李泓杉，康埕銘，王 鈺，劉謀儒，陳國(guó)慶

(成都錦城學(xué)院，四川 成都 611731)

1 研究背景

隨著大數(shù)據(jù)等新興科技信息技術(shù)賦能金融產(chǎn)業(yè)發(fā)展，不斷加大深度融合力度，形成計(jì)算機(jī)產(chǎn)業(yè)與金融產(chǎn)業(yè)協(xié)同發(fā)展新局面。在構(gòu)建金融網(wǎng)絡(luò)系統(tǒng)過(guò)程中注重鼓勵(lì)金融科技發(fā)展，因此忽視了網(wǎng)絡(luò)監(jiān)管問(wèn)題，我國(guó)金融行業(yè)網(wǎng)絡(luò)安全問(wèn)題也顯得愈加突出。金融機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)具有覆蓋范圍廣、網(wǎng)絡(luò)情況復(fù)雜等特點(diǎn)，為維護(hù)網(wǎng)絡(luò)安全問(wèn)題帶來(lái)新的挑戰(zhàn)。

我國(guó)金融科技飛速發(fā)展，電子商務(wù)系統(tǒng)出現(xiàn)崩潰的現(xiàn)象，方如(2003)認(rèn)為應(yīng)當(dāng)使用工人的生物監(jiān)測(cè)技術(shù)作為核心技術(shù)，建立生物識(shí)別系統(tǒng)，對(duì)人們的個(gè)人信息進(jìn)行儲(chǔ)存，建立特征模板，作為電子貨幣的基礎(chǔ)[1]。金融行業(yè)涉及大量客戶(hù)的私人敏感信息，這類(lèi)信息是金融業(yè)安全防御系統(tǒng)保護(hù)的重點(diǎn)，曹虎、葛慶鳴(2021)從數(shù)據(jù)安全與個(gè)人隱私保護(hù)兩方面總結(jié)出了建立“首席數(shù)據(jù)官”制度與構(gòu)建標(biāo)準(zhǔn)數(shù)據(jù)體系[2]。從20世紀(jì)開(kāi)始，截取信息傳輸已經(jīng)成為數(shù)據(jù)竊取者重要手段之一，無(wú)論是有線(xiàn)傳輸還是無(wú)線(xiàn)傳輸，都可能被攻擊者截獲，甚至由于無(wú)線(xiàn)傳輸中所使用的無(wú)線(xiàn)網(wǎng)絡(luò)具有一定的開(kāi)放性，被當(dāng)今企業(yè)使用的無(wú)線(xiàn)傳輸相比有線(xiàn)傳輸更容易被截取。針對(duì)網(wǎng)絡(luò)信息傳輸方式，沈超(2019)通過(guò)對(duì)量子傳輸?shù)膬?yōu)勢(shì)進(jìn)行分析，得出了量子通信“穩(wěn)定、高速、遠(yuǎn)距”的傳輸特點(diǎn)可以代替?zhèn)鹘y(tǒng)信息傳輸方式[3]。金融業(yè)的交易對(duì)象十分廣泛，這樣的市場(chǎng)結(jié)構(gòu)導(dǎo)致了金融業(yè)具有各式各樣的交易平臺(tái)，這也使得平臺(tái)安全維護(hù)的難度增加。

綜上所述，國(guó)內(nèi)學(xué)者對(duì)金融業(yè)信息安全維護(hù)體系的研究十分豐富，并且通過(guò)完善網(wǎng)絡(luò)安全體系來(lái)提高企業(yè)信息防御水平的觀點(diǎn)較為贊同。

2 金融業(yè)信息安全現(xiàn)狀分析

2.1 金融業(yè)網(wǎng)絡(luò)安全監(jiān)管體制不健全

早在20世紀(jì)90年代，我國(guó)監(jiān)管部門(mén)就已經(jīng)頒布多部涉及信息安全的法規(guī)，時(shí)至今日，國(guó)內(nèi)已經(jīng)形成初步的法律法規(guī)用于監(jiān)管金融行業(yè)網(wǎng)絡(luò)安全。同時(shí)，企業(yè)在經(jīng)歷了客戶(hù)信息泄露的商業(yè)事件后也逐步形成了企業(yè)內(nèi)部的監(jiān)管體系。但對(duì)比嚴(yán)格健全、法律完備的信息管理體系，金融行業(yè)對(duì)于網(wǎng)絡(luò)監(jiān)管的體系相形見(jiàn)絀，行業(yè)中仍存在法律漏洞。我國(guó)互聯(lián)網(wǎng)金融公司往往對(duì)金融業(yè)的信息化建設(shè)做出大量的投資，花費(fèi)了大量財(cái)力資源與人力資源，并追求個(gè)性化、高效化的服務(wù)建設(shè)，但與此同時(shí)，網(wǎng)絡(luò)相關(guān)的安全體系往往被金融公司忽視。金融業(yè)公司需要在其網(wǎng)絡(luò)安全的監(jiān)管制度與實(shí)施上做出更多完善，防止因網(wǎng)絡(luò)安全帶來(lái)不必要的損失。

2.2 金融業(yè)維護(hù)信息保護(hù)體系難度增加

互聯(lián)網(wǎng)金融時(shí)代的到來(lái)，大量數(shù)據(jù)開(kāi)始涌入金融業(yè)，金融業(yè)面對(duì)更多的商業(yè)機(jī)會(huì)，同時(shí)也增加了金融業(yè)對(duì)信息保護(hù)體系的難度。當(dāng)下的金融行業(yè)交易頻率更加頻繁，這導(dǎo)致金融企業(yè)對(duì)信息保護(hù)的難度日益提升，金融企業(yè)內(nèi)部之間往往以多個(gè)部門(mén)協(xié)同工作來(lái)進(jìn)行，隨著工作壓力越來(lái)越大，各個(gè)部門(mén)之間的交流不夠及時(shí)，信息容易被工作人員惡意利用，企業(yè)難以及時(shí)應(yīng)對(duì)風(fēng)險(xiǎn)，企業(yè)信息安全得不到保障。金融業(yè)維護(hù)安全防御體系的成本與難度增加，因此，一方面，分析金融行業(yè)企業(yè)的運(yùn)營(yíng)特征；另一方面，針對(duì)金融企業(yè)維護(hù)體系進(jìn)行優(yōu)化，降低企業(yè)維護(hù)成本與難度，確保企業(yè)能夠具備獨(dú)立解決維護(hù)體系的問(wèn)題。

2.3 技術(shù)人員信息安全意識(shí)薄弱

金融企業(yè)在利用信息為自身增加更多的利益時(shí)，大多數(shù)相關(guān)技術(shù)人員往往不會(huì)在意相關(guān)的信息安全，因?yàn)樾畔踩⒉荒軐?duì)金融企業(yè)帶來(lái)直觀的、可視化的收益。企業(yè)如果想要與信息安全的相關(guān)工作達(dá)到實(shí)用性效果，但實(shí)際上信息所給予企業(yè)的風(fēng)險(xiǎn)也是十分巨大的，技術(shù)人員信息安全意識(shí)薄弱，那么金融企業(yè)針對(duì)信息安全制定的一系列措施也難以得到實(shí)施，會(huì)使企業(yè)面臨巨大的信息安全風(fēng)險(xiǎn)，不利于金融業(yè)的發(fā)展。

3 安全策略

3.1 完善金融業(yè)網(wǎng)絡(luò)安全體系

金融業(yè)處于時(shí)代發(fā)展前沿，行業(yè)信息安全系統(tǒng)要求較高，需要行業(yè)利用先進(jìn)的計(jì)算機(jī)技術(shù)來(lái)加強(qiáng)企業(yè)網(wǎng)絡(luò)信息安全保護(hù)系統(tǒng)，形成不斷更新、不斷升級(jí)的動(dòng)態(tài)安全防御系統(tǒng)閉環(huán)，以此跟上飛速發(fā)展的計(jì)算機(jī)技術(shù)，防范利用新興技術(shù)進(jìn)行非法攻擊的攻擊者。

金融行業(yè)的運(yùn)營(yíng)體系中，充斥著大量金融交易信息，同時(shí)涉及了客戶(hù)大量敏感信息，需要企業(yè)將信息管理部分獨(dú)立出來(lái)，建立相關(guān)的監(jiān)管部門(mén)，并利用傳統(tǒng)安保手段，防止攻擊者從源頭進(jìn)行網(wǎng)絡(luò)攻擊。在信息存放方面，需要公司建立訪(fǎng)問(wèn)權(quán)限系統(tǒng)，明確各級(jí)員工訪(fǎng)問(wèn)權(quán)限，防止員工竊取企業(yè)內(nèi)部信息。對(duì)公司機(jī)密文件進(jìn)行獨(dú)立保護(hù)，使企業(yè)信息儲(chǔ)存風(fēng)險(xiǎn)評(píng)估進(jìn)入常態(tài)化。同時(shí)，構(gòu)建信息識(shí)別與銷(xiāo)毀系統(tǒng)，定期對(duì)數(shù)據(jù)庫(kù)中的信息進(jìn)行分類(lèi)，清除企業(yè)數(shù)據(jù)庫(kù)中的無(wú)用信息以解決企業(yè)信息冗余的問(wèn)題，并杜絕無(wú)用信息泄露對(duì)公司造成損失。企業(yè)在建立加密傳輸體系時(shí)應(yīng)當(dāng)選擇符合傳輸安全標(biāo)準(zhǔn)的材料。數(shù)據(jù)訪(fǎng)問(wèn)方面，可以通過(guò)在公司內(nèi)網(wǎng)中建設(shè)員工認(rèn)證數(shù)據(jù)庫(kù)，構(gòu)建硬件安全測(cè)試團(tuán)隊(duì)，使安全檢測(cè)進(jìn)入公司常態(tài)化，完善系統(tǒng)漏洞，防止信息越權(quán)等事故。完善安全監(jiān)管系統(tǒng)，制定漏洞評(píng)估體系與應(yīng)急解決方案，能夠及時(shí)處理系統(tǒng)漏洞，通過(guò)評(píng)估系統(tǒng)分級(jí)設(shè)立不同的反應(yīng)方案，在企業(yè)安全監(jiān)管體系中插入警告系統(tǒng)，對(duì)企業(yè)日常信息數(shù)據(jù)庫(kù)進(jìn)行抽查分析，處理異常數(shù)據(jù)，監(jiān)管某一設(shè)備或某一賬號(hào)的高頻次訪(fǎng)問(wèn)，并通過(guò)評(píng)估系統(tǒng)對(duì)事件風(fēng)險(xiǎn)進(jìn)行評(píng)估，以郵件電話(huà)等方式通知各級(jí)安全事件應(yīng)急方案的安全負(fù)責(zé)人，以此降低監(jiān)管系統(tǒng)信息的無(wú)效傳輸與安全團(tuán)隊(duì)的無(wú)效工作量。

企業(yè)內(nèi)網(wǎng)具有數(shù)據(jù)集中、訪(fǎng)問(wèn)量多、持續(xù)時(shí)間長(zhǎng)的特點(diǎn)，加強(qiáng)企業(yè)內(nèi)網(wǎng)構(gòu)建，依照職能對(duì)員工信息訪(fǎng)問(wèn)權(quán)限進(jìn)行等級(jí)劃分，同時(shí)提高員工識(shí)別認(rèn)證系統(tǒng)，從傳統(tǒng)的身份磁卡改為對(duì)更加嚴(yán)密的訪(fǎng)問(wèn)者生理特征識(shí)別，減小冒充者進(jìn)入內(nèi)網(wǎng)的可能性，防止由于員工內(nèi)網(wǎng)賬號(hào)泄露導(dǎo)致的企業(yè)安全事故。金融業(yè)在安全保護(hù)投資有限，需要尋找外力形成多層保護(hù)，例如積極響應(yīng)國(guó)家機(jī)構(gòu)，對(duì)行業(yè)安全威脅實(shí)時(shí)上報(bào)，周期性對(duì)企業(yè)防御體系進(jìn)行評(píng)估，配合執(zhí)法部門(mén)對(duì)企業(yè)安全防護(hù)能力分級(jí)，與網(wǎng)絡(luò)監(jiān)管部門(mén)形成聯(lián)動(dòng)機(jī)制，時(shí)刻保護(hù)自身信息安全。

3.2 降低金融業(yè)信息維護(hù)門(mén)檻

大數(shù)據(jù)技術(shù)的大規(guī)模使用加快了行業(yè)信息傳輸速率的同時(shí)，也為金融業(yè)各企業(yè)信息防御體系帶來(lái)新的挑戰(zhàn)。信息安全的維護(hù)不能僅靠維護(hù)團(tuán)隊(duì)，企業(yè)需要有針對(duì)性地建立硬件系統(tǒng)與軟件修復(fù)等反饋系統(tǒng)，以細(xì)化各部門(mén)安全技術(shù)維護(hù)要求，提高整體安全防范規(guī)模，對(duì)于頻繁接觸敏感信息的部門(mén)提高其安全攻防能力，各技術(shù)部門(mén)為單元，建設(shè)統(tǒng)一的一體化安全維護(hù)平臺(tái)，使企業(yè)任何人員在遇到安全事件時(shí)能夠快速向企業(yè)安全監(jiān)管部門(mén)進(jìn)行反應(yīng)，協(xié)助監(jiān)管團(tuán)隊(duì)對(duì)安全事件高效、迅速地解決事件。在保護(hù)反饋平臺(tái)方面，在數(shù)據(jù)采集、信息儲(chǔ)存、平臺(tái)設(shè)計(jì)、數(shù)據(jù)測(cè)試等方面都需要有安全方面的考慮，提升反饋平臺(tái)程序健壯性。建立各部門(mén)安全反饋數(shù)據(jù)庫(kù)，由風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)接入數(shù)據(jù)，針對(duì)數(shù)據(jù)庫(kù)呈現(xiàn)的防護(hù)薄弱點(diǎn)進(jìn)行攻防測(cè)試，對(duì)部門(mén)安全防御體系進(jìn)行風(fēng)險(xiǎn)評(píng)估與安全等級(jí)評(píng)價(jià)。在數(shù)據(jù)庫(kù)到達(dá)一定體量后，通過(guò)數(shù)據(jù)分析，總結(jié)企業(yè)操作系統(tǒng)高頻漏洞，并在一體化平臺(tái)中總結(jié)解決方案，幫助普通員工在日常工作中維護(hù)企業(yè)安全防御體系。

3.3 規(guī)范安全管理制度，增強(qiáng)人員安全意識(shí)

安全防御體系的逐漸成形，需要企業(yè)規(guī)范信息安全管理制度，客戶(hù)交易信息的保護(hù)需要從法律層面明確。規(guī)范各安全部門(mén)工作制度，明確安全部門(mén)主體責(zé)任。在計(jì)算機(jī)技術(shù)不斷迭代的今天，金融行業(yè)作為網(wǎng)絡(luò)安全防護(hù)的第一線(xiàn)，其網(wǎng)絡(luò)安全部門(mén)應(yīng)當(dāng)不斷學(xué)習(xí)，緊盯網(wǎng)絡(luò)安全技術(shù)發(fā)展，進(jìn)而對(duì)企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)進(jìn)行評(píng)估，提高企業(yè)信息安全防務(wù)的先進(jìn)性。在增強(qiáng)部門(mén)實(shí)力的同時(shí)，需要增加企業(yè)其他部門(mén)各級(jí)員工的網(wǎng)絡(luò)安全意識(shí)，從基礎(chǔ)入門(mén)對(duì)大量金融人才進(jìn)行科普教育，提升公司安全意識(shí)素養(yǎng)。