外匯信息安全風險及安全保障措施分析

【摘要】本文首先要對外匯管理信息系統(tǒng)和數(shù)據(jù)面臨的風險加以梳理，總結外匯信息安全基本準則和特性，在此基礎上提出有針對性安全防護措施，以解除外匯信息安全隱患，確保外匯業(yè)務數(shù)據(jù)完整可用。

【關鍵詞】外匯 ?信息安全 ?風險 ?保障措施

近年來，國家外匯管理局加大了信息化建設步伐，信息系統(tǒng)已基本替代了手工操作用于處理外匯管理日常工作，在外匯監(jiān)管與服務的過程中發(fā)揮著越來越重要的作用，外匯業(yè)務信息系統(tǒng)的安全正常運行已成為外匯局開展業(yè)務開展的前提，任何一個環(huán)節(jié)的信息系安全管理缺失，都可能給外匯管理工作帶來嚴重的后果。

一、外匯信息系統(tǒng)和數(shù)據(jù)所面臨的風險

信息安全就是保護信息系統(tǒng)或信息網(wǎng)絡中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的保密性、完整性、可用性.可控性和平可否認性。

外匯管理信息系統(tǒng)和數(shù)據(jù)在采集、保存和使用等過程中存在諸多安全風險，例如硬盤損壞等物理環(huán)境風險，操作系統(tǒng)和網(wǎng)絡協(xié)議漏洞導致外匯信息數(shù)據(jù)被非法訪問、修改或惡意刪除，最終導致外匯信息喪失上述安全特性，從而影響了外匯業(yè)務的正常開展。本節(jié)僅結合外匯信息系統(tǒng)和數(shù)據(jù)實際情況，簡要介紹外匯信息常見的風險。

（一）電子設備存在軟件和硬件故障風險

外匯信息系統(tǒng)在運行過程往往會面臨硬件設備發(fā)生故障，軟件系統(tǒng)出現(xiàn)運行錯誤的風險，例如服務器電源設備老化、硬盤出現(xiàn)壞道無法讀寫、軟件崩潰、通訊網(wǎng)絡故障等問題。上述問題是外匯信息系統(tǒng)實際運維過程中最為常見風險源。

（二）人為操作風險

因人為操作外匯信息系統(tǒng)產(chǎn)生的未授權的數(shù)據(jù)訪問和數(shù)據(jù)修改、信息錯誤或虛假信息輸入、授權的終端用戶濫用、不完整處理等。產(chǎn)生該類風險的原因是用戶安全意識淡薄，未授權訪問數(shù)據(jù)造成外匯信息泄漏，數(shù)據(jù)手工處理導致的錯誤或虛假信息，未授權用戶操作等行為都會造成信息系統(tǒng)安全性風險。實際外匯信息系統(tǒng)運行中，人為事件造成損失的概率遠遠大于其他威脅造成損失的。

（三）系統(tǒng)風險

一般所用的計算機操作系統(tǒng)以及大量的應用軟件在組織業(yè)務交流的過程中使用，來自這些系統(tǒng)和應用軟件的問題和缺陷會對一系列系統(tǒng)造成影響，特別是在多個應用系統(tǒng)互聯(lián)時，影響會涉及整個組織的多個系統(tǒng)。例如，部分系統(tǒng)具有維護困難、結構不完善、缺乏文檔和設計有漏洞等多個隱患，有時就會在系統(tǒng)升級和安裝補丁的時候引入較高的風險。

（四）物理環(huán)境風險

由于組織缺乏對組織場所的安全保衛(wèi)，或者缺乏防水、防火、防雷等防護措施，在面臨自然災難時，可能會造成極大的損失。

二、外匯信息安全基本準則和特性

外匯信息系統(tǒng)是一個以保障外匯業(yè)務系統(tǒng)正常運行的專用的信息系統(tǒng)，近年來在不斷加大信息科技方面投入、加快信息化建設的過程中得到了有效整合和完善。為有效應對外匯信息系統(tǒng)安全風險，科技部門應同步提升科技管理制度的完整性和執(zhí)行力度、管理精細化程度。制定外匯信息系統(tǒng)安全的具體保障措施之前，首先需要我們認清信息安全的基本準則和一些特性：

（一）信息安全短板效應

對信息系統(tǒng)安全所涉及的領域進行安全保護即全面構筑外匯管理信息安全保障工作，重點加強對安全洼地、薄弱環(huán)節(jié)的安全防護。

（二）信息安全系統(tǒng)化

信息系統(tǒng)安全其實是一項系統(tǒng)工程，要從管理、技術、工程等層面總體考量，全面保障外匯管理局信息系統(tǒng)安全。

（三）信息安全動態(tài)化

信息安全保障措施所防范的對象是一個動態(tài)變化的過程，所以信息系統(tǒng)也應該隨著內(nèi)外部安全形勢的變化不斷改進。

（四）信息安全常態(tài)化

信息安全從時間角度看是一個長期存在的問題，只有在信息安全技術方面嚴格把握重點，綜合信息安全體系的可持續(xù)構建，才能保障外匯管理局信息系統(tǒng)安全。

（五）系統(tǒng)操作權責明確

信息系統(tǒng)安全的前提是要嚴格內(nèi)部授權，劃分各崗位職責，如加大內(nèi)控風險防范和控制。使各系統(tǒng)角色操作者權限形成相互制約的控制機制。

三、外匯信息安全保障應對措施

外匯信息安全工作應以信息系統(tǒng)所面臨的安全威脅依據(jù)，遵循基本準則，以信息基礎設施建設和安全管理制度為我切入點制定相應的防護措施。

（一）建立系統(tǒng)性的安全管理制度

安全管理制度要包括人員管理、資產(chǎn)管理、數(shù)據(jù)管理、網(wǎng)絡管理、運維管理、應急管理、事后審查等方面內(nèi)容

（二）建立良好的網(wǎng)絡信息安全防護體系

從物理環(huán)境安全、網(wǎng)絡邊界安全、設備安全、應用系統(tǒng)安全以及數(shù)據(jù)安全等方面部署相關的安全防護設備和措施。

（三）定期進行信息安全教育培訓

因信息技術行業(yè)快速發(fā)展，信息安全形勢也在不斷變化，外匯管理局科技部門可定期對轄內(nèi)外匯信息系統(tǒng)維護和操作人員進行信息系統(tǒng)安全培訓，更新安全知識。為了有效防范未知威脅和隱患，外匯管理局科技部門可對轄內(nèi)定期開展信息系統(tǒng)安全檢查，確保外匯信息系統(tǒng)安全有效運行，保障外匯信息的可控、可用和完整性。

（四）開展信息系統(tǒng)安全風險評估，進一步做好系統(tǒng)等保工作

首先對外匯信息系統(tǒng)安全進行風險評估，根據(jù)評估識別威脅外匯信息系統(tǒng)安全的風險，作為制定、實施安全策略、措施的基礎，風險評估同時也是外匯信息系統(tǒng)安全等級保護的重要前提與依據(jù)。其次確定信息系統(tǒng)安全級別，根據(jù)級別的不同，實施對應的保護措施，啟動對應級別的安全事件應急響應程序。

（五）運用入侵檢測等技術，預防惡意攻擊

隨著技術發(fā)展，當前惡意攻擊手段呈現(xiàn)越來越隱蔽的趨勢，需要科技部門采用具有預警功能的技術手段來應對，如入侵檢測、數(shù)據(jù)挖掘等技術，通過分析歷史數(shù)據(jù)，發(fā)現(xiàn)當前安全措施的缺陷，及時糾正和預防內(nèi)外部風險再次發(fā)生。

（六）完善監(jiān)督管理，實施信息安全自查與檢查相結合

查找現(xiàn)有信息化建設工作中的薄弱環(huán)節(jié)，井切實進行整改，建立良性的信息安全管理機制。開展信息安全檢查與自查是完善信息安全監(jiān)督管理工作的有效方式之一，其中信息安全檢查方案的設計是安全檢查的核心，科技部門需要根據(jù)外匯業(yè)務實際情況，將外匯管理局有關要求進行梳理完善，對相應風險點進行總結和歸納，科學設計了信息安全檢查方案。

參考文獻

[1]林國恩.信息系統(tǒng)安全[M].北京：電子工業(yè)出版社.2010

[2]《信息系統(tǒng)安全等級保護基本要求》GB/T 22239-2008

作者簡介：李興勇（1982-），男，安徽六安人，就職于人行銀行合肥中心支行，中級工程師。