,對外網要設置多層安全防范���,不能以單一的防火墻形式存在,應具有動態更新�����、行為分析��、危害恢復等功能���。對內網必須將權限分割���,無單一權限���,在很多核心內容上應采用多人協同開啟權限功能���,防止某一個體權限過大造成過多損失等��。客戶端應該附加對客戶端安全的監察��,如發現客戶端存在隱患則盡到提醒義務�����,保護客戶信息安全。
三�����、結束語
安全建設的研究一定要考慮到多方面���,找到多種技術和管理方法��,而不能只局限到某一種策略���。單一的安全技術和產品已滿足不了行業用戶保障網絡安全的需求���,防火墻�����、隔離卡、防病毒技術、信息加密技術、入侵檢測技術��、安全評估技術���、等級管理體系、安全認證技術�����、漏洞掃描等相互配合���,構成網絡安全整體解決方案�����,并能在穩定性及協同性整體配合上加強。信息的安全建設如今不僅僅只是技術的問題��,更需要管理與技術相融合而發揮作用的一項系統工程���。當然��,不斷完善的規章制度�����、科學系統的管理以及高素質、高執行力的團隊也是安全建設所必不可少的。
本文作者:冷繼兵���、朱玉 單位:貴州師范大學