一、我國(guó)電子金融領(lǐng)域信息安全的現(xiàn)狀

全國(guó)相關(guān)的金融機(jī)構(gòu)陸續(xù)成立了專門的安全防范機(jī)構(gòu)，并重點(diǎn)加強(qiáng)對(duì)系統(tǒng)需求設(shè)計(jì)、投產(chǎn)、推廣和軟件開(kāi)發(fā)等重點(diǎn)程序的監(jiān)管和保護(hù)以及風(fēng)險(xiǎn)防范；在系統(tǒng)設(shè)計(jì)開(kāi)發(fā)、防火墻選用、認(rèn)證密碼等方面加大了投入。但是，當(dāng)前的金融電子行業(yè)仍然存在著一些隱患，具體是傳遞信息的安全隱患和業(yè)務(wù)系統(tǒng)維護(hù)的風(fēng)險(xiǎn)防范隱患。

二、信息安全防護(hù)措施

（一）行業(yè)自律

行業(yè)或是客戶自身的信息包括最敏感機(jī)密部分對(duì)金融機(jī)構(gòu)而言往往是公開(kāi)的，金融機(jī)構(gòu)可以輕松的獲取這部分信息，其中有部分信息具有相當(dāng)?shù)慕?jīng)濟(jì)價(jià)值。對(duì)信息保護(hù)，行業(yè)的自律有著相當(dāng)重要的意義，政府的監(jiān)管只是被動(dòng)的行為，防患于未然更多的在于金融結(jié)構(gòu)的自律行為。電子金融行業(yè)需制定一個(gè)有效的行業(yè)自律規(guī)范，從行業(yè)內(nèi)部規(guī)范從事人員的行為總則，爭(zhēng)取將非法信息來(lái)源斬?cái)唷?guó)外大多數(shù)國(guó)家在立法上對(duì)行業(yè)自律機(jī)制給予較高的肯定，我國(guó)其實(shí)也可以借鑒，進(jìn)一步發(fā)揮行業(yè)自律在信息安全上的作用。

（二）金融信息監(jiān)管

完善的信息安全法律法規(guī)是做好信息安全工作的基礎(chǔ)。我國(guó)在信息安全法律法規(guī)建設(shè)方面已經(jīng)做了很多工作，如今與信息安全有關(guān)的法律法規(guī)包括法律、行政法規(guī)、部門規(guī)章及規(guī)范性文件三個(gè)層面。但是，我國(guó)的信息安全法律法規(guī)仍然不夠完善，管理機(jī)構(gòu)存在多頭管理，要求從金融信息監(jiān)督開(kāi)始為信息安全做好第一步。同時(shí)，中國(guó)人民銀行對(duì)網(wǎng)上銀行業(yè)務(wù)的監(jiān)管尚處于起步階段，應(yīng)在《人民銀行法》等相關(guān)法規(guī)中將網(wǎng)上銀行明確納入中國(guó)人民銀行、銀監(jiān)會(huì)監(jiān)管的對(duì)象。其次，金融服務(wù)業(yè)消費(fèi)者安全保障的投訴與受理機(jī)制欠缺，監(jiān)管機(jī)構(gòu)中缺乏專門負(fù)責(zé)金融消費(fèi)者安全保障方面事務(wù)的部門，對(duì)于投訴問(wèn)題沒(méi)有從自律或者強(qiáng)制性法律機(jī)制角度進(jìn)行規(guī)范。建議在我國(guó)因成立一個(gè)獨(dú)立的電子金融監(jiān)管機(jī)構(gòu)，它獨(dú)立于各個(gè)行政體系，采用直接負(fù)責(zé)制，這是由于電子金融領(lǐng)域如出現(xiàn)信息安全事故，它所牽扯的相關(guān)行政部門較多，地域范圍較廣，現(xiàn)有職能部門無(wú)法對(duì)它進(jìn)行有效的監(jiān)管，該機(jī)構(gòu)應(yīng)對(duì)電子金融機(jī)構(gòu)信息可審查，可回溯并構(gòu)建一個(gè)評(píng)價(jià)體系，將其評(píng)價(jià)結(jié)果對(duì)外公示，對(duì)于那些信息安全保護(hù)不當(dāng)?shù)臋C(jī)構(gòu)應(yīng)給予懲罰，改變我國(guó)對(duì)信息泄露或是保護(hù)不當(dāng)?shù)慕鹑跈C(jī)構(gòu)只罰不懲的局面。

（三）信息安全體系

電子金融主要的運(yùn)行手段是基于計(jì)算機(jī)網(wǎng)絡(luò)或是通信網(wǎng)絡(luò)，必須要技術(shù)層面上保護(hù)其安全，傳統(tǒng)的金融交易手段是基于柜臺(tái)式、盤點(diǎn)式，早期電子金融只是較為粗獷的將原有的業(yè)務(wù)照搬于網(wǎng)絡(luò)環(huán)境中，又由于網(wǎng)絡(luò)是個(gè)開(kāi)放的平臺(tái)，所以造成了較多的信息安全事故，在近幾年的發(fā)展中有了迅猛的進(jìn)步，但還存在諸多問(wèn)題：用戶認(rèn)證手段單一、支付手段繁雜、內(nèi)網(wǎng)權(quán)限過(guò)大、設(shè)備更新過(guò)于頻繁、客戶端保護(hù)不夠、異常行為監(jiān)管不到位、標(biāo)準(zhǔn)不統(tǒng)一等問(wèn)題。現(xiàn)應(yīng)構(gòu)建一個(gè)統(tǒng)一標(biāo)準(zhǔn)網(wǎng)絡(luò)信息安全體系。將用戶權(quán)限分割，將用戶不常用或是對(duì)其信息保護(hù)有隱患的功能部分需轉(zhuǎn)為傳統(tǒng)的柜臺(tái)辦理，用戶可對(duì)其權(quán)限進(jìn)行縮減，提供用戶常用功能及其權(quán)限。用戶認(rèn)證需多層次的，一般的安全層次認(rèn)證簡(jiǎn)單快捷，高層次需提供較多有效憑證方可使用。網(wǎng)絡(luò)模型要做到有效的內(nèi)外分離，對(duì)外網(wǎng)要設(shè)置多層安全防范，不能以單一的防火墻形式存在，應(yīng)具有動(dòng)態(tài)更新、行為分析、危害恢復(fù)等功能。對(duì)內(nèi)網(wǎng)必須將權(quán)限分割，無(wú)單一權(quán)限，在很多核心內(nèi)容上應(yīng)采用多人協(xié)同開(kāi)啟權(quán)限功能，防止某一個(gè)體權(quán)限過(guò)大造成過(guò)多損失等。客戶端應(yīng)該附加對(duì)客戶端安全的監(jiān)察，如發(fā)現(xiàn)客戶端存在隱患則盡到提醒義務(wù)，保護(hù)客戶信息安全。

三、結(jié)束語(yǔ)

安全建設(shè)的研究一定要考慮到多方面，找到多種技術(shù)和管理方法，而不能只局限到某一種策略。單一的安全技術(shù)和產(chǎn)品已滿足不了行業(yè)用戶保障網(wǎng)絡(luò)安全的需求，防火墻、隔離卡、防病毒技術(shù)、信息加密技術(shù)、入侵檢測(cè)技術(shù)、安全評(píng)估技術(shù)、等級(jí)管理體系、安全認(rèn)證技術(shù)、漏洞掃描等相互配合，構(gòu)成網(wǎng)絡(luò)安全整體解決方案，并能在穩(wěn)定性及協(xié)同性整體配合上加強(qiáng)。信息的安全建設(shè)如今不僅僅只是技術(shù)的問(wèn)題，更需要管理與技術(shù)相融合而發(fā)揮作用的一項(xiàng)系統(tǒng)工程。當(dāng)然，不斷完善的規(guī)章制度、科學(xué)系統(tǒng)的管理以及高素質(zhì)、高執(zhí)行力的團(tuán)隊(duì)也是安全建設(shè)所必不可少的。

本文作者：冷繼兵、朱玉 單位：貴州師范大學(xué)