【摘要】本文首先要對(duì)外匯管理信息系統(tǒng)和數(shù)據(jù)面臨的風(fēng)險(xiǎn)加以梳理，總結(jié)外匯信息安全基本準(zhǔn)則和特性，在此基礎(chǔ)上提出有針對(duì)性安全防護(hù)措施，以解除外匯信息安全隱患，確保外匯業(yè)務(wù)數(shù)據(jù)完整可用。

【關(guān)鍵詞】外匯 ?信息安全 ?風(fēng)險(xiǎn) ?保障措施

近年來(lái)，國(guó)家外匯管理局加大了信息化建設(shè)步伐，信息系統(tǒng)已基本替代了手工操作用于處理外匯管理日常工作，在外匯監(jiān)管與服務(wù)的過(guò)程中發(fā)揮著越來(lái)越重要的作用，外匯業(yè)務(wù)信息系統(tǒng)的安全正常運(yùn)行已成為外匯局開(kāi)展業(yè)務(wù)開(kāi)展的前提，任何一個(gè)環(huán)節(jié)的信息系安全管理缺失，都可能給外匯管理工作帶來(lái)嚴(yán)重的后果。

一、外匯信息系統(tǒng)和數(shù)據(jù)所面臨的風(fēng)險(xiǎn)

信息安全就是保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類(lèi)型的威脅、干擾和破壞，即保證信息的保密性、完整性、可用性.可控性和平可否認(rèn)性。

外匯管理信息系統(tǒng)和數(shù)據(jù)在采集、保存和使用等過(guò)程中存在諸多安全風(fēng)險(xiǎn)，例如硬盤(pán)損壞等物理環(huán)境風(fēng)險(xiǎn)，操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議漏洞導(dǎo)致外匯信息數(shù)據(jù)被非法訪問(wèn)、修改或惡意刪除，最終導(dǎo)致外匯信息喪失上述安全特性，從而影響了外匯業(yè)務(wù)的正常開(kāi)展。本節(jié)僅結(jié)合外匯信息系統(tǒng)和數(shù)據(jù)實(shí)際情況，簡(jiǎn)要介紹外匯信息常見(jiàn)的風(fēng)險(xiǎn)。

（一）電子設(shè)備存在軟件和硬件故障風(fēng)險(xiǎn)

外匯信息系統(tǒng)在運(yùn)行過(guò)程往往會(huì)面臨硬件設(shè)備發(fā)生故障，軟件系統(tǒng)出現(xiàn)運(yùn)行錯(cuò)誤的風(fēng)險(xiǎn)，例如服務(wù)器電源設(shè)備老化、硬盤(pán)出現(xiàn)壞道無(wú)法讀寫(xiě)、軟件崩潰、通訊網(wǎng)絡(luò)故障等問(wèn)題。上述問(wèn)題是外匯信息系統(tǒng)實(shí)際運(yùn)維過(guò)程中最為常見(jiàn)風(fēng)險(xiǎn)源。

（二）人為操作風(fēng)險(xiǎn)

因人為操作外匯信息系統(tǒng)產(chǎn)生的未授權(quán)的數(shù)據(jù)訪問(wèn)和數(shù)據(jù)修改、信息錯(cuò)誤或虛假信息輸入、授權(quán)的終端用戶濫用、不完整處理等。產(chǎn)生該類(lèi)風(fēng)險(xiǎn)的原因是用戶安全意識(shí)淡薄，未授權(quán)訪問(wèn)數(shù)據(jù)造成外匯信息泄漏，數(shù)據(jù)手工處理導(dǎo)致的錯(cuò)誤或虛假信息，未授權(quán)用戶操作等行為都會(huì)造成信息系統(tǒng)安全性風(fēng)險(xiǎn)。實(shí)際外匯信息系統(tǒng)運(yùn)行中，人為事件造成損失的概率遠(yuǎn)遠(yuǎn)大于其他威脅造成損失的。

（三）系統(tǒng)風(fēng)險(xiǎn)

一般所用的計(jì)算機(jī)操作系統(tǒng)以及大量的應(yīng)用軟件在組織業(yè)務(wù)交流的過(guò)程中使用，來(lái)自這些系統(tǒng)和應(yīng)用軟件的問(wèn)題和缺陷會(huì)對(duì)一系列系統(tǒng)造成影響，特別是在多個(gè)應(yīng)用系統(tǒng)互聯(lián)時(shí)，影響會(huì)涉及整個(gè)組織的多個(gè)系統(tǒng)。例如，部分系統(tǒng)具有維護(hù)困難、結(jié)構(gòu)不完善、缺乏文檔和設(shè)計(jì)有漏洞等多個(gè)隱患，有時(shí)就會(huì)在系統(tǒng)升級(jí)和安裝補(bǔ)丁的時(shí)候引入較高的風(fēng)險(xiǎn)。

（四）物理環(huán)境風(fēng)險(xiǎn)

由于組織缺乏對(duì)組織場(chǎng)所的安全保衛(wèi)，或者缺乏防水、防火、防雷等防護(hù)措施，在面臨自然災(zāi)難時(shí)，可能會(huì)造成極大的損失。

二、外匯信息安全基本準(zhǔn)則和特性

外匯信息系統(tǒng)是一個(gè)以保障外匯業(yè)務(wù)系統(tǒng)正常運(yùn)行的專用的信息系統(tǒng)，近年來(lái)在不斷加大信息科技方面投入、加快信息化建設(shè)的過(guò)程中得到了有效整合和完善。為有效應(yīng)對(duì)外匯信息系統(tǒng)安全風(fēng)險(xiǎn)，科技部門(mén)應(yīng)同步提升科技管理制度的完整性和執(zhí)行力度、管理精細(xì)化程度。制定外匯信息系統(tǒng)安全的具體保障措施之前，首先需要我們認(rèn)清信息安全的基本準(zhǔn)則和一些特性：

（一）信息安全短板效應(yīng)

對(duì)信息系統(tǒng)安全所涉及的領(lǐng)域進(jìn)行安全保護(hù)即全面構(gòu)筑外匯管理信息安全保障工作，重點(diǎn)加強(qiáng)對(duì)安全洼地、薄弱環(huán)節(jié)的安全防護(hù)。

（二）信息安全系統(tǒng)化

信息系統(tǒng)安全其實(shí)是一項(xiàng)系統(tǒng)工程，要從管理、技術(shù)、工程等層面總體考量，全面保障外匯管理局信息系統(tǒng)安全。

（三）信息安全動(dòng)態(tài)化

信息安全保障措施所防范的對(duì)象是一個(gè)動(dòng)態(tài)變化的過(guò)程，所以信息系統(tǒng)也應(yīng)該隨著內(nèi)外部安全形勢(shì)的變化不斷改進(jìn)。

（四）信息安全常態(tài)化

信息安全從時(shí)間角度看是一個(gè)長(zhǎng)期存在的問(wèn)題，只有在信息安全技術(shù)方面嚴(yán)格把握重點(diǎn)，綜合信息安全體系的可持續(xù)構(gòu)建，才能保障外匯管理局信息系統(tǒng)安全。

（五）系統(tǒng)操作權(quán)責(zé)明確

信息系統(tǒng)安全的前提是要嚴(yán)格內(nèi)部授權(quán)，劃分各崗位職責(zé)，如加大內(nèi)控風(fēng)險(xiǎn)防范和控制。使各系統(tǒng)角色操作者權(quán)限形成相互制約的控制機(jī)制。

三、外匯信息安全保障應(yīng)對(duì)措施

外匯信息安全工作應(yīng)以信息系統(tǒng)所面臨的安全威脅依據(jù)，遵循基本準(zhǔn)則，以信息基礎(chǔ)設(shè)施建設(shè)和安全管理制度為我切入點(diǎn)制定相應(yīng)的防護(hù)措施。

（一）建立系統(tǒng)性的安全管理制度

安全管理制度要包括人員管理、資產(chǎn)管理、數(shù)據(jù)管理、網(wǎng)絡(luò)管理、運(yùn)維管理、應(yīng)急管理、事后審查等方面內(nèi)容

（二）建立良好的網(wǎng)絡(luò)信息安全防護(hù)體系

從物理環(huán)境安全、網(wǎng)絡(luò)邊界安全、設(shè)備安全、應(yīng)用系統(tǒng)安全以及數(shù)據(jù)安全等方面部署相關(guān)的安全防護(hù)設(shè)備和措施。

（三）定期進(jìn)行信息安全教育培訓(xùn)

因信息技術(shù)行業(yè)快速發(fā)展，信息安全形勢(shì)也在不斷變化，外匯管理局科技部門(mén)可定期對(duì)轄內(nèi)外匯信息系統(tǒng)維護(hù)和操作人員進(jìn)行信息系統(tǒng)安全培訓(xùn)，更新安全知識(shí)。為了有效防范未知威脅和隱患，外匯管理局科技部門(mén)可對(duì)轄內(nèi)定期開(kāi)展信息系統(tǒng)安全檢查，確保外匯信息系統(tǒng)安全有效運(yùn)行，保障外匯信息的可控、可用和完整性。

（四）開(kāi)展信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估，進(jìn)一步做好系統(tǒng)等保工作

首先對(duì)外匯信息系統(tǒng)安全進(jìn)行風(fēng)險(xiǎn)評(píng)估，根據(jù)評(píng)估識(shí)別威脅外匯信息系統(tǒng)安全的風(fēng)險(xiǎn)，作為制定、實(shí)施安全策略、措施的基礎(chǔ)，風(fēng)險(xiǎn)評(píng)估同時(shí)也是外匯信息系統(tǒng)安全等級(jí)保護(hù)的重要前提與依據(jù)。其次確定信息系統(tǒng)安全級(jí)別，根據(jù)級(jí)別的不同，實(shí)施對(duì)應(yīng)的保護(hù)措施，啟動(dòng)對(duì)應(yīng)級(jí)別的安全事件應(yīng)急響應(yīng)程序。

（五）運(yùn)用入侵檢測(cè)等技術(shù)，預(yù)防惡意攻擊

隨著技術(shù)發(fā)展，當(dāng)前惡意攻擊手段呈現(xiàn)越來(lái)越隱蔽的趨勢(shì)，需要科技部門(mén)采用具有預(yù)警功能的技術(shù)手段來(lái)應(yīng)對(duì)，如入侵檢測(cè)、數(shù)據(jù)挖掘等技術(shù)，通過(guò)分析歷史數(shù)據(jù)，發(fā)現(xiàn)當(dāng)前安全措施的缺陷，及時(shí)糾正和預(yù)防內(nèi)外部風(fēng)險(xiǎn)再次發(fā)生。

（六）完善監(jiān)督管理，實(shí)施信息安全自查與檢查相結(jié)合

查找現(xiàn)有信息化建設(shè)工作中的薄弱環(huán)節(jié)，井切實(shí)進(jìn)行整改，建立良性的信息安全管理機(jī)制。開(kāi)展信息安全檢查與自查是完善信息安全監(jiān)督管理工作的有效方式之一，其中信息安全檢查方案的設(shè)計(jì)是安全檢查的核心，科技部門(mén)需要根據(jù)外匯業(yè)務(wù)實(shí)際情況，將外匯管理局有關(guān)要求進(jìn)行梳理完善，對(duì)相應(yīng)風(fēng)險(xiǎn)點(diǎn)進(jìn)行總結(jié)和歸納，科學(xué)設(shè)計(jì)了信息安全檢查方案。

參考文獻(xiàn)

[1]林國(guó)恩.信息系統(tǒng)安全[M].北京：電子工業(yè)出版社.2010

[2]《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》GB/T 22239-2008

作者簡(jiǎn)介：李興勇（1982-），男，安徽六安人，就職于人行銀行合肥中心支行，中級(jí)工程師。