浅析大数据时代金融信息安全

作者
作者

大数据时代下,数据量指数级的增长是非常惊人也相当复杂,对金融领域来说,保证金融信息数据安全非常重要。随着金融系统的不断增加和升级,越来越多的金融主体以各种方式进行互联互通,这也给信息安全监管带来了巨大挑战,金融信息会暴露在各种潜在威胁之中,如果金融信息安全得不到很好的保障,可能导致严重的后果。

信息技术的迅勐发展,大数据已经成为经济社会发展中一个重要基础,就目前发展情况来看,还依然存在着安全方面的问题。大数据既带来了机遇也带来了挑战,尤其是金融信息安全方面的问题需要重视起来。大数据就是在一定时间和范围内对数据进行采集、分析和整理,并且在处理过程中依托新模式使信息更加全面准确。大数据具有体量大、类型多、价值高、处理速度快、准确度高等特点,并且已经逐渐应用到各个领域。在处理使用过程中,除了传统的数据处理外,还可以对非结构化数据进行相应处理,找出不同数据之间的相关性,为制定合理决策提供数据支持,提高其合理性和科学性。大数据已经不单单是一类科技集成,更多的是思想价值观念的体现,它可以使得人们在处理数据过程中改变传统认知,通过运用大数据思维和处理手段得到不一样的解决方案。

一、大数据时代金融信息安全面临风险

随着各类信息技术在金融领域的广泛应用,传统金融运营模式发生着深刻变化。电子商务、网上银行、网上证券、手机支付、网络集中代收付等网络金融正在蓬勃发展。大数据伴随着数据增大和集中趋势,金融信息化加速的同时也增加了信息安全风险,加之一些敏感数据存在灰色地带以及部分技术依赖于国外技术,使得金融信息安全面临风险,这主要表现在技术和管理两个方面。

在技术方面:一是数据安全威胁。数据庞大、复杂程度更高、敏感性更强,在网络环境下大数据更易成为攻击目标,由于数据更加集中,数据一旦受到威胁,一次性被破坏的数据体量也会更大。目前,随着经济社会发展,金融信息化程度已经到了一个相当高的程度,这对金融业务系统运行可靠性和安全性提出了更高的要求。在一些技术领域方面,其体系并不完善,有些硬件设施设备和技术还依赖于国外技术,这些因素的叠加都使得大数据时代金融信息安全风险系数越来越高。二是数据终端威胁。我国已经成为全球最大的终端使用市场,而这些终端又是数据安全防护关键所在。终端设备在使用过程会存储大量信息,一旦遭到破坏会使数据信息泄露。在金融信息已经实现网络化的今天,金融信息系统会通过互联网与终端设备更好地实现互联,在采集、储存、传输和处理中发挥越来越重要的作用,信息量的增多也增加了被入侵和攻击的概率。三是数据虚拟威胁。数据虚拟技术是用户访问数据、管理和优化异构基础架构的技术,在实现数据虚拟后,有效避免越权访问或数据泄露就显得尤为重要。在金融电子业务不断拓展和网上业务使用增多的情况下,数据处理的复杂程度也越来越高,涉及的金融领域犯罪活动也呈现增多趋势的情况下,来自网络的虚拟数据入侵和攻击也在增加。

在管理方面:一是相关法律制度有待完善。近年来,我国金融领域信息化程度发展突飞勐进,无论是哪个层面都享受到了金融信息化所带来的高效和便利,但是在大数据背景下,相关法律制度存在一定滞后,这些问题使得金融信息安全监管存在漏洞。二是安全意识有待加强。大数据时代的金融信息安全不单是相关部门或金融机构的事情,特别是对于金融领域终端客户,都需要加强自身防范工作。从目前情况看,在金融信息安全不断受到威胁的情况下,一些终端客户特别是个人客户,金融信息安全意识薄弱,表现在其认为金融信息安全防范与个人无关。三是应急处置能力有待加强。在大数据时代,金融信息安全涉及多方内容,如果信息安全受到威胁,其应急处置能力弱会造成严重的破坏或损失。如何应对可能发生的各类突发事件,以最快速、最有效的手段解决问题进行应急处置是保证大数据时代金融信息安全的关键。由于我国信息化起步晚,在技术、人员还存在许多短板,这些问题都亟待解决。

二、大数据时代金融信息安全体系建立

大数据时代的数据量庞大复杂,保障这些数据信息安全尤为重要,鉴于大数据时代金融信息安全面临的风险挑战,金融信息安全风险系数更高,因此需要从技术和管理两个方面,建立全方位、多层次的安全体系,进而保证金融信息安全。

一是建立核心信息安全防护系统。信息核心是金融领域所有业务运行的基础,这里包括了金融领域信息服务和网络管理等,这个方面对业务运行有着较高的要求,其管理复杂、数据封闭性强等特点,其是否安全会对整个金融信息稳定运行会产生重要影响。数据结构化对保障数据安全发挥着重要作用,能够高效地识别出非法数据,所以需要鉴别出影响信息安全因素,在侵入和攻击发生前,监测这些危险并做好预防,进而保障全系统安全。

二是建立信息交流安全防护系统。金融信息交流是实现金融活动的关键,特别是信息交流区承载着系统与外部互通的关键功能,由于信息交流通过互联网与外界连接,在交流过程中会涉及到金融敏感业务信息,因此对系统的安全性和业务的连续性也会有更高的要求,计算机病毒、黑客攻击具有隐蔽性强、危害性大等特点,一旦系统被攻击或破坏,后果不堪设想,所以建立信息交流安全防护系统很有必要。

三是建立信息内部安全防护系统。目前,多数金融系统内部网络更加注重通用性设计,在安全性方面会稍有欠缺,所以需要加强这方面的设计,在设计过程中把安全性作为重要指标,加强对内部系统和节点安全性控制,有效解决当前内部系统防御设计孤立化、在防范各类攻击和入侵过程中比较被动、较难形成较强的对抗,进而形成有效防护。具体措施可以在设计阶段就需要充分考虑内部安全防护问题,对系统及节点控制从一开始就要采用集中化处理手段,将控制执行到位,这样才能对整个系统起到应有的保护作用。同时,应注重内部办公系统的安全防护问题,因为在金融领域内部使用办公系统,病毒有可能存在于共享文件中,在系统内部实现互传,进而会加速对系统破坏的可能性。可以通过设置防火墙等方式,对来自不同网络信息进行安全筛选和风险控制,并根据安全性要求有针对性地控制信息内部安全。

四是建立管理区域安全防护系统。确保金融信息安全既要考虑技术手段因素,也要考虑从管理手段人手,管理是通过人来实现的。这就需要有专门的人员负责整个网络的管理,定期检查各种网络设备、安全设备、监测设备等,并查看其是否有状态异常的情况,及时采取防范措施定期对技术和设备进行升级。作为从事该项目人员必须要有较强的安全意识,完善相关制度机制,提供针对性的管理和技术支持。

三、大数据时代金融信息安全应对措施

结合金融领域所面临的信息安全风险,建立与之相对应的安全体系,其目标是通过各类制度、技术和措施构建一个全方位的金融信息安全体系,为金融信息业务高速建设和发展提供坚实保障。

一是完善相关法规制度建设。在大数据时代金融信息安全,法规和制度建设是必不可少的一个环节,也是至关重要的一环。目前,我国相关法规和各类规章制度中,与信息安全有关的较多。它们涉及方方面面,如信息系统安全、信息内容安全、计算机病毒与危害性程序防治、信息安全犯罪等各个方面,这其中也涵盖了金融等特定领域的相关法规制度,使其有了初步法规制度的保障。但是,其相关条款更新速度往往还跟不上信息安全领域出现的新情况,存在一定滞后性,特别针对金融信息安全特定领域,还需更具可操作的具体规范。因此,需要继续完善并细化金融信息安全方面法规和制度,制定金融信息安全具体操作细则。另外,金融领域各个主体都应该高度重视自身信息安全管理制度建设,在完善法规制度的同时,对其落实情况进行有效监督,确保制度能够得到贯彻。

二是提高金融信息安全意识。各金融主体要加强自身安全防范和内控管理,做好本系统人员信息安全培训工作,明确部门、岗位和人员管理责任,从思想意识上提升金融信息安全重视程度;同时加强对金融信息安全宣传力度,对相关领域、群体加强必要的信息安全防范技能宣传,提高他们的意识。从金融个体来说,也要加强金融信息安全风险防范意识,不能简单地认为金融信息安全与个人无关。

三是加强金融信息安全顶层设计。金融信息安全也是一项系统工程,其各类金融信息安全运行稳定离不开各类体系的建立和维护,所以需要站在更高层次做好顶层设计,在安全保障方面提供最尖端、最严密的技术支持,加快技术、体系、人才等方面建设,不断建立和完善各类体系和系统,始终关注金融业务整体发展态势,实现金融信息安全有效预测和防范。

四是加快大数据技术研发运用。随着大数据普及,其技术对数据信息的采集、分析、处理和存储过程中会如现的隐患,需要加大对大数据信息安全保障技术的研究,如对大数据隐私安全保护技术的研究、如何使用数据发布匿名保护技术、信息数据来源追溯技术。再比如,运用好大数据技术,有效区分正常和恶意活动,才能保证金融信息受到攻击后能快速应对各类突发情况。通过分析特点和规律,可以建立一套有效模型,对大数据信息进行整合,实现各数据库之间信息安全共享,有效应对金融信息安全攻击。

五是健全金融信息安全体系。大数据时代金融信息安全是一项复杂工作,需要各级多部门多领域协调配合,只有齐头并进才能做好金融信息安全保护工作。要加快金融信息安全体系建设,最大程度地提升金融信息安全水平。推动信息安全产业链合作联合防控风险,在建设完善防控基础上,可以通过联合防控、安全联盟、红黑名单、风险信息共享、大数据安全分析挖掘、行业安全预警等方面对信息安全风险进行联合防范化解。同时,通过人员交流培训、经验分享等不断发现问题、分析问题和解决问题,提高信息安全防范应对能力和沟通协作能力。

六是加大应急灾备建设力度。应急灾备是整个金融信息系统安全保障的最后一道防线,即便是在金融信息安全各方面的风险已经可以有效控制的情况下,仍然避免不了各类突发情况的发生,特别是在紧急情况如大规模灾难事件发生时如何保证金融数据信息安全,进而保证金融业务的正常运行,就需要加大应急灾备建设力度。从目前的调研情况看,我国大型金融机构基本实现了业务和数据集中处理,初步建立了异地灾备系统和灾难恢复应急保障机制。尽管在这方面做了大量工作,但由于建设和完善的时间还不长,全国层面的大数据处理中心管理、灾难备份机制和应急处置等方面还缺少足够的经验。近些年,个别金融机构由于信息系统故障而导致大面积、大范围、长时间业务中断,产生较大的社会影响。这需要制定相对完善、低风险的灾难应急演练方案并定期进行实战演练,实地检验金融信息系统抗灾能力和需要改进的问题、环节。

七是注重保障基础设施建设。在国家层面,需要不断完善大数据金融信息安全保障基础设施,基于金融信息安全能力可以采用产业化思路建设大数据金融信息安全保障基础设施。如金融系统仿真信息安全分析、信息安全态势联防联控感知与监测预警、金融系统信息安全服务平台、信息安全大数据分析、深度运维系统工程、国产化设备与系统替代、信息安全服务替代、计算机防护加固等,建立面对新业务、新技术、新威胁、新挑战的基础设施。

八是积极探索有效监管措施。可以借鉴国外先进金融信息安全管理经验,为积极探索有效监管措施提供参考。同时,各级金融领域主体要加快转变监管模式,明确责任界限和标准,建立健全跨部门联合监管机制,在做好日常监管的同时做好对出现问题进行不定期抽查,切实提高金融信息安全监督管理能力。需要强调的是,各部门要打通数据壁垒,发挥好信息披露在金融管理中的重要作用。金融领域主管部门要及时关注研判风险,结合具体实际给出具体解决措施,使监管措施得当有效。

九是管控金融信息技术风险。为有效避免在金融信息风险发生时陷入被动局面,各金融主体需要管控金融信息技术风险,从根本上保证投资者资产及其信息安全。为此,需要建立日常维护制度,做好重要数据保护运行,管理好金融数据,做好硬件软件日常维护;可以建立防火墙制度,如定时清理病毒、严格控制使用权限、防范网络技术出现问题等;建立应急维护方案,如在系统遭受黑客、病毒攻击,或因其他因素造成系统中断甚至是崩溃,能有一套完善的紧急处理方案对抗风险。


作者 李明珂