電腦網(wǎng)絡(luò)信息的高速發(fā)展��,為各行各業(yè)工作效率的提高提供了巨大的方便����,在某種程度上甚至可以說����,不少行業(yè)和部門離開網(wǎng)絡(luò)信息系統(tǒng)就無法開展工作。但網(wǎng)絡(luò)侵權(quán)問題也隨之而來���,而受害最深的單位莫過于金融會計等行業(yè)�����,其一旦受到侵權(quán)�����,往往就會造成巨大的經(jīng)濟損失��。如何建立起金融會計信息網(wǎng)絡(luò)系統(tǒng)安全體系��,已成為一個急需解決的重大問題��。多年以來�,人們往往依靠加密技術(shù)、數(shù)據(jù)備份����、防病毒到近期網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測���、漏洞掃描�、身份認證等等來保障信息系統(tǒng)的安全���。但實踐證明�,只有這些還是不夠的����,還有不少多變的復(fù)雜的安全威脅和安全隱患讓你防不勝防�����。
據(jù)統(tǒng)計,我國公安機關(guān)自2000年至2009年�,共破獲利用網(wǎng)絡(luò)犯罪案件16700余起,緝捕犯罪嫌疑人19300余人���,涉案總價值近95億元��。有統(tǒng)計報告稱��,將受侵權(quán)案件進行歸類���,發(fā)現(xiàn)屬于管理方面的原因比重高達60%以上,而這些安全問題中的95%是可以通過科學(xué)的信息安全管理來避免的�。因此,加強安全管理已成為提高信息系統(tǒng)安全保障能力的可靠保證�。在提高安全管理技術(shù)手段的同時,還要從制度和管理機制上提高安全管理水平�。俗話說“三分技術(shù),七分管理”��,由于金融信息系統(tǒng)相對比較封閉,對于金融信息系統(tǒng)安全來說��,業(yè)務(wù)邏輯和操作規(guī)范的嚴密程度是關(guān)鍵���。加強金融信息系統(tǒng)的內(nèi)部安全管理措施�,層層建立起組織管理系統(tǒng)����,制定和完善內(nèi)控的各項規(guī)章制度,不斷改進和加強程序的操作與管理技術(shù)���,是做好金融會計信息系統(tǒng)安全管理的根本�����。
一��、金融會計網(wǎng)絡(luò)信息系統(tǒng)面臨的挑戰(zhàn)
目前��,網(wǎng)絡(luò)信息和技術(shù)的廣泛使用�����,給金融會計網(wǎng)絡(luò)信息系統(tǒng)帶來了多方面的風險和隱患����,金融會計網(wǎng)絡(luò)信息系統(tǒng)正面臨十分嚴峻的形勢和挑戰(zhàn)。
(一)金融行業(yè)的管理落后于金融網(wǎng)絡(luò)系統(tǒng)發(fā)展的需求
目前���,我國金融業(yè)的網(wǎng)絡(luò)信息安全管理工作還存有不少漏洞���,從領(lǐng)導(dǎo)決策����、內(nèi)部安全制度管理到網(wǎng)絡(luò)技術(shù)的安全管理,都還需要直一步加強�。曾有金融界專家根據(jù)我國金融網(wǎng)絡(luò)信息安全管理不佳的現(xiàn)狀指出:“信息資產(chǎn)風險監(jiān)管是金融監(jiān)管體系的核心理念。”這里說的信息風險資產(chǎn)是指在網(wǎng)絡(luò)信息化進程中��,信息資產(chǎn)的設(shè)計����、規(guī)劃、服務(wù)��、運用��、監(jiān)管以及操作等過程中產(chǎn)生的業(yè)務(wù)風險�����。從目前我國整體形勢來看,金融會計系統(tǒng)的安全管理制度都已比較完善�,但從上級機構(gòu)對下級機構(gòu)的監(jiān)管和指導(dǎo)上還處于一個較低級的階段。因為往往缺乏完整的認識�,缺乏統(tǒng)一的監(jiān)管目標,缺乏上下級之間監(jiān)管的運作機制���,從而造成上下級監(jiān)管不到位����,就不同程度地消弱了網(wǎng)絡(luò)信息安全管理的實際效果�����。
(二)核心設(shè)備和技術(shù)依賴國外���,造成安全隱患
目前���,我國的網(wǎng)絡(luò)信息系統(tǒng)所使用的操作系統(tǒng)、芯片����、數(shù)據(jù)庫等大多數(shù)還是由外國生產(chǎn)和提供���,其中有些人為設(shè)置的軟件陷井和系統(tǒng)漏洞,往往就會使我們防不勝防���。有人在調(diào)查中發(fā)現(xiàn)���,外國人生產(chǎn)設(shè)計的操作系統(tǒng)和數(shù)據(jù)庫及一些重要網(wǎng)絡(luò)系統(tǒng)中使用的信息技術(shù)產(chǎn)品等,都不可避免地存在著一些安全上的漏洞�����。這些漏洞其中有的是疏忽造成的�,但也有的是有意設(shè)置的����。在網(wǎng)絡(luò)運行中,這些安全上的漏洞就有可能被人利用實施入侵���,被人破壞設(shè)備程序或從中竊取機密信息和數(shù)據(jù)����,實施經(jīng)濟犯罪���。
(三)境內(nèi)外網(wǎng)絡(luò)違法犯罪活動呈快速發(fā)展趨勢�,金融會計網(wǎng)絡(luò)信息系統(tǒng)安全將面臨嚴峻的網(wǎng)絡(luò)技術(shù)挑戰(zhàn)
金融會計網(wǎng)絡(luò)信息系統(tǒng)和其它重要信息系統(tǒng)正成為國內(nèi)外不法分子進行攻擊和破壞的重點目標,他們都是利用自己高尖端的網(wǎng)絡(luò)信息系統(tǒng)技術(shù)進行犯罪活動���,只要我們一時的疏忽和松懈�,就會讓壞人有機可乘�,給國家和集體的財產(chǎn)造成很大的損失。目前�,從全國的形勢來看,不法份子正在利用其所擁有的高科技����,在整個金融界無孔不入地從事破壞活動,已有不少金融會計信息系統(tǒng)受到他們的攻擊���,并給我們的金融業(yè)造成了巨大的危害�,所以說���,我國目前金融會計網(wǎng)絡(luò)信息安全的形勢十分嚴峻�。2009年國防科技大學(xué)的一項研究表明�����,我國與互聯(lián)網(wǎng)相連的網(wǎng)絡(luò)管理中心95%都遭到過境內(nèi)外黑客的攻擊和侵入,其中以銀行��、金融和證券機構(gòu)為其攻擊的重點�。
二、應(yīng)對措施
(一)加強金融網(wǎng)絡(luò)信息系統(tǒng)安全管理的行業(yè)監(jiān)管和制度建設(shè)
目前�����,隨著我國社會經(jīng)濟的快速發(fā)展����,網(wǎng)絡(luò)信息安全工作也已受到國家有關(guān)部門的高度重視。尤其是近幾年以來���,黨和政府開始把金融信息系統(tǒng)安全工作提到了促進經(jīng)濟發(fā)展��、維護社會穩(wěn)定、保障國家安全�、加強精神文明建設(shè)的高度,并提出了“積極防御��、綜合防范”的信息安全管理方針�����,同時,各級政府還專門成立了網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組��、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡稱CNCERT/CC)�����、中國信息安全產(chǎn)品測評認證中心(簡稱CNITSEC)等����,初步建成了國家信息安全組織保障體系,為金融會計系統(tǒng)網(wǎng)絡(luò)信息的安全管理打下了一個良好的基礎(chǔ)�����。具體到一個行業(yè)和部門就更應(yīng)自己對加強信息系統(tǒng)安全管理重大意義的認識����,在國家高度重視并建立防護機構(gòu)的基礎(chǔ)上,建立起自己的信息安全管理組織����,聯(lián)系本行業(yè)、本部門的工作實際�����,科學(xué)認真地制定出確保金融信息系統(tǒng)的安全管理措施。管理措施主要應(yīng)包括領(lǐng)導(dǎo)責任����、安全管理人員的職責劃定以及工作人員技術(shù)管理、操作程序上的具體要求和防護策略��。同時應(yīng)要求將各種安全策略規(guī)范化和實用化����,加強其可操作性,以保證安全管理人員在工作中具有明確的依據(jù)或參照�,并便其形成一種人人都嚴格實施的工作制度。
為了進一步從根本上強化金融網(wǎng)絡(luò)信息系統(tǒng)的安全管理���,還應(yīng)建立起跨部門的金融行業(yè)安全協(xié)調(diào)機制以及關(guān)鍵時期的安保工作機制�,加強信息安全的檢測和準入制度��,層層建立起信息資產(chǎn)風險評估體系�,切實提高信息系統(tǒng)安全管理水平���,保證金融業(yè)的長期穩(wěn)定和發(fā)展�。上層金融機構(gòu)要切實加強對下屬中、小金融機構(gòu)的監(jiān)管�����,并加強具體指導(dǎo)和提供各項服務(wù)���。加強對下屬金融機構(gòu)的業(yè)務(wù)、技術(shù)培訓(xùn)����,提高其安全防范意識和防范技能�����,幫助中小金融機構(gòu)規(guī)避各種風險,實現(xiàn)持續(xù)發(fā)展�。各金融系統(tǒng)還應(yīng)自上而下地成立行業(yè)網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組,并隨之建立起一系列的信息安全的報告制度�����、通報制度和聯(lián)席會議制度�,真正建立健全運轉(zhuǎn)靈活的���、反應(yīng)靈敏的信息安全應(yīng)急協(xié)調(diào)機制���,及時消除隱患,快速有效地應(yīng)對各類突發(fā)事件����,從根本上降低和消除各類重大事故的發(fā)生��,保障金融業(yè)健康有序的發(fā)展�。
(二)強化網(wǎng)絡(luò)信息的安全機制建設(shè)
在網(wǎng)絡(luò)信息機構(gòu)�����、制度建設(shè)的基礎(chǔ)上����,必須加強行業(yè)�����、部門內(nèi)部的安全機制建設(shè)�。這就是說,機構(gòu)和制度的建立固然重要���,但更為重要的是機構(gòu)和制度的運作是否能夠形成一個科學(xué)有效的內(nèi)部管理機制��,沒有形成一個科學(xué)有效的管理機制,機構(gòu)和制度都將形同虛設(shè)�。安全機制建設(shè)的內(nèi)容應(yīng)包括:一是層層建立崗位安全責任制��,在防患于未然的前提下,一旦發(fā)生問題�����,責任十分明確��,誰也無法推諉��,以此增強每一個領(lǐng)導(dǎo)者和每一個工作人員的責任意識��;二是可進行安全區(qū)域劃分,重點加強重要地區(qū)和部位的防御力量��。從人力到有針對性的安全設(shè)備部署和設(shè)置,都要向重要部位實施強化�,以改進和加強對重要區(qū)域的分割防護;三是增加入侵檢測系統(tǒng)����、漏洞掃描、違規(guī)外聯(lián)等安全管理工具��,進行定時監(jiān)控�、事件管理和鑒定分析,發(fā)現(xiàn)問題及時向主管領(lǐng)導(dǎo)報告或立即報警���,力爭將隱患和問題消滅在萌芽狀態(tài)��,以此來保證和提高自身的動態(tài)防御能力����;四是完善已有的防病毒系統(tǒng)���、增加內(nèi)部信息系統(tǒng)的審計平臺�����,以便形成對內(nèi)部安全狀況的長期跟蹤和防護能力����。五是要強化“突發(fā)”與“應(yīng)急”意識�。由于災(zāi)害事件的不確定性,應(yīng)急管理與保障工作必須建立在高強度的實戰(zhàn)性基礎(chǔ)上��,使災(zāi)難應(yīng)急管理真正適應(yīng)“應(yīng)急”的要求����。六是要擴大應(yīng)急預(yù)案本身的覆蓋范圍。應(yīng)通過建立健全信息安全制度��、定期組織信息安全非現(xiàn)場和現(xiàn)場檢查等方式�����,促進金融部門做好系統(tǒng)加固工作,充分利用各種安全產(chǎn)品強化網(wǎng)絡(luò)安全防范,加強移動存儲介質(zhì)管理����,做好安全日志分析�����、預(yù)警和監(jiān)測工作���,防止植入木馬導(dǎo)致信息泄漏和來自內(nèi)部的安全威脅。
(三)組建網(wǎng)絡(luò)信息安全專業(yè)組織
因金融會計網(wǎng)絡(luò)系統(tǒng)安全問題事關(guān)重大,在已解決上述有關(guān)問題的前提下��,組建起一支精干而專業(yè)的網(wǎng)絡(luò)信息安全的專業(yè)組織是大有必要的���。專業(yè)安全保障人員應(yīng)專門負責信息網(wǎng)絡(luò)方面安全保障�����、安全監(jiān)管、安全應(yīng)急和安全威懾等方面的工作。在此基礎(chǔ)上����,要根據(jù)可能發(fā)生的安全問題����,制定出關(guān)鍵設(shè)施或部位的應(yīng)急預(yù)案��,讓每一個人都牢記在心�,防患于未然�;同時還要對專業(yè)安全人員進行有目的的業(yè)務(wù)和技能培訓(xùn)���,讓其真正具備應(yīng)急預(yù)案中所規(guī)定的專業(yè)安全保衛(wèi)人員的思想素質(zhì)和各項防范技能�����,隨時準備應(yīng)對可能發(fā)生的突出事件�����。如上所述,多管齊下,多渠道實施綜合防范,真正建立起網(wǎng)絡(luò)信息系統(tǒng)的安全保障體系,實現(xiàn)對金融機構(gòu)信息安全風險的及時、動態(tài)、全面�、連續(xù)的監(jiān)管��,同時促進各家金融機構(gòu)完善內(nèi)控機制���,保障運行安全。現(xiàn)代金融業(yè)高度依賴信息技術(shù),所以我們就必須充分認識到金融業(yè)信息安全對整體業(yè)務(wù)和金融體系,乃至體系的影響,牢固樹立風險防范意識��,把不斷提高信息科技能力作為風險管理的重要手段。
(四)積極應(yīng)對挑戰(zhàn)��,建成安全防范體系
隨著計算機網(wǎng)絡(luò)信息運用的日益普及,網(wǎng)絡(luò)系統(tǒng)侵權(quán)問題越來越引起人們的高度重視�,并已經(jīng)開始為此問題開展有益的廣泛的探討。在法制日益加強和完善的今天,國家應(yīng)繼續(xù)加強對這一事關(guān)國計民生的重大問題的立法,比如���,在適當?shù)臅r機�����,由全國人大出臺“反網(wǎng)絡(luò)侵權(quán)法”,籌劃出臺“信息網(wǎng)絡(luò)傳播保護條例”,以形成全國反網(wǎng)絡(luò)侵權(quán)的合力。盡管現(xiàn)在用于網(wǎng)絡(luò)安全的產(chǎn)品有很多,比如有防火墻、殺毒軟件�����、入侵檢測系統(tǒng)��,但是仍然有很多黑客的非法入侵�����。根本原因是網(wǎng)絡(luò)自身的安全隱患無法根除�,這就使得黑客進行入侵有機可乘����。雖然如此,安全防護仍然必須是慎之又慎��,提高防范意識���,優(yōu)化操作技術(shù)��,加強技術(shù)管理�����,盡最大可能降低黑客入侵的可能��,從而保護我們的網(wǎng)絡(luò)信息安全�����。金融會計網(wǎng)絡(luò)系統(tǒng)安全問題是一個系統(tǒng)工程�,實踐證明單方面的努力住住效果不太顯著��,它需要領(lǐng)導(dǎo)階層�����、具體管理階層�����、網(wǎng)絡(luò)技術(shù)操作階層所有人的協(xié)調(diào)和配合才能收到理想的效果�����。要自始至終強化安全防范意識����,采取全面、可行的安全防護措施����,把安全風險降低到最小程度。金融業(yè)信息安全事關(guān)經(jīng)濟金融的穩(wěn)定大局��,責任重大���,金融業(yè)要未雨綢繆��,認真貫徹落實國家信息安全的工作要求,加快建立完備的安全防護體系,
