信息系統(tǒng)風(fēng)險分析與防范對策

羅世璇

（湖北財稅職業(yè)學(xué)院，武漢 430064）

1 背 景

改革開放40 多年來，中國各領(lǐng)域的信息系統(tǒng)建設(shè)從無到有、從單一向多元發(fā)展，并從根本上改變了傳統(tǒng)業(yè)務(wù)的處理方式，建立了以計算機(jī)和網(wǎng)絡(luò)為基礎(chǔ)的信息系統(tǒng)。隨著信息化的深入發(fā)展，各行業(yè)對計算機(jī)信息系統(tǒng)高度依賴，信息系統(tǒng)的安全問題也變得日益突出，成為影響國家安全的重要因素。為化解和防范信息系統(tǒng)風(fēng)險，保障社會經(jīng)濟(jì)安全、網(wǎng)絡(luò)安全、信息安全，還需要做大量的工作，才能有效地保障信息系統(tǒng)的安全、穩(wěn)定和持續(xù)運(yùn)行。

從信息系統(tǒng)安全的民生關(guān)切度來看，較為集中體現(xiàn)在互聯(lián)網(wǎng)金融方面，金融企業(yè)已向商業(yè)化方向發(fā)展，傳統(tǒng)行業(yè)也已形成網(wǎng)絡(luò)化和金融化發(fā)展的趨勢，即金融提供以顧客為中心的金融產(chǎn)品和服務(wù)，已實(shí)現(xiàn)了數(shù)據(jù)集中，建立網(wǎng)絡(luò)及提款終端，廣泛提供網(wǎng)上銀行服務(wù)，并配合商業(yè)化發(fā)展，為傳統(tǒng)行業(yè)和電商平臺提供金融服務(wù)。這一發(fā)展方向是以金融信息化和信息網(wǎng)絡(luò)化為基礎(chǔ)的，并以此發(fā)展先進(jìn)的網(wǎng)絡(luò)化金融機(jī)構(gòu)模式，從而增強(qiáng)在國際金融行業(yè)中的競爭力，為傳統(tǒng)行業(yè)發(fā)展注入活力。我國的信息系統(tǒng)雖已基本建立，但是國內(nèi)在實(shí)施信息化建設(shè)的過程中還存在著不少的問題，應(yīng)在符合我國國情的前提下，綜合國內(nèi)外先進(jìn)技術(shù)和經(jīng)驗(yàn)，彌補(bǔ)我國各行業(yè)信息系統(tǒng)的缺陷，從而保證信息系統(tǒng)的安全性和可靠性。

2 信息系統(tǒng)的作用機(jī)制

信息系統(tǒng)，是由計算機(jī)軟件、計算機(jī)硬件、通信設(shè)備和網(wǎng)絡(luò)、信息用戶、信息資源和規(guī)章制度組成的以處理信息流為目的的人機(jī)一體化系統(tǒng)。主要有五個基本功能，即對信息的輸入、存儲、處理、輸出和控制。信息系統(tǒng)經(jīng)歷了簡單的數(shù)據(jù)處理信息系統(tǒng)、孤立的業(yè)務(wù)管理信息系統(tǒng)、集成的智能信息系統(tǒng)三個發(fā)展階段。計算機(jī)的應(yīng)用，是從最基礎(chǔ)的數(shù)據(jù)處理開始的，然后發(fā)展到事務(wù)或業(yè)務(wù)處理系統(tǒng)階段，接著是信息管理系統(tǒng)，現(xiàn)代計算機(jī)信息系統(tǒng)已從管理信息系統(tǒng)階段發(fā)展到更強(qiáng)調(diào)支持高層領(lǐng)導(dǎo)決策的決策支持系統(tǒng)階段。隨著“互聯(lián)網(wǎng)＋”模式的快速發(fā)展，信息系統(tǒng)的應(yīng)用已經(jīng)非常普遍，信息系統(tǒng)的安全性是當(dāng)今社會密切關(guān)注的問題。

以第三方支付為開端的互聯(lián)網(wǎng)金融，已經(jīng)不斷地發(fā)展壯大，形成信息化全覆蓋的代表領(lǐng)域。所以金融機(jī)構(gòu)、消費(fèi)者、投資者和政府這四個主體，對互聯(lián)網(wǎng)金融的迅猛發(fā)展既滿心期盼，又心存疑慮。在中國，互聯(lián)網(wǎng)金融除了互聯(lián)網(wǎng)支付之外、還包括網(wǎng)絡(luò)借貸、股權(quán)眾籌融資、互聯(lián)網(wǎng)基金銷售、互聯(lián)網(wǎng)保險、互聯(lián)網(wǎng)信托和互聯(lián)網(wǎng)消費(fèi)金融等主要業(yè)態(tài)。然而，互聯(lián)網(wǎng)金融不是新的金融，而是金融消費(fèi)渠道的創(chuàng)新，是“互聯(lián)網(wǎng)＋”與產(chǎn)業(yè)融合的體現(xiàn)之一。這種創(chuàng)新，為“大眾創(chuàng)業(yè)，萬眾創(chuàng)新”提供了新的途徑，形成了集約化便捷渠道，也加快了互聯(lián)網(wǎng)與傳統(tǒng)行業(yè)的再融合再創(chuàng)新，這種融合創(chuàng)新模式，常見于政務(wù)、商務(wù)、生產(chǎn)、教育、醫(yī)療等領(lǐng)域。

計算機(jī)網(wǎng)絡(luò)技術(shù)與信息系統(tǒng)相結(jié)合，實(shí)現(xiàn)了金融信息化、教育信息化、政務(wù)信息化、醫(yī)療信息化、電子商務(wù)、無紙化辦公、云技術(shù)應(yīng)用、物聯(lián)網(wǎng)應(yīng)用等?，F(xiàn)代化信息技術(shù)手段，有效提高了工作效率和生活質(zhì)量，然而在信息化技術(shù)給我們帶來便利的同時，信息系統(tǒng)的安全問題也逐漸暴露出來。信息安全是系統(tǒng)運(yùn)行的保障，是信息系統(tǒng)運(yùn)行的重要部分，信息流和資金流的流動過程，其優(yōu)勢體現(xiàn)在信息資源的充分共享和運(yùn)作方式的高效率上，其安全的重要性不言而喻，一旦出現(xiàn)安全問題，所有工作便等于零。

3 信息安全的比較與價值研究

美國的互聯(lián)網(wǎng)信息安全風(fēng)險監(jiān)管，是以法律為基礎(chǔ)，多部門分工監(jiān)管，強(qiáng)調(diào)監(jiān)管與自律相結(jié)合，強(qiáng)化第三方管理，以準(zhǔn)入門檻和信息透明度作為網(wǎng)絡(luò)平臺管理重點(diǎn)。重視應(yīng)對云計算面臨的特殊風(fēng)險，美國國家標(biāo)準(zhǔn)技術(shù)研究所的云計算安全工作組，于2011 年1 月宣布成立，開發(fā)出具有權(quán)威性的“云安全服務(wù)體系架構(gòu)”，識別云安全面臨威脅，并對威脅進(jìn)行相應(yīng)分類，為相關(guān)機(jī)構(gòu)提供技術(shù)支持。歐盟傳統(tǒng)金融機(jī)構(gòu)與網(wǎng)絡(luò)金融機(jī)構(gòu)受同等法律法規(guī)監(jiān)管，并將第三方支付納入了電子貨幣體系，以便于監(jiān)管。

在中國，無論是衣食住行還是投資理財，信息系統(tǒng)都已滲透到人們生活中的每個角落，以覆蓋廣、發(fā)展快、成本低、效率高等特點(diǎn)，深深地影響甚至改變著人們的生活方式。在“互聯(lián)網(wǎng)＋”井噴式發(fā)展之下，信息系統(tǒng)產(chǎn)生的意義是積極的，但發(fā)展速度過快，必定會暴露出一些問題，如果漠視問題，尤其是信息系統(tǒng)安全問題，有可能會引發(fā)不可收拾的后果。

國家信息中心信息化研究部主任張新紅曾指出，2020 年前后中國的信息社會指數(shù)會達(dá)到0.6%，即到2020 年中國將整體上進(jìn)入信息社會的第一發(fā)展階段，那時最大的推動力除“互聯(lián)網(wǎng)＋”之外，還有全面推進(jìn)信息社會建設(shè)。在互聯(lián)網(wǎng)與各領(lǐng)域深度融合及信息技術(shù)高速發(fā)展的背景下，“互聯(lián)網(wǎng)＋”將走向全面融合，新業(yè)態(tài)發(fā)展也將面臨各類安全障礙，各種信息系統(tǒng)安全問題更加突出，保障數(shù)據(jù)安全、資產(chǎn)安全、內(nèi)容安全、行為安全便顯得格外重要。

4 信息系統(tǒng)內(nèi)部的風(fēng)險防范對策

（1）加強(qiáng)涉及信息安全的行業(yè)內(nèi)部管理，對信息系統(tǒng)相關(guān)工作人員進(jìn)行職業(yè)道德教育，建立嚴(yán)格的業(yè)務(wù)操作規(guī)程，禁止使用相關(guān)計算機(jī)設(shè)備和系統(tǒng)，進(jìn)行與業(yè)務(wù)無關(guān)的操作，減少人為形成的安全漏洞。另外，作為網(wǎng)絡(luò)管理員也需要對管理信息做好保密工作，保管好管理員賬戶，按照業(yè)務(wù)流程規(guī)范操作。

（2）提高系統(tǒng)的硬件配置，強(qiáng)化尖端技術(shù)研究。在硬件設(shè)備的配置及研發(fā)方面，全面建設(shè)高標(biāo)準(zhǔn)信息系統(tǒng)，鼓勵自主研發(fā)核心技術(shù)設(shè)備并加大投入，加快縮小與發(fā)達(dá)國家之間的差距，強(qiáng)化硬件設(shè)備性能，提高安全防御能力。

（3）在軟件方面，定期徹底清除系統(tǒng)存在的安全隱患，研究制定安全技術(shù)標(biāo)準(zhǔn)和技術(shù)規(guī)范，自主研發(fā)具有較強(qiáng)穩(wěn)定性和兼容性的系統(tǒng)軟件，逐步擺脫技術(shù)依賴，建立穩(wěn)定可靠的信息系統(tǒng)安全應(yīng)用平臺。對于計算機(jī)系統(tǒng)本身的漏洞，需要對其及時安裝軟件補(bǔ)丁，做好相應(yīng)的防范措施。

（4）應(yīng)著重鼓勵自主開發(fā)研制我國的電子技術(shù)產(chǎn)品，在網(wǎng)絡(luò)化進(jìn)程中掌握主動權(quán)。大力發(fā)展安全可靠、技術(shù)達(dá)標(biāo)、性能一流的國產(chǎn)硬件設(shè)備，從根本上解決計算機(jī)及網(wǎng)絡(luò)設(shè)備對國外硬件生產(chǎn)廠商的依賴。

5 信息系統(tǒng)外部網(wǎng)絡(luò)的風(fēng)險防范對策

我們要大力開發(fā)關(guān)鍵性技術(shù)，運(yùn)用多重防護(hù)手段，保障金融信息系統(tǒng)的網(wǎng)絡(luò)安全。更好地運(yùn)用加密技術(shù)、防火墻技術(shù)、訪問控制技術(shù)、密碼安全技術(shù)等重要技術(shù)，在信息系統(tǒng)中發(fā)揮應(yīng)有的作用。免疫墻和防火墻是確保網(wǎng)絡(luò)不會受到破壞與入侵的保護(hù)裝置，然而這二者在應(yīng)用的過程當(dāng)中所起到的作用卻有所不同。對于信息安全來講，免疫墻與防火墻要各盡其責(zé)，是缺一不可的防患措施。

5.1 免疫墻

免疫墻是管理內(nèi)網(wǎng)時應(yīng)用的，比如卡滯、掉線等一些相關(guān)問題，免疫墻主要是由終端、網(wǎng)關(guān)、服務(wù)器以及免疫協(xié)議組成，用于內(nèi)部的攻擊保護(hù)和防御，防火墻、防毒墻、殺毒軟件等都無法制止網(wǎng)絡(luò)協(xié)議病毒的攻擊。

5.2 防火墻

防火墻的應(yīng)用主要就是在內(nèi)網(wǎng)與外網(wǎng)之間，或者是公網(wǎng)與專網(wǎng)之間，在邊界上對其構(gòu)建一個屏障，從而確保其內(nèi)部網(wǎng)不會受到非法入侵。通過安裝防火墻，實(shí)現(xiàn)下列安全目標(biāo)：

（1）利用防火墻將內(nèi)部網(wǎng)絡(luò)、Internet 外部網(wǎng)絡(luò)、DMZ 服務(wù)區(qū)、安全監(jiān)控與備份中心進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)直接通信。

（2）利用防火墻建立網(wǎng)絡(luò)各終端和服務(wù)器的安全保護(hù)措施，保證系統(tǒng)安全。

（3）利用防火墻對來自外網(wǎng)的服務(wù)請求進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被拒絕。

（4）利用防火墻使用IP 與MAC 地址綁定功能，強(qiáng)化終端用戶的訪問認(rèn)證，在不影響用戶正常訪問的情況下將用戶訪問權(quán)限控制在最低限度內(nèi)。

（5）利用防火墻全面監(jiān)控對服務(wù)器的訪問，及時發(fā)現(xiàn)和阻止非法操作。

（6）利用防火墻及服務(wù)器上的審計記錄，形成了一個完善的審計體系，建立了第二條防線。

（7）根據(jù)需要設(shè)置流量控制規(guī)則，實(shí)現(xiàn)網(wǎng)絡(luò)流量控制，設(shè)置基于時間段的訪問控制。

5.3 系統(tǒng)訪問控制

訪問控制是對進(jìn)入系統(tǒng)的控制，如經(jīng)常在工作站或終端上所使用的Logon（Login）User ID、Password 等。該技術(shù)的作用，是對需要訪問系統(tǒng)及數(shù)據(jù)的用戶，進(jìn)行識別和查驗(yàn)，判斷其身份是否合法，防止未授權(quán)的非法訪問。

6 創(chuàng)新防護(hù)思路和密碼輸入方式

如今，許多網(wǎng)絡(luò)犯罪的最終目的就是盜取他人的賬號、密碼，來獲取非法利益，保證密碼的安全也就顯得非常重要了。密碼輸入環(huán)節(jié)是盜取密碼的重要階段，所以控制好密碼輸入環(huán)節(jié)就可以大大提高防護(hù)水平。密碼盜取主要是通過電腦鍵盤的輸入，自動按輸入順序記錄所輸入的密碼，從而按要求發(fā)送到指定郵箱或其他地址來盜取他人密碼。本文提出的隨機(jī)密碼輸入系統(tǒng)，創(chuàng)新了防護(hù)思路與密碼輸入方式，可起到有效的防護(hù)作用。

隨機(jī)密碼輸入系統(tǒng)不是指單純的輸入系統(tǒng)出現(xiàn)的隨機(jī)密碼，而是結(jié)合原密碼本身，通過系統(tǒng)的隨機(jī)要求連續(xù)輸入密碼的多位數(shù)字或字母。因要求輸入的密碼個數(shù)小于原密碼個數(shù)，不能通過簡單的試錯方式還原，以防黑客打亂順序也能試出原密碼，增加了輸入方式的可靠度。

隨機(jī)密碼輸入系統(tǒng)的舉例說明：如利用網(wǎng)上銀行實(shí)現(xiàn)網(wǎng)上支付，原密碼為ABC123，密碼為數(shù)字和字母的組合共六位。在輸入密碼時，系統(tǒng)自動彈出對話，要求輸入密碼的第三、六、四、二、五位，這時按要求輸入隨機(jī)密碼，于是輸入C31B2。在下一次交易中要輸入密碼時，系統(tǒng)自動彈出對話，要求輸入密碼的第一、五、三、六、二位，這時按要求輸入隨機(jī)密碼，于是輸入A2C3B。

這種情況下，只有本人才能正確輸入，因打亂了密碼順序，即使電腦自動記錄了所輸入的密碼也只是把第一次輸入的隨機(jī)密碼C31B2 和第二次輸入的隨機(jī)密碼A2C3B 當(dāng)作了原密碼，又因輸入的密碼個數(shù)與原密碼個數(shù)不同，所以無法以打亂密碼順序的方法試圖還原密碼，所以真正的原密碼ABC123 不易被盜取。

7 強(qiáng)化國家金融安全意識及健全相關(guān)法律法規(guī)

7.1 強(qiáng)化國家網(wǎng)絡(luò)安全意識

信息安全事件大多為利益集團(tuán)為達(dá)到某種目的而發(fā)起的網(wǎng)絡(luò)攻擊，往往是向指定的目標(biāo)發(fā)起特定的網(wǎng)絡(luò)攻擊，具有極強(qiáng)的針對性。攻擊控制系統(tǒng)的病毒和黑客異常熟悉控制系統(tǒng)的網(wǎng)絡(luò)情況，攻擊方法獨(dú)特導(dǎo)致無法及時發(fā)現(xiàn)，具有極強(qiáng)的隱蔽性，可以長時間隱藏于各類控制系統(tǒng)中。電力、能源、金融等系統(tǒng)如果遭到破壞，輕則造成經(jīng)濟(jì)損失，重則會造成人身傷亡，甚至?xí)绊懙貐^(qū)和國家的安定，乃至國家戰(zhàn)略和重大計劃的執(zhí)行。所以，無論是國家層面還是各行業(yè)從業(yè)人員，都應(yīng)逐步強(qiáng)化網(wǎng)絡(luò)安全建設(shè)，加強(qiáng)全民網(wǎng)絡(luò)安全意識和隱患防范意識。

7.2 健全相關(guān)法律法規(guī)

近年來，我國對互聯(lián)網(wǎng)犯罪問題十分重視，并初步建立了計算機(jī)系統(tǒng)安全保護(hù)方面的法律體系，相繼出臺中華人民共和國網(wǎng)絡(luò)安全法、工業(yè)控制系統(tǒng)信息安全防護(hù)指南、信息安全等級保護(hù)基本要求、工業(yè)控制系統(tǒng)評估規(guī)范以及一些其他行業(yè)規(guī)范等。

應(yīng)當(dāng)注意的是，計算機(jī)網(wǎng)絡(luò)犯罪是一種高技術(shù)、隱蔽型、智能型犯罪，通常是以非實(shí)體的電磁信息形態(tài)出現(xiàn)，所以不易被人察覺，也不容易留下確鑿的人證和物證。隨著“互聯(lián)網(wǎng)＋”的進(jìn)一步發(fā)展，新問題、新情況必然會接連不斷，只有能針對現(xiàn)有問題做到有法可依，增加違法犯罪行為的成本，才能為有效懲治網(wǎng)絡(luò)違法犯罪，為信息系統(tǒng)安全提供堅實(shí)的法律依據(jù)和保障?？舍槍ΜF(xiàn)有問題，對互聯(lián)網(wǎng)與行業(yè)發(fā)展做出預(yù)判，借鑒先進(jìn)國家的經(jīng)驗(yàn)，不斷完善相關(guān)法律法規(guī)，以規(guī)范信息系統(tǒng)和網(wǎng)絡(luò)參與者的行為。

8 總結(jié)

在信息化進(jìn)程中，我國必須將計算機(jī)系統(tǒng)及信息系統(tǒng)的安全體系建設(shè)放在首要地位，尤其是對計算機(jī)系統(tǒng)的核心技術(shù)進(jìn)行提升，對相關(guān)設(shè)備的安全防御能力進(jìn)行強(qiáng)化。信息系統(tǒng)安全防范的關(guān)鍵在于，提高信息系統(tǒng)硬件和軟件的嚴(yán)密性和先進(jìn)性，創(chuàng)新應(yīng)對方法，加強(qiáng)內(nèi)部管理，從根本上建成風(fēng)險可控、規(guī)范運(yùn)營的現(xiàn)代信息系統(tǒng)體系。另外，還需重視來自網(wǎng)絡(luò)的風(fēng)險和危害，保障信息系統(tǒng)安全，使信息系統(tǒng)運(yùn)行正常穩(wěn)定。