網(wǎng)絡大數(shù)據(jù)時代銀行信息安全存在問題及對策網(wǎng)絡大數(shù)據(jù)時代銀行信息平安存在問題及對策

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044〔2022〕18-0042-03

1引言

隨著計算機和網(wǎng)絡通信技術的快速開展，信息技術越來越多地被應用于銀行各項業(yè)務，銀行可以為客戶提供“3A〞〔Anytime，Anywhere，Anyway〕效勞，信息技術在給業(yè)務辦理帶來巨大方便、高效的同時，也帶來了極大的信息平安隱患。從一般概念上來講，網(wǎng)絡信息平安主要指網(wǎng)絡信息的完整性、保密性、可用性、真實性和不可抵賴性。但是銀行作為一個特殊的機構關乎國家經(jīng)濟命脈和人民生活，銀行信息平安自然非常重要，它是指銀行信息系統(tǒng)的軟硬件資源及其數(shù)據(jù)受到嚴格愛護，不受歹意的或偶然的原因而遭到更改、破壞、泄露，系統(tǒng)可持續(xù)穩(wěn)定可靠地運行，信息效勞不間斷。銀行信息平安是銀行業(yè)務發(fā)展的根底，是銀行經(jīng)營穩(wěn)健運行的保障。

2我國銀行信息平安的現(xiàn)狀

自1998年3月6日，中國銀行業(yè)務系統(tǒng)第一次成功辦理電子商務交易，從此開始了中國內(nèi)地網(wǎng)上銀行業(yè)務開展的序幕。近年來，我國銀行業(yè)的信息系統(tǒng)經(jīng)歷了地震、泥石流等各種各樣的考驗，充沛表明了我國大陸銀行業(yè)信息系統(tǒng)建設取得了一定成績，同時監(jiān)管層也公布了?金融機構計算機信息系統(tǒng)平安愛護工作暫行規(guī)定》、?關于進一步加強銀行業(yè)金融機構信息平安保障工作的指導意見》等政策法規(guī)。目前，各大銀行已經(jīng)意識到網(wǎng)絡信息平安的重要性，成立了信息平安專門管理機構，并在信息平安管理機構內(nèi)養(yǎng)一些專業(yè)人才，并增加了信息平安的投入。

雖然中國銀行業(yè)在信息平安建設方面取得了佳績，但是銀行信息平安危險依然存在，銀行信息平安保障依然不能無視。據(jù)了解，國內(nèi)網(wǎng)絡犯罪案件呈現(xiàn)逐年回升的態(tài)勢，其中銀行信息平安方面的犯罪率到達了60%以上。據(jù)互聯(lián)網(wǎng)新聞報道，2022年上海農(nóng)商銀行信息系統(tǒng)出現(xiàn)故障，區(qū)域內(nèi)大量營業(yè)網(wǎng)點無法正常辦理業(yè)務；2022年2月3日中國民生銀行網(wǎng)絡信息系統(tǒng)出現(xiàn)長達4小時的系統(tǒng)故障，全國范圍內(nèi)無法辦理業(yè)務；2022年2月支付寶員工在信息系統(tǒng)的后臺下載了大量客戶信息有償發(fā)售給其他電商公司。上述事件嚴重影響了人民的利益，對金融企業(yè)的形象和聲譽造成了極大的負面影響，充沛暴露出銀行業(yè)機構在網(wǎng)絡信息平安領域有較大隱患，不容小覷。

3銀行信息平安存在的問題

銀行信息平安系統(tǒng)的建設是一個龐大復雜的項目，大局部工作牽扯到銀行業(yè)務管理水平和信息平安技術，目前無論從系統(tǒng)管理的角度還是從平安技術水平的角度，銀行信息平安方面都存在著較多問題，下面從這兩個方面展開論述。

3.1從業(yè)務管理的角度看銀行信息平安存在的問題

⑴對信息平安的認識不到位，信息平安的意識觀念單薄

銀行業(yè)的信息平安問題，首先是意識和觀念的問題。不論是管理層還是底層員工，能認識到網(wǎng)絡信息平安的重要性，熟悉信息平安的根本內(nèi)容和具體工作要求是非常重要的。人們往往認為信息平安的核心平安性取決于核心技術，其實這種思想是錯誤的，信息平安首先取決于根本標準的實施和平安伎倆的應用。

⑵重視信息平安產(chǎn)品的投入而無視管理投入，應急預案不完備

網(wǎng)絡信息平安投入不完全是平安產(chǎn)品和工具的投入，還應包括操作流程、應急處理機制策略等方面的投入，還必須配套與平安產(chǎn)品有相適應的過程管理機制。建立合理的流程管理機制需要投入，這些投入與平安體系的完整性有著緊密的聯(lián)系，否那么報警無人處理、入侵無人響應，效果并不理想。應急預案的覆蓋范圍必須足夠廣，制定標準性、系統(tǒng)性應急預案并進行實踐檢驗，局部應急預案的制定與銀行實際工作情況沒有關聯(lián)，側(cè)重于應急預案的形式，而不注重應急演練實踐檢驗，極少有銀行機構做到模擬真實場景進行應急演練和評估風險。

⑶銀行短少信息平安管理的復合型人才

金融管理離不開管理方面的人才，金融企業(yè)信息平安管理需要復合型人才，這種復合型人才必須熟悉計算機和網(wǎng)絡技術，又要懂銀行業(yè)務流程和信息平安風險防備知識。目前，這種復合型人才還比擬少。各大銀行的信息平安專業(yè)技術人員大局部都是畢業(yè)于計算機或相關專業(yè)，他們對計算機專業(yè)知識相比照較了解，但是對銀行業(yè)務的工作流程和信息系統(tǒng)潛在威脅的把握還不夠。

3.2從專業(yè)技術角度看銀行信息平安存在的問題

⑴銀行使用的軟件平安性比擬弱

由于計算機應用軟件是銀行內(nèi)部信息的載體，所以軟件本身的質(zhì)量相當重要。目前銀行業(yè)務系統(tǒng)的軟件體系，包括工程管理系統(tǒng)和軟件開發(fā)生命周期都只注重軟件功能、開發(fā)速度和市場，很少考慮平安的需要?，F(xiàn)在發(fā)現(xiàn)管理和技術上存在的平安威脅，主要出現(xiàn)在應用軟件平安設計上。

⑵系統(tǒng)漏洞和信息泄密

所謂漏洞一般是指系統(tǒng)設計開發(fā)人員在軟件開發(fā)的時候，成心設置的。這樣做的目的是為了保證銀行從業(yè)人員在某些特殊情況下失去系統(tǒng)訪問權限時可以順利進入系統(tǒng)，正是因這些軟件漏洞的存在，給銀行業(yè)務系統(tǒng)帶來了信息平安威脅，這樣就會造成信息的泄露。其次，銀行的內(nèi)部職工最熟悉金融企業(yè)的計算機應用系統(tǒng)，他們知道那些操作能使計算機系統(tǒng)出現(xiàn)故障、損壞或泄密。某些時候金融企業(yè)裁員也可能導致計算機泄密，當裁員時某些系統(tǒng)賬號沒有及時刪除，也可能導致重要敏感信息的泄露。

⑶計算機黑客的歹意入侵

網(wǎng)絡黑客是一些具備較強計算機專業(yè)技術知識的愛好者，他們可以在他人無法發(fā)覺的情況下，利用計算機設備侵入一些重要行業(yè)的計算機系統(tǒng)，并從中獲的有價值信息或破壞信息系統(tǒng)。大多數(shù)的網(wǎng)絡黑客主要利用計算機軟件系統(tǒng)的漏洞來入侵信息系統(tǒng)，入侵辦法高明且多種多樣，并且入侵伎倆更新速度也很快，從而使現(xiàn)有的計算機系統(tǒng)平安產(chǎn)品很難及時做出相應的預防，進而導致計算機網(wǎng)絡經(jīng)常遭到網(wǎng)絡黑客的侵入。⑷計算機病毒和木馬

計算機病毒是目前信息平安主要威脅因素之一，而且現(xiàn)在的計算機病毒千奇百怪，多種多樣。計算機病毒是一些計算機愛好者刻意編寫的程序代碼，具有類似于生物病毒的破壞性、傳染性、隱蔽性等特點。為了保證銀行計算機網(wǎng)絡系統(tǒng)的平安運行，應重視防備病毒。另外還有就是木馬程序，木馬程序是一種由攻擊者悄悄安裝在受害人計算機上的竊聽及控制程序，通常包括控制端和被控制端兩個局部，被控制端程序通過網(wǎng)絡或其他介質(zhì)植入受害人計算機，控制端程序那么安裝在不法分子的計算機設備上，利用控制端遠程的和被控制端傳送數(shù)據(jù)，以竊取受害人計算機上的資源，盜取個人信息和各種重要敏感數(shù)據(jù)，給單位和個人造成相當大的損失。

⑸災備措施不完善和根底設施故障

銀行的災難備份和恢復能力必須進一步加強，中國銀行業(yè)的災備系統(tǒng)類型比擬單一，覆蓋面還較小，尤其不足系統(tǒng)的災難恢復計劃。正因為這些情況的存在，導致了各種各樣的自然災害發(fā)生后，無法立刻啟動應急預案并快速切換到備份系統(tǒng)，所以才會出現(xiàn)長達數(shù)小時的信息效勞中斷。計算機根底設施可以說是任何計算機系統(tǒng)平安運行的保障，當根底設施出現(xiàn)故障后，勢必會造成信息效勞的中斷，同時這種情況的發(fā)生是不可預知的。根底設施的出現(xiàn)故障的原因比擬復雜而且多樣化，具體包括效勞器電源故障、網(wǎng)線老化、通信中斷等。

4銀行信息平安風險的應對策略與倡議

從以上關于我國銀行信息平安問題的分析可以知，構建一套可行的銀行信息系統(tǒng)平安保障體系和辦法，加強防備信息平安風險勢在必行。因此，應做好下列方面的工作。

⑴認真做好相關專業(yè)人員的平安意識教育，而且常抓不懈

銀行內(nèi)部比須加強信息平安監(jiān)管和懲戒力度，明確法律責任，將信息平安的責任落實到每個相關人員，出現(xiàn)問題誰負責查究誰，將違規(guī)操作的可能性降到最低。對于銀行而言，任何的數(shù)據(jù)和客戶信息都非常重要，必須有嚴格的保密規(guī)定，但是常常在實際工作中出現(xiàn)這樣那樣的小問題，因此要強化內(nèi)部員工的平安意識教育和信息平安根底知識培訓，此項工作必須常抓不懈，然后將相關內(nèi)容整理成冊，定期的學習考核。必要時，有時機接觸重要信息的員工在進入崗位之前必須做出書面承諾，保密承諾要包括重要信息的范圍以及泄密需要承當?shù)南鄳熑?，使每一個能接觸重要信息的人員明確信息泄露的危害。同時通過培訓，提高所有參與管理的人員信息平安和風險防備意識，關鍵是要重點培養(yǎng)信息平安的業(yè)務骨干。

⑵建立與災備體系相適應的應急管理機制，兩者缺一不可

日常生活中突發(fā)事件是不可預知的，尤其是各種各樣的自然災害，其破壞力比擬大。如果銀行能事先把預防措施做到位，做到防患于未然，就可以最大限度地減少經(jīng)濟損失，保證人民財產(chǎn)不受損失，保障國家經(jīng)濟平安運行。首先是要建立完善的應急預案機制，有針對性的強化應急演練，對各種自然災害事件進行全面有效的風險評估，分類制定科學的應急計劃，發(fā)展接近于實際情況的模擬應急訓練，及時評估應急演練的效果，做到突發(fā)事件發(fā)生時無死角，有的放矢，同時通過應急演練檢驗應急預案的實用性、合理性、可行性。接下就是建立與應急機制相適應的災難備份恢復系統(tǒng)，提高業(yè)務可持續(xù)性。大型的銀行要積極建設“兩地三中心〞，中小型銀行可以考慮選擇災難備份外包效勞，使銀行具備抵御火災、地震、暴雨等自然災害的能力。全面促進業(yè)務系統(tǒng)的連續(xù)性，著實增強銀行防備風險能力。

⑶加大銀行信息平安復合型人才的培養(yǎng)力度，拓寬培養(yǎng)渠道

任何科技工作都必須以人才為重心。為了徹底去除銀行信息化建設中的障礙，切實保障金融企業(yè)信息平安，各大銀行要大力培養(yǎng)信息平安復合型人才。首先根據(jù)各單位信息平安的人員結(jié)構和知識結(jié)構，在強化信息平安專業(yè)知識教育的同時，還要兼顧計算機專業(yè)知識和金融業(yè)務知識的培訓，而且此項工作必須長期堅持，做好人才儲藏。在人才培養(yǎng)的同時還要與實踐相結(jié)合，在學習各類信息平安知識的前提條件下，組織參與培訓專業(yè)人員針對信息平安制度進行實踐檢驗。

⑷敏感重要數(shù)據(jù)務必加密，同時安裝殺毒軟件

首先，加密是確保信息平安的關鍵技術之一。越來越多的數(shù)據(jù)要求銀行的業(yè)務系統(tǒng)在選擇加密方式時要盡可能的有多種數(shù)據(jù)防護需求，在已有的加密方式下，多模加密技術是較好的選擇。多模加密技術是將非對稱加密算法〔如RSA〕和對稱加密算法〔如DES和AES〕相結(jié)合，在確保數(shù)據(jù)平安的同時，其多模的特性可以根據(jù)需求選擇對稱或非對稱加密方式。另外防備計算機病毒最有效的措施就在銀行的各類計算機系統(tǒng)中安裝正版的防病毒軟件，力爭做到病毒防備無死角無遺漏，并且確保殺毒軟件能實時更新病毒庫。對于新購買的軟件和類似于U盤的存儲介質(zhì)，在使用前銀行員工須使用殺毒軟件進行全面的病毒掃描，確認平安之前方可使用。

⑸進一步推進銀行信息化技術法規(guī)和規(guī)范化體系建設

結(jié)合銀行信息化開展的實際需要，以各種方式協(xié)作，分層次和有序的加快銀行信息化技術標準和規(guī)范的建設進度。組織完善數(shù)據(jù)中心建設、數(shù)據(jù)存儲、網(wǎng)絡互連、平安加密、數(shù)據(jù)交換、平安認證、客戶效勞方面規(guī)范的制定。對網(wǎng)上銀行、移動銀行、電子商務等創(chuàng)新產(chǎn)品和效