金融業信息系统安全现状.docxVIP

金融业信息系统安全现状现状：中国金融业信息化建设本身已完成金融电子化阶段、金融数据集中化阶段、金融信息系统业务综合化阶段三个阶段的发展规划工作。与此同时，金融业对信息技术的依赖程度越来越大，金融业信息安全保障难度持续加大，给我国金融业信息安全带来新的更大的挑战。如何应对，要求我们必须高度重视。安全威胁金融业信息安全工作正面临比以往更严峻的形势，围绕信息网络空间的斗争日趋尖锐，境内外网络违法犯罪活动呈快速递增趋势，恶意代码和网络攻击呈多样化局面，金融业信息系统安全运行的难度加大，挑战增多。一是人民银行的业务指导、监督管理滞后于金融业信息化发展。与金融业信息化的高速发展相比，金融业信息安全的指导、监管工作还需要进一步加强。国内曾有专家明确提出，在金融信息化、网络化时代，“信息资产风险监管是现代金融监管体系的核心理念。”信息资产风险指在信息化中，信息资产的规划、设计、开发、生成、存在、运用、服务、管理、维护、监管以及其他相关过程中产生的信用、市场、操作与业务风险。人民银行在金融信息规划、信息标准、信息安全等诸多方面承担着重要职责，在2008奥运年中发挥了重要、积极的作用。但总体来看，人民银行及其分支行对金融机构信息安全工作的指导和监管，还处于初级阶段，由于人民银行分支机构对各金融机构信息安全缺乏指导、缺乏统一的监管目标、缺乏完整的认识，以及缺乏监督管理的依据和标准，从而导致监管措施不到位，监管手段缺失，致使基层行监管缺乏主动性。二是核心设备和技术依赖于国外，底层技术难以掌握，存在安全隐患。目前，我国金融业信息系统和网络中，大量使用国外厂商生产的设备，这些设备使用的操作系统、数据库、芯片也大多数是由国外厂商生产。外方不可能提供设备的核心技术和专利，我方很难判断设备是否存在“后门”、“软件陷阱”、“系统漏洞”、“软件炸弹”等安全漏洞。据调查，一些重要网络系统中使用的信息技术产品，都不可避免地存在一定的安全漏洞。这些漏洞可能是开发过程中有意预留，也可能是无意疏忽造成的。特殊情况下，特定安全漏洞可能被利用实施人侵，修改或破坏设备程序，或从设备中窃取机密数据和信息。前一阶段国外炒作的IC卡安全问题以及近年来出现的微软“黑屏事件”，已经为我们敲响了警钟。三是境内外网络违法犯罪活动呈快速递增趋势，新技术的应用使我们面临更大的挑战。金融业信息网络和重要信息系统正成为敌对势力、不法分子进行攻击、破坏和恐怖活动的重点目标。金融业信息系统已经遭受到多次攻击，整体信息安全形势严峻。2009年国防科技大学的一项研究表明，我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵人，其中银行、金融和证券机构是攻击重点。2005年6月18日，被称为有史以来最严重的信息安全案件在美国爆发，万事达、VISA和美国运通公司的主要服务商的数据处理中心网络被黑客程序侵人，导致4000万个账户信息被黑客截获，使客户资金处于十分危险的状态。由此可见，基于开放性网络的金融服务对我国金融信息安全工作提出严峻的挑战。四是数据大集中的同时，也使技术风险相对集中。伴随着数据大集中的实现，风险也相对集中.一旦数据中心发生灾难，将导致金融业的所有分支机构、营业网点和全部的业务处理停顿，或造成客户重要数据的丢失，其后果不堪设想。近年来，国内外金融机构因为信息技术系统故障导致大面积、较长时问业务中断的事件时有发生。2006年，日本花旗银行出现交易系统故障，5天内约27．5万笔公用事业缴费遭重复扣划或交易后未作月结记录，造成该行的重大声誉损失。信息系统潜在的风险已引起金融业的高度重视，如何保障后数据大集中时代金融业信息系统安全稳定运行，是需要整个金融业深入研究的课题。银行业目前存在的安全隐患信息传递的安全隐患：网络硬件的安全缺陷：如可靠性差、电磁辐射、电磁泄漏等。通信链路的安全缺陷：如电磁辐射、电磁泄露、搭线、串音等。技术被动引起的网络安全缺陷：计算机的核心芯片多依赖于进口。不少关键网络设备也依赖于进口。缺乏系统的安全标准引起的安全缺陷：中国虽然已经有了一些网络安全标准，但还是很不完善。业务系统的安全隐患：据ICSA统计，来自计算机系统内部的安全威胁高达60%。非法用户进入系统及合法用户对系统资源的非法使用。被非法用户截获敏感数据。非法用户对业务数据进行恶意的修改或插入。数据发送方在发出数据后加以否认或接收方在收到数据后篡改数据。在不可信的计算机基础上建立可信点。安全体系中国人民银行发布《金融行业信息系统信息安全等级保护实施指引》等三项行业标准为落实国家对金融行业信息系统信息安全等级保护相关工作要求，加强金融行业信息安全管理和技术风险防范，保障金融行业信息系统信息安全等级保护建设、测评、整改工作顺利开展，中国人民银行组织编制了金融行业信息系统信息安全等级保护系列标准（以下简称“金融行业等