试论金融信息化与信息安全

来源:岁月联盟 作者: 时间:2013-02-15
  论文关键词:金融信息系统 金融信息化 信息安全 安全模型
  论文摘要:阐述了金融信息化、信息安全的重要意义和保障信息系统中信息安全的常规技术,分析了我国在金融信息化进程中和金融信息系统的建设过程中存在的问题,指出了今后发展的方向。
  1.我国金融信息化的产生和发展
    中国的金融电子化建设开始于20世纪70年代,在80年代中期,由中国人民银行牵头成立了金融系统电子化领导小组,经过大量的调查研究,制定了金融电子化建设规划和远期发展目标;‘六五’做准备,‘七五’打基础,‘八五’上规模,‘九五’基本实现电子化。在最近的二三十年,我国的金融电子化建设经历了重要的、具有历史意义的四个发展阶段:第一阶段,大约70年代末到80年代,银行的储蓄、对公等业务以计算机处理代替手工操作;第二阶段,大约从80年代到90年代中,逐步完成银行业务的联网处理;第三阶段,大约从90年代初到90年代末,实现全国范围的银行计算机处理联网,互联互通,支付清算和业务管理、办公逐步实现计算机处理;第四阶段,从现在开始,完成业务的集中处理,利用互联网技术与环境,加快金融创新,逐步开拓网上金融服务,包括网上银行、网上支付等。科学技术是第一生产力。当人类走进21世纪时,步入了以网络、信息技术为特征的知识经济时代。在这一发展机遇面前,我国金融业也同时面临着加入世界贸易组织后更广阔的市场和来自发达国家同行业更严竣的竞争压力。金融信息化是我国金融业的必然选择。金融行业是国民经济的重要组成部分,是现代市场经济的核心,金融信息化是国家信息化中至关重要的、不可缺少的一环。金融信息化既是金融业本身为提高其竞争能力、降低经营成本、提高服务质量以应对日益激烈的市场竞争的内在要求,同时也是悦务、海关、贸易和电子商务等国民经济信息化的基础。金融信息化不仅实现了业务处理自动化和办公自动化、经营网络化,更进一步为监管电子化、管理和决策的科学化提供强有力的支持,同时也是金融服务创新、制度创新坚实的技术基础。
  2金触信息系统的安全
    安全是金融信息系统的生命。在金融信息系统日益发展,信息越来越向上集中,规模越来越大,金融业对它的依赖性不断增加的同时,金融信息化系统安全的重要性也与日俱增。它关系到金融机构的生存和经营的成败,所以,应把金融信息化系统的安全视同资金的安全一样,看作是金融机构的生命。金融信息系统的安全不仅是金融行业本身的问题,它与我国的经济安全、社会安全和国家安全紧密相连,是保障金融业稳定发展、增强竞争力和生存能力的重要组成部分,金融信息系统的安全已成为我国金融信息化建设中具有战略意义的关键问题。
    据英国PA咨询集团公司调查,在20世纪末的5年中,电脑诈骗每年使英国银行损失40 - 50亿英镑,美国每年因计算机犯罪造成银行损失也多达55亿美元,德国银行每年因此损失约50亿美元。在我国,自从1986年7月发生首例金融计算机犯罪以来,发案率逐年上升,给银行造成了巨大的损失。仅1997,1998两年,四家国有商业银行就发生了141起计算机犯罪案件,涉案人员166人,涉案金额16 129万元,造成经济损失5 853万元。朱铭基同志在扬州发生的一起利用遥控发射装置浸入银行电脑系统,盗取巨款的案件报告上批示:“这是一个信号,我们的银行家要抓电脑技术,不能落在犯罪分子的后面’。
  2.1信息系统面临的威胁和攻击手段
  信息安全从技术上讲,有如下几方面的含义:保密性、完整性、可用性、真实性、不可抵赖性、可控性。金融信息系统是一个网络环境下的计算机系统,它处理的对象是信息。信息资源具有先天的脆弱性,系统中存储的信息密度极高,信息的可访问性、信息的聚生性、系统工作时产生电磁辐射、磁性介质的剩磁效应等都使系统中的信息面临着安全风险。概括而言,金融信息系统面的威协主要有三种形式:通信过程中面临的威协、存储过程中面临的威胁和处理过程中面临的威协。对金融信息系统的攻击手段主要有窃取、推断绒分析(属于被动攻击)、冒充、墓改、重放和病毒(属于主动攻击)。


  2.2信息安全技术
    2.2.1密码技术。密码技术是信息安全技术的核心。要保证信息系统中信息的保密性,使用密码对其加密是最有效的办法;要保证信息的完整性同样可以使用密码技术实施数字签名,进行身份认证,通过对信息进行完整性校验来实现;保障信息系统和信息为授权者所用,利用密码进行系统登录管理,存取授权管理是有效的办法;保证电子信息系统的可控性也可以有效地利用密码和密钥管理来实施。
  1949年Shannon发表了《保密系统的通信理论》,引起了密码学的一场革命,从而使密码真正成为一门科学。密码学(Crypto-graphy)是通信技术、计算机技术和应用数学之间的边缘学科,数学和计算机科学是其重要的工具,涉及到数论、信息论、算法复杂性理论等学科分支。保密系统的Shannon模型如图l所示。

  70年代中期,在安全保密研究中出现了两个引人注目的事件:一是D}ffe和Hellman发表了《密码学的新方向》,冲破人们长期以来一直沿用的单钥体制,提出一种崭新的密码体制,即公开密码体制。该体制可使发信者和收信者之间无须事先交换密钥就可建立起保密通信。二是美国国家标准局(NBS)于1977年正式公布实施了美国数据加密标准( DES)。公开密码体制的出现是现代密码学研究的一项重大突破,它的主要优点是可以适应网络开放性的使用环境,密钥管理相对简单,可以方便、安全地实现数字签名和认证。对称密码体制下比较著名的算法有IBM公司开发的DES算法及其各种变形(如Tri讨e DES等)、欧洲的IDEA算法、LOKI , RCA , RCS等;公开密码体制下比较著名的算法有RSA算法、背包密码,Diffe一Hellman} ElGamal算法等等。与通信安全保密相比,计算机安全保密具有更广泛的内容,涉及计算机硬件、软件以及所处理数据等的安全和保密。除了沿用通信安全保密的理论、方法和技术外,计算机安全保密有自己独特的内容,并构成自己的研究体系。在计算机安全保密研究中,主体(subject)和客体(object)是两个重要概念,保护客体的安全、限制主体的权限构成了存取控制的主题。信息系统的安全保密相对于通信安全保密和计算机安全保密而言处在一个更高的层次,它涵盖了通信安全保密和计算机安全保密的所有内容,把整个系统的安全保密作为其目标。金融信息系统因其自身高机密性和高风险性的特点,不同于一般的信息系统,而类似于军事系统,有极高的安全保密需求。
    2.2.2访问控制技术。限制主体的权限,防止非授权主体对客体的越权访问是访问控制的主要内容。存取控制的研究内容涉及到存取控制模型、存取控制策略、存取控制机制、存取控制的实现等。存取控制是建立在用户识别的基础上的,系统通过唯一标识符验证用户的合法性.决定是否允许用户进入系统。认证总是要求用户提供足够能证明他身份的特殊信息,这些信息是保密的,可以采用单向加密算法加密后保存在系统中。口令机制是一种简便易行的认证手段,但比较脆弱。生物技术是一种比较有前途的方法,如视网膜、指纹等,但限于技术条件,目前还不能广泛采用。信息系统中存在大量的主体和客体。主体与客体关系如何表示,主体对客体的存取权限如何获取,是存取控制研究中的两个基本问题。系统中所有主体与客体之间的相互关系构成存取控制数据库。主体、客体、存取控制数据库、存取控制策略之间的关系构成存取控制基本模型。
    存歇控制策略决定存取控制的水平。存取控制策略研究权限分配原则、方法和约束。等级授权方式是最常见的权力分配方式,根据权力分配细则,由安全专家根据一定的制度和规范制定。
  权力分配原则则涉及一些誉遍适用的存取陀制策略:。.最小授权策略(least privilege policy),即只给主体授予执行任务所必须的最小仅力;b.最小泄露策略(lease exposure policy),按需知(need to know)原则给主体完成任务所必须知道的那部分保密信息,得到信息的主体要承担信息保护的责任;;c.多级安全策略( multilevel security policy),将主体和客体都进行分级,除了对主体对客体的访问权限进行规定外,还对主体对客体促使信息的流向加以控制。存取控制模型如图2所示。


  自主访问控制(DAC)是一种最替扁的访问控制方式,在自主访问控制下,用户可以按自己的意愿对系统参数进行适当的修改,以决定哪些用户可以存取其文件。自主访问控制是安全操作系统需要具有的最基本的访问控制机制,对于军事鱿金融系统,它的访问控制能力尚嫌不足。自主访问控制不能抵御特洛伊木马、电子欺骗(Spoof),黑客( Hacker)的攻击。这样就产生了强制访问控制(MAC) 。
    所谓强制访问控制,就是系统中主体和客体的安全属性(存即类)是由系统安全管理员按照严格的规则进行分配的,用户和用户程序不能修改系统中确定的安全属性,就是客体的所有者也不能修改。强制访问控制增强了系统的安全性。金融信息系统是一个网络信息系统,为了保证其安全性,有必要提供一种网络访问控制手段。防火墙技术就是一种用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的资源不被破坏,避免内部网络的敏感数据被窃取的系统,它能增强机构内部网络的安全性。防火墙实际上是一种访问控制规则,它无法完全保护系统免受来自外部网络的攻击,另外,它对来自系统内部的攻击无能为力。

图片内容