试论金融信息化与信息安全

    VPN(虚拟专用网)是一种为处于不同地点的两个分公司网络通过不安全的公共网络Inteme:建立可靠连接的技术。VPN所用的隧道技术就是用某种协议(如PPTP, IPsec等)建立双方通信隧道，将内部网所用协议和数据封装在IP包中，对隧道中传送的包进行加密/解密。VPN能从很大程度上解决网络面临不安全因素的威胁，作为远程用户利用公用网络接入公司内部网络的较简单的一种接入技术，现在正越来越体现出其价值。
    2.2.3漏洞扫描和入浸检测技术。漏洞扫描与网络安全评佑紧密相关，其主要目的是先于入浸者发现安全漏洞并及时弥补，从而进行安全防护，是一种‘事前’(攻击发生前)防护手段。由于网络环境比较复杂，一般利用工具来进行漏洞检查，针对网络层、操作系统层、数据库层、应用系统层多个层面上进行。因为网络是动态变化的，所以漏洞扫描与评沽应该定期执行;入侵检测则是对网络活动和系统事件进行实时监控，检查是否有来自网络内部和外部的入浸。入浸检测强调时间连续性，是一种事中.防护手段。网络是动态变化的，所以应该不断跟踪分析黑客行为和手法，研究网络和系统的安全漏洞，提高漏洞扫描水平和入浸位测水平。
    2.2.4响应和恢复技术。任何一个信息系统无论采取了多么先进、复杂的安全技术，也不可能保证系统是绝对安全的，响应和恢复技术就是在系统遭到入侵或破坏的时候，如何把损失降到最低程度，并在最短的时间内将系统恢复正常。响应和恢复技术是一种‘事后’防护手段。
    2.2.5审计技术。审计类似于飞机上的“黑匣子.，利用系统运行日志，对系统进行事故原因查询、定位，为事故发生后的处理提供详细可靠的依据戴支持，是一种‘事后’的补充防护手段。
    2.2.6病毒防治技术。病毒防治技术是研究在网络环境下，如何及时识别、发现病毒，如何强化系统对病毒的免疫能力，以及如何消灭病毒，减轻戴完全消除病毒对系统的危害。

　　2.3安全模型金融信息系统的安全是一个系统工程，不仅与信息系统的安全技术有关，同时也与国家的法律与法规、金融行业的管理及其制度建设幽切相关。安全技术在金融信息系统安全中起着重要的作用，但决不能过分依赖信息安全技术，安全技术只是信息系统安全的基础，安全管理则是金融信息系统安全的关键。
    在研究信息系统安全的过程中，人们建立了不同的信息系统安全模型。其中，P2DR充分考虑了信息系统随时间而不断改变的动态性，建立在基于时间的安全理论之上，并且体现了闭环控制的思想，是具有代表性的信息系统安全模型(如图3所示)。

　　P2DR是Policy(安全策略)、Protection(防护)、Detection(检测)和Response晌应)的缩写。安全策略是P2DR安全模型的核心，所有的防护、检测、晌应都是依据安全策略实施的。保护通常是通过采用一些传统的静态安全技术及方法来实现的，主要有防火墙、加密、认证等方法。在P2DR模型，检测是非常重要的一个环节，检测是动态晌应和加强防护的依据，它也是强制落实安全策略的有力工具，通过不断地检测和监控网络系统，来发现新的威胁和弱点，通过循环反馈及时做出有效的晌应。紧急晌应在安全系统中占有最重要的地位，是解决安全潜在性最有效的办法。从某种意义上讲，安全问题就是要解决紧急晌应和异常处理问题。要解决好紧急晌应问题，就要制汀好紧急晌应的方案，做好紧急晌应方案中的一切准备工作。
    P2DR模型有自己的理论体系，有数学模型作为其论述基础—基于时间的安全理论。该理论认为，信息安全相关的所有活动都要消耗时间，因此可以用时间来衡里一个体系的安全性和安全能力。P2DR模型可以用一些典型的数学公式来表达安全的要求:
    公式1: Pt>Dt+Rt
    Pt代表系统的防护时间，续者理解为在安全措施保护下，黑客(入浸者)攻击目标所花费的时间;Dt代表从入浸者开始发动入浸开始，系统能够检测到入浸行为所花费的时间;Rt代表从发现入浸行为开始，系统能够做出足够的响应，将系统调整到正常状态的时间;那么，如果上述数学公式满足—防护时间大于检测时间加上响应时间，也就是在入浸者危害安全目标之前就能够被检测到并及时处理。
    公式2: Et=Dt+Rt，如果Pt=0
    公式2的前提是假设防护时间为0。这种假设对Web Server这样的系统可以成立。Dt代表从入浸者破坏了安全目标系统开始，系统能够检测到破坏行为所花费的时间。Rt代表从发现遭到破坏开始，系统能够做出足够的晌应，将系统调整到正常状态的时间。那么，Dt与Rt的和就是该安全目标系统的暴露时间Et针对于需要保护的安全目标，如果Et越小系统就越安全。
    通过上面两个公式的描述，实际上给出了安全一个全新的定义:‘及时的检测和晌应就是安全，“及时的检测和恢复就是安全.P2DR模型阐述了这样一个结论:安全的目标实际上就是尽可能地增大保护时间，尽量减少检测时间和晌应时间。
　　3发展、深化金融信息化建设.保障信息安全
    虽然我国在金融信息化进程中取得了巨大的进步，但在发展中还是难以避免地存在一些问题。分析这些问题，既有助于这些问题的解决，同时也对今后的发展有借鉴意义。我国金融信息化发展过程中缺乏统一的标准和规范，各大银行处于各自为战的状态，为各行互连、互通、资潦共享造成了障碍;重视硬件建设，对应用软件开发和人才培养重视不够，不能充分利用宝贵的信息资源(如金融风险管理、决策支持系统等)，有些软件由于对发展速度佑计不足，已经不能适应当前的业务需要;在金融机构内部，安全组织、管理制度和内控制度不够健全和配套，造成一些新型服务项目在技术上可行，却因管理跟不上而无法开展;安全意识比较淡薄，不能落实到实际行动中;市场开发力度和创新意识不足，没有充分利用好现有系统。
    总结经验，我们必须认识到金融信息化进程是发展的、动态的和不断深化的。为保证我国金融信息化建设健康发展，应尽快确定今后若干年内我国金融信息化的宏观发展方向，制定我国金融信息化发展战略;尽快建立我国金融信息化标准和规范，避免以前银行卡建设中走过的弯路;追踪和研究信息安全关键技术(密码芯片、加密算法和病毒防治技术等)，发展我国自己的信息安全产业;在摘好“大集中’的前提下，充分挖掘和利用宝贵的信息资源，建立金融风险管理系统和科学决策支持系统，提高金融业经营管理水平;深化金融信息系统建设，进一步开拓思路，搞好金融服务创新和金融制度创新，迎接金融开放带来的挑战;加强安全组织管理建设，倍养信息安全人才.保障金融信息系统安全。