2012-08-14 08:51 來源:郭立
電腦網絡信息的高速發展,為各行各業工作效率的提高提供了巨大的方便,在某種程度上甚至可以說,不少行業和部門離開網絡信息系統就無法開展工作。但網絡侵權問題也隨之而來,而受害最深的單位莫過于金融會計等行業,其一旦受到侵權,往往就會造成巨大的經濟損失。如何建立起金融會計信息網絡系統安全體系,已成為一個急需解決的重大問題。多年以來,人們往往依靠加密技術、數據備份、防病毒到近期網絡環境下的防火墻、入侵檢測、漏洞掃描、身份認證等等來保障信息系統的安全。但實踐證明,只有這些還是不夠的,還有不少多變的復雜的安全威脅和安全隱患讓你防不勝防。
據統計,我國公安機關自2000年至2009年,共破獲利用網絡犯罪案件16700余起,緝捕犯罪嫌疑人19300余人,涉案總價值近95億元。有統計報告稱,將受侵權案件進行歸類,發現屬于管理方面的原因比重高達60%以上,而這些安全問題中的95%是可以通過科學的信息安全管理來避免的。因此,加強安全管理已成為提高信息系統安全保障能力的可靠保證。在提高安全管理技術手段的同時,還要從制度和管理機制上提高安全管理水平。俗話說“三分技術,七分管理”,由于金融信息系統相對比較封閉,對于金融信息系統安全來說,業務邏輯和操作規范的嚴密程度是關鍵。加強金融信息系統的內部安全管理措施,層層建立起組織管理系統,制定和完善內控的各項規章制度,不斷改進和加強程序的操作與管理技術,是做好金融會計信息系統安全管理的根本。
一、金融會計網絡信息系統面臨的挑戰
目前,網絡信息和技術的廣泛使用,給金融會計網絡信息系統帶來了多方面的風險和隱患,金融會計網絡信息系統正面臨十分嚴峻的形勢和挑戰。
(一)金融行業的管理落后于金融網絡系統發展的需求
目前,我國金融業的網絡信息安全管理工作還存有不少漏洞,從領導決策、內部安全制度管理到網絡技術的安全管理,都還需要直一步加強。曾有金融界專家根據我國金融網絡信息安全管理不佳的現狀指出:“信息資產風險監管是金融監管體系的核心理念。”這里說的信息風險資產是指在網絡信息化進程中,信息資產的設計、規劃、服務、運用、監管以及操作等過程中產生的業務風險。從目前我國整體形勢來看,金融會計系統的安全管理制度都已比較完善,但從上級機構對下級機構的監管和指導上還處于一個較低級的階段。因為往往缺乏完整的認識,缺乏統一的監管目標,缺乏上下級之間監管的運作機制,從而造成上下級監管不到位,就不同程度地消弱了網絡信息安全管理的實際效果。
(二)核心設備和技術依賴國外,造成安全隱患
目前,我國的網絡信息系統所使用的操作系統、芯片、數據庫等大多數還是由外國生產和提供,其中有些人為設置的軟件陷井和系統漏洞,往往就會使我們防不勝防。有人在調查中發現,外國人生產設計的操作系統和數據庫及一些重要網絡系統中使用的信息技術產品等,都不可避免地存在著一些安全上的漏洞。這些漏洞其中有的是疏忽造成的,但也有的是有意設置的。在網絡運行中,這些安全上的漏洞就有可能被人利用實施入侵,被人破壞設備程序或從中竊取機密信息和數據,實施經濟犯罪。
(三)境內外網絡違法犯罪活動呈快速發展趨勢,金融會計網絡信息系統安全將面臨嚴峻的網絡技術挑戰
金融會計網絡信息系統和其它重要信息系統正成為國內外不法分子進行攻擊和破壞的重點目標,他們都是利用自己高尖端的網絡信息系統技術進行犯罪活動,只要我們一時的疏忽和松懈,就會讓壞人有機可乘,給國家和集體的財產造成很大的損失。目前,從全國的形勢來看,不法份子正在利用其所擁有的高科技,在整個金融界無孔不入地從事破壞活動,已有不少金融會計信息系統受到他們的攻擊,并給我們的金融業造成了巨大的危害,所以說,我國目前金融會計網絡信息安全的形勢十分嚴峻。2009年國防科技大學的一項研究表明,我國與互聯網相連的網絡管理中心95%都遭到過境內外黑客的攻擊和侵入,其中以銀行、金融和證券機構為其攻擊的重點。
二、應對措施
(一)加強金融網絡信息系統安全管理的行業監管和制度建設
目前,隨著我國社會經濟的快速發展,網絡信息安全工作也已受到國家有關部門的高度重視。尤其是近幾年以來,黨和政府開始把金融信息系統安全工作提到了促進經濟發展、維護社會穩定、保障國家安全、加強精神文明建設的高度,并提出了“積極防御、綜合防范”的信息安全管理方針,同時,各級政府還專門成立了網絡與信息安全領導小組、國家計算機網絡應急技術處理協調中心(簡稱CNCERT/CC)、中國信息安全產品測評認證中心(簡稱CNITSEC)等,初步建成了國家信息安全組織保障體系,為金融會計系統網絡信息的安全管理打下了一個良好的基礎。具體到一個行業和部門就更應自己對加強信息系統安全管理重大意義的認識,在國家高度重視并建立防護機構的基礎上,建立起自己的信息安全管理組織,聯系本行業、本部門的工作實際,科學認真地制定出確保金融信息系統的安全管理措施。管理措施主要應包括領導責任、安全管理人員的職責劃定以及工作人員技術管理、操作程序上的具體要求和防護策略。同時應要求將各種安全策略規范化和實用化,加強其可操作性,以保證安全管理人員在工作中具有明確的依據或參照,并便其形成一種人人都嚴格實施的工作制度。
為了進一步從根本上強化金融網絡信息系統的安全管理,還應建立起跨部門的金融行業安全協調機制以及關鍵時期的安保工作機制,加強信息安全的檢測和準入制度,層層建立起信息資產風險評估體系,切實提高信息系統安全管理水平,保證金融業的長期穩定和發展。上層金融機構要切實加強對下屬中、小金融機構的監管,并加強具體指導和提供各項服務。加強對下屬金融機構的業務、技術培訓,提高其安全防范意識和防范技能,幫助中小金融機構規避各種風險,實現持續發展。各金融系統還應自上而下地成立行業網絡信息安全領導小組,并隨之建立起一系列的信息安全的報告制度、通報制度和聯席會議制度,真正建立健全運轉靈活的、反應靈敏的信息安全應急協調機制,及時消除隱患,快速有效地應對各類突發事件,從根本上降低和消除各類重大事故的發生,保障金融業健康有序的發展。
(二)強化網絡信息的安全機制建設
在網絡信息機構、制度建設的基礎上,必須加強行業、部門內部的安全機制建設。這就是說,機構和制度的建立固然重要,但更為重要的是機構和制度的運作是否能夠形成一個科學有效的內部管理機制,沒有形成一個科學有效的管理機制,機構和制度都將形同虛設。安全機制建設的內容應包括:一是層層建立崗位安全責任制,在防患于未然的前提下,一旦發生問題,責任十分明確,誰也無法推諉,以此增強每一個領導者和每一個工作人員的責任意識;二是可進行安全區域劃分,重點加強重要地區和部位的防御力量。從人力到有針對性的安全設備部署和設置,都要向重要部位實施強化,以改進和加強對重要區域的分割防護;三是增加入侵檢測系統、漏洞掃描、違規外聯等安全管理工具,進行定時監控、事件管理和鑒定分析,發現問題及時向主管領導報告或立即報警,力爭將隱患和問題消滅在萌芽狀態,以此來保證和提高自身的動態防御能力;四是完善已有的防病毒系統、增加內部信息系統的審計平臺,以便形成對內部安全狀況的長期跟蹤和防護能力。五是要強化“突發”與“應急”意識。由于災害事件的不確定性,應急管理與保障工作必須建立在高強度的實戰性基礎上,使災難應急管理真正適應“應急”的要求。六是要擴大應急預案本身的覆蓋范圍。應通過建立健全信息安全制度、定期組織信息安全非現場和現場檢查等方式,促進金融部門做好系統加固工作,充分利用各種安全產品強化網絡安全防范,加強移動存儲介質管理,做好安全日志分析、預警和監測工作,防止植入木馬導致信息泄漏和來自內部的安全威脅。
(三)組建網絡信息安全專業組織
因金融會計網絡系統安全問題事關重大,在已解決上述有關問題的前提下,組建起一支精干而專業的網絡信息安全的專業組織是大有必要的。專業安全保障人員應專門負責信息網絡方面安全保障、安全監管、安全應急和安全威懾等方面的工作。在此基礎上,要根據可能發生的安全問題,制定出關鍵設施或部位的應急預案,讓每一個人都牢記在心,防患于未然;同時還要對專業安全人員進行有目的的業務和技能培訓,讓其真正具備應急預案中所規定的專業安全保衛人員的思想素質和各項防范技能,隨時準備應對可能發生的突出事件。如上所述,多管齊下,多渠道實施綜合防范,真正建立起網絡信息系統的安全保障體系,實現對金融機構信息安全風險的及時、動態、全面、連續的監管,同時促進各家金融機構完善內控機制,保障運行安全。現代金融業高度依賴信息技術,所以我們就必須充分認識到金融業信息安全對整體業務和金融體系,乃至體系的影響,牢固樹立風險防范意識,把不斷提高信息科技能力作為風險管理的重要手段。
(四)積極應對挑戰,建成安全防范體系
隨著計算機網絡信息運用的日益普及,網絡系統侵權問題越來越引起人們的高度重視,并已經開始為此問題開展有益的廣泛的探討。在法制日益加強和完善的今天,國家應繼續加強對這一事關國計民生的重大問題的立法,比如,在適當的時機,由全國人大出臺“反網絡侵權法”,籌劃出臺“信息網絡傳播保護條例”,以形成全國反網絡侵權的合力。盡管現在用于網絡安全的產品有很多,比如有防火墻、殺毒軟件、入侵檢測系統,但是仍然有很多黑客的非法入侵。根本原因是網絡自身的安全隱患無法根除,這就使得黑客進行入侵有機可乘。雖然如此,安全防護仍然必須是慎之又慎,提高防范意識,優化操作技術,加強技術管理,盡最大可能降低黑客入侵的可能,從而保護我們的網絡信息安全。金融會計網絡系統安全問題是一個系統工程,實踐證明單方面的努力住住效果不太顯著,它需要領導階層、具體管理階層、網絡技術操作階層所有人的協調和配合才能收到理想的效果。要自始至終強化安全防范意識,采取全面、可行的安全防護措施,把安全風險降低到最小程度。金融業信息安全事關經濟金融的穩定大局,責任重大,金融業要未雨綢繆,認真貫徹落實國家信息安全的工作要求,加快建立完備的安全防護體系,
